Sicurezza · Identità aziendale · ENS · NIS2

SSO in Dokuflex: Active Directory, ADFS, OAuth, SAML, CAS e 2FA — tutti gli standard di autenticazione aziendale

Collegare un BPM all'identità aziendale non dovrebbe essere un progetto di sei mesi. Dokuflex supporta nativamente Active Directory, ADFS, SAML 2.0, OAuth 2.0/OpenID Connect con Google e Microsoft Entra ID, Okta, CAS e 2FA.

Si configura da un unico pannello, preserva l'audit trail richiesto da ENS Alta e NIS2 e permette di combinare più provider (dipendenti interni + partner esterni) senza duplicare identità.

Parla con un tecnico Scopri Dokuflex
Sintesi esecutiva
  • 10+ protocolli supportati out-of-the-box (AD, ADFS, SAML, OAuth, OIDC, CAS, LDAPS, Kerberos, FIDO2).
  • <1h per collegare un Active Directory standard.
  • Multi-IdP: dipendenti, partner e fornitori con policy separate.
  • 2FA/MFA per ruolo, IP, sensibilità dell'azione e origine di rete.
  • ENS Alta · NIS2 · ISO 27001 · GDPR allineati.
D
Team Sicurezza Dokuflex
Aggiornato: 20 maggio 2026

Per CISO, IT Manager e architetti dell'identità. Questa guida è tecnica e specifica per Dokuflex. Se hai bisogno di dettagli concreti sul tuo IdP (claim, scope, endpoint), il tuo Customer Success Manager te li fornisce in meno di 24h.

Perché un BPM ha bisogno di SSO aziendale

Un BPM gestisce pratiche, contratti, fatture, firme e approvazioni. In altre parole: dati personali, finanziari e legali. Ogni utente che si autentica fuori dal perimetro aziendale è un vettore di rischio e un'identità in più da mantenere.

Senza SSO si accumulano quattro problemi: password deboli o riutilizzate, ex dipendenti con accesso ancora attivo, audit impossibile da correlare con il SIEM aziendale e rallentamento dell'onboarding/offboarding del personale (settimane, non minuti).

Con l'SSO collegato alla tua fonte autoritativa (Active Directory, Entra ID o Google Workspace), l'offboarding di un dipendente da parte dell'HR disattiva l'accesso in Dokuflex nello stesso ciclo di provisioning. Senza ticket, senza Excel.

Tabella dei protocolli supportati

Cosa è coperto out-of-the-box, senza sviluppo custom né moduli premium nascosti:

Protocollo / standard Caso d'uso tipico Supporto
Active Directory (LDAP/LDAPS) Autenticazione contro l'AD aziendale on-premise o ibrido. ✓ Nativo
ADFS (Active Directory Federation Services) Federazione SAML/WS-Fed su AD per ambienti Windows Server. ✓ Nativo
SAML 2.0 SSO standard con qualsiasi IdP SAML (Okta, OneLogin, Ping, Auth0, Keycloak…). ✓ Nativo
OAuth 2.0 + OpenID Connect (OIDC) Autenticazione moderna con flussi authorization-code + PKCE. ✓ Nativo
Microsoft Entra ID (ex Azure AD) SSO con Microsoft 365, Conditional Access, claim e gruppi. ✓ Nativo
Google Workspace SSO con account Google aziendali via OIDC o SAML. ✓ Nativo
CAS (Central Authentication Service) SSO tipico di università e pubbliche amministrazioni con CAS 3.x. ✓ Nativo
Kerberos / SPNEGO Single sign-on trasparente in intranet con la sessione Windows. ✓ Nativo
2FA / MFA TOTP (Google Authenticator, Authy, Microsoft Authenticator), SMS, email, push. ✓ Nativo
WebAuthn / FIDO2 Passkey, YubiKey e autenticatori biometrici per amministratori. ✓ Nativo
Certificato digitale + eID/CIE Autenticazione con smartcard crittografica (AC FNMT, ACA, ANCERT, Camerfirma). ✓ Nativo
SCIM 2.0 (provisioning) Sincronizzazione automatica di utenti e gruppi dall'IdP. ✓ Nativo

Tutti i protocolli sono inclusi nel piano Business e superiori, senza costi aggiuntivi per utente né licenza "Enterprise Security" separata.

Active Directory e LDAP/LDAPS

Lo scenario più comune nelle aziende di medie dimensioni con dominio Windows. Dokuflex si collega al domain controller via LDAPS (LDAP su TLS) e autentica l'utente senza memorizzare mai la password.

Cosa si configura in meno di 1 ora:

  • URL del DC: ldaps://dc.azienda.local:636
  • Bind DN tecnico (service account con permesso di lettura).
  • Base DN di ricerca: OU=Utenti,DC=azienda,DC=local
  • Mapping degli attributi: sAMAccountName, mail, memberOf per i ruoli.
  • Filtro di appartenenza: solo utenti del gruppo CN=Dokuflex-Users,OU=Apps.

Per ambienti ibridi (AD on-prem + Entra ID in cloud) consigliamo di delegare l'autenticazione a Entra ID via OIDC e riservare LDAP solo alle integrazioni di back-office.

ADFS e SAML 2.0

Se la tua azienda federa già le applicazioni tramite ADFS o un IdP SAML (Okta, OneLogin, Ping Identity, Auth0, Keycloak, Shibboleth), Dokuflex si collega come Service Provider in pochi passi:

  1. Scarica i metadata SP di Dokuflex (XML con entityID, ACS URL e certificato).
  2. Importali nel tuo IdP come nuova Relying Party / Application.
  3. Definisci i claim che viaggiano nell'assertion SAML: NameID, email, groups, department.
  4. Carica i metadata dell'IdP nel pannello di Dokuflex.
  5. Mappa i groups SAML → ruoli Dokuflex.

Supportiamo SP-Initiated SSO, IdP-Initiated SSO, Single Logout (SLO), firma e cifratura delle assertion e rotazione automatica dei certificati.

OAuth 2.0 e OIDC con Google e Microsoft Entra ID

Per le organizzazioni con identità in cloud il flusso consigliato è OAuth 2.0 + OpenID Connect (authorization code + PKCE). È lo standard moderno: rotazione dei token, refresh token, claim firmati come JWT.

M

Microsoft Entra ID

Registri Dokuflex come applicazione nel tuo tenant, configuri il redirect URI, definisci gli scope (openid, email, profile, groups) e opzionalmente imponi Conditional Access.

  • App Registration con redirect URI HTTPS.
  • Gruppi Entra ID → ruoli Dokuflex.
  • Conditional Access (IP, dispositivo, rischio di sessione).
  • MFA delegata a Entra ID (Authenticator app, FIDO2).
G

Google Workspace

Crei un OAuth Client nella Google Cloud Console, restringi il dominio (hd=azienda.com) e mappi i gruppi Workspace ai ruoli.

  • Client ID + Client Secret in Google Cloud.
  • Restrizione di dominio per impedire account personali.
  • Gruppi Workspace → ruoli Dokuflex via Directory API.
  • 2FA delegata a Google (Authenticator, Titan Key).

In entrambi i casi Dokuflex non memorizza la password né il fattore di autenticazione: la sessione vive nel tuo IdP e Dokuflex riceve solo il token firmato.

CAS (Central Authentication Service)

CAS è lo standard dominante nelle università pubbliche, negli ospedali e nelle pubbliche amministrazioni in Spagna e in Europa. Dokuflex implementa CAS 3.x come client:

  • Configurazione del cas-server-url.
  • Validazione del service ticket tramite /serviceValidate.
  • Lettura degli attributi (dipartimento, ruolo) dalla risposta CAS.
  • Logout federato (single sign-out) con notifica al server CAS.

Se la tua organizzazione lavora con SPID, CIE, cl@ve, AutenticaIDP o altri IdP del settore pubblico, anche questi si integrano via SAML 2.0 federato.

2FA / MFA: fattori e policy

Quando l'IdP aziendale impone già la MFA (Entra ID Conditional Access, Google 2-Step), Dokuflex la rispetta senza richiedere un ulteriore secondo fattore. Quando non lo fa, Dokuflex applica la MFA direttamente al login.

Fattori supportati:

  • TOTP (RFC 6238): Google Authenticator, Authy, Microsoft Authenticator, 1Password, Bitwarden.
  • WebAuthn / FIDO2: YubiKey, passkey di dispositivo (Touch ID, Windows Hello), chiavi Titan.
  • SMS (con le limitazioni raccomandate da NIST per gli ambienti sensibili).
  • Email OTP per utenti esterni senza smartphone aziendale.
  • Notifica push dall'app mobile Dokuflex.
  • Certificato digitale + CIE/eID come secondo fattore nelle operazioni di firma.

Policy configurabili: obbligatoria per amministratori, condizionale per ruolo, per IP (interna senza MFA / esterna con MFA), per sensibilità (firmare, esportare, approvare > X€) e per inattività della sessione.

Provisioning automatico (SCIM 2.0) e JIT

Oltre al login, Dokuflex si sincronizza con il tuo IdP in due modalità:

  • JIT (Just-In-Time): l'utente viene creato automaticamente in Dokuflex al primo accesso via SSO. Utile per SAML/OIDC con i gruppi come claim.
  • SCIM 2.0: sincronizzazione proattiva da Entra ID, Okta, OneLogin o Workspace. Crea, aggiorna e disattiva utenti e gruppi in tempo reale dall'IdP, senza intervento manuale.

Combinato: quando l'HR effettua l'offboarding di un dipendente su Workday/SAP SuccessFactors, la modifica arriva all'IdP e da lì a Dokuflex in pochi minuti. Zero accessi orfani.

Conformità normativa

L'SSO/MFA di Dokuflex è progettato per sostenere audit su:

ENS Alta

Controllo accessi rafforzato (op.acc.5/6/7), tracciabilità (op.mon.1) e MFA obbligatoria nelle categorie ALTA.

NIS2

Articolo 21: controllo accessi, MFA e gestione dell'identità come misure obbligatorie.

ISO/IEC 27001

Controlli A.9 (controllo accessi) e A.8 (gestione delle identità), tracciabilità end-to-end.

GDPR

Minimizzazione (solo claim necessari) e principio del minimo privilegio per i dati personali.

Ogni autenticazione, tentativo fallito, cambio di fattore MFA e modifica di policy viene registrato nel log immutabile di Dokuflex, esportabile verso il tuo SIEM (Splunk, QRadar, Elastic, Sentinel) via syslog o API.

Checklist per il CISO prima del deploy

  • 1. IdP autoritativo scelto: Entra ID, Google Workspace o ADFS come fonte unica.
  • 2. MFA imposta agli amministratori: obbligatoria, con WebAuthn/FIDO2 come fattore primario consigliato.
  • 3. Account break-glass: un account locale d'emergenza con MFA rafforzata e registro d'uso, fuori dall'IdP.
  • 4. Mapping dei ruoli validato: gruppi dell'IdP ↔ ruoli Dokuflex documentati e approvati dal business.
  • 5. SLO testato: il logout dall'IdP deve chiudere anche la sessione Dokuflex.
  • 6. Log collegati al SIEM: eventi di autenticazione inoltrati al security operations centre.
  • 7. Policy di sessione: durata del token, riautenticazione per azioni sensibili, IP allowlist se applicabile.

Domande frequenti

Quali standard di autenticazione supporta Dokuflex? +

Active Directory (LDAP/LDAPS), ADFS, SAML 2.0, OAuth 2.0, OpenID Connect, Microsoft Entra ID, Google Workspace, Okta, CAS, Kerberos/SPNEGO, certificato digitale + CIE/eID e SCIM 2.0 per il provisioning. Su ciascuno di essi, 2FA/MFA con TOTP, WebAuthn/FIDO2, SMS, email e push.

Quanto tempo serve per integrare Dokuflex con il nostro AD? +

Un'integrazione standard con AD/LDAP si configura in meno di 1 ora. Per ADFS o SAML il rollout tipico è di 2-4 ore, inclusi scambio di metadata, certificati e test con utenti pilota. Un ingegnere ti affianca durante la sessione.

Si può attivare la 2FA solo per gli amministratori o per ruoli specifici? +

Sì. Policy MFA per ruolo, gruppo, origine di rete (IP/CIDR) e sensibilità dell'azione (firma, approvazione di un pagamento, esportazione di dati). Per impostazione predefinita la MFA è obbligatoria per gli amministratori.

L'SSO funziona con utenti esterni o partner? +

Sì. Più IdP in parallelo: AD interno per i dipendenti, OIDC con Google o Microsoft per collaboratori esterni, autenticazione locale per fornitori occasionali. Ogni flusso con la propria policy MFA, mapping dei ruoli e audit trail.

Quale valore di compliance porta l'SSO di Dokuflex? +

Allineato con ENS Alta, ISO/IEC 27001, NIS2 (controllo accessi rafforzato), GDPR (minimizzazione e controllo accessi) ed eIDAS2 combinato con firma qualificata. Tutto registrato nel log immutabile di audit.

Si può disabilitare l'autenticazione locale quando l'SSO è attivo? +

Sì. Una volta validato l'SSO è possibile forzare il 100% degli accessi tramite l'IdP aziendale, lasciando solo un account break-glass con MFA rafforzata e registro d'uso. È la configurazione consigliata per le organizzazioni soggette a NIS2 o ENS Alta.

Prossimo passo

Collega Dokuflex alla tua identità aziendale questa settimana

Ti consegniamo una sandbox con metadata SAML/OIDC in 24h e una sessione di 60 minuti con il nostro ingegnere identità per integrarla con Entra ID, ADFS, AD, Google Workspace, Okta o CAS.

Richiedi sandbox + sessione tecnica Scopri Dokuflex Inizia gratis