Configurazione del Single Sign-On (SAML e OIDC)

CalendarBridge consente agli amministratori dell'organizzazione di abilitare il single sign-on, così i tuoi utenti accedono a CalendarBridge con lo stesso provider di identità che già usano per tutto il resto. Questa guida copre entrambi i protocolli supportati, i valori esatti del service provider da fornire al tuo provider di identità, le mappature degli attributi, i test e la risoluzione dei problemi.

C Chad Aggiornato il 16 giugno 2026 8 min di lettura

Il single sign-on in breve

Il single sign-on (SSO) consente al tuo team di autenticarsi a CalendarBridge tramite il provider di identità (IdP) della tua organizzazione anziché con una password CalendarBridge separata. Quando l'SSO è applicato, ogni utente del tuo dominio verificato viene reindirizzato al tuo IdP per accedere, e l'accesso può essere concesso o revocato centralmente.

Protocolli supportati: SAML 2.0 (avviato dal SP) e OpenID Connect (OIDC) / flusso Authorization Code di OAuth 2.0.
Edizione CalendarBridge: SSO e SCIM sono disponibili nei piani Group (Organizzazione) di CalendarBridge. Vengono configurati dal portale Gestisci organizzazione da un amministratore dell'organizzazione. Vedi Tipi di licenza dell'account Group e Licenze di seguito.
Architettura: CalendarBridge è un'applicazione SaaS multi-tenant. L'SSO è configurato per dominio verificato, così ogni cliente possiede e controlla la propria connessione al provider di identità. CalendarBridge recupera e considera attendibili solo i metadati/certificato dell'IdP che fornisci per il tuo dominio.

Provider di identità supportati

CalendarBridge funziona con qualsiasi provider di identità SAML 2.0 o OIDC conforme agli standard. Il portale Gestisci organizzazione include guide di configurazione integrate, passo dopo passo, per i seguenti:

Provider di identità	SAML 2.0	OpenID Connect	Documentazione del provider
Microsoft Entra ID (Azure AD)	Sì	Sì	Configurare l'SSO in Entra ID
Okta	Sì	Sì	Creare un'app SAML/OIDC in Okta
Google Workspace	Sì	—	Configurare un'app SAML personalizzata
JumpCloud	Sì	—	SSO con un'app SAML personalizzata
Qualsiasi altro IdP SAML 2.0 / OIDC	Sì	Sì	Usa i valori generici in questo articolo.

info

Inserimento nella galleria di Microsoft Entra ID CalendarBridge supporta SAML 2.0 avviato dal SP e avviato dall'IdP e convalida il certificato di firma, la finestra di validità, l'issuer e l'audience dell'asserzione SAML. Per la configurazione consigliata di Entra ID, indirizza CalendarBridge verso l'App Federation Metadata URL in modo che la rotazione dei certificati venga gestita automaticamente.

Licenze

L'SSO e il provisioning SCIM sono inclusi negli abbonamenti Group (Organizzazione) di CalendarBridge. Non c'è alcun costo aggiuntivo separato da parte di CalendarBridge per abilitare l'SSO. Tieni presente che alcuni provider di identità limitano le loro funzionalità di provisioning/SCIM a edizioni specifiche — ad esempio, l'auto-provisioning di Google Workspace richiede Enterprise Standard, Enterprise Plus o Education Plus. Il provisioning automatico degli utenti di Microsoft Entra ID richiede una licenza Microsoft Entra ID P1 o P2 nel tuo tenant.

Chi può configurare l'SSO (accesso basato sui ruoli)

Solo un amministratore dell'organizzazione CalendarBridge può visualizzare o modificare le impostazioni SSO e SCIM. I membri normali non vedono mai questi controlli. Per gestire l'SSO devi:

Essere un amministratore dell'account Group (vedi Panoramica del portale di amministrazione del Group), e
Avere almeno un dominio verificato sull'account. L'SSO è vincolato a un dominio verificato — vedi Collegare domini autorizzati.

lightbulb

Mantieni un amministratore break-glass Quando applichi l'SSO, assicurati che almeno un amministratore dell'organizzazione possa comunque raggiungere l'account se l'IdP non è disponibile. Gli amministratori di CalendarBridge mantengono un percorso di bypass, così non rimani mai bloccato fuori durante un'interruzione dell'IdP.

Apri la scheda Single Sign-On

Apri il portale Gestisci organizzazione

Dalla tua dashboard CalendarBridge, fai clic su Gestisci la tua organizzazione, oppure vai direttamente a calendarbridge.com/dashboard/organization.
Seleziona la scheda Single Sign-On

Scegli la scheda Single Sign-On. Se non hai ancora configurato l'SSO, vedrai un pulsante Configura SSO.
Fai clic su Configura SSO

Scegli il tuo protocollo (SAML o OIDC), assegna il dominio verificato a cui si applica questa configurazione e seleziona il tuo provider di identità per rivelare una guida di configurazione integrata e specifica per il provider.

Configurazione di SAML 2.0

La configurazione SAML è uno scambio bidirezionale: fornisci i valori del service provider (SP) di CalendarBridge al tuo IdP, e in cambio fornisci a CalendarBridge i metadati del tuo IdP.

Valori del service provider da inserire nel tuo IdP

Questi sono i valori che incolli nel tuo provider di identità quando crei l'applicazione CalendarBridge. I valori esatti, pronti da copiare per il tuo account sono mostrati con pulsanti Copia nella scheda Single Sign-On — copiali sempre dal portale anziché digitarli a mano.

Campo (l'etichetta varia a seconda dell'IdP)	Valore
Entity ID / Audience URI / SP Entity ID	`urn:amazon:cognito:sp:<your-pool-id>` — copia il valore esatto dalla scheda SSO.
ACS URL / Reply URL / Single sign-on URL	`https://<your-CalendarBridge-auth-domain>/saml2/idpresponse` — copia il valore esatto dalla scheda SSO.
Formato Name ID	`EmailAddress` (email persistente)
Binding	HTTP-POST per l'asserzione; HTTP-Redirect per la richiesta.

Mappature degli attributi richieste

Mappa questi claim nel tuo IdP. Inserisci il nome dell'attributo dell'app esattamente come mostrato — questi sono anche elencati con pulsanti di copia nel portale.

Attributo dell'app (inserisci esattamente)	Mappato da (nel tuo IdP)
`email`	Email primaria / Email / `user.mail`
`name`	Nome / nome di battesimo / `user.givenname`

Microsoft Entra ID (Azure AD) — SAML

Crea l'applicazione

Nell'interfaccia di amministrazione di Microsoft Entra, vai a Applicazioni enterprise → Nuova applicazione → Crea la tua applicazione → "Integra qualsiasi altra applicazione che non trovi nella galleria."
Apri Single sign-on → SAML
In Configurazione SAML di base, inserisci:
- Identificatore (Entity ID): l'Entity ID dalla scheda SSO di CalendarBridge.
- Reply URL (ACS): l'ACS URL dalla scheda SSO di CalendarBridge.
Configura attributi e claim

Aggiungi i claim email e name dalle mappature degli attributi di cui sopra e imposta il Name ID sull'email dell'utente.
Copia l'App Federation Metadata URL

In Certificato di firma SAML, copia l'App Federation Metadata URL (termina con /federationmetadata/2007-06/federationmetadata.xml). Usare l'URL — anziché caricare un file XML statico — consente a CalendarBridge di rilevare automaticamente le rotazioni dei certificati.
Assegna gli utenti, poi completa in CalendarBridge

Assegna gli utenti o i gruppi che devono avere accesso, poi torna alla scheda SSO di CalendarBridge, incolla l'URL dei metadati e salva.

Okta, Google Workspace, JumpCloud e altri — SAML

Il flusso è lo stesso per ogni IdP: crea un'app SAML personalizzata, incolla i valori del service provider, aggiungi le mappature degli attributi, poi fornisci a CalendarBridge i metadati dell'IdP. Il portale mostra i percorsi di menu precisi per Okta, Google Workspace e JumpCloud quando selezioni quel provider. Puoi fornire i metadati dell'IdP in due modi nella scheda SSO di CalendarBridge:

Metadata URL (consigliato) — incolla l'URL dei metadati di federazione dell'IdP; CalendarBridge lo recupera nuovamente in modo che le rotazioni dei certificati vengano rilevate automaticamente.
Metadata XML — carica il file .xml dei metadati dell'IdP se il tuo provider non pubblica un URL.

Configurazione di OpenID Connect (OIDC)

Per gli IdP che preferisci collegare tramite OIDC/OAuth 2.0, CalendarBridge usa il flusso Authorization Code. Creerai un'applicazione Web nel tuo IdP e fornirai a CalendarBridge tre valori.

Redirect URI da inserire nel tuo IdP

Campo	Valore
Redirect URI / Sign-in redirect URI (piattaforma: Web)	`https://<your-CalendarBridge-auth-domain>/oauth2/idpresponse` — copia il valore esatto dalla scheda SSO.

Valori da inserire in CalendarBridge

Campo CalendarBridge	Dove trovarlo nel tuo IdP
Discovery URL	Il documento di configurazione OpenID del tuo IdP, ad es. `https://<your-idp>/.well-known/openid-configuration`.
Client ID	Dalla registrazione dell'app che hai creato.
Client Secret	Un segreto che generi nella registrazione dell'app.

Autorizzazioni (scope) richieste e perché

CalendarBridge richiede solo gli scope OIDC standard minimi necessari per identificare l'utente che effettua l'accesso. Non richiede l'accesso a posta, file o dati del calendario tramite la connessione SSO.

Scope	Perché viene richiesto (giustificazione aziendale)
`openid`	Richiesto per eseguire l'autenticazione OpenID Connect e ricevere un token ID.
`email`	Usato come identificatore univoco dell'utente per abbinarlo alla tua organizzazione CalendarBridge e al dominio verificato.
`profile`	Legge il profilo di base (nome di battesimo) per popolare il nome visualizzato dell'utente al primo accesso.

info

Consenso con privilegi minimi Questi sono scope delegati, solo per l'accesso. Un amministratore (o l'utente, secondo la policy di consenso del tuo tenant) concede il consenso una volta al primo accesso. CalendarBridge non richiede autorizzazioni a livello di applicazione né autorizzazioni Microsoft Graph per posta/calendario come parte dell'SSO.

Microsoft Entra ID — OIDC

Registra l'applicazione

Nell'interfaccia di amministrazione di Microsoft Entra, vai a Registrazioni app → Nuova registrazione.
Aggiungi il redirect URI

Aggiungi un redirect URI della piattaforma Web impostato sul redirect URI OIDC di CalendarBridge mostrato nella scheda SSO.
Crea un client secret

In Certificati e segreti → Nuovo client secret, crea un segreto e copia il suo valore immediatamente.
Copia l'URL di discovery (metadati)

Da Panoramica → Endpoint, copia l'URL del documento di metadati OpenID Connect. Incolla l'URL di discovery, il client ID e il client secret nella scheda SSO di CalendarBridge e salva.

Applicazione dell'SSO per il tuo dominio

Per impostazione predefinita, abilitare l'SSO lo rende disponibile agli utenti del dominio. Spunta Applica SSO nel modulo di configurazione per richiederlo: ogni utente di quel dominio verificato dovrà quindi accedere tramite il tuo IdP, e l'accesso diretto con password sarà disabilitato per loro.

warning

Testa prima di applicare Conferma che un utente pilota possa accedere tramite SSO (sezione successiva) prima di abilitare l'applicazione, così non blocchi gli utenti a causa di un errore nei metadati o nella mappatura degli attributi. Gli amministratori di CalendarBridge mantengono un percorso di bypass per l'accesso break-glass.

Test con utenti pilota

Conferma che la configurazione sia Attiva

Dopo il salvataggio, la scheda di configurazione mostra un badge di stato. Attendi che indichi Attivo. Un badge In attesa significa che CalendarBridge non ha ancora convalidato i metadati dell'IdP; un badge Errore mostra il motivo inline.
Assegna un utente pilota nel tuo IdP

Assegna uno o due utenti di test all'app CalendarBridge nel tuo IdP, ma lascia l'applicazione disattivata per ora.
Accedi tramite SSO

Fai accedere l'utente pilota a CalendarBridge usando l'email/dominio della tua organizzazione. Dovrebbe essere reindirizzato al tuo IdP e tornare a CalendarBridge già autenticato. Conferma che il nome e l'email siano stati popolati correttamente.
Distribuisci

Una volta che il pilota ha successo, assegna il resto dei tuoi utenti e, se lo desideri, attiva Applica SSO.

Risoluzione dei problemi

Se la scheda di configurazione mostra uno stato di Errore, il messaggio visualizzato sulla scheda spiega l'errore specifico. Casi comuni:

Sintomo / messaggio	Causa probabile e soluzione
Stato bloccato su In attesa o "impossibile recuperare i metadati"	L'URL dei metadati è irraggiungibile o ha restituito contenuto non XML. Verifica che l'URL si carichi in un browser, oppure passa al caricamento del file XML dei metadati.
Errore "Firma non valida" / "certificato"	Il certificato di firma dell'IdP è ruotato e i metadati memorizzati sono obsoleti. Salva di nuovo usando il metadata URL dell'IdP (consigliato) in modo che le rotazioni vengano rilevate automaticamente, oppure ricarica l'XML corrente.
Mancata corrispondenza di "Audience" / "Issuer"	L'Entity ID / Audience URI nel tuo IdP non corrisponde esattamente al valore della scheda SSO. Ricopialo dal portale.
L'utente accede ma il nome/email è vuoto o rifiutato	Le mappature degli attributi `email` e `name` mancano o hanno un nome errato. Ricontrolla le mappature degli attributi richieste — i nomi fanno distinzione tra maiuscole e minuscole.
"AADSTS50105" / utente non assegnato (Entra ID)	L'utente non è assegnato all'app enterprise CalendarBridge in Entra ID. Assegna l'utente o il suo gruppo.
Mancata corrispondenza di Redirect/Reply URL	L'ACS URL (SAML) o il Redirect URI (OIDC) nel tuo IdP non corrisponde al valore nella scheda SSO. Ricopia il valore esatto.

Ottenere aiuto

Se sei bloccato dopo aver controllato il messaggio di errore sulla scheda di configurazione e la tabella di risoluzione dei problemi qui sopra, contatta il supporto CalendarBridge. Includi il dominio della tua organizzazione, il protocollo (SAML/OIDC), il tuo provider di identità e il messaggio di stato esatto mostrato sulla scheda.

Contatta il supporto CalendarBridge
Configurazione della sincronizzazione directory SCIM (Provisioning) — automatizza la creazione e la disattivazione degli utenti una volta che l'SSO è attivo.