Existen muchas formas de implementar SAML para gestionar usuarios y acceder a OptiSigns con su IDP.
Aquí presentamos algunas mejores prácticas de alto nivel con OptiSigns que le ayudarán a planificar su integración y reducir la sobrecarga y el trabajo manual posteriormente.
Este artículo se centra en estrategias y enfoques de integración. Para configuraciones detalladas paso a paso por plataforma, consulte una de nuestras guías:
- SAML SSO con Okta
- SAML SSO con MS Entra ID
- SAML SSO con OneLogin
- SAML SSO con OneLogin (Shibboleth)
- SAML SSO con Google Workspace
Crear una cuenta de administrador de respaldo durante la configuración:
Durante la configuración, recomendamos mantener habilitado Habilitar inicio de sesión con nombre de usuario y contraseña, y crear una cuenta de administrador con nombre de usuario/contraseña para volver a iniciar sesión y configurar, en caso de que accidentalmente se bloquee a sí mismo por falta de asignaciones de roles o grupos.
Puede deshabilitar esta cuenta más tarde una vez que su implementación esté completa.
En este caso, está planeando no usar el correo electrónico como identificador único para el usuario, y usar un nombre de usuario o ID de empleado en su lugar. Recomendamos tener esto activado, para que el propietario de la cuenta y la cuenta de administrador puedan gestionar la cuenta sin interrupciones, por ejemplo, olvidando la contraseña o un problema con la identificación del proveedor.
Estrategias para usar SAML:
1) Como Servicio de Autenticación y Autorización (RECOMENDADO)
SAML se puede usar para aplicar la verificación de identidad, pero también para aplicar el mapeo de usuarios, equipos y roles en OptiSigns.
Con este enfoque, mapeará todos los usuarios a grupos en su IDP y mapeará los grupos del IDP a equipos/roles de OptiSigns. Cuando haya un cambio en el IDP (por ejemplo, se agrega un usuario o cambia de grupo), se reflejará automáticamente en OptiSigns.
Para implementar esto, marque Habilitar anulación de usuario. Cuando esté marcado, cada vez que un usuario inicie sesión usando SAML, OptiSigns verificará si su nombre o asignación de grupo ha cambiado. Luego lo aplicará en consecuencia. Si su nombre o asignación se ha actualizado, también actualizará OptiSigns.
Mapee todos sus grupos apropiados a roles y equipos en OptiSigns.
Por ejemplo, tenemos 3 grupos:
- Marketing Costa Oeste - usuarios responsables de gestionar pantallas y contenido para la región oeste
- Marketing Costa Este - usuario responsable de gestionar pantallas y contenido para la región este
- Soporte IT - Administrador que puede apoyar ambas regiones y realizar otras tareas administrativas
El mapeo debería ser como se muestra a continuación.
Con esta configuración, digamos que un usuario pertenece a Marketing Costa Oeste. Desea moverlo a Marketing Costa Este. Simplemente actualice su IDP y muévalo de Costa Oeste a Costa Este. La próxima vez que inicien sesión en OptiSigns, eso se reflejará y pertenecerán al equipo de Marketing Costa Este y solo podrán ver ese contenido en OptiSigns.
Para más información sobre Gestión de usuarios, consulte nuestro artículo sobre Equipos y Seguridad de carpetas en OptiSigns.
2) Solo como Servicio de Autenticación
SAML se puede usar para aplicar su MFA, política de contraseñas y eliminar usuarios y revocar el acceso a OptiSigns. Aún puede gestionar estos usuarios y asignarlos a Equipos o Roles. Este enfoque es rápido de configurar y flexible ya que puede mover usuarios rápidamente en OptiSigns. Sin embargo, cuando los usuarios se muevan en su IDP, deberá recordar moverlos también en OptiSigns, si es necesario.
Para implementar esto, desmarque Habilitar anulación de usuario.
Volviendo a nuestro ejemplo anterior: cuando un usuario se mueva de Marketing Costa Oeste a Marketing Costa Este, deberá ir a OptiSigns y mover la asignación de equipo del usuario, si es necesario.
También, si cuando el usuario actualiza o cambia su nombre, deberá actualizar OptiSigns también para mantenerlo sincronizado.
Habilitar creación de usuario:
Recomendamos mantener esta opción marcada. Cuando esté habilitada, si los usuarios están autenticados y SAML mapea al usuario a un equipo o rol que puede usar OptiSigns, el usuario se creará automáticamente.
Si está deshabilitado, deberá crear cada usuario primero en OptiSigns antes de que puedan iniciar sesión con SAML SSO.
Volviendo a nuestro ejemplo anterior. Digamos que hay 20 usuarios que pertenecen al grupo Marketing Costa Oeste en su IDP, y Marketing Costa Oeste está mapeado al equipo Marketing Costa Oeste en OptiSigns.
Si un usuario del grupo Marketing Costa Oeste inicia sesión en OptiSigns, se creará automáticamente y podrá acceder inmediatamente a las pantallas y contenido del Equipo Costa Oeste.
Los otros 19 usuarios no se crean en OptiSigns hasta que intenten iniciar sesión.
También puede mapear Usuarios/grupos no mapeados a Sin equipo (Deshabilitar). De esta manera, si un usuario pertenece a algún otro grupo en su IDP e intenta iniciar sesión, recibirá un error y el usuario no se creará en OptiSigns.
De esta forma puede mantener el sistema limpio y solo se replican los usuarios que necesitan acceso a la aplicación.
Si tiene alguna pregunta o necesita ayuda con la integración SAML, no dude en contactarnos en support@optisigns.com