Mit Pro Plus und Enterprise-Tarifen können Sie SAML 2.0 mit OptiSigns über OneLogin unter Verwendung von Shibboleth konfigurieren. Shibboleth basiert auf SAML, die Einrichtung der Authentifizierung mit dem Shibboleth-Connector auf OneLogin ähnelt dem normalen SAML-Connector.
OneLogin fungiert als IDP (Identity Provider) und OptiSigns arbeitet als SP (Service Provider).
OptiSigns & OneLogin einrichten:
Zuerst müssen Sie einige Einstellungen in OptiSigns vornehmen:
Wenn Sie noch keine Subdomain haben, können Sie eine einrichten, indem Sie zu folgender Adresse navigieren:
https://app.optisigns.com/app/s/branding-settings
Füllen Sie das Subdomain-Feld aus und klicken Sie auf Aktivieren. Danach können Sie diese Subdomain für "
Sie können auch Ihre eigene Domain wie digitalsigns.ihreunternehmen.com zuordnen, indem Sie diesem Artikel folgen.
Dies wird die URL sein, die Sie mit Ihren Benutzern teilen können, damit sie sich anmelden und die App verwenden können, sobald die Integration eingerichtet ist. In unserem Beispiel verwenden wir https://advanced.optisigns.net/
Gehen Sie als Nächstes zur SAML Single Sign On-Einstellungsseite:
https://app.optisigns.com/app/s/saml-settings
Klicken Sie auf SAML SSO aktivieren.
Die Einstellungen sind:
- Benutzername & Passwort-Anmeldung aktivieren: Ermöglicht Benutzern, sich auch mit Benutzername/Passwort anzumelden. Es wird empfohlen, dies zu deaktivieren, sobald die Integration vollständig abgeschlossen ist. Als Admin/Eigentümer wird empfohlen, mindestens 1 Konto mit Passwort-Anmeldung zu behalten, falls es Probleme gibt, können Sie sich immer über app.optisigns.com anmelden, um neu zu konfigurieren.
- Benutzererstellung aktivieren: Wenn Benutzer authentifiziert sind, aber nicht in OptiSigns existieren, werden sie in OptiSigns erstellt. Sie sollten dies aktivieren, da Sie wahrscheinlich bereits Benutzer/Gruppen zugewiesen/genehmigt haben, um OptiSigns zu verwenden, es sei denn, Sie möchten aus irgendeinem Grund sehr strikt sein und die Rollen der Benutzer überprüfen, bevor sie mit der Nutzung von OptiSigns beginnen können.
- Benutzerüberschreibung aktivieren: Jedes Mal, wenn sich ein Benutzer anmeldet und sich seine Gruppenzuweisung in SAML geändert hat, wird OptiSigns aktualisieren und neue Profileinstellungen überschreiben.
- Notieren Sie sich die "Single Sign On URL" und "Audience URI (SP Entity ID) URL", Sie werden diese später in OneLogin benötigen.
Fügen Sie als Nächstes OptiSigns als App in Ihrem OneLogin Admin-Portal hinzu:
Melden Sie sich als Administrator bei Ihrem OneLogin-Portal an -> Anwendungen
Klicken Sie auf App hinzufügen
Suchen Sie auf der nächsten Seite nach "SAML" im Suchfeld und wählen Sie dann "SAML Custom Connector (SP Shibboleth)".
Geben Sie "OptiSigns" als Anzeigename ein und klicken Sie dann auf Speichern. Sie können hier auch das OptiSigns-Logo hochladen.
Nach dem Speichern gehen Sie zur Konfigurationsseite. Hier sollten Sie die Single Sign On URL und die SP Entity ID angeben, die Sie aus Ihrer OptiSigns SAML SSO-Einstellung erhalten.
Die SP Entity ID aus der OptiSigns SAML SSO-Einstellung sollte unter der Login URL eingefügt werden.
Die Single Sign On URL aus der OptiSigns SAML SSO-Einstellung sollte unter ACS URL und ACS URL validator eingefügt werden. Bitte denken Sie daran, die Sonderzeichen im ACS URL validator zu maskieren.
Gehen Sie dann zur SSO-Seite. Holen Sie sich diese 3 hervorgehobenen Informationen, diese müssen in den OptiSigns SAML SSO-Einstellungen gepflegt werden. Nach dem Klicken auf Details anzeigen des Zertifikats können Sie den codierten Inhalt des Zertifikats finden, dieser wird im nächsten Schritt benötigt.
Gehen Sie zurück zu Ihrem OptiSigns-Konto, pflegen Sie die oben genannten 3 Felder und speichern Sie es.
Fügen Sie den SAML 2.0 Endpunkt von OneLogin unter SAML 2.0 Endpunkt ein.
Fügen Sie die Issuer URL von OneLogin unter Identity Provider Issuer ein.
Fügen Sie den Inhalt aus dem base64-codierten x509-Zertifikat unter Öffentliches Zertifikat ein.
Jetzt sind Ihr Login-Portal und die Integration vollständig eingerichtet.
Benutzer und Gruppen von OneLogin zu OptiSigns zuweisen und zuordnen
Es ist nicht erforderlich, aber empfohlen, Benutzergruppen zu erstellen, die zugewiesen und OptiSigns-Rollen und Teams zugeordnet werden, damit sie automatisch die richtige Rolle und Gruppe haben.
WICHTIGER HINWEIS: Wenn Sie dies nicht konfigurieren, werden alle Benutzer der Benutzerrolle und dem Standard-Team zugewiesen (siehe Screenshot unten)
Um zu konfigurieren, wie OptiSigns die Benutzergruppen den OptiSigns-Rollen zuordnen soll, gehen Sie zu: https://app.optisigns.com/app/s/saml-settings
Scrollen Sie zu Erweiterte Einstellungen und erstellen Sie eine Zuordnung.
Gruppenname (dem Benutzer von OneLogin zugewiesene Rollen), Rolle (Rolle in OptiSigns) Zuordnung.
Es ist Best Practice, eine Gruppe speziell für OptiSigns mit dem Namenspräfix optisigns- zu erstellen und wie folgt zu OptiSigns zuzuordnen:
- optisigns-admins (SAML-Gruppe) -> OptiSigns-Rolle: Admin
- optisigns-users (SAML-Gruppe) -> OptiSigns-Rolle: Benutzer
- optisigns-custom-role (SAML-Gruppe) -> OptiSigns benutzerdefinierte Rolle, die Sie erstellen
Wie man mit nicht zugeordneten Benutzern/Gruppen umgeht:
Sie können die "Nicht zugeordneten Benutzer/Gruppen" auf Kein Team (Deaktiviert) zuordnen
Auf diese Weise erhalten sie beim Anmeldeversuch einen Fehler und müssen sich an die Administratoren wenden, um die richtigen Teams und Rollen zugewiesen zu bekommen. Dies kann als Sicherheitsvorkehrung verwendet werden, falls einige Benutzer versehentlich die OptiSigns-App, aber nicht die richtigen Gruppen zugewiesen bekommen haben.
Beachten Sie, dass wenn Sie eine SAML-Gruppe einem Team zuordnen und dann das Team löschen, wird der neue Benutzer zu Kein Team zugeordnet und muss Sie kontaktieren, um einem Team zugewiesen zu werden, um die App zu verwenden.
Gehen Sie als Nächstes zu Ihrem OneLogin-Portal. Gehen Sie zur Parameterseite der OptiSigns-Anwendung. Hier pflegen Sie die Zuordnung der Attribute.
Erstellen Sie hier neue benutzerdefinierte Parameter, indem Sie auf das +-Symbol klicken. Derzeit unterstützt OptiSigns die Attributzuordnung von Vorname, Nachname und Gruppe. Sie können den benutzerdefinierten Parameternamen auf denselben Standard-Attributnamen setzen, der bei OptiSigns verwendet wird, und ihn dann den entsprechenden Werten von OneLogin zuweisen.
Shibboleth hat viele vordefinierte Standardattribute. In diesem Fall kann givenName zu firstName auf OptiSigns zugeordnet werden, und surname kann zu lastName auf OptiSigns zugeordnet werden.
Diese Zuordnungen übertragen Informationen an OptiSigns über den Namen und die Gruppe des Benutzers.
Die Parameternamen entsprechen OptiSigns
https://app.optisigns.com/app/s/saml-settings
OptiSigns akzeptiert standardmäßig firstName, lastName und group. Anstatt die Parameternamen auf den Standard-Attributnamen zu setzen, der bei OptiSigns verwendet wird, können Sie auch den Attributnamen bei OptiSigns ändern, damit er mit den Parameternamen übereinstimmt, die Sie in OneLogin definiert haben.
Shibboleth verwendet Standard-Namespace und ID für die vordefinierten Standardattribute. Im Fall von Namen sollte die ID in der Attributzuordnung bei OptiSigns verwendet werden.
firstName (givenName) : urn:oid:2.5.4.42
lastName (surname):urn:oid:2.5.4.4
Das war's!
Sie haben SAML 2.0 für OptiSigns mit OneLogin unter Verwendung des Shibboleth-Connectors konfiguriert.
Jetzt können sich Ihre Benutzer mit der von Ihnen konfigurierten Subdomain anmelden (in diesem Fall war es https://advanced.optisigns.net/signIn).
Sie können die URL mit Ihren Benutzern teilen und sie können sich mit ihren SSO-Anmeldedaten anmelden.
Wenn Sie weitere Fragen oder Feedback zu OptiSigns haben, wenden Sie sich gerne an unser Support-Team unter support@optisigns.com