Avançar para o conteúdo principal

How to set up SAML 2.0 with OptiSigns and OneLogin(Shibboleth)

Com os planos Pro Plus e Enterprise, você pode configurar SAML 2.0 com OptiSigns via OneLogin usando Shibboleth. O Shibboleth é baseado em SAML, a configuração da autenticação usando o conector Shibboleth no OneLogin será semelhante ao conector SAML normal.

O OneLogin atuará como o IDP (Provedor de Identidade), e o OptiSigns funcionará como o SP (Provedor de Serviços).

Configurar OptiSigns e OneLogin:

Primeiro, você precisa fazer algumas configurações no OptiSigns:

Se você ainda não tem um subdomínio, pode configurar um acessando:
https://app.optisigns.com/app/s/branding-settings

Preencha o campo de subdomínio e clique em Ativar. Depois disso, você pode usar este subdomínio para "
Você também pode mapear seu próprio domínio como digitalsigns.suaempresa.com seguindo este artigo.

Esta será a URL que você pode compartilhar com seus usuários para que eles possam fazer login e usar o aplicativo, uma vez que a integração esteja configurada. Em nosso exemplo, usaremos https://advanced.optisigns.net/

mceclip13.png

Em seguida, vá para a página de configurações de Single Sign On SAML:

https://app.optisigns.com/app/s/saml-settings

Clique em Ativar SSO SAML.

As configurações são:

  • Ativar login com Nome de Usuário e Senha: Permite que os usuários também façam login com nome de usuário/senha. É recomendado desativar isso quando a integração estiver concluída. Como Admin/Proprietário, é recomendado que você mantenha pelo menos 1 conta com login por senha, caso haja problemas, você sempre pode fazer login novamente em app.optisigns.com para reconfigurar.
  • Ativar Criação de Usuários: Se os usuários forem autenticados, mas não existirem no OptiSigns, eles serão criados no OptiSigns. Você deve ativar isso, porque provavelmente já atribui/aprova usuários/grupos para usar o OptiSigns, a menos que por algum motivo você queira ser muito rigoroso e queira revisar as funções dos usuários antes que eles possam começar a usar o OptiSigns.
  • Ativar Substituição de Usuário: Sempre que um usuário fizer login, se sua atribuição de grupo tiver sido alterada no SAML, o OptiSigns atualizará e substituirá as novas configurações de perfil.
  • Observe a "URL de Single Sign On" e a "URL de URI de Audiência (ID de Entidade SP)", você precisará disso para usar no OneLogin mais tarde.

mceclip0.png

Em seguida, adicione o OptiSigns como um Aplicativo em seu portal de administração OneLogin:

Faça login em seu portal OneLogin como administrador -> Aplicativos

Clique em Adicionar aplicativo

mceclip6.png

Na próxima página, pesquise por "SAML" na caixa de pesquisa e selecione o "SAML Custom Connector (SP Shibboleth)".

mceclip0.png

Digite "OptiSigns" no nome de exibição e clique em Salvar. Você também pode fazer upload do logotipo do OptiSigns aqui.

mceclip1.png

Após salvar, vá para a página de configuração. É aqui que você deve fornecer a URL de Single Sign On e o ID de Entidade SP que obtém das configurações de SSO SAML do OptiSigns.

O ID de Entidade SP das configurações de SSO SAML do OptiSigns deve ser colocado em URL de Login.

A URL de Single Sign On das configurações de SSO SAML do OptiSigns deve ser colocada em URL ACS e validador de URL ACS. Lembre-se de escapar o caractere especial no validador de URL ACS.

mceclip2.png

Em seguida, vá para a página SSO. Obtenha estas 3 informações destacadas, estas precisam ser mantidas nas configurações de SSO SAML do OptiSigns. Após clicar em Ver Detalhes do certificado, você pode encontrar o conteúdo codificado do certificado, isso será necessário na próxima etapa.

mceclip3.png

Volte para sua conta OptiSigns, mantenha os 3 campos mencionados acima e salve.

Coloque o endpoint SAML 2.0 do OneLogin em Endpoint SAML 2.0.

Coloque a URL do Emissor do OneLogin em Emissor do Provedor de Identidade.

Coloque o conteúdo do certificado x509 codificado em base64 em Certificado Público.

mceclip6.png

Agora seu portal de login e integração estão configurados.

Atribuir e mapear usuários e grupos do OneLogin para o OptiSigns

Não é obrigatório, mas é recomendado criar grupos de usuários para serem atribuídos e mapeados para Funções e Equipes do OptiSigns, para que eles tenham automaticamente a função e grupo corretos.

NOTA IMPORTANTE: Se você não configurar isso, todos os usuários serão atribuídos à Função de Usuário e Equipe Padrão (veja a captura de tela abaixo)

Para configurar como o OptiSigns deve mapear os grupos de usuários para as Funções do OptiSigns, acesse: https://app.optisigns.com/app/s/saml-settings

Role até Configurações Avançadas e crie um mapeamento.
Mapeamento de Nome do Grupo (funções atribuídas ao usuário do OneLogin), Função (função no OptiSigns).
mceclip9.png

É uma prática recomendada criar um grupo especificamente para o OptiSigns com prefixo de nome optisigns- e mapear para o OptiSigns como abaixo:

  • optisigns-admins (grupo SAML) -> Função OptiSigns: Admin
  • optisigns-users (grupo SAML) -> Função OptiSigns: Usuários
  • optisigns-custom-role (grupo SAML) -> Função personalizada OptiSigns que você criar

Como lidar com usuários/grupos não mapeados:

Você pode mapear os "Usuários/grupos não mapeados" para Sem Equipe (Desativado)

Desta forma, eles receberão um erro ao tentar fazer login e terão que entrar em contato com os Administradores para obter as equipes e funções corretas atribuídas. Isso pode ser usado como uma proteção, caso alguns usuários acidentalmente tenham recebido o aplicativo OptiSigns, mas não os grupos corretos.

mceclip3.png

Observe que se você mapear um grupo SAML para uma Equipe e depois excluir a equipe, isso resultará no novo usuário sendo mapeado para Sem Equipe e terá que entrar em contato com você para ser atribuído a uma equipe para usar o aplicativo.

Em seguida, vá para seu portal OneLogin. Vá para a página de parâmetros do aplicativo OptiSigns. É aqui que você mantém o mapeamento dos atributos.

Crie novos parâmetros personalizados aqui clicando no ícone +. Atualmente, o OptiSigns suporta mapeamento de atributos de nome, sobrenome e grupo. Você pode definir o nome do parâmetro do cliente com o mesmo nome de atributo padrão usado no OptiSigns e, em seguida, atribuí-lo aos valores correspondentes do OneLogin.

O Shibboleth tem muitos atributos padrão predefinidos. Neste caso, o givenName pode ser mapeado para firstName no OptiSigns, e o surname pode ser mapeado para lastName no OptiSigns.

Esses mapeamentos passarão informações para o OptiSigns sobre o Nome e Grupo do usuário.

mceclip4.png

Os nomes dos parâmetros correspondem ao OptiSigns

https://app.optisigns.com/app/s/saml-settings

O OptiSigns aceita firstName, lastName e group por padrão. Em vez de definir os nomes dos parâmetros para o nome de atributo padrão usado no OptiSigns, você também pode alterar o nome do atributo no OptiSigns para corresponder aos nomes dos parâmetros que definiu no OneLogin.

O Shibboleth usa namespace padrão e id para os atributos padrão predefinidos. No caso de nomes, o id deve ser usado no mapeamento de atributos no OptiSigns.

firstName (givenName) : urn:oid:2.5.4.42

lastName (surname):urn:oid:2.5.4.4

mceclip5.png

É isso!

Você configurou o SAML 2.0 para OptiSigns com OneLogin usando o conector Shibboleth.

Agora seus usuários podem fazer login usando o subdomínio que você configurou (neste caso foi https://advanced.optisigns.net/signIn).

Você pode compartilhar a URL com seus usuários e eles podem fazer login com suas credenciais SSO.

Se você tiver perguntas adicionais ou qualquer feedback sobre o OptiSigns, sinta-se à vontade para entrar em contato com nossa equipe de suporte em support@optisigns.com

Este artigo foi útil?
Deutsch English (United States) Español Français Italiano 日本語 Nederlands Svenska