Con los planes Pro Plus y Enterprise, puede configurar SAML 2.0 con OptiSigns a través de OneLogin usando Shibboleth. Shibboleth está basado en SAML, la configuración de la autenticación usando el conector Shibboleth en OneLogin será similar al conector SAML normal.
OneLogin actuará como el IDP (Proveedor de Identidad), y OptiSigns funcionará como el SP (Proveedor de Servicios).
Configurar OptiSigns y OneLogin:
Primero, necesita realizar algunas configuraciones en OptiSigns:
Si aún no tiene un subdominio, puede configurar uno yendo a:
https://app.optisigns.com/app/s/branding-settings
Complete el campo de subdominio y haga clic en Activar. Después de eso, puede usar este subdominio para "
También puede mapear su propio dominio como digitalsigns.suempresa.com siguiendo este artículo.
Esta será la URL que puede compartir con sus usuarios para que puedan iniciar sesión y usar la aplicación, una vez que se haya configurado la integración. En nuestro ejemplo, usaremos https://advanced.optisigns.net/
A continuación, vaya a la página de configuración de SAML Single Sign On:
https://app.optisigns.com/app/s/saml-settings
Haga clic en Habilitar SAML SSO.
Las configuraciones son:
- Habilitar inicio de sesión con nombre de usuario y contraseña: Permite a los usuarios también iniciar sesión con nombre de usuario/contraseña. Se recomienda deshabilitarlo una vez que la integración esté completa. Como Administrador/Propietario, se recomienda que mantenga al menos 1 cuenta con inicio de sesión con contraseña, en caso de que haya problemas, siempre puede volver a iniciar sesión desde app.optisigns.com para reconfigurar.
- Habilitar creación de usuarios: Si los usuarios están autenticados, pero no existen en OptiSigns, serán creados en OptiSigns. Debe habilitar esto, porque probablemente ya asigna/aprueba usuarios/grupos para usar OptiSigns, a menos que por alguna razón quiera ser muy estricto y desee revisar los roles de los usuarios antes de que puedan comenzar a usar OptiSigns.
- Habilitar anulación de usuario: Cada vez que un usuario inicia sesión, si su asignación de grupo ha cambiado en SAML, OptiSigns se actualizará y anulará las nuevas configuraciones de perfil.
- Tome nota de la "URL de inicio de sesión único" y la "URL de URI de audiencia (ID de entidad SP)", necesitará esto para usar en OneLogin más adelante.
A continuación, agregue OptiSigns como una aplicación en su portal de administrador de OneLogin:
Inicie sesión en su portal OneLogin como administrador -> Aplicaciones
Haga clic en Agregar aplicación
En la siguiente página, busque "SAML" en el cuadro de búsqueda, y luego seleccione el "SAML Custom Connector (SP Shibboleth)".
Ingrese "OptiSigns" en el nombre para mostrar, luego haga clic en Guardar. También puede cargar el logotipo de OptiSigns aquí.
Después de guardar, vaya a la página de configuración. Aquí es donde debe proporcionar la URL de inicio de sesión único y el ID de entidad SP que obtiene de su configuración SAML SSO de OptiSigns.
El ID de entidad SP de la configuración SAML SSO de OptiSigns debe colocarse en la URL de inicio de sesión.
La URL de inicio de sesión único de la configuración SAML SSO de OptiSigns debe colocarse en ACS URL y validador de ACS URL. Recuerde escapar el carácter especial en el validador de ACS URL.
Luego vaya a la página SSO. Obtenga estas 3 informaciones resaltadas, estas deben mantenerse en la configuración SAML SSO de OptiSigns. Después de hacer clic en Ver detalles del certificado, puede encontrar el contenido codificado del certificado, esto será necesario en el siguiente paso.
Regrese a su cuenta de OptiSigns, mantenga los 3 campos mencionados anteriormente y guárdelos.
Coloque el punto final SAML 2.0 de OneLogin en el punto final SAML 2.0.
Coloque la URL del emisor de OneLogin en el emisor del proveedor de identidad.
Coloque el contenido del certificado x509 codificado en base64 en el certificado público.
Ahora su portal de inicio de sesión e integración están configurados.
Asignar y mapear usuarios y grupos de OneLogin a OptiSigns
No es obligatorio, pero se recomienda crear grupos de usuarios para asignar y mapear a los roles y equipos de OptiSigns para que automáticamente tengan el rol y grupo correctos.
NOTA IMPORTANTE: Si no configura esto, todos los usuarios serán asignados al rol de usuario y equipo predeterminado (captura de pantalla a continuación)
Para configurar cómo OptiSigns debe mapear los grupos de usuarios a los roles de OptiSigns, vaya a: https://app.optisigns.com/app/s/saml-settings
Desplácese hasta Configuración avanzada y cree un mapeo.
Nombre del grupo (roles asignados al usuario desde OneLogin), mapeo de rol (rol en OptiSigns).
Es una buena práctica crear un grupo específicamente para OptiSigns con un prefijo de nombre con optisigns- y mapear a OptiSigns como se muestra a continuación:
- optisigns-admins (grupo SAML) -> Rol OptiSigns: Admin
- optisigns-users (grupo SAML) -> Rol OptiSigns: Users
- optisigns-custom-role (grupo SAML) -> Rol personalizado de OptiSigns que usted cree
Cómo manejar usuarios/grupos no mapeados:
Puede mapear los "Usuarios/grupos no mapeados" a Sin equipo (Deshabilitado)
De esta manera, recibirán un error al intentar iniciar sesión y tendrán que comunicarse con los administradores para obtener los equipos y roles correctos asignados. Esto puede usarse como una salvaguarda, en caso de que algunos usuarios accidentalmente obtengan la aplicación OptiSigns asignada pero no los grupos correctos.
Tenga en cuenta que si mapea un grupo SAML a un equipo y luego elimina el equipo, el nuevo usuario será mapeado a Sin equipo y tendrá que contactarlo para ser asignado a un equipo para usar la aplicación.
A continuación, vaya a su portal OneLogin. Vaya a la página de parámetros de la aplicación OptiSigns. Aquí es donde mantiene el mapeo de los atributos.
Cree nuevos parámetros personalizados aquí haciendo clic en el icono +. Actualmente, OptiSigns admite el mapeo de atributos de nombre, apellido y grupo. Puede establecer el nombre del parámetro del cliente con el mismo nombre de atributo predeterminado utilizado en OptiSigns, y luego asignarlo a los valores correspondientes de OneLogin.
Shibboleth tiene muchos atributos estándar predefinidos. En este caso, el givenName puede mapearse a firstName en OptiSigns, y el surname puede mapearse a lastName en OptiSigns.
Estos mapeos pasarán información a OptiSigns sobre el nombre y grupo del usuario.
Los nombres de los parámetros corresponden a OptiSigns
https://app.optisigns.com/app/s/saml-settings
OptiSigns acepta firstName, lastName y group de forma predeterminada. En lugar de establecer los nombres de los parámetros con el nombre de atributo predeterminado utilizado en OptiSigns, también puede cambiar el nombre del atributo en OptiSigns para que coincida con los nombres de parámetros que definió en OneLogin.
Shibboleth utiliza espacios de nombres estándar e id para los atributos estándar predefinidos. En el caso de los nombres, el id debe usarse en el mapeo de atributos en OptiSigns.
firstName (givenName) : urn:oid:2.5.4.42
lastName (surname):urn:oid:2.5.4.4
¡Eso es todo!
Ha configurado SAML 2.0 para OptiSigns con OneLogin usando el conector Shibboleth.
Ahora sus usuarios pueden iniciar sesión usando el subdominio que configuró (en este caso fue https://advanced.optisigns.net/signIn).
Puede compartir la URL con sus usuarios y ellos pueden iniciar sesión con sus credenciales SSO.
Si tiene preguntas adicionales o comentarios sobre OptiSigns, no dude en comunicarse con nuestro equipo de soporte en support@optisigns.com