Pro PlusおよびEnterpriseプランでは、Google Workspace経由でOptiSignsとSAML 2.0を設定できます。Google WorkspaceがIDP(アイデンティティプロバイダー)として機能し、OptiSignsがSP(サービスプロバイダー)として機能します。
OptiSignsとGoogle Workspaceの設定:
まず、OptiSignsで設定を行う必要があります:
まだサブドメインをお持ちでない場合は、以下にアクセスして設定できます:
https://app.optisigns.com/app/s/branding-settings
サブドメインフィールドに入力し、「有効化」をクリックします。その後、このサブドメインを使用できます。
また、この記事に従って、digitalsigns.yourcompany.comのような独自ドメインをマッピングすることもできます。
これは、統合が設定された後、ユーザーがアプリにログインするために使用できるURLになります。この例では、https://advanced.optisigns.net/を使用します。
次に、SAMLシングルサインオン設定ページに移動します:
https://app.optisigns.com/app/s/saml-settings
「SAML SSOを有効にする」をクリックします。
設定内容は以下のとおりです:
- ユーザー名とパスワードでのログインを有効にする:ユーザーがユーザー名/パスワードでもログインできるようにします。統合が完了したら、これを無効にすることをお勧めします。管理者/オーナーとして、問題が発生した場合にapp.optisigns.comから再度ログインして再設定できるよう、少なくとも1つのアカウントでパスワードログインを維持することをお勧めします。
- ユーザー作成を有効にする:ユーザーが認証されているがOptiSignsに存在しない場合、OptiSignsにユーザーが作成されます。すでにOptiSignsを使用するユーザー/グループを割り当て/承認している可能性が高いため、これを有効にする必要があります。何らかの理由で非常に厳格にし、ユーザーがOptiSignsの使用を開始する前にユーザーの役割を確認したい場合を除きます。
- ユーザー上書きを有効にする:ユーザーがログインするたびに、SAMLでグループ割り当てが変更されている場合、OptiSignsは新しいプロファイル設定を更新、上書きします。
- 「シングルサインオンURL」と「オーディエンスURI(SPエンティティID)URL」を記録してください。後でGoogle Workspaceで使用する必要があります。
次に、Google Workspace管理ポータルでOptiSignsをアプリとして追加します:
管理者としてGoogle Workspaceポータルにログイン → アプリ → ウェブアプリとモバイルアプリ
アプリを追加 → カスタムSAMLアプリを追加をクリック
ポップアップウィンドウで、アプリ名としてOptiSignsを入力し、ここでアプリアイコンもアップロードできます。その後、続行をクリックします。
次のページでは、IDPデータが提供されます。ハイライトされた2つの情報を取得して続行をクリックします。これらは後でOptiSigns SAML SSO設定で維持する必要があります。
次のページはSP情報になります。ここで、OptiSigns SAML SSO設定から取得したシングルサインオンURLとSPエンティティIDを提供する必要があります。
OptiSigns SAML SSO設定からのSPエンティティIDは、エンティティIDの下に配置する必要があります。
OptiSigns SAML SSO設定からのシングルサインオンURLは、ACS URLの下に配置する必要があります。
また、名前ID形式をメールに設定します。
次のページは、属性を維持する場所です。このステップについては、この記事の後半で説明します。完了をクリックすると、アプリがGoogle Workspaceに追加されます。
Google Workspaceでアプリの作成が完了したら、「ウェブアプリとモバイルアプリ」の下にあるOptiSignsアプリを選択できます。OptiSignsアプリをクリックし、URLのIDを記録します。これが必要となるSPIDです。
OptiSignsアカウントに戻り、上記の3つのフィールドを入力して保存します。
Google WorkspaceからSSO URL、エンティティID、証明書を取得できます。
- Google WorkspaceからのSSO URLをSAML 2.0エンドポイント(HTTP)の下に配置します。
- Google WorkspaceからのエンティティIDをアイデンティティプロバイダー発行者の下に配置します。
- base64エンコード証明書の内容を公開証明書の下に配置します。
これで、ログインポータルと統合の設定がすべて完了しました。
Google WorkspaceからOptiSignsへのユーザーとグループの割り当てとマッピング
必須ではありませんが、ユーザーのグループを作成して割り当て、OptiSignsのロールとチームにマッピングすることをお勧めします。これにより、自動的に適切なロールとグループが設定されます。
重要な注意:これを設定しない場合、すべてのユーザーはユーザーロールとデフォルトチームに割り当てられます(以下のスクリーンショット参照)
OptiSignsがユーザーグループをOptiSignsロールにマッピングする方法を設定するには、次にアクセスします:https://app.optisigns.com/app/s/saml-settings
詳細設定までスクロールしてマッピングを作成します。
グループ名(Google Workspaceの部門を使用可能)、ロール(OptiSignsのロール)マッピング。
optisigns-という接頭辞を付けたOptiSigns専用のグループを作成し、以下のようにOptiSignsにマッピングすることがベストプラクティスです:
- optisigns-admins(SAMLグループ)→ OptiSignsロール:管理者
- optisigns-users(SAMLグループ)→ OptiSignsロール:ユーザー
- optisigns-custom-role(SAMLグループ)→ 作成したOptiSignsカスタムロール
マッピングされていないユーザー/グループの処理方法:
「マッピングされていないユーザー/グループ」をチームなし(無効)にマッピングできます
この方法では、ログインしようとしたときにエラーが表示され、正しいチームとロールを割り当ててもらうために管理者に連絡する必要があります。これは、一部のユーザーが誤ってOptiSignsアプリを割り当てられたが、適切なグループに属していない場合のセーフガードとして使用できます。
SAMLグループをチームにマッピングしてからチームを削除すると、新しいユーザーがチームなしにマッピングされ、アプリを使用するためにチームに割り当てられるよう連絡する必要があることに注意してください。
次に、属性マッピングについて説明します。これは、Google Workspaceでアプリを作成する際の最後のステップです。
現在、OptiSignsは名、姓、グループの属性マッピングをサポートしています。Google Workspaceで属性名を定義し、OptiSignsで使用されているのと同じデフォルトの属性名に設定できます。
これらのマッピングは、ユーザーの名前とグループに関する情報をOptiSignsに渡します。
「アプリ属性」はOptiSignsに対応しています
https://app.optisigns.com/app/s/saml-settings
OptiSignsはデフォルトでfirstName、lastName、groupを受け入れます。属性名をOptiSignsで使用されているデフォルトの属性名に設定する代わりに、OptiSignsの属性名をGoogle Workspaceで定義した属性名と一致するように変更することもできます。
OptiSignsアカウントにログインしましたが、いつも使っているサイドメニューオプションがすべて表示されていないようです。何が起きているのでしょうか?
以下のようなURLを使用して、ブランドポータル経由でサインオンした可能性があります:
https://app.optisigns.com/signIn/<accountId>
まず、OptiSignsアカウントIDを見つける必要があります。これを行うには、ペアリングされた画面を見つけて、編集 → 詳細 → その他をクリックします。
デバイス情報:をクリックします
「accountId」番号を見つけて、どこかに書き留めてください。すぐに必要になります。
次に、以下のURLをコピーし、適切な場所にアカウントIDを置き換えてください:
https://app.optisigns.com/signIn/<accountId>
次に、このURLをGoogle WorkspaceのSSO URLの下に配置します。
以上です!
Google WorkspaceでOptiSignsのSAML 2.0を設定しました。
これで、ユーザーは設定したサブドメイン(この場合はhttps://advanced.optisigns.net/signIn)を使用してログインできます。
URLをユーザーと共有すれば、SSOクレデンシャルでログインできます。
OptiSignsに関する追加のご質問やフィードバックがございましたら、support@optisigns.comのサポートチームまでお気軽にお問い合わせください。