Es gibt viele Möglichkeiten, SAML zu implementieren, um Benutzer zu verwalten und mit Ihrem IDP auf OptiSigns zuzugreifen.
Hier sind einige allgemeine Best Practices für OptiSigns, die bei der Planung Ihrer Integration helfen und späteren Mehraufwand und manuelle Arbeit reduzieren.
Dieser Artikel konzentriert sich auf Integrationsstrategien und -ansätze. Für detaillierte Schritt-für-Schritt-Konfigurationen nach Plattform finden Sie eine unserer Anleitungen:
- SAML SSO mit Okta
- SAML SSO mit MS Entra ID
- SAML SSO mit OneLogin
- SAML SSO mit OneLogin (Shibboleth)
- SAML SSO mit Google Workspace
Erstellen Sie während der Einrichtung ein Backup-Administratorkonto:
Während der Einrichtung empfehlen wir, die Option "Benutzername & Passwort-Anmeldung aktivieren" beizubehalten und ein Administratorkonto mit Benutzername/Passwort zu erstellen, um sich wieder anmelden und konfigurieren zu können, falls Sie sich versehentlich durch fehlende Zuweisungen von Rollen oder Gruppen aussperren.
Sie können dieses Konto später deaktivieren, sobald Ihre Implementierung abgeschlossen ist.
In diesem Fall planen Sie, nicht die E-Mail-Adresse als eindeutige Kennung für den Benutzer zu verwenden, sondern stattdessen einen Benutzernamen oder eine Mitarbeiter-ID. Wir empfehlen, diese Option aktiviert zu lassen, damit der Kontoinhaber und das Administratorkonto das Konto ohne Unterbrechung verwalten können, z. B. bei vergessenem Passwort oder einem Problem bei der Identifizierung des Anbieters.
Strategien für die Verwendung von SAML:
1) Als Authentifizierungs- und Autorisierungsdienst (EMPFOHLEN)
SAML kann verwendet werden, um die Identitätsüberprüfung durchzusetzen, aber auch um Benutzer-, Team- und Rollenzuordnungen in OptiSigns durchzusetzen.
Mit diesem Ansatz ordnen Sie alle Benutzer Gruppen in Ihrem IDP zu und ordnen die IDP-Gruppen OptiSigns-Teams/Rollen zu. Wenn es eine Änderung im IDP gibt (z. B. wenn ein Benutzer hinzugefügt wird oder Gruppen wechselt), wird dies automatisch in OptiSigns widergespiegelt.
Um dies zu implementieren, aktivieren Sie Benutzerüberschreibung aktivieren. Wenn aktiviert, überprüft OptiSigns bei jeder SAML-Anmeldung eines Benutzers, ob sich sein Name oder seine Gruppenzuweisung geändert hat. Dies wird dann entsprechend durchgesetzt. Wenn der Name oder die Zuweisung aktualisiert wurde, wird auch OptiSigns aktualisiert.
Ordnen Sie alle Ihre entsprechenden Gruppen Rollen & Teams in OptiSigns zu.
Zum Beispiel haben wir 3 Gruppen:
- Marketing Westküste - Benutzer, die für die Verwaltung von Bildschirmen und Inhalten für die Westregion verantwortlich sind
- Marketing Ostküste - Benutzer, die für die Verwaltung von Bildschirmen und Inhalten für die Ostregion verantwortlich sind
- IT-Support - Administrator, der beide Regionen unterstützen und andere Administratoraufgaben ausführen kann
Die Zuordnung sollte wie folgt aussehen.
Mit dieser Einrichtung gehört ein Benutzer beispielsweise zum Marketing Westküste. Sie möchten ihn zum Marketing Ostküste verschieben. Aktualisieren Sie einfach Ihren IDP und verschieben Sie ihn von der Westküste zur Ostküste. Beim nächsten Anmelden bei OptiSigns wird dies widergespiegelt und er gehört zum Team Marketing Ostküste und kann nur diese Inhalte in OptiSigns sehen.
Weitere Informationen zur Benutzerverwaltung finden Sie in unserem Artikel über Teams und Ordnersicherheit in OptiSigns.
2) Nur als Authentifizierungsdienst
SAML kann verwendet werden, um Ihre MFA-, Passwortrichtlinien durchzusetzen und Benutzer zu entfernen sowie den Zugriff auf OptiSigns zu widerrufen. Sie können diese Benutzer weiterhin verwalten und sie Teams oder Rollen zuweisen. Dieser Ansatz ist schnell einzurichten und flexibel, da Sie Benutzer schnell in OptiSigns verschieben können. Wenn sich Benutzer jedoch in Ihrem IDP bewegen, müssen Sie daran denken, sie bei Bedarf auch in OptiSigns zu verschieben.
Um dies zu implementieren, deaktivieren Sie Benutzerüberschreibung aktivieren.
Um auf unser vorheriges Beispiel zurückzukommen: Wenn ein Benutzer vom Marketing Westküste zum Marketing Ostküste wechselt, müssen Sie zu OptiSigns gehen und die Teamzuweisung des Benutzers verschieben, falls erforderlich.
Wenn der Benutzer seinen Namen aktualisiert oder ändert, müssen Sie OptiSigns ebenfalls aktualisieren, um es synchron zu halten.
Benutzererstellung aktivieren:
Wir empfehlen, diese Option aktiviert zu lassen. Wenn aktiviert und Benutzer authentifiziert sind und SAML den Benutzer einem Team oder einer Rolle zuordnet, die OptiSigns verwenden kann, wird der Benutzer automatisch erstellt.
Wenn deaktiviert, müssen Sie jeden Benutzer zuerst in OptiSigns erstellen, bevor er sich mit SAML SSO anmelden kann.
Um auf unser altes Beispiel zurückzukommen: Angenommen, es gehören 20 Benutzer zur Gruppe Marketing Westküste in Ihrem IDP, und Marketing Westküste ist dem Team Marketing Westküste in OptiSigns zugeordnet.
Wenn sich ein Benutzer der Gruppe Marketing Westküste bei OptiSigns anmeldet, wird er automatisch erstellt und kann sofort auf Bildschirme und Inhalte des Teams Westküste zugreifen.
Die anderen 19 Benutzer werden erst in OptiSigns erstellt, wenn sie versuchen, sich anzumelden.
Sie können auch Nicht zugeordnete Benutzer/Gruppen zu Kein Team (Deaktivieren) zuordnen. Auf diese Weise erhält ein Benutzer, der zu einer anderen Gruppe in Ihrem IDP gehört und versucht sich anzumelden, eine Fehlermeldung und der Benutzer wird nicht in OptiSigns erstellt.
So können Sie das System sauber halten und nur Benutzer, die Zugriff auf die App benötigen, werden repliziert.
Wenn Sie Fragen haben oder Hilfe bei der SAML-Integration benötigen, wenden Sie sich gerne an uns unter support@optisigns.com