Configura SSO

SSO aziendale in Acumbamail

Che cos’è l’SSO e a cosa serve?

Il Single Sign-On (SSO) aziendale consente di limitare l’accesso alle tue landing page in modo che possano visualizzarle solo gli utenti appartenenti alla tua organizzazione. Invece di condividere una password generica, ogni persona si autentica con il proprio account aziendale Microsoft o Google, garantendo così che solo dipendenti o collaboratori autorizzati accedano al contenuto.

Questo è particolarmente utile per landing page con contenuti interni dell’azienda, materiali riservati, documentazione privata o comunicazioni destinate esclusivamente ai dipendenti.

Questa funzionalità è disponibile nei piani Pro ed Enterprise di Acumbamail.


Concetti preliminari

Prima di iniziare con la configurazione, è importante capire di quali dati avrai bisogno. Tutti questi valori si ottengono dal portale del tuo provider di identità (Microsoft Entra o Google Cloud Console) e vengono poi inseriti in Acumbamail.

Tenant ID — L’identificatore univoco della tua organizzazione in Microsoft. Nel portale Microsoft appare come "ID tenant". È necessario solo per Microsoft e si trova nella pagina principale di Microsoft Entra ID.

Client ID — L’identificatore dell’applicazione che registri per l’SSO. Microsoft lo chiama "ID applicazione (client)". Si trova nella scheda dell’applicazione registrata, sia in Microsoft Entra sia in Google Cloud Console.

Client Secret — Una chiave segreta che consente ad Acumbamail di comunicare in modo sicuro con il tuo provider. Funziona come una password dell’applicazione. Viene generata nella sezione delle credenziali dell’applicazione. È importante copiarla al momento della creazione, poiché in seguito non sarà più possibile consultarla.

Domini consentiti — I domini email della tua organizzazione. Solo gli utenti il cui indirizzo email appartiene a uno di questi domini potranno accedere alla landing. Li definisci tu (ad esempio: miempresa.com  ). Se hai diversi domini aziendali, puoi separarli con virgole: miempresa.com, filial.com  .


Configurare l’SSO con Microsoft (Entra ID / Azure AD)

Microsoft Entra ID (precedentemente noto come Azure Active Directory) è il servizio di identità più comune nelle organizzazioni che usano Microsoft 365. La configurazione si effettua in due parti: prima si registra un’applicazione nel portale Microsoft e poi si inseriscono i dati in Acumbamail.

Registrare l’applicazione in Microsoft Entra

Affinché Acumbamail possa autenticare gli utenti della tua organizzazione, è necessario registrare un’applicazione nel portale Microsoft Entra. Questa applicazione funge da ponte tra Acumbamail e il servizio di identità della tua azienda.

Accedi al portale Microsoft Entra all’indirizzo https://entra.microsoft.com e cerca la sezione Registrazioni app all’interno di Identità > Applicazioni. Da lì, crea una nuova registrazione con i seguenti dati:

  • Assegnale un nome descrittivo che ti aiuti a identificarla in seguito, ad esempio "Acumbamail SSO" o "SSO Landing Pages".
  • In tipi di account supportati, seleziona l’opzione che limita l’accesso agli account della tua directory organizzativa ("Solo account in questa directory organizzativa").
  • In URI di reindirizzamento, seleziona il tipo Web e inserisci l’URL di callback di Acumbamail. Questo URL è dove Microsoft invierà l’utente dopo l’autenticazione:

https://<dominio o sottodominio in acumbamail>/page/sso/callback/  

Se utilizzi un dominio personalizzato per Acumbamail, sostituisci <dominio o sottodominio in acumbamail>   con il tuo dominio. Se utilizzi un sottodominio di Acumbamail, sostituisci <dominio o sottodominio in acumbamail>  con il tuo sottodominio.

Ottenere il Tenant ID

Il Tenant ID identifica la tua organizzazione all’interno di Microsoft. Per trovarlo, accedi alla pagina di panoramica della tua directory in Microsoft Entra.

In questa schermata vedrai un campo chiamato ID tenant (o Tenant ID se il tuo portale è in inglese). Copia questo valore.

Non confondere il Tenant ID con l’Object ID. Il Tenant ID identifica l’intera organizzazione, mentre l’Object ID identifica una risorsa specifica (un’applicazione, un utente, un gruppo). Quello di cui hai bisogno è il Tenant ID.

Ottenere il Client ID

Il Client ID si trova nella pagina principale dell’applicazione che hai appena registrato. All’interno di Registrazioni app, seleziona la tua applicazione. Nella sezione Panoramica, vedrai il campo ID applicazione (client). Copia questo valore.

Generare il Client Secret

Il Client Secret è una chiave che consente ad Acumbamail di dimostrare la propria identità a Microsoft. Per generarlo, all’interno della configurazione della tua applicazione cerca la sezione Certificati e segreti nel menu laterale.

Fai clic su Nuovo segreto client, assegnagli una descrizione (ad esempio "Acumbamail SSO") e seleziona un periodo di validità. Alla conferma, verrà mostrata una tabella con il nuovo segreto.

Molto importante: copia immediatamente il campo Valore. Questo è il tuo Client Secret e Microsoft lo mostra una sola volta. Se chiudi la pagina senza copiarlo, dovrai crearne uno nuovo. Il campo "ID segreto" che appare accanto al Valore è un identificatore interno di Microsoft e non viene usato in Acumbamail.

Configurare le autorizzazioni dell’applicazione

Affinché l’autenticazione funzioni correttamente, l’applicazione necessita delle autorizzazioni per leggere le informazioni di base dell’utente. All’interno della configurazione della tua applicazione in Entra, vai alla sezione Autorizzazioni API e assicurati che siano state concesse le seguenti autorizzazioni delegate di Microsoft Graph:

  • openid   — consente l’autenticazione tramite OpenID Connect
  • profile   — accesso al nome dell’utente
  • email   — accesso all’indirizzo email

Se queste autorizzazioni non sono concesse per tutta l’organizzazione, fai clic su Concedi consenso amministratore per attivarle.

Inserire i dati in Acumbamail

Una volta ottenuti tutti i dati, vai su Acumbamail e accedi alla configurazione SSO. Nel menu laterale, espandi Il mio account e fai clic su Preferenze. Nella barra delle schede superiore, seleziona SSO.

Fai clic su Aggiungi SSO e compila il modulo:

  • Provider: Microsoft (Azure AD)
  • Nome: Un nome che ti aiuti a identificare questa configurazione (es.: "Microsoft SSO aziendale")
  • Tenant ID: L’ID tenant che hai copiato dal portale Entra
  • Client ID: L’ID applicazione (client) della tua applicazione registrata
  • Client Secret: Il Valore del segreto client che hai generato
  • Domini consentiti: Il dominio email della tua organizzazione (es.: miempresa.com  )

Fai clic su Salva per completare la configurazione.



Configurare l’SSO con Google

Se la tua organizzazione utilizza Google Workspace (precedentemente G Suite), puoi configurare l’SSO affinché gli utenti si autentichino con il proprio account aziendale Google. La configurazione si effettua da Google Cloud Console.

Creare un progetto e configurare OAuth

Accedi a Google Cloud Console e seleziona un progetto esistente o creane uno nuovo. All’interno del progetto, vai a API e servizi > Credenziali.

Prima di creare le credenziali, è necessario configurare la schermata di consenso OAuth. Questa schermata è quella che vedranno gli utenti quando si autenticheranno per la prima volta. Nella sezione corrispondente:

  • Seleziona il tipo Interno, che limita l’accesso esclusivamente agli utenti della tua organizzazione Google Workspace. Questo è importante: se selezioni "Esterno", qualsiasi account Google potrebbe tentare di autenticarsi (anche se il filtro dei domini di Acumbamail li bloccherebbe comunque).
  • Compila il nome dell’applicazione (es.: "Acumbamail SSO") e un’email di contatto.
  • Nella sezione Autorizzazioni (Scopes), aggiungi openid  , email   e profile  . Queste autorizzazioni consentono ad Acumbamail di conoscere l’identità e l’indirizzo email dell’utente.

Creare le credenziali OAuth 2.0

Una volta configurata la schermata di consenso, vai a Credenziali > Crea credenziali > ID client OAuth. Seleziona il tipo Applicazione web e assegnale un nome descrittivo.

Nella sezione URI di reindirizzamento autorizzati, aggiungi l’URL di callback di Acumbamail:

https://<dominio o sottodominio acumbamail>/page/sso/callback/  

Alla conferma della creazione, Google mostrerà il Client ID e il Client Secret. Copia entrambi i valori. A differenza di Microsoft, Google consente di consultare questi dati in seguito dalla pagina della credenziale, ma è buona norma copiarli al momento.

Inserire i dati in Acumbamail

In Acumbamail, vai a Il mio account > Preferenze > SSO e fai clic su Aggiungi SSO. Seleziona Google come provider. Vedrai che il modulo non mostra il campo Tenant ID, poiché Google non ne ha bisogno.

Compila i campi:

  • Nome: Un nome descrittivo (es.: "Google SSO aziendale")
  • Client ID: Il Client ID fornito da Google Cloud Console
  • Client Secret: Il Client Secret fornito da Google Cloud Console
  • Domini consentiti: Il dominio email del tuo Google Workspace (es.: miempresa.com  )

Fai clic su Salva per completare la configurazione.



Proteggere una landing page con SSO

Una volta configurato almeno un provider SSO, puoi applicare la protezione a qualsiasi landing page. Il processo si effettua dall’editor della landing stessa.

Attivare la protezione

Accedi a Siti web nel menu laterale di Acumbamail e seleziona la landing page che desideri proteggere. Nel primo passaggio dell’editor (**Configurazione**), troverai una sezione intitolata "Accesso solo con SSO aziendale" con la descrizione: "Potranno accedere solo utenti autenticati nell’SSO della tua azienda".

Attiva l’interruttore impostandolo su . Così facendo, apparirà un menu a discesa con i provider SSO che hai configurato, affinché tu possa selezionare quale utilizzare per questa landing.

Se non hai ancora configurato alcun provider, al posto del menu a discesa vedrai un link che dice "Non hai provider SSO configurati. Configurane uno qui" e che ti porterà direttamente alla schermata di configurazione SSO.

Dopo aver selezionato il provider, salva le modifiche con Salva bozza o continua al passaggio successivo dell’editor.

Cosa succede quando un utente accede alla landing?

Quando qualcuno prova a visitare una landing protetta con SSO, Acumbamail verifica se ha già una sessione SSO attiva. In caso contrario, viene reindirizzato automaticamente alla pagina di accesso del provider configurato (la schermata di login di Microsoft o Google, a seconda del caso).

L’utente inserisce le proprie credenziali aziendali come farebbe normalmente per accedere a qualsiasi altro servizio della sua azienda. Una volta autenticato, il provider reindirizza l’utente ad Acumbamail, che convalida la risposta verificando tre elementi:

  • Che il token di autenticazione sia autentico e non sia stato manipolato.
  • Che il dominio dell’indirizzo email dell’utente sia incluso nell’elenco dei Domini consentiti del provider.
  • Che il token non sia scaduto.

Se tutte le convalide sono corrette, l’utente accede normalmente alla landing page. Se una qualsiasi fallisce (ad esempio, se l’utente si è autenticato con un account personale invece che con quello aziendale), viene mostrata una pagina di errore che spiega il motivo.

Durata della sessione

La sessione SSO rimane attiva finché il token di autenticazione non scade. La durata dipende dalla configurazione del provider di identità (Microsoft o Google), ma di solito è compresa tra 1 e 24 ore. Una volta scaduta, l’utente dovrà autenticarsi di nuovo la prossima volta che accederà alla landing.


Gestire i provider SSO

Modificare un provider esistente

Dalla schermata Il mio account > Preferenze > SSO, ogni provider appare elencato con i suoi dati principali e pulsanti per modificarlo o eliminarlo. Quando modifichi un provider, puoi cambiare qualsiasi campo. Il Client Secret è facoltativo durante la modifica: se lo lasci vuoto, viene mantenuto il valore attuale. Questo è utile se devi cambiare solo il nome o i domini consentiti senza dover cercare di nuovo il segreto.

Eliminare un provider

Puoi eliminare un provider SSO purché non sia assegnato ad alcuna landing page. Se provi a eliminare un provider in uso, Acumbamail te lo impedirà con un messaggio di errore. In tal caso, dovrai prima accedere a ogni landing che utilizza quel provider, disattivare la protezione SSO e poi riprovare l’eliminazione.

Usare più provider

Acumbamail consente di configurare più provider SSO contemporaneamente. Questo è utile in situazioni come:

  • Un’azienda che usa Microsoft per il proprio team interno ma Google Workspace per una filiale.
  • Diverse landing page rivolte a pubblici differenti, ciascuno con il proprio provider di identità.
  • Mantenere un provider di backup durante la migrazione da un sistema di identità a un altro.

Ogni landing page è associata a un unico provider, ma landing diverse possono usare provider differenti.


Domini consentiti

Il campo Domini consentiti è l’elemento chiave di sicurezza dell’SSO in Acumbamail. Anche se un utente si autentica correttamente con Microsoft o Google, Acumbamail verificherà che il dominio del suo indirizzo email corrisponda a uno dei domini configurati nel provider.

Ad esempio, se configuri acumbamail.com   come dominio consentito, un utente con l’email juan@acumbamail.com   potrà accedere, ma qualcuno con juan@gmail.com   verrà rifiutato anche se riesce ad autenticarsi (cosa che non dovrebbe accadere se hai configurato correttamente il provider come "Interno" o "Tenant singolo").

Puoi specificare più domini separandoli con virgole. Questo è comune nelle organizzazioni con più domini aziendali:

miempresa.com, miempresa.es, filial.com  


Considerazioni sulla sicurezza

L’SSO di Acumbamail è implementato seguendo il protocollo OpenID Connect (OIDC) con flusso di codice di autorizzazione, che è lo standard di settore per l’autenticazione delegata. Alcuni dettagli tecnici rilevanti:

  • I Client Secret vengono archiviati cifrati nel database di Acumbamail mediante crittografia simmetrica (Fernet). Non vengono mai archiviati in testo semplice.
  • Ogni flusso di autenticazione genera un parametro state (protezione contro CSRF) e un nonce (protezione contro attacchi di replay), entrambi convalidati al completamento del processo.
  • I token JWT ricevuti dal provider vengono convalidati con le chiavi pubbliche JWKS del provider, assicurando che non siano stati falsificati.
  • L’URI di reindirizzamento configurato nel provider deve coincidere esattamente con l’URL di callback di Acumbamail. Se non coincidono, il provider rifiuterà la richiesta di autenticazione.
  • Gli stati di autenticazione scaduti vengono eliminati automaticamente dopo 10 minuti per evitare l’accumulo di sessioni obsolete.

Risoluzione dei problemi

"Non ci sono provider SSO configurati"

Questo messaggio appare quando provi ad attivare l’SSO su una landing page ma non hai ancora creato alcun provider. Accedi a Il mio account > Preferenze > SSO e crea almeno un provider prima di attivare la protezione.

Errore durante l’autenticazione

Se quando provi ad accedere a una landing protetta appare un errore generico, è molto probabile che uno dei dati del provider sia errato. Verifica in particolare:

  • Che il Client ID corrisponda all’applicazione corretta.
  • Che il Client Secret sia il Valore (non l’ID segreto) e che non sia scaduto.
  • Che il Tenant ID (in Microsoft) sia quello della tua organizzazione (ID tenant), non l’Object ID dell’applicazione.
  • Che l’URI di reindirizzamento configurato nel provider coincida esattamente con https://<dominio o sottodominio acumbamail>/page/sso/callback/  .

Accesso negato dopo essersi autenticati correttamente

L’utente si è autenticato correttamente, ma il suo dominio email non è nell’elenco dei domini consentiti. Controlla il campo Domini consentiti del provider e assicurati che includa il dominio dell’email dell’utente.

Impossibile eliminare un provider

Questo accade quando il provider è assegnato a una o più landing page. Disattiva prima l’SSO in tutte le landing che lo usano (impostando l’interruttore su NO nella loro Configurazione) e poi potrai eliminarlo.

Il Client Secret è scaduto

Sia Microsoft sia Google consentono di impostare una data di scadenza per i Client Secret. Se il segreto scade, gli utenti non potranno autenticarsi. Genera un nuovo segreto nel portale del provider, modifica il provider in Acumbamail e aggiorna il campo Client Secret con il nuovo valore.

Hai ancora bisogno di aiuto? Contattaci Contattaci