Pro PlusおよびEnterpriseプランでは、Shibbolethを使用してOneLogin経由でOptiSignsにSAML 2.0を設定できます。ShibbolethはSAMLベースであるため、OneLoginのShibbolethコネクタを使用した認証の設定は、通常のSAMLコネクタと同様になります。
OneLoginがIDP(アイデンティティプロバイダー)として機能し、OptiSignsがSP(サービスプロバイダー)として機能します。
OptiSignsとOneLoginの設定:
まず、OptiSignsでいくつかの設定を行う必要があります:
まだサブドメインをお持ちでない場合は、以下から設定できます:
https://app.optisigns.com/app/s/branding-settings
サブドメインフィールドに入力し、「アクティベート」をクリックします。その後、このサブドメインを使用できます。
この記事に従って、digitalsigns.yourcompany.comのような独自のドメインをマッピングすることもできます。
これは、統合が設定された後、ユーザーがアプリを使用するためにログインできるように共有できるURLになります。この例では、https://advanced.optisigns.net/を使用します。
次に、SAMLシングルサインオン設定ページに移動します:
https://app.optisigns.com/app/s/saml-settings
「SAML SSOを有効にする」をクリックします。
設定内容は以下の通りです:
- ユーザー名とパスワードログインを有効にする:ユーザーがユーザー名/パスワードでもログインできるようにします。統合が完了したら無効にすることをお勧めします。管理者/オーナーとして、問題が発生した場合にapp.optisigns.comから再設定できるよう、少なくとも1つのアカウントでパスワードログインを維持することをお勧めします。
- ユーザー作成を有効にする:ユーザーが認証されたが、OptiSignsに存在しない場合、OptiSignsにユーザーが作成されます。すでにOptiSignsを使用するユーザー/グループを割り当て/承認している可能性が高いため、これを有効にする必要があります。ただし、何らかの理由で非常に厳格にし、ユーザーがOptiSignsの使用を開始する前にユーザーの役割を確認したい場合を除きます。
- ユーザー上書きを有効にする:ユーザーがログインするたびに、SAMLでグループ割り当てが変更されている場合、OptiSignsが更新され、新しいプロファイル設定を上書きします。
- 「シングルサインオンURL」と「オーディエンスURI(SPエンティティID)URL」をメモしてください。後でOneLoginで使用する必要があります。
次に、OneLogin管理ポータルでOptiSignsをアプリとして追加します:
OneLoginポータルに管理者としてログイン → アプリケーション
「アプリを追加」をクリック
次のページで、検索ボックスに「SAML」と入力し、「SAML Custom Connector (SP Shibboleth)」を選択します。
表示名に「OptiSigns」と入力し、「保存」をクリックします。ここでOptiSignsのロゴもアップロードできます。
保存後、設定ページに移動します。ここで、OptiSignsのSAML SSO設定から取得したシングルサインオンURLとSPエンティティIDを入力する必要があります。
OptiSignsのSAML SSO設定からのSPエンティティIDは、ログインURLの下に入力する必要があります。
OptiSignsのSAML SSO設定からのシングルサインオンURLは、ACS URLとACS URLバリデーターの下に入力する必要があります。ACS URLバリデーターの特殊文字をエスケープすることを忘れないでください。
次に、SSOページに移動します。ハイライトされた3つの情報を取得します。これらはOptiSignsのSAML SSO設定で維持する必要があります。証明書の「詳細を表示」をクリックすると、証明書のエンコードされたコンテンツが見つかります。これは次のステップで必要になります。
OptiSignsアカウントに戻り、上記の3つのフィールドを入力して保存します。
OneLoginからのSAML 2.0エンドポイントをSAML 2.0エンドポイントの下に入力します。
OneLoginからのIssuer URLをアイデンティティプロバイダー発行者の下に入力します。
base64エンコードされたx509証明書のコンテンツを公開証明書の下に入力します。
これで、ログインポータルと統合の設定がすべて完了しました。
OneLoginからOptiSignsへのユーザーとグループの割り当てとマッピング
必須ではありませんが、ユーザーのグループを作成して割り当て、OptiSignsのロールとチームにマッピングすることをお勧めします。これにより、適切なロールとグループが自動的に割り当てられます。
重要な注意:これを設定しない場合、すべてのユーザーにユーザーロールとデフォルトチームが割り当てられます(下のスクリーンショットを参照)
OptiSignsがユーザーグループをOptiSignsロールにマッピングする方法を設定するには、次にアクセスします:https://app.optisigns.com/app/s/saml-settings
詳細設定までスクロールし、マッピングを作成します。
グループ名(OneLoginからユーザーに割り当てられたロール)、ロール(OptiSignsのロール)マッピング。
OptiSignsに対してoptisigns-で始まる名前のプレフィックスを持つグループを作成し、以下のようにOptiSignsにマッピングすることがベストプラクティスです:
- optisigns-admins(SAMLグループ)→ OptiSignsロール:管理者
- optisigns-users(SAMLグループ)→ OptiSignsロール:ユーザー
- optisigns-custom-role(SAMLグループ)→ 作成したOptiSignsカスタムロール
マッピングされていないユーザー/グループの処理方法:
「マッピングされていないユーザー/グループ」をチームなし(無効)にマッピングできます。
この方法では、ログインしようとするとエラーが表示され、正しいチームとロールを割り当ててもらうために管理者に連絡する必要があります。これは、一部のユーザーが誤ってOptiSignsアプリを割り当てられたが、正しいグループが割り当てられていない場合のセーフガードとして使用できます。
SAMLグループをチームにマッピングしてからチームを削除すると、新しいユーザーがチームなしにマッピングされ、アプリを使用するためにチームに割り当てられるよう連絡する必要があることに注意してください。
次に、OneLoginポータルに移動します。OptiSignsアプリケーションのパラメータページに移動します。ここで属性のマッピングを維持します。
+アイコンをクリックして、ここで新しいカスタムパラメータを作成します。現在、OptiSignsは名、姓、グループの属性マッピングをサポートしています。カスタムパラメータ名をOptiSignsで使用されているのと同じデフォルトの属性名に設定し、OneLoginから対応する値に割り当てることができます。
Shibbolethには多くの事前定義された標準属性があります。この場合、givenNameはOptiSignsのfirstNameにマッピングでき、surnameはOptiSignsのlastNameにマッピングできます。
これらのマッピングは、ユーザーの名前とグループに関する情報をOptiSignsに渡します。
パラメータ名はOptiSignsに対応しています
https://app.optisigns.com/app/s/saml-settings
OptiSignsはデフォルトでfirstName、lastName、groupを受け入れます。パラメータ名をOptiSignsで使用されているデフォルトの属性名に設定する代わりに、OptiSignsの属性名をOneLoginで定義したパラメータ名と一致するように変更することもできます。
Shibbolethは、事前定義された標準属性に標準の名前空間とIDを使用します。名前の場合、OptiSignsの属性マッピングでIDを使用する必要があります。
firstName(givenName):urn:oid:2.5.4.42
lastName(surname):urn:oid:2.5.4.4
以上です!
ShibbolethコネクタでOneLoginを使用してOptiSignsのSAML 2.0を設定しました。
これで、ユーザーは設定したサブドメインを使用してログインできます(この場合はhttps://advanced.optisigns.net/signInでした)。
URLをユーザーと共有して、SSOの認証情報でログインできます。
OptiSignsについてご質問やフィードバックがございましたら、お気軽にサポートチーム(support@optisigns.com)までお問い合わせください。