Skip to main content

Comandi consentiti

LogicalDOC si basa su una serie di comandi esterni per implementare funzionalità come l'anteprima del documento o l'OCR. Puoi anche eseguire qualsiasi comando esterno dall'interno dell'Automazione.

Per migliorare la sicurezza, possono essere eseguiti solo i comandi elencati nel file <LDOC_HOME>/conf/allowed-commands.txt. Questo è un file di testo che puoi modificare facilmente e il formato è molto semplice: ogni riga rappresenta il percorso completo di un comando consentito.

Un semplice allowed-commands.txt ha questo aspetto:

C:\LogicalDOC\imagemagick\convert.exe
C:\LogicalDOC\ghostscript\bin\gs.exe
C:\LogicalDOC\openssl\bin\openssl.exe
C:\LogicalDOC\clamav\clamscan.exe
C:\LogicalDOC\tesseract\tesseract.exe

Se vuoi consentire tutti i comandi possibili, puoi inserire la riga speciale *:

*
C:\LogicalDOC\imagemagick\convert.exe
C:\LogicalDOC\ghostscript\bin\gs.exe
C:\LogicalDOC\openssl\bin\openssl.exe
C:\LogicalDOC\clamav\clamscan.exe
C:\LogicalDOC\tesseract\tesseract.exe

Single Sign-On SAML

Il Single Sign-On (SSO) consente agli utenti di accedere a più applicazioni con un unico ID utente e password senza dover reinserire le proprie credenziali. Lo standard SAML consente ai fornitori di identità di passare le credenziali ai fornitori di servizi. LogicalDOC può essere configurato per agire come un Service Provider (SP) SAML 2.0.

Il Security Assertion Markup Language (SAML) è uno standard aperto che consente ai provider d'identità (IdP), come Okta, di passare credenziali di autorizzazione ai fornitori di servizi (SP), come LogicalDOC.

In termini più semplici, significa che puoi utilizzare un set di credenziali per accedere a molti siti diversi. Con un account del Provider d'Identità SAML, puoi accedere a LogicalDOC e ad altri siti in modo sicuro con lo stesso account.

Il vantaggio principale è che aiuta gli amministratori a centralizzare la gestione degli utenti controllando a quali siti gli utenti hanno accesso con le credenziali del proprio provider di identità SAML.

LogicalDOC supporta l'utilizzo di un singolo file di metadati per recuperare le informazioni di configurazione per il provider. Il file XML di metadati IdP contiene il certificato IdP, l'ID di entità e l'URL di reindirizzamento.

L'integrazione SAML Single Sign-On offre i seguenti vantaggi:

  • Single Sign-On. Gli utenti possono accedere a LogicalDOC con le proprie credenziali SAML.
  • Single Logout (SLO). Come opzione, un utente che esce da LogicalDOC verrà disconnesso da tutte le altre applicazioni a cui ha effettuato l'accesso utilizzando le stesse credenziali.
  • Gestione centralizzata delle identità. Gli account LogicalDOC estraggono automaticamente gli attributi utente da SAML al momento dell'accesso, come nome completo, email e nome utente.
  • Provisioning automatico dell'account. Gli account utente LogicalDOC vengono creati automaticamente la prima volta che un utente accede con le proprie credenziali SAML.

Al momento della stesura di questo articolo LogicalDOC è stato testato con Okta, JumpCloud e Microsoft ADFS come provider di identità (IDP), consultare i collegamenti seguenti per maggiori dettagli su come configurare SAML con questi provider.

Oltre a questi provider di identità, puoi anche configurare SAML per un IdP personalizzato. È importante testare le nuove versioni di LogicalDOC in un ambiente di staging per confermare che funzionerà con il tuo provider di identità.

Info

Anche se attivi il Single Sign-On, la pagina di accesso standard continua a essere disponibile e funziona normalmente.

Validazione

Puoi opzionalmente provvedere una procedura di automazione invocata ogni volta che un utente sta per essere autenticato tramite SAML per decidere se deve essere autenticato o meno, oppure per eseguire ulteriori elaborazioni sull'utente stesso. La procedura di automazione riceverà la variabile samlUser, utilizza il flag booleano samlUser.valid per contrassegnare l'utente come autorizzato o meno.

Dictionary available for the Automation in this context

CONTESTO DI AUTOMAZIONE: SINGLE SIGN-ON SAML
VariabileClasse JavaDescrizione
samlUser

SamlUser

l'utente che viene autenticato

Read the Automation manual for more information.

Configurare SAML con JumpCloud

Prima di iniziare

Prima di iniziare, devi generare certificati di crittografia per crittografare la connessione SAML e caricarli in LogicalDOC

  1. È possibile utilizzare lo script Bash dal repository logicaldoc/scripts su GitHub o qualsiasi altro metodo adatto.
  2. Salvare i due file generati. Sono la chiave privata e la chiave pubblica. Nel pannello delle impostazioni SAML, vengono indicati rispettivamente come Chiave privata dell'SP e Certificato dell'SP.

Prepara LogicalDOC

  1. Abilitare il Single Sign-On SAML in Amministrazione > Sicurezza > Single Sign-On SAML.
  2. Nel campo SP Entity ID inserisci un identificatore univoco (puoi inserire qui lo stesso URL che usi normalmente per connetterti a LogicalDOC, ad esempio http://localhost:8080)
  3. Abilita sia la firma dei messaggi AuthnRequest che la crittografia delle asserzioni ricevute.
  4. Scegli SHA-256 come Algoritmo di firma.
  5. Carica il Certificato dell'SP e la Chiave privata dell'SP generati in precedenza, nei campi corrispondenti.
  6. Nel form Mappatura degli attributi, prepare le seguenti mappature:
    • In Username, scrivi username
    • In Nome, scrivi firstName
    • In Cognome, scrivi lastName
    • In Email, scrivi email
    • In Gruppi, scrivi groups

    Clicca su Salva per confermare tutta la configurazione.

    SAML Panel
  7. Esporta il file di metadati del fornitore di servizi facendo clic sull'URL visualizzato nel campo Metadati dell'SP. In seguito dovrai usare questo file in JumpCloud.

Ora hai completato la configurazione di LogicalDOC e puoi affrontare la configurazione di JumpCloud.

Configura un'applicazione SSO per il Single Sign-On di LogicalDOC

  1. Accedi a JumpCloud come amministratore.

  2. Vai a SSO Applications > Add New Application.

  3. Seleziona Custom Application e clicca su Next.

    JumpCloud Panel

  4. Scegli solo la funzione Manage Single Sign-On (SSO) e poi Configure SSO with SAML. Clicca Next.

    JumpCloud Panel

  5. Inserisci le informazioni generali per l'applicazione, tra cui l'etichetta visualizzata e il logo (facoltativo). Si consiglia di visualizzare l'icona dell'applicazione agli utenti. Se desideri utilizzare un logo LogicalDOC per l'applicazione, puoi scaricarne uno dalla nostra pagina.

    JumpCloud Panel

  6. Nella schermata successiva, seleziona Configure Application.

  7. Carica i metadati del fornitore di servizi ottenuti al passaggio 7 della preparazione di LogicalDOC.

    JumpCloud Panel

  8. Inserisci un IdP Entity ID univoco.

    JumpCloud Panel

  9. Seleziona l'opzione Sign Assertion.

    JumpCloud Panel

  10. Nella sezione attributi, fai clic su add attribute e inserisci le seguenti mappature degli attributi:

    • Mappa Service Provider Attribute Name username in JumpCloud Attribute Name username
    • Mappa Service Provider Attribute Name firstName in JumpCloud Attribute Name firstname
    • Mappa Service Provider Attribute Name lastName in JumpCloud Attribute Name lastname
    • Mappa Service Provider Attribute Name email in JumpCloud Attribute Name email
    JumpCloud Panel

  11. Abilita Include group attribute e scrivi groups

  12. Assegnare i gruppi utente a questa nuova applicazione

    JumpCloud Panel

  13. Seleziona Save per completare.

Esporta i metadati del provider di identità

Successivamente, esporta i metadati del provider di identità, che verranno successivamente caricati su LogicalDOC per completare la configurazione SAML.

  1. In JumpCloud vai a SSO Applications e qui clicca sulla voce LogicalDOC

  2. Apri la linguetta SSO e clicca su Export Metadata

    JumpCloud Panel

  3. Vai su LogicalDOC in Amministrazione > Sicurezza > Single Sign-On SAML e carica il file di metadati del provider di identità nel campo dei Metadati dell'IdP.

    Fare clic sul pulsante Salva per confermare tutto.

Testa la login

Per verificare se tutto è stato configurato correttamente, puoi provare ad avviare un accesso da LogicalDOC in qualità di fornitore di servizi.

  1. Vai su LogicalDOC in Amministrazione > Sicurezza > Single Sign-On SAML e copia il collegamento del campo Accedi(è l'URL di base di LogicalDOC seguito da /saml/login).
  2. Apri un browser diverso e incolla l'URL e dovresti essere reindirizzato alla pagina di accesso di JumpCloud.
  3. Qui inserisci le credenziali di un utente nel tuo JumpCloud e dovresti essere loggato direttamente in LogicalDOC.

 

Configurare SAML con Okta

Prima di iniziare

Prima di iniziare, devi generare certificati di crittografia per crittografare la connessione SAML e caricarli in LogicalDOC

  1. È possibile utilizzare lo script Bash dal repository logicaldoc/scripts su GitHub o qualsiasi altro metodo adatto.
  2. Salvare i due file generati. Sono la chiave privata e la chiave pubblica. Nel pannello delle impostazioni SAML, vengono indicati rispettivamente come Chiave privata dell'SP e Certificato dell'SP.

Prepara LogicalDOC

  1. Abilitare il Single Sign-On SAML in Amministrazione > Sicurezza > Single Sign-On SAML.
  2. Nel campo SP Entity ID inserisci un identificatore univoco (puoi inserire qui lo stesso URL che usi normalmente per connetterti a LogicalDOC, ad esempio http://localhost:8080)
  3. Abilita sia la firma dei messaggi AuthnRequest che la crittografia delle asserzioni ricevute.
  4. Scegli SHA-256 come Algoritmo di firma.
  5. Carica il Certificato dell'SP e la Chiave privata dell'SP generati in precedenza, nei campi corrispondenti.
  6. Nel form Mappatura degli attributi, prepare le seguenti mappature:
    • In Username, scrivi username
    • In Nome, scrivi firstName
    • In Cognome, scrivi lastName
    • In Email, scrivi email
    • In Gruppi, scrivi groups

    Clicca su Salva per confermare tutta la configurazione.

    SAML Panel

Ora hai completato la configurazione di LogicalDOC e puoi affrontare la configurazione di Okta.

Configura un'app di connessione per LogicalDOC Single Sign-On

  1. Accedi a Okta come amministratore.

  2. Vai a Applications > Add Application.

  3. Seleziona Create New App, poi scegli SAML 2.0 come metodo di Sign-in.

    Okta Panel

  4. Inserisci le Impostazioni generali dell'applicazione, tra cui il nome dell'app e il logo dell'app (facoltativo). Si consiglia di mostrare l'icona dell'applicazione agli utenti, anche nell'app Okta Mobile. Se desideri utilizzare un logo LogicalDOC per l'applicazione, puoi scaricarne uno dalla nostra pagina.

    Okta Panel

  5. Entra in SAML Settings, tra cui:

    • Single sign-on URL: https://your_logicaldoc_url/saml/acs dove https://your_logicaldoc_url dovrebbe in genere corrispondere all'URL LogicalDOC.

    • Audience URI: l'identificatore che hai utilizzato nel passo 2 della preparazione di LogicalDOC

    • Name ID format: unspecified

    • Application username: Okta username

    Okta Panel

  6. Per configurare la crittografia per la tua connessione SAML, seleziona Show Advanced Settings.

  7. Imposta Assertion Encryption come Encrypted, quindi carica il certificato pubblico del fornitore di servizi generato in precedenza nel campo Certificato dell'SP.

    Okta Panel

  8. Inserisci le dichiarazioni degli attributi utilizzate per mappare gli attributi tra Okta e LogicalDOC. Per ulteriori informazioni su quali attributi sono configurabili, consulta la nostra documentazione sulle impostazioni di configurazione SAML. Gli attributi email e nome utente sono obbligatori.

    Okta Panel

Esporta i metadati del provider di identità

Successivamente, esporta i metadati del provider di identità, che verranno successivamente caricati su LogicalDOC per completare la configurazione SAML.

  1. In Okta vai su Applications e qui clicca sulla voce LogicalDOC.

  2. Apri la scheda Sign On e copia il Metadata URL

    Okta Panel

  3. Per recuperare i metadati IdP (provider di identità), in un browser, incolla l'URL completo.

  4. Vai su LogicalDOC in Amministrazione > Sicurezza > Single Sign-On SAML e carica il file di metadati del provider di identità nel campo Metadati dell'IdP.

    Clicca sul pulsante Salva per confermare tutto.

Testa la login

Per verificare se tutto è stato configurato correttamente, puoi provare ad avviare un accesso da LogicalDOC in qualità di fornitore di servizi.

  1. Vai su LogicalDOC in Amministrazione > Sicurezza > Single Sign-On SAML e copia il collegamento del campo Accedi(è l'URL di base di LogicalDOC seguito da /saml/login).
  2. Apri un browser diverso e incolla l'URL e dovresti essere reindirizzato alla pagina di accesso di Okta.
  3. Qui inserisci le credenziali di un utente nel tuo Okta e dovresti essere loggato direttamente in LogicalDOC.

 

Configurare il Single Logout con Microsoft ADFS

Il provider di identità ADFS supporta il logout singolo, quindi puoi configurare il Single Logout SAML (SLO).

Quando un utente avvia una disconnessione, il provider di identità disconnette l'utente da tutte le applicazioni nella sessione di accesso del provider di identità corrente. La disconnessione potrebbe essere avviata dal fornitore di servizi o avviata dal fornitore di identità.

Preparare LogicalDOC

  1. Abilita il SAML Single Logout in Amminsitrazione > Sicurezza > Single Sign-On SAML
  2. Abilita la crittazione delle richieste e risposte di Logout

    Premi su Salva per confermare tutta la configurazione.

    SAML Panel

Ora hai completato la configurazione di LogicalDOC e puoi affrontare l'impostazione di ADFS.

Aggiungere l'endpoint Logout

  1. Aprire lo snap-in di gestione ADFS, quindi selezionare AD FS > Relying Party Trusts. Qui, fai clic con il pulsante destro del mouse su LogicalDOC e scegli Properties, poi apri la linguetta Endpoints.

  2. Qui, clicca su Add SAML...  per aggiungere un endpoint Logout, come Trusted URL metti l'URL base di LogicalDOC seguita dal suffisso /saml/logout e come Response URL etti l'URL base di LogicalDOC seguita dal suffisso /saml/slo

  3. Ora hai creato il nuovo endpoint per il logout

Clicca il pulsante OK per confermare.

Testare il Logout

Per verificare se tutto è stato configurato correttamente, puoi fare questo:

  1. Accedi a una delle applicazioni connesse allo stesso ADFS
  2. Quindi accedi alla pagina di accesso Single Sign-on di LogicalDOC
  3. Una volta all'interno di LogicalDOC, premere il pulsante di disconnessione
  4. Adesso, verifica di essere disconnesso anche da tutte le altre applicazioni