Configurare l'accesso Single Sign-On (SSO) per l'account ActiveCampaign

Se sei un admin del tuo account ActiveCampaign, puoi configurare il Single Sign-On (SSO) per gli utenti del tuo account. La configurazione del servizio SSO è un modo per consentire a tutti gli utenti di accedere a un server aziendale o a un provider di identità di terze parti per accedere al proprio account ActiveCampaign. Una combinazione di nome utente e password può ancora essere utilizzata per l'accesso all'account.

Prendi nota

• Qualsiasi utente nel gruppo Admin può configurare il servizio SSO in ActiveCampaign
• È necessario disporre di un provider di identità configurato per l'azienda
• Questa versione di SSO funziona con qualsiasi provider SAML, inclusi ma non limitati a: Okta, Auth0, Azure AD
• L'attivazione del servizio SSO non influirà sull'autenticazione a due fattori per il tuo account
• Una volta configurato, verifica le impostazioni di Single Sign-On prima di disconnetterti da ActiveCampaign. Impostazioni errate possono causare il blocco dell'account
• Avviso di sicurezza: poiché il provider di identità (OneLogin) mantiene gli accessi degli utenti SSO e passa le credenziali ad ActiveCampaign, l'organizzazione potrebbe anche voler aumentare la sicurezza e richiedere una nuova autenticazione a ogni accesso

Come funziona

Per configurare il servizio SSO, collega il tuo account ActiveCampaign a un provider di identità esterno tramite il protocollo SAML. Ciò consente di utilizzare la gestione utenti esistente o il fornitore IDaaS (Identity as a Service) per accedere all'account ActiveCampaign. Questo passaggio viene completato nel tuo account ActiveCampaign.

Durante la configurazione nel tuo account ActiveCampaign, puoi personalizzare ulteriormente il modo in cui i tuoi utenti accedono scegliendo uno dei seguenti "Metodi di accesso":

1. Accesso ibrido
   Questa opzione consente agli utenti di utilizzare SSO o email e password al momento dell'accesso.
2. Applica Single Sign-On
   Questa opzione richiede agli utenti di utilizzare SSO al momento dell'accesso. Non avranno la possibilità di utilizzare email e password per accedere.

Una volta configurato, ci sono due modi in cui gli utenti del tuo account possono accedere all'account ActiveCampaign della tua azienda:

1. Accesso avviato dal provider di
   identità Gli utenti possono accedere al server aziendale o al provider di identità di terze parti. Una volta lì, possono fare clic sul riquadro ActiveCampaign. Una volta cliccato, l'utente viene reindirizzato alla pagina Marketing Dashboard nel proprio account ActiveCampaign.
2. Accesso avviato
   dal fornitore di servizi L'utente può accedere alla pagina di accesso per il proprio account ActiveCampaign. Una volta lì, l'utente può fare clic su un pulsante che dice "Accedi con [nome del provider di identità]". Questa azione reindirizza l'utente alla pagina di accesso per il server aziendale o il provider di identità di terze parti dell'azienda. Una volta effettuato l'accesso, l'utente viene reindirizzato alla pagina Marketing Dashboard nel proprio account ActiveCampaign.

Istruzioni generali per il provider di identità basato su SAML

1. Accedi all'account del tuo provider di identità e crea una nuova applicazione.
2. Apri una nuova scheda o finestra e accedi al tuo account ActiveCampaign come admin.
3. In ActiveCampaign, fai clic su Impostazioni (icona a forma di ingranaggio), quindi fai clic su Sicurezza.
4. Trova la casella Single Sign-On e fai clic sull'interruttore per impostarla sulla posizione "On"
5. Scegli il tuo "Metodo di accesso" (link alla sezione Come funziona) facendo clic sul menu a discesa.
6. Digitare il nome del provider di identità nel campo "Nome del provider di accesso sicuro".
7. Copia l'URL di accesso e incollalo nell'account del tuo provider di identità, se necessario.
8. Copia l'URI del pubblico (SP Entity ID) e incollalo nell'account del tuo provider di identità, se necessario.
9. Nell'account del tuo provider di identità, trova i metadati SAML. Copia i metadati e incollali nel campo "Metadati SAML" in ActiveCampaign.
10. Fare clic sul pulsante "Salva" in ActiveCampaign.

Configurazione SSO con Okta

Questa configurazione viene completata sia nel tuo account ActiveCampaign che in Okta.

1. Accedi al tuo account ActiveCampaign.
2. Fai clic su "Impostazioni", quindi fai clic su "Sicurezza".
3. Fai clic sull'interruttore "Single Sign-On" per impostarlo sulla posizione "On".
4. Scegli il tuo "Metodo di accesso" (link alla sezione Come funziona) facendo clic sul menu a discesa.
5. In questa pagina sono presenti due valori precompilati per "URL di accesso" e "ID entità SP". Questi valori sono necessari per la configurazione SSO in Okta.
6. Apri una nuova finestra o scheda nel browser. Accedi alla tua organizzazione Okta. Potrebbe essere necessario collaborare con l'admin IT per completare questa parte della configurazione.
7. Passare all'interfaccia utente di amministrazione. Segui le istruzioni di Okta per configurare un'app SAML in Okta.
   • Per "SINGLE SIGN-ON URL" incollare il valore "Sign-on URL" da ActiveCampaign
   • Per "URI pubblico (ID entità SP)", incolla il valore "ID entità SP" da ActiveCampaign
   • Obbligatorio: impostare il formato ID nome su "EmailAddress"
   • Facoltativo: configurare le istruzioni degli attributi. Ciò consente a SSO di impostare automaticamente il nome e il cognome di un utente quando il suo account viene creato dinamicamente. Questi campi nome fanno distinzione tra maiuscole e minuscole
8. Una volta completata la configurazione di Okta, fai clic su "Visualizza istruzioni di configurazione".
9. Sotto "Facoltativo" ci sono i metadati IDP. Copiare i metadati.
10. Torna al tuo account ActiveCampaign
    • Incolla i metadati nella casella "Metadati SAML"
    • Aggiorna il "Nome del provider di accesso sicuro". Ad esempio, "Okta Single Sign-On"
11. Fai clic su "Salva impostazioni".

La pagina di accesso al tuo account ActiveCampaign visualizzerà un accesso ibrido SSO.

Configurazione SSO con Auth0

Questa configurazione viene completata sia nell'account ActiveCampaign che in Auth0. Per completare questa configurazione è necessario un piano Auth0 Enterprise.

Segui le istruzioni di Auth0 per configurare un'app SAML.

1. Accedi al tuo account ActiveCampaign.
2. Fai clic su "Impostazioni", quindi fai clic su "Sicurezza".
3. Fai clic sull'interruttore "Single Sign-On" per impostarlo sulla posizione "On".
4. Scegli il tuo "Metodo di accesso" (link alla sezione Come funziona) facendo clic sul menu a discesa.
5. In questa pagina sono presenti due valori precompilati per "URL di accesso" e "ID entità SP". Questi valori sono necessari per la configurazione di SSO in Auth0.
6. Apri una nuova finestra o scheda nel browser. Accedi alla tua organizzazione Auth0. Potrebbe essere necessario collaborare con l'admin IT per completare questa parte della configurazione.
7. In Auth0, creare o modificare un'applicazione esistente. Verificare che, in "Impostazioni":
   • "Tipo di applicazione" è impostato su "Applicazione Web normale"
   • "Metodo di autenticazione dell'endpoint token" è impostato su "POST"
   • È inoltre possibile modificare facoltativamente il "Nome applicazione" e l'icona mostrata agli utenti qui sotto "Informazioni di base"
8. In Addon: SAML2 Web App, nella scheda "Impostazioni":
   • Impostare gli "URL di callback dell'applicazione" appropriati dall'"URL di accesso" sul sito Web ActiveCampaign
   • In Impostazioni:
     • Decommenta "audience" e modifica il valore predefinito da "urn:foo" a "SP Entity ID" dal sito Web di ActiveCampaign
     • Decommenta "logout" e imposta "callback a https://.activehosted.com/admin/index.php?action=logout
     • Puoi anche eseguire ulteriori mappature dei campi qui. ActiveCampaign supporta "email", "firstName" e "lastName"
     • Fai clic su "Debug" per avviare una nuova finestra del browser per visualizzare un esempio del prompt di accesso
   • Nella scheda "Utilizzo", fai clic su "Download" dopo "Metadati del provider di identità". Salva questo file
9. Apri il file XML con il tuo editor di testo preferito e copia il contenuto del file negli appunti.
10. Nel tuo account ActiveCampaign:
    • Incollare il contenuto del file XML nel campo "Metadati SAML".
    • Aggiorna il "Nome del provider di accesso sicuro". Ad esempio, è possibile utilizzare "Auth0".
    • Fare clic sul pulsante "Salva impostazioni".

Configurazione SSO con Azure AD

Questa configurazione viene completata sia nell'account ActiveCampaign che in Azure AD. Per completare questa configurazione è necessario un piano di Azure AD Enterprise.

1. Accedi al tuo account ActiveCampaign.
2. Fai clic su "Impostazioni", quindi fai clic su "Sicurezza".
3. Fai clic sull'interruttore "Single Sign-On" per impostarlo sulla posizione "On".
4. Scegli il tuo "Metodo di accesso" (link alla sezione Come funziona) facendo clic sul menu a discesa.
5. In questa pagina sono presenti due valori precompilati per "URL di accesso" e "ID entità SP". Questi valori sono necessari per la configurazione di SSO in Azure AD.
6. Apri una nuova finestra o scheda nel browser. Accedere al portale tenant di Azure AD. Potrebbe essere necessario collaborare con l'admin IT per completare questa parte della configurazione.
7. Cerca "Applicazione aziendale" e fai clic sul link corrispondente.
8. Fai clic sull'opzione "Nuova applicazione".
9. Fai clic su "Crea la tua applicazione".
10. Completare i seguenti campi durante la creazione dell'applicazione:
    • Assegna all'applicazione .activehosted.com
    • Seleziona l'opzione "Non galleria"
    • Fai clic sul pulsante "Crea".
11. Nella pagina "Utenti e gruppi" per il portale di Azure AD fare clic sul collegamento "Single Sign-On". Questo è sotto "Gestisci".
12. Fai clic sull'opzione "SAML".
13. Fai clic su "Modifica" per la configurazione SAML di base.
14. Completare le operazioni seguenti:
    • Copiare il valore "Single Sign-On URL" da ActiveCampaign e incollarlo nel campo "URL di risposta (URL del servizio consumer di asserzione)" in Azure AD
    • Copiare il valore URI del gruppo di destinatari (SP Entity ID) da ActiveCampaign e incollarlo nel campo Identifier (ID entità) in Azure AD
    • In Azure AD impostare il valore url di disconnessione suhttps://.activehosted.com/admin/index.php?action=logout
    • Fai clic su "Salva"
      

      L'ordine dei campi è diverso in ActiveCampaign e Azure.

15. Dalla pagina di accesso basata su SAML in Azure AD fare clic sul collegamento "Download". Fai clic sul link "Download" accanto a "Xml dei metadati federativi" in "Certificato di firma SAML".
16. Apri il file XML con il tuo editor di testo preferito e copia il contenuto del file negli appunti.
17. Nel tuo account ActiveCampaign:
    • Incollare il contenuto del file XML nel campo "Metadati SAML".
18. Aggiorna il "Nome del provider di accesso sicuro". Ad esempio, è possibile usare "Single Sign-On di Azure AD"
19. Fai clic sul pulsante "Salva impostazioni".

Testare le impostazioni SSO

1. Passare alla pagina "Accesso basato su SAML" nel portale di Azure AD.
2. Scorri fino in fondo alla pagina e fai clic sul pulsante "Test".

Se riscontri errori, esegui nuovamente questi passaggi. Se non riesci a risolvere gli errori, contatta il nostro team di Esperienza del Cliente per assistenza futura.

Configurazione SSO con OneLogin

Questa configurazione viene completata sia nel tuo account ActiveCampaign che in OneLogin.

1. Accedi al tuo account ActiveCampaign.
2. Fai clic su "Impostazioni", quindi fai clic su "Sicurezza".
3. Fai clic sull'interruttore "Single Sign-On" per impostarlo sulla posizione "On".
4. Scegli il tuo "Metodo di accesso" (link alla sezione Come funziona) facendo clic sul menu a discesa.
5. In questa pagina sono presenti due valori precompilati per "URL di accesso" e "ID entità SP". Questi valori sono necessari per la configurazione SSO in OneLogin.
6. Apri una nuova finestra o scheda nel browser. Accedi alla tua organizzazione OneLogin. Potrebbe essere necessario collaborare con l'admin IT per completare questa configurazione.
7. In OneLogin, crea o modifica un'applicazione esistente. 
8. Sotto "Applicazioni" (nell'header), quindi "Applicazioni":
   • Se è necessario creare un'applicazione (solo la prima volta):
     • Fai clic sul pulsante "Aggiungi app" in alto a destra.
     • Cerca "SAML Custom Connector"
     • Fai clic su "Connettore personalizzato SAML (avanzato)" per creare il nuovo connettore
       • Impostare il "Nome visualizzato" per l'applicazione, ad esempio: "AC SAML2"
       • Facoltativo: caricare icone per l'applicazione
       • Fai clic su "Salva"
   • Nella sezione "Configurazione" (sul lato sinistro):
     • Incolla il valore da ActiveCampaign nel campo "Audience (EntityID)
     • Incolla il valore da ActiveCampaign nel campo "URL ACS (consumer)"
     • Verifica che "l'iniziatore SAML" sia "OneLogin"
     • Verifica che "Formato ID nome SAML" sia "Email"
   • Nella sezione "Parametri" (sul lato sinistro):
     • Valori della mappa da inviare ad ActiveCampaign:
       • Obbligatorio: "NameID value" deve essere "Email"
       • Opzionale: Nome, Cognome, Telefono (aggiunto il 21/02/22)
9. Dopo aver impostato gli URL e i parametri sopra, è necessario scaricare i metadati. Questo si trova sotto il menu a discesa nell'angolo in alto a destra della pagina come "Altri dati":
   • Fai clic su "Metadati SAML" per scaricare il file XML
   • Aprire il file XML con l'editor di testo preferito e copiare il contenuto del file negli appunti
   • Nel tuo account ActiveCampaign:
     • Incollare il contenuto del file XML nel campo "Metadati SAML"
     • Aggiorna il "Nome del provider di accesso sicuro" - esempio: "OneLogin SAML" - questo testo viene visualizzato nel pulsante nella pagina di accesso di ActiveCampaign
     • Fare clic sul pulsante "Salva impostazioni".
10. Prima che gli utenti possano accedere, è necessario assegnarli all'applicazione in OneLogin.
    • Sul sito web di OneLogin - Sotto "Utenti" (in alto a sinistra)
    • Per creare un utente - fai clic sul pulsante "Nuovo utente" (in alto a destra)
      • Obbligatorio (da OneLogin): imposta il valore "Nome"
      • Obbligatorio (da OneLogin): Imposta il valore "Cognome"
      • Obbligatorio (da ActiveCampaign), facoltativo per OneLogin): impostare il valore "Email"
      • Consigliato ma non obbligatorio: imposta "Nome utente" e "Numero di telefono"
      • Fai clic su "Salva utente" in alto a destra.
      • Fai clic su "Applicazioni" sul lato sinistro
        • Fai clic su "+" in alto a destra
        • Scegli il nomedell'applicazione che hai creato in precedenza per "AC SAML OneLogin"
        • Fare clic sul pulsante "Continua"
        • Verificare che i valori corretti siano visualizzati nella modale:
          • "Consenti all'utente di accedere" dovrebbe essere selezionato
          • Il valore "NameID" deve essere l'indirizzo email dell'utente
          • Facoltativamente: "Cognome" e "Nome" vengono compilati. In caso contrario, ActiveCampaign utilizzerà valori predefiniti
          • Fai clic sul pulsante "Salva"
        • Per modificare gli utenti esistenti, fai clic sul loro nome e assicurati che abbiano la corretta "Applicazione" assegnata per la configurazione "Nuovo utente"
        • Ripetere l'operazione per gli altri utenti come richiesto
11. Poiché ActiveCampaign esegue il provisioning degli utenti durante l'accesso SSO iniziale, i dati dell'utente verranno raccolti la prima volta che l'utente tenta di accedere.
    • Se il loro indirizzo email è già noto ad ActiveCampaign, verranno utilizzati i dati e le autorizzazioni del gruppo esistenti
    • Se il suo indirizzo email non è noto ad ActiveCampaign, l'utente verrà aggiunto a un gruppo "Utenti SSO" con autorizzazioni che gli admin dell'account possono configurare  

Configurazione SSO con Google

Per questa configurazione è necessario un account Google Workspace. 

Leggi ulteriori dettagli sulla configurazione dell'applicazione SAML personalizzata con Google. 

1. Accedi al tuo account ActiveCampaign come utente admin.
2. Fai clic su "Impostazioni", quindi fai clic su "Sicurezza".
3. Fai clic sull'interruttore "Single Sign-On" per impostarlo sulla posizione "On".
4. Scegli il tuo "Metodo di accesso" (link alla sezione Come funziona) facendo clic sul menu a discesa.
5. In questa pagina sono presenti due valori precompilati per "URL di accesso" e "ID entità SP". Questi due valori sono necessari per la configurazione del servizio SSO in Google.
6. In un browser separato, vai a https://admin.google.com.
7. Accedi a Google Workspace utilizzando le credenziali di Super-Admin. Questo nome utente non terminerà con @gmail.com.
8. Dalla Console di amministrazione, vai su "App", quindi su "App web e per dispositivi mobili".
9. Seleziona "Aggiungi app", quindi "Aggiungi app SAML personalizzata":
   • Obbligatorio: inserisci un valore per "Nome app"
   • Facoltativo: inserisci un valore per "Descrizione"
   • Facoltativo: seleziona un'icona "App"
   • Fare clic sul pulsante "Continua"
10. Seleziona l'opzione 1: scarica metadati IdP
    • Salvare il file XML sul desktop. Ne avrai bisogno in seguito
    • Fare clic sul pulsante "Continua"
11. Dettagli del fornitore di servizi:
    • Per "URL ACS", incolla il valore da AC "Single Sign-On URL"
    • Per "URI pubblico (ID entità SP)", incolla il valore "ID entità SP" da ActiveCampaign
    • Per "Formato ID nome", seleziona "EMAIL" dall'elenco a discesa.
    • Per "ID nome", verificare che il valore sia "Informazioni di base > indirizzo email principale"
    • Fare clic sul pulsante "Continua"
12. Attributi:
    • Sebbene facoltativo, si consiglia quanto segue, fare clic su "Aggiungi mappatura" per aggiungere ciascuno di essi:
      • "Nome" - Nome
      • "Cognome" - Cognome
      • "Email principale" - Email
      • "Numero di telefono" - Telefono
    • Fare clic sul pulsante "Fine".
13. Torna nel tuo account ActiveCampaign:
    • Imposta "Nome del provider di accesso sicuro", ad esempio: "SSO SAML di Google"
    • Incolla i "metadati SAML" dal file XML scaricato da Google IdP
    • Fare clic su "Salva impostazioni".
14. Tornando a Google, assicurati di aver abilitato gli utenti per l'app SAML.
15. Poiché ActiveCampaign (attualmente) esegue il provisioning degli utenti durante l'accesso SSO iniziale, i dati utente verranno raccolti la prima volta che un utente tenta di accedere.
    • Se il loro indirizzo email è già noto ad AC, verranno utilizzati i dati e le autorizzazioni del gruppo esistenti
    • Se il suo indirizzo email non è noto ad AC, l'utente verrà aggiunto a un gruppo "Utenti SSO" con autorizzazioni che gli admin dell'account possono configurare
16. Messaggi di errore di Google:
    
    • "Errore: app_not_configured_for_user" (HTTP 403)
      • Problema: questo è stato visto durante l'accesso SSO se l'utente utilizza Google Chrome come utente diverso da uno autorizzato a utilizzare SSO per l'applicazione
      • Soluzione: vai su https://myaccount.google.com/, fai clic sull'icona nell'angolo in alto a destra e aggiungi o seleziona l'utente corretto prima di provare a utilizzare nuovamente SSO su ActiveCampaign
      • Verifica: utilizza la modalità di navigazione in incognito o un browser diverso
    • Per ulteriori informazioni sugli errori, consulta la pagina dei messaggi di errore dell'app SAML