Hoppa till huvudinnehållet

How to set up SAML 2.0 with OptiSigns and OneLogin(Shibboleth)

Med Pro Plus- och Enterprise-planer kan du konfigurera SAML 2.0 med OptiSigns via OneLogin med hjälp av Shibboleth. Shibboleth är baserat på SAML, uppsättningen av autentiseringen med Shibboleth-anslutningen på OneLogin kommer att likna den vanliga SAML-anslutningen.

OneLogin kommer att fungera som IDP (Identity Provider), och OptiSigns kommer att fungera som SP (Service Provider).

Konfigurera OptiSigns & OneLogin:

Först måste du göra några inställningar i OptiSigns:

Om du inte har en underdomän än kan du skapa en genom att gå till:
https://app.optisigns.com/app/s/branding-settings

Fyll i underdomänfältet och klicka på Aktivera. Efter det kan du använda denna underdomän för "
Du kan också mappa din egen domän som digitalsigns.dittföretag.com genom att följa denna artikel.

Detta kommer att vara URL:en som du kan dela med dina användare så att de kan logga in för att använda appen när integrationen har konfigurerats. I vårt exempel kommer vi att använda https://advanced.optisigns.net/

mceclip13.png

Gå sedan till inställningssidan för SAML Single Sign On:

https://app.optisigns.com/app/s/saml-settings

Klicka på Aktivera SAML SSO.

Inställningarna är:

  • Aktivera inloggning med användarnamn & lösenord: Tillåt användare att också logga in med användarnamn/lösenord. Det rekommenderas att inaktivera det när integrationen är helt klar. Som Admin/Ägare rekommenderas det att du behåller minst 1 konto med lösenordsinloggning, ifall det uppstår problem kan du alltid logga in igen från app.optisigns.com för att konfigurera om.
  • Aktivera användarskapande: Om användare är autentiserade men inte finns i OptiSigns kommer de att skapas i OptiSigns. Du bör aktivera detta eftersom du troligen redan tilldelar/godkänner användare/grupper för att använda OptiSigns, såvida du inte av någon anledning vill vara mycket strikt och vill granska användarnas roller innan de kan börja använda OptiSigns.
  • Aktivera användaråsidosättning: Varje gång en användare loggar in, om deras grupptilldelning har ändrats på SAML, kommer OptiSigns att uppdatera och åsidosätta nya profilinställningar.
  • Notera "Single Sign On URL" och "Audience URI (SP Entity ID) URL", du kommer att behöva detta för att använda i OneLogin senare.

mceclip0.png

Lägg sedan till OptiSigns som en app i din OneLogin-administratörsportal:

Logga in på din OneLogin-portal som administratör -> Applikationer

Klicka på Lägg till app

mceclip6.png

På nästa sida, sök efter "SAML" i sökrutan och välj sedan "SAML Custom Connector (SP Shibboleth)".

mceclip0.png

Ange "OptiSigns" i visningsnamnet och klicka sedan på Spara. Du kan också ladda upp OptiSigns-logotypen här.

mceclip1.png

Efter att ha sparat, gå till konfigurationssidan. Det är här du ska ange Single Sign On URL och SP Entity ID som du får från dina OptiSigns SAML SSO-inställningar.

SP Entity ID från OptiSigns SAML SSO-inställning ska anges under Login URL.

Single Sign On URL från OptiSigns SAML SSO-inställning ska anges under ACS URL och ACS URL validator. Kom ihåg att escape:a specialtecknen i ACS URL validator.

mceclip2.png

Gå sedan till SSO-sidan. Hämta dessa 3 markerade uppgifter, dessa måste underhållas i OptiSigns SAML SSO-inställningarna. Efter att ha klickat på View Details för certifikatet kan du hitta det kodade innehållet i certifikatet, detta kommer att behövas i nästa steg.

mceclip3.png

Gå tillbaka till ditt OptiSigns-konto och underhåll ovan nämnda 3 fält och spara det.

Ange SAML 2.0 endpoint från OneLogin under SAML 2.0 Endpoint.

Ange Issuer URL från OneLogin under Identity Provider Issuer.

Ange innehållet från base64-kodat x509-certifikat under Public Certificate.

mceclip6.png

Nu är din inloggningsportal & integration helt konfigurerad.

Tilldela & mappa användare och grupper från OneLogin till OptiSigns

Det är inte obligatoriskt, men rekommenderat att skapa grupper av användare som ska tilldelas och mappas till OptiSigns-roller och team så att de automatiskt får rätt roll & grupp.

VIKTIG ANMÄRKNING: Om du inte konfigurerar detta kommer alla användare att tilldelas användarroll & standardteam (skärmdump se nedan)

För att konfigurera hur OptiSigns ska mappa användargrupperna till OptiSigns-roller, gå till: https://app.optisigns.com/app/s/saml-settings

Scrolla till Avancerade inställningar och skapa en mappning.
Gruppnamn (roller tilldelade användaren från OneLogin), Roll (roll i OptiSigns) mappning.
mceclip9.png

Det är bästa praxis att skapa en grupp specifikt för OptiSigns med namnprefix med optisigns- och mappa till OptiSigns enligt nedan:

  • optisigns-admins (SAML-grupp) -> OptiSigns-roll: Admin
  • optisigns-users (SAML-grupp) -> OptiSigns-roll: Användare
  • optisigns-custom-role (SAML-grupp) -> OptiSigns anpassad roll som du skapar

Hur man hanterar omappade användare/grupper:

Du kan mappa "Omappade användare/grupp" till Inget team (Inaktiverad)

På detta sätt kommer de att få ett fel när de försöker logga in och måste kontakta administratörer för att få rätt team och roller tilldelade. Detta kan användas som en säkerhetsåtgärd, ifall vissa användare av misstag fick OptiSigns-appen tilldelad men inte rätt grupper.

mceclip3.png

Observera att om du mappar en SAML-grupp till ett team och sedan tar bort teamet kommer det att resultera i att den nya användaren mappas till Inget team och måste kontakta dig för att tilldelas ett team för att kunna använda appen.

Gå sedan till din OneLogin-portal. Gå till parametersidan för OptiSigns-applikationen. Det är här du underhåller mappningen av attributen.

Skapa nya anpassade parametrar här genom att klicka på +-ikonen. För närvarande stöder OptiSigns attributmappning av förnamn, efternamn och grupp. Du kan ställa in kundparameternamnet till samma standardattributnamn som används på OptiSigns och sedan tilldela det till motsvarande värden från OneLogin.

Shibboleth har många fördefinierade standardattribut. I detta fall kan givenName mappas till firstName på OptiSigns, och surname kan mappas till lastName på OptiSigns.

Dessa mappningar kommer att överföra information till OptiSigns om användarens namn och grupp.

mceclip4.png

Parameternamnen motsvarar OptiSigns

https://app.optisigns.com/app/s/saml-settings

OptiSigns accepterar firstName, lastName och group som standard. Istället för att ställa in parameternamnen till standardattributnamnet som används på OptiSigns kan du också ändra attributnamnet på OptiSigns för att matcha parameternamnen du definierat på OneLogin.

Shibboleth använder standardnamnrymd och id för de fördefinierade standardattributen. När det gäller namn ska id användas i attributmappningen på OptiSigns.

firstName (givenName) : urn:oid:2.5.4.42

lastName (surname):urn:oid:2.5.4.4

mceclip5.png

Det är allt!

Du har konfigurerat SAML 2.0 för OptiSigns med OneLogin med hjälp av Shibboleth-anslutningen.

Nu kan dina användare logga in med hjälp av underdomänen som du konfigurerat (i detta fall var det https://advanced.optisigns.net/signIn).

Du kan dela URL:en med dina användare och de kan logga in med sina SSO-uppgifter.

Om du har ytterligare frågor eller feedback om OptiSigns är du välkommen att kontakta vårt supportteam på support@optisigns.com

Var denna artikel till hjälp?
Deutsch English (United States) Español Français Italiano 日本語 Nederlands Português