Configurare il Single Sign-On (SSO)

Il SSO è un processo di autenticazione che permette agli utenti di accedere a più applicazione dopo avere effettuato l'accesso una volta sola. Diligent One supporta l'integrazione SSO per qualunque fornitore d'identità che aderisce al protocollo OASIS SAML 2.0

È possibile configurare più provider SSO per un'organizzazione.

Informazioni sul Single Sign-On

  • Configurazione multi-SSOI clienti possono configurare più di un fornitore di Single sign-on all'interno di un'organizzazione.

  • Passaggio tra organizzazioni SSO e non SSOSe stai passando da un'organizzazione abilitata all'SSO a una non abilitata all'SSO, ti verrà richiesto di inserire le tue credenziali Diligent One. Se non disponi di queste credenziali, devi impostare una password selezionando il collegamento Password dimenticata? Se si desidera eseguire l'autenticazione utilizzando l'SSO per tutte le organizzazioni, informare gli amministratori di sistema della necessità di configurare l'SSO per le organizzazioni non SSO. Per ulteriori informazioni, consulta gli Configurare il Single Sign-On (SSO).

  • Esperienza di accesso dell'amministratore di sistema per organizzazioni SSOGli amministratori di sistema possono ora accedere alle organizzazioni SSO utilizzando l'e-mail e la password della piattaforma Diligent One. Questo per consentire ai nostri clienti di modificare le loro configurazioni SSO tramite gli amministratori di sistema, nel caso in cui gli utenti non possano autenticarsi nella loro organizzazione. L'amministratore di sistema può anche selezionare determinati utenti all'interno dell'organizzazione per bypassare l'SSO.

  • La piattaforma Diligent One non supporta il provisioning just-in-time (JIT)Per allinearci ai migliori standard di sicurezza, non supportiamo il provisioning just-in-time. È necessario coordinarsi con l'amministratore di sistema per abilitare il provisioning degli utenti esterni (ad esempio, SCIM) se si desidera automatizzare il processo di provisioning degli utenti dell'organizzazione.

  • Usare i certificati pubblici invece dell'impronta digitale di sicurezzaQuando configuri un nuovo provider SSO o ne aggiorni uno attuale, devi inserire il certificato pubblico invece dell'impronta digitale di sicurezza.

    Quando si configura o si aggiorna l'SSO, immettere il certificato pubblico (incluse le righe INIZIO CERTIFICATO e TERMINE CERTIFICATO), che ha il seguente formato:

    -----INIZIO CERTIFICATO-----
    <contenuto del certificato>
    -----FINE CERTIFICATO-----

Autorizzazioni

Solo gli Amministratori di sistema possono configurare le impostazioni SSO per la loro azienda.

Requisiti

  • Il tuo fornitore di identità deve aderire al protocollo OASIS SAML 2.0.
  • Tutti gli utenti di un'istanza abilitata al SSO di Diligent One devono autenticarsi tramite un fornitore d'identità.

Se gli utenti accedono a più organizzazioni

Gli utenti che eseguono l'autenticazione tramite un fornitore di identità possono farlo per più organizzazioni Diligent One se tutte queste organizzazioni appartengono alla stessa azienda.

Per verificarlo, cercare "Nome cliente" nelle impostazioni di ciascuna organizzazione. Deve essere lo stesso per tutte le organizzazioni a cui gli utenti SSO devono accedere. Per ulteriori informazioni, consulta Aggiornare le impostazioni dell'organizzazione. In alternativa, è possibile utilizzare il selettore istanze per verificare che le istanze in questione siano indicate sotto lo stesso nome di azienda. Per ulteriori informazioni, consulta Passaggio da un'organizzazione Diligent One all'altra.

Se devi modificare a quale azienda appartengono le tue istanze, contatta il Team di supporto.

L'autenticazione non è specifica per regione. Gli utenti possono accedere alle istanze Diligent One in più regioni.

Se gli utenti accedono alle organizzazioni di formazione

Gli utenti che si autenticano tramite un fornitore d'identità possono creare organizzazioni di formazione, che sono automaticamente collegate alla stessa azienda.

Possono essere aggiunti ulteriori utenti a queste organizzazioni, a condizione che non appartengano già a un'organizzazione di formazione diversa con la stessa e-mail. Questi utenti devono impostare una password per accedere alle organizzazioni di formazione Diligent One selezionando il collegamento Password dimenticata? nella pagina di accesso.

Se i tuoi utenti lavorano per più aziende

Gli utenti che lavorano per più aziende possono utilizzare l'SSO. Al momento dell'accesso, viene loro richiesto di autenticarsi con l'SSO configurato per l'azienda specifica a cui accedono.

Nel caso si desideri utilizzare SSO e 2FA insieme

È possibile esentare gli utenti dall'autenticazione SSO, consentendo loro di accedere utilizzando il processo standard con la 2FA. Per ulteriori informazioni, consulta .

Configurare i fornitori di identità SSO

  1. Apri la home page della piattaforma (www.diligentoneplatform.com).

  2. Dalla finestra di navigazione a sinistra, seleziona Impostazioni della piattaforma.
    La finestra di navigazione a sinistra mostra le diverse opzioni di impostazione della piattaforma.
  3. In Gestione organizzazione, seleziona Impostazioni di sicurezza.
  4. Nella pagina Impostazioni di sicurezza della sezione Opzioni Single Sign-On (SSO), selezionare Configura fornitore.
  5. Nel pannello Configurazione Single Sign-On, immettere i dettagli come descritto nella tabella seguente:

    CampoDescrizione
    Dominio personalizzato

    Il nome univoco che identifica l'istanza e abilita gli utenti dell'azienda ad accedere a Diligent One. Il dominio personalizzato nel sottodominio della tua istanza è aggiunto con un codice area.

    Nota

    Puoi modificare il sottodominio della tua istanza nella pagina Aggiorna organizzazione. Per ulteriori informazioni, consulta Aggiornare le impostazioni dell'organizzazione.

    NomeInserire un nome per il fornitore di identità.
    ID dell'entitàL'URL che identifica il fornitore d'identità che emette una richiesta SAML. Questo è un URL specifico del tuo fornitore d'identità.
    URL dei metadatiL'URL a cui la home della piattaforma può accedere per ottenere i dati di configurazione SSO dal fornitore d'identità. Questo è un URL specifico del tuo fornitore d'identità.
    URL di reindirizzamento dell'accessoL'URL del fornitore d'identità per gli utenti dell'azienda per accedere a Diligent One.
    URL di disconnessioneL'URL a cui Diligent One reindirizzerà gli utenti dell'azienda dopo avere effettuato la disconnessione da Diligent One.
    Certificato pubblicoCertificato emesso per verificare il dispositivo e l'utente.

  6. Selezionare Abilita.

    Nella sezione Opzioni Single Sign-On (SSO) viene visualizzato il fornitore di identità aggiunto.

Aggiungere utenti all'elenco consentiti per bypassare l'accesso SSO

Quando si aggiungono più opzioni di autenticazione, è possibile esentare gli utenti dall'utilizzo dell'autenticazione SSO. In genere, questa esenzione si applica agli utenti che non sono membri di alcun fornitore d'identità. Questi utenti esentati possono continuare ad accedere con il loro nome utente e la loro password.

Nota

  • Tutti gli Amministratori di sistema ricevono automaticamente le autorizzazioni a bypassare l'SSO.

  • Se l'autenticazione a due fattori (2FA) è abilitata per la propria organizzazione, si applica a tutti gli utenti, anche a quelli con l'autorizzazione a bypassare il single sign-on (SSO). Per questo motivo è importante rivedere l'accesso degli utenti, per assicurarsi che nessuno sia involontariamente escluso dalla piattaforma.

  1. Nella sezione Opzioni Single Sign-On (SSO) delle Impostazioni di sicurezza, selezionare la scheda +Aggiungi utenti accanto alla sezione Utenti con autorizzazione a bypassare l'SSO.
  2. Nel pannello Utenti con autorizzazione a bypassare l'SSO visualizzato, selezionare gli utenti che si desidera esentare dall'utilizzo dell'autenticazione SSO.

    3. È possibile utilizzare il campo Ricerca per trovare gli utenti.

  3. Selezionare Aggiungi utenti.

    4. Gli utenti aggiunti all'elenco per bypassare l'SSO vengono visualizzati nella sezione Utenti con autorizzazione a bypassare l'SSO.

Rimuovere utenti dall'elenco consentiti per bypassare l'accesso SSO

Per rimuovere gli utenti aggiunti all'elenco consentiti per bypassare l'SSO, nella sezione Utenti con autorizzazione a bypassare l'SSO selezionare l'icona di rimozione visualizzata accanto all'utente che si desidera rimuovere.

Nota

Gli Amministratori di sistema non possono essere rimossi dall'elenco consentiti. Tutti gli Amministratori di sistema ricevono automaticamente le autorizzazioni a bypassare.

Disabilitare i fornitori di identità SSO

  1. Nella pagina Impostazioni di sicurezza, nelle Opzioni Single Sign-On (SSO), selezionare Apri dettagli per il fornitore di identità che si desidera disabilitare.
  2. Nel pannello di configurazione Single Sign-On, dal menu a discesa del campo Stato, selezionare Disabilitato.
  3. Selezionare Salva modifiche.
  4. Nella finestra di dialogo Conferma disabilitazione fornitore SSO visualizzata, selezionare Conferma.

    Il fornitore di identità SSO è contrassegnato come Disabilitato nella sezione Opzioni Single Sign-On (SSO).

    5. Nota

    Dopo aver disabilitato un fornitore SSO, gli utenti dell'organizzazione non possono più accedere utilizzando questo fornitore. Tuttavia, le informazioni del fornitore rimangono salvate.

Abilitare un fornitore di identità SSO disabilitato

  1. Nella pagina Impostazioni di sicurezza, nelle Opzioni Single Sign-On (SSO), selezionare Apri dettagli per il fornitore di identità che si desidera abilitare.
  2. Nel pannello di configurazione Single Sign-On, dal menu a discesa del campo Stato, selezionare Abilitato.
  3. Selezionare Salva modifiche.

    4. Il fornitore di identità SSO è contrassegnato come Abilitato nella sezione Opzioni Single Sign-On (SSO).

Rimuovere i fornitori di identità SSO

  1. Nella pagina Impostazioni di sicurezza, nelle Opzioni Single Sign-On (SSO), selezionare Apri dettagli per il fornitore di identità che si desidera rimuovere.
  2. Nel pannello di configurazione Single Sign-On, selezionare Rimuovi.
  3. Nella finestra di dialogo Conferma rimozione fornitore SSO visualizzata, selezionare Conferma.
    4. Nota

    Dopo aver rimosso un fornitore SSO, gli utenti dell'organizzazione non possono più accedere utilizzando questo fornitore. Anche le informazioni del fornitore vengono eliminate.

URL del provider di servizi della piattaforma Diligent One

Quando configuri il tuo provider di identità SSO, hai bisogno dei seguenti URL del provider di servizi per la piattaforma Diligent One:

  • Uno degli ID del provider di servizi
    • https://accounts.diligentoneplatform.com/saml/metadata/your_custom_domain
    • https://accounts.highbond.com/saml/metadata/your_custom_domain

    Consiglio

    L'URL dell'ID entità funge anche da endpoint dei metadati per la piattaforma Diligent One.

  • Uno degli URL di asserzione del fornitore del servizio
    • https://accounts.diligentoneplatform.com/saml/sso/consume/your_custom_domain
    • https://accounts.highbond.com/saml/sso/consume/your_custom_domain

Nota

Il supporto per www.highbond.com termina il 31 luglio 2026.

Utilizzo del file di metadati del provider di servizi

Dopo aver abilitato SSO per l'organizzazione, è possibile accedere al file di metadati del provider di servizi, che può essere caricato sul provider di identità.

  1. Copia uno degli URL dell'ID dell’entità del provider di servizi:

    • https://accounts.diligentoneplatform.com/saml/metadata/ your_custom_domain
    • https://accounts.highbond.com/saml/metadata/ your_custom_domain

  2. Incolla l'URL in un browser Web.

    Il file XML dei metadati viene scaricato nel sistema.

  3. Caricalo sul tuo provider di identità.

Accedere quando l'SSO è abilitato

Ci sono due modi in cui gli utenti possono accedere quando il SSO è abilitato.

Cosa succede quando il SSO è abilitato?

Quando l'SSO è abilitato, puoi effettuare l'accesso andando su www.diligentoneplatform.com, facendo clic su Continua con SSO e fornendo il tuo dominio personalizzato.

In alternativa, si può accedere a Diligent One utilizzando il link dell'applicazione di Diligent One dalla pagina di destinazione del fornitore d'identità. 

Si viene reindirizzati a Diligent One tramite il fornitore d'identità quando si accede a una delle applicazioni di Diligent One (o anche quando si fa clic su un link in un'e-mail inviata da Diligent One).

Nota

  • Una volta che l'SSO è abilitato, non è possibile accedere con l'e-mail e la password o modificare la password. Tuttavia, gli Amministratori di sistema o un utente elencato come autorizzato a bypassare l'SSO, possono accedere con il proprio indirizzo e-mail e password.

  • Non è possibile modificare gli indirizzi e-mail se l'SSO è abilitato nell'organizzazione. Tuttavia, se l'organizzazione ha abilitato sia SSO che SCIM, gli indirizzi e-mail possono essere modificati.

  • Per un'organizzazione in cui è abilitato solo l'SSO, gli indirizzi e-mail aggiornati vengono trattati come nuovi account, impedendo agli utenti di accedere alle informazioni associate alle credenziali precedenti. Pertanto, per tali organizzazioni, se è necessario modificare gli indirizzi e-mail, l'Amministratore di sistema deve prima disabilitare l'SSO in Diligent One, aggiornare gli indirizzi e-mail e quindi riattivare l'SSO.

  • Per un'organizzazione in cui SCIM è abilitato, le modifiche all'indirizzo e-mail del fornitore di identità si riflettono automaticamente nella piattaforme Diligent One.

Devo inserire il mio dominio personalizzato ogni volta che accedo?

  • Se accedi tramite il fornitore d'identità, non devi fornire un dominio personalizzato ogni volta.
  • Se accedi tramite Diligent One, puoi accedere a uno dei seguenti URL per evitare di inserire ogni volta un dominio personalizzato:
    • https://accounts.diligentoneplatform.com/saml/sso?custom_domain=tuo-dominio-personalizzato
    • https://accounts.highbond.com/saml/sso?custom_domain=tuo-dominio-personalizzato

    Nota

    Il supporto per www.highbond.com termina il 31 luglio 2026.

Accesso a più organizzazioni di Diligent One

Chi ha accesso a più organizzazioni di Diligent One, verrà indirizzato all'organizzazione che ha utilizzato più di recente. Se si appartiene sia a organizzazioni abilitate per l'SSO che a organizzazioni non SSO, è necessario impostare una password per accedere alle organizzazioni non SSO. A tale scopo, seleziona il collegamento Password dimenticata?

Se si ha accesso a più organizzazioni di Diligent One, è possibile passare facilmente da una all'altra. Per ulteriori informazioni, consulta Passaggio da un'organizzazione Diligent One all'altra.

Quando si passa da un'organizzazione all'altra, vengono richieste le credenziali di autenticazione dell'organizzazione a cui si sta passando, se non si è già autenticati con tale organizzazione.

Disconnettersi quando l'SSO è abilitato

Diligent One supporta SLO (Single Logout) utilizzando il flusso di lavoro avviato dal provider di identità.

Usa uno dei seguenti URL SLO:

  • https://accounts.diligentoneplatform.com/saml/slo/dominio-personalizzato

  • https://accounts.highbond.com/saml/slo/il_tuo_dominio_personalizzato

    Nota

    Il supporto per www.highbond.com termina il 31 luglio 2026.

Come funziona la scadenza della sessione

Quando una sessione Diligent One scade o quando si prova a disconnettersi da Diligent One, occorre prima disconnetterti dal fornitore d'identità. In caso contrario, si accederà nuovamente in automatico a Diligent One.

Per esempio, se la scadenza della sessione dell'organizzazione è di tre ore e quella del fornitore d'identità di tre giorni, si accederà in automatico a Diligent One per tre giorni.

Per motivi di sicurezza, la tua azienda dovrebbe assicurarsi che la scadenza della sessione del tuo fornitore d'identità è inferiore a quella dell'istanza.

Nota

È possibile modificare la scadenza della sessione dell'organizzazione nella pagina Aggiorna organizzazione. Per ulteriori informazioni, consulta Aggiornare le impostazioni dell'organizzazione.

Aggiungere utenti a un'organizzazione Diligent One abilitata all'SSO

Diligent One supporta il provisioning esterno SCIM. Se il fornitore di identità dispone di SCIM come opzione, è possibile eseguire automaticamente il provisioning degli utenti nella piattaforma. Tuttavia, se il proprio fornitore di identità non dispone di SCIM, si devono aggiungere manualmente i propri utenti SSO all'organizzazione Diligent One, affinché possano accedere alla piattaforma.

Sottoscrizioni e accesso alle applicazioni di Diligent One

L'utente non avrà sottoscrizioni assegnate, né accesso a nessuna applicazione di Diligent One. Gli Amministratori di sistema devono assegnare un ruolo e una sottoscrizione sulla home della piattaforma agli utenti per assicurarsi che questi abbiano l'accesso appropriato all'istanza.

Disabilitare il SSO

Se la tua azienda abilita il SSO e in seguito decide di disabilitarlo:

  • Gli utenti che non hanno impostato una password prima dell'abilitazione di SSO devono selezionare Reimposta password nella pagina di accesso per ottenere una password. 
  • Gli utenti che hanno configurato una password prima che l'SSO fosse abilitato devono accedere con il nome utente e la password.

SSO e SAML

Diligent One supporta l'integrazione SSO per qualsiasi provider di identità che aderisce al protocollo OASIS Security Assertion Markup Language 2.0 (SAML 2.0). OASIS SAML 2.0 è un formato per comunicare e autenticare le identità tra due applicazioni Web.

L'OASIS SAML 2.0 implica:

  • Un utente che richiede un servizio.
  • Un provider di servizi o un'applicazione che fornisce servizi (Diligent One).
  • Un repository o provider di identità che gestisce le informazioni degli utenti.

Per le istanze con il SSO abilitato, gli utenti vengono autenticati quando accedono a Diligent One utilizzando un fornitore d'identità supportato dal SAML. Se l'utente non viene abilitato nel fornitore di identità del SAML della sua azienda, all'utente viene negato l'accesso. 

Flussi di lavoro supportati

Dopo aver configurato le impostazioni SSO, sono supportati i seguenti flussi di lavoro: 

  • Provider di identità avviato - Accesso a Diligent One dalla pagina di destinazione del provider di identità.
  • Provider di servizi avviato - Accesso a Diligent One dalla pagina iniziale di Diligent One.

Configurare l'integrazione SAML 2.0 con Okta per la piattaforma Diligent One

La configurazione di SAML 2.0 con Okta comporta passaggi nella piattaforma Diligent One e in Okta.

Passaggi da eseguire nella piattaforma Diligent One

  1. Vai su accounts.diligentoneplatform.com.

  2. Dalla finestra di navigazione a sinistra, seleziona Impostazioni della piattaforma.
    La finestra di navigazione a sinistra mostra le diverse opzioni di impostazione della piattaforma.
  3. In Gestione organizzazione, seleziona Impostazioni di sicurezza.
  4. Nella pagina Impostazioni di sicurezza della sezione Opzioni Single Sign-On (SSO), selezionare Configura fornitore.
  5. Nel pannello di Configurazione del Single sign-on, copia e incolla i valori corrispondenti dalla scheda Accesso in Amministrazione di Okta. I campi sono descritti nella tabella seguente:

    CampoValore Amministrazione di Okta SAML 2.0
    Dominio personalizzato

    Non applicabile in Okta.

    Questo campo contiene il nome univoco che identifica la tua istanza e che consente agli utenti della tua azienda di accedere a Diligent One. Il dominio personalizzato nel sottodominio della tua istanza è aggiunto con un codice area.

    Nota

    Puoi modificare il sottodominio della tua istanza nella pagina Aggiorna organizzazione. Per ulteriori informazioni, consulta Aggiornare le impostazioni dell'organizzazione.

    Nome

    Non applicabile in Okta.

    Inserire un nome per il fornitore di identità.

    ID dell'entità

    Emittente

    URL dei metadati

    URL dei metadati

    L'URL a cui la piattaforma Diligent One può accedere per ottenere i dati di configurazione SSO dal fornitore d'identità. Questo è un URL specifico del tuo fornitore d'identità.

    URL di reindirizzamento dell'accesso

    URL di accesso

    URL di disconnessione

    URL di disconnessione

    Certificato pubblico

    1. Seleziona Scarica accanto a Certificato di firma.

    2. Apri il certificato con un editor di testo.

    3. Copia e incolla tutti i valori nel campo Certificato pubblico della piattaforma Diligent One.

  6. Selezionare Abilita.

Passaggi da eseguire in Okta

  1. Vai su Applicazioni > Applicazioni > Sfoglia il catalogo delle applicazioni e cerca Diligent One.

  2. Seleziona la scheda Generale dell'applicazione Diligent One SAML e seleziona Modifica.

  3. Nel campo Dominio personalizzato, inserisci il valore che hai ottenuto dalla configurazione di Diligent One SSO.

  4. Seleziona Salva.

    Ora puoi autenticarti attraverso il riquadro Diligent One nella tua dashboard Okta.

Per effettuare il login attraverso l'SSO avviato dal provider di servizi (SP), attieniti ai seguenti passaggi:

  1. Vai su accounts.diligentoneplatform.com.

  2. Seleziona Continua con SSO.

  3. Nella pagina di Accesso, inserisci il tuo dominio personalizzato e seleziona Continua.

    Se non hai ancora effettuato l'accesso, ti verrà richiesto di accedere tramite Okta.

Processo di autenticazione iniziato dal fornitore d'identità

Processo di autenticazione iniziato dal fornitore di servizi

Effettuare l'offboarding per gli utenti che se ne vanno

Se un utente lascia l'azienda, il processo di offboarding lo rimuoverà dall'elenco fornitori d'identità. L'impatto sugli utenti varia a seconda delle organizzazioni a cui sono associati e delle configurazioni specifiche di tali organizzazioni.

  • Se gli utenti facevano parte solo delle organizzazioni abilitate all'SSO, non possono più accedere a tali organizzazioni su Diligent One.
  • Se gli utenti appartenevano sia alle organizzazioni abilitate all'SSO sia ad altre organizzazioni non SSO:
    • Se l'utente viene rimosso dal fornitore d'identità, ci si deve assicurare che gli utenti vengano rimossi dall'organizzazione Diligent One. L'amministratore di sistema deve eseguire l'offboarding degli utenti di altre organizzazioni non SSO.
    • Se si rimuovono manualmente gli utenti dalle organizzazioni abilitate all'SSO, gli stessi possono comunque accedere alle istanze non SSO dopo aver reimpostato la password.