Avec les forfaits Pro Plus et Enterprise, vous pouvez configurer SAML 2.0 avec OptiSigns via OneLogin en utilisant Shibboleth. Shibboleth étant basé sur SAML, la configuration de l'authentification à l'aide du connecteur Shibboleth sur OneLogin sera similaire au connecteur SAML normal.
OneLogin agira en tant qu'IDP (Fournisseur d'Identité), et OptiSigns fonctionnera en tant que SP (Fournisseur de Services).
Configurer OptiSigns & OneLogin :
Tout d'abord, vous devez effectuer quelques réglages dans OptiSigns :
Si vous n'avez pas encore de sous-domaine, vous pouvez en configurer un en allant à :
https://app.optisigns.com/app/s/branding-settings
Remplissez le champ du sous-domaine et cliquez sur Activer. Après cela, vous pouvez utiliser ce sous-domaine pour "
Vous pouvez également mapper votre propre domaine comme digitalsigns.votreentreprise.com en suivant cet article.
Ce sera l'URL que vous pourrez partager avec vos utilisateurs pour qu'ils puissent se connecter et utiliser l'application, une fois l'intégration configurée. Dans notre exemple, nous utiliserons https://advanced.optisigns.net/
Ensuite, allez à la page des paramètres SAML Single Sign On :
https://app.optisigns.com/app/s/saml-settings
Cliquez sur Activer SAML SSO.
Les paramètres sont :
- Activer la connexion par nom d'utilisateur et mot de passe : Permet aux utilisateurs de se connecter également avec un nom d'utilisateur/mot de passe. Il est recommandé de le désactiver une fois l'intégration terminée. En tant qu'Admin/Propriétaire, il est recommandé de conserver au moins 1 compte avec une connexion par mot de passe, au cas où il y aurait des problèmes, vous pourrez toujours vous reconnecter depuis app.optisigns.com pour reconfigurer.
- Activer la création d'utilisateurs : Si les utilisateurs sont authentifiés mais n'existent pas dans OptiSigns, ils seront créés dans OptiSigns. Vous devriez activer ceci, car vous assignez/approuvez probablement déjà des utilisateurs/groupes pour utiliser OptiSigns, sauf si pour une raison quelconque vous voulez être très strict et examiner les rôles des utilisateurs avant qu'ils puissent commencer à utiliser OptiSigns.
- Activer le remplacement d'utilisateur : Chaque fois qu'un utilisateur se connecte, si son assignation de groupe a changé sur SAML, OptiSigns mettra à jour et remplacera les nouveaux paramètres de profil.
- Notez l'"URL de connexion unique" et l'"URI d'audience (ID d'entité SP)", vous en aurez besoin pour les utiliser dans OneLogin plus tard.
Ensuite, ajoutez OptiSigns comme application dans votre portail d'administration OneLogin :
Connectez-vous à votre portail OneLogin en tant qu'administrateur -> Applications
Cliquez sur Ajouter une application
Sur la page suivante, recherchez "SAML" dans la barre de recherche, puis sélectionnez le "SAML Custom Connector (SP Shibboleth)".
Entrez "OptiSigns" dans le nom d'affichage, puis cliquez sur Enregistrer. Vous pouvez également télécharger le logo OptiSigns ici.
Après l'enregistrement, allez à la page de configuration. C'est ici que vous devez fournir l'URL de connexion unique et l'ID d'entité SP que vous obtenez depuis vos paramètres SAML SSO OptiSigns.
L'ID d'entité SP depuis les paramètres SAML SSO OptiSigns doit être placé sous l'URL de connexion.
L'URL de connexion unique depuis les paramètres SAML SSO OptiSigns doit être placée sous l'URL ACS et le validateur d'URL ACS. N'oubliez pas d'échapper les caractères spéciaux dans le validateur d'URL ACS.
Ensuite, allez à la page SSO. Obtenez ces 3 informations surlignées, elles doivent être maintenues dans les paramètres SAML SSO OptiSigns. Après avoir cliqué sur Afficher les détails du certificat, vous pouvez trouver le contenu encodé du certificat, cela sera nécessaire à l'étape suivante.
Retournez dans votre compte OptiSigns, renseignez les 3 champs mentionnés ci-dessus et enregistrez.
Placez le point de terminaison SAML 2.0 de OneLogin sous le point de terminaison SAML 2.0.
Placez l'URL de l'émetteur de OneLogin sous l'émetteur du fournisseur d'identité.
Placez le contenu du certificat x509 encodé en base64 sous Certificat public.
Maintenant, votre portail de connexion et votre intégration sont configurés.
Assigner et mapper les utilisateurs et groupes de OneLogin vers OptiSigns
Ce n'est pas obligatoire, mais il est recommandé de créer des groupes d'utilisateurs à assigner et à mapper aux rôles et équipes OptiSigns afin qu'ils aient automatiquement le bon rôle et groupe.
NOTE IMPORTANTE : Si vous ne configurez pas ceci, tous les utilisateurs se verront attribuer le rôle Utilisateur et l'Équipe par défaut (voir capture d'écran ci-dessous)
Pour configurer comment OptiSigns doit mapper les groupes d'utilisateurs aux rôles OptiSigns, allez à : https://app.optisigns.com/app/s/saml-settings
Faites défiler jusqu'aux Paramètres avancés et créez un mappage.
Nom du groupe (rôles assignés à l'utilisateur depuis OneLogin), mappage du Rôle (rôle dans OptiSigns).
Il est recommandé de créer un groupe spécifiquement pour OptiSigns avec un préfixe de nom optisigns- et de le mapper à OptiSigns comme suit :
- optisigns-admins (groupe SAML) -> Rôle OptiSigns : Admin
- optisigns-users (groupe SAML) -> Rôle OptiSigns : Utilisateurs
- optisigns-custom-role (groupe SAML) -> Rôle personnalisé OptiSigns que vous créez
Comment gérer les utilisateurs/groupes non mappés :
Vous pouvez mapper les "Utilisateurs/groupes non mappés" vers Aucune équipe (Désactivé)
De cette façon, ils recevront une erreur en essayant de se connecter et devront contacter les administrateurs pour obtenir les équipes et rôles corrects assignés. Cela peut être utilisé comme mesure de sécurité, au cas où certains utilisateurs auraient accidentellement reçu l'application OptiSigns mais pas les bons groupes.
Notez que si vous mappez un groupe SAML à une équipe puis supprimez l'équipe, cela entraînera le mappage du nouvel utilisateur vers Aucune équipe et il devra vous contacter pour être assigné à une équipe pour utiliser l'application.
Ensuite, allez dans votre portail OneLogin. Allez à la page des paramètres de l'application OptiSigns. C'est ici que vous maintenez le mappage des attributs.
Créez de nouveaux paramètres personnalisés ici en cliquant sur l'icône +. Actuellement, OptiSigns prend en charge le mappage d'attributs pour le prénom, le nom de famille et le groupe. Vous pouvez définir le nom du paramètre personnalisé avec le même nom d'attribut par défaut utilisé sur OptiSigns, puis l'assigner aux valeurs correspondantes de OneLogin.
Shibboleth possède de nombreux attributs standard prédéfinis. Dans ce cas, givenName peut être mappé à firstName sur OptiSigns, et surname peut être mappé à lastName sur OptiSigns.
Ces mappages transmettront les informations à OptiSigns sur le nom et le groupe de l'utilisateur.
Les noms de paramètres correspondent à OptiSigns
https://app.optisigns.com/app/s/saml-settings
OptiSigns accepte firstName, lastName et group par défaut. Au lieu de définir les noms de paramètres avec le nom d'attribut par défaut utilisé sur OptiSigns, vous pouvez également modifier le nom d'attribut sur OptiSigns pour qu'il corresponde aux noms de paramètres que vous avez définis sur OneLogin.
Shibboleth utilise un espace de noms standard et un id pour les attributs standard prédéfinis. Dans le cas des noms, l'id doit être utilisé dans le mappage des attributs sur OptiSigns.
firstName (givenName) : urn:oid:2.5.4.42
lastName (surname) : urn:oid:2.5.4.4
C'est terminé !
Vous avez configuré SAML 2.0 pour OptiSigns avec OneLogin en utilisant le connecteur Shibboleth.
Maintenant, vos utilisateurs peuvent se connecter en utilisant le sous-domaine que vous avez configuré (dans ce cas, c'était https://advanced.optisigns.net/signIn).
Vous pouvez partager l'URL avec vos utilisateurs et ils peuvent se connecter avec leurs identifiants SSO.
Si vous avez des questions supplémentaires ou des commentaires sur OptiSigns, n'hésitez pas à contacter notre équipe de support à support@optisigns.com