Avançar para o conteúdo principal

How to Set Up SAML 2.0 with OptiSigns and MS Entra ID (formerly Azure AD)

Neste artigo, forneceremos um guia passo a passo para configurar o SAML 2.0 com o Microsoft Entra ID para uso com o OptiSigns.

NOTA: Este recurso está disponível para usuários dos planos Pro Plus, Engage e Enterprise.

SAML (Security Assertion Markup Language) 2.0 permite uma única autorização para acessar múltiplos sistemas. Isto pode ser configurado para permitir fácil acesso ao OptiSigns digital signage através do seu Microsoft Entra ID. O Entra ID atuará como o IDP (Provedor de Identidade), enquanto o OptiSigns funcionará como o SP (Provedor de Serviço). Aqui está um vídeo rápido mostrando como configurar o SAML 2.0 com o Entra ID (quando era conhecido como Azure AD):

Configurar Subdomínio OptiSigns e Configurações SAML SSO

Para começar, você precisará executar algumas funções dentro do aplicativo OptiSigns, incluindo:

  • Criar um Subdomínio Personalizado
  • Configurar as Configurações SAML SSO

Agora, vamos começar.

Configurando um Subdomínio Personalizado

Primeiro, certifique-se de ter um subdomínio OptiSigns. Isto pode ser obtido indo para a página Configurações de Marca.

Preencha o campo de subdomínio e clique em Ativar. Agora você pode usar este subdomínio para uma variedade de funções, incluindo a configuração SAML. Você também pode mapear seu domínio seguindo nosso artigo sobre Mapeamento de Domínio Personalizado.

Este subdomínio será a URL para compartilhar com seus usuários para que eles possam fazer login para usar o aplicativo após a integração ter sido configurada.

Para este exemplo, usaremos https://optisignsdemo-ad.optisigns.net/ como nossa URL.

Configurando as Configurações SAML SSO

Vá para a Página de Configurações de Login Único SAML:

go to saml single sign on page

Agora ative Habilitar SAML SSO. Deve haver uma marca de verificação verde ao lado da opção. Isso expandirá as opções disponíveis para você.

saml sso settings checklist

As outras configurações são:

  • Habilitar Login com Nome de Usuário e Senha - Permitir que os usuários também façam login com nome de usuário/senha. Recomendamos desabilitar isso depois que a integração estiver concluída. Como Admin/Proprietário, é recomendável manter pelo menos 1 conta com login de senha caso haja problemas. Você pode usar esta conta para fazer login diretamente no aplicativo para reconfigurar se necessário.
  • Habilitar Criação de Usuário - Se os usuários forem autenticados mas não existirem no OptiSigns, eles serão criados no aplicativo OptiSigns. Recomendamos habilitar isso, a menos que você deseje ser extremamente rigoroso e queira revisar as funções dos usuários antes que eles possam começar a usar o OptiSigns.
  • Habilitar Substituição de Usuário - Toda vez que um usuário faz login, o OptiSigns verificará sua atribuição de grupo. Se ela mudou no SAML, o OptiSigns atualizará suas permissões dentro do aplicativo.

Em seguida, anote sua URL de Login Único e URL de URI de Audiência (ID de Entidade SP). Você precisará usá-las mais tarde.

Adicionar OptiSigns como um Aplicativo no Portal Microsoft Entra ID

Faça login no seu portal Microsoft Azure como administrador, depois navegue até Aplicativos Empresariais.

Clique em Novo Aplicativo.

creating new enterprise application ms azure

Selecione Criar seu aplicativo. Isso abre uma barra lateral à direita. Dentro dela, insira "OptiSigns" como o nome do aplicativo e escolha Integrar qualquer outro aplicativo que você não encontra na galeria (Não-galeria). Por fim, clique em Criar.

create own application ms azure

Isso levará um momento, mas você eventualmente será levado a uma tela de Visão Geral.

Clique em Configurar login único.

setting up single sign on ms azure

Clique em SAML. Isso iniciará a configuração do Login baseado em SAML.

saml ms azure

Aqui, clique em Editar na seção Configuração Básica do SAML. É aqui que você deve fornecer a URL de Login Único e o ID de Entidade SP que você obteve na última etapa.

basic saml configuration

Coloque a URL de Login Único em URL de Resposta e o ID de Entidade SP em Identificador.

identifier and reply URL saml config ms azure

Em seguida, observe as duas próximas seções: Certificados SAML e Configurar OptiSigns. Você precisará obter três informações principais:

  1. Certificado (Base64)
  2. URL de Login
  3. Identificador Microsoft Entra

three key pieces of information ms azure

Estas precisarão ser mantidas dentro do aplicativo OptiSigns, na página de Configurações SAML SSO.

Agora volte para sua conta OptiSigns e insira essas três informações nos seguintes lugares:

  1. URL de Login deve ir em Endpoint SAML 2.0 (HTTP)
  2. Identificador Microsoft Entra deve ir em Emissor do Provedor de Identidade
  3. O conteúdo do Certificado (Base64) baixado deve ser colado em Certificado Público.

setup SAML authentication optisigns

Com isso, seu portal de login e integração estão todos configurados. Se isso é tudo que você precisa, você terminou. Se você quiser gerenciar usuários, grupos e equipes, continue lendo.

Atribuir e Mapear Usuários e Grupos do Azure para OptiSigns (OPCIONAL)

Recomendamos fortemente criar grupos de usuários para serem atribuídos dentro do Azure para serem automaticamente mapeados para o OptiSigns com a função e grupo corretos.

NOTA: Sem configurar isso, todos os usuários serão atribuídos à Função de Usuário e Equipe Padrão. Você terá que alterar manualmente suas funções e equipes dentro do aplicativo OptiSigns.

Volte para a página de configurações SAML dentro do OptiSigns. Role até Configurações Avançadas e você deve ver isso:

group mapping optisigns

Por padrão, usuários/grupos não mapeados tornam-se Usuários dentro da Equipe Padrão no OptiSigns. Para vincular o OptiSigns ao Azure, crie um novo mapeamento clicando em Adicionar ou edite um dos mapeamentos de Grupo existentes.

O "Nome do Grupo" dentro do OptiSigns corresponde ao "ID do Grupo" dentro do Azure. Para encontrar esta informação, vá para o seu Portal Azure e selecione Grupos.

groups tab ms azure

Seu ID de Objeto pode ser encontrado aqui para cada grupo que você criou.

groups with object id noted

Este ID de Objeto deve ser inserido no campo Nome do Grupo dentro do OptiSigns. No entanto, recomendamos criar um grupo especificamente para OptiSigns com um prefixo OptiSigns- e mapeá-los para OptiSigns assim:

  • optisigns-admins (grupo SAML) → Função OptiSigns: Admin
  • optisigns-users (grupo SAML) → Função OptiSigns: Usuários
  • optisigns-custom-role (grupo SAML) → Função personalizada OptiSigns que você criar

Uma vez concluído, deve se parecer com isso:

filled out group mapping optisigns

Você pode criar quantos grupos e funções quiser.

Como Lidar com Usuários e Grupos Não Mapeados

Você pode querer mapear a seção "Usuários/grupos não mapeados" para Sem Equipe (Desabilitar). Desta forma, eles receberão uma mensagem de erro ao tentar fazer login e terão que entrar em contato com os Admins para obter a equipe e função corretas atribuídas. Esta é uma proteção útil caso certos usuários sejam acidentalmente atribuídos ao aplicativo OptiSigns, mas não ao grupo correto.

unmapped users/groups with no team selected

NOTA: Se você mapear um grupo SAML para uma Equipe e depois excluir a Equipe, isso resultará em novos usuários sendo mapeados para Sem Equipe. Eles terão que entrar em contato com você para serem atribuídos a uma equipe para poder usar o aplicativo.

Gerenciando Atributos e Declarações no Microsoft Azure

Editar os Atributos e Declarações no Microsoft Azure pode dar a você ainda mais controle sobre os Usuários adicionados ao grupo, e é uma ferramenta valiosa.

Para começar, vá para o portal Azure. Clique em Aplicativos Empresariais OptiSigns Login único. Role para baixo até a Seção 2: Atributos e Declarações do Usuário. É aqui que você mantém o mapeamento desses atributos.

user attributes and claims ms azure

Dentro desta seção, há duas coisas principais para personalizar:

  • Declarações de Grupo
  • Atributos do Usuário

Vamos orientá-lo através de cada um.

Criando Declarações de Grupo para Uso com OptiSigns

Para criar uma Declaração de Grupo, primeiro clique em Adicionar uma declaração de grupo:

add group claim ms azure

Quando você criar um Grupo:

  1. Selecione Grupos atribuídos ao aplicativo em "Quais grupos associados ao usuário devem ser retornados na declaração?"
  2. (Opcional) Insira o nome "groups" em "Personalize o nome da declaração de grupo" e deixe a seção Namespace em branco.

group claim settings ms azure
Isso é tudo para criar declarações de Grupo.

Personalizando Declarações de Usuário para Uso com OptiSigns

Esses mapeamentos passarão informações para o OptiSigns sobre o Nome e Grupo do usuário:

managing user claims ms azure

Os nomes das Declarações são, por padrão, representados por uma URL. O Tipo será dado como SAML, com o Valor correspondendo a informações identificadoras sobre o usuário, incluindo:

  • user.givenname
  • user.groups (somente se configurado - veja a seção acima)
  • user.mail
  • user.userprincipalname
  • user.surname

Esses nomes de Declaração correspondem a esta seção em Configurações Avançadas na página de Configurações SAML SSO:

advanced settings optisigns saml sso settings page

O OptiSigns aceita Primeiros Nomes, Sobrenomes e Grupos por padrão.

Esses valores correspondem ao Namespace da declaração. Então, em outras palavras, se o Valor correspondente ao firstName (user.givenname) for uma URL, você terá que colar a URL inteira no OptiSigns. É possível, no entanto, alterar o Namespace para algo mais gerenciável.

No Azure, clique em qualquer uma dessas declarações para Gerenciá-las.

ms azure manage claims

Para eliminar a URL, simplesmente delete-a do campo Namespace, depois clique em Salvar.

eliminate URL ms azure claim

Isso substituirá a URL no Namespace pelo Nome. Esta é uma informação muito mais fácil de gerenciar.

claims after removing url ms azure

Estes agora podem ser mapeados, assim:

proper user mapping in optisigns example

Por fim, vá para a seção Usuários e grupos dentro do Azure e atribua seus grupos ao aplicativo empresarial OptiSigns.

add user/group

Configurando o Login OptiSigns para Aparecer no Office.com

Muitas vezes é conveniente ter o aplicativo OptiSigns aparecer como uma opção clicável no portal Office.com da sua empresa.

Para configurar isso, você primeiro precisará encontrar seu ID de Conta OptiSigns. Para fazer isso, simplesmente encontre uma tela pareada e clique em Editar Avançado Mais.

edit screen advanced more

Clique em Informações do Dispositivo:

info button edit screen

Encontre o número do "accountId" e anote-o em algum lugar. Você precisará dele em breve.

Agora copie a seguinte URL, substituindo seu ID de conta onde apropriado:

https://app.optisigns.com/signIn/<accountId>

Em seguida, volte ao seu portal Azure e vá para Login baseado em SAML. Uma vez lá, encontre Configuração Básica do SAML e clique em Editar. Isso abrirá uma barra lateral. Simplesmente cole/digite sua URL nos campos URL de Logon (Opcional) e Estado de Retransmissão (Opcional).

Isso permitirá que o aplicativo OptiSigns apareça em seu portal Microsoft Office. Isso também fornecerá a gama completa de opções para seu menu lateral.

optisigns app in ms office portal

Perguntas Frequentes

Aqui, responderemos algumas das perguntas mais comuns que recebemos sobre este tópico.

Recebi esta Mensagem de Erro. Ajuda?

Unable to process request due to missing initial state. This may happen if browser sessionStorage is inaccessible or accidentally cleared. Some specific scenarios are - 1) Using IDP-Initiated SAML SSO. 2) Using signInWithRedirect in a storage-partitioned browser environment.

optisigns common error message

Este erro aparece por uma de duas razões:

  1. A URL errada foi inserida. Isto é frequentemente (https://auth.optisigns.com/__/auth/handler)
  2. O usuário tentou acessar o portal OptiSigns através do Office.com sem configurar o SAML SSO no Microsoft Azure corretamente.

A maneira mais fácil de resolver este problema é fazer login através de sua URL de marca.

branded url example

Isso será único para sua organização. Para mais informações, siga os passos descritos na seção "Adicionar OptiSigns como um Aplicativo no Portal Microsoft Entra ID".

Está Dizendo que Não Pertenço a uma Equipe/Grupo. Como Posso Corrigir Isso?

Este erro tem a ver com mapeamento de grupo. Para começar, siga todos os passos descritos na seção "Atribuir e Mapear Usuários e Grupos" acima.

team/group error message

Se você ainda estiver tendo problemas, verifique seus nomes de Grupo. No Azure, isso é ID de Objeto:

ms azure groups tab object id

Verifique os Atributos e Declarações do Usuário desejado e certifique-se de que o nome do Grupo esteja atribuído como Grupos atribuídos ao aplicativo.

group claims error fix

Em seguida, verifique se a Declaração foi configurada corretamente:

proper claims names ms azure

Os valores acima devem corresponder a estes dentro do portal OptiSigns:

proper claims names optisigns

Por fim, certifique-se de que o usuário e o grupo foram adicionados ao aplicativo dentro do MS Azure:

user and group added to app within ms azure

Isso deve resolver o problema.

Consegui entrar na minha conta OptiSigns, mas não pareço ter todas as opções do menu lateral que estou acostumado. O que está acontecendo?

É provável que você tenha feito login através do seu Portal de Marca, usando uma URL similar a esta:

https://app.optisigns.com/signIn/<accountId>

Vá em frente e siga os passos descritos aqui e este problema deve se resolver.

Isso é tudo!

Você configurou o SAML 2.0 para OptiSigns com Microsoft Entra.

Você pode compartilhar a URL com seus usuários e eles podem fazer login com suas credenciais SSO.

Se você tiver quaisquer perguntas adicionais ou qualquer feedback sobre OptiSigns, sinta-se à vontade para entrar em contato com nossa equipe de suporte em support@optisigns.com

Este artigo foi útil?
Deutsch English (United States) Español Français Italiano 日本語 Nederlands Svenska