Skip to main content
Okta consente al tuo team di accedere al workspace enterprise Base44 con le credenziali Okta esistenti. Crei un’applicazione OIDC in Okta, permetti a Base44 di usarla, poi aggiungi i suoi dettagli al workspace. Per aggiungere e aggiornare i membri automaticamente, configura separatamente il provisioning SCIM per Okta.
Il single sign-on del workspace è disponibile solo sui workspace enterprise. Se non vedi questa opzione, contatta il tuo account team Base44.

Prima di iniziare

Assicurati di avere:
  • Accesso owner o admin al tuo workspace enterprise Base44.
  • Accesso admin alla tua organizzazione Okta.
  • Il tuo workspace ID, la stringa di caratteri dopo /workspace/ nell’URL del workspace enterprise.
  • Il tuo Okta domain, la parte prima di .okta.com (per esempio, your-company).

Configurare il single sign-on

Crea un’applicazione OIDC in Okta, permetti a Base44 di usarla, poi aggiungi i suoi dettagli al workspace.

Passaggio 1: Crea un’app OIDC

Crea l’applicazione OIDC che rappresenta il login Base44. Per creare l’app:
  1. Nella Okta Admin Console, vai su Applications > Applications, poi clicca Create App Integration.
  2. Imposta Sign-in method su OIDC - OpenID Connect.
  3. Imposta Application type su Web Application.
  4. Clicca Next.
Okta Create a new app integration dialog with OIDC and Web Application selected

Passaggio 2: Configura l’app

Imposta nome dell’app, redirect URI e chi può usarla. Per configurare l’app:
  1. Inserisci un App name, per esempio Base44 - your workspace name.
  2. Sotto Sign-in redirect URIs, aggiungi l’URL di callback del workspace, sostituendo {{WORKSPACE_ID}} con il tuo workspace ID: https://app.base44.com/api/workspaces/{{WORKSPACE_ID}}/auth/sso/callback
  3. Sotto Sign-out redirect URIs, aggiungi https://app.base44.com.
  4. Sotto Controlled access, scegli chi può usare l’app, per esempio Allow everyone in your organization to access.
  5. Clicca Save.
Okta application sign-in and sign-out redirect URI settings

Passaggio 3: Ottieni le credenziali

Dalla scheda General dell’app, copia:
  • Client ID
  • Client Secret
  • Il tuo Okta domain, solo il sottodominio (per esempio, your-company, non your-company.okta.com).

Passaggio 4: Consenti Base44 nel tuo authorization server

Okta emette token solo alle app che una policy dell’authorization server consente. Per aggiungere una regola di access policy:
  1. Vai su Security > API > Authorization Servers, poi apri il server default.
  2. Nella scheda Access Policies, clicca Add Rule, o modifica una regola esistente.
  3. Nomina la regola (per esempio, Allow Base44), imposta il grant type su Authorization Code e applicala alla tua app Base44 (o tutti i client), tutti gli utenti e qualsiasi scope.
  4. Clicca Create Rule.
Nella scheda General della tua app Base44 in Okta, disattiva Federation Broker Mode. Con attivo, il login può fallire con “You are not allowed to access this app.”

Passaggio 5: Aggiungi i dettagli in Base44

Aggiungi le credenziali dell’app OIDC al workspace. Per configurare l’SSO in Base44:
  1. Clicca il nome del workspace in alto a sinistra del tuo account.
  2. Clicca Settings.
  3. Clicca Auth and security.
  4. Attiva il toggle accanto a Single Sign-On Configuration.
  5. In Select SSO Provider, scegli Okta.
  6. Inserisci Client ID, Client Secret e Okta Domain (solo il sottodominio).
  7. Mantieni Scope come openid email profile.
  8. Il Discovery URL si compila automaticamente dal tuo Okta domain.
  9. Clicca Enable SSO.
Base44 Auth and security panel configured with Okta as the SSO provider
Il Discovery URL generato automaticamente è corretto solo per un’organizzazione Okta standard sul suo dominio predefinito .okta.com. Se si applica uno dei casi qui sotto, il default è sbagliato e il login fallisce, quindi configura Okta tramite Advanced / Manual configuration e inserisci il Discovery URL a mano:
  • Usa il Discovery URL /oauth2/default: Punta Base44 al tuo authorization server Okta così viene restituita la claim email: https://your-domain.okta.com/oauth2/default/.well-known/openid-configuration. Se la tua organizzazione non ha un authorization server personalizzato, questo indirizzo restituisce un 404. In tal caso, usa https://your-domain.okta.com/.well-known/openid-configuration e mappa la claim email nel profilo dell’app Okta.
  • Dominio Okta personalizzato: Se il tuo team accede tramite un dominio brandizzato personalizzato (per esempio, login.your-company.com), usa quel dominio esatto nel Discovery URL, non il default your-company.okta.com. Okta emette token dal dominio con cui le persone accedono, quindi una mancata corrispondenza fallisce la validazione dell’issuer (iss) e il login si rompe.

Passaggio 6: Assegna gli utenti

Le persone possono accedere una volta assegnate alla tua app Okta. Per assegnare gli utenti:
  1. Nella tua app Okta, vai alla scheda Assignments.
  2. Clicca Assign, poi Assign to People o Assign to Groups.
  3. Seleziona gli utenti o gruppi che dovrebbero poter accedere, poi clicca Assign e Save and Go Back.
Per aggiungere e aggiornare i membri automaticamente invece di assegnarli a mano, configura il provisioning SCIM per Okta.

FAQ

Seleziona una domanda qui sotto per saperne di più sull’SSO Okta.
Aggiungi una regola di access policy sull’authorization server default (Passaggio 4), disattiva Federation Broker Mode nella scheda General dell’app e conferma che l’utente sia assegnato all’app.
L’authorization server default di Okta non restituisce sempre la claim email. Configura Okta tramite Advanced / Manual configuration e usa il Discovery URL /oauth2/default così l’email viene restituita. Vedi la nota nel Passaggio 5.
Sì. Le app OIDC di Okta non supportano SCIM, quindi l’SSO usa un’app OIDC e SCIM usa un’app SCIM 2.0 separata. Vedi Provisioning SCIM per Okta.
Questa pagina è stata tradotta utilizzando l’IA. Per informazioni più accurate e aggiornate, consulta la versione inglese.