GLPI supporta il login con Azure AD?

Sì. Tramite il protocollo SAML, GLPI può autenticare gli utenti direttamente tramite Microsoft Entra ID (ex Azure AD), incluso il provisioning automatico (JIT) alla prima autenticazione.

Ho bisogno di un plugin per il SSO in GLPI?

In GLPI 10, è necessario il plugin PHP SAML. In GLPI 11, consulta la documentazione ufficiale per il supporto nativo o usa il plugin compatibile.

Il SSO funziona con MFA (autenticazione a più fattori)?

Sì. Il MFA è gestito da Azure AD. GLPI riceve solo la conferma dell'autenticazione riuscita, indipendentemente dai fattori utilizzati.

Gli utenti vengono creati automaticamente in GLPI?

Sì, tramite provisioning Just-in-Time (JIT). Alla prima autenticazione, GLPI crea automaticamente l'utente con i dati di Azure AD (nome, email, gruppi).

Login SSO in GLPI con Azure AD (Entra ID): Guida Completa

Single Sign-On elimina la necessità di password separate per GLPI. I tuoi utenti accedono con il proprio account aziendale Microsoft 365, con MFA e tutte le policy di sicurezza di Azure AD.

Perché il SSO per GLPI

Elimina le password locali in GLPI (minore superficie di attacco)
Gli utenti accedono con le stesse credenziali di Microsoft 365
MFA gestito centralmente da Azure AD
Provisioning automatico: nuovo dipendente in AD = accesso a GLPI
Disattivazione centralizzata: disattivare in AD = nessun accesso a GLPI

Prerequisiti

GLPI 10.0.14+ o GLPI 11
Tenant Microsoft Entra ID (Azure AD) con autorizzazione di amministratore
GLPI accessibile via HTTPS (SSL obbligatorio per SAML)
Plugin PHP SAML installato in GLPI (per GLPI 10)

1. Configurare Azure AD

Creare l'applicazione enterprise

Nel portale Azure, vai a Entra ID > Enterprise Applications > New Application
Clicca su "Create your own application"
Nome: "GLPI" > Integrate any other application (Non-gallery)
In Single sign-on, seleziona "SAML"

Configurare gli URL SAML

Identifier (Entity ID): https://glpi.suaempresa.com/
Reply URL (ACS): https://glpi.suaempresa.com/front/acs.php
Sign-on URL: https://glpi.suaempresa.com/

Attributi e Claims

Configura i seguenti claims SAML:

name: user.displayname
emailaddress: user.mail
firstname: user.givenname
surname: user.surname

Scaricare il certificato

Nella sezione "SAML Signing Certificate", scarica il certificato Base64 e il Federation Metadata XML.

2. Configurare GLPI

Installare il plugin PHP SAML

Scarica il plugin compatibile con la tua versione di GLPI e installalo in /var/www/glpi/plugins/phpsaml/.

Configurare il plugin

In Configurazione > Plugin > PHP SAML, inserisci:

IdP Entity ID: valore Azure (Login URL)
IdP SSO URL: Login URL di Azure
IdP Certificate: contenuto del certificato Base64 scaricato
JIT Provisioning: Abilitato

3. Assegnare utenti e gruppi

In Azure AD, sotto Enterprise Applications > GLPI > Users and Groups, assegna gli utenti o i gruppi che avranno accesso a GLPI.

4. Testare

Accedi a https://glpi.suaempresa.com. Il pulsante di accesso SSO deve apparire. Cliccandoci, l'utente viene reindirizzato al login di Microsoft 365.

Risoluzione dei problemi

Errore certificato: verifica che il certificato in GLPI corrisponda a quello di Azure
Utente non creato: verifica che JIT sia abilitato e che i claims siano correttamente configurati
Loop di reindirizzamento: verifica che la Reply URL sia corretta e senza barra finale aggiuntiva

Passo successivo

Con il SSO configurato, procedi con profili e permessi per controllare cosa può fare ogni gruppo AD in GLPI.

Nextool Solutions

Perché il SSO per GLPI

Prerequisiti