Esistono molti modi per implementare SAML per gestire gli utenti e accedere a OptiSigns con il proprio IDP.
Ecco alcune best practice di alto livello con OptiSigns che aiuteranno a pianificare l'integrazione e ridurre il carico di lavoro manuale in seguito.
Questo articolo si concentra sulle strategie e approcci di integrazione. Per configurazioni dettagliate passo-passo per piattaforma, consultare una delle nostre guide:
- SAML SSO con Okta
- SAML SSO con MS Entra ID
- SAML SSO con OneLogin
- SAML SSO con OneLogin (Shibboleth)
- SAML SSO con Google Workspace
Creare un account Admin di backup durante la configurazione:
Durante la configurazione, consigliamo di lasciare abilitato Abilita login con Nome utente e Password e di creare un account Admin con nome utente/password per poter accedere nuovamente e configurare, nel caso in cui ci si blocchi accidentalmente per mancata assegnazione di ruoli o gruppi.
È possibile disabilitare questo account successivamente una volta completata l'implementazione.
In questo caso, si sta pianificando di non utilizzare l'email come identificatore univoco per l'utente, utilizzando invece un nome utente o ID dipendente. Consigliamo di mantenere questa opzione attiva, in modo che il proprietario dell'account e l'account amministratore possano gestire l'account senza interruzioni, ad esempio dimenticando la password o in caso di problemi con l'identificazione del provider.
Strategie per l'utilizzo di SAML:
1) Come servizio di autenticazione e autorizzazione (CONSIGLIATO)
SAML può essere utilizzato per imporre la verifica dell'identità, ma anche per imporre la mappatura di utenti, team e ruoli in OptiSigns.
Con questo approccio mapperete tutti gli utenti ai gruppi nel vostro IDP e mapperete i gruppi IDP ai team/ruoli di OptiSigns. Quando c'è un cambiamento nell'IDP (ad esempio, un utente viene aggiunto o cambia gruppo), si rifletterà automaticamente in OptiSigns.
Per implementare questo, selezionare Abilita sovrascrittura utente. Quando selezionato, ogni volta che un utente accede utilizzando SAML, OptiSigns verificherà se il suo nome o l'assegnazione del gruppo è cambiata. Lo applicherà di conseguenza. Se il nome o l'assegnazione sono stati aggiornati, aggiornerà anche OptiSigns.
Mappare tutti i gruppi appropriati ai ruoli e team in OptiSigns.
Ad esempio abbiamo 3 gruppi:
- Marketing Costa Ovest - utenti responsabili della gestione di schermi e contenuti per la regione ovest
- Marketing Costa Est - utenti responsabili della gestione di schermi e contenuti per la regione est
- Supporto IT - Amministratore che può supportare entrambe le regioni e svolgere altre attività amministrative
La mappatura dovrebbe essere come segue.
Con questa configurazione, diciamo che un utente appartiene a Marketing Costa Ovest. Si desidera spostarlo a Marketing Costa Est. È sufficiente aggiornare il vostro IDP e spostarlo dalla Costa Ovest alla Costa Est. La prossima volta che accederà a OptiSigns, questo sarà riflesso e apparterrà al team Marketing Costa Est e potrà vedere solo quel contenuto in OptiSigns.
Per maggiori informazioni sulla gestione degli utenti, consultare il nostro articolo su Team e sicurezza delle cartelle in OptiSigns.
2) Solo come servizio di autenticazione
SAML può essere utilizzato per imporre MFA, politiche delle password e rimuovere utenti e revocare l'accesso a OptiSigns. È comunque possibile gestire questi utenti e assegnarli a Team o Ruoli. Questo approccio è veloce da configurare e flessibile poiché è possibile spostare rapidamente gli utenti in OptiSigns. Tuttavia, quando gli utenti si spostano nel vostro IDP, dovrete ricordarvi di spostarli anche in OptiSigns, se necessario.
Per implementare questo, deselezionare Abilita sovrascrittura utente.
Tornando al nostro esempio precedente: quando un utente passa da Marketing Costa Ovest a Marketing Costa Est, sarà necessario andare in OptiSigns e spostare l'assegnazione del team dell'utente, se necessario.
Inoltre, se l'utente aggiorna o cambia il proprio nome, sarà necessario aggiornare anche OptiSigns per mantenerlo sincronizzato.
Abilita creazione utente:
Consigliamo di mantenere selezionata questa opzione. Quando abilitata, se gli utenti sono autenticati e SAML mappa l'utente a un team o ruolo che può utilizzare OptiSigns, l'utente verrà creato automaticamente.
Se disabilitata, dovrete creare prima ogni utente in OptiSigns prima che possa accedere con SAML SSO.
Tornando al nostro vecchio esempio. Diciamo che ci sono 20 utenti che appartengono al gruppo Marketing Costa Ovest nel vostro IDP, e Marketing Costa Ovest è mappato al team Marketing Costa Ovest in OptiSigns.
Se un utente del gruppo Marketing Costa Ovest accede a OptiSigns, verrà creato automaticamente e potrà accedere immediatamente agli schermi e ai contenuti del Team Costa Ovest.
Gli altri 19 utenti non vengono creati in OptiSigns finché non tentano di accedere.
È inoltre possibile mappare Utenti/gruppi non mappati a Nessun team (Disabilita). In questo modo, se un utente appartiene a qualche altro gruppo nel vostro IDP e tenta di accedere, riceverà un errore e l'utente non verrà creato in OptiSigns.
In questo modo è possibile mantenere il sistema pulito e vengono replicati solo gli utenti che necessitano di accesso all'app.
Se avete domande o avete bisogno di aiuto con l'integrazione SAML, non esitate a contattarci all'indirizzo support@optisigns.com