# Abilita il Single Sign-On SAML
Gli amministratori dell'account possono abilitare [Single Sign-On SAML (SSO)](https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language) per consentire agli utenti dell'account di accedere all'account impact.com del tuo brand tramite un provider di identità (IDP) supportato, oppure tramite un link di accesso univoco. Scegli il metodo che preferisci.
Il SSO SAML utilizza una connessione per impact.com con il tuo provider di identità. impact.com attualmente supporta i seguenti provider:
* AD FS
* Okta
* OneLogin
* Microsoft Entra ID
#### Abilita SSO SAML
{% hint style="warning" %}
**Avvertenza:** Se hai già abilitato il SSO SAML e desideri cambiare provider, avrai bisogno dell'assistenza del nostro team di Servizi tecnici. Prima di [aprire un ticket](https://impact.atlassian.net/servicedesk/customer/portal/6/group/1088), assicurati di salvare il file di metadati del tuo IDP esistente sul tuo dispositivo locale e prepara un elenco di nomi utente che devono essere migrati.
{% endhint %}
{% stepper %}
{% step %}
#### **Passaggio 1: carica il file di metadati dell'IDP**
Prima di iniziare, assicurati di avere a portata di mano il tuo **file di metadati dell'IDP** in formato .XML: questo file deve essere caricato su impact.com.
1. Dalla barra di navigazione superiore, seleziona  **\[Profilo utente] → Impostazioni**.
2. Nella colonna di sinistra, sotto *Generale,* seleziona **Autenticazione utenti dell'account**.
3. Accanto alla voce *Tipo di autenticazione* seleziona  **\[Casella di controllo] SAML** e usa il  **\[Menu a discesa]** per selezionare il tuo provider di identità.
4. Usa il selettore di file per trovare e **caricare il tuo file di metadati .XML**.
5. In fondo alla schermata, seleziona **Salva**.
{% endstep %}
{% step %}
#### **Passaggio 2: abilita il SSO SAML per gli utenti dell'account**
Le istruzioni seguenti devono essere completate per ogni singolo utente che utilizzerà il SSO SAML:
1. Dalla barra di navigazione superiore, seleziona  **\[Profilo utente] → Impostazioni**.
2. Nella colonna di sinistra, vai a *Generale* e seleziona **Utenti dell'account**.
3. Passa il cursore su un utente e seleziona **\[Altro] → Modifica diritti di accesso**
4. Nella sezione *Metodo di registrazione utente* seleziona **SAML**.
5. In fondo al pannello laterale, seleziona **Salva**.
{% endstep %}
{% step %}
#### **Passaggio 3: configura l'accesso utente tramite SSO SAML**
Esistono 2 modi per consentire agli utenti di accedere a impact.com con SSO SAML:
* **Tramite il tuo provider di identità (IDP)** — Configura una connessione/connettore nel tuo IDP e usalo per autenticare gli utenti.
* **Tramite il link di accesso univoco del tuo brand** — Per gli utenti che non accedono tramite la connessione IDP.
**Opzione A: accesso tramite provider di identità**
* **OneLogin** — In OneLogin, trova la *connessione Impact Partnership Cloud* nel *catalogo app di OneLogin* e segui le istruzioni sullo schermo per abilitare e configurare l'app.
* **ADFS, Okta e Microsoft Entra ID** — Crea una nuova connessione personalizzata con questi valori esatti:
| Campo | Valore da inserire |
| ---------------------------------------------- | --------------------------------- |
| URL Single Sign On / URL di risposta / URL ACS | |
| URL destinatario | |
| URL di destinazione | |
| Restrizione audience | |
| Formato Name ID | EmailAddress |
| Risposta | Firmata |
| Firma dell'asserzione | Firmata |
| Algoritmo di firma | RSA\_SHA1 |
| Firma digest | SHA1 |
| Crittografia dell'asserzione | Non crittografata |
| Single Logout SAML | Disabilitato |
| AuthnContextClassRef | PasswordProtectedTransport |
* **Microsoft Entra ID** — Crea una nuova connessione personalizzata con questi valori esatti:
| Campo | Valore da inserire |
| --------------------------------------------------------------------------------------------------- | --------------------------------- |
| URL di risposta (URL del servizio consumer di asserzione) | |
| URL di risposta (implicitamente) | |
| Identificatore (ID entità) | |
| Formato dell'identificatore di nome (Impostazioni avanzate → “Formato dell'identificatore di nome”) | EmailAddress |
| Opzione di firma della risposta (firma della risposta SAML) | Firmata |
| Firma dell'asserzione SAML (opzione) | Firmata |
| Algoritmo di firma | RSA\_SHA1 |
| Algoritmo digest | SHA1 |
| Certificato di crittografia (opzionale) | Non crittografata |
| URL di logout singolo | Disabilitato |
| AuthnContextClassRef predefinito (non esposto direttamente) | PasswordProtectedTransport |
I valori inseriti devono corrispondere esattamente ai valori forniti sopra. Ad esempio, non aggiungere una barra finale al *URL Single Sign On / URL di risposta / URL ACS* campo in questo modo: `https://app.impact.com/saml/SSO`**`/`**, e non inserire più valori URL. Assicurati inoltre che l'indirizzo email dell'utente nel tuo IDP corrisponda esattamente all'indirizzo email dell'utente in impact.com.
**Opzione B: accesso tramite link brandizzato**
Se un utente non accede tramite il tuo IDP, può utilizzare un link di accesso brandizzato univoco per accedere al tuo account impact.com. Per ottenere questo link di accesso:
1. Dalla barra di navigazione superiore, seleziona  **\[Profilo utente] → Impostazioni**.
2. Nella colonna di sinistra, sotto *Branding*, seleziona **Branding accesso advertiser**.
* Il tuo link brandizzato avrà un aspetto simile a questo: `https://app.impact.com/abe/Stark-Industries12345678912345/login.user?preview=t`
3. Dal *campo Link di accesso* copia e salva il *campo Link di accesso* da distribuire ai membri del tuo account impact.com.
{% hint style="warning" %}
**Importante:** L'unico utilizzo di questo link di accesso brandizzato è consentire agli utenti di accedere direttamente a impact.com quando non stanno usando il tuo IDP. Non inserire questo link nell' *URL Single Sign-On / URL di risposta / URL ACS* campo.
{% endhint %}
{% endstep %}
{% endstepper %}
