Keycloak SSO

Previous Next

Keycloak — Identity e Access Management

Keycloak è il componente di ProxyPT che gestisce l'autenticazione e l'autorizzazione. Tutti gli accessi alla piattaforma (interfaccia utenti, pannello admin, API) transitano attraverso Keycloak.

Cosa gestisce Keycloak

  • Single Sign-On — gli utenti si autenticano una volta sola e accedono a tutti i componenti della piattaforma
  • Federazione di identità — Keycloak può delegare l'autenticazione all'identity provider aziendale esistente (Azure AD, Google Workspace, LDAP/Active Directory, qualsiasi SAML 2.0 / OpenID Connect)
  • Gestione utenti locale — se non si usa federazione, gli utenti si creano e gestiscono direttamente in Keycloak
  • MFA — multi-factor authentication configurabile per tutti o per ruoli specifici
  • Gestione sessioni — controllo delle sessioni attive e revoca immediata degli accessi

Accesso alla console di amministrazione

La console admin di Keycloak è raggiungibile all'URL comunicato in fase di attivazione. L'accesso richiede le credenziali di amministratore Keycloak (distinte dalle credenziali ProxyPT).

Collegare il proprio identity provider

Se l'organizzazione usa un identity provider aziendale (Azure AD, Google Workspace, LDAP), è possibile configurare la federazione in modo che gli utenti si autentichino con le credenziali aziendali esistenti senza creare account separati.

La configurazione si effettua dalla console Keycloak sotto Identity Providers (per Azure AD / Google / SAML) o User Federation (per LDAP / Active Directory).

I parametri necessari variano per provider. In generale servono: - Client ID e Client Secret dell'applicazione registrata nell'IdP - URL di autorizzazione e token dell'IdP - Regole di mappatura degli attributi (email, nome, gruppi)

Per una configurazione guidata contattare il team di supporto.

MFA

L'autenticazione multi-fattore si abilita dalla console Keycloak sotto AuthenticationFlows. È possibile renderla obbligatoria per tutti gli utenti o solo per quelli con ruolo amministrativo.

Metodi supportati: app TOTP (Google Authenticator, Microsoft Authenticator, Authy), chiavi hardware FIDO2/WebAuthn.

API e Integrazione Langfuse Analytics