En este artículo, proporcionaremos una guía paso a paso para configurar SAML 2.0 con Microsoft Entra ID para su uso con OptiSigns.
- Configurar el Subdominio de OptiSigns y los Ajustes de SAML SSO
- Agregar OptiSigns como una Aplicación en el Portal de Azure
- Asignar y Mapear Usuarios y Grupos desde Azure a OptiSigns (OPCIONAL)
- Configurar el Inicio de Sesión de OptiSigns para que Aparezca en Office.com (OPCIONAL)
- Preguntas Frecuentes
| NOTA: Esta función está disponible para usuarios de los planes Pro Plus, Engage y Enterprise. |
SAML (Security Assertion Markup Language) 2.0 permite una sola autorización para acceder a múltiples sistemas. Esto se puede configurar para permitir un acceso fácil a la señalización digital de OptiSigns a través de su Microsoft Entra ID. Entra ID actuará como el IDP (Proveedor de Identidad), mientras que OptiSigns funcionará como el SP (Proveedor de Servicios). Aquí hay un video rápido que muestra cómo configurar SAML 2.0 con Entra ID (cuando se conocía como Azure AD):
Configurar el Subdominio de OptiSigns y los Ajustes de SAML SSO
Para comenzar, deberá realizar algunas funciones dentro de la aplicación OptiSigns, incluyendo:
- Crear un Subdominio Personalizado
- Configurar los Ajustes de SAML SSO
Ahora, comencemos.
Configuración de un Subdominio Personalizado
Primero, asegúrese de tener un subdominio de OptiSigns. Esto se puede obtener yendo a la página de Configuración de Marca.
Complete el campo del subdominio y haga clic en Activar. Ahora puede usar este subdominio para una variedad de funciones, incluida la configuración de SAML. También puede mapear su dominio siguiendo nuestro artículo sobre Mapeo de Dominio Personalizado.
Este subdominio será la URL para compartir con sus usuarios para que puedan iniciar sesión y usar la aplicación después de configurar la integración.
Para este ejemplo, usaremos https://optisignsdemo-ad.optisigns.net/ como nuestra URL.
Configuración de los Ajustes de SAML SSO
Vaya a la página de Configuración de Inicio de Sesión Único SAML:
Ahora habilite Habilitar SAML SSO. Debería haber una marca de verificación verde junto a la opción. Esto expandirá las opciones disponibles para usted.
Las otras configuraciones son:
- Habilitar Inicio de Sesión con Nombre de Usuario y Contraseña - Permitir que los usuarios también inicien sesión con nombre de usuario/contraseña. Recomendamos deshabilitar esto una vez que termine la integración. Como Administrador/Propietario, se recomienda mantener al menos 1 cuenta con inicio de sesión con contraseña en caso de que haya problemas. Puede usar esta cuenta para iniciar sesión directamente en la aplicación para reconfigurar si es necesario.
- Habilitar Creación de Usuarios - Si los usuarios están autenticados pero no existen en OptiSigns, se crearán en la aplicación OptiSigns. Recomendamos habilitar esto a menos que desee ser extremadamente estricto y quiera revisar los roles de los usuarios antes de que puedan comenzar a usar OptiSigns.
- Habilitar Anulación de Usuario - Cada vez que un usuario inicia sesión, OptiSigns verificará su asignación de grupo. Si ha cambiado en SAML, OptiSigns actualizará sus permisos dentro de la aplicación.
A continuación, tome nota de su URL de Inicio de Sesión Único y URL de URI de Audiencia (ID de Entidad SP). Necesitará usarlos más tarde.
Agregar OptiSigns como una Aplicación en el Portal de Microsoft Entra ID
Inicie sesión en su portal de Microsoft Azure como administrador, luego navegue a Aplicaciones Empresariales.
Haga clic en Nueva Aplicación.
Seleccione Crear su aplicación. Esto abre una barra lateral a la derecha. Dentro, ingrese "OptiSigns" como el nombre de la aplicación, y elija Integrar cualquier otra aplicación que no encuentre en la galería (No galería). Finalmente, presione Crear.
Esto tomará un momento, pero eventualmente será llevado a una pantalla de Descripción general.
Haga clic en Configurar el inicio de sesión único.
Haga clic en SAML. Esto comenzará la configuración del inicio de sesión basado en SAML.
Aquí, haga clic en Editar en la sección de Configuración SAML Básica. Aquí es donde debe proporcionar la URL de Inicio de Sesión Único y el ID de Entidad SP que obtuvo en el último paso.
Coloque la URL de Inicio de Sesión Único en URL de Respuesta y el ID de Entidad SP en Identificador.
A continuación, observe las siguientes dos secciones: Certificados SAML y Configurar OptiSigns. Necesitará obtener tres piezas clave de información:
- Certificado (Base64)
- URL de Inicio de Sesión
- Identificador de Microsoft Entra
Estos deberán mantenerse dentro de la aplicación OptiSigns, en la página de Configuración de SAML SSO.
Ahora regrese a su cuenta de OptiSigns e ingrese estas tres piezas de información en los siguientes lugares:
- URL de Inicio de Sesión debe ir en Punto Final SAML 2.0 (HTTP)
- Identificador de Microsoft Entra debe ir en Emisor del Proveedor de Identidad
- El contenido del Certificado (Base64) descargado debe pegarse en Certificado Público.
Con esto, su portal de inicio de sesión e integración están configurados. Si esto es todo lo que necesita, ya ha terminado. Si desea administrar usuarios, grupos y equipos, siga leyendo.
Asignar y Mapear Usuarios y Grupos desde Azure a OptiSigns (OPCIONAL)
Recomendamos encarecidamente crear grupos de usuarios para asignar dentro de Azure para que se mapeen automáticamente a OptiSigns con el rol y grupo correctos.
| NOTA: Sin configurar esto, todos los usuarios serán asignados al Rol de Usuario y al Equipo Predeterminado. Tendrá que cambiar manualmente sus roles y equipos dentro de la aplicación OptiSigns. |
Regrese a la página de configuración de SAML dentro de OptiSigns. Desplácese hasta Configuración Avanzada y debería ver esto:
Por defecto, los usuarios/grupos no mapeados se convierten en Usuarios dentro del Equipo Predeterminado en OptiSigns. Para vincular OptiSigns a Azure, cree un nuevo mapeo haciendo clic en Agregar o edite uno de los mapeos de Grupo existentes.
El "Nombre del Grupo" dentro de OptiSigns corresponde al "ID del Grupo" dentro de Azure. Para encontrar esta información, vaya a su Portal de Azure y seleccione Grupos.
Su ID de Objeto se puede encontrar aquí para cada grupo que haya creado.
Este ID de Objeto debe ingresarse en el campo Nombre del Grupo dentro de OptiSigns. Sin embargo, recomendamos crear un grupo específicamente para OptiSigns con un prefijo OptiSigns- y mapearlos a OptiSigns de esta manera:
- optisigns-admins (grupo SAML) → Rol de OptiSigns: Administrador
- optisigns-users (grupo SAML) → Rol de OptiSigns: Usuarios
- optisigns-custom-role (grupo SAML) → Rol personalizado de OptiSigns que usted cree
Una vez terminado, debería parecerse a esto:
Puede crear tantos grupos y roles como desee.
Cómo Manejar Usuarios y Grupos no Mapeados
Es posible que desee mapear la sección "Usuarios/grupos no mapeados" a Sin Equipo (Deshabilitar). De esta manera, recibirán un mensaje de error al intentar iniciar sesión y tendrán que comunicarse con los Administradores para que se les asigne el equipo y rol correctos. Esta es una salvaguarda útil en caso de que ciertos usuarios sean asignados accidentalmente a la aplicación OptiSigns pero no al grupo correcto.
| NOTA: Si mapea un grupo SAML a un Equipo, luego elimina el Equipo, resultará en que los nuevos usuarios sean mapeados a Sin Equipo. Tendrán que contactarlo para ser asignados a un equipo para poder usar la aplicación. |
Gestión de Atributos y Reclamaciones en Microsoft Azure
Editar los Atributos y Reclamaciones en Microsoft Azure puede brindarle aún más control sobre los Usuarios agregados al grupo, y es una herramienta valiosa.
Para comenzar, vaya al portal de Azure. Haga clic en Aplicaciones Empresariales → OptiSigns → Inicio de sesión único. Desplácese hasta la Sección 2: Atributos y Reclamaciones del Usuario. Aquí es donde mantiene el mapeo de estos atributos.
Dentro de esta sección, hay dos cosas principales para personalizar:
- Reclamaciones de Grupo
- Atributos de Usuario
Lo guiaremos a través de cada uno.
Creación de Reclamaciones de Grupo para su Uso con OptiSigns
Para crear una Reclamación de Grupo, primero presione Agregar una reclamación de grupo:
Cuando cree un Grupo:
- Seleccione Grupos asignados a la aplicación en "¿Qué grupos asociados con el usuario deben devolverse en la reclamación?"
- (Opcional) Ingrese el nombre "groups" en "Personalizar el nombre de la reclamación del grupo" y deje la sección de Espacio de nombres en blanco.
Eso es todo para crear reclamaciones de Grupo.
Personalización de Reclamaciones de Usuario para su Uso con OptiSigns
Estos mapeos pasarán información a OptiSigns sobre el Nombre y Grupo del usuario:
Los nombres de las Reclamaciones están, por defecto, representados por una URL. El Tipo se dará como SAML, con el Valor correspondiente a información de identificación sobre el usuario, incluyendo:
- user.givenname
- user.groups (solo si está configurado - vea la sección anterior)
- user.mail
- user.userprincipalname
- user.surname
Estos nombres de Reclamación corresponden a esta sección en Configuración Avanzada en la página de Configuración de SAML SSO:
OptiSigns acepta Nombres, Apellidos y Grupos por defecto.
Estos valores corresponden al Espacio de nombres de la reclamación. Entonces, en otras palabras, si el Valor correspondiente al firstName (user.givenname) es una URL, tendrá que pegar la URL completa en OptiSigns. Sin embargo, es posible cambiar el Espacio de nombres a algo más manejable.
En Azure, haga clic en cualquiera de estas reclamaciones para Administrarlas.
Para eliminar la URL, simplemente bórrela del campo Espacio de nombres, luego presione Guardar.
Esto reemplazará la URL en el Espacio de nombres con el Nombre. Esta es una pieza de información mucho más fácil de administrar.
Estos ahora se pueden mapear, así:
Finalmente, vaya a la sección Usuarios y grupos dentro de Azure y asigne sus grupos a la aplicación empresarial OptiSigns.
Configurar el Inicio de Sesión de OptiSigns para que Aparezca en Office.com
A menudo es conveniente que la aplicación OptiSigns aparezca como una opción en la que se puede hacer clic en el portal Office.com de su empresa.
Para configurar esto, primero necesitará encontrar su ID de Cuenta de OptiSigns. Para hacer esto, simplemente encuentre una pantalla emparejada y presione Editar → Avanzado → Más.
Haga clic en Info del Dispositivo:
Encuentre el número "accountId", luego escríbalo en algún lugar. Lo necesitará pronto.
Ahora copie la siguiente URL, asegurándose de sustituir su ID de cuenta donde corresponda:
https://app.optisigns.com/signIn/<accountId>
A continuación, regrese a su portal de Azure y vaya a Inicio de sesión basado en SAML. Una vez allí, encuentre Configuración SAML Básica y presione Editar. Esto abrirá una barra lateral. Simplemente pegue/escriba su URL en los campos URL de inicio de sesión (Opcional) y Estado de retransmisión (Opcional).
Esto permitirá que la aplicación OptiSigns aparezca en su portal de Microsoft Office. Esto también proporcionará la gama completa de opciones para su menú lateral.
Preguntas Frecuentes
Aquí responderemos algunas de las preguntas más comunes que recibimos sobre este tema.
Recibí este mensaje de error. ¿Ayuda?
Unable to process request due to missing initial state. This may happen if browser sessionStorage is inaccessible or accidentally cleared. Some specific scenarios are - 1) Using IDP-Initiated SAML SSO. 2) Using signInWithRedirect in a storage-partitioned browser environment.
Este error aparece por una de dos razones:
- Se ingresó la URL incorrecta. Esto es frecuentemente (https://auth.optisigns.com/__/auth/handler)
- El usuario ha intentado acceder al portal de OptiSigns desde Office.com sin configurar correctamente SAML SSO en Microsoft Azure.
La forma más fácil de resolver este problema es iniciar sesión a través de su URL de marca.
Esto será único para su organización. Para obtener más información, siga los pasos descritos en la sección "Agregar OptiSigns como una Aplicación en el Portal de Microsoft Entra ID".
Dice que no pertenezco a un Equipo/Grupo. ¿Cómo puedo solucionarlo?
Este error tiene que ver con el mapeo de grupos. Para comenzar, siga todos los pasos descritos en la sección "Asignar y Mapear Usuarios y Grupos" anterior.
Si todavía tiene problemas, verifique los nombres de sus Grupos. En Azure, eso es el ID del Objeto:
Verifique los Atributos y Reclamaciones del Usuario deseado y asegúrese de que su nombre de Grupo esté asignado como Grupos asignados a la aplicación.
A continuación, verifique si la Reclamación se ha configurado correctamente:
Los valores anteriores deben coincidir con estos dentro del portal de OptiSigns:
Finalmente, asegúrese de que el usuario y el grupo se hayan agregado a la aplicación dentro de MS Azure:
Esto debería resolver el problema.
He accedido a mi cuenta de OptiSigns, pero no parece tener todas las opciones del menú lateral a las que estoy acostumbrado. ¿Qué está pasando?
Es probable que haya iniciado sesión a través de su Portal de Marca, usando una URL similar a esta:
https://app.optisigns.com/signIn/<accountId>
Siga los pasos descritos aquí y este problema debería resolverse.
¡Eso es todo!
Ha configurado SAML 2.0 para OptiSigns con Microsoft Entra.
Puede compartir la URL con sus usuarios y pueden iniciar sesión con sus credenciales de SSO.
Si tiene alguna pregunta adicional o algún comentario sobre OptiSigns, no dude en comunicarse con nuestro equipo de soporte en support@optisigns.com