Vai al contenuto principale

Come configurare SAML 2.0 con OptiSigns e OneLogin (Shibboleth)

**Corpo dell'articolo (Contenuto HTML):**

Con i piani Pro Plus ed Enterprise, puoi configurare SAML 2.0 con OptiSigns tramite OneLogin utilizzando Shibboleth. Shibboleth è basato su SAML, la configurazione dell'autenticazione utilizzando il connettore Shibboleth su OneLogin sarà simile al normale connettore SAML.

OneLogin fungerà da IDP (Identity Provider), e OptiSigns funzionerà come SP (Service Provider).

Configurare OptiSigns e OneLogin:

Prima di tutto, è necessario eseguire alcune configurazioni in OptiSigns:

Se non hai ancora un sottodominio, puoi configurarne uno andando su:
https://app.optisigns.com/app/s/branding-settings

Compila il campo del sottodominio e clicca su Attiva. Dopo di che, puoi utilizzare questo sottodominio per "
Puoi anche mappare il tuo dominio personalizzato come digitalsigns.tuaazienda.com seguendo questo articolo.

Questo sarà l'URL che potrai condividere con i tuoi utenti in modo che possano accedere per utilizzare l'app, una volta configurata l'integrazione. Nel nostro esempio, utilizzeremo https://advanced.optisigns.net/

mceclip13.png

Successivamente, vai alla pagina delle impostazioni SAML Single Sign On:

https://app.optisigns.com/app/s/saml-settings

Clicca su Abilita SAML SSO.

Le impostazioni sono:

  • Abilita accesso con Nome utente e Password: Consente agli utenti di accedere anche con nome utente/password. Si consiglia di disabilitarlo una volta completata l'integrazione. Come Admin/Proprietario, si consiglia di mantenere almeno 1 account con accesso tramite password, nel caso ci siano problemi, puoi sempre accedere nuovamente da app.optisigns.com per riconfigurare.
  • Abilita creazione utenti: Se gli utenti sono autenticati, ma non esistono in OptiSigns, verranno creati in OptiSigns. Dovresti abilitare questa opzione, perché probabilmente hai già assegnato/approvato utenti/gruppi per utilizzare OptiSigns, a meno che per qualche motivo tu voglia essere molto rigoroso e desideri rivedere i ruoli degli utenti prima che possano iniziare a utilizzare OptiSigns.
  • Abilita sovrascrittura utente: Ogni volta che un utente accede, se la sua assegnazione di gruppo è cambiata su SAML, OptiSigns aggiornerà e sovrascriverà le nuove impostazioni del profilo.
  • Prendi nota del "Single Sign On URL" e "Audience URI (SP Entity ID) URL", ti serviranno per utilizzarli in OneLogin successivamente.

mceclip0.png

Successivamente, aggiungi OptiSigns come App nel tuo portale amministrativo OneLogin:

Accedi al tuo portale OneLogin come amministratore -> Applicazioni

Clicca su Aggiungi app

mceclip6.png

Nella pagina successiva, cerca "SAML" nella casella di ricerca, quindi seleziona "SAML Custom Connector (SP Shibboleth)".

mceclip0.png

Inserisci "OptiSigns" nel nome visualizzato, quindi clicca su Salva. Puoi anche caricare il logo OptiSigns qui.

mceclip1.png

Dopo aver salvato, vai alla pagina di configurazione. Qui è dove dovresti fornire il Single Sign On URL e l'SP Entity ID che ottieni dalle impostazioni SAML SSO di OptiSigns.

L'SP Entity ID dalle impostazioni SAML SSO di OptiSigns dovrebbe essere inserito sotto Login URL.

Il Single Sign On URL dalle impostazioni SAML SSO di OptiSigns dovrebbe essere inserito sotto ACS URL e ACS URL validator. Ricordati di fare l'escape dei caratteri speciali nell'ACS URL validator.

mceclip2.png

Poi vai alla pagina SSO. Ottieni queste 3 informazioni evidenziate, queste devono essere mantenute nelle impostazioni SAML SSO di OptiSigns. Dopo aver cliccato su Visualizza dettagli del certificato, puoi trovare il contenuto codificato del certificato, questo sarà necessario nel passaggio successivo.

mceclip3.png

Torna al tuo account OptiSigns, mantieni i 3 campi sopra menzionati e salvali.

Inserisci l'endpoint SAML 2.0 da OneLogin sotto SAML 2.0 Endpoint.

Inserisci l'Issuer URL da OneLogin sotto Identity Provider Issuer.

Inserisci il contenuto dal certificato x509 codificato in base64 sotto Public Certificate.

mceclip6.png

Ora il tuo portale di accesso e l'integrazione sono tutti configurati.

Assegna e mappa utenti e gruppi da OneLogin a OptiSigns

Non è obbligatorio, ma è consigliato creare gruppi di utenti da assegnare e mappare ai Ruoli e Team di OptiSigns in modo che abbiano automaticamente il ruolo e il gruppo giusti.

NOTA IMPORTANTE: Se non configuri questo, tutti gli utenti verranno assegnati al Ruolo Utente e al Team Predefinito (vedi screenshot sotto)

Per configurare come OptiSigns dovrebbe mappare i gruppi utenti ai Ruoli OptiSigns, vai su: https://app.optisigns.com/app/s/saml-settings

Scorri fino a Impostazioni avanzate e crea una mappatura.
Nome gruppo (ruoli assegnati all'utente da OneLogin), mappatura Ruolo (ruolo in OptiSigns).
mceclip9.png

La best practice è creare un gruppo specificamente per OptiSigns con nome che inizia con optisigns- e mappare a OptiSigns come segue:

  • optisigns-admins (gruppo SAML) -> ruolo OptiSigns: Admin
  • optisigns-users (gruppo SAML) -> ruolo OptiSigns: Users
  • optisigns-custom-role (gruppo SAML) -> ruolo personalizzato OptiSigns che crei

Come gestire utenti/gruppi non mappati:

Puoi mappare gli "Utenti/gruppi non mappati" a Nessun Team (Disabilitato)

In questo modo riceveranno un errore quando cercano di accedere e dovranno contattare gli Amministratori per ottenere i team e i ruoli corretti assegnati. Questo può essere utilizzato come salvaguardia, nel caso in cui alcuni utenti ottengano accidentalmente l'app OptiSigns ma non i gruppi giusti.

mceclip3.png

Nota che se mappi un gruppo SAML a un Team e poi elimini il team, il nuovo utente verrà mappato a Nessun Team e dovrà contattarti per essere assegnato a un team per utilizzare l'app.

Successivamente, vai al tuo portale OneLogin. Vai alla pagina dei parametri dell'applicazione OptiSigns. Qui è dove mantieni la mappatura degli attributi.

Crea nuovi parametri personalizzati qui cliccando sull'icona +. Attualmente, OptiSigns supporta la mappatura degli attributi di nome, cognome e gruppo. Puoi impostare il nome del parametro personalizzato allo stesso nome di attributo predefinito utilizzato su OptiSigns, e poi assegnarlo ai valori corrispondenti da OneLogin.

Shibboleth ha molti attributi standard predefiniti. In questo caso, givenName può essere mappato a firstName su OptiSigns, e surname può essere mappato a lastName su OptiSigns.

Queste mappature passeranno informazioni a OptiSigns sul Nome e Gruppo dell'utente.

mceclip4.png

I nomi dei parametri corrispondono a OptiSigns

https://app.optisigns.com/app/s/saml-settings

OptiSigns accetta firstName, lastName e group per impostazione predefinita. Invece di impostare i nomi dei parametri al nome di attributo predefinito utilizzato su OptiSigns, puoi anche cambiare il nome dell'attributo su OptiSigns per abbinare i nomi dei parametri che hai definito su OneLogin.

Shibboleth utilizza namespace standard e id per gli attributi standard predefiniti. Nel caso dei nomi, l'id dovrebbe essere utilizzato nella mappatura degli attributi su OptiSigns.

firstName (givenName) : urn:oid:2.5.4.42

lastName (surname):urn:oid:2.5.4.4

mceclip5.png

Ecco fatto!

Hai configurato SAML 2.0 per OptiSigns con OneLogin utilizzando il connettore Shibboleth.

Ora i tuoi utenti possono accedere utilizzando il sottodominio che hai configurato (in questo caso era https://advanced.optisigns.net/signIn).

Puoi condividere l'URL con i tuoi utenti e possono accedere con le loro credenziali SSO.

Se hai domande aggiuntive o feedback su OptiSigns, non esitare a contattare il nostro team di supporto all'indirizzo support@optisigns.com

Questo articolo ti è stato utile?
Deutsch English (United States) Español Français 日本語 Nederlands Português Svenska