In questo articolo, forniremo una guida passo-passo per configurare SAML 2.0 con Microsoft Entra ID per l'utilizzo con OptiSigns.
- Configurare il sottodominio OptiSigns e le impostazioni SAML SSO
- Aggiungere OptiSigns come app nel portale Azure
- Assegnare e mappare utenti e gruppi da Azure a OptiSigns (OPZIONALE)
- Configurare il login OptiSigns in Office.com (OPZIONALE)
- Domande frequenti
| NOTA: Questa funzionalità è disponibile per gli utenti dei piani Pro Plus, Engage e Enterprise. |
SAML (Security Assertion Markup Language) 2.0 consente un'unica autorizzazione per accedere a più sistemi. Questo può essere configurato per consentire un facile accesso al digital signage OptiSigns attraverso il vostro Microsoft Entra ID. Entra ID fungerà da IDP (Identity Provider), mentre OptiSigns funzionerà come SP (Service Provider). Ecco un breve video che mostra come configurare SAML 2.0 con Entra ID (quando era conosciuto come Azure AD):
Configurare il sottodominio OptiSigns e le impostazioni SAML SSO
Per iniziare, dovrete eseguire alcune funzioni all'interno dell'app OptiSigns, tra cui:
- Creare un sottodominio personalizzato
- Configurare le impostazioni SAML SSO
Ora, iniziamo.
Configurazione di un sottodominio personalizzato
Innanzitutto, assicuratevi di avere un sottodominio OptiSigns. Questo può essere ottenuto andando alla pagina Impostazioni di branding.
Compilate il campo del sottodominio e fate clic su Attiva. Ora potete utilizzare questo sottodominio per varie funzioni, inclusa la configurazione SAML. Potete anche mappare il vostro dominio seguendo il nostro articolo sulla mappatura del dominio personalizzato.
Questo sottodominio sarà l'URL da condividere con i vostri utenti affinché possano accedere per utilizzare l'app dopo che l'integrazione è stata configurata.
Per questo esempio, utilizzeremo https://optisignsdemo-ad.optisigns.net/ come nostro URL.
Configurazione delle impostazioni SAML SSO
Andate alla pagina Impostazioni SAML Single Sign-On:
Ora abilitate Abilita SAML SSO. Dovrebbe apparire un segno di spunta verde accanto all'opzione. Questo espanderà le opzioni disponibili.
Le altre impostazioni sono:
- Abilita accesso con nome utente e password - Consente agli utenti di accedere anche con nome utente/password. Consigliamo di disabilitare questa opzione una volta completata l'integrazione. Come Admin/Proprietario, si consiglia di mantenere almeno 1 account con accesso tramite password in caso di problemi. Potete utilizzare questo account per accedere direttamente all'app per riconfigurare se necessario.
- Abilita creazione utente - Se gli utenti sono autenticati ma non esistono in OptiSigns, verranno creati nell'app OptiSigns. Consigliamo di abilitare questa opzione a meno che non vogliate essere estremamente rigidi e desideriate rivedere i ruoli degli utenti prima che possano iniziare a utilizzare OptiSigns.
- Abilita sovrascrittura utente - Ogni volta che un utente accede, OptiSigns controllerà la sua assegnazione di gruppo. Se è cambiata su SAML, OptiSigns aggiornerà i suoi permessi all'interno dell'app.
Successivamente, annotate il vostro URL Single Sign On e URI Audience (SP Entity ID) URL. Dovrete utilizzarli più tardi.
Aggiungere OptiSigns come app nel portale Microsoft Entra ID
Accedete al vostro portale Microsoft Azure come amministratore, quindi navigate verso Applicazioni aziendali.
Fate clic su Nuova applicazione.
Selezionate Crea la tua applicazione. Questo apre una barra laterale sulla destra. All'interno, inserite "OptiSigns" come nome dell'app e scegliete Integra qualsiasi altra applicazione non presente nella raccolta (Non-gallery). Infine, cliccate su Crea.
Ci vorrà un momento, ma alla fine verrete portati a una schermata di panoramica.
Fate clic su Configura single sign-on.
Fate clic su SAML. Questo avvierà la configurazione del Sign-on basato su SAML.
Qui, fate clic su Modifica nella sezione Configurazione SAML di base. Questo è dove dovete fornire l'URL Single Sign On e l'SP Entity ID che avete ottenuto nel passaggio precedente.
Inserite l'URL Single Sign On sotto URL di risposta e l'SP Entity ID sotto Identificatore.
Successivamente, notate le due sezioni successive: Certificati SAML e Configura OptiSigns. Dovrete ottenere tre informazioni chiave:
- Certificato (Base64)
- URL di accesso
- Identificatore Microsoft Entra
Queste dovranno essere mantenute all'interno dell'app OptiSigns, nella pagina Impostazioni SAML SSO.
Ora tornate al vostro account OptiSigns e inserite queste tre informazioni nei seguenti punti:
- URL di accesso deve andare sotto SAML 2.0 Endpoint (HTTP)
- Identificatore Microsoft Entra deve andare sotto Identity Provider Issuer
- Il contenuto del Certificato (Base64) scaricato deve essere incollato sotto Public Certificate.
Con questo, il vostro portale di accesso e l'integrazione sono tutti configurati. Se questo è tutto ciò di cui avete bisogno, avete finito. Se desiderate gestire utenti, gruppi e team, continuate a leggere.
Assegnare e mappare utenti e gruppi da Azure a OptiSigns (OPZIONALE)
Consigliamo vivamente di creare gruppi di utenti da assegnare all'interno di Azure per essere mappati automaticamente su OptiSigns con il ruolo e il gruppo corretti.
| NOTA: Senza configurare questo, tutti gli utenti verranno assegnati al ruolo Utente e al Team predefinito. Dovrete modificare manualmente i loro ruoli e team all'interno dell'app OptiSigns. |
Tornate alla pagina impostazioni SAML all'interno di OptiSigns. Scorrete fino a Impostazioni avanzate e dovreste vedere questo:
Per impostazione predefinita, gli utenti/gruppi non mappati diventano Utenti all'interno del Team predefinito in OptiSigns. Per collegare OptiSigns ad Azure, create una nuova mappatura facendo clic su Aggiungi o modificate una delle mappature di gruppo esistenti.
Il "Nome gruppo" all'interno di OptiSigns corrisponde all'"ID gruppo" all'interno di Azure. Per trovare queste informazioni, andate al vostro portale Azure e selezionate Gruppi.
Il vostro Object ID può essere trovato qui per ogni gruppo che avete creato.
Questo Object ID dovrebbe essere inserito nel campo Nome gruppo all'interno di OptiSigns. Tuttavia, consigliamo di creare un gruppo specificamente per OptiSigns con un prefisso OptiSigns- e mapparli su OptiSigns in questo modo:
- optisigns-admins (gruppo SAML) → ruolo OptiSigns: Admin
- optisigns-users (gruppo SAML) → ruolo OptiSigns: Users
- optisigns-custom-role (gruppo SAML) → ruolo personalizzato OptiSigns che create
Una volta terminato, dovrebbe assomigliare a questo:
Potete creare quanti gruppi e ruoli desiderate.
Come gestire utenti e gruppi non mappati
Potreste voler mappare la sezione "Utenti/gruppi non mappati" su Nessun Team (Disabilita). In questo modo, riceveranno un messaggio di errore quando tenteranno di accedere e dovranno contattare gli amministratori per ottenere il team e il ruolo corretti assegnati. Questa è una salvaguardia utile nel caso in cui alcuni utenti vengano accidentalmente assegnati all'app OptiSigns ma non al gruppo corretto.
| NOTA: Se mappate un gruppo SAML a un Team, quindi eliminate il Team, i nuovi utenti verranno mappati a Nessun Team. Dovranno contattarvi per essere assegnati a un team per poter utilizzare l'app. |
Gestione di attributi e claim in Microsoft Azure
Modificare gli attributi e i claim in Microsoft Azure può darvi ancora più controllo sugli utenti aggiunti al gruppo, ed è uno strumento prezioso.
Per iniziare, andate al portale Azure. Fate clic su Applicazioni aziendali → OptiSigns → Single sign-on. Scorrete fino alla Sezione 2: Attributi utente e claim. Questo è dove mantenete la mappatura di questi attributi.
All'interno di questa sezione, ci sono due cose principali da personalizzare:
- Claim di gruppo
- Attributi utente
Vi guideremo attraverso ciascuno.
Creazione di claim di gruppo per l'uso con OptiSigns
Per creare un claim di gruppo, fate prima clic su Aggiungi un claim di gruppo:
Quando create un gruppo:
- Selezionate Gruppi assegnati all'applicazione sotto "Quali gruppi associati all'utente devono essere restituiti nel claim?"
- (Opzionale) Inserite il nome "groups" in "Personalizza il nome del claim di gruppo" e lasciate vuota la sezione Namespace.
Questo è tutto per la creazione di claim di gruppo.
Personalizzazione dei claim utente per l'uso con OptiSigns
Queste mappature passeranno informazioni a OptiSigns sul nome e gruppo dell'utente:
I nomi dei claim sono, per impostazione predefinita, rappresentati da un URL. Il tipo verrà dato come SAML, con il valore corrispondente alle informazioni identificative sull'utente, tra cui:
- user.givenname
- user.groups (solo se configurato - vedi sezione precedente)
- user.mail
- user.userprincipalname
- user.surname
Questi nomi di claim corrispondono a questa sezione sotto Impostazioni avanzate nella pagina Impostazioni SAML SSO:
OptiSigns accetta per impostazione predefinita Nomi, Cognomi e Gruppi.
Questi valori corrispondono al Namespace del claim. Quindi, in altre parole, se il valore corrispondente al firstName (user.givenname) è un URL, dovrete incollare l'intero URL in OptiSigns. È possibile, tuttavia, cambiare il Namespace in qualcosa di più gestibile.
In Azure, fate clic su uno qualsiasi di questi claim per gestirli.
Per eliminare l'URL, semplicemente cancellatelo dal campo Namespace, quindi fate clic su Salva.
Questo sostituirà l'URL nel Namespace con il Nome. Questa è un'informazione molto più facile da gestire.
Questi possono ora essere mappati, così:
Infine, andate alla sezione Utenti e gruppi all'interno di Azure e assegnate i vostri gruppi all'app aziendale OptiSigns.
Configurare il login OptiSigns in Office.com
È spesso conveniente avere l'app OptiSigns che appare come un'opzione cliccabile sul portale Office.com della vostra azienda.
Per configurare questo, dovrete prima trovare il vostro ID account OptiSigns. Per farlo, semplicemente trovate uno schermo accoppiato e fate clic su Modifica → Avanzate → Altro.
Fate clic su Info dispositivo:
Trovate il numero "accountId", quindi annotatelo da qualche parte. Ne avrete bisogno presto.
Ora copiate il seguente URL, assicurandovi di sostituire il vostro ID account dove appropriato:
https://app.optisigns.com/signIn/<accountId>
Successivamente, tornate al vostro portale Azure e andate a Sign-on basato su SAML. Una volta lì, trovate Configurazione SAML di base e fate clic su Modifica. Questo aprirà una barra laterale. Semplicemente incollate/digitate il vostro URL nei campi URL di accesso (Opzionale) e Stato di inoltro (Opzionale).
Questo consentirà all'app OptiSigns di apparire nel vostro portale Microsoft Office. Questo fornirà anche la gamma completa di opzioni per il vostro menu laterale.
Domande frequenti
Qui risponderemo ad alcune delle domande più comuni che riceviamo su questo argomento.
Ho ricevuto questo messaggio di errore. Aiuto?
Unable to process request due to missing initial state. This may happen if browser sessionStorage is inaccessible or accidentally cleared. Some specific scenarios are - 1) Using IDP-Initiated SAML SSO. 2) Using signInWithRedirect in a storage-partitioned browser environment.
Questo errore appare per uno di due motivi:
- È stato inserito l'URL sbagliato. Questo è frequentemente (https://auth.optisigns.com/__/auth/handler)
- L'utente ha cercato di accedere al portale OptiSigns da Office.com senza configurare correttamente SAML SSO in Microsoft Azure.
Il modo più semplice per risolvere questo problema è accedere attraverso il vostro URL personalizzato.
Questo sarà unico per la vostra organizzazione. Per ulteriori informazioni, seguite i passaggi descritti nella sezione "Aggiungere OptiSigns come app nel portale Microsoft Entra ID".
Dice che non appartengo a un Team/Gruppo. Come posso risolvere?
Questo errore ha a che fare con la mappatura dei gruppi. Per iniziare, seguite tutti i passaggi descritti nella sezione "Assegnare e mappare utenti e gruppi" sopra.
Se avete ancora problemi, controllate i vostri nomi di gruppo. In Azure, questo è l'Object ID:
Controllate gli attributi e i claim dell'utente desiderato e assicuratevi che il nome del suo gruppo sia assegnato come Gruppi assegnati all'applicazione.
Successivamente, controllate se il claim è stato configurato correttamente:
I valori sopra dovrebbero corrispondere a questi all'interno del portale OptiSigns:
Infine, assicuratevi che l'utente e il gruppo siano stati aggiunti all'applicazione all'interno di MS Azure:
Questo dovrebbe risolvere il problema.
Sono entrato nel mio account OptiSigns, ma non sembra che abbia tutte le opzioni del menu laterale a cui sono abituato. Cosa sta succedendo?
È probabile che abbiate effettuato l'accesso attraverso il vostro portale personalizzato, utilizzando un URL simile a questo:
https://app.optisigns.com/signIn/<accountId>
Andate avanti e seguite i passaggi descritti qui e questo problema dovrebbe risolversi.
È tutto!
Avete configurato SAML 2.0 per OptiSigns con Microsoft Entra.
Potete condividere l'URL con i vostri utenti e loro potranno accedere con le loro credenziali SSO.
Se avete ulteriori domande o feedback su OptiSigns, non esitate a contattare il nostro team di supporto a support@optisigns.com