> ## Documentation Index
> Fetch the complete documentation index at: https://docs.base44.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Configurare l'SSO per Okta

> Permetti al tuo team di accedere al workspace enterprise Base44 con le credenziali Okta.

Okta consente al tuo team di accedere al workspace enterprise Base44 con le credenziali Okta esistenti. Crei un'applicazione OIDC in Okta, permetti a Base44 di usarla, poi aggiungi i suoi dettagli al workspace. Per aggiungere e aggiornare i membri automaticamente, configura separatamente il [provisioning SCIM per Okta](/Enterprise/Okta-SCIM).

<Warning>
  Il single sign-on del workspace è disponibile solo sui workspace enterprise. Se non vedi questa opzione, contatta il tuo account team Base44.
</Warning>

***

## Prima di iniziare

Assicurati di avere:

* Accesso owner o admin al tuo workspace enterprise Base44.
* Accesso admin alla tua organizzazione Okta.
* Il tuo **workspace ID**, la stringa di caratteri dopo `/workspace/` nell'URL del workspace enterprise.
* Il tuo **Okta domain**, la parte prima di `.okta.com` (per esempio, `your-company`).

***

## Configurare il single sign-on

Crea un'applicazione OIDC in Okta, permetti a Base44 di usarla, poi aggiungi i suoi dettagli al workspace.

### Passaggio 1: Crea un'app OIDC

Crea l'applicazione OIDC che rappresenta il login Base44.

**Per creare l'app:**

1. Nella Okta Admin Console, vai su **Applications** > **Applications**, poi clicca **Create App Integration**.
2. Imposta **Sign-in method** su **OIDC - OpenID Connect**.
3. Imposta **Application type** su **Web Application**.
4. Clicca **Next**.

<Frame caption="Creare un'integrazione app OIDC in Okta">
  <img src="https://mintcdn.com/base44/oUaRpzSyJvMVshj9/images/SSOOkta1.png?fit=max&auto=format&n=oUaRpzSyJvMVshj9&q=85&s=cae204f1199c671d22d0a00287a29b19" alt="Okta Create a new app integration dialog with OIDC and Web Application selected" width="1137" height="859" data-path="images/SSOOkta1.png" />
</Frame>

### Passaggio 2: Configura l'app

Imposta nome dell'app, redirect URI e chi può usarla.

**Per configurare l'app:**

1. Inserisci un **App name**, per esempio `Base44 - your workspace name`.
2. Sotto **Sign-in redirect URIs**, aggiungi l'URL di callback del workspace, sostituendo `{{WORKSPACE_ID}}` con il tuo workspace ID: `https://app.base44.com/api/workspaces/{{WORKSPACE_ID}}/auth/sso/callback`
3. Sotto **Sign-out redirect URIs**, aggiungi `https://app.base44.com`.
4. Sotto **Controlled access**, scegli chi può usare l'app, per esempio **Allow everyone in your organization to access**.
5. Clicca **Save**.

<Frame caption="Impostare i redirect URI di sign-in e sign-out in Okta">
  <img src="https://mintcdn.com/base44/oUaRpzSyJvMVshj9/images/SSOOkta2.png?fit=max&auto=format&n=oUaRpzSyJvMVshj9&q=85&s=1ed1a3069119d41f302243ee0a3bbfae" alt="Okta application sign-in and sign-out redirect URI settings" width="1266" height="441" data-path="images/SSOOkta2.png" />
</Frame>

### Passaggio 3: Ottieni le credenziali

Dalla scheda **General** dell'app, copia:

* **Client ID**
* **Client Secret**
* Il tuo **Okta domain**, solo il sottodominio (per esempio, `your-company`, non `your-company.okta.com`).

### Passaggio 4: Consenti Base44 nel tuo authorization server

Okta emette token solo alle app che una policy dell'authorization server consente.

**Per aggiungere una regola di access policy:**

1. Vai su **Security** > **API** > **Authorization Servers**, poi apri il server **default**.
2. Nella scheda **Access Policies**, clicca **Add Rule**, o modifica una regola esistente.
3. Nomina la regola (per esempio, `Allow Base44`), imposta il grant type su **Authorization Code** e applicala alla tua app Base44 (o tutti i client), tutti gli utenti e qualsiasi scope.
4. Clicca **Create Rule**.

<Note>
  Nella scheda **General** della tua app Base44 in Okta, disattiva **Federation Broker Mode**. Con attivo, il login può fallire con "You are not allowed to access this app."
</Note>

### Passaggio 5: Aggiungi i dettagli in Base44

Aggiungi le credenziali dell'app OIDC al workspace.

**Per configurare l'SSO in Base44:**

1. Clicca il nome del workspace in alto a sinistra del tuo account.
2. Clicca **Settings**.
3. Clicca **Auth and security**.
4. Attiva il toggle accanto a **Single Sign-On Configuration**.
5. In **Select SSO Provider**, scegli **Okta**.
6. Inserisci **Client ID**, **Client Secret** e **Okta Domain** (solo il sottodominio).
7. Mantieni **Scope** come `openid email profile`.
8. Il **Discovery URL** si compila automaticamente dal tuo Okta domain.
9. Clicca **Enable SSO**.

<Frame caption="Impostazioni SSO Okta nel tuo workspace Base44">
  <img src="https://mintcdn.com/base44/oUaRpzSyJvMVshj9/images/SSOOkta4.png?fit=max&auto=format&n=oUaRpzSyJvMVshj9&q=85&s=f68bd5a8d3b1c57b8f8bd1f7581c0a61" alt="Base44 Auth and security panel configured with Okta as the SSO provider" width="950" height="473" data-path="images/SSOOkta4.png" />
</Frame>

<Warning>
  Il Discovery URL generato automaticamente è corretto solo per un'organizzazione Okta standard sul suo dominio predefinito `.okta.com`. Se si applica uno dei casi qui sotto, il default è sbagliato e il login fallisce, quindi configura Okta tramite **Advanced / Manual configuration** e inserisci il Discovery URL a mano:

  * **Usa il Discovery URL `/oauth2/default`:** Punta Base44 al tuo authorization server Okta così viene restituita la claim `email`: `https://your-domain.okta.com/oauth2/default/.well-known/openid-configuration`. Se la tua organizzazione non ha un authorization server personalizzato, questo indirizzo restituisce un 404. In tal caso, usa `https://your-domain.okta.com/.well-known/openid-configuration` e mappa la claim `email` nel profilo dell'app Okta.
  * **Dominio Okta personalizzato:** Se il tuo team accede tramite un dominio brandizzato personalizzato (per esempio, `login.your-company.com`), usa quel dominio esatto nel Discovery URL, non il default `your-company.okta.com`. Okta emette token dal dominio con cui le persone accedono, quindi una mancata corrispondenza fallisce la validazione dell'issuer (`iss`) e il login si rompe.
</Warning>

### Passaggio 6: Assegna gli utenti

Le persone possono accedere una volta assegnate alla tua app Okta.

**Per assegnare gli utenti:**

1. Nella tua app Okta, vai alla scheda **Assignments**.
2. Clicca **Assign**, poi **Assign to People** o **Assign to Groups**.
3. Seleziona gli utenti o gruppi che dovrebbero poter accedere, poi clicca **Assign** e **Save and Go Back**.

<Tip>
  Per aggiungere e aggiornare i membri automaticamente invece di assegnarli a mano, configura il [provisioning SCIM per Okta](/Enterprise/Okta-SCIM).
</Tip>

***

## FAQ

Seleziona una domanda qui sotto per saperne di più sull'SSO Okta.

<AccordionGroup>
  <Accordion title="Il login fallisce con 'You are not allowed to access this app'">
    Aggiungi una regola di access policy sull'authorization server default (Passaggio 4), disattiva **Federation Broker Mode** nella scheda **General** dell'app e conferma che l'utente sia assegnato all'app.
  </Accordion>

  <Accordion title="Il login fallisce con un errore email">
    L'authorization server default di Okta non restituisce sempre la claim `email`. Configura Okta tramite **Advanced / Manual configuration** e usa il Discovery URL `/oauth2/default` così l'email viene restituita. Vedi la nota nel Passaggio 5.
  </Accordion>

  <Accordion title="Ho bisogno di app Okta separate per SSO e SCIM?">
    Sì. Le app OIDC di Okta non supportano SCIM, quindi l'SSO usa un'app OIDC e SCIM usa un'app SCIM 2.0 separata. Vedi [Provisioning SCIM per Okta](/Enterprise/Okta-SCIM).
  </Accordion>
</AccordionGroup>

<Note>Questa pagina è stata tradotta utilizzando l'IA. Per informazioni più accurate e aggiornate, consulta la [versione inglese](/). </Note>
