Avec les forfaits Pro Plus et Enterprise, vous pouvez configurer SAML 2.0 avec OptiSigns via Google Workspace. Google Workspace agira en tant qu'IDP (Fournisseur d'identité), et OptiSigns fonctionnera en tant que SP (Fournisseur de services).
Configurer OptiSigns & Google Workspace :
D'abord, vous devez effectuer quelques configurations dans OptiSigns :
Si vous n'avez pas encore de sous-domaine, vous pouvez en configurer un en allant sur :
https://app.optisigns.com/app/s/branding-settings
Remplissez le champ du sous-domaine et cliquez sur Activer. Après cela, vous pouvez utiliser ce sous-domaine pour "
Vous pouvez également mapper votre propre domaine comme digitalsigns.votreentreprise.com en suivant cet article.
Ce sera l'URL que vous pourrez partager avec vos utilisateurs pour qu'ils puissent se connecter et utiliser l'application, une fois l'intégration configurée. Dans notre exemple, nous utiliserons https://advanced.optisigns.net/
Ensuite, allez sur la page des paramètres SAML Single Sign On :
https://app.optisigns.com/app/s/saml-settings
Cliquez sur Activer SAML SSO.
Les paramètres sont :
- Activer la connexion par nom d'utilisateur et mot de passe : Permet aux utilisateurs de se connecter également avec un nom d'utilisateur/mot de passe. Il est recommandé de le désactiver une fois l'intégration terminée. En tant qu'Admin/Propriétaire, il est recommandé de conserver au moins 1 compte avec une connexion par mot de passe, au cas où il y aurait des problèmes, vous pourrez toujours vous reconnecter depuis app.optisigns.com pour reconfigurer.
- Activer la création d'utilisateur : Si les utilisateurs sont authentifiés mais n'existent pas dans OptiSigns, ils seront créés dans OptiSigns. Vous devriez activer cette option, car vous avez probablement déjà assigné/approuvé des utilisateurs/groupes pour utiliser OptiSigns, sauf si pour une raison quelconque vous voulez être très strict et examiner les rôles des utilisateurs avant qu'ils puissent commencer à utiliser OptiSigns.
- Activer l'écrasement de l'utilisateur : Chaque fois qu'un utilisateur se connecte, si son assignation de groupe a changé sur SAML, OptiSigns mettra à jour et écrasera les nouveaux paramètres de profil.
- Notez l'"URL Single Sign On" et l'"URL Audience URI (SP Entity ID)", vous en aurez besoin pour les utiliser dans Google Workspace plus tard.
Ensuite, ajoutez OptiSigns comme application dans votre portail d'administration Google Workspace :
Connectez-vous à votre portail Google Workspace en tant qu'administrateur -> Applications -> Applications Web et mobiles
Cliquez sur Ajouter une application -> Ajouter une application SAML personnalisée
Dans la fenêtre contextuelle, entrez OptiSigns comme nom de l'application, vous pouvez également télécharger l'icône de l'application ici. Puis cliquez sur continuer.
La page suivante fournira les données IDP. Obtenez ces 2 informations surlignées puis cliquez sur continuer, elles doivent être maintenues dans les paramètres SAML SSO d'OptiSigns plus tard.
La page suivante sera celle des informations SP, c'est ici que vous devez fournir l'URL Single Sign On et l'ID d'entité SP que vous obtenez de vos paramètres SAML SSO OptiSigns.
L'ID d'entité SP des paramètres SAML SSO d'OptiSigns doit être mis sous ID d'entité.
L'URL Single Sign On des paramètres SAML SSO d'OptiSigns doit être mise sous URL ACS.
De plus, définissez le format de l'ID de nom sur Email.
La page suivante est celle où vous maintenez les attributs. Cette étape sera expliquée plus tard dans cet article. Cliquez sur Terminer, et l'application est ajoutée à Google Workspace.
Après avoir terminé la création de l'application sur Google Workspace. Vous pouvez sélectionner l'application OptiSigns sous "Applications Web et mobiles". Cliquez sur l'application OptiSigns, et notez l'ID dans l'URL, c'est le SPID qui sera nécessaire.
Retournez à votre compte OptiSigns, remplissez les 3 champs mentionnés ci-dessus et sauvegardez.
Vous pouvez obtenir l'URL SSO, l'ID d'entité et le certificat depuis votre Google Workspace.
- Mettez l'URL SSO de Google Workspace sous Point de terminaison SAML 2.0 (HTTP).
- Mettez l'ID d'entité de Google Workspace sous Émetteur du fournisseur d'identité.
- Mettez le contenu du certificat encodé en base64 sous Certificat public.
Maintenant, votre portail de connexion et l'intégration sont tous configurés.
Assigner et mapper les utilisateurs et les groupes de Google Workspace vers OptiSigns
Ce n'est pas obligatoire, mais il est recommandé de créer des groupes d'utilisateurs à assigner et à mapper aux Rôles et Équipes OptiSigns afin qu'ils aient automatiquement le bon rôle et groupe.
NOTE IMPORTANTE : Si vous ne configurez pas cela, tous les utilisateurs se verront attribuer le rôle Utilisateur et l'Équipe par défaut (voir capture d'écran ci-dessous)
Pour configurer comment OptiSigns doit mapper les groupes d'utilisateurs aux Rôles OptiSigns, allez sur : https://app.optisigns.com/app/s/saml-settings
Faites défiler jusqu'aux Paramètres avancés et créez un mappage.
Nom du groupe (peut utiliser le département de Google Workspace), mappage Rôle (rôle dans OptiSigns).
Il est recommandé de créer un groupe spécifiquement pour OptiSigns avec un préfixe de nom optisigns- et de le mapper à OptiSigns comme ci-dessous :
- optisigns-admins (groupe SAML) -> Rôle OptiSigns : Admin
- optisigns-users (groupe SAML) -> Rôle OptiSigns : Utilisateurs
- optisigns-custom-role (groupe SAML) -> Rôle personnalisé OptiSigns que vous créez
Comment gérer les utilisateurs/groupes non mappés :
Vous pouvez mapper les "Utilisateurs/groupes non mappés" vers Aucune équipe (Désactivé)
De cette façon, ils recevront une erreur en essayant de se connecter et devront contacter les administrateurs pour obtenir les bonnes équipes et rôles assignés. Cela peut être utilisé comme une protection, au cas où certains utilisateurs auraient accidentellement été assignés à l'application OptiSigns mais pas aux bons groupes.
Notez que si vous mappez un groupe SAML à une Équipe puis supprimez l'équipe, cela entraînera le mappage du nouvel utilisateur vers Aucune équipe et il devra vous contacter pour être assigné à une équipe afin d'utiliser l'application.
Ensuite, il est temps de parler du mappage des attributs. C'est la dernière étape lors de la création de l'application dans Google Workspace.
Actuellement, OptiSigns prend en charge le mappage des attributs prénom, nom de famille et groupe. Vous pouvez définir le nom de l'attribut dans Google Workspace et le définir sur les mêmes noms d'attributs par défaut utilisés sur OptiSigns.
Ces mappages transmettront des informations à OptiSigns sur le nom et les groupes de l'utilisateur.
Les "Attributs de l'application" correspondent à OptiSigns
https://app.optisigns.com/app/s/saml-settings
OptiSigns accepte firstName, lastName et group par défaut. Au lieu de définir les noms d'attributs sur les noms d'attributs par défaut utilisés sur OptiSigns, vous pouvez également modifier le nom de l'attribut sur OptiSigns pour correspondre au nom de l'attribut que vous avez défini sur Google Workspace.
Je me suis connecté à mon compte OptiSigns, mais je ne semble pas avoir toutes les options du menu latéral auxquelles je suis habitué. Que se passe-t-il ?
Il est probable que vous vous soyez connecté via votre Portail de marque, en utilisant une URL similaire à celle-ci :
https://app.optisigns.com/signIn/<accountId>
Vous devrez d'abord trouver votre ID de compte OptiSigns. Pour ce faire, trouvez simplement un écran appairé et cliquez sur Modifier → Avancé → Plus.
Cliquez sur Infos de l'appareil :
Trouvez le numéro "accountId", puis notez-le quelque part. Vous en aurez bientôt besoin.
Maintenant, copiez l'URL suivante, en vous assurant de substituer votre ID de compte où approprié :
https://app.optisigns.com/signIn/<accountId>
Puis mettez cette URL dans votre Google Workspace sous URL SSO.
C'est fait !
Vous avez configuré SAML 2.0 pour OptiSigns avec Google Workspace.
Maintenant, vos utilisateurs peuvent se connecter en utilisant le sous-domaine que vous avez configuré (dans ce cas, c'était https://advanced.optisigns.net/signIn).
Vous pouvez partager l'URL avec vos utilisateurs et ils peuvent se connecter avec leurs identifiants SSO.
Si vous avez des questions supplémentaires ou des commentaires sur OptiSigns, n'hésitez pas à contacter notre équipe de support à support@optisigns.com