Sommario
- Che cos'è SSO SAML?
- Requisiti per abilitare SSO SAML su Mailjet
- Accesso e abilitazione di SSO SAML su Mailjet
- Disabilitare SSO SAML
- Provider di identità
- Gestione degli utenti
- Accedere con SSO
Che cos'è SSO SAML?
Utilizzando il protocollo SAML 2.0, Mailjet consente l'integrazione con il tuo provider di identità per autenticare gli utenti con Single Sign-On, noto anche come SSO. Teoricamente, se il tuo attuale provider di identità supporta il protocollo SAML 2.0 (Okta, Auth0, Onelogin, Azure AD, ecc.), dovresti essere in grado di utilizzare il tuo provider con Mailjet.
Nota: SAML SSO è disponibile dal piano 100.000 Premium e dagli account personalizzati.
Requisiti per abilitare SSO SAML su Mailjet
Dominio verificato
Per configurare SAML, devi verificare di essere proprietario/a del dominio aziendale (il dominio utilizzato nella configurazione SAML per l'accesso). Attualmente, la piattaforma Mailjet utilizza i record TXT per la verifica dei domini.
Mailjet può generare un record TXT unico da aggiungere al DNS del tuo dominio aziendale, che ci consentirà di verificare che sia di tua proprietà. Per usare questo metodo, accedi alla pagina "Configurazione SAML" ("Impostazioni > Dettagli nella barra di navigazione a sinistra, quindi scorri fino alla sezione "Autenticazione" e, nella sottosezione "Autenticazione SAML", clicca su "Configura SSO SAML"), inserisci il dominio aziendale nel campo "Nome di dominio" in "Generazione di record TXT di dominio" e clicca su "Genera". Copia il record TXT dalla finestra modale e aggiungilo ai record DNS del tuo dominio.
Assicurati che tutti i domini degli account utente siano verificati prima di provare a configurare SAML su Mailjet. Ad esempio, se i domini sono mailjet.com e mailgun.com, occorre eseguire queste azioni per ciascuno di essi.
Dettagli sul provider di identità
Dovrai fornire a Mailjet i seguenti dati dal tuo provider di identità:
-
ID entità IdP (noto anche come Identity Provider Issuer, autorità emittente di provider di identità)
-
URL Single Sign-On
-
Certificato X.509
Dettagli sul provider di servizi
Dovrai fornire a Mailjet i seguenti dettagli del provider SAML al tuo provider di identità Mailjet:
-
ID entità
-
URL Assertion Consumer Service
-
URL servizio di single logout
Accesso e abilitazione di SSO SAML su Mailjet
Nota: solo gli utenti amministratori possono abilitare/disabilitare SAML su un account.
Per accedere alla configurazione SAML su Mailjet, clicca su "Impostazioni dell'account > Autenticazione SAML (SSO) nella pagina "Informazioni sull'account":
A questo punto, troverai i dettagli relativi al provider di servizi e il modulo da compilare:
Per abilitare la configurazione, tutti i campi richiesti devono essere compilati con i dati del provider di identità.
Disabilitare SSO SAML
Nota: solo gli utenti amministratori possono abilitare/disabilitare SAML su un account.
Per disattivare SSO SAML sul tuo account, clicca su "Impostazioni dell'account > Autenticazione SAML (SSO) nella pagina "Informazioni sull'account". A questo punto, clicca sull'icona dell'ingranaggio e poi su "Disattiva SAML".
Provider di identità
Puoi usare diversi provider di identità: Okta, Auth0, Onelogin, Azure AD, ecc. Questo articolo spiega come farlo con Okta e Azure.
Impostare SSO SAML con Okta
Innanzitutto devi disporre di un account Okta. Se ne hai già uno, ottimo! In caso contrario, puoi registrarti all'indirizzo https://developer.okta.com e seguire le istruzioni per ottenere un account per sviluppatori gratuito.
Una volta creato un account Okta, vai su "Applicazioni".
A questo punto, clicca su "Crea integrazione dell'app". Quando si apre la finestra di dialogo, seleziona "SAML 2.0" come metodo di accesso e clicca su "Segue".
Dai alla tua applicazione un nome descrittivo e un logo, se lo desideri. Puoi ignorare le opzioni di visibilità dell'app e quindi cliccare su "Segue".
Inserisci:
-
URL Single Sign-On (è indicato come "URL Assertion Consumer Service" nel pannello di controllo di Mailjet)
-
Lascia selezionata la casella di controllo "Usa questo come URL del destinatario e URL di destinazione".
-
-
URI destinatari (ID entità nel pannello di controllo di Mailjet)
-
Lascia vuoto RelayState predefinito
-
Formato ID nome deve essere impostato su "EmailAddress"
-
Nome utente dell'applicazione deve essere impostato su "email".
-
Lascia Aggiorna nome utente dell'applicazione quando come predefinito.
Lascia vuota la sezione "Dichiarazioni di attributi" e clicca su "Segue".
Nella pagina successiva, scegli "Sono un/una cliente Okta che aggiunge un'app interna", poi clicca su "Fine".
Arriverai alla scheda "Accesso" dell'applicazione appena configurata.
Cerca il pulsante "Visualizza istruzioni di configurazione" e clicca per visualizzare i dati effettivi da aggiungere a Mailjet. L'aspetto dovrà essere come segue:
Copia i dati nella pagina "Autenticazione SAML (SSO)" di Mailjet e invia il modulo. Se è tutto corretto, il gioco è fatto.
Impostare SSO SAML con Azure
Per configurare il Security Assertion Markup Language (SAML), devi verificare di essere proprietario del dominio aziendale (il dominio utilizzato nella configurazione SAML per l'accesso) su entrambe le piattaforme (Mailjet e Azure).
Verificare un dominio su Azure Active Directory
Vai su "Azure Active Directory" e seleziona "Nomi di dominio personalizzati".
Clicca su "Aggiungi dominio personalizzato" e segui la procedura.
Una volta aggiunto il dominio, verrà visualizzato nella pagina "Nomi di dominio personalizzati". Affinché l'autenticazione Single Sign-On (SSO) funzioni, lo stato del dominio deve essere "Verificato".
Verificare un dominio sull'app Mailjet
Segui la procedura descritta qui.
Una volta verificato il dominio su Azure e Mailjet, è il momento di configurare l'autenticazione SSO tra le due piattaforme.
Configurare l'autenticazione SSO su Azure
Accedi all'account Azure e vai su "Azure Active Directory".
A questo punto, clicca su "Applicazioni aziendali".
Seleziona "Nuova applicazione" nella parte superiore dello schermo.
Ora clicca su "Crea un applicazione personalizzata" e segui i passaggi di configurazione.
Quando hai terminato, clicca sull'applicazione...
...e seleziona la seconda opzione "Impostare l'accesso Single Sign-On".
Per configurare l'autenticazione SSO, scegli il metodo "SAML".
Nella pagina successiva troverai i dettagli relativi al provider di identità e i moduli da compilare.
Per il primo passaggio "Configurazione SAML di base", dovrai inserire i dettagli relativi al provider di servizi Mailjet nelle sezioni indicate di seguito.
Fornire informazioni di Mailjet ad Azure
Azure
|
Mailjet
|
| Identificatore (ID entità) | ID entità |
| URL di risposta (URL Assertion Consumer Service) | URL Assertion Consumer Service |
| URL di logout (facoltativo) | Servizio di single logout |
Passa al terzo passaggio "Certificati SAML" e seleziona "Firma asserzione e risposta SAML" dal menu a discesa sotto "Opzione di firma". Il campo "Algoritmo di firma" non deve essere modificato (SHA-256).
Non dimenticarti di scaricare il certificato Base64: ti servirà per la configurazione di Mailjet.
Una volta completati i passaggi 1 e 3, dovrai ripetere la procedura su Mailjet.
Per accedere alla configurazione SAML su Mailjet, clicca su Impostazioni dell'account > Autenticazione SAML (SSO) nella pagina "Informazioni sull'account".
Seleziona "Configura autenticazione SAML".
In seguito troverai il modulo da compilare.
Per abilitare la configurazione dell'autenticazione SSO, tutti i campi richiesti devono essere compilati con i dati del provider di identità Azure.
Fornire informazioni di Azure a Mailjet
Mailjet |
Azure |
Commento |
| Dominio/i associato/i | - | Il nome di dominio personalizzato deve essere aggiunto e verificato in Azure e Mailjet. |
| ID entità IdP |
Identificatore Azure AD |
|
| Richiedi preferenza per l'accesso | Sezione "Certificato di firma SAML" > Modifica > Opzione di firma | Dovrebbe essere Firma la risposta e l'asserzione SAML. |
| URL Single Sign-On | URL di accesso | |
| URL servizio di single logout |
URL di logout |
|
| Certificato X.509 | Certificato (Base64) | Deve essere scaricato come Base64 e aperto in un editor di testo per poter copiare il valore nel formato richiesto. |
Gestione degli utenti
Mailjet
La funzione SSO basata su SAML può fornire ai tuoi utenti finali l'accesso all'applicazione Mailjet tramite un provider di identità (IdP). Tutti gli utenti a cui è stato concesso l'accesso condiviso al tuo account saranno elencati nella sezione "Utenti".
Nota: la funzione Single Sign-on sarà disabilitata per impostazione predefinita per tutti gli utenti. Solo gli utenti attivi con un dominio Associato nella configurazione SAML potranno accedere al tuo account tramite SSO.
Puoi abilitare la funzionalità SSO per tutti gli utenti in una sola volta, cliccando sul pulsante "Abilita SAML per tutti"...
... oppure scegli manualmente di abilitare o disabilitare l'accesso ai singoli utenti uno per uno con l'icona dell'ingranaggio.
Provider di identità (Okta)
Una volta attivati i tuoi utenti finali all'interno dell'applicazione di Mailjet, dovrai anche aggiungerli al tuo provider di identità (IdP), in questo caso Okta.
Apri il tuo account Okta, vai su "Directory --> Persone" e clicca su "Aggiungi persona".
Una volta inserite tutte le informazioni richieste, seleziona "Salva".
Nota: se desideri notificare immediatamente il nuovo utente e inviare un'email di attivazione, seleziona la casella "Invia email di attivazione utente ora". Verrà quindi richiesto all'utente di cliccare su un link per attivare il suo account Okta.
Il passo successivo sarà quello di visitare la pagina "Applicazioni" e selezionare l'applicazione a cui vuoi assegnare il nuovo utente aggiunto.
Seleziona "Assegna a persone" dal menu a discesa "Assegna".
Clicca su "Assegna" sull'utente precedentemente aggiunto.
Nota: vengono visualizzati solo gli utenti non assegnati.
Si aprirà la pagina "Persone" dove troverai tutti gli utenti aggiunti al tuo account Okta e il loro stato attuale.
Se tutti i passaggi indicati sopra sono stati seguiti correttamente, gli utenti finali che hanno accesso alla tua applicazione Mailjet non dovrebbero avere problemi ad accedere tramite SSO.
Provider di identità (Azure)
Una volta attivati i tuoi utenti finali all'interno dell'applicazione di Mailjet, dovrai anche aggiungerli al tuo provider di identità (IdP), in questo caso Azure.
Accedi all'account Azure, vai su Azure Active Directory --> Utenti e clicca su "Nuovo utente".
Segui tutti i passaggi e aggiungi il nuovo utente, che verrà visualizzato nella pagina "Utenti".
Nota: inserire l'indirizzo e-mail in lettere minuscole poiché fa distinzione tra maiuscole e minuscole.
Ora devi assegnare il nuovo utente all'applicazione Mailjet creata in precedenza.
Accedi all'applicazione e seleziona "Assegna utenti e gruppi".
Ora clicca su "Aggiungi utente/gruppo"...
... e seleziona dall'elenco l'utente a cui desideri consentire l'accesso SSO.
Una volta selezionato, l'utente verrà visualizzato nella pagina "Utenti e gruppi". Tutti gli utenti visualizzati in questa pagina potranno accedere al tuo account tramite SSO.
Se tutti i passaggi indicati sopra sono stati seguiti correttamente, gli utenti finali che hanno accesso al tuo account Mailjet non dovrebbero avere problemi ad accedere tramite SSO.
Accedere con SSO
Per accedere, clicca sul pulsante "Accedi con SSO" nella pagina di accesso di Mailjet.
Apparirà una nuova finestra con un singolo modulo di input per la tua email.
Una volta inserito il tuo indirizzo email e cliccato sul pulsante "Accedi", si aprirà il pannello di controllo del tuo account.
Nota: se un utente condiviso ha attivato l'SSO, non sarà più in grado di accedere all'account nel modo consueto. L'utente dovrà comunque accedere tramite l'opzione SSO.