In diesem Artikel bieten wir eine Schritt-für-Schritt-Anleitung zur Einrichtung von SAML 2.0 mit Microsoft Entra ID für die Verwendung mit OptiSigns.
- OptiSigns-Subdomain und SAML SSO-Einstellungen einrichten
- OptiSigns als App im Azure-Portal hinzufügen
- Benutzer und Gruppen von Azure zu OptiSigns zuweisen und zuordnen (OPTIONAL)
- OptiSigns-Login in Office.com anzeigen lassen (OPTIONAL)
- Häufig gestellte Fragen
| HINWEIS: Diese Funktion ist für Nutzer der Tarife Pro Plus, Engage und Enterprise verfügbar. |
SAML (Security Assertion Markup Language) 2.0 ermöglicht eine einzige Autorisierung für den Zugriff auf mehrere Systeme. Dies kann konfiguriert werden, um einen einfachen Zugang zu OptiSigns Digital Signage über Ihre Microsoft Entra ID zu ermöglichen. Entra ID fungiert als IDP (Identity Provider), während OptiSigns als SP (Service Provider) arbeitet. Hier ist ein kurzes Video, das zeigt, wie man SAML 2.0 mit Entra ID einrichtet (als es noch als Azure AD bekannt war):
OptiSigns-Subdomain und SAML SSO-Einstellungen einrichten
Zu Beginn müssen Sie einige Funktionen in der OptiSigns-App ausführen, darunter:
- Eine benutzerdefinierte Subdomain erstellen
- SAML SSO-Einstellungen konfigurieren
Beginnen wir nun.
Eine benutzerdefinierte Subdomain einrichten
Stellen Sie zunächst sicher, dass Sie eine OptiSigns-Subdomain haben. Diese erhalten Sie auf der Seite Branding-Einstellungen.
Füllen Sie das Subdomain-Feld aus und klicken Sie auf Aktivieren. Nun können Sie diese Subdomain für verschiedene Funktionen verwenden, einschließlich der SAML-Einrichtung. Sie können auch Ihre Domain zuordnen, indem Sie unserem Artikel über benutzerdefinierte Domain-Zuordnung folgen.
Diese Subdomain ist die URL, die Sie mit Ihren Benutzern teilen, damit diese sich nach der Einrichtung der Integration in die App einloggen können.
Für dieses Beispiel verwenden wir https://optisignsdemo-ad.optisigns.net/ als unsere URL.
SAML SSO-Einstellungen konfigurieren
Gehen Sie zur SAML Single Sign-On-Einstellungsseite:
Aktivieren Sie nun SAML SSO aktivieren. Neben der Option sollte ein grünes Häkchen erscheinen. Dadurch werden die verfügbaren Optionen erweitert.
Die weiteren Einstellungen sind:
- Benutzername & Passwort-Login aktivieren - Ermöglicht Benutzern, sich auch mit Benutzername/Passwort anzumelden. Wir empfehlen, dies nach Abschluss der Integration zu deaktivieren. Als Admin/Besitzer wird empfohlen, mindestens 1 Konto mit Passwort-Login beizubehalten, falls Probleme auftreten. Sie können dieses Konto verwenden, um sich direkt bei der App anzumelden und bei Bedarf neu zu konfigurieren.
- Benutzererstellung aktivieren - Wenn Benutzer authentifiziert sind, aber nicht in OptiSigns existieren, werden sie in der OptiSigns-App erstellt. Wir empfehlen dies zu aktivieren, es sei denn, Sie möchten extrem streng sein und die Rollen der Benutzer überprüfen, bevor sie OptiSigns nutzen können.
- Benutzerüberschreibung aktivieren - Jedes Mal, wenn sich ein Benutzer einloggt, überprüft OptiSigns seine Gruppenzuweisung. Wenn sich diese in SAML geändert hat, aktualisiert OptiSigns die Berechtigungen innerhalb der App.
Notieren Sie sich als Nächstes Ihre Single Sign On URL und Audience URI (SP Entity ID) URL. Diese benötigen Sie später.
OptiSigns als App im Microsoft Entra ID-Portal hinzufügen
Melden Sie sich als Administrator bei Ihrem Microsoft Azure-Portal an und navigieren Sie zu Unternehmensanwendungen.
Klicken Sie auf Neue Anwendung.
Wählen Sie Eigene Anwendung erstellen. Dies öffnet eine Seitenleiste auf der rechten Seite. Geben Sie "OptiSigns" als Namen der App ein und wählen Sie Eine beliebige andere Anwendung integrieren, die nicht im Katalog zu finden ist (Nicht-Katalog). Klicken Sie abschließend auf Erstellen.
Dies dauert einen Moment, aber Sie werden schließlich zu einem Übersichtsbildschirm weitergeleitet.
Klicken Sie auf Einmaliges Anmelden einrichten.
Klicken Sie auf SAML. Dies startet die Einrichtung der SAML-basierten Anmeldung.
Klicken Sie hier auf Bearbeiten im Abschnitt Grundlegende SAML-Konfiguration. Hier sollten Sie die Single Sign On URL und SP Entity ID angeben, die Sie im letzten Schritt erhalten haben.
Geben Sie die Single Sign On URL unter Antwort-URL und die SP Entity ID unter Bezeichner ein.
Beachten Sie als Nächstes die folgenden zwei Abschnitte: SAML-Zertifikate und OptiSigns einrichten. Sie müssen drei wichtige Informationen erhalten:
- Zertifikat (Base64)
- Anmelde-URL
- Microsoft Entra-Bezeichner
Diese müssen in der OptiSigns-App auf der SAML SSO-Einstellungsseite gepflegt werden.
Gehen Sie nun zurück zu Ihrem OptiSigns-Konto und geben Sie diese drei Informationen an folgenden Stellen ein:
- Anmelde-URL sollte unter SAML 2.0 Endpoint (HTTP) eingetragen werden
- Microsoft Entra-Bezeichner sollte unter Identity Provider Issuer eingetragen werden
- Der Inhalt des heruntergeladenen Zertifikats (Base64) sollte unter Öffentliches Zertifikat eingefügt werden.
Damit sind Ihr Login-Portal und die Integration vollständig eingerichtet. Wenn dies alles ist, was Sie benötigen, sind Sie fertig. Wenn Sie Benutzer, Gruppen und Teams verwalten möchten, lesen Sie weiter.
Benutzer und Gruppen von Azure zu OptiSigns zuweisen und zuordnen (OPTIONAL)
Wir empfehlen dringend, Benutzergruppen zu erstellen, die in Azure zugewiesen werden sollen, um automatisch mit der richtigen Rolle und Gruppe auf OptiSigns abgebildet zu werden.
| HINWEIS: Ohne diese Konfiguration werden alle Benutzer der Benutzerrolle und dem Standardteam zugewiesen. Sie müssen ihre Rollen und Teams manuell in der OptiSigns-App ändern. |
Kehren Sie zur SAML-Einstellungsseite in OptiSigns zurück. Scrollen Sie zu Erweiterte Einstellungen und Sie sollten Folgendes sehen:
Standardmäßig werden nicht zugeordnete Benutzer/Gruppen zu Benutzern innerhalb des Standardteams in OptiSigns. Um OptiSigns mit Azure zu verknüpfen, erstellen Sie entweder eine neue Zuordnung, indem Sie auf Hinzufügen klicken, oder bearbeiten Sie eine der vorhandenen Gruppenzuordnungen.
Der "Gruppenname" in OptiSigns entspricht der "Gruppen-ID" in Azure. Um diese Informationen zu finden, gehen Sie zu Ihrem Azure-Portal und wählen Sie Gruppen.
Ihre Objekt-ID finden Sie hier für jede von Ihnen erstellte Gruppe.
Diese Objekt-ID sollte im Feld Gruppenname in OptiSigns eingegeben werden. Wir empfehlen jedoch, eine Gruppe speziell für OptiSigns mit einem OptiSigns-Präfix zu erstellen und diese wie folgt auf OptiSigns abzubilden:
- optisigns-admins (SAML-Gruppe) → OptiSigns-Rolle: Admin
- optisigns-users (SAML-Gruppe) → OptiSigns-Rolle: Benutzer
- optisigns-custom-role (SAML-Gruppe) → Benutzerdefinierte OptiSigns-Rolle, die Sie erstellen
Nach Fertigstellung sollte es so aussehen:
Sie können beliebig viele Gruppen und Rollen erstellen.
Umgang mit nicht zugeordneten Benutzern und Gruppen
Sie möchten möglicherweise den Abschnitt "Nicht zugeordnete Benutzer/Gruppen" auf Kein Team (Deaktivieren) abbilden. Auf diese Weise erhalten sie beim Versuch, sich anzumelden, eine Fehlermeldung und müssen sich an die Administratoren wenden, um das richtige Team und die richtige Rolle zugewiesen zu bekommen. Dies ist eine nützliche Sicherheitsmaßnahme für den Fall, dass bestimmte Benutzer versehentlich die OptiSigns-App, aber nicht die richtige Gruppe zugewiesen bekommen.
| HINWEIS: Wenn Sie eine SAML-Gruppe einem Team zuordnen und dann das Team löschen, werden neue Benutzer keinem Team zugeordnet. Sie müssen Sie kontaktieren, um einem Team zugewiesen zu werden, damit sie die App nutzen können. |
Attribute und Ansprüche in Microsoft Azure verwalten
Die Bearbeitung der Attribute und Ansprüche in Microsoft Azure kann Ihnen noch mehr Kontrolle über die zur Gruppe hinzugefügten Benutzer geben und ist ein wertvolles Werkzeug.
Um zu beginnen, gehen Sie zum Azure-Portal. Klicken Sie auf Unternehmensanwendungen → OptiSigns → Einmaliges Anmelden. Scrollen Sie nach unten zu Abschnitt 2: Benutzerattribute und -ansprüche. Hier pflegen Sie die Zuordnung dieser Attribute.
In diesem Abschnitt gibt es zwei Hauptdinge anzupassen:
- Gruppenansprüche
- Benutzerattribute
Wir führen Sie durch jeden Punkt.
Gruppenansprüche für die Verwendung mit OptiSigns erstellen
Um einen Gruppenanspruch zu erstellen, klicken Sie zunächst auf Gruppenanspruch hinzufügen:
Wenn Sie eine Gruppe erstellen:
- Wählen Sie Der Anwendung zugewiesene Gruppen unter "Welche mit dem Benutzer verknüpften Gruppen sollen im Anspruch zurückgegeben werden?"
- (Optional) Geben Sie den Namen "groups" in "Den Namen des Gruppenanspruchs anpassen" ein und lassen Sie den Namespace-Bereich leer.
Das ist alles für die Erstellung von Gruppenansprüchen.
Benutzeransprüche für die Verwendung mit OptiSigns anpassen
Diese Zuordnungen übermitteln Informationen über den Namen und die Gruppe des Benutzers an OptiSigns:
Die Anspruchsnamen werden standardmäßig durch eine URL dargestellt. Der Typ wird als SAML angegeben, wobei der Wert identifizierenden Informationen über den Benutzer entspricht, einschließlich:
- user.givenname
- user.groups (nur wenn eingerichtet - siehe obigen Abschnitt)
- user.mail
- user.userprincipalname
- user.surname
Diese Anspruchsnamen entsprechen diesem Abschnitt unter Erweiterte Einstellungen auf der SAML SSO-Einstellungsseite:
OptiSigns akzeptiert standardmäßig Vornamen, Nachnamen und Gruppen.
Diese Werte entsprechen dem Namespace des Anspruchs. Mit anderen Worten: Wenn der Wert, der dem firstName (user.givenname) entspricht, eine URL ist, müssen Sie die gesamte URL in OptiSigns einfügen. Es ist jedoch möglich, den Namespace in etwas Handhabbareres zu ändern.
Klicken Sie in Azure auf einen dieser Ansprüche, um sie zu verwalten.
Um die URL zu entfernen, löschen Sie sie einfach aus dem Namespace-Feld und klicken Sie dann auf Speichern.
Dadurch wird die URL im Namespace durch den Namen ersetzt. Dies ist eine viel einfachere zu verwaltende Information.
Diese können nun wie folgt zugeordnet werden:
Gehen Sie schließlich zum Abschnitt Benutzer und Gruppen in Azure und weisen Sie Ihre Gruppen der OptiSigns Enterprise-App zu.
OptiSigns-Login in Office.com anzeigen lassen
Es ist oft praktisch, die OptiSigns-App als anklickbare Option im Office.com-Portal Ihres Unternehmens anzuzeigen.
Um dies einzurichten, müssen Sie zunächst Ihre OptiSigns-Konto-ID finden. Suchen Sie dazu einfach einen gekoppelten Bildschirm und klicken Sie auf Bearbeiten → Erweitert → Mehr.
Klicken Sie auf Geräteinformationen:
Suchen Sie die "accountId"-Nummer und notieren Sie diese. Sie werden sie bald benötigen.
Kopieren Sie nun die folgende URL und ersetzen Sie dabei Ihre Konto-ID an der entsprechenden Stelle:
https://app.optisigns.com/signIn/<accountId>
Kehren Sie als Nächstes zu Ihrem Azure-Portal zurück und gehen Sie zu SAML-basiertes Anmelden. Suchen Sie dort Grundlegende SAML-Konfiguration und klicken Sie auf Bearbeiten. Dies öffnet eine Seitenleiste. Fügen Sie einfach Ihre URL in die Felder Anmelde-URL (Optional) und Relayzustand (Optional) ein.
Dadurch kann die OptiSigns-App in Ihrem Microsoft Office-Portal erscheinen. Dies bietet auch die vollständige Palette an Optionen für Ihr Seitenmenü.
Häufig gestellte Fragen
Hier beantworten wir einige der häufigsten Fragen zu diesem Thema.
Ich habe diese Fehlermeldung erhalten. Hilfe?
Unable to process request due to missing initial state. This may happen if browser sessionStorage is inaccessible or accidentally cleared. Some specific scenarios are - 1) Using IDP-Initiated SAML SSO. 2) Using signInWithRedirect in a storage-partitioned browser environment.
Dieser Fehler tritt aus einem von zwei Gründen auf:
- Die falsche URL wurde eingegeben. Dies ist häufig (https://auth.optisigns.com/__/auth/handler)
- Der Benutzer hat versucht, über Office.com auf das OptiSigns-Portal zuzugreifen, ohne SAML SSO in Microsoft Azure korrekt einzurichten.
Der einfachste Weg, dieses Problem zu lösen, ist die Anmeldung über Ihre gebrandete URL.
Diese ist für Ihre Organisation einzigartig. Weitere Informationen finden Sie in den Schritten im Abschnitt "OptiSigns als App im Microsoft Entra ID-Portal hinzufügen".
Es wird angezeigt, dass ich keinem Team/keiner Gruppe angehöre. Wie kann ich das beheben?
Dieser Fehler hat mit der Gruppenzuordnung zu tun. Befolgen Sie zunächst alle Schritte im obigen Abschnitt "Benutzer und Gruppen zuweisen und zuordnen".
Wenn Sie immer noch Probleme haben, überprüfen Sie Ihre Gruppennamen. In Azure ist das die Objekt-ID:
Überprüfen Sie die Attribute und Ansprüche des gewünschten Benutzers und stellen Sie sicher, dass sein Gruppenname als Der Anwendung zugewiesene Gruppen zugewiesen ist.
Überprüfen Sie als Nächstes, ob der Anspruch richtig eingerichtet wurde:
Die obigen Werte sollten mit diesen im OptiSigns-Portal übereinstimmen:
Stellen Sie schließlich sicher, dass der Benutzer und die Gruppe der Anwendung in MS Azure hinzugefügt wurden:
Dies sollte das Problem lösen.
Ich habe mich in mein OptiSigns-Konto eingeloggt, aber scheine nicht alle gewohnten Seitenmenüoptionen zu haben. Was ist los?
Wahrscheinlich haben Sie sich über Ihr Markenportal angemeldet und dabei eine URL verwendet, die dieser ähnelt:
https://app.optisigns.com/signIn/<accountId>
Folgen Sie den hier beschriebenen Schritten und dieses Problem sollte sich von selbst lösen.
Das ist alles!
Sie haben SAML 2.0 für OptiSigns mit Microsoft Entra konfiguriert.
Sie können die URL mit Ihren Benutzern teilen und diese können sich mit ihren SSO-Anmeldedaten anmelden.
Wenn Sie weitere Fragen haben oder Feedback zu OptiSigns haben, wenden Sie sich gerne an unser Support-Team unter support@optisigns.com