Pro PlusおよびEnterpriseプランでは、Okta経由でOptiSignsとSAML 2.0を設定できます。
すでにOktaをアイデンティティ管理に使用していることを前提としています。まだOktaを使用していない場合は、業界をリードするアイデンティティ管理プラットフォームについてこちらで詳しく学ぶことができます。
OptiSignsとOktaのセットアップ:
まず、OptiSignsでいくつかの設定を行う必要があります:
まだサブドメインを持っていない場合は、以下にアクセスして設定できます:
https://app.optisigns.com/app/s/branding-settings
サブドメインフィールドに入力し、「アクティベート」をクリックします。その後、このサブドメインを使用できます。
また、この記事に従って、digitalsigns.yourcompany.comのような独自ドメインをマッピングすることもできます。
これが統合設定完了後にユーザーと共有できるURLになり、ユーザーはこのURLを使用してアプリにログインできます。この例では、https://advanced.optisigns.net/を使用します。
次に、SAMLシングルサインオン設定ページに移動します:
https://app.optisigns.com/app/s/saml-settings
「SAML SSOを有効にする」をクリックします。
設定項目は以下の通りです:
- ユーザー名とパスワードによるログインを有効にする:ユーザーがユーザー名/パスワードでもログインできるようにします。統合がすべて完了したら無効にすることをお勧めします。管理者/オーナーとして、問題が発生した場合にapp.optisigns.comから再設定できるよう、少なくとも1つのアカウントはパスワードログインを維持することをお勧めします。
- ユーザー作成を有効にする:認証されたユーザーがOptiSignsに存在しない場合、OptiSignsに作成されます。OptiSignsの使用をユーザー/グループに割り当て/承認している場合は、これを有効にする必要があります。何らかの理由で非常に厳格にしたい場合や、ユーザーがOptiSignsの使用を開始する前にロールを確認したい場合を除きます。
- ユーザー上書きを有効にする:ユーザーがログインするたびに、SAMLでグループ割り当てが変更されている場合、OptiSignsは新しいプロファイル設定を更新し、上書きします。
- 「シングルサインオンURL」と「オーディエンスURI(SPエンティティID)URL」をメモしてください。後でOktaで使用する必要があります。
次に、OktaアカウントにOptiSignsをアプリとして追加します:
管理者としてOktaアカウントにログイン → アプリケーション
または以下にアクセス:https://optisigns-admin.okta.com/admin/apps/active
「アプリ統合を作成」をクリック
SAML 2.0を選択
アプリ名を入力:OptiSigns
ロゴをアップロードしたい場合は、こちらから弊社のロゴを使用できます。
「次へ」をクリック
「シングルサインオンURL」と「オーディエンスURI(SPエンティティID)」には、https://app.optisigns.com/app/s/saml-settingsにあるURLを入力します。
「受信者URLと宛先URLにこれを使用する」にチェックを入れます。
「次へ」をクリック。
最後のステップは、Oktaがアプリの使用方法を把握するための情報提供です。
OptiSignsが組織内の内部アプリになったため、「内部アプリを追加するOktaの顧客です」を選択します。
「次へ」をクリック。
次に「セットアップ手順を表示」をクリック
以下の3つのフィールドをコピーして、OptiSignsのSAML設定ページに貼り付けます:
- IDプロバイダーシングルサインオンURL → OptiSigns: SAML 2.0エンドポイント(HTTP)
- IDプロバイダー発行者 → OptiSigns: IDプロバイダー発行者
- X.509証明書 → OptiSigns: パブリック証明書
最後に、「サインインボタンラベル」を設定します。これはユーザーがログインポータルで表示するボタンのテキストです。「Oktaでログイン」「SSOでサインイン」など、ユーザーが理解しやすい表現を使用してください。
「保存」をクリック
これでログインポータルと統合の設定がすべて完了しました。
次に、OptiSignsを使用できるユーザーとグループを割り当てる必要があります。
OktaからOptiSignsへのユーザーとグループの割り当てとマッピング
必須ではありませんが、ユーザーのグループを作成して割り当て、OptiSignsのロールとチームにマッピングすることをお勧めします。これにより、適切なロールとグループが自動的に付与されます。
重要な注意:これを設定しない場合、すべてのユーザーがユーザーロールとデフォルトチーム(下のスクリーンショット参照)に割り当てられます
OptiSignsがユーザーグループをOptiSignsロールにマッピングする方法を設定するには、以下にアクセスします:https://app.optisigns.com/app/s/saml-settings
詳細設定までスクロールしてマッピングを作成します。
グループ名(Oktaのグループ名)とロール(OptiSignsのロール)のマッピングです。
ベストプラクティスとして、Optisigns-で始まるグループ名を作成し、以下のようにOptiSignsにマッピングします:
- optisigns-admins(SAMLグループ)→ OptiSignsロール:Admin
- optisigns-users(SAMLグループ)→ OptiSignsロール:Users
- optisigns-custom-role(SAMLグループ)→ 作成したOptiSignsカスタムロール
マッピングされていないユーザー/グループの処理方法:
「マッピングされていないユーザー/グループ」を「チームなし(無効)」にマッピングできます。
この方法では、ログインしようとするとエラーが表示され、正しいチームとロールの割り当てについて管理者に連絡する必要があります。これは、一部のユーザーが誤ってOptiSignsアプリに割り当てられたが適切なグループには割り当てられていない場合のセーフガードとして使用できます。
SAMLグループをチームにマッピングしてからそのチームを削除すると、新しいユーザーが「チームなし」にマッピングされ、アプリを使用するためにチームに割り当てるよう連絡する必要があることに注意してください。
次に、Okta管理ポータルに移動します。アプリケーション → OptiSignsをクリックします。
割り当て → このアプリを使用する人またはグループをクリックします。ユーザーがアプリの使用をリクエストできるように設定することもできますが、それはこの記事の範囲外です。
一般 → SAML設定に移動してグループマッピングを設定できます
「次へ」をクリック:
これらのマッピングを作成すると、ユーザーの名前とグループに関する情報がOptiSignsに渡されます。
「属性ステートメント」と「グループ属性ステートメント」は、OptiSignsのhttps://app.optisigns.com/app/s/saml-settingsに対応しています。
OptiSignsはデフォルトでfirstName、lastName、groupを受け入れますが、Oktaでこれらを変更する場合は、ここでも一致させる必要があります。
追加の注意事項:
ユーザーがOKTAポータル経由でOptiSignsポータルにログインする場合、OktaはIDPによる開始をサポートしていません。Oktaのブックマークアプリを使用します。ブックマークアプリの設定については、この記事に従ってください:https://support.okta.com/help/s/article/How-do-you-create-a-bookmark-app?language=en_US
OptiSignsアカウントにログインできましたが、通常使用しているサイドメニューオプションがすべて表示されていないようです。何が起きているのでしょうか?
ブランディングポータルを通じてサインオンしている可能性があります。URLは以下のようなものです:
https://app.optisigns.com/signIn/<accountId>
まず、OptiSignsアカウントIDを見つける必要があります。これを行うには、ペアリング済みのスクリーンを見つけて、編集 → 詳細設定 → その他をクリックします。
デバイス情報をクリック:
"accountId"番号を見つけて、どこかに書き留めてください。すぐに必要になります。
次のURLをコピーし、適切な場所にアカウントIDを代入してください:
https://app.optisigns.com/signIn/<accountId>
このURLをOktaブックマークとして設定します。ブックマークアプリの設定については、この記事に従ってください:https://support.okta.com/help/s/article/How-do-you-create-a-bookmark-app?language=en_US
以上です!
OktaでOptiSignsのSAML 2.0を設定しました。
ユーザーは設定したサブドメイン(この場合はhttps://advanced.optisigns.net/signIn)を使用してログインできるようになりました。
URLをユーザーと共有すれば、SSOの資格情報でログインできます。
OptiSignsに関する追加の質問やフィードバックがある場合は、support@optisigns.comまでお気軽にお問い合わせください。