Configurazione dell'autenticazione di Alteryx Server
Configura il metodo di autenticazione che desideri utilizzare per gestire l'accesso a Server nella pagina System Settings > Gallery Authentication (Impostazioni di sistema e Autenticazione Gallery).
Inizia selezionando il metodo di autenticazione che desideri utilizzare per Server. Quindi, passa alla procedura di configurazione del metodo selezionato.
Selezione del metodo di autenticazione
Server supporta l'autenticazione incorporata, l'autenticazione Windows integrata con o senza supporto Kerberos e l'autenticazione SAML.
Built-in (incorporata): gli utenti specificano un indirizzo e-mail e una password per accedere a Server.
Integrated Windows authentication (Autenticazione integrata di Windows): gli utenti accedono a Server con le credenziali di rete interne.
Integrated Windows authentication with Kerberos (Autenticazione integrata di Windows con Kerberos): gli utenti accedono a Server con le credenziali di rete interne utilizzando i protocolli di autenticazione Kerberos. Il processo di configurazione dell'autenticazione integrata di Windows e dell'autenticazione integrata di Windows con Kerberos è lo stesso. Per maggiori informazioni, nella sezione Complete the Set Up for Your Selected Authentication Type (Esecuzione della configurazione del metodo di autenticazione selezionato) scegli Set Up Integrated Windows Authentication (Configurazione dell'autenticazione integrata di Windows).
SAML authentication (Autenticazione SAML): gli utenti accedono a Server con le credenziali di Identity Provider (IDP).
Avvertimento
Server non supporta la modifica del metodo di autenticazione dopo la configurazione. Questa operazione potrebbe compromettere la funzionalità di Server. Se desideri modificare il metodo di autenticazione, contatta il team dell'account per assistenza.
Esecuzione della configurazione del metodo di autenticazione selezionato
La configurazione varia a seconda del metodo di autenticazione. Seleziona il metodo di autenticazione che preferisci per visualizzare la procedura corrispondente.
Passaggio 1. Imposta un amministratore della Gallery predefinito per l'autenticazione incorporata.
Dopo aver selezionato l'autenticazione Incorporata, crea un amministratore di Server predefinito Amministratore Gallery predefinito in fondo alla pagina Autenticazione Gallery. L'amministratore della Gallery (Server) gestisce utenti, flussi di lavoro e altro ancora. Per l'autenticazione Incorporata, immetti l'indirizzo e-mail dell'amministratore.
Completa le schermate rimanenti in Impostazioni di sistema (per maggiori informazioni su queste schermate, accedi alle pagine di assistenza Interfaccia utente di Server e Engine),quindi seleziona Fine.
Passaggio 2. Completa la creazione dell'account amministratore della Gallery.
Per completare la creazione dell'account amministratore della Gallery, vai alla pagina di accesso di Server selezionando il collegamento a Server visualizzato nella pagina System Settings > Status o immettendo l'URL di Server nel browser Internet.
Seleziona Sign-in (Accedi).
Nella pagina di accesso, seleziona Don't have an account? (Non hai un account?) Creane uno ora.
Specifica Nome e Cognome, quindi seleziona un fuso orario dal menu a discesa.
In Email, inserisci l'indirizzo email fornito in Default Gallery Administrator (Amministratore della gallery predefinito) nella pagina System Settings > Gallery Authentication (Impostazioni di sistema e Autenticazione Gallery).
In Password, crea una password per l'account. La password deve contenere:
Almeno 8 caratteri
Almeno una lettera
Almeno un numero
Lettere maiuscole e minuscole
Almeno un carattere speciale
Seleziona Sign Up (Registrati).
A questo punto, sei connesso come amministratore della Gallery (Server). Le credenziali immesse nel modulo di registrazione vengono salvate come tue credenziali personali. e puoi aggiungere utenti in Server. Consulta Aggiunta di utenti in Server.
Importante
Se utilizzi AWS con autenticazione Windows, la connessione TCP deve conservare la stessa porta di origine per mantenere l'autenticazione. Per questo motivo, ti consigliamo di utilizzare il bilanciamento del carico di rete o classico anziché quello dell'applicazione.
Nota
La differenza tra la configurazione dell'autenticazione integrata di Windows e dell'autenticazione integrata di Windows con Kerberos sta nel protocollo utilizzato per l'autenticazione degli utenti con Active Directory. L'opzione Autenticazione integrata di Windows utilizza NTLM, mentre nell'opzione Autenticazione integrata di Windows con Kerberos NTLM è sostituito da Kerberos.
Non è necessaria alcuna configurazione particolare all'interno di Server, ma l'opzione Kerberos richiede la presenza di un'area di autenticazione Kerberos e di un KDC configurati correttamente nel dominio Active Directory.
Passaggio 1. Imposta un amministratore della Gallery predefinito per l'autenticazione di Windows.
Dopo aver selezionato Autenticazione integrata di Windows, crea un Amministratore della gallery predefinito in fondo alla pagina Autenticazione Gallery. L'amministratore della Gallery (Server) gestisce utenti, flussi di lavoro e altro ancora. Per l'autenticazione integrata di Windows, immetti l'account utente nel seguente formato: domain\username
.
Completa le schermate rimanenti in Impostazioni di sistema (per maggiori informazioni su queste schermate, accedi alle pagine di assistenza Interfaccia utente di Server e Engine),quindi seleziona Fine.
Passaggio 2. Accedi a Server.
L'amministratore della Gallery (Server) predefinito ora può accedere a Server selezionando il collegamento a Server visualizzato nella pagina System Settings > Status o immettendo l'URL di Server nel browser Internet. A questo punto, sei connesso come amministratore della Gallery (Server) e puoi aggiungere gli utenti in Server. Consulta Aggiunta di utenti in Server.
Supporto di più domini
Server supporta più domini per l'autenticazione di Windows e non richiede alcuna configurazione per abilitare questa funzionalità. Tuttavia, queste funzionalità e autorizzazioni devono essere presenti in tutti i domini.
Il dominio su cui viene eseguito Server deve avere gli stessi criteri di attendibilità degli utenti degli altri domini, in modo che Active Directory possa risolvere e determinare le autorizzazioni degli utenti.
Entrambi i domini devono far parte della stessa foresta.
Il servizio Alteryx deve essere in grado di leggere tutti gli attributi dai contenitori CN=Users e CN=Computers per entrambi i domini. Il servizio Alteryx viene eseguito con l'account di sistema locale sul server su cui è installato. Se definisci un account di servizio dedicato anziché utilizzare il sistema locale, l'account deve disporre dell'autorizzazione per leggere tutti gli attributi da entrambi i contenitori per attivare l'autenticazione per i due domini.
Per configurare l'autenticazione SAML per Single Sign On (SSO), il tuo Identity Provider (IDP) deve supportare SAML.
Importante
Prima di configurare l'autenticazione SAML per Server, devi aggiungere Server come provider di servizi nell'IDP. L'IDP potrebbe aver bisogno di...
URL di base ACS (ad esempio, http://localhost/webapi/Saml2/Acs).
ID entità SP (ad esempio, http://localhost/webapi/Saml2).
A partire dalla versione 2022.3, stiamo utilizzando endpoint aggiornati del provider di servizi tramite il servizio API Web. Le configurazioni esistenti che utilizzano gli endpoint precedenti continuano a funzionare e non è richiesta alcuna azione per continuare a utilizzare SAML per la versione esistente di Alteryx Server. Per maggiori informazioni, consulta la sezione Note di release di Server 2022.3.
L'IDP potrebbe anche richiedere il mapping delle istruzioni degli attributi e-mail, firstName e lastName ai campi corrispondenti nell'IDP per l'autenticazione degli utenti.
Il certificato di firma IDP deve essere configurato con un algoritmo di firma SHA-256 o superiore.
Seleziona un'opzione per ottenere i metadati richiesti dall'IDP. Puoi configurare SAML utilizzando un URL dei metadati IDP o un Certificato X509 e un URL SSO IDP.
Completa la SAML IDP Configuration (configurazione IDP SAML).
ACS Base URL: URL del servizio consumer di asserzione che accetta messaggi SAML per stabilire una sessione.
IDP URL: URL per l'applicazione Alteryx configurato nell'IDP, noto anche come ID entità SP.
IDP Metadata URL: URL fornito dall'IDP che include l'URL SSO IDP e il certificato X509 per la configurazione del servizio di autenticazione Alteryx.
IDP SSO URL: URL SSO fornito dall'IDP e utilizzato dal servizio di autenticazione Alteryx per accedere all'IDP.
X509 certificate: certificato pubblico fornito dall'IDP per la comunicazione sicura con il servizio di autenticazione Alteryx.
Enable Request Signing (Abilita firma della richiesta): puoi attivare questa impostazione per gli IDP che richiedono la firma della richiesta. Questa impostazione richiede l'installazione di un certificato firmato valido con una chiave privata RSA associata nell'archivio certificati Windows.
SSL/TLS Certificate Hash: dopo aver installato il certificato e la chiave privata, fornisci l'hash univoco per il certificato SSL/TLS.
Verifica IDP: seleziona questa opzione per aprire una finestra del browser, eseguire l'accesso, testare la configurazione IDP e impostare l'amministratore predefinito di Server.
Impostazione di un amministratore della Gallery predefinito per SAML
È necessario creare un account amministratore della Gallery (Server) per gestire il sito (utenti, flussi di lavoro e altro). Per l'autenticazione SAML, seleziona Verifica IDP per testare la configurazione IDP e compilare il campo con le credenziali IDP.
A questo punto, sei connesso come amministratore di Server e puoi aggiungere utenti in Server. Consulta Aggiunta di utenti in Server.