Salta ai contenuti
Intric Intric Help Center

SSO e Gruppi Utente

Questa sezione è per coloro che amministrano il tuo Identity Provider (IdP), ad esempio Entra ID (Azure AD), Okta o Google. Impara come configurare Single Sign-On (SSO) e gruppi utente per Intric.

Setup SSO (Single Sign-On)

Sezione intitolata “Setup SSO (Single Sign-On)”

Intric usa OIDC (OpenID Connect) per il login, il che rende possibile per i tuoi utenti accedere con i loro account organizzazione esistenti.

Informazioni che devi inviare a Intric

Sezione intitolata “Informazioni che devi inviare a Intric”

Perché Intric possa configurare SSO contro il tuo IdP, devi fornire:

  • Issuer: URL all’issuer (ad esempio, https://login.microsoftonline.com/{tenant-id}/v2.0)
  • Client ID: Il tuo client ID dall’IdP
  • Client Secret: Il tuo client secret dall’IdP

Configurazione dalla tua parte (nel tuo IdP)

Sezione intitolata “Configurazione dalla tua parte (nel tuo IdP)”

Nel tuo Identity Provider, devi whitelistare il seguente callback URL:

https://login.intric.ai/ui/login/login/externalidp/callback

Questo permette a Intric di ricevere conferme di login dal tuo IdP.

Gruppi Utente

Sezione intitolata “Gruppi Utente”

I gruppi utente sono collezioni di utenti nel sistema utente della tua azienda. In Intric, puoi usare questi gruppi per gestire facilmente l’accesso agli Space per più utenti contemporaneamente, invece di invitare ogni utente individualmente.

Come funziona

Sezione intitolata “Come funziona”

Quando un utente accede a Intric, informazioni su quali gruppi appartengono sono automaticamente recuperate dal tuo sistema esistente. Un utente che è membro di un gruppo utente che ha ricevuto accesso a uno Space poi ottiene automaticamente accesso agli assistenti pubblicati nello Space quando la persona accede a Intric.

Configurazione e funzionalità

Sezione intitolata “Configurazione e funzionalità”

Come funziona la configurazione?

Sezione intitolata “Come funziona la configurazione?”

Perché i gruppi utente funzionino in Intric, il tuo sistema ha bisogno di inviare informazioni di gruppo quando gli utenti accedono. Questo è fatto tramite qualcosa chiamato un “groups claim” nel token di login.

Dettaglio tecnico: Il token deve contenere una chiave chiamata “groups” con un elenco di nomi di gruppo:

"groups": ["group 1", "group 2", "group 3"]

Requisiti importanti per la configurazione dei gruppi

Sezione intitolata “Requisiti importanti per la configurazione dei gruppi”

✅ Formato corretto:

  • La chiave deve essere esattamente groups
  • Il valore dovrebbe essere un elenco piatto con stringhe di testo
  • Esempio: ["Group 1", "Group 2", "Group 3"]

❌ Formato errato:

  • Evita strutture annidate
  • Esempio di errore: ["group1": ["group1.1", "group1.2"], "group2": ["group2.1"]]
  • Nota: I gruppi annidati in sé sono a posto nel tuo sistema, purché l’elenco inviato a Intric sia piatto

Come i gruppi sono creati e aggiornati

Sezione intitolata “Come i gruppi sono creati e aggiornati”
  • Gestione automatica: I gruppi sono automaticamente creati in Intric la prima volta che un utente accede che appartiene a loro
  • Aggiornamento: L’appartenenza al gruppo è aggiornata ogni volta che un utente accede
  • Nota: NON usiamo GraphAPI di Microsoft per questa funzionalità; tutto è basato sulle informazioni nel token

Limitazioni importanti da essere consapevoli

Sezione intitolata “Limitazioni importanti da essere consapevoli”

1. Gli identificatori di gruppo non possono essere cambiati

Sezione intitolata “1. Gli identificatori di gruppo non possono essere cambiati”

Le stringhe di testo inviate dal tuo sistema sono usate come identificatori unici in Intric.

  • Se cambi da nomi di gruppo a object ID (o vice versa), Intric vede questo come gruppi completamente nuovi
  • Esempio: Se passi da “IT-support” a “12345-abcde”, un nuovo gruppo è creato, e le connessioni al vecchio gruppo scompaiono

2. Rimozione di gruppi (Esempio di scenario)

Sezione intitolata “2. Rimozione di gruppi (Esempio di scenario)”

Ecco uno scenario comune che può causare confusione:

  1. Görgen configura l’IdP per inviare tutti i 10 gruppi sul token, ma in realtà ne vuole solo 3
  2. Lina accede a Intric e appartiene a tutti i 10 gruppi nell’IdP
  3. Görgen vede che tutti i 10 gruppi sono stati creati in Intric
  4. Görgen rimuove i 7 gruppi che non vuole in Intric
  5. Görgen cambia la configurazione nell’IdP così che solo i 3 gruppi desiderati siano inviati sul token
  6. Lina (che è ancora loggata) fa qualcosa in Intric che attiva la sincronizzazione dei gruppi
  7. Intric vede che ci sono gruppi a cui Lina appartiene (dalla sua sessione) che non esistono più nel sistema → Intric li crea di nuovo
  8. Görgen vede che i gruppi appaiono di nuovo: “Ma li ho rimossi!”

Soluzione: Lina deve disconnettersi e riconnettersi di nuovo perché la sua sessione e appartenenza al gruppo riflettano correttamente la nuova configurazione.

Considerazioni importanti (Entra ID)

Sezione intitolata “Considerazioni importanti (Entra ID)”

Se usi Microsoft Entra ID (Azure AD), considera quanto segue:

  • Gruppi di sicurezza: NON scegliere “Gruppi di sicurezza” come fonte se non vuoi che tutti i gruppi di sicurezza nel tuo intero Entra ID appaiano in Intric
  • Nomi di gruppo vs Object ID: Per impostazione predefinita, Object ID per i gruppi è inviato. Se vuoi che nomi di gruppo reali siano visualizzati in Intric, devi configurare il manifest dell’applicazione in Entra ID

Suggerimento: Contatta il supporto Intric per guida specifica su questa configurazione.

Raccomandazioni e best practice

Sezione intitolata “Raccomandazioni e best practice”

Pianificazione prima dell’implementazione

Sezione intitolata “Pianificazione prima dell’implementazione”
  • Decidi quali gruppi sono necessari in Intric prima di iniziare
  • Configura il tuo sistema per inviare solo questi gruppi dall’inizio
  • Testa con un utente di test prima del rollout su larga scala

Evita trappole comuni

Sezione intitolata “Evita trappole comuni”
  • ⚠️ Non inviare più gruppi del necessario
  • ⚠️ Non cambiare identificatori di gruppo dopo l’implementazione
  • ⚠️ Testa tutti i cambiamenti nell’ambiente di sviluppo prima

Se si verificano problemi

Sezione intitolata “Se si verificano problemi”
  • Controlla che il token contenga il claim "groups" corretto
  • Verifica che nomi/ID di gruppo siano stabili
  • Chiedi agli utenti di disconnettersi e riconnettersi di nuovo dopo cambiamenti di configurazione

Guida passo-passo per setup

Sezione intitolata “Guida passo-passo per setup”

  1. Prepara il tuo IdP

    • Decidi quali gruppi dovrebbero essere sincronizzati
    • Configura groups claim per inviare questi gruppi
    • Verifica che il formato sia corretto (elenco piatto)

  2. Raccogli informazioni

    • URL Issuer
    • Client ID
    • Client Secret
    • Whitelist callback URL

  3. Invia a Intric

    • Contatta il supporto Intric con le informazioni
    • Intric configura SSO dalla loro parte

  4. Testa

    • Accedi con un utente di test
    • Verifica che i gruppi si sincronizzino correttamente
    • Testa l’accesso agli Space

  5. Roll out

    • Informa gli utenti che dovrebbero ora usare SSO
    • Monitora i login i primi giorni
    • Regola come necessario

Supporto

Sezione intitolata “Supporto”

Se incontri problemi o hai domande sulla configurazione SSO, contatta il supporto Intric. Ti aiutiamo con:

  • Risoluzione problemi connessione SSO
  • Configurazione di groups claim
  • Impostazioni specifiche Entra ID
  • Best practice per la tua organizzazione

Le informazioni di contatto sono disponibili in support.