Single Sign-On con Keycloak
Gli utenti dei piani RemotePC Team ed Enterprise possono usare il Single Sign-On (SSO) per accedere al loro account. Gli amministratori degli account possono scegliere un identity provider (IdP) SAML 2.0 per accedere al proprio account RemotePC senza dover ricordare un'altra password.
Per impostare il Single Sign-On (SSO) con Keycloak, l'amministratore deve:
- Configurare il Single Sign-On (SSO) con Keycloak come IdP
- Aggiungere utenti
- Configurare l'account RemotePC per il Single Sign-On (SSO)
Per usare Keycloak come fornitore di identità per SSO, è necessario creare un client SAML 2.0.
Per creare un client SAML 2.0,
- Accedi alla console di amministrazione di Keycloak. Una volta effettuato l'accesso, puoi vedere la console di amministrazione con un reame master già presente.
- Vai alla scheda "Clienti", clicca sul pulsante "Crea" sul lato destro della pagina e aggiungi il seguente URL:
ID cliente: https://sso.remotepc.com/rpcnew/sso/metadata
- Clicca sulla casella a discesa 'Client Protocol' e seleziona 'saml'.
- Fare clic su "Salva". Questo creerà il cliente e ti reindirizzerà automaticamente alla scheda Impostazioni del cliente.
- Al fine di utilizzare Keycloak per SSO con RemotePC, abbiamo bisogno di fare alcune modifiche nelle impostazioni del client Keycloak.
Modificare le modifiche richieste come segue:
- ID cliente: https://sso.remotepc.com/com/rpcnew/sso/metadata
- Nome: RemotePC
- Abilitato: ON
- Consenso richiesto: OFF
- Protocollo client: saml
- Includi AuthnStatement: ON
- Includere la condizione OneTimeUse: OFF
- Firma i documenti: SU
- Ottimizza la ricerca della chiave di firma REDIRECT: OFF
- Firma Asserzioni: OFF
- Algoritmo di firma: RSA_SHA1
- Nome della chiave di firma SAML: KEY_ID
- Metodo di canonicalizzazione: ESCLUSIVO
- Crittografare le asserzioni: OFF
- Firma del cliente richiesta: OFF
- Forzare il POST Binding: ON
- Logout del canale anteriore: ON
- Nome della forza Formato ID: ON
- Nome ID Formato: email
- URL di reindirizzamento validi: https://sso.remotepc.com/rpcnew/sso/process
- URL di elaborazione SAML principale: https://sso.remotepc.com/rpcnew/sso/process
- Assertion Consumer Service POST Binding URL: https://sso.remotepc.com/rpcnew/sso/metadata
- Assertion Consumer Service Redirect Binding URL: https://sso.remotepc.com/rpcnew/sso/metadata
- Fare clic su "Salva".
Per abilitare SSO per gli account utente, l'amministratore deve aggiungere gli utenti al client SAML 2.0 creato sulla console di amministrazione di Keycloak.
Per aggiungere utenti,
- Vai alla scheda "Utenti" e clicca su "Aggiungi utente".
- Inserisci il 'Nome utente', 'Email' e clicca su 'Salva'.
Nota: L'indirizzo email inserito deve corrispondere a quello che hai fornito per accedere al tuo account RemotePC. - Una volta che l'utente è stato creato, vai alla scheda 'Credenziali' e imposta una password per l'utente che sarà usata per il login.
- Imposta l'interruttore 'Temporary' su 'OFF' e poi clicca su 'Set Password' per applicare le tue modifiche.
L'amministratore deve fornire gli URL SAML 2.0 ricevuti e il certificato nell'applicazione Single Sign-On dall'interfaccia web di RemotePC.
Per configurare SSO,
- Accedi a RemotePC tramite browser web.
- Clicca sul nome utente visualizzato nell'angolo in alto a destra e clicca su "Il mio account".
- Clicca su "Single Sign-On".
- Inserisci un nome per il tuo profilo SSO e aggiungi gli URL sottostanti:
- URL dell'emittente IDP:
http://localhost:8080/auth/realms/master
Eg: https://serverdomainname/auth/realms/master - URL di accesso Single Sign-On:
http://localhost:8080/auth/realms/master/protocol/saml
Eg: https://serverdomainname/auth/realms/master/protocol/saml
Nota: gli URL possono variare a seconda della tua installazione di Keycloak. Per impostazione predefinita, Keycloak è installato sulla porta 8080. Se l'hai modificata o se la tua installazione di Keycloak esiste su una porta diversa, dovrai modificare questo URL.
- URL dell'emittente IDP:
- Aggiungi il 'Certificato X.509' ricevuto dal tuo client SAML 2.0, creato sulla console di amministrazione di Keycloak.
Nota: per visualizzare e copiare il certificato X.509,
i. Vai alla scheda 'Impostazioni del regno' dalla tua console di amministrazione Keycloak.
ii. Seleziona la scheda "Chiavi" e clicca sul pulsante "Certificato" sul lato destro della pagina. - Clicca su "Configura l'accesso singolo".
Riceverai un'email quando SSO sarà abilitato per il tuo account.