Pro PlusおよびEnterpriseプランでは、OneLogin経由でOptiSignsでSAML 2.0を設定できます。
OneLoginはIDP(アイデンティティプロバイダー)として機能し、OptiSignsはSP(サービスプロバイダー)として機能します。
OptiSignsとOneLoginのセットアップ:
まず、OptiSignsでいくつかの設定を行う必要があります:
まだサブドメインをお持ちでない場合は、以下から設定できます:
https://app.optisigns.com/app/s/branding-settings
サブドメインフィールドに入力し、アクティベートをクリックします。その後、このサブドメインを使用できます。
この記事に従って、digitalsigns.yourcompany.comのような独自のドメインをマッピングすることもできます。
これは、統合が設定された後、ユーザーがアプリにログインするために使用できるURLになります。この例では、https://advanced.optisigns.net/を使用します。
次に、SAMLシングルサインオン設定ページに移動します:
https://app.optisigns.com/app/s/saml-settings
SAML SSOを有効にするをクリックします。
設定は以下のとおりです:
- ユーザー名&パスワードログインを有効にする:ユーザーがユーザー名/パスワードでもログインできるようにします。統合がすべて完了したら無効にすることをお勧めします。管理者/所有者として、問題が発生した場合に備えて、app.optisigns.comから常にログインして再設定できるように、少なくとも1つのアカウントでパスワードログインを維持することをお勧めします。
- ユーザー作成を有効にする:ユーザーが認証されているがOptiSignsに存在しない場合、OptiSignsで作成されます。すでにOptiSignsを使用するユーザー/グループを割り当て/承認している可能性が高いため、これを有効にする必要があります。何らかの理由で非常に厳格にしたい場合や、ユーザーがOptiSignsの使用を開始する前にユーザーの役割を確認したい場合を除きます。
- ユーザー上書きを有効にする:ユーザーがログインするたびに、SAMLでグループの割り当てが変更された場合、OptiSignsは新しいプロファイル設定を更新、上書きします。
- 「シングルサインオンURL」と「オーディエンスURI(SPエンティティID)URL」をメモしてください。後でOneLoginで使用する必要があります。
次に、OneLogin管理ポータルでOptiSignsをアプリとして追加します:
OneLoginポータルに管理者としてログイン → Applications
Add appをクリック
次のページで、検索ボックスに「SAML」と入力し、「SAML Custom Connector (Advanced)」を選択します。
表示名に「OptiSigns」と入力し、保存をクリックします。ここでOptiSignsのロゴもアップロードできます。
保存後、設定ページに移動します。ここで、OptiSigns SAML SSO設定から取得したシングルサインオンURLとSPエンティティIDを提供する必要があります。
- OptiSigns SAML SSO設定のSPエンティティIDは、Audience (EntityID)とLogin URLの下に入力する必要があります。
- OptiSigns SAML SSO設定のシングルサインオンURLは、Recipient、ACS URL validator、およびACS URLの下に入力する必要があります。
- SAML initiatorをService Providerに変更します
次に、SSOページに移動します。ハイライトされた3つの情報を取得してください。これらはOptiSigns SAML SSO設定で維持する必要があります。証明書のView Detailsをクリックすると、証明書のエンコードされたコンテンツを見つけることができます。これは次のステップで必要になります。
OptiSignsアカウントに戻り、上記の3つのフィールドを維持して保存します。
OneLoginからのSAML 2.0エンドポイントをSAML 2.0エンドポイントの下に入力します。
OneLoginからの発行者URLをアイデンティティプロバイダー発行者の下に入力します。
base64エンコードされたx509証明書からのコンテンツを公開証明書の下に入力します。
これで、ログインポータルと統合のセットアップがすべて完了しました。
OneLoginからOptiSignsへのユーザーとグループの割り当てとマッピング
必須ではありませんが、割り当てられるユーザーのグループを作成し、OptiSignsの役割とチームにマッピングして、自動的に適切な役割とグループを持つようにすることをお勧めします。
重要な注意:これを設定しない場合、すべてのユーザーにユーザー役割とデフォルトチームが割り当てられます(下のスクリーンショットを参照)
OptiSignsがユーザーグループをOptiSignsの役割にマッピングする方法を設定するには、以下にアクセスしてください:https://app.optisigns.com/app/s/saml-settings
詳細設定までスクロールし、マッピングを作成します。
グループ名(OneLoginからユーザーに割り当てられた役割)、役割(OptiSignsの役割)のマッピング。
OptiSigns-で始まる名前プレフィックスでOptiSigns専用のグループを作成し、以下のようにOptiSignsにマッピングすることがベストプラクティスです:
- optisigns-admins(SAMLグループ)→ OptiSignsの役割:管理者
- optisigns-users(SAMLグループ)→ OptiSignsの役割:ユーザー
- optisigns-custom-role(SAMLグループ)→ 作成したOptiSignsカスタムロール
マッピングされていないユーザー/グループの処理方法:
「マッピングされていないユーザー/グループ」をチームなし(無効)にマッピングできます。
この方法では、ログインしようとするとエラーが表示され、正しいチームと役割を割り当ててもらうために管理者に連絡する必要があります。これは、一部のユーザーが誤ってOptiSignsアプリを割り当てられたが、適切なグループが割り当てられていない場合のセーフガードとして使用できます。
SAMLグループをチームにマッピングしてからチームを削除すると、新しいユーザーがチームなしにマッピングされ、アプリを使用するためにチームに割り当てられるように連絡する必要があることに注意してください。
次に、OneLoginポータルに移動します。OptiSignsアプリケーションのパラメータページに移動します。ここで属性のマッピングを維持します。
+アイコンをクリックして、ここで新しいカスタムパラメータを作成します。現在、OptiSignsは名、姓、およびグループの属性マッピングをサポートしています。カスタマーパラメータ名をOptiSignsで使用されるデフォルトの属性名と同じに設定し、OneLoginから対応する値に割り当てることができます。
これらのマッピングは、ユーザーの名前とグループに関する情報をOptiSignsに渡します。
パラメータ名はOptiSignsに対応しています
https://app.optisigns.com/app/s/saml-settings
OptiSignsはデフォルトでfirstName、lastName、およびgroupを受け入れます。パラメータ名をOptiSignsで使用されるデフォルトの属性名に設定する代わりに、OptiSignsの属性名をOneLoginで定義したパラメータ名に一致するように変更することもできます。
以上です!
OneLoginでOptiSignsのSAML 2.0を設定しました。
これで、ユーザーは設定したサブドメイン(この場合はhttps://advanced.optisigns.net/signIn)を使用してログインできます。
URLをユーザーと共有でき、SSOクレデンシャルでログインできます。
OptiSignsに関する追加の質問やフィードバックがある場合は、お気軽にサポートチーム(support@optisigns.com)までご連絡ください。