Il existe de nombreuses façons d'implémenter SAML pour gérer les utilisateurs et accéder à OptiSigns avec votre IDP.
Voici quelques bonnes pratiques de haut niveau avec OptiSigns qui vous aideront à planifier votre intégration et à réduire la charge de travail et le travail manuel ultérieurement.
Cet article se concentre sur les stratégies et approches d'intégration. Pour des configurations détaillées étape par étape par plateforme, consultez l'un de nos guides :
- SSO SAML avec Okta
- SSO SAML avec MS Entra ID
- SSO SAML avec OneLogin
- SSO SAML avec OneLogin (Shibboleth)
- SSO SAML avec Google Workspace
Créer un compte administrateur de secours pendant la configuration :
Pendant la configuration, nous recommandons de laisser activée la connexion par nom d'utilisateur et mot de passe, et de créer un compte administrateur avec nom d'utilisateur/mot de passe pour vous reconnecter et configurer, au cas où vous vous verrouilleriez accidentellement l'accès en oubliant d'attribuer des rôles ou des groupes.
Vous pouvez désactiver ce compte ultérieurement une fois votre implémentation terminée.
Dans ce cas, vous prévoyez de ne pas utiliser l'e-mail comme identifiant unique pour l'utilisateur, et d'utiliser plutôt un nom d'utilisateur ou un ID employé. Nous recommandons d'activer cette option, afin que le propriétaire du compte et le compte administrateur puissent gérer le compte sans interruption, par exemple en cas d'oubli du mot de passe ou de problème d'identification du fournisseur.
Stratégies d'utilisation de SAML :
1) Comme service d'authentification et d'autorisation (RECOMMANDÉ)
SAML peut être utilisé pour appliquer la vérification d'identité, mais aussi pour appliquer le mappage des utilisateurs, des équipes et des rôles dans OptiSigns.
Avec cette approche, vous mapperez tous les utilisateurs à des groupes dans votre IDP, et mapperez les groupes IDP aux équipes/rôles OptiSigns. Lorsqu'il y a un changement dans l'IDP (par exemple, un utilisateur est ajouté ou change de groupe), cela se reflétera automatiquement dans OptiSigns.
Pour implémenter cela, cochez Activer le remplacement d'utilisateur. Lorsque cette option est cochée, chaque fois qu'un utilisateur se connecte via SAML, OptiSigns vérifiera si son nom ou son affectation de groupe a changé. Il appliquera alors cette modification en conséquence. Si leur nom ou leur affectation a été mis à jour, OptiSigns sera également mis à jour.
Mappez tous vos groupes appropriés aux rôles et équipes dans OptiSigns.
Par exemple, nous avons 3 groupes :
- Marketing Côte Ouest - utilisateurs responsables de la gestion des écrans, du contenu pour la région Ouest
- Marketing Côte Est - utilisateur responsable de la gestion des écrans, du contenu pour la région Est
- Support IT - Administrateur qui peut soutenir les deux régions et effectuer d'autres tâches administratives
Le mappage devrait être comme ci-dessous.
Avec cette configuration, supposons qu'un utilisateur appartienne au Marketing Côte Ouest. Vous voulez le déplacer vers le Marketing Côte Est. Il suffit de mettre à jour votre IDP et de le déplacer de la Côte Ouest à la Côte Est. La prochaine fois qu'il se connectera à OptiSigns, cela sera reflété et il appartiendra à l'équipe Marketing Côte Est et ne pourra voir que ce contenu dans OptiSigns.
Pour en savoir plus sur la gestion des utilisateurs, consultez notre article sur les équipes et la sécurité des dossiers dans OptiSigns.
2) Comme service d'authentification uniquement
SAML peut être utilisé pour appliquer votre MFA, votre politique de mot de passe et pour supprimer des utilisateurs et révoquer l'accès à OptiSigns. Vous pouvez toujours gérer ces utilisateurs et les affecter à des équipes ou des rôles. Cette approche est rapide à configurer et flexible car vous pouvez rapidement déplacer des utilisateurs dans OptiSigns. Cependant, lorsque les utilisateurs se déplacent dans votre IDP, vous devrez vous rappeler de les déplacer également dans OptiSigns, si nécessaire.
Pour implémenter cela, décochez Activer le remplacement d'utilisateur.
Pour revenir à notre exemple précédent : lorsqu'un utilisateur passe du Marketing Côte Ouest au Marketing Côte Est, vous devrez aller dans OptiSigns et déplacer l'affectation d'équipe de l'utilisateur, si nécessaire.
De plus, si l'utilisateur met à jour ou change son nom, vous devrez également mettre à jour OptiSigns pour maintenir la synchronisation.
Activer la création d'utilisateur :
Nous recommandons de garder cette option cochée. Lorsqu'elle est activée, si les utilisateurs sont authentifiés et que SAML mappe l'utilisateur à une équipe ou un rôle qui peut utiliser OptiSigns, l'utilisateur sera créé automatiquement.
Si désactivée, vous devrez d'abord créer chaque utilisateur dans OptiSigns avant qu'il puisse se connecter avec SSO SAML.
Pour revenir à notre ancien exemple. Disons qu'il y a 20 utilisateurs appartenant au groupe Marketing Côte Ouest dans votre IDP, et Marketing Côte Ouest est mappé à l'équipe Marketing Côte Ouest dans OptiSigns.
Si un utilisateur du groupe Marketing Côte Ouest se connecte à OptiSigns, il sera automatiquement créé et pourra immédiatement accéder aux écrans et au contenu de l'équipe Côte Ouest.
Les 19 autres utilisateurs ne sont pas créés dans OptiSigns jusqu'à ce qu'ils tentent de se connecter.
Vous pouvez également mapper Utilisateurs/groupes non mappés à Aucune équipe (Désactiver). De cette façon, si un utilisateur appartient à un autre groupe dans votre IDP et tente de se connecter, il obtiendra une erreur et l'utilisateur n'est pas créé dans OptiSigns.
De cette façon, vous pouvez garder le système propre et seuls les utilisateurs ayant besoin d'accéder à l'application sont répliqués.
Si vous avez des questions ou avez besoin d'aide pour l'intégration SAML, n'hésitez pas à nous contacter à support@optisigns.com