Overslaan en naar hoofdcontent gaan

How to set up SAML 2.0 with OptiSigns and OneLogin(Shibboleth)

Met Pro Plus en Enterprise abonnementen kunt u SAML 2.0 configureren met OptiSigns via OneLogin met behulp van Shibboleth. Shibboleth is gebaseerd op SAML, de opzet van de authenticatie met de Shibboleth connector op OneLogin zal vergelijkbaar zijn met de normale SAML connector.

OneLogin zal fungeren als de IDP (Identity Provider), en OptiSigns zal werken als de SP (Service Provider).

OptiSigns & OneLogin instellen:

Eerst moet u enkele instellingen in OptiSigns configureren:

Als u nog geen subdomein heeft, kunt u er een instellen door te gaan naar:
https://app.optisigns.com/app/s/branding-settings

Vul het subdomein veld in en klik op Activeren. Daarna kunt u dit subdomein gebruiken voor "
U kunt ook uw eigen domein zoals digitalsigns.uwbedrijf.com koppelen door dit artikel te volgen.

Dit wordt de URL die u met uw gebruikers kunt delen zodat zij kunnen inloggen om de app te gebruiken, zodra de integratie is ingesteld. In ons voorbeeld gebruiken we https://advanced.optisigns.net/

mceclip13.png

Ga vervolgens naar de SAML Single Sign On instellingenpagina:

https://app.optisigns.com/app/s/saml-settings

Klik op SAML SSO inschakelen.

De instellingen zijn:

  • Gebruikersnaam & Wachtwoord login inschakelen: Sta gebruikers toe om ook in te loggen met gebruikersnaam/wachtwoord. Het wordt aanbevolen om dit uit te schakelen zodra de integratie volledig is voltooid. Als Admin/Eigenaar wordt aanbevolen dat u ten minste 1 account met wachtwoord login behoudt, voor het geval er problemen zijn, kunt u altijd weer inloggen vanaf app.optisigns.com om opnieuw te configureren.
  • Gebruiker aanmaken inschakelen: Als gebruikers zijn geauthenticeerd, maar niet bestaan in OptiSigns, worden ze aangemaakt in OptiSigns. U moet dit inschakelen, omdat u waarschijnlijk al gebruikers/groepen toewijst/goedkeurt om OptiSigns te gebruiken, tenzij u om een of andere reden zeer strikt wilt zijn en de rollen van gebruikers wilt controleren voordat ze OptiSigns kunnen gaan gebruiken.
  • Gebruiker overschrijven inschakelen: Elke keer dat een gebruiker inlogt, als hun groepstoewijzing is gewijzigd op SAML, zal OptiSigns dit bijwerken en nieuwe profielinstellingen overschrijven.
  • Noteer de "Single Sign On URL" en "Audience URI (SP Entity ID) URL", u heeft deze later nodig in OneLogin.

mceclip0.png

Voeg vervolgens OptiSigns toe als een App in uw OneLogin admin portaal:

Log in op uw OneLogin portaal als admin -> Applications

Klik op Add app

mceclip6.png

Op de volgende pagina, zoek naar "SAML" in het zoekvak, en selecteer vervolgens de "SAML Custom Connector (SP Shibboleth)".

mceclip0.png

Voer "OptiSigns" in als weergavenaam, klik vervolgens op Save. U kunt hier ook het OptiSigns logo uploaden.

mceclip1.png

Na het opslaan, ga naar de configuratiepagina. Dit is waar u de Single Sign On URL en SP Entity ID moet opgeven die u krijgt van uw OptiSigns SAML SSO instelling.

SP Entity ID van OptiSigns SAML SSO instelling moet worden geplaatst onder de Login URL.

Single Sign On URL van OptiSigns SAML SSO instelling moet worden geplaatst onder ACS URL en ACS URL validator. Vergeet niet om de speciale tekens in de ACS URL validator te escapen.

mceclip2.png

Ga vervolgens naar de SSO pagina. Haal deze 3 gemarkeerde informatie op, deze moeten worden onderhouden in de OptiSigns SAML SSO instellingen. Na het klikken op View Details van het certificaat, kunt u de gecodeerde inhoud van het certificaat vinden, dit is nodig in de volgende stap.

mceclip3.png

Ga terug naar uw OptiSigns account, onderhoud de bovengenoemde 3 velden, en sla het op.

Plaats het SAML 2.0 endpoint van OneLogin onder het SAML 2.0 Endpoint.

Plaats de Issuer URL van OneLogin onder Identity Provider Issuer.

Plaats de inhoud van het base64 gecodeerde x509 certificaat onder Public Certificate.

mceclip6.png

Nu zijn uw login portaal & integratie helemaal ingesteld.

Gebruikers en groepen van OneLogin naar OptiSigns toewijzen & koppelen

Het is niet verplicht, maar wel aanbevolen om groepen gebruikers aan te maken om toe te wijzen, en te koppelen aan OptiSigns Rollen en Teams zodat ze automatisch de juiste rol & groep hebben.

BELANGRIJKE OPMERKING: Als u dit niet configureert, krijgen alle gebruikers de User Rol & Default Team toegewezen (zie screenshot hieronder)

Om te configureren hoe OptiSigns de gebruikersgroepen moet koppelen aan OptiSigns Rollen, ga naar: https://app.optisigns.com/app/s/saml-settings

Scroll naar Geavanceerde instellingen en maak een koppeling.
Groepsnaam (rollen toegewezen aan de gebruiker vanuit OneLogin), Rol (rol in OptiSigns) koppeling.
mceclip9.png

Het is best practice om een groep specifiek voor OptiSigns aan te maken met naam prefix optisigns- en te koppelen aan OptiSigns zoals hieronder:

  • optisigns-admins (SAML groep) -> OptiSigns rol: Admin
  • optisigns-users (SAML groep) -> OptiSigns rol: Users
  • optisigns-custom-role (SAML groep) -> OptiSigns aangepaste rol die u aanmaakt

Hoe om te gaan met niet-gekoppelde gebruikers/groepen:

U kunt de "Niet-gekoppelde gebruikers/groep" koppelen aan Geen Team (Uitgeschakeld)

Op deze manier krijgen ze een foutmelding bij het inloggen en moeten ze contact opnemen met Admins om de juiste teams en rollen toegewezen te krijgen. Dit kan worden gebruikt als beveiliging, voor het geval sommige gebruikers per ongeluk de OptiSigns app toegewezen hebben gekregen maar niet de juiste groepen.

mceclip3.png

Let op dat als u een SAML groep koppelt aan een Team en vervolgens het team verwijdert, dit ertoe leidt dat de nieuwe gebruiker wordt gekoppeld aan Geen Team en contact met u moet opnemen om aan een team toegewezen te worden om de app te gebruiken.

Ga vervolgens naar uw OneLogin portaal. Ga naar de parameters pagina van de OptiSigns applicatie. Dit is waar u de koppeling van de attributen onderhoudt.

Maak hier nieuwe aangepaste parameters aan door op het + icoon te klikken. Momenteel ondersteunt OptiSigns attributen koppeling van voornaam, achternaam en groep. U kunt de aangepaste parameter naam instellen op dezelfde standaard attribuut naam die wordt gebruikt op OptiSigns, en deze vervolgens toewijzen aan de overeenkomstige waarden van OneLogin.

Shibboleth heeft veel voorgedefinieerde standaard attributen. In dit geval kan de givenName worden gekoppeld aan firstName op OptiSigns, en de surname kan worden gekoppeld aan lastName op OptiSigns.

Deze koppelingen geven informatie door aan OptiSigns over de Naam en Groep van de gebruiker.

mceclip4.png

De parameter namen komen overeen met OptiSigns

https://app.optisigns.com/app/s/saml-settings

OptiSigns accepteert standaard firstName, lastName en group. In plaats van de parameter namen in te stellen op de standaard attribuut naam die wordt gebruikt op OptiSigns, kunt u ook de attribuut naam op OptiSigns wijzigen om overeen te komen met de parameter namen die u hebt gedefinieerd op OneLogin.

Shibboleth gebruikt standaard namespace en id voor de voorgedefinieerde standaard attributen. In het geval van namen moet de id worden gebruikt in de attributen koppeling op OptiSigns.

firstName (givenName) : urn:oid:2.5.4.42

lastName (surname):urn:oid:2.5.4.4

mceclip5.png

Dat is alles!

U heeft SAML 2.0 voor OptiSigns geconfigureerd met OneLogin met behulp van de Shibboleth connector.

Nu kunnen uw gebruikers inloggen met het subdomein dat u heeft geconfigureerd (in dit geval was het https://advanced.optisigns.net/signIn).

U kunt de URL met uw gebruikers delen en zij kunnen inloggen met hun SSO inloggegevens.

Als u aanvullende vragen heeft of feedback over OptiSigns, neem dan gerust contact op met ons support team via support@optisigns.com

Was dit artikel nuttig?
Deutsch English (United States) Español Français Italiano 日本語 Português Svenska