Er zijn veel manieren om SAML te implementeren voor het beheren van gebruikers en toegang tot OptiSigns met uw IDP.
Hier zijn enkele best practices op hoog niveau met OptiSigns die u helpen bij het plannen van uw integratie en het verminderen van overhead en handmatig werk later.
Dit artikel richt zich op integratiestrategieën en benaderingen. Voor gedetailleerde stapsgewijze configuraties per platform, zie een van onze handleidingen:
- SAML SSO met Okta
- SAML SSO met MS Entra ID
- SAML SSO met OneLogin
- SAML SSO met OneLogin (Shibboleth)
- SAML SSO met Google Workspace
Maak een backup Admin-account aan tijdens de installatie:
Tijdens de installatie raden we aan om Gebruikersnaam & Wachtwoord login inschakelen aan te laten staan en een Admin-account met gebruikersnaam/wachtwoord aan te maken om weer in te loggen en te configureren, voor het geval u uzelf per ongeluk buitensluit door gemiste toewijzingen van rollen of groepen.
U kunt dit account later uitschakelen zodra uw implementatie is voltooid.
In dit geval bent u van plan om geen e-mail als unieke identificatie voor de gebruiker te gebruiken, maar in plaats daarvan een gebruikersnaam of medewerker-ID. We raden aan om dit aan te hebben, zodat de accounteigenaar en het admin-account het account zonder onderbreking kunnen beheren, bijvoorbeeld bij het vergeten van het wachtwoord, of een probleem met het identificeren van de provider.
Strategieën voor het gebruik van SAML:
1) Als Authenticatie- & Autorisatieservice (AANBEVOLEN)
SAML kan worden gebruikt om identiteitsverificatie af te dwingen, maar ook om gebruikers-, team- en roltoewijzingen in OptiSigns af te dwingen.
Met deze aanpak wijst u alle gebruikers toe aan groepen in uw IDP en wijst u de IDP-groepen toe aan OptiSigns teams/rollen. Wanneer er een wijziging is in IDP (bijvoorbeeld een gebruiker wordt toegevoegd of wijzigt van groep), wordt dit automatisch weergegeven in OptiSigns.
Om dit te implementeren, vinkt u Gebruikersoverschrijving inschakelen aan. Wanneer dit is aangevinkt, zal OptiSigns elke keer dat een gebruiker inlogt met SAML controleren of hun naam of groepstoewijzing is gewijzigd. Het zal dit vervolgens dienovereenkomstig afdwingen. Als hun naam of toewijzing is bijgewerkt, zal OptiSigns ook worden bijgewerkt.
Wijs al uw relevante groepen toe aan rollen & teams in OptiSigns.
We hebben bijvoorbeeld 3 groepen:
- Marketing West Coast - gebruikers die verantwoordelijk zijn voor het beheren van schermen, content voor de regio West
- Marketing East Coast - gebruikers die verantwoordelijk zijn voor het beheren van schermen, content voor de regio Oost
- IT Support - Admin die beide regio's kan ondersteunen en andere admin-taken kan uitvoeren
De toewijzing zou als volgt moeten zijn.
Met deze instelling, stel dat een gebruiker bij Marketing West Coast hoort. U wilt ze verplaatsen naar Marketing East Coast. Werk simpelweg uw IDP bij en verplaats ze van West Coast naar East Coast. De volgende keer dat ze inloggen op OptiSigns, wordt dit weergegeven en behoren ze tot het Marketing East Coast team en kunnen ze alleen die content in OptiSigns zien.
Voor meer informatie over Gebruikersbeheer, zie ons artikel over Teams en Mapbeveiliging in OptiSigns.
2) Alleen als Authenticatieservice
SAML kan worden gebruikt om uw MFA, wachtwoordbeleid af te dwingen en gebruikers te verwijderen en toegang tot OptiSigns in te trekken. U kunt deze gebruikers nog steeds beheren en toewijzen aan Teams of Rollen. Deze aanpak is snel in te stellen en flexibel omdat u gebruikers snel kunt verplaatsen in OptiSigns. Wanneer gebruikers echter verplaatsen in uw IDP, moet u eraan denken om ze indien nodig ook te verplaatsen in OptiSigns.
Om dit te implementeren, vinkt u Gebruikersoverschrijving inschakelen uit.
Terugkomend op ons eerdere voorbeeld: wanneer een gebruiker van Marketing West Coast naar Marketing East Coast verhuist, moet u naar OptiSigns gaan en indien nodig de teamtoewijzing van de gebruiker verplaatsen.
Ook als de gebruiker zijn naam wijzigt, moet u OptiSigns ook bijwerken om het gesynchroniseerd te houden.
Gebruikerscreatie inschakelen:
We raden aan deze optie aangevinkt te houden. Wanneer dit is ingeschakeld en gebruikers zijn geauthenticeerd en SAML wijst de gebruiker toe aan een team of rol dat OptiSigns kan gebruiken, wordt de gebruiker automatisch aangemaakt.
Als dit is uitgeschakeld, moet u elke gebruiker eerst aanmaken in OptiSigns voordat ze kunnen inloggen met SAML SSO.
Terugkomend op ons oude voorbeeld. Stel dat er 20 gebruikers behoren tot de Marketing West Coast groep in uw IDP, en Marketing West Coast is toegewezen aan het Marketing West Coast team in OptiSigns.
Als een gebruiker in de Marketing West Coast groep inlogt op OptiSigns, wordt deze automatisch aangemaakt en kan direct toegang krijgen tot West Coast Team schermen en content.
De andere 19 gebruikers worden niet aangemaakt in OptiSigns totdat ze proberen in te loggen.
U kunt ook Niet-toegewezen gebruikers/groepen toewijzen aan Geen Team (Uitschakelen). Op deze manier krijgt een gebruiker die tot een andere groep in uw IDP behoort en probeert in te loggen, een foutmelding en wordt de gebruiker niet aangemaakt in OptiSigns.
Op deze manier kunt u het systeem schoon houden en worden alleen gebruikers die toegang tot de app nodig hebben gerepliceerd.
Als u vragen heeft of hulp nodig heeft met SAML-integratie, neem dan gerust contact met ons op via support@optisigns.com