Come configurare SAML per accedere alla Piattaforma THRON – THRON Guide

Collega il tuo Identity Provider aziendale a THRON tramite SAML 2.0 e consenti ai tuoi utenti di accedere con le credenziali aziendali già in uso, senza gestire password separate.

Prima di iniziare

Verifica di avere pronti questi elementi:

Identity Provider aziendale compatibile con SAML 2.0 (es. Microsoft Azure AD, Microsoft ADFS, Okta)
Un gruppo esistente in THRON a cui assegnare automaticamente i nuovi utenti al primo accesso
Accesso Admin al Marketplace di THRON per installare e configurare il connettore
Accesso all'IdP — la configurazione richiede intervento su entrambi i sistemi

Passo 1 — Installa il connettore SAML in THRON

Vai nel Marketplace di THRON
Cerca e installa il SAML Connector
Apri la pagina di configurazione del connettore — lascia i campi vuoti per ora
Recupera l'appId dall'URL della pagina di configurazione:
https://[clientId].thron.com/#/marketplace/management/app/[appId]

Tieni l'appId a portata di mano: ti servirà nel passo successivo per costruire gli URL da fornire al tuo IdP.

Passo 2 — Fornisci i parametri THRON al tuo IdP

Nella console del tuo IdP, crea una nuova applicazione SAML e configura i seguenti parametri:

Parametro IdP	Valore THRON da inserire
SSO URL / Reply URL / ACS URL	`https://[clientId]-view.thron.com/api/auth/resources/saml/callback/[clientId]/[appId]`
Entity ID / Relying Party Identifier	`https://[clientId].thron.com/[clientId]-[nomeconnettore]`

Definisci inoltre i nomi degli attributi che il tuo IdP trasmetterà a THRON per ogni utente. Questi nomi ti serviranno al Passo 3:

Attributo THRON	Nome tipico
Username	`username`
Email	`email`
Nome	`firstname`
Cognome	`lastname`

Per la configurazione specifica del tuo provider, consulta la documentazione ufficiale: • Microsoft Azure AD — Configurare SAML SSO • Microsoft ADFS — Relying Party Trust

Passo 3 — Completa la configurazione in THRON

Torna alla pagina di configurazione del SAML Connector nel Marketplace e compila i campi:

Campo	Cosa inserire
IdP Metadata URL	L'URL pubblico al file XML dei metadati del tuo IdP
Service Provider Entity ID	`https://[clientId].thron.com/[clientId]-[nomeconnettore]` (stesso valore usato nell'IdP al Passo 2)
Attributo Username	Il nome dell'attributo configurato nel tuo IdP
Attributo Email	Il nome dell'attributo configurato nel tuo IdP
Attributo Nome	Il nome dell'attributo configurato nel tuo IdP
Attributo Cognome	Il nome dell'attributo configurato nel tuo IdP
Gruppo di ingresso	Il gruppo THRON a cui verranno assegnati i nuovi utenti al primo accesso

Clicca Salva.

Se il tuo IdP lo richiede, puoi scaricare il file XML dei metadati THRON dalla stessa pagina di configurazione e caricarlo nel tuo IdP.

Configurazione Consigliata

Parametro	Valore suggerito	Perché
Gruppo di ingresso	Gruppo con permessi di sola lettura	Permette di ampliare i permessi in modo controllato in un secondo momento
Service Provider Entity ID	`https://[clientId].thron.com/[clientId]-saml`	Formato standard, immediatamente riconoscibile

Passo 4 — Testa il login

Vai alla pagina di login di THRON
Verifica che sia presente il pulsante SSO configurato
Inserisci le credenziali aziendali e conferma
Al primo accesso, l'utente viene creato automaticamente in THRON e assegnato al gruppo configurato al Passo 3

Provisioning automatico degli utenti con SCIM

Lo standard SCIM gestisce il provisioning automatico di utenti e gruppi da un IdP esterno verso THRON. Gli utenti importati tramite SCIM potranno autenticarsi esclusivamente tramite il SAML Connector.

Configura il provisioning nel tuo IdP

Nella sezione Provisioning della tua applicazione IdP, imposta la modalità su Automatico e inserisci:

Campo	Valore
SCIM Endpoint	`https://[clientId]-view.thron.com/api/xsso/resources/scim/v2/[clientId]/[appId]`
Secret Token	Contatta support@thron.com per ricevere la chiave del SAML Connector

Mappatura attributi — Utenti

Attributo IdP	Attributo THRON
`ObjectId`	`externalId`
`accountEnabled`	`active`
`userPrincipalName`	`email[type eq work].value`
`mailNickname` + `".idp"`	`userName`
`givenName`	`name.givenName`
`surname`	`name.familyName`

Mappatura attributi — Gruppi

Attributo IdP	Attributo THRON
`ObjectId`	`externalId`
`displayName`	`displayName`
`members`	`members`

Importante: Nella sezione Impostazioni del provisioning, abilita Sync only assigned users and groups per evitare che tutti gli utenti del tuo Active Directory vengano sincronizzati con THRON.

Per la configurazione SCIM specifica del tuo provider, consulta la documentazione ufficiale:
• Microsoft Azure AD — Provisioning automatico utenti

Limitazioni

Rimozione utenti non automatica senza SCIM — se un utente viene rimosso dall'IdP e non hai configurato SCIM, la modifica non si riflette in THRON. Intervieni manualmente o configura SCIM.
Utenti SCIM: solo autenticazione SAML — gli utenti importati tramite SCIM non possono accedere con username e password THRON.
Nessuna mappatura di ruoli/permessi dall'IdP — i permessi configurati nell'IdP non vengono trasferiti a THRON. La gestione avviene interamente lato THRON.
Gruppo di ingresso: assegnazione iniziale — il gruppo configurato nel connettore serve solo per il primo accesso. Puoi spostare gli utenti nei gruppi definitivi in seguito.

Serve aiuto?

Per problemi tecnici, scrivi a support@thron.com

Piattaforma e impostazioni