DOCUMENTI/SAML SSO~ 8 MIN DI LETTURA

ENTERPRISE · SAML 2.0

Lascia che il tuo team acceda
con l'account che hanno già.

Il SSO SAML permette agli agenti di accedere a EasyLiveChat tramite il provider di identità che la tua azienda usa già — Okta, Microsoft Entra, Google Workspace, JumpCloud, OneLogin. Nessuna password extra da ricordare o revocare quando qualcuno se ne va.

§ 00Cos'è SAML SSO

SAML SSO collega EasyLiveChat al provider di identità che la tua azienda usa già — Okta, Microsoft Entra, Google Workspace o qualsiasi altro IdP SAML 2.0. Quando un agente clicca sulla tile EasyLiveChat nella dashboard del proprio IdP (o apre un segnalibro), viene reindirizzato all'IdP, accede lì con la password che usa già per tutto il resto, e torna nella casella EasyLiveChat. Nessuna password EasyLiveChat viene mai digitata.

Se hai mai cliccato “Accedi con Google” su un sito web, hai usato la versione consumer di questo schema. SAML è l'equivalente aziendale — il sito (noi) si fida di qualunque cosa il provider di identità (il tuo Okta / Microsoft / Google) dica su chi è l'utente.

EasyLiveChat non gestisce mai il provider di identità. Tu porti il tuo. Noi forniamo l'estremità ricevente.

§ 01Disponibilità per piano

SAML SSO è una funzionalità Enterprise. Si sblocca anche durante la prova gratuita di 14 giorni, così puoi valutare la configurazione prima di decidere.

PianoSAML SSO
Prova gratuitaSbloccato durante la prova
StarterBloccato
GrowthBloccato
EnterpriseIncluso

§ 02Valori da dare al tuo admin IdP

Questi sono gli identificatori lato EasyLiveChat che il tuo IdP deve conoscere. Sostituisci <slug> con lo slug del tuo workspace. La pagina /settings/sso li mostra tutti con pulsanti di copia.

URL Single Sign-On / ACShttps://api.livechattools.com/api/saml/<slug>/callback
Audience / Entity ID SPhttps://api.livechattools.com/api/saml/<slug>/metadata
Formato Name IDIndirizzo email
Attributo richiestoemail (o NameID = email)
Asserzione firmataRichiesta (la response firmata è opzionale)

La maggior parte degli IdP può anche importare direttamente un documento XML di metadata — l'URL dei metadata coincide con l'entity ID e restituisce l'XML costruito dal nostro backend.

§ 03Configurare Okta

Questi passi presuppongono che tu abbia accesso admin al tuo workspace Okta. Il tier Okta dev è gratuito ed è adatto alla valutazione.

  1. Accedi al pannello admin di Okta → Applications → Create App Integration → SAML 2.0.
  2. Dai un nome all'app (es. “EasyLiveChat”) e clicca Next.
  3. Nello step Configure SAML, compila questi campi con i valori della tua pagina /settings/sso:
    • Single sign-on URL → l'URL ACS che ti abbiamo fornito.
    • Spunta “Use this for Recipient URL and Destination URL”.
    • Audience URI (SP Entity ID) → l'entity ID che ti abbiamo fornito.
    • Name ID format → EmailAddress.
    • Application username → Email.
    • Attribute Statements → aggiungi una riga: emailuser.email — Name format Basic.
  4. Clicca Next → “I'm an Okta customer adding an internal app” → Finish.
  5. Nel tab Sign On della nuova app → “View SAML setup instructions”. Copia IdP Single Sign-On URL, IdP Issuer e X.509 Certificate (in formato PEM, con marcatori BEGIN/END).
  6. Assegna l'app agli utenti le cui email corrispondono agli agenti esistenti nel tuo workspace EasyLiveChat (People → Assignments).

§ 04Configurare Microsoft Entra (Azure AD)

Questi passi presuppongono che tu abbia un ruolo Global Administrator o Application Administrator in Microsoft Entra.

  1. Entra admin → Enterprise applications → New application → Create your own application → dai un nome (es. “EasyLiveChat”) → Non-gallery app.
  2. Apri la nuova app → Single sign-on → SAML.
  3. Basic SAML Configuration → imposta Identifier (Entity ID) e Reply URL (ACS) con i valori dalla tua pagina /settings/sso.
  4. Attributes & Claims → assicurati che ci sia un claim che porta l'email dell'utente. Affidati al claim emailaddress di default e incolla il suo URI nel campo “Email claim” di EasyLiveChat, oppure aggiungi un nuovo claim chiamato email con valore user.mail.
  5. SAML Signing Certificate → scarica il file “Certificate (Base64)” .cer. Aprilo in un editor di testo e copia tutto il contenuto PEM (inclusi i marcatori BEGIN/END) nel campo del certificato di firma di EasyLiveChat.
  6. Sotto “Set up <app name>”, copia la Login URL (→ IdP entry URL in EasyLiveChat) e il Microsoft Entra Identifier (→ IdP issuer). Assegna utenti via Users and groups.

§ 05Configurare Google Workspace

Questi passi presuppongono che tu sia Workspace Super Admin.

  1. Google admin → Apps → Web and mobile apps → Add app → Add custom SAML app. Dagli un nome come “EasyLiveChat”.
  2. Nello step IdP details, scarica il certificato X.509 e copia SSO URL ed Entity ID.
  3. Nello step Service provider details, incolla ACS URL ed Entity ID dalla tua pagina /settings/sso. Imposta Name ID format su EMAIL e Name ID su Basic Information > Primary email.
  4. Attribute mapping → mappa Primary email → attributo email dell'app.
  5. Termina, poi attiva l'app per l'unità organizzativa i cui utenti devono poter accedere. Salva il certificato e gli URL in EasyLiveChat.

§ 06Configurare in EasyLiveChat

Apri https://app.livechattools.com/settings/sso. e incolla i quattro valori appena raccolti dal tuo IdP:

  • IdP entry URLL'URL di single sign-on che l'IdP ti ha fornito (es. https://yourcompany.okta.com/app/exk.../sso/saml).
  • IdP issuerL'identificatore di entità dell'IdP (a volte chiamato Issuer URL o Entity ID lato IdP).
  • Certificato di firma IdP (PEM)Incolla il certificato X.509 inclusi i marcatori BEGIN CERTIFICATE / END CERTIFICATE.
  • Claim email (opzionale)Lascia vuoto per usare il NameID. Incolla un URI di claim se il tuo IdP invia l'email sotto un nome di attributo specifico.

Clicca Save. Il badge di stato passa a CONFIGURED e l'URL di login SP-initiated appare in fondo alla pagina.

§ 07Come accedono gli agenti

Due percorsi — entrambi finiscono nello stesso posto (la tua casella di posta), autenticati con un nuovo token di sessione.

  • SP-initiatedManda gli agenti su https://api.livechattools.com/api/saml/<slug>/login. Questo URL adatto ai segnalibri li manda al tuo IdP e li riporta indietro.
  • IdP-initiatedGli agenti cliccano sulla tile EasyLiveChat dal dashboard delle app del loro IdP (Okta dashboard, Microsoft 365 app launcher, Google Workspace app launcher). Atterrano direttamente nella casella EasyLiveChat.

§ 08Abbinamento agenti

EasyLiveChat abbina l'utente SAML a una riga Agent esistente tramite email — l'utente autenticato dall'IdP deve già esistere come agente nel tuo workspace. Non creiamo automaticamente agenti al primo login SSO (nessun provisioning “just-in-time” ancora) così che SSO non aggiri la governance degli inviti del tuo team.

Se l'utente SAML non ha un agente corrispondente, il callback reindirizza alla pagina di login di EasyLiveChat con reason=agent_not_found. Invita l'utente da Settings → Team con l'email esatta che l'IdP invia, poi riprova.

§ 09Risoluzione dei problemi

Se un login fallisce, EasyLiveChat reindirizza a /login?saml_error=1&reason=<code>. Il codice ti dice cosa è andato storto:

reason=Cosa è successoSoluzione
missing_responseL'IdP non ha inviato una SAMLResponse al nostro callback.Verifica di nuovo l'ACS / Single Sign-On URL lato IdP — deve essere esattamente la callback URL che ti abbiamo mostrato, incluso lo slug del workspace.
validation_failedAbbiamo ricevuto un SAMLResponse ma la firma non si è validata.Il certificato di firma incollato in /settings/sso deve coincidere con quello reale dell'IdP. Ricopia il PEM (inclusi i marcatori BEGIN/END) dall'IdP.
no_emailFirma OK ma nessuna email nell'asserzione.Assicurati che l'IdP invii l'email dell'utente — come NameID (formato EmailAddress) o come claim. Se è un claim, incolla il suo URI nel campo Email claim.
agent_not_foundL'email asserita dall'IdP non è nella tua lista di agenti.Invita l'utente da Settings → Team con esattamente quell'email, poi riprova il login.
Suggerisci modifica