Existem muitas formas de implementar SAML para gerir utilizadores e aceder ao OptiSigns com o seu IDP.
Aqui estão algumas melhores práticas de alto nível com o OptiSigns que ajudarão a planear a sua integração e reduzir o trabalho manual e sobrecarga mais tarde.
Este artigo foca-se em estratégias e abordagens de integração. Para configurações detalhadas passo a passo por plataforma, consulte um dos nossos guias:
- SAML SSO com Okta
- SAML SSO com MS Entra ID
- SAML SSO com OneLogin
- SAML SSO com OneLogin (Shibboleth)
- SAML SSO com Google Workspace
Crie uma conta de Admin de backup durante a configuração:
Durante a configuração, recomendamos deixar ativo o login com Nome de Utilizador e Palavra-passe, e criar uma conta de Admin com nome de utilizador/palavra-passe para poder voltar a entrar e configurar, caso acidentalmente se bloqueie ao perder atribuições de funções ou grupos.
Pode desativar esta conta mais tarde quando a sua implementação estiver concluída.
Neste caso, está a planear não usar o email como identificador único para o utilizador, e usar um nome de utilizador ou ID de funcionário em vez disso. Recomendamos ter isto ativo, para que o proprietário da conta e a conta de admin possam gerir a conta sem interrupção, por exemplo, esquecendo a palavra-passe, ou um problema com a identificação do fornecedor.
Estratégias para usar SAML:
1) Como Serviço de Autenticação e Autorização (RECOMENDADO)
O SAML pode ser usado para aplicar a verificação de identidade, mas também para aplicar o mapeamento de utilizadores, equipas e funções no OptiSigns.
Com esta abordagem, irá mapear todos os utilizadores para grupos no seu IDP, e mapear os grupos IDP para equipas/funções do OptiSigns. Quando houver uma mudança no IDP (por exemplo, um utilizador é adicionado ou muda de grupo), isso será automaticamente refletido no OptiSigns.
Para implementar isto, marque Ativar Substituição de Utilizador. Quando marcado, sempre que um utilizador fizer login usando SAML, o OptiSigns verificará se o seu nome ou atribuição de grupo mudou. Aplicará então isso em conformidade. Se o seu nome ou atribuição foi atualizado, também atualizará o OptiSigns.
Mapeie todos os seus grupos apropriados para funções e equipas no OptiSigns.
Por exemplo, temos 3 grupos:
- Marketing Costa Oeste - utilizadores responsáveis por gerir ecrãs, conteúdo para a região Oeste
- Marketing Costa Leste - utilizador responsável por gerir ecrãs, conteúdo para a região Leste
- Suporte TI - Admin que pode apoiar ambas as regiões e fazer outras tarefas administrativas
O mapeamento deve ser como abaixo.
Com esta configuração, digamos que um utilizador pertence ao Marketing Costa Oeste. Deseja movê-lo para Marketing Costa Leste. Simplesmente atualize o seu IDP e mova-o da Costa Oeste para a Costa Leste. Da próxima vez que fizer login no OptiSigns, isso será refletido e pertencerá à equipa Marketing Costa Leste e só poderá ver esse conteúdo no OptiSigns.
Para mais informações sobre Gestão de Utilizadores, veja o nosso artigo sobre Equipas e Segurança de Pastas no OptiSigns.
2) Apenas como Serviço de Autenticação
O SAML pode ser usado para aplicar a sua MFA, política de palavra-passe, e remover utilizadores e revogar acesso ao OptiSigns. Ainda pode gerir estes utilizadores e atribuí-los a Equipas ou Funções. Esta abordagem é rápida de configurar e flexível, pois pode mover rapidamente utilizadores no OptiSigns. No entanto, quando os utilizadores se movem no seu IDP, terá de se lembrar de movê-los também no OptiSigns, se necessário.
Para implementar isto, desmarque Ativar Substituição de Utilizador.
Voltando ao nosso exemplo anterior: quando um utilizador se move do Marketing Costa Oeste para Marketing Costa Leste, precisará de ir ao OptiSigns e mover a atribuição de equipa do utilizador, se necessário.
Além disso, se quando o utilizador atualizar, mudar o seu nome, terá de atualizar o OptiSigns também para o manter sincronizado.
Ativar Criação de Utilizador:
Recomendamos manter esta opção marcada. Quando ativada, se os utilizadores forem autenticados e o SAML mapear o utilizador para uma equipa ou função que pode usar o OptiSigns, o utilizador será criado automaticamente.
Se desativado, terá de criar cada utilizador primeiro no OptiSigns antes de poderem fazer login com SAML SSO.
Voltando ao nosso antigo exemplo. Digamos que existem 20 utilizadores que pertencem ao grupo Marketing Costa Oeste no seu IDP, e Marketing Costa Oeste está mapeado para a equipa Marketing Costa Oeste no OptiSigns.
Se um utilizador no grupo Marketing Costa Oeste fizer login no OptiSigns, será automaticamente criado e pode imediatamente aceder aos ecrãs e conteúdo da Equipa Costa Oeste.
Os outros 19 utilizadores não são criados no OptiSigns até tentarem fazer login.
Também pode mapear Utilizadores/grupos não mapeados para Sem Equipa (Desativar). Desta forma, se um utilizador pertencer a outro grupo no seu IDP e tentar fazer login, receberá um erro e o utilizador não é criado no OptiSigns.
Desta forma pode manter o sistema limpo e apenas os utilizadores que precisam de acesso à aplicação são replicados.
Se tiver alguma questão ou precisar de ajuda com a integração SAML, por favor não hesite em contactar-nos através de support@optisigns.com