Benvenuto in Intric Support Center
Documentazione Tecnica
SSO e Gruppi Utente

SSO e Gruppi Utente

Questa sezione è per coloro che amministrano il tuo Identity Provider (IdP), ad esempio Entra ID (Azure AD), Okta o Google. Impara come configurare Single Sign-On (SSO) e gruppi utente per Intric.

Setup SSO (Single Sign-On)

Intric usa OIDC (OpenID Connect) per il login, il che rende possibile per i tuoi utenti accedere con i loro account organizzazione esistenti.

Informazioni che devi inviare a Intric

Perché Intric possa configurare SSO contro il tuo IdP, devi fornire:

  • Issuer: URL all’issuer (ad esempio, https://login.microsoftonline.com/{tenant-id}/v2.0)
  • Client ID: Il tuo client ID dall’IdP
  • Client Secret: Il tuo client secret dall’IdP

Configurazione dalla tua parte (nel tuo IdP)

Nel tuo Identity Provider, devi whitelistare il seguente callback URL:

https://login.intric.ai/ui/login/login/externalidp/callback

Questo permette a Intric di ricevere conferme di login dal tuo IdP.

Gruppi Utente

I gruppi utente sono collezioni di utenti nel sistema utente della tua azienda. In Intric, puoi usare questi gruppi per gestire facilmente l’accesso agli Space per più utenti contemporaneamente, invece di invitare ogni utente individualmente.

Come funziona

Quando un utente accede a Intric, informazioni su quali gruppi appartengono sono automaticamente recuperate dal tuo sistema esistente. Un utente che è membro di un gruppo utente che ha ricevuto accesso a uno Space poi ottiene automaticamente accesso agli assistenti pubblicati nello Space quando la persona accede a Intric.

Configurazione e funzionalità

Come funziona la configurazione?

Perché i gruppi utente funzionino in Intric, il tuo sistema ha bisogno di inviare informazioni di gruppo quando gli utenti accedono. Questo è fatto tramite qualcosa chiamato un “groups claim” nel token di login.

Dettaglio tecnico: Il token deve contenere una chiave chiamata “groups” con un elenco di nomi di gruppo:

"groups": ["group 1", "group 2", "group 3"]

Requisiti importanti per la configurazione dei gruppi

✅ Formato corretto:

  • La chiave deve essere esattamente groups
  • Il valore dovrebbe essere un elenco piatto con stringhe di testo
  • Esempio: ["Group 1", "Group 2", "Group 3"]

❌ Formato errato:

  • Evita strutture annidate
  • Esempio di errore: ["group1": ["group1.1", "group1.2"], "group2": ["group2.1"]]
  • Nota: I gruppi annidati in sé sono a posto nel tuo sistema, purché l’elenco inviato a Intric sia piatto

Come i gruppi sono creati e aggiornati

  • Gestione automatica: I gruppi sono automaticamente creati in Intric la prima volta che un utente accede che appartiene a loro
  • Aggiornamento: L’appartenenza al gruppo è aggiornata ogni volta che un utente accede
  • Nota: NON usiamo GraphAPI di Microsoft per questa funzionalità; tutto è basato sulle informazioni nel token

Limitazioni importanti da essere consapevoli

1. Gli identificatori di gruppo non possono essere cambiati

Le stringhe di testo inviate dal tuo sistema sono usate come identificatori unici in Intric.

  • Se cambi da nomi di gruppo a object ID (o vice versa), Intric vede questo come gruppi completamente nuovi
  • Esempio: Se passi da “IT-support” a “12345-abcde”, un nuovo gruppo è creato, e le connessioni al vecchio gruppo scompaiono

2. Rimozione di gruppi (Esempio di scenario)

Ecco uno scenario comune che può causare confusione:

  1. Görgen configura l’IdP per inviare tutti i 10 gruppi sul token, ma in realtà ne vuole solo 3
  2. Lina accede a Intric e appartiene a tutti i 10 gruppi nell’IdP
  3. Görgen vede che tutti i 10 gruppi sono stati creati in Intric
  4. Görgen rimuove i 7 gruppi che non vuole in Intric
  5. Görgen cambia la configurazione nell’IdP così che solo i 3 gruppi desiderati siano inviati sul token
  6. Lina (che è ancora loggata) fa qualcosa in Intric che attiva la sincronizzazione dei gruppi
  7. Intric vede che ci sono gruppi a cui Lina appartiene (dalla sua sessione) che non esistono più nel sistema → Intric li crea di nuovo
  8. Görgen vede che i gruppi appaiono di nuovo: “Ma li ho rimossi!”

Soluzione: Lina deve disconnettersi e riconnettersi di nuovo perché la sua sessione e appartenenza al gruppo riflettano correttamente la nuova configurazione.

Considerazioni importanti (Entra ID)

Se usi Microsoft Entra ID (Azure AD), considera quanto segue:

  • Gruppi di sicurezza: NON scegliere “Gruppi di sicurezza” come fonte se non vuoi che tutti i gruppi di sicurezza nel tuo intero Entra ID appaiano in Intric
  • Nomi di gruppo vs Object ID: Per impostazione predefinita, Object ID per i gruppi è inviato. Se vuoi che nomi di gruppo reali siano visualizzati in Intric, devi configurare il manifest dell’applicazione in Entra ID

Suggerimento: Contatta il supporto Intric per guida specifica su questa configurazione.

Raccomandazioni e best practice

Pianificazione prima dell’implementazione

  • Decidi quali gruppi sono necessari in Intric prima di iniziare
  • Configura il tuo sistema per inviare solo questi gruppi dall’inizio
  • Testa con un utente di test prima del rollout su larga scala

Evita trappole comuni

  • ⚠️ Non inviare più gruppi del necessario
  • ⚠️ Non cambiare identificatori di gruppo dopo l’implementazione
  • ⚠️ Testa tutti i cambiamenti nell’ambiente di sviluppo prima

Se si verificano problemi

  • Controlla che il token contenga il claim "groups" corretto
  • Verifica che nomi/ID di gruppo siano stabili
  • Chiedi agli utenti di disconnettersi e riconnettersi di nuovo dopo cambiamenti di configurazione

Guida passo-passo per setup

  1. Prepara il tuo IdP

    • Decidi quali gruppi dovrebbero essere sincronizzati
    • Configura groups claim per inviare questi gruppi
    • Verifica che il formato sia corretto (elenco piatto)

  2. Raccogli informazioni

    • URL Issuer
    • Client ID
    • Client Secret
    • Whitelist callback URL

  3. Invia a Intric

    • Contatta il supporto Intric con le informazioni
    • Intric configura SSO dalla loro parte

  4. Testa

    • Accedi con un utente di test
    • Verifica che i gruppi si sincronizzino correttamente
    • Testa l’accesso agli Space

  5. Roll out

    • Informa gli utenti che dovrebbero ora usare SSO
    • Monitora i login i primi giorni
    • Regola come necessario

Supporto

Se incontri problemi o hai domande sulla configurazione SSO, contatta il supporto Intric. Ti aiutiamo con:

  • Risoluzione problemi connessione SSO
  • Configurazione di groups claim
  • Impostazioni specifiche Entra ID
  • Best practice per la tua organizzazione

Le informazioni di contatto sono disponibili in support.