Dans cet article, nous fournirons un guide étape par étape pour configurer SAML 2.0 avec Microsoft Entra ID pour une utilisation avec OptiSigns.
- Configurer le sous-domaine OptiSigns et les paramètres SSO SAML
- Ajouter OptiSigns comme application dans le portail Azure
- Attribuer et mapper les utilisateurs et groupes d'Azure vers OptiSigns (OPTIONNEL)
- Configuration de la connexion OptiSigns pour qu'elle apparaisse dans Office.com (OPTIONNEL)
- Questions fréquemment posées
| REMARQUE : Cette fonctionnalité est disponible pour les utilisateurs des plans Pro Plus, Engage et Enterprise. |
SAML (Security Assertion Markup Language) 2.0 permet une autorisation unique pour accéder à plusieurs systèmes. Cela peut être configuré pour permettre un accès facile à l'affichage dynamique OptiSigns via votre Microsoft Entra ID. Entra ID agira en tant qu'IDP (Identity Provider), tandis qu'OptiSigns fonctionnera en tant que SP (Service Provider). Voici une vidéo rapide montrant comment configurer SAML 2.0 avec Entra ID (lorsqu'il était connu sous le nom d'Azure AD) :
Configurer le sous-domaine OptiSigns et les paramètres SSO SAML
Pour commencer, vous devrez effectuer certaines opérations dans l'application OptiSigns, notamment :
- Créer un sous-domaine personnalisé
- Configurer les paramètres SSO SAML
Maintenant, commençons.
Configuration d'un sous-domaine personnalisé
Tout d'abord, assurez-vous d'avoir un sous-domaine OptiSigns. Vous pouvez l'obtenir en accédant à la page Paramètres de marque.
Remplissez le champ de sous-domaine et cliquez sur Activer. Vous pouvez maintenant utiliser ce sous-domaine pour diverses fonctions, y compris la configuration SAML. Vous pouvez également mapper votre domaine en suivant notre article sur le mappage de domaine personnalisé.
Ce sous-domaine sera l'URL à partager avec vos utilisateurs pour qu'ils puissent se connecter et utiliser l'application après la configuration de l'intégration.
Pour cet exemple, nous utiliserons https://optisignsdemo-ad.optisigns.net/ comme URL.
Configuration des paramètres SSO SAML
Accédez à la page des paramètres d'authentification unique SAML :
Maintenant, activez Activer SSO SAML. Une coche verte devrait apparaître à côté de l'option. Cela développera les options disponibles.
Les autres paramètres sont :
- Activer la connexion par nom d'utilisateur et mot de passe - Permet aux utilisateurs de se connecter également avec un nom d'utilisateur/mot de passe. Nous recommandons de désactiver cette option une fois l'intégration terminée. En tant qu'Admin/Propriétaire, il est recommandé de conserver au moins 1 compte avec une connexion par mot de passe au cas où il y aurait des problèmes. Vous pouvez utiliser ce compte pour vous connecter directement à l'application pour reconfigurer si nécessaire.
- Activer la création d'utilisateurs - Si les utilisateurs sont authentifiés mais n'existent pas dans OptiSigns, ils seront créés dans l'application OptiSigns. Nous recommandons d'activer cette option sauf si vous souhaitez être extrêmement strict et voulez examiner les rôles des utilisateurs avant qu'ils puissent commencer à utiliser OptiSigns.
- Activer le remplacement d'utilisateur - Chaque fois qu'un utilisateur se connecte, OptiSigns vérifiera son attribution de groupe. Si elle a changé sur SAML, OptiSigns mettra à jour ses permissions dans l'application.
Ensuite, notez votre URL d'authentification unique et URL URI d'audience (ID d'entité SP). Vous en aurez besoin plus tard.
Ajouter OptiSigns comme application dans le portail Microsoft Entra ID
Connectez-vous à votre portail Microsoft Azure en tant qu'administrateur, puis accédez à Applications d'entreprise.
Cliquez sur Nouvelle application.
Sélectionnez Créer votre propre application. Cela ouvre une barre latérale à droite. À l'intérieur, saisissez "OptiSigns" comme nom de l'application et choisissez Intégrer toute autre application que vous ne trouvez pas dans la galerie (non-galerie). Enfin, cliquez sur Créer.
Cela prendra un moment, mais vous serez finalement amené à un écran de vue d'ensemble.
Cliquez sur Configurer l'authentification unique.
Cliquez sur SAML. Cela commencera la configuration de l'authentification basée sur SAML.
Ici, cliquez sur Modifier dans la section Configuration SAML de base. C'est ici que vous devez fournir l'URL d'authentification unique et l'ID d'entité SP que vous avez obtenus à l'étape précédente.
Placez l'URL d'authentification unique sous URL de réponse et l'ID d'entité SP sous Identificateur.
Ensuite, notez les deux sections suivantes : Certificats SAML et Configurer OptiSigns. Vous devrez obtenir trois informations clés :
- Certificat (Base64)
- URL de connexion
- Identificateur Microsoft Entra
Celles-ci devront être conservées dans l'application OptiSigns, dans la page des paramètres SSO SAML.
Maintenant, retournez à votre compte OptiSigns et saisissez ces trois informations aux endroits suivants :
- URL de connexion doit être placé sous Point de terminaison SAML 2.0 (HTTP)
- Identificateur Microsoft Entra doit être placé sous Émetteur du fournisseur d'identité
- Le contenu du Certificat (Base64) téléchargé doit être collé sous Certificat public.
Avec cela, votre portail de connexion et l'intégration sont tous configurés. Si c'est tout ce dont vous avez besoin, vous avez terminé. Si vous souhaitez gérer les utilisateurs, groupes et équipes, continuez la lecture.
Attribuer et mapper les utilisateurs et groupes d'Azure vers OptiSigns (OPTIONNEL)
Nous recommandons fortement de créer des groupes d'utilisateurs à attribuer dans Azure pour qu'ils soient automatiquement mappés vers OptiSigns avec le rôle et le groupe corrects.
| REMARQUE : Sans configurer cela, tous les utilisateurs se verront attribuer le rôle Utilisateur et l'Équipe par défaut. Vous devrez changer manuellement leurs rôles et équipes dans l'application OptiSigns. |
Retournez à la page des paramètres SAML dans OptiSigns. Faites défiler jusqu'à Paramètres avancés et vous devriez voir ceci :
Par défaut, les utilisateurs/groupes non mappés deviennent des Utilisateurs dans l'Équipe par défaut dans OptiSigns. Pour lier OptiSigns à Azure, créez un nouveau mappage en cliquant sur Ajouter ou modifiez l'un des mappages de groupe existants.
Le "Nom du groupe" dans OptiSigns correspond à "l'ID du groupe" dans Azure. Pour trouver cette information, allez dans votre portail Azure et sélectionnez Groupes.
Votre ID d'objet peut être trouvé ici pour chaque groupe que vous avez créé.
Cet ID d'objet doit être saisi dans le champ Nom du groupe dans OptiSigns. Cependant, nous recommandons de créer un groupe spécifiquement pour OptiSigns avec un préfixe OptiSigns- et de les mapper vers OptiSigns comme ceci :
- optisigns-admins (groupe SAML) → Rôle OptiSigns : Admin
- optisigns-users (groupe SAML) → Rôle OptiSigns : Utilisateurs
- optisigns-custom-role (groupe SAML) → Rôle personnalisé OptiSigns que vous créez
Une fois terminé, cela devrait ressembler à ceci :
Vous pouvez créer autant de groupes et de rôles que vous le souhaitez.
Comment gérer les utilisateurs et groupes non mappés
Vous pouvez souhaiter mapper la section "Utilisateurs/groupes non mappés" vers Aucune équipe (Désactiver). De cette façon, ils recevront un message d'erreur lors de la tentative de connexion et devront contacter les administrateurs pour obtenir l'équipe et le rôle corrects. C'est une protection utile au cas où certains utilisateurs seraient accidentellement affectés à l'application OptiSigns mais pas au bon groupe.
| REMARQUE : Si vous mappez un groupe SAML vers une équipe, puis supprimez l'équipe, cela entraînera le mappage des nouveaux utilisateurs vers Aucune équipe. Ils devront vous contacter pour être affectés à une équipe afin d'utiliser l'application. |
Gestion des attributs et revendications dans Microsoft Azure
L'édition des attributs et revendications dans Microsoft Azure peut vous donner encore plus de contrôle sur les utilisateurs ajoutés au groupe, et constitue un outil précieux.
Pour commencer, allez dans le portail Azure. Cliquez sur Applications d'entreprise → OptiSigns → Authentification unique. Faites défiler jusqu'à la Section 2 : Attributs et revendications utilisateur. C'est ici que vous gérez le mappage de ces attributs.
Dans cette section, il y a deux choses principales à personnaliser :
- Revendications de groupe
- Attributs utilisateur
Nous vous guiderons à travers chacune.
Création de revendications de groupe pour une utilisation avec OptiSigns
Pour créer une revendication de groupe, cliquez d'abord sur Ajouter une revendication de groupe :
Lorsque vous créez un groupe :
- Sélectionnez Groupes affectés à l'application sous "Quels groupes associés à l'utilisateur doivent être retournés dans la revendication ?"
- (Optionnel) Saisissez le nom "groups" dans "Personnaliser le nom de la revendication de groupe" et laissez la section Espace de noms vide.
C'est tout pour la création de revendications de groupe.
Personnalisation des revendications utilisateur pour une utilisation avec OptiSigns
Ces mappages transmettront des informations à OptiSigns sur le nom et le groupe de l'utilisateur :
Les noms de revendication sont, par défaut, représentés par une URL. Le type sera donné comme SAML, avec la valeur correspondant aux informations d'identification sur l'utilisateur, notamment :
- user.givenname
- user.groups (uniquement si configuré - voir la section ci-dessus)
- user.mail
- user.userprincipalname
- user.surname
Ces noms de revendication correspondent à cette section sous Paramètres avancés sur la page des paramètres SSO SAML :
OptiSigns accepte les prénoms, noms de famille et groupes par défaut.
Ces valeurs correspondent à l'Espace de noms de la revendication. Donc, en d'autres termes, si la valeur correspondant au firstName (user.givenname) est une URL, vous devrez coller l'URL entière dans OptiSigns. Il est cependant possible de changer l'espace de noms pour quelque chose de plus gérable.
Dans Azure, cliquez sur n'importe laquelle de ces revendications pour les gérer.
Pour éliminer l'URL, supprimez-la simplement du champ Espace de noms, puis cliquez sur Enregistrer.
Cela remplacera l'URL dans l'espace de noms par le nom. C'est une information beaucoup plus facile à gérer.
Ceux-ci peuvent maintenant être mappés, comme ceci :
Enfin, allez dans la section Utilisateurs et groupes dans Azure et attribuez vos groupes à l'application d'entreprise OptiSigns.
Configuration de la connexion OptiSigns pour qu'elle apparaisse dans Office.com
Il est souvent pratique d'avoir l'application OptiSigns qui apparaît comme une option cliquable sur le portail Office.com de votre entreprise.
Pour configurer cela, vous devez d'abord trouver votre ID de compte OptiSigns. Pour ce faire, trouvez simplement un écran appairé et cliquez sur Modifier → Avancé → Plus.
Cliquez sur Infos appareil :
Trouvez le numéro "accountId", puis notez-le quelque part. Vous en aurez besoin bientôt.
Maintenant, copiez l'URL suivante, en veillant à substituer votre ID de compte où approprié :
https://app.optisigns.com/signIn/<accountId>
Ensuite, retournez à votre portail Azure et accédez à Authentification basée sur SAML. Une fois là, trouvez Configuration SAML de base et cliquez sur Modifier. Cela ouvrira une barre latérale. Collez/tapez simplement votre URL dans les champs URL de connexion (Optionnel) et État de relais (Optionnel).
Cela permettra à l'application OptiSigns d'apparaître dans votre portail Microsoft Office. Cela fournira également la gamme complète d'options pour votre menu latéral.
Questions fréquemment posées
Ici, nous répondrons à certaines des questions les plus courantes que nous recevons sur ce sujet.
J'ai reçu ce message d'erreur. Aide ?
Impossible de traiter la demande en raison de l'état initial manquant. Cela peut se produire si le sessionStorage du navigateur est inaccessible ou accidentellement effacé. Certains scénarios spécifiques sont - 1) Utilisation de SSO SAML initié par IDP. 2) Utilisation de signInWithRedirect dans un environnement de navigateur à stockage partitionné.
Cette erreur apparaît pour l'une des deux raisons suivantes :
- Une mauvaise URL a été saisie. Il s'agit fréquemment de (https://auth.optisigns.com/__/auth/handler)
- L'utilisateur a essayé d'accéder au portail OptiSigns depuis Office.com sans configurer correctement SSO SAML dans Microsoft Azure.
Le moyen le plus simple de résoudre ce problème est de vous connecter via votre URL de marque.
Celle-ci sera unique à votre organisation. Pour plus d'informations, suivez les étapes décrites dans la section "Ajouter OptiSigns comme application dans le portail Microsoft Entra ID".
Il est indiqué que je n'appartiens pas à une équipe/groupe. Comment puis-je résoudre ce problème ?
Cette erreur est liée au mappage de groupe. Pour commencer, suivez toutes les étapes décrites dans la section "Attribuer et mapper les utilisateurs et groupes" ci-dessus.
Si vous rencontrez toujours des problèmes, vérifiez vos noms de groupe. Dans Azure, c'est l'ID d'objet :
Vérifiez les attributs et revendications de l'utilisateur souhaité et assurez-vous que son nom de groupe est attribué comme Groupes affectés à l'application.
Ensuite, vérifiez si la revendication a été configurée correctement :
Les valeurs ci-dessus doivent correspondre à celles du portail OptiSigns :
Enfin, assurez-vous que l'utilisateur et le groupe ont été ajoutés à l'application dans MS Azure :
Cela devrait résoudre le problème.
J'ai accédé à mon compte OptiSigns, mais je ne semble pas avoir toutes les options de menu latéral auxquelles je suis habitué. Que se passe-t-il ?
Il est probable que vous vous soyez connecté via votre portail de marque, en utilisant une URL similaire à celle-ci :
https://app.optisigns.com/signIn/<accountId>
Allez-y et suivez les étapes décrites ici et ce problème devrait se résoudre.
C'est tout !
Vous avez configuré SAML 2.0 pour OptiSigns avec Microsoft Entra.
Vous pouvez partager l'URL avec vos utilisateurs et ils peuvent se connecter avec leurs identifiants SSO.
Si vous avez des questions supplémentaires ou des commentaires sur OptiSigns, n'hésitez pas à contacter notre équipe de support à support@optisigns.com