Overslaan en naar hoofdcontent gaan

How to Set Up SAML 2.0 with OptiSigns and MS Entra ID (formerly Azure AD)

In dit artikel geven we een stapsgewijze handleiding voor het instellen van SAML 2.0 met Microsoft Entra ID voor gebruik met OptiSigns.

OPMERKING: Deze functie is beschikbaar voor gebruikers van Pro Plus, Engage en Enterprise abonnementen.

SAML (Security Assertion Markup Language) 2.0 maakt het mogelijk om met één autorisatie toegang te krijgen tot meerdere systemen. Dit kan worden geconfigureerd om eenvoudig toegang te krijgen tot OptiSigns digital signage via uw Microsoft Entra ID. Entra ID fungeert als IDP (Identity Provider), terwijl OptiSigns als SP (Service Provider) werkt. Hier is een korte video die laat zien hoe u SAML 2.0 met Entra ID instelt (toen het bekend stond als Azure AD):

OptiSigns Subdomein en SAML SSO-instellingen instellen

Om te beginnen moet u enkele functies uitvoeren binnen de OptiSigns-app, waaronder:

  • Een aangepast subdomein maken
  • SAML SSO-instellingen configureren

Laten we beginnen.

Een aangepast subdomein instellen

Zorg er eerst voor dat u een OptiSigns-subdomein heeft. Dit kunt u verkrijgen door naar de pagina Branding-instellingen te gaan.

Vul het subdomeinnveld in en klik op Activeren. Nu kunt u dit subdomein gebruiken voor verschillende functies, waaronder SAML-configuratie. U kunt ook uw domein koppelen door ons artikel over Aangepaste domeinkoppeling te volgen.

Dit subdomein wordt de URL om met uw gebruikers te delen zodat zij kunnen inloggen om de app te gebruiken nadat de integratie is ingesteld.

Voor dit voorbeeld gebruiken we https://optisignsdemo-ad.optisigns.net/ als onze URL.

SAML SSO-instellingen configureren

Ga naar de SAML Single Sign-On instellingenpagina:

go to saml single sign on page

Schakel nu SAML SSO inschakelen in. Er moet een groen vinkje naast de optie staan. Dit zal de beschikbare opties uitbreiden.

saml sso settings checklist

De andere instellingen zijn:

  • Gebruikersnaam & Wachtwoord Login inschakelen - Sta gebruikers toe om ook in te loggen met gebruikersnaam/wachtwoord. We raden aan dit uit te schakelen zodra de integratie is voltooid. Als Admin/Eigenaar wordt aangeraden om minstens 1 account met wachtwoordlogin te behouden voor het geval er problemen zijn. U kunt dit account gebruiken om rechtstreeks in te loggen op de app om indien nodig opnieuw te configureren.
  • Gebruikerscreatie inschakelen - Als gebruikers zijn geauthenticeerd maar niet bestaan in OptiSigns, worden ze aangemaakt in de OptiSigns-app. We raden aan dit in te schakelen, tenzij u extreem strikt wilt zijn en de rollen van gebruikers wilt beoordelen voordat ze OptiSigns kunnen gebruiken.
  • Gebruiker overschrijven inschakelen - Elke keer dat een gebruiker inlogt, controleert OptiSigns hun groepstoewijzing. Als deze is gewijzigd in SAML, zal OptiSigns hun machtigingen binnen de app bijwerken.

Noteer vervolgens uw Single Sign On URL en Audience URI (SP Entity ID) URL. U heeft deze later nodig.

OptiSigns als app toevoegen in Microsoft Entra ID Portal

Log in op uw Microsoft Azure-portal als beheerder en navigeer naar Enterprise-toepassingen.

Klik op Nieuwe toepassing.

creating new enterprise application ms azure

Selecteer Uw eigen toepassing maken. Dit opent een zijbalk aan de rechterkant. Voer hier "OptiSigns" in als naam van de app en kies Een andere toepassing die u niet in de galerie vindt integreren (niet-galerie). Klik tot slot op Maken.

create own application ms azure

Dit duurt even, maar u wordt uiteindelijk naar een Overzichtsscherm gebracht.

Klik op Eenmalige aanmelding instellen.

setting up single sign on ms azure

Klik op SAML. Dit start de configuratie van op SAML gebaseerde aanmelding.

saml ms azure

Klik hier op Bewerken in de sectie Standaard SAML-configuratie. Hier moet u de Single Sign On URL en SP Entity ID opgeven die u in de laatste stap hebt gekregen.

basic saml configuration

Plaats de Single Sign On URL onder Antwoord-URL en de SP Entity ID onder Id.

identifier and reply URL saml config ms azure

Let vervolgens op de volgende twee secties: SAML-certificaten en OptiSigns instellen. U moet drie belangrijke stukken informatie verkrijgen:

  1. Certificaat (Base64)
  2. Aanmeldings-URL
  3. Microsoft Entra-id

three key pieces of information ms azure

Deze moeten worden onderhouden binnen de OptiSigns-app, op de SAML SSO-instellingenpagina.

Ga nu terug naar uw OptiSigns-account en voer deze drie stukken informatie in op de volgende plaatsen:

  1. Aanmeldings-URL moet onder SAML 2.0 Eindpunt (HTTP)
  2. Microsoft Entra-id moet onder Identity Provider Uitgever
  3. De inhoud van het gedownloade Certificaat (Base64) moet worden geplakt onder Openbaar certificaat.

setup SAML authentication optisigns

Hiermee zijn uw loginportaal en integratie helemaal ingesteld. Als dit alles is wat u nodig heeft, bent u klaar. Als u gebruikers, groepen en teams wilt beheren, lees dan verder.

Gebruikers en groepen van Azure toewijzen en koppelen aan OptiSigns (OPTIONEEL)

We raden sterk aan om groepen gebruikers te maken die binnen Azure worden toegewezen om automatisch te worden gekoppeld aan OptiSigns met de juiste rol en groep.

OPMERKING: Zonder dit te configureren worden alle gebruikers toegewezen aan de Gebruikersrol en het Standaardteam. U moet hun rollen en teams handmatig wijzigen binnen de OptiSigns-app.

Ga terug naar de SAML-instellingenpagina binnen OptiSigns. Scroll naar Geavanceerde instellingen en u zou dit moeten zien:

group mapping optisigns

Standaard worden niet-gekoppelde gebruikers/groepen Gebruikers binnen het Standaardteam in OptiSigns. Om OptiSigns aan Azure te koppelen, maakt u een nieuwe koppeling door op Toevoegen te klikken of bewerkt u een van de bestaande Groepskoppelingen.

De "Groepsnaam" binnen OptiSigns komt overeen met de "Groeps-ID" binnen Azure. Om deze informatie te vinden, gaat u naar uw Azure Portal en selecteert u Groepen.

groups tab ms azure

Uw Object-ID vindt u hier voor elke groep die u hebt gemaakt.

groups with object id noted

Deze Object-ID moet worden ingevoerd in het veld Groepsnaam binnen OptiSigns. We raden echter aan om specifiek voor OptiSigns een groep te maken met een OptiSigns-voorvoegsel en deze als volgt te koppelen aan OptiSigns:

  • optisigns-admins (SAML-groep) → OptiSigns-rol: Admin
  • optisigns-users (SAML-groep) → OptiSigns-rol: Gebruikers
  • optisigns-custom-role (SAML-groep) → OptiSigns aangepaste rol die u maakt

Wanneer u klaar bent, zou het er als volgt uit moeten zien:

filled out group mapping optisigns

U kunt zoveel groepen en rollen maken als u wilt.

Omgaan met niet-gekoppelde gebruikers en groepen

U kunt de sectie "Niet-gekoppelde gebruikers/groepen" koppelen aan Geen team (Uitschakelen). Op deze manier krijgen ze een foutmelding wanneer ze proberen in te loggen en moeten ze contact opnemen met beheerders om het juiste team en de juiste rol toegewezen te krijgen. Dit is een nuttige beveiliging voor het geval bepaalde gebruikers per ongeluk de OptiSigns-app krijgen toegewezen maar niet de juiste groep.

unmapped users/groups with no team selected

OPMERKING: Als u een SAML-groep aan een Team koppelt en vervolgens het Team verwijdert, worden nieuwe gebruikers gekoppeld aan Geen team. Ze moeten contact met u opnemen om aan een team te worden toegewezen om de app te kunnen gebruiken.

Attributen & Claims beheren in Microsoft Azure

Het bewerken van de Attributen & Claims in Microsoft Azure kan u nog meer controle geven over de gebruikers die aan de groep worden toegevoegd en is een waardevol hulpmiddel.

Ga om te beginnen naar de Azure-portal. Klik op Enterprise-toepassingen OptiSigns Eenmalige aanmelding. Scroll naar beneden naar Sectie 2: Gebruikersattributen & claims. Dit is waar u de koppeling van deze attributen onderhoudt.

user attributes and claims ms azure

Binnen deze sectie zijn er twee hoofdzaken om aan te passen:

  • Groepsclaims
  • Gebruikersattributen

We leiden u door elk van deze.

Groepsclaims maken voor gebruik met OptiSigns

Om een groepsclaim te maken, klikt u eerst op Een groepsclaim toevoegen:

add group claim ms azure

Wanneer u een groep maakt:

  1. Selecteer Groepen die aan de toepassing zijn toegewezen onder "Welke groepen die aan de gebruiker zijn gekoppeld, moeten in de claim worden geretourneerd?"
  2. (Optioneel) Voer de naam "groups" in bij "De naam van de groepsclaim aanpassen" en laat de sectie Naamruimte leeg.

group claim settings ms azure
Dat is alles voor het maken van groepsclaims.

Gebruikersclaims aanpassen voor gebruik met OptiSigns

Deze koppelingen geven informatie door aan OptiSigns over de naam en groep van de gebruiker:

managing user claims ms azure

De claimnamen worden standaard weergegeven als een URL. Het type wordt gegeven als SAML, met de waarde die overeenkomt met identificerende informatie over de gebruiker, waaronder:

  • user.givenname
  • user.groups (alleen indien ingesteld - zie bovenstaande sectie)
  • user.mail
  • user.userprincipalname
  • user.surname

Deze claimnamen komen overeen met deze sectie onder Geavanceerde instellingen op de SAML SSO-instellingenpagina:

advanced settings optisigns saml sso settings page

OptiSigns accepteert standaard voornamen, achternamen en groepen.

Deze waarden komen overeen met de Naamruimte van de claim. Met andere woorden, als de waarde die overeenkomt met de firstName (user.givenname) een URL is, moet u de volledige URL in OptiSigns plakken. Het is echter mogelijk om de naamruimte te wijzigen in iets handzamers.

Klik in Azure op een van deze claims om ze te beheren.

ms azure manage claims

Om de URL te verwijderen, verwijdert u deze eenvoudig uit het veld Naamruimte en klikt u op Opslaan.

eliminate URL ms azure claim

Dit vervangt de URL in de naamruimte door de naam. Dit is een veel gemakkelijker stukje informatie om te beheren.

claims after removing url ms azure

Deze kunnen nu als volgt worden gekoppeld:

proper user mapping in optisigns example

Ga tot slot naar de sectie Gebruikers en groepen binnen Azure en wijs uw groepen toe aan de OptiSigns Enterprise-app.

add user/group

OptiSigns-login instellen om in Office.com te verschijnen

Het is vaak handig om de OptiSigns-app als klikbare optie te laten verschijnen op het Office.com-portaal van uw bedrijf.

Om dit in te stellen, moet u eerst uw OptiSigns Account-ID vinden. Om dit te doen, vindt u gewoon een gekoppeld scherm en klikt u op Bewerken Geavanceerd Meer.

edit screen advanced more

Klik op Apparaatinfo:

info button edit screen

Zoek het "accountId"-nummer en schrijf het ergens op. U heeft het binnenkort nodig.

Kopieer nu de volgende URL, waarbij u ervoor zorgt dat u uw account-ID op de juiste plaats vervangt:

https://app.optisigns.com/signIn/<accountId>

Ga vervolgens terug naar uw Azure-portal en ga naar Op SAML gebaseerde aanmelding. Zoek daar Standaard SAML-configuratie en klik op Bewerken. Dit opent een zijbalk. Plak/typ gewoon uw URL in de velden Aanmeldings-URL (optioneel) en Relay-status (optioneel).

Hierdoor kan de OptiSigns-app in uw Microsoft Office-portal verschijnen. Dit biedt ook het volledige scala aan opties voor uw zijmenu.

optisigns app in ms office portal

Veelgestelde vragen

Hier beantwoorden we enkele van de meest voorkomende vragen die we over dit onderwerp krijgen.

Ik krijg deze foutmelding. Help?

Unable to process request due to missing initial state. This may happen if browser sessionStorage is inaccessible or accidentally cleared. Some specific scenarios are - 1) Using IDP-Initiated SAML SSO. 2) Using signInWithRedirect in a storage-partitioned browser environment.

optisigns common error message

Deze fout verschijnt om een van twee redenen:

  1. Er is een verkeerde URL ingevoerd. Dit is vaak (https://auth.optisigns.com/__/auth/handler)
  2. De gebruiker heeft geprobeerd toegang te krijgen tot het OptiSigns-portal vanuit Office.com zonder SAML SSO correct in te stellen in Microsoft Azure.

De eenvoudigste manier om dit probleem op te lossen is door in te loggen via uw merkgebonden URL.

branded url example

Deze is uniek voor uw organisatie. Voor meer informatie volgt u de stappen die worden beschreven in de sectie "OptiSigns als app toevoegen in Microsoft Entra ID Portal".

Er wordt gezegd dat ik niet tot een team/groep behoor. Hoe kan ik dit oplossen?

Deze fout heeft te maken met groepskoppeling. Volg om te beginnen alle stappen die hierboven in de sectie "Gebruikers en groepen toewijzen en koppelen" worden beschreven.

team/group error message

Als u nog steeds problemen ondervindt, controleer dan uw groepsnamen. In Azure is dat Object-ID:

ms azure groups tab object id

Controleer de attributen & claims van de gewenste gebruiker en zorg ervoor dat hun groepsnaam is toegewezen als Groepen die aan de toepassing zijn toegewezen.

group claims error fix

Controleer vervolgens of de claim correct is ingesteld:

proper claims names ms azure

De bovenstaande waarden moeten overeenkomen met deze binnen de OptiSigns-portal:

proper claims names optisigns

Zorg er tot slot voor dat de gebruiker en groep zijn toegevoegd aan de toepassing binnen MS Azure:

user and group added to app within ms azure

Dit zou het probleem moeten oplossen.

Ik ben in mijn OptiSigns-account gekomen, maar lijkt niet alle zijmenu-opties te hebben die ik gewend ben. Wat is er aan de hand?

Het is waarschijnlijk dat u bent ingelogd via uw merkgebonden portal, met een URL vergelijkbaar met deze:

https://app.optisigns.com/signIn/<accountId>

Volg de stappen die hier worden beschreven en dit probleem zou zichzelf moeten oplossen.

Dat is alles!

U hebt SAML 2.0 voor OptiSigns geconfigureerd met Microsoft Entra.

U kunt de URL met uw gebruikers delen en zij kunnen inloggen met hun SSO-inloggegevens.

Als u nog vragen heeft of feedback over OptiSigns, neem dan gerust contact op met ons ondersteuningsteam via support@optisigns.com

Was dit artikel nuttig?
Deutsch English (United States) Español Français Italiano 日本語 Português Svenska