Single Sign-On (SSO) di Trainline Business con OpenID Connect

Il Single Sign-On (SSO) consente agli utenti di autenticarsi con le stesse credenziali e di accedere a più applicazioni, senza dover gestire più nomi utente e password. Grazie a OpenID Connect, il SSO si integra con i provider di identità (IdP) come Microsoft Azure Active Directory / Microsoft Entra ID.

• Sicurezza migliorata: L’autenticazione centralizzata riduce il rischio legato all’utilizzo di password deboli.
• Migliore esperienza utente: Gli utenti effettuano l’accesso una sola volta e possono utilizzare più piattaforme, inclusa Trainline Business.
• Esperienza semplificata per gli amministratori: Meno richieste di reimpostazione della password e gestione più semplice degli utenti quando un dipendente lascia l’azienda.

Supportiamo il SSO tramite qualsiasi provider compatibile con il protocollo OpenID Connect (OIDC), inclusi (a titolo esemplificativo ma non esaustivo):

• Microsoft Entra ID (Microsoft Azure Active Directory)
• Okta
• Ping Identity (PingFederate)
• OneLogin
• Keycloak
• Google Identity Platform
• Altri provider – se utilizzi un altro provider conforme a OIDC, specificalo nella tua richiesta e ti contatteremo

Prerequisiti

Prima di iniziare, assicurati che siano soddisfatte le seguenti condizioni:

1. Disponi dei privilegi di amministratore sul tuo account del provider di identità.
2. La tua organizzazione è abbonata al piano Enterprise con SSO abilitato.
3. Hai deciso come desideri invitare gli utenti sulla piattaforma (vedi «Invitare gli utenti per il SSO» di seguito).

Come configurare il SSO

Compila questo modulo per richiedere la configurazione del SSO. Nell’ambito della richiesta, ti verrà chiesto di fornire:

• Il provider utilizzato (ad es. Microsoft Entra ID)
• I domini email da supportare, per ciascun ID aziendale (ad es. example.com ed example.co.uk)
• Il numero di dipendenti che prevedi utilizzeranno Trainline Business
• Se desideri richiedere il caricamento e l’invito in blocco dei dipendenti

Potremmo richiedere l’accesso a un ambiente di test e a un utente di test, se disponibili. Ciò ci consente di accelerare il processo di configurazione e testare accuratamente l’integrazione prima del rilascio ai dipendenti.
 

Invitare gli utenti per il SSO

Attualmente non supportiamo il provisioning né SCIM. Affinché un utente possa accedere alla piattaforma tramite SSO, deve prima essere invitato. Consigliamo di utilizzare la nostra funzionalità di link di condivisione e di condividerla con i dipendenti, consentendo loro di registrarsi automaticamente alla piattaforma e riducendo il carico amministrativo.

Devi invitare molti dipendenti contemporaneamente? Specificalo nella richiesta sopra indicata per accedere alla funzionalità di invito in blocco, che invia un invito a ciascun dipendente al tuo account Trainline Business. È sufficiente condividere un file CSV con i dati dei dipendenti e penseremo noi al resto.

Informazioni aggiuntive per Microsoft Entra ID

Se stai configurando l’SSO utilizzando Microsoft Entra ID (precedentemente Azure Active Directory), tieni presente quanto segue:

• L’app Trainline Business non è pubblicata nella raccolta applicazioni di Entra. Non utilizzare l’app visualizzata nella ricerca della galleria. Crea invece una nuova Registrazione dell’app (App Registration).

• Una volta creata, la registrazione dell’app mostrerà i dettagli richiesti, inclusi il Client ID e il Well-Known URL.

  • Il Well-Known URL è disponibile nella scheda Endpoints.

• Genera manualmente il Client Secret nella scheda Certificates & secrets (menu a sinistra).

  • Assicurati di copiare il valore del secret (non il Secret ID).

  • Imposta la scadenza in linea con la policy aziendale. Gli amministratori sono responsabili del rinnovo dei secret prima della scadenza.

• L’Identifier (Entity ID) e le Reply URLs verranno fornite durante il processo di configurazione di Trainline Business.

• Per la configurazione delle claims, è sufficiente l’autorizzazione utente predefinita “read”.

1. Posso utilizzare SAML? Attualmente supportiamo esclusivamente provider compatibili con OpenID Connect. Compila il modulo sopra indicato per verificare la compatibilità del tuo provider.
2. Cosa succede agli account dei dipendenti esistenti? Gli account esistenti possono essere collegati al SSO al primo tentativo di accesso.
3. Come posso aggiornare le impostazioni SSO o disabilitarlo? Contatta il nostro team per richiedere aggiornamenti delle configurazioni SSO o la sua disattivazione.
4. Quali sono le tempistiche previste per la configurazione e gli aggiornamenti del SSO? Puntiamo a completare la configurazione del SSO entro 10 giorni lavorativi dalla ricezione della richiesta iniziale, a condizione che tutte le informazioni necessarie siano fornite tempestivamente e che sia disponibile un ambiente di test. Lo stesso vale per gli aggiornamenti delle configurazioni esistenti.
5. Una volta configurato il SSO, gli utenti possono accedere senza utilizzarlo? No, una volta abilitato il SSO per uno specifico account aziendale, gli utenti possono accedere esclusivamente tramite SSO.
6. Un dipendente ha cambiato divisione. Come posso modificare i suoi accessi? Dovrai rimuoverlo dal conto Trainline Business (divisione) che sta lasciando prima di aggiungerlo al nuovo conto.
7. Trainline Business supporta il provisioning o SCIM? Attualmente non supportiamo il provisioning né SCIM. Per consentire a un utente di accedere alla piattaforma tramite SSO, è necessario che venga invitato prima tramite link (o singolarmente via email).
8. Cosa devo fare quando un dipendente lascia l’azienda e non deve più accedere a Trainline Business?
   Gli utenti disattivati a livello di SSO non potranno più accedere a Trainline Business, in quanto l’autenticazione è gestita dal provider di identità.
   Nota: se la tua azienda utilizzava Trainline Business prima dell’implementazione del SSO, gli utenti che avevano accesso tramite email e password dovranno essere rimossi manualmente da un amministratore nell’area di gestione dei dipendenti.