I denna artikel kommer vi att ge en steg-för-steg-guide för att konfigurera SAML 2.0 med Microsoft Entra ID för användning med OptiSigns.
- Konfigurera OptiSigns-underdomän och SAML SSO-inställningar
- Lägg till OptiSigns som en app i Azure Portal
- Tilldela och mappa användare och grupper från Azure till OptiSigns (VALFRITT)
- Konfigurera OptiSigns-inloggning att visas på Office.com (VALFRITT)
- Vanliga frågor
| OBS: Denna funktion är tillgänglig för Pro Plus-, Engage- och Enterprise-planens användare. |
SAML (Security Assertion Markup Language) 2.0 tillåter en enda auktorisering för att få tillgång till flera system. Detta kan konfigureras för att möjliggöra enkel åtkomst till OptiSigns digitala skyltning genom ditt Microsoft Entra ID. Entra ID kommer att fungera som IDP (Identity Provider), medan OptiSigns fungerar som SP (Service Provider). Här är en snabb video som visar hur man konfigurerar SAML 2.0 med Entra ID (när det var känt som Azure AD):
Konfigurera OptiSigns-underdomän och SAML SSO-inställningar
För att börja måste du utföra några funktioner inom OptiSigns-appen, inklusive:
- Skapa en anpassad underdomän
- Konfigurera SAML SSO-inställningar
Nu, låt oss börja.
Konfigurera en anpassad underdomän
Först, se till att du har en OptiSigns-underdomän. Detta kan erhållas genom att gå till sidan för Varumärkesinställningar.
Fyll i underdomänfältet och klicka på Aktivera. Nu kan du använda denna underdomän för olika funktioner, inklusive SAML-konfiguration. Du kan också mappa din domän genom att följa vår artikel om Anpassad domänmappning.
Denna underdomän kommer att vara URL:en att dela med dina användare så att de kan logga in för att använda appen efter att integrationen har konfigurerats.
För detta exempel kommer vi att använda https://optisignsdemo-ad.optisigns.net/ som vår URL.
Konfigurera SAML SSO-inställningar
Gå till SAML Single Sign-On-inställningssidan:
Aktivera nu Aktivera SAML SSO. Det ska finnas en grön bockmarkering bredvid alternativet. Detta kommer att expandera de tillgängliga alternativen för dig.
De andra inställningarna är:
- Aktivera användarnamn- och lösenordsinloggning - Tillåt användare att också logga in med användarnamn/lösenord. Vi rekommenderar att inaktivera detta när integrationen är klar. Som Admin/Ägare rekommenderas det att behålla minst 1 konto med lösenordsinloggning om det uppstår problem. Du kan använda detta konto för att logga in direkt i appen för att konfigurera om vid behov.
- Aktivera användarskapande - Om användare är autentiserade men inte finns i OptiSigns kommer de att skapas i OptiSigns-appen. Vi rekommenderar att aktivera detta om du inte vill vara extremt strikt och vill granska användarnas roller innan de kan börja använda OptiSigns.
- Aktivera användaröverskrivning - Varje gång en användare loggar in kommer OptiSigns att kontrollera deras grupptilldelning. Om den har ändrats på SAML kommer OptiSigns att uppdatera deras behörigheter inom appen.
Observera sedan din Single Sign On URL och Audience URI (SP Entity ID) URL. Du kommer att behöva använda dessa senare.
Lägg till OptiSigns som en app i Microsoft Entra ID Portal
Logga in på din Microsoft Azure-portal som administratör och navigera sedan till Företagsprogram.
Klicka på Nytt program.
Välj Skapa ditt program. Detta öppnar en sidopanel till höger. Ange "OptiSigns" som namnet på appen och välj Integrera någon annan applikation som du inte hittar i galleriet (icke-galleri). Klicka slutligen på Skapa.
Detta kommer att ta en stund, men du kommer till slut att komma till en översiktsskärm.
Klicka på Konfigurera enkel inloggning.
Klicka på SAML. Detta kommer att påbörja konfigurationen av SAML-baserad inloggning.
Här klickar du på Redigera i avsnittet Grundläggande SAML-konfiguration. Det är här du ska ange Single Sign On URL och SP Entity ID som du fick i det sista steget.
Placera Single Sign On URL under Svars-URL och SP Entity ID under Identifierare.
Observera sedan de två nästa avsnitten: SAML-certifikat och Konfigurera OptiSigns. Du måste hämta tre viktiga delar av information:
- Certifikat (Base64)
- Inloggnings-URL
- Microsoft Entra-identifierare
Dessa kommer att behöva underhållas inom OptiSigns-appen, på SAML SSO-inställningssidan.
Gå nu tillbaka till ditt OptiSigns-konto och ange dessa tre delar av information på följande platser:
- Inloggnings-URL ska anges under SAML 2.0 Endpoint (HTTP)
- Microsoft Entra-identifierare ska anges under Identity Provider Issuer
- Innehållet i det nedladdade Certifikatet (Base64) ska klistras in under Offentligt certifikat.
Med detta är din inloggningsportal och integration helt konfigurerad. Om detta är allt du behöver är du klar. Om du vill hantera användare, grupper och team, fortsätt läsa.
Tilldela och mappa användare och grupper från Azure till OptiSigns (VALFRITT)
Vi rekommenderar starkt att skapa grupper av användare som ska tilldelas inom Azure för att automatiskt mappas till OptiSigns med rätt roll och grupp.
| OBS: Utan att konfigurera detta kommer alla användare att tilldelas användarroll och standardteam. Du måste manuellt ändra deras roller och team inom OptiSigns-appen. |
Gå tillbaka till SAML-inställningssidan inom OptiSigns. Scrolla till Avancerade inställningar och du bör se detta:
Som standard blir omappade användare/grupper användare inom standardteamet i OptiSigns. För att länka OptiSigns till Azure, skapa antingen en ny mappning genom att klicka på Lägg till eller redigera en av de befintliga gruppmappningarna.
"Gruppnamn" inom OptiSigns motsvarar "Grupp-ID" inom Azure. För att hitta denna information, gå till din Azure Portal och välj Grupper.
Ditt objekt-ID finns här för varje grupp du har skapat.
Detta objekt-ID ska anges i fältet Gruppnamn inom OptiSigns. Vi rekommenderar dock att skapa en grupp specifikt för OptiSigns med ett OptiSigns-prefix och mappa dessa till OptiSigns så här:
- optisigns-admins (SAML-grupp) → OptiSigns-roll: Admin
- optisigns-users (SAML-grupp) → OptiSigns-roll: Användare
- optisigns-custom-role (SAML-grupp) → OptiSigns anpassad roll som du skapar
När du är klar ska det likna detta:
Du kan skapa så många grupper och roller som du vill.
Hur man hanterar omappade användare och grupper
Du kanske vill mappa avsnittet "Omappade användare/grupper" till Inget team (inaktivera). På detta sätt kommer de att få ett felmeddelande när de försöker logga in och måste kontakta administratörer för att få rätt team och roll tilldelad. Detta är en användbar säkerhetsåtgärd om vissa användare av misstag tilldelas OptiSigns-appen men inte rätt grupp.
| OBS: Om du mappar en SAML-grupp till ett team och sedan tar bort teamet, kommer det att resultera i att nya användare mappas till Inget team. De måste kontakta dig för att tilldelas ett team för att kunna använda appen. |
Hantera attribut och anspråk i Microsoft Azure
Redigering av attribut och anspråk i Microsoft Azure kan ge dig ännu mer kontroll över användare som läggs till i gruppen, och är ett värdefullt verktyg.
För att börja, gå till Azure-portalen. Klicka på Företagsprogram → OptiSigns → Enkel inloggning. Scrolla ner till avsnitt 2: Användarattribut och anspråk. Det är här du underhåller mappningen av dessa attribut.
Inom detta avsnitt finns det två huvudsakliga saker att anpassa:
- Gruppanspråk
- Användarattribut
Vi kommer att guida dig genom varje.
Skapa gruppanspråk för användning med OptiSigns
För att skapa ett gruppanspråk, klicka först på Lägg till ett gruppanspråk:
När du skapar en grupp:
- Välj Grupper som tilldelats programmet under "Vilka grupper som är associerade med användaren ska returneras i anspråket?"
- (Valfritt) Ange namnet "groups" i "Anpassa namnet på gruppanspråket" och lämna namnområdesavsnittet tomt.
Det är allt för att skapa gruppanspråk.
Anpassa användaranspråk för användning med OptiSigns
Dessa mappningar kommer att överföra information till OptiSigns om användarens namn och grupp:
Anspråksnamnen representeras som standard av en URL. Typen ges som SAML, med värdet som motsvarar identifierande information om användaren, inklusive:
- user.givenname
- user.groups (endast om konfigurerad - se avsnittet ovan)
- user.mail
- user.userprincipalname
- user.surname
Dessa anspråksnamn motsvarar detta avsnitt under Avancerade inställningar på SAML SSO-inställningssidan:
OptiSigns accepterar förnamn, efternamn och grupper som standard.
Dessa värden motsvarar anspråkets namnområde. Så med andra ord, om värdet som motsvarar förnamn (user.givenname) är en URL, måste du klistra in hela URL:en i OptiSigns. Det är dock möjligt att ändra namnområdet till något mer hanterbart.
I Azure klickar du på något av dessa anspråk för att hantera dem.
För att eliminera URL:en, ta bara bort den från namnområdesfältet och tryck sedan på Spara.
Detta kommer att ersätta URL:en i namnområdet med namnet. Detta är en mycket enklare del av information att hantera.
Dessa kan nu mappas, så här:
Slutligen, gå till avsnittet Användare och grupper inom Azure och tilldela dina grupper till OptiSigns Enterprise-appen.
Konfigurera OptiSigns-inloggning att visas på Office.com
Det är ofta bekvämt att ha OptiSigns-appen som ett klickbart alternativ på ditt företags Office.com-portal.
För att konfigurera detta måste du först hitta ditt OptiSigns-konto-ID. För att göra detta, hitta helt enkelt en parkopplad skärm och klicka på Redigera → Avancerat → Mer.
Klicka på Enhetsinformation:
Hitta "accountId"-numret och skriv ner det någonstans. Du kommer att behöva det snart.
Kopiera nu följande URL, se till att ersätta ditt konto-ID där det är lämpligt:
https://app.optisigns.com/signIn/<accountId>
Gå sedan tillbaka till din Azure-portal och gå till SAML-baserad inloggning. När du är där, hitta Grundläggande SAML-konfiguration och klicka på Redigera. Detta öppnar en sidopanel. Klistra helt enkelt in/skriv din URL i fälten Inloggnings-URL (valfritt) och Vidarebefordrat tillstånd (valfritt).
Detta gör att OptiSigns-appen visas i din Microsoft Office-portal. Detta kommer också att ge hela utbudet av alternativ för din sidomeny.
Vanliga frågor
Här kommer vi att svara på några av de vanligaste frågorna vi får om detta ämne.
Jag fick detta felmeddelande. Hjälp?
Det går inte att bearbeta begäran på grund av saknat initialt tillstånd. Detta kan hända om webbläsarens sessionStorage är otillgänglig eller av misstag rensad. Vissa specifika scenarier är - 1) Använda IDP-initierad SAML SSO. 2) Använda signInWithRedirect i en lagringspartitionerad webbläsarmiljö.
Detta fel visas av en av två anledningar:
- Fel URL angavs. Detta är ofta (https://auth.optisigns.com/__/auth/handler)
- Användaren har försökt komma åt OptiSigns-portalen från Office.com utan att konfigurera SAML SSO i Microsoft Azure korrekt.
Det enklaste sättet att lösa detta problem är att logga in via din märkta URL.
Detta kommer att vara unikt för din organisation. För mer information, följ stegen som beskrivs i avsnittet "Lägg till OptiSigns som en app i Microsoft Entra ID Portal".
Det står att jag inte tillhör ett team/grupp. Hur kan jag åtgärda detta?
Detta fel har att göra med gruppmappning. För att börja, följ alla steg som beskrivs i avsnittet "Tilldela och mappa användare och grupper" ovan.
Om du fortfarande har problem, kontrollera dina gruppnamn. I Azure är det objekt-ID:
Kontrollera den önskade användarens attribut och anspråk och se till att deras gruppnamn är tilldelat som Grupper tilldelade till programmet.
Kontrollera sedan om anspråket har konfigurerats korrekt:
Ovanstående värden ska matcha dessa inom OptiSigns-portalen:
Slutligen, se till att användaren och gruppen har lagts till i programmet inom MS Azure:
Detta bör lösa problemet.
Jag har kommit in på mitt OptiSigns-konto, men verkar inte ha alla sidomenysalternativ jag är van vid. Vad är det som pågår?
Det är troligt att du har loggat in via din märkta portal med en URL som liknar denna:
https://app.optisigns.com/signIn/<accountId>
Gå vidare och följ stegen som beskrivs här och detta problem bör lösas.
Det är allt!
Du har konfigurerat SAML 2.0 för OptiSigns med Microsoft Entra.
Du kan dela URL:en med dina användare och de kan logga in med sina SSO-uppgifter.
Om du har några ytterligare frågor eller någon feedback om OptiSigns, kontakta gärna vårt supportteam på support@optisigns.com