Rela AIRela AI Docs
Amministrazione

SSO / SAML Enterprise

Configurazione dell'accesso singolo SAML per tenant enterprise.

Configurare SAML SSO per Tenant

I tenant Enterprise possono configurare SAML SSO tramite l'endpoint POST /api/v1/admin/sso/config. La configurazione richiede:

{
  "idp_entity_id": "https://idp.azienda.com/saml",
  "idp_sso_url": "https://idp.azienda.com/saml/sso",
  "idp_certificate": "-----BEGIN CERTIFICATE-----\n...\n-----END CERTIFICATE-----",
  "verified_domains": ["azienda.com"]
}

Solo un amministratore o proprietario del tenant può attivare SSO. La configurazione viene validata prima dell'archiviazione, verificando che il certificato sia valido e che l'URL SSO sia raggiungibile.

Metadati del Service Provider

Rela AI agisce come Service Provider (SP). I metadati SP sono disponibili su GET /api/v1/admin/sso/config e includono:

  • Entity ID: https://api.relaai.com/saml/{tenant_id}
  • ACS URL: https://api.relaai.com/api/v1/admin/sso/callback
  • Name ID Format: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Questi metadati devono essere configurati nell'Identity Provider (IdP) del tenant.

Flusso di Login SAML

Il processo di accesso SSO segue questi passaggi:

  1. L'utente accede a POST /api/v1/admin/sso/login con la propria email
  2. Il sistema risolve il tenant dal dominio email
  3. Viene generata una AuthnRequest SAML firmata
  4. L'utente viene reindirizzato all'IdP con la richiesta codificata in Base64
  5. L'utente si autentica presso l'IdP
  6. L'IdP invia la risposta SAML all'ACS URL

Il parametro RelayState viene utilizzato per preservare l'URL di destinazione.

Elaborazione della Risposta SAML

Quando l'IdP risponde all'ACS URL:

  1. La risposta SAML viene decodificata e validata
  2. La firma viene verificata contro il certificato IdP configurato
  3. Vengono estratti gli attributi dell'utente (email, nome, gruppi)
  4. L'utente viene cercato o creato nel sistema (provisioning automatico)
  5. Viene assegnato un ruolo basato sui gruppi SAML mappati
  6. Viene generato un JWT e l'utente viene reindirizzato alla dashboard

Il provisioning automatico crea nuovi utenti con il ruolo member per impostazione predefinita. Gli amministratori possono mappare i gruppi SAML a ruoli specifici.

Verifica del Dominio

Prima di attivare SSO, il tenant deve verificare la proprietà dei propri domini:

  1. Viene generato un token di verifica univoco
  2. L'amministratore aggiunge un record DNS TXT: _relaai-verify.azienda.com
  3. Il sistema verifica il record DNS periodicamente
  4. Una volta verificato, il dominio viene contrassegnato come verified

Solo i domini verificati possono essere utilizzati per SSO. Questo impedisce a un tenant di rivendicare domini che non gli appartengono.

Risoluzione del Tenant per Dominio Email

Il sistema risolve automaticamente il tenant dal dominio dell'email:

utente@azienda.com → dominio "azienda.com" → tenant con quel dominio verificato

Se il dominio non è associato a nessun tenant con SSO attivo, viene utilizzato il flusso di autenticazione standard (email + password).

La risoluzione è case-insensitive e supporta sottodomini se configurati. Più domini possono puntare allo stesso tenant.

Fatturazione e Abbonamenti

Gestione dei piani, limiti di utilizzo e misurazione dei consumi per tenant.

White Label e Partner

Personalizzazione del brand, domini personalizzati e programma partner.

In questa pagina

Configurare SAML SSO per TenantMetadati del Service ProviderFlusso di Login SAMLElaborazione della Risposta SAMLVerifica del DominioRisoluzione del Tenant per Dominio Email