Konga 2.0 introduce due importanti novità per migliorare la sicurezza nell’autenticazione degli utenti, ossia la possibilità di richiedere per gli utenti l’autenticazione a due fattori, oppure attivare la modalità Single Sign On per consentire ad un provider esterno di gestire l’autenticazione degli utenti. Vediamo in dettaglio queste due novità.

Autenticazione a due fattori

Attivabile da Configurazione database, nel pannello Sicurezza, l’autenticazione a due fattori (2FA) è un settaggio globale per gli utenti di un database, e richiede che tutti gli utenti si muniscano sul proprio dispositivo personale (cellulare o tablet) di un’applicazione per l’autenticazione 2FA – i più diffusi sono Google Authenticator (iOS/Android) o Microsoft Authenticator (iOS/Android), e sono entrambi compatibili con Konga.

Una volta attivata l’opzione su Konga, al successivo primo accesso al database verrà richiesto all’utente di scansionare con la propria app di autenticazione un codice QR-code; questa operazione serve a Konga per abbinare l’utenza al proprio dispositivo personale, è richiesta solo al primo accesso e non verrà richiesta in seguito.

Una volta effettuata la registrazione per l’accesso al database Konga con la vostra app di autenticazione, sarà possibile da quest’ultima generare un codice a 6 cifre per l’autenticazione 2FA con il programma. Su Konga al login dell’utente verrà chiesto nome utente e password come di consueto, ma successivamente verrà anche chiesto il codice 2FA per conferma dell’accesso:

Questo codice verrà richiesto ogni volta che verrà effettuato l’accesso al database Konga, per cui dovrete sempre avere a portata di mano il dispositivo con cui vi eravate registrati, in modo da poter usare l’applicazione 2FA per generare il codice corrispondente, che ogni volta sarà diverso. Qualora un utente dovesse perdere il dispositivo con cui aveva fatto la registrazione dell’utenza 2FA a Konga, anche l’accesso a Konga sarà precluso. Sarà tuttavia possibile forzare una nuova registrazione (mostrando un nuovo QR-code al login successivo) semplicemente accedendo alla Gestione utenti di Konga e effettuando un azzeramento della password per l’utente in questione.

Single Sign On

La modalità “Single Sign On” (SSO) è una modalità di accesso al database alternativa ai classici nome utente e password. Una volta attivata dalla Configurazione database, l’autenticazione degli utenti verrà a tutti gli effetti delegata da Konga ad un provider di autenticazione remoto, che si occuperà di validare o meno l’autenticazione degli utenti. Konga è compatibile con lo standard OpenID Connect e come tale consente di collegarsi ad un qualsiasi provider che supporti tale standard; Konga 2.0 permette la configurazione facilitata di Microsoft Entra ID come provider, ma consente anche di utilizzare un qualsiasi altro provider inserendo manualmente i parametri di configurazione. Per semplicità di seguito assumeremo l’utilizzo di Microsoft Entra ID.

L’accesso SSO richiede la creazione di una Applicazione sul portale di Microsoft Entra, ed è fondamentale che tale applicazione sia configurata in modo da avere una Authentication platform definita come Mobile and desktop application, con redirect URI impostato a konga://auth/oidc

Nella configurazione SSO di Konga, andranno inseriti l’ID dell’applicazione Entra creata in precedenza e l’ID del vostro tenant Entra. Una volta configurato il SSO, al prossimo accesso al database Konga non chiederà più nome utente e password alla vecchia maniera, ma verrà invece mostrata una maschera di accesso fornita dal provider di autenticazione remoto. Nel caso di Microsoft Entra ID, apparirà una schermata di questo tipo:

La modalità di autenticazione varia in base ai settaggi dell’account corrispondente impostati su Microsoft. Una volta effettuata l’autenticazione, il login avrà una scadenza temporale che dipende dal provider del servizio (normalmente 60/90 minuti); fino a che il login non sia scaduto, ogni nuovo accesso al database di Konga non richiederà di effettuare una nuova autenticazione.

L’opzione Rinnova automaticamente l’autenticazione con il provider fa in modo che l’autenticazione con il provider remoto abbia un tempo di scadenza molto lungo (alcune settimane), e si traduce nel fatto che una nuova autenticazione con il provider verrà richiesta molto più raramente.

Con il primo accesso che si effettua su un database di Konga in modalità SSO, verrà creato un nuovo utente Konga di tipologia SSO e ad esso verrà eventualmente associato un gruppo, assumendo che su Entra l’account abbia almeno un gruppo associato e che sia stato creato un gruppo di utenti con lo stesso nome su Konga. Qualora non esista almeno un gruppo di Konga con nome equivalente ad un gruppo Entra, Konga proverà ad assegnare al nuovo utente SSO il gruppo chiamato default, se definito; in caso contrario il nuovo utente semplicemente non avrà un gruppo associato. Sarà comunque possibile associare in qualsiasi momento un gruppo agli utenti SSO dalla finestra di Gestione Utenti di Konga.