L’accesso a GTm Extranet da una postazione connessa alla rete interna di La Poste non segue lo stesso percorso di una connessione esterna. Dalla messa in opera del portale marh.legroupelaposte.fr e dal passaggio a un fornitore di identità unica (IdP), diversi agenti si trovano di fronte a redirezioni in loop o a fallimenti silenziosi di autenticazione. Comprendere il meccanismo di federazione SSO e le impostazioni di rete che lo circondano permette di identificare rapidamente l’origine del blocco.
Federazione SSO e IdP unico: cosa cambia per la connessione alla rete interna
Lo schema di autenticazione del gruppo per le applicazioni HR, tra cui MaBoxRH e GTm Extranet, si basa ora su una federazione di identità tramite un IdP unico. In concreto, ogni tentativo di connessione da maboxrh.laposte.fr o marh.legroupelaposte.fr attiva una redirezione verso un URL di tipo autenticazione.groupe.net.extra.laposte.fr.
Consigliato : Come riuscire a prolungare il dispositivo Scellier classico dopo 9 anni: consigli e passaggi chiave
Sulla rete interna, questa redirezione passa attraverso il proxy aziendale. Se il browser o la postazione di lavoro non è configurato per autorizzare questa catena di redirezioni, la pagina di autenticazione non si carica mai. Il sintomo tipico: uno schermo bianco o un errore di certificato, senza messaggio esplicito.
Riuscire nell’autenticazione all’extranet GTM La Poste dalla rete interna presuppone di verificare che il dominio dell’IdP sia presente nelle eccezioni del proxy locale. Gli agenti che utilizzano un browser non registrato (Firefox installato manualmente, ad esempio) incontrano più spesso questo problema rispetto a coloro che rimangono sul browser distribuito dalla DSI.
Ulteriori letture : Come scegliere il miglior decespugliatore termico per un giardino impeccabile
| Scenario di connessione | Redirezione IdP | Risultato corrente |
|---|---|---|
| Rete interna, browser DSI, proxy configurato | Automatica tramite SSO | Accesso diretto senza reinserimento dell’identificativo |
| Rete interna, browser non registrato | Bloccata dal proxy | Pagina bianca o errore certificato |
| Rete esterna (casa, 4G) | Via marh.legroupelaposte.fr | Inserimento identificativo HR + password + 2FA |
| Rete interna, VPN attivo simultaneamente | Conflitto di routing | Loop di redirezione infinita |
Il caso del VPN attivo in parallelo merita attenzione. Alcuni agenti attivano il VPN per riflesso mentre sono già sulla rete aziendale. Il routing tra il tunnel VPN e il proxy locale entra in conflitto, impedendo la risoluzione corretta dell’URL dell’IdP.
Doppia autenticazione tramite applicazione: fine degli SMS e conseguenze su GTm Extranet
La Poste ha avviato da novembre 2025 una migrazione progressiva dalla 2FA tramite SMS alla 2FA tramite applicazione (tipo TOTP o notifica push). Per gli agenti che accedevano a GTm Extranet dalla rete interna con un codice SMS come secondo fattore, il cambiamento ha un impatto diretto: l’SMS non arriva più, e l’interfaccia non propone alcun messaggio di errore chiaro.
Da rete interna, la doppia autenticazione non viene sempre attivata grazie al SSO. Tuttavia, non appena la sessione scade o l’agente cambia postazione fisica, il sistema richiede nuovamente una validazione 2FA. Senza un’applicazione configurata, la connessione fallisce a questo passaggio.
Configurare la 2FA applicativa prima di averne bisogno
L’errore frequente consiste nel scoprire l’obbligo di 2FA tramite applicazione nel momento in cui si tenta di connettersi. La configurazione deve avvenire in anticipo, idealmente da un accesso esterno dove il percorso guidato è più esplicito.
- Installare un’applicazione TOTP compatibile (quella raccomandata dalla DSI o un’applicazione standard come Google Authenticator, Microsoft Authenticator) sul telefono personale o professionale
- Connettersi una prima volta dall’esterno della rete tramite marh.legroupelaposte.fr per attivare l’associazione tra il conto HR e l’applicazione
- Verificare che il codice TOTP generato funzioni prima di tentare la connessione dalla rete interna, poiché un fallimento ripetuto può comportare un blocco temporaneo del conto
Una volta associata l’applicazione, la connessione dalla rete interna torna a essere fluida: il SSO prende il sopravvento per la maggior parte delle sessioni, e la 2FA applicativa interviene solo durante le ri-autenticazioni occasionali.
Tastiera virtuale MaBoxRH e identificativo HR: due fonti di blocco distinte
Il portale MaBoxRH utilizza una tastiera virtuale per l’inserimento della password. Questo meccanismo di sicurezza, progettato per contrastare i keylogger, presenta problemi specifici sulla rete interna. Le postazioni dotate di software di sicurezza endpoint bloccano talvolta il JavaScript necessario per il rendering della tastiera. Il risultato: un campo password vuoto, senza tastiera cliccabile, e nessuna possibilità di inserire nulla.
La soluzione passa attraverso la verifica delle impostazioni di sicurezza del browser. Gli script provenienti dal dominio maboxrh.laposte.fr devono essere autorizzati. Su alcune postazioni, è necessario aggiungere manualmente il dominio alla lista bianca del filtro dei contenuti.
Identificativo HR: né email né matricola paga
L’altra fonte di confusione riguarda l’identificativo stesso. Il campo di connessione attende l’identificativo HR specifico del gruppo, non l’indirizzo email professionale né il numero di matricola utilizzato sulle buste paga. Questi tre dati sono diversi. Un agente che inserisce la propria email riceve un rifiuto senza spiegazione, il che spesso lo porta a avviare una reimpostazione della password inutile.
- L’identificativo HR è presente nelle comunicazioni della DRH e sul primo documento di accesso fornito all’assunzione
- Può essere recuperato contattando il supporto all’indirizzo [email protected]
- Il responsabile HR di prossimità dispone anche di queste informazioni
Risoluzione dei loop di redirezione sulla rete La Poste
I loop di redirezione costituiscono il problema più frequente e meno documentato. Si verificano quando il browser oscilla tra il portale MaBoxRH e l’IdP senza mai finalizzare l’autenticazione. Due cause predominano.
La prima: un cache di cookie corrotti legati a una sessione precedente. Il SSO si basa su cookie di sessione posizionati dall’IdP. Se una sessione precedente è stata interrotta bruscamente (chiusura del browser durante l’autenticazione, interruzione della rete), il cookie residuo impedisce che la nuova autenticazione si avvii correttamente. Eliminare i cookie del dominio autenticazione.groupe.net.extra.laposte.fr risolve la maggior parte di questi casi.
La seconda: un’incoerenza di orario tra la postazione di lavoro e il server di autenticazione. Il protocollo SAML utilizzato dalla federazione di identità valida un timestamp nella richiesta. Un ritardo di pochi minuti è sufficiente a provocare un rifiuto silenzioso. Sulle postazioni gestite dalla DSI, la sincronizzazione NTP è normalmente automatica, ma alcune postazioni più vecchie perdono la loro sincronizzazione dopo un lungo periodo di sospensione.
Svotare la cache, riavviare il browser e verificare l’ora di sistema rappresentano tre azioni semplici che risolvono la grande maggioranza dei fallimenti di connessione SSO dalla rete interna, senza necessitare di intervento del supporto.