Come impostare correttamente SAML Single Sign-On (SSO) in WordPress

Vi state chiedendo come impostare SAML single sign-on (SSO) sul vostro sito web WordPress?

SAML SSO consente agli utenti di accedere al vostro sito utilizzando le loro credenziali esistenti da un altro servizio, come Google Apps o Microsoft Azure AD. In questo modo si salva il tempo e la fatica e si semplifica la gestione dell’accesso degli utenti, soprattutto se il team utilizza più accessi.

In questo articolo vi mostreremo come impostare SAML single sign-on in WordPress, passo dopo passo.

Che cos’è SAML Single Sign-On?

SAML è l’acronimo di Security Assertion Markup Language. È un modo sicuro per consentire al vostro sito WordPress di parlare con altri servizi, come Google e Office 365.

SSO significa invece single sign on. Ciò significa che gli utenti possono utilizzare una sola password per più servizi.

Con SAML SSO, gli utenti possono accedere al vostro sito utilizzando le credenziali esistenti di tali servizi. Ciò significa che non dovrete più ricordare altri nomi utente e password, ma solo un unico accesso per tutto.

È particolarmente utile per le organizzazioni e le aziende che utilizzano molte piattaforme online diverse. Ad esempio, in WPBeginner utilizziamo l’SSO per consentire ai membri del nostro team di accedere facilmente ai loro strumenti con un unico accesso.

Tenendo presente tutto ciò, vediamo come è possibile impostare facilmente SAML SSO in WordPress. Potete usare questi link rapidi per navigare nella guida:

Passo 1: installare SAML Single Sign On di miniOrange

Il modo più semplice per abilitare il SAML SSO sul vostro sito web WordPress è il plugin miniOrange SAML Single Sign On.

È gratuito e consente di collegare il sito a vari fornitori di identità, come Google Apps, Okta, OneLogin, Salesforce, Azure B2C, Keycloak, ADFS, Shibboleth 2, Auth0 e Sharepoint.

Inoltre, questo plugin permette agli utenti di accedere a più siti e applicazioni utilizzando un unico accesso. Detto questo, potete ripetere gli stessi passaggi qui sotto con gli altri siti a cui il vostro team deve poter accedere.

Detto questo, se gestite un network multisito WordPress, dovrete eseguire i passaggi una sola volta sul vostro sito principale del network e l’SSO funzionerà automaticamente su tutti i vostri siti.

Per prima cosa, è necessario installare il plugin. Se siete alle prime armi con i plugin di WordPress, abbiamo una guida pratica che vi guida passo dopo passo nell’installazione di un plugin di WordPress.

Una volta installato il plugin, dirigetevi verso la vostra dashboard di WordPress e navigate su miniOrange SAML 2.0 SSO ” Configurazione del plugin.

Passare quindi alla scheda “Metadati del fornitore di servizi”. Mantenete aperta questa pagina, poiché le informazioni qui contenute ci serviranno per il prossimo passo.

Passo 2: collegare il sito a un fornitore di identità

Ora che il plugin è installato in WordPress, è il momento di collegare il sito web con un provider di identità SAML (SAML IdP).

Un IdP SAML è un servizio che gestisce gli account utente e autentica gli utenti. È come un hub centrale in cui gli utenti si accedono una sola volta e l’accesso garantisce loro l’accesso a varie applicazioni, tra cui il vostro sito WordPress.

Per questo esempio, utilizzeremo Google Apps come IdP SAML. Tuttavia, per utilizzare Google Apps come IdP SAML, è necessario un account Google Admin, diverso dal normale account Gmail.

Un account Google Admin gestisce gli utenti e le impostazioni dello spazio di lavoro Google dell’organizzazione. Inoltre, di solito non termina con l’estensione @gmail.com.

Per prima cosa, si deve andare alla pagina di Google Admin Console.

Nel menu della barra laterale, navigare nella sezione “Applicazioni” e fare clic su “Applicazioni web e mobili”.

Da qui, aprire il menu a discesa “Aggiungi app”.

Quindi, selezionare “Aggiungi app SAML personalizzata”.

Ora, date alla vostra applicazione SAML personalizzata un nome (qualcosa come “miniOrange Custom SAML”) e una breve descrizione (come “Un’applicazione SAML SSO per WordPress”).

Una volta soddisfatti, cliccate su “Continua”.

Qui si vedranno due opzioni per configurare WordPress SSO.

Sceglieremo l’opzione più semplice (opzione 1) che prevede il download dei metadati dell’IdP. Questo metodo è molto più veloce, in quanto non dovrete inserire manualmente i metadati dell’IdP e copiare-incollare il certificato x509 in seguito.

Fare clic su “Scarica metadati” per iniziare.

Quindi, scorrere fino in fondo.

Fare clic su “Continua”.

Nella pagina successiva, verrà visualizzato un modulo per i dettagli del vostro fornitore di servizi.

Nel nostro caso, si tratta del nostro sito web WordPress con l’aiuto di miniOrange.

Ora, tornate alla vostra dashboard di WordPress, dove avete lasciato aperta la pagina del plugin miniOrange sulla scheda “Metadati del fornitore di servizi”.

Scorrete verso il basso per trovare le informazioni sul vostro fornitore di servizi (URL ACS e ID Entità). Mantenere questa pagina aperta, poiché sarà necessario passare da questa pagina a Google Admin Console.

A questo punto, si torna alla Google Admin Console e si copiano e incollano queste informazioni nei campi corrispondenti.

Assicuratevi di spuntare anche la casella “Risposta firmata”.

Scendendo la pagina, selezionare “EMAIL” per il formato dell’ID del nome e scegliere “Informazioni di base > Email principale” per l’ID del nome.

Quindi, fare clic su “Continua”.

Il passo successivo consiste nell’aggiungere i campi utente e nel mapparli tra Google Directory e il sito WordPress (plugin miniOrange).

Si tratta essenzialmente di scegliere quali informazioni dagli account di Google vengono trasferite al vostro sito WordPress.

Fare clic su ‘Add Mapping’ per iniziare. Aggiungiamo il campo ‘Nome’ di Google e mappiamolo sull’attributo ‘firstname’.

Una volta completata la mappatura dei campi desiderati, scorrere verso il basso.

Quindi, fare clic su “Fine”.

A questo punto si aprirà la pagina dell’app SAML personalizzata nella Admin Console di Google.

L’ultimo passo consiste nell’attivazione dell’applicazione per gli utenti. Fate quindi clic su “Off per tutti”.

Ora, è sufficiente impostare l’opzione “On per tutti”.

Infine, hit “Salva” per finalizzare la configurazione.

Passo 3: Configurare le impostazioni di WordPress SAML SSO

Torniamo alla pagina del plugin SSO di miniOrange nell’area di amministrazione di WordPress.

Ora, passate alla scheda “Configurazione del fornitore di servizi” e selezionate “Google Apps”.

Scorrete verso il basso e navigate fino alla scheda “Upload IDP Metadata”.

Qui è necessario inserire il nome del provider di identità (probabilmente qualcosa come “GoogleApps”) e caricare il file XML scaricato in precedenza dalla Google Admin Console.

Una volta compilato tutto, cliccate su “Uploader”.

Congratulazioni! Il blog WordPress è stato collegato con successo all’IdP SAML di Google Apps. Ora configuriamo alcune impostazioni aggiuntive.

Per prima cosa, passare alla scheda “Mappatura attributi/ruoli”.

Qui è possibile definire il modo in cui le informazioni sugli utenti di Google Apps vengono mappate negli account utente di WordPress.

Scendere alla sezione “Mappatura dei ruoli” e selezionare il ruolo utente predefinito che si desidera assegnare ai nuovi utenti che accedono utilizzando il SAML SSO.

In questo esempio, abbiamo selezionato “Editor”. Una volta effettuata la scelta, fare clic su “Aggiorna”.

Passare quindi alla scheda “Reindirizzamenti e link SSO”.

Qui è possibile aggiungere un pratico pulsante per l’accesso singolo alla pagina di accesso di WordPress per comodità dell’utente.

Assicuratevi che l’opzione “Aggiungi un pulsante Single Sign-on alla pagina di accesso di WordPress” sia abilitata.

Questa piccola modifica aggiungerà un pulsante “Accedi con [nome del fornitore di identità]” alla schermata di accesso di WordPress, rendendo più facile per gli utenti effettuare l’accesso con le credenziali esistenti di Google Apps.

Ecco come si presenta il nostro:

WordPress SAML Single Sign-On: domande frequenti

Abbiamo coperto i passaggi per configurare WordPress SAML SSO, ma potreste avere ancora qualche domanda. Vediamo alcune di quelle più comuni:

SAML e SSO sono la stessa cosa?

No, SAML e SSO non sono la stessa cosa. SAML (Security Assertion Markup Language) è un protocollo specifico utilizzato per implementare SSO.

Esistono altri modi per ottenere l’SSO oltre all’uso di SAML. Tuttavia, SAML è un’opzione popolare e sicura per implementare l’SSO in una varietà di applicazioni, tra cui WordPress.

Qual è la differenza tra SAML SSO e un accesso con un clic con un plugin?

Sì, esistono plugin per l’accesso a WordPress che offrono la funzionalità “one-click”, un’opzione molto più semplice rispetto a SAML SSO.

La differenza principale sta nel loro funzionamento. SAML SSO richiede la creazione di un’app personalizzata nella console di amministrazione di Google per la comunicazione sicura. È necessaria una maggiore configurazione, ma offre più sicurezza e una gestione centralizzata degli utenti.

D’altra parte, i plugin per l’accesso con un clic utilizzano protocolli esistenti come OAuth per connettersi a servizi come Google. Non sono necessari i privilegi di amministratore di Google, ma potrebbero non offrire lo stesso livello di sicurezza di SAML SSO.

SSO e accesso sociale sono la stessa cosa?

Il social login è un tipo di SSO che consente agli utenti di accedere al vostro sito WordPress utilizzando le credenziali dei social media esistenti (come Facebook). SAML SSO, invece, è un’opzione più sicura e flessibile che può essere utilizzata con una gamma più ampia di fornitori di identità, non solo con le piattaforme dei social media.

Per ulteriori informazioni sull’add-on delle opzioni di accesso sociale al vostro sito WordPress, potete fare riferimento alla nostra guida su come aggiungere un accesso sociale in WordPress.

Suggerimenti per la sicurezza di WordPress per rendere l’accesso più sicuro

Sebbene l’accesso SAML SSO sia abbastanza sicuro, ecco alcuni suggerimenti aggiuntivi che potete implementare per rafforzare ulteriormente la sicurezza di WordPress:

• Imporre password forti agli utenti di WordPress.
• Abilitate l’autenticazione a due fattori (2FA) per un ulteriore livello di protezione.
• Limitare il numero di tentativi di accesso per prevenire gli attacchi brute-force.
• Tenete d’occhio i tentativi di accesso sospetti monitorando gli accedi.
• Limitare l’accesso all’area di amministrazione di WordPress in base all’indirizzo IP.
• Eseguite un normale backup del vostro sito WordPress in caso di violazioni della sicurezza.
• Tenete aggiornati il core, i plugin e i temi di WordPress per indirizzare eventuali vulnerabilità di sicurezza.
• Forzare il logout di tutti gli utenti e far loro cambiare le password in WordPress di tanto in tanto.

Speriamo che questo articolo vi abbia aiutato a capire come impostare SAML SSO in WordPress. Potreste anche voler dare un’occhiata alla nostra guida su come ottenere un certificato SSL gratuito per il vostro sito web e alla nostra scelta di esperti dei plugin WordPress indispensabili per far crescere il vostro sito web.

Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.