{"id":149,"date":"2017-04-07T14:28:30","date_gmt":"2017-04-07T12:28:30","guid":{"rendered":"https:\/\/blog.besharp.it\/?p=149"},"modified":"2022-07-21T15:12:37","modified_gmt":"2022-07-21T13:12:37","slug":"single-sign-on-con-g-suite-sulla-console-di-amazon-web-services","status":"publish","type":"post","link":"https:\/\/blog.besharp.it\/it\/single-sign-on-con-g-suite-sulla-console-di-amazon-web-services\/","title":{"rendered":"Single-sign-on con G Suite sulla console di Amazon Web Services."},"content":{"rendered":"<p>Chi, tra gli utilizzatori della console di AWS non si \u00e8 mai scontrato con l\u2019annoso problema di <strong>gestire molteplici utenti su altrettanti account<\/strong>, dovendo creare diversi IAM user e, per ognuno di essi, password complesse, oltre alla quanto mai fondamentale (ma decisamente scomoda, diciamoci la verit\u00e0) <strong>two-factor-authentication<\/strong>?<\/p>\n<p>Proprio riguardo a quest\u2019ultima, dando per scontato che non si voglia utilizzare un token hardware dedicato per ogni singolo IAM user, la scelta ricade quasi obbligatoriamente sul <a href=\"https:\/\/en.wikipedia.org\/wiki\/Google_Authenticator\"><strong>Google Authenticator<\/strong><\/a>, con codici e QR code che proliferano come funghi e che diventa complicato salvaguardare da eventi nefasti legati allo smartphone (furti, smarrimenti, rotture, backup, cambio device\u2026)<\/p>\n<p>AWS in realt\u00e0 offrirebbe <a href=\"https:\/\/aws.amazon.com\/blogs\/aws\/new-cross-account-access-in-the-aws-management-console\/\">un servizio di <strong>cross-account access<\/strong><\/a> per la sua management console, che ha per\u00f2 diversi limiti, tra i quali:<\/p>\n<ul>\n<li><del>il limite massimo di 5 account AWS gestiti;<\/del> <strong>[UPDATE: il limite \u00e8 stato rimosso :)]<\/strong><\/li>\n<li>l&#8217;essere basato sui cookie del browser da cui si accede (se cambiamo browser o cancelliamo la cache si azzera tutto);<\/li>\n<li>il richiedere almeno uno IAM user &#8220;master&#8221; da cui partire, che necessita di credenziali di login e TFA dedicate.<\/li>\n<\/ul>\n<p>La risposta pi\u00f9 consona alla necessit\u00e0 di gestire centralmente utenti e accessi, per AWS cos\u00ec come per la stragrande maggioranza delle applicazioni che necessitano autenticazione multi-utente, si chiama \u00a0<strong>Single-sign-on<\/strong>\u00a0(SSO).<\/p>\n<p>Tipicamente, il meccanismo del SSO si basa su un\u00a0<a href=\"https:\/\/en.wikipedia.org\/wiki\/Identity_provider\"><strong>Identity Provider<\/strong><\/a> (un repository centralizzato di tutte le identit\u00e0 aziendali con relativi attributi \u2013 username, password, gruppi, ruoli ecc\u2026) e una serie di <strong>Service Provider<\/strong> (le applicazioni dove gli utenti si possono loggare con le loro identit\u00e0 aziendali) che vengono federati all&#8217;Identity Provider con <strong>relazioni di <em>trust<\/em> forte<\/strong>, basate tipicamente sulla <strong>condivisione di chiavi, certificati o token<\/strong>. In questo modo gli utenti possono utilizzare un\u2019unica utenza (e quindi una sola password e una singola TFA), gestita in maniera centralizzata, per loggarsi in tutte le applicazioni per le quali sono stati abilitati.<\/p>\n<p>Se i Service Provider possono essere le applicazioni pi\u00f9 disparate (Web, desktop, mobile, accesso remoto, CLI, API ecc\u2026.), gli Identity Provider sono quasi sempre dei <strong><a href=\"https:\/\/en.wikipedia.org\/wiki\/Lightweight_Directory_Access_Protocol\">server LDAP<\/a> o <a href=\"https:\/\/en.wikipedia.org\/wiki\/Active_Directory\">Microsoft Active Directory<\/a><\/strong>. In particolare MS AD \u00e8 lo standard de facto nella maggior parte delle aziende pi\u00f9 strutturate per la gestione delle identit\u00e0 aziendali, ed \u00e8 infatti supportato di default da tutte le applicazioni che prevedano la possibilit\u00e0 di fare SSO.<\/p>\n<p>Tuttavia <strong>non \u00e8 cos\u00ec comune trovare implementata un\u2019infrastruttura MS AD<\/strong> (ma il discorso vale in parte anche per LDAP), in particolar modo nelle realt\u00e0 pi\u00f9 piccole o giovani e agili, per ragioni che spaziano <strong>dai costi alla complessit\u00e0 di gestione<\/strong> (specie se si necessita del servizio di AD erogato in alta affidabilit\u00e0), senza trascurare il fatto che MS AD \u00e8 tipico di realt\u00e0 Microsoft-centriche (quasi tutte le grandi aziende legacy) ed \u00e8 quindi meno diffuso dove il parco client \u00e8 pi\u00f9 eterogeneo (Windows+Mac+Linux\u2026).<\/p>\n<p>Una tendenza molto diffusa in realt\u00e0 \u00e8 quella di utilizzare come Identity Provider l\u2019account Google Apps (da poco rinominato in <a href=\"https:\/\/gsuite.google.com\/\">G Suite<\/a>) aziendale, servizio ampiamente diffuso e largamente utilizzato per le funzionalit\u00e0 di posta elettronica e colaboration. In questo modo si pu\u00f2 fare SSO sulle numerosissime <strong>applicazioni che gi\u00e0 nativamente supportano la funzione \u201clogin with Google\u201d<\/strong>, ma anche su quelle (come \u00e8 il caso della console di AWS) che supportano lo <a href=\"https:\/\/en.wikipedia.org\/wiki\/Security_Assertion_Markup_Language\"><strong>standard SAML<\/strong><\/a>, standard per il quale da circa un anno G Suite eroga il servizio di Identity Provider.<\/p>\n<figure id=\"attachment_186\" aria-describedby=\"caption-attachment-186\" style=\"width: 624px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-186 size-full\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/WD_2.png\" alt=\"\" width=\"624\" height=\"294\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/WD_2.png 624w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/WD_2-400x188.png 400w\" sizes=\"(max-width: 624px) 100vw, 624px\" \/><figcaption id=\"caption-attachment-186\" class=\"wp-caption-text\">Schema di funzionamento dell&#8217;autenticazione tramite SAML tra G Suite e la console di AWS<\/figcaption><\/figure>\n<p>Vediamo quindi come <strong>configurare i nostri account AWS e G Suite per far funzionare il Single-Sign-On con SAML<\/strong>.<\/p>\n<p>Innanzi tutto, nella pagina di amministrazione di G Suite, dobbiamo aggiungere degli attributi custom ai nostri utenti, tramite i quali il nostro Identity Provider (Google) comunicher\u00e0 al Service Provider (AWS) oltre all\u2019identit\u00e0 dell\u2019utente loggato, informazioni aggiuntive che spiegheremo in seguito.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-173 size-full\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/user_attributes.png\" alt=\"\" width=\"1588\" height=\"596\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/user_attributes.png 1588w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/user_attributes-400x150.png 400w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/user_attributes-1024x384.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/user_attributes-768x288.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/user_attributes-1536x576.png 1536w\" sizes=\"(max-width: 1588px) 100vw, 1588px\" \/><\/p>\n<p>Creiamo una categoria di attributi custom e chiamiamola \u201cAWS SAML\u201d e creiamo gli attributi \u201cIAM Role\u201d e \u201cSessionDuration\u201d. E\u2019 importante che entrambi gli attributi siano privati (ovvero non visualizzabili da tutti gli utenti della vostra organizzazione) e che l\u2019attributo \u201cIAM Role\u201d supporti valori multipli.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-174 size-full\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/user_attributes2.png\" alt=\"\" width=\"1349\" height=\"1369\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/user_attributes2.png 1349w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/user_attributes2-296x300.png 296w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/user_attributes2-1009x1024.png 1009w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/user_attributes2-768x779.png 768w\" sizes=\"(max-width: 1349px) 100vw, 1349px\" \/><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-175 size-full\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/user_attributes3.png\" alt=\"\" width=\"1430\" height=\"965\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/user_attributes3.png 1430w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/user_attributes3-400x270.png 400w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/user_attributes3-1024x691.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/user_attributes3-768x518.png 768w\" sizes=\"(max-width: 1430px) 100vw, 1430px\" \/><\/p>\n<p>Fatto questo andiamo nella sezione \u201cApps\u201d e aggiungiamo una nuova applicazione SAML, partendo dal template pre-configurato per AWS.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-170 size-full\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/saml.png\" alt=\"\" width=\"3312\" height=\"943\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/saml.png 3312w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/saml-400x114.png 400w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/saml-1024x292.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/saml-768x219.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/saml-1536x437.png 1536w\" sizes=\"(max-width: 3312px) 100vw, 3312px\" \/><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-171 size-full\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/saml2.png\" alt=\"\" width=\"1362\" height=\"1329\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/saml2.png 1362w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/saml2-307x300.png 307w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/saml2-1024x999.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/saml2-768x749.png 768w\" sizes=\"(max-width: 1362px) 100vw, 1362px\" \/><\/p>\n<p>Scarichiamo (opzione 2) gli IDP Metadata (di fatto un file .xml che contiene alcuni parametri di configurazione e il certificato X509 su cui si basa la relazione di <em>trust<\/em> tra IdP e SP) e teniamoli da parte per un passaggio successivo. <strong>ATTENZIONE!!! Il contenuto di questo file non deve essere diffuso per nessun motivo; sulla sua segretezza si basa la sicurezza di tutta la soluzione!<\/strong><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-159 size-full\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/idp_meta.png\" alt=\"\" width=\"1331\" height=\"1286\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/idp_meta.png 1331w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/idp_meta-310x300.png 310w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/idp_meta-1024x989.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/idp_meta-768x742.png 768w\" sizes=\"(max-width: 1331px) 100vw, 1331px\" \/><\/p>\n<p>Proseguiamo nella configurazione mappando l\u2019entit\u00e0 SAML \u201cName ID\u201d su \u201cPrimary Email\u201d (ovvero l\u2019utente verr\u00e0 presentato alla console AWS con l\u2019indirizzo mail come identificativo univoco).<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-161 size-full\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/mapping1.png\" alt=\"\" width=\"1337\" height=\"1277\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/mapping1.png 1337w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/mapping1-314x300.png 314w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/mapping1-1024x978.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/mapping1-768x734.png 768w\" sizes=\"(max-width: 1337px) 100vw, 1337px\" \/><\/p>\n<p>Nel passaggio successivo dobbiamo configurare tre mapping aggiuntivi (attenzione che qui la UI di G Suite non \u00e8 molto chiara, in quanto non si leggono bene gli URL nella colonna di sinistra):<\/p>\n<ul>\n<li>L\u2019attributo <em>https:\/\/aws.amazon.com\/SAML\/Attributes\/RoleSessionName<\/em> va mappato nuovamente su \u201cPrimary Email\u201d<\/li>\n<li>L\u2019attributo <em>https:\/\/aws.amazon.com\/SAML\/Attributes\/Role<\/em> va mappato sull\u2019attributo custom \u201cIAM role\u201d che abbiamo creato prima. In questo modo stiamo dicendo ad AWS quali ruoli l\u2019utente \u00e8 autorizzato ad assumere e su quali account.<\/li>\n<li>Va aggiunto l\u2019attributo <em>https:\/\/aws.amazon.com\/SAML\/Attributes\/SessionDuration<\/em> che va mappato sull\u2019attributo custom \u201cSessionDuration\u201d che abbiamo creato prima. Qui stiamo dicendo ad AWS quanto deve durare la sessione di un determinato utente prima di essere sloggato in automatico.<\/li>\n<\/ul>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-162 size-full\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/mapping2.png\" alt=\"\" width=\"1345\" height=\"1295\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/mapping2.png 1345w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/mapping2-312x300.png 312w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/mapping2-1024x986.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/mapping2-768x739.png 768w\" sizes=\"(max-width: 1345px) 100vw, 1345px\" \/><\/p>\n<p>\u00c8 molto utile poter personalizzare questo parametro perch\u00e9 di default la sessione dura 1 ora, e, per esperienza di chi lavora parecchio sulla console AWS, \u00e8 un valore molto basso, che comporta numerosi e scomodi logout forzati durante l\u2019operativit\u00e0 quotidiana. <strong>ATTENZIONE!!! Questo \u201ctrick\u201d \u00e8 un\u2019esclusiva di beSharp; non \u00e8 documentato sulle guide ufficiali ne\u2019 di Google ne\u2019 di AWS! (nda).<\/strong><\/p>\n<p>A questo punto la configurazione di G Suite \u00e8 terminata e passiamo alla configurazione di AWS.<\/p>\n<p>Andiamo nella sezione <a href=\"https:\/\/aws.amazon.com\/iam\/\">IAM<\/a> &#8211;&gt; Identity Providers e creiamone uno nuovo, di tipo SAML, che chiamiamo \u201cGoogleApps\u201d; in questo punto dovremo caricare gli IdP metadata che abbiamo scaricato in precedenza (una volta caricato il file in questo punto, suggerisco di cancellarlo dal proprio computer)<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-155 size-full\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/aws_idp.png\" alt=\"\" width=\"3328\" height=\"807\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/aws_idp.png 3328w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/aws_idp-400x97.png 400w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/aws_idp-1024x248.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/aws_idp-768x186.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/aws_idp-1536x372.png 1536w\" sizes=\"(max-width: 3328px) 100vw, 3328px\" \/><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-156\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/aws_idp2-400x227.png\" alt=\"\" width=\"500\" height=\"284\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/aws_idp2-400x227.png 400w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/aws_idp2-768x436.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/aws_idp2.png 924w\" sizes=\"(max-width: 500px) 100vw, 500px\" \/><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-157\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/aws_idp3.png\" alt=\"\" width=\"500\" height=\"227\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/aws_idp3.png 1174w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/aws_idp3-400x182.png 400w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/aws_idp3-1024x466.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/aws_idp3-768x349.png 768w\" sizes=\"(max-width: 500px) 100vw, 500px\" \/><\/p>\n<p>Poi creiamo un nuovo IAM role che chiamiamo \u201cGoogleLogin\u201d e come tipo di ruolo selezioniamo \u201cIdentity Provider Access\u201d &#8211;&gt; \u201cWebSSO\u201d e lo associamo all\u2019Identity Provider \u201cGoogleApps\u201d che abbiamo appena creato.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-164 size-full\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role.png\" alt=\"\" width=\"1962\" height=\"609\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role.png 1962w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role-400x124.png 400w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role-1024x318.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role-768x238.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role-1536x477.png 1536w\" sizes=\"(max-width: 1962px) 100vw, 1962px\" \/><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-165 size-full\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role2.png\" alt=\"\" width=\"3304\" height=\"818\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role2.png 3304w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role2-400x99.png 400w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role2-1024x254.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role2-768x190.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role2-1536x380.png 1536w\" sizes=\"(max-width: 3304px) 100vw, 3304px\" \/><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-166 size-full\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role3.png\" alt=\"\" width=\"3232\" height=\"558\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role3.png 3232w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role3-400x69.png 400w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role3-1024x177.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role3-768x133.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role3-1536x265.png 1536w\" sizes=\"(max-width: 3232px) 100vw, 3232px\" \/><\/p>\n<p>Nei passi successivi del wizard associamo una policy allo IAM role per dare i permessi (nel nostro esempio abbiamo dato i permessi di admin \u2013 <strong>DON\u2019T TRY THIS AT HOME!!! \ud83d\ude42<\/strong> ) e la configurazione lato AWS \u00e8 terminata.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-167 size-full\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role4.png\" alt=\"\" width=\"2413\" height=\"1015\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role4.png 2413w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role4-400x168.png 400w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role4-1024x431.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role4-768x323.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role4-1536x646.png 1536w\" sizes=\"(max-width: 2413px) 100vw, 2413px\" \/><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-168 size-full\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role5.png\" alt=\"\" width=\"3292\" height=\"1595\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role5.png 3292w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role5-400x194.png 400w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role5-1024x496.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role5-768x372.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role5-1536x744.png 1536w\" sizes=\"(max-width: 3292px) 100vw, 3292px\" \/><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-169 size-full\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role6.png\" alt=\"\" width=\"1976\" height=\"604\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role6.png 1976w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role6-400x122.png 400w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role6-1024x313.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role6-768x235.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/role6-1536x470.png 1536w\" sizes=\"(max-width: 1976px) 100vw, 1976px\" \/><\/p>\n<p>Adesso torniamo nell\u2019amministrazione di G Suite, per assegnare ai singoli utenti i permessi relativi a quali ruoli possono assumere e su quali account AWS.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-176 size-full\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/utente.png\" alt=\"\" width=\"3311\" height=\"1530\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/utente.png 3311w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/utente-400x185.png 400w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/utente-1024x473.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/utente-768x355.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/utente-1536x710.png 1536w\" sizes=\"(max-width: 3311px) 100vw, 3311px\" \/><\/p>\n<p>Questa \u00e8 la parte meno intuitiva della configurazione: per quanto riguarda i ruoli e gli account accessibili, AWS si aspetta da Google dei valori di questo tipo:<\/p>\n<pre lang=\"yaml\">arn:aws:iam::1234567891012:role\/GoogleLogin,arn:aws:iam::1234567891012:saml-provider\/GoogleApps<\/pre>\n<p>Come vedete si tratta di due <a href=\"http:\/\/docs.aws.amazon.com\/general\/latest\/gr\/aws-arns-and-namespaces.html\">ARN<\/a> separati da una virgola. Il primo \u00e8 l\u2019ARN del ruolo che quell\u2019utente pu\u00f2 assumere, il secondo \u00e8 l\u2019ARN dell\u2019identity provider che abbiamo creato all\u2019interno dell\u2019account AWS. (il numero 1234567891012 \u00e8 un segnaposto che va sostituito con il vero account number del vostro account AWS). Questo valore va inserito nel campo custom \u201cIAM role\u201d che abbiamo creato in precedenza. In questo modo possiamo specificare per ogni utente quale ruolo pu\u00f2 assumere e su quale account AWS.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-154 size-full\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/attributi.png\" alt=\"\" width=\"1305\" height=\"804\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/attributi.png 1305w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/attributi-400x246.png 400w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/attributi-1024x631.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/attributi-768x473.png 768w\" sizes=\"(max-width: 1305px) 100vw, 1305px\" \/><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-163 size-full\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/mario_rossi.png\" alt=\"\" width=\"3322\" height=\"1606\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/mario_rossi.png 3322w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/mario_rossi-400x193.png 400w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/mario_rossi-1024x495.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/mario_rossi-768x371.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/mario_rossi-1536x743.png 1536w\" sizes=\"(max-width: 3322px) 100vw, 3322px\" \/><\/p>\n<p>Se vi ricordate bene abbiamo fatto in modo che l\u2019attributo \u201cIAM role\u201d supportasse valori multipli; infatti \u00e8 possibile, per lo stesso utente, specificare pi\u00f9 ruoli all\u2019interno dello stesso account, o anche su account differenti. Baster\u00e0 aggiungere altre tuple del tipo:<\/p>\n<pre lang=\"yaml\">arn:aws:iam::112233445566:role\/Ruolo1,arn:aws:iam::112233445566:saml-provider\/GoogleApps\r\narn:aws:iam::112233445566:role\/Ruolo2,arn:aws:iam::112233445566:saml-provider\/GoogleApps<\/pre>\n<p>e subito dopo il login ci verr\u00e0 chiesto quale ruolo vogliamo assumere su quale account.<\/p>\n<p>Ovviamente, perch\u00e8 tutto funzioni, nel nostro esempio dovremmo ripetere la procedura di federazione SAML (con lo scambio degli IdP metadata) anche per l\u2019account 112233445566<\/p>\n<p>Nel campo custom \u201cSessionDuration\u201d potete specificare, per ogni utente, la durata in secondi della sessione di login. Suggerisco il valore 28800, che corrisponde a 8 ore, ovvero circa a una tipica giornata lavorativa.<\/p>\n<p>A questo punto non ci resta che abilitare la SAML application che abbiamo creato, e tutti gli utenti si troveranno una nuova icona nel loro menu di accesso rapido alle Google Apps.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-172 size-full\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/turn_on.png\" alt=\"\" width=\"3312\" height=\"1158\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/turn_on.png 3312w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/turn_on-400x140.png 400w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/turn_on-1024x358.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/turn_on-768x269.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/turn_on-1536x537.png 1536w\" sizes=\"(max-width: 3312px) 100vw, 3312px\" \/><\/p>\n<p>Facciamo login\u00a0quindi con il nostro account di prova &#8220;Mario Rossi&#8221; e, cliccando sull\u2019icona corrispondente, verremo magicamente indirizzati verso la console AWS dove, come potete vedere, risultiamo loggati con il nostro account federato, m.rossi@besharp.net.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-158 size-full\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/icona.png\" alt=\"\" width=\"3351\" height=\"1431\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/icona.png 3351w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/icona-400x171.png 400w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/icona-1024x437.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/icona-768x328.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/icona-1536x656.png 1536w\" sizes=\"(max-width: 3351px) 100vw, 3351px\" \/><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-160 size-full\" src=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/login.png\" alt=\"\" width=\"3228\" height=\"1123\" srcset=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/login.png 3228w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/login-400x139.png 400w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/login-1024x356.png 1024w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/login-768x267.png 768w, https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/login-1536x534.png 1536w\" sizes=\"(max-width: 3228px) 100vw, 3228px\" \/><\/p>\n<p>Soddisfatti? \ud83d\ude42<\/p>\n<p>Nel prossimo articolo vedremo come abbiamo utilizzato, in maniera decisamente creativa, lo stesso approccio basato su G Suite e SSO per utilizzare ai servizi AWS che prevedono l\u2019autenticazione tramite la coppia key\/secret, come la <a href=\"https:\/\/aws.amazon.com\/cli\/\">AWS CLI<\/a>, <a href=\"https:\/\/aws.amazon.com\/codecommit\/\">CodeCommit<\/a> e l\u2019accesso alle API da client extra VPC.<\/p>\n<p>Negli\u00a0articoli successivi, invece, approfondiremo l\u2019utilizzo di G Suite come Identity Provider per tutti gli altri servizi che normalmente richiederebbero una federazione con Active Directory o LDAP.<\/p>\n<p>Avete dubbi o domande? Commentate l&#8217;articolo, vi risponderemo ASAP! E se volete implementare una soluzione come questa ma vi manca il tempo o la voglia&#8230; <a href=\"mailto:info@besharp.it\">chiamateci<\/a>!<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Chi, tra gli utilizzatori della console di AWS non si \u00e8 mai scontrato con l\u2019annoso problema di gestire molteplici utenti [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":186,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[471],"tags":[271,345,329],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v21.9.1 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>Single-sign-on con G Suite sulla console di Amazon Web Services. - Proud2beCloud Blog<\/title>\n<meta name=\"description\" content=\"Single-sign-on con G Suite sulla console AWS. Vediamo come configurare i nostri account AWS e G Suite per far funzionare il Single-Sign-On con SAML.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/blog.besharp.it\/it\/single-sign-on-con-g-suite-sulla-console-di-amazon-web-services\/\" \/>\n<meta property=\"og:locale\" content=\"it_IT\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Single-sign-on con G Suite sulla console di Amazon Web Services.\" \/>\n<meta property=\"og:description\" content=\"Single-sign-on con G Suite sulla console AWS. Vediamo come configurare i nostri account AWS e G Suite per far funzionare il Single-Sign-On con SAML.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/blog.besharp.it\/it\/single-sign-on-con-g-suite-sulla-console-di-amazon-web-services\/\" \/>\n<meta property=\"og:site_name\" content=\"Proud2beCloud Blog\" \/>\n<meta property=\"article:published_time\" content=\"2017-04-07T12:28:30+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2022-07-21T13:12:37+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/WD_2.png\" \/>\n\t<meta property=\"og:image:width\" content=\"624\" \/>\n\t<meta property=\"og:image:height\" content=\"294\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Simone Merlini\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:title\" content=\"Single-sign-on con G Suite sulla console di Amazon Web Services.\" \/>\n<meta name=\"twitter:description\" content=\"Single-sign-on con G Suite sulla console AWS. Vediamo come configurare i nostri account AWS e G Suite per far funzionare il Single-Sign-On con SAML.\" \/>\n<meta name=\"twitter:image\" content=\"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/WD_2.png\" \/>\n<meta name=\"twitter:label1\" content=\"Scritto da\" \/>\n\t<meta name=\"twitter:data1\" content=\"Simone Merlini\" \/>\n\t<meta name=\"twitter:label2\" content=\"Tempo di lettura stimato\" \/>\n\t<meta name=\"twitter:data2\" content=\"8 minuti\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/blog.besharp.it\/it\/single-sign-on-con-g-suite-sulla-console-di-amazon-web-services\/\",\"url\":\"https:\/\/blog.besharp.it\/it\/single-sign-on-con-g-suite-sulla-console-di-amazon-web-services\/\",\"name\":\"Single-sign-on con G Suite sulla console di Amazon Web Services. - Proud2beCloud Blog\",\"isPartOf\":{\"@id\":\"https:\/\/blog.besharp.it\/it\/#website\"},\"datePublished\":\"2017-04-07T12:28:30+00:00\",\"dateModified\":\"2022-07-21T13:12:37+00:00\",\"author\":{\"@id\":\"https:\/\/blog.besharp.it\/it\/#\/schema\/person\/f5772030de5fdee2860686ede72225ee\"},\"description\":\"Single-sign-on con G Suite sulla console AWS. Vediamo come configurare i nostri account AWS e G Suite per far funzionare il Single-Sign-On con SAML.\",\"breadcrumb\":{\"@id\":\"https:\/\/blog.besharp.it\/it\/single-sign-on-con-g-suite-sulla-console-di-amazon-web-services\/#breadcrumb\"},\"inLanguage\":\"it-IT\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/blog.besharp.it\/it\/single-sign-on-con-g-suite-sulla-console-di-amazon-web-services\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/blog.besharp.it\/it\/single-sign-on-con-g-suite-sulla-console-di-amazon-web-services\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/blog.besharp.it\/it\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Single-sign-on con G Suite sulla console di Amazon Web Services.\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/blog.besharp.it\/it\/#website\",\"url\":\"https:\/\/blog.besharp.it\/it\/\",\"name\":\"Proud2beCloud Blog\",\"description\":\"il blog di beSharp\",\"alternateName\":\"Proud2beCloud Blog\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/blog.besharp.it\/it\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"it-IT\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/blog.besharp.it\/it\/#\/schema\/person\/f5772030de5fdee2860686ede72225ee\",\"name\":\"Simone Merlini\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"it-IT\",\"@id\":\"https:\/\/blog.besharp.it\/it\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/3476bf5e5ab09a9a5cfe42385c9cbe8f?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/3476bf5e5ab09a9a5cfe42385c9cbe8f?s=96&d=mm&r=g\",\"caption\":\"Simone Merlini\"},\"description\":\"CEO e co-fondatore di beSharp, Cloud Ninja ed early adopter di qualsiasi tipo di soluzione *aaS. Mi divido tra la tastiera del PC e quella a tasti bianchi e neri; sono specializzato nel deploy di cene pantagrueliche e nel test di bottiglie d'annata.\",\"url\":\"https:\/\/blog.besharp.it\/it\/author\/amadeus\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Single-sign-on con G Suite sulla console di Amazon Web Services. - Proud2beCloud Blog","description":"Single-sign-on con G Suite sulla console AWS. Vediamo come configurare i nostri account AWS e G Suite per far funzionare il Single-Sign-On con SAML.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/blog.besharp.it\/it\/single-sign-on-con-g-suite-sulla-console-di-amazon-web-services\/","og_locale":"it_IT","og_type":"article","og_title":"Single-sign-on con G Suite sulla console di Amazon Web Services.","og_description":"Single-sign-on con G Suite sulla console AWS. Vediamo come configurare i nostri account AWS e G Suite per far funzionare il Single-Sign-On con SAML.","og_url":"https:\/\/blog.besharp.it\/it\/single-sign-on-con-g-suite-sulla-console-di-amazon-web-services\/","og_site_name":"Proud2beCloud Blog","article_published_time":"2017-04-07T12:28:30+00:00","article_modified_time":"2022-07-21T13:12:37+00:00","og_image":[{"width":624,"height":294,"url":"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/WD_2.png","type":"image\/png"}],"author":"Simone Merlini","twitter_card":"summary_large_image","twitter_title":"Single-sign-on con G Suite sulla console di Amazon Web Services.","twitter_description":"Single-sign-on con G Suite sulla console AWS. Vediamo come configurare i nostri account AWS e G Suite per far funzionare il Single-Sign-On con SAML.","twitter_image":"https:\/\/blog.besharp.it\/wp-content\/uploads\/2017\/04\/WD_2.png","twitter_misc":{"Scritto da":"Simone Merlini","Tempo di lettura stimato":"8 minuti"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/blog.besharp.it\/it\/single-sign-on-con-g-suite-sulla-console-di-amazon-web-services\/","url":"https:\/\/blog.besharp.it\/it\/single-sign-on-con-g-suite-sulla-console-di-amazon-web-services\/","name":"Single-sign-on con G Suite sulla console di Amazon Web Services. - Proud2beCloud Blog","isPartOf":{"@id":"https:\/\/blog.besharp.it\/it\/#website"},"datePublished":"2017-04-07T12:28:30+00:00","dateModified":"2022-07-21T13:12:37+00:00","author":{"@id":"https:\/\/blog.besharp.it\/it\/#\/schema\/person\/f5772030de5fdee2860686ede72225ee"},"description":"Single-sign-on con G Suite sulla console AWS. Vediamo come configurare i nostri account AWS e G Suite per far funzionare il Single-Sign-On con SAML.","breadcrumb":{"@id":"https:\/\/blog.besharp.it\/it\/single-sign-on-con-g-suite-sulla-console-di-amazon-web-services\/#breadcrumb"},"inLanguage":"it-IT","potentialAction":[{"@type":"ReadAction","target":["https:\/\/blog.besharp.it\/it\/single-sign-on-con-g-suite-sulla-console-di-amazon-web-services\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/blog.besharp.it\/it\/single-sign-on-con-g-suite-sulla-console-di-amazon-web-services\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/blog.besharp.it\/it\/"},{"@type":"ListItem","position":2,"name":"Single-sign-on con G Suite sulla console di Amazon Web Services."}]},{"@type":"WebSite","@id":"https:\/\/blog.besharp.it\/it\/#website","url":"https:\/\/blog.besharp.it\/it\/","name":"Proud2beCloud Blog","description":"il blog di beSharp","alternateName":"Proud2beCloud Blog","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/blog.besharp.it\/it\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"it-IT"},{"@type":"Person","@id":"https:\/\/blog.besharp.it\/it\/#\/schema\/person\/f5772030de5fdee2860686ede72225ee","name":"Simone Merlini","image":{"@type":"ImageObject","inLanguage":"it-IT","@id":"https:\/\/blog.besharp.it\/it\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/3476bf5e5ab09a9a5cfe42385c9cbe8f?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/3476bf5e5ab09a9a5cfe42385c9cbe8f?s=96&d=mm&r=g","caption":"Simone Merlini"},"description":"CEO e co-fondatore di beSharp, Cloud Ninja ed early adopter di qualsiasi tipo di soluzione *aaS. Mi divido tra la tastiera del PC e quella a tasti bianchi e neri; sono specializzato nel deploy di cene pantagrueliche e nel test di bottiglie d'annata.","url":"https:\/\/blog.besharp.it\/it\/author\/amadeus\/"}]}},"_links":{"self":[{"href":"https:\/\/blog.besharp.it\/it\/wp-json\/wp\/v2\/posts\/149"}],"collection":[{"href":"https:\/\/blog.besharp.it\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.besharp.it\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.besharp.it\/it\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.besharp.it\/it\/wp-json\/wp\/v2\/comments?post=149"}],"version-history":[{"count":0,"href":"https:\/\/blog.besharp.it\/it\/wp-json\/wp\/v2\/posts\/149\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.besharp.it\/it\/wp-json\/wp\/v2\/media\/186"}],"wp:attachment":[{"href":"https:\/\/blog.besharp.it\/it\/wp-json\/wp\/v2\/media?parent=149"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.besharp.it\/it\/wp-json\/wp\/v2\/categories?post=149"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.besharp.it\/it\/wp-json\/wp\/v2\/tags?post=149"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}