Konfiguration des Bluebeam Single Sign-on (SSO) für Microsoft Entra ID

Einleitung

Vielen Dank für Ihr Interesse an der Nutzung der Bluebeam Funktion Single Sign-on (SSO), mit der die Sicherheit erhöht, die Benutzerfreundlichkeit verbessert und die Supportkosten gesenkt werden können. Die in diesem Dokument zusammengestellten Schritte ermöglichen eine erfolgreiche Konfiguration von SSO mithilfe des Microsoft-Protokolls OpenID Connect (OIDC) bei Verwendung von Microsoft Entra ID (ehemals Azure Active Directory; AD).

Für die Konfiguration von SSO muss Ihr Unternehmen über mindestens 100 Arbeitsplätze in einem Basics, Core oder Complete Plan von Bluebeam verfügen und die Endbenutzer:innen müssen eine Version mit Hauptsupport nutzen (siehe Unterstützte Versionen und Supportstufen).

Bei einer Bluebeam Subscription können die benutzerspezifischen Lizenzen bis zu 14 Tage lang auf Revu im Offline-Modus zugreifen – sogar mit SSO. Um ihren Token zu aktualisieren, müssen sich die Benutzer:innen nach Ablauf der Frist erneut bei Revu 21 anmelden. Weitere Informationen finden Sie in diesem Artikel.

Wenn Sie Fragen zu diesen Anweisungen haben, können Sie uns gerne kontaktieren.

Übersicht

Diese Anleitung behandelt die Einrichtung Ihrer SSO-Konfiguration und die Informationen, die an/von Bluebeam und Entra ID Ihrer Organisation gesendet werden müssen.

Die SSO-Konfiguration unterstützt die Multi-Faktor-Authentifizierung (MFA) entsprechend der Definition des Identitätsanbieters.

Wichtige Überlegungen, bevor Sie beginnen:

  • Sie benötigen für das Active Directory eine:n globale:n Administrator:in, um Berechtigungen für die Anwendung zu erteilen.
  • Achten Sie darauf, dass es keine Inkonsistenzen zwischen den E-Mail-Adressen der Benutzer:innen in Entra ID und den für die bestehenden Bluebeam IDs (BBIDs) verwendeten E-Mail-Adressen gibt. Diese können beispielsweise durch Namensänderungen oder Anpassungen der Kontoinformationen verursacht werden. Im Rahmen des Onboarding-Prozesses für Bluebeam Single Sign-on (SSO) senden wir Ihnen eine CSV-Datei mit Auflistungen der Benutzer:innen, die derzeit in unserem System vorhanden sind. Dies umfasst auch jene Personen, die möglicherweise aktive Benutzer:innen von Bluebeam Studio sind. Für SSO gleicht Bluebeam die E-Mail-Adressen ab. Diese müssen mit den alten BBIDs übereinstimmen, die in den von uns gesendeten Dateien enthalten sind.

Bitte teilen Sie uns mit, wenn Sie Unterstützung bei der Zuordnung von Benutzer-E-Mail-Adressen benötigen. Wir können den Namen und die E-Mail-Adresse des oder der Administrator:in mit dem Account Manager abgleichen oder die Angaben im Lizenzierungssystem überprüfen.

Vorbereitung der Einrichtung

Kontaktiere zunächst unseren technischen Support, um uns über die geplante Konfiguration von SSO zu informieren. Sobald du zu unserem System hinzugefügt wurdest, siehst du eine neue Option unter accounts.bluebeam.com, über die du die erforderlichen Informationen sicher übermitteln kannst.

Eingaben für Ihr eigenes System

Innerhalb von Azure müssen Sie Umleitungs-URIs für Benutzer:innen in ihren jeweiligen Regionen einrichten. Dafür gibt es zwei Optionen:

  • Richten Sie eine Konfiguration ein, die mehrere Regionen enthält.
  • Richten Sie verschiedene Konfigurationen für jede Region ein, in der Sie Benutzer:innen haben.

Anhand der folgenden Tabelle können Sie den Umleitungs-URI bestimmen, der in Entra ID eingerichtet werden soll:

Region Umleitungs-URI
USA https://signin.bluebeam.com/oauth2/v1/authorize/callback
Großbritannien https://signin.bluebeamstudio.co.uk/oauth2/v1/authorize/callback
Deutschland https://signin.bluebeamstudio.de/oauth2/v1/authorize/callback
Schweden https://signin.bluebeamstudio.se/oauth2/v1/authorize/callback
Australien https://signin.bluebeamstudio.com.au/oauth2/v1/authorize/callback

An das Bluebeam System zu sendende Ausgaben

Sie müssen die von Ihnen eingerichteten Weiterleitungen mit dem SSO-Entwicklerteam von Bluebeam teilen, indem Sie sich auf Ihrer Bluebeam Kontoseite anmelden und in unserem sicheren Formular folgende Informationen angeben:

  • Wert des Clientschlüssels
  • Client-ID der Anwendung
  • Metadatendatei von OpenID Connect (OIDC)
  • Liste der Domains (Bluebeam benötigt eine Liste aller in Entra ID verwalteten Domains)

Konfiguration von Entra ID

So richten Sie Entra ID für OpenID Connect (OIDC) ein:

  1. Gehen Sie zum Microsoft Azure-Portal.
  2. Klicken Sie auf Microsoft Entra ID.
  3. Klicken Sie in der Seitenleiste auf App-Registrierungen und dann auf + Neue Registrierung.
  4. Geben Sie einen Anwendungsnamen ein (z. B. Bluebeam SSO). Unternehmen Sie dann folgende Schritte:
    1. Wählen Sie unter Umleitungs-URI die Option Web als Plattform aus.
    2. Entnehmen Sie der obigen Tabelle Ihren Umleitungs-URI und geben Sie den Link ein.
    3. Klicken Sie auf Registrieren.
  5. Klicken Sie in der Seitenleiste auf Zertifikate und Geheimnisse. Unternehmen Sie dann folgende Schritte:
      1. Klicken Sie auf + Neuer Clientschlüssel.
      2. Geben Sie eine Beschreibung ein.
      3. Legen Sie das Ablaufdatum fest.
        Die Gültigkeitsdauer beträgt standardmäßig sechs Monate. Wir empfehlen jedoch, den Höchstwert von zwei Jahren zu verwenden, wenn Ihre Sicherheitsanforderungen dies erlauben.
      4. Klicken Sie auf Hinzufügen.
      5. Kopieren Sie den Clientwert in Ihre Notizen.
        Sie benötigen den Clientwert später. Öffnen Sie ein Textverarbeitungsprogramm wie Notepad oder Word und fügen Sie den kopierten Clientwert ein. Dieser Wert kann später nicht mehr abgerufen werden, daher sollten Sie ihn an einem sicheren Ort speichern.
  6. Klicken Sie in der Seitenleiste auf Übersicht und führen Sie die folgenden Schritte aus:
    1. Kopieren Sie unter Essentials die Anwendungs-ID (Client-ID) in Ihre Notizen.
    2. Klicken Sie auf Endpunkte.
    3. Kopiere und speichere die URL für das Metadatendokument von OpenID Connect.
      Formatiere dein Metadatendokument von OpenID Connect wie folgt:
      https://login.microsoftonline.com/{tenant-id}/v2.0/.well-known/openid-configuration
  7. Klicken Sie in der Seitenleiste auf Tokenkonfiguration. Klicken Sie anschließend auf + Optionalen Anspruch hinzufügen. Fügen Sie dem ID-Token die folgenden Ansprüche hinzu:
    • Anspruch: family_name, Tokentyp: ID
    • Anspruch: given_name, Tokentyp: ID
    • Anspruch: preferred_username, Tokentyp: ID
    • Anspruch: email, Tokentyp: ID

    Der Token muss die Ansprüche von preferred_username/email, Vorname, Nachname und Benutzername (d. h. E-Mail-Adresse) erfüllen, die oben für die Erstellung von Benutzer:innen im System von Bluebeam angegeben wurden.Bitte teilen Sie uns mit, wenn Ihr System andere Ansprüche nutzt.

  8. Klicken Sie in der Seitenleiste auf API-Berechtigungen und anschließend auf + Berechtigung hinzufügen.
  9. Klicken Sie oben auf der Seite auf Microsoft Graph und dann auf Delegierte Berechtigungen.
    Sie benötigen für das Active Directory eine:n globale:n Administrator:in, um Berechtigungen für die Anwendung zu erteilen.
  10. Aktivieren Sie die Kontrollkästchen für die folgenden OpenID-Berechtigungen:
    • email
    • openid
    • profile
  11. Klicken Sie auf Berechtigungen hinzufügen.
  12. Klicken Sie im Dialogfeld Konfigurierte Berechtigungen auf Administratorzustimmung für <Ihr Unternehmen> erteilen.
    Das Bild unten zeigt die mindestens erforderlichen Berechtigungen, die gewährt werden müssen.

Einschränkung des Benutzerzugriffs auf SSO über „Benutzer und Gruppen“

Gehen Sie folgendermaßen vor, um entweder allen Benutzer:innen oder nur einer bestimmten Untergruppe in Ihrer Azure-Instanz SSO-Zugriff zu erteilen.

  1. Rufen Sie https://portal.azure.com/ auf.
  2. Wählen Sie Microsoft Entra ID aus.
  3. Klicken Sie in der Seitenleiste auf Unternehmensanwendungen.
  4. Wählen Sie die von Ihnen erstellte Anwendung aus (z. B.Bluebeam SSO).
  5. Klicken Sie in der Seitenleiste auf Eigenschaften.
  6. Wenn Sie die SSO-Anmeldung für alle Benutzer:innen in Ihrem Active Directory zulassen möchten, belassen Sie die Option Zuweisung erforderlich? auf Nein eingestellt.Beschränkung von SSO auf eine Anwendung
  7. Wenn Sie die SSO-Anmeldung auf bestimmte Benutzer:innen beschränken möchten, setzen Sie die Option Zuweisung erforderlich? auf Ja und:
    1. Verwenden Sie die Entra ID-Funktion Benutzer und Gruppen, um diesen Benutzer:innen SSO zuzuweisen.
    2. Benachrichtigen Sie den bzw. die Bluebeam Administrator:in über diese Einstellung.
      Bluebeam aktiviert SSO für die gesamte Domain. Wenn Sie bestimmte Benutzer:innen aus Ihrem AD nicht aufnehmen, können sich diese nicht anmelden.

Übermittlung von Informationen an Bluebeam

Sobald Sie alle Informationen im Abschnitt An das Bluebeam System zu sendende Ausgaben erfasst haben, können Sie diese über unser sicheres Formular übermitteln. So funktioniert die Übermittlung:

    1. Melden Sie sich mit Ihrer BBID bei accounts.bluebeam.com an.
      Wenn Sie den Abschnitt „SSO-Identitätsanbieter“ nicht sehen, stellen Sie sicher, dass Sie dieselbe BBID verwenden, die Sie dem technischen Support mitgeteilt haben.
    2. Klicken Sie neben SSO-Identitätsanbieter auf Ändern.
    3. Wählen Sie „Azure“ als Identitätsanbieter aus. Geben Sie dann die folgenden Informationen zu Ihrer Organisation ein:
    4. Wenn Sie bereit für die Konfiguration von SSO sind, klicken Sie auf Speichern.

    Nach der Übermittlung werden diese Informationen von unseren internen Teams überprüft und der technische Support von Bluebeam wird sich mit Ihnen zur Koordinierung eines Aktivierungszeitplans in Verbindung setzen.

    Anleitungen

    SSO

    Revu 21

    Revu 20

    Revu 2019

    Revu 2018

    Erfahren Sie, wie Sie Ihre Revu Lizenzen für SSO mit Microsoft Azure konfigurieren können.

Related Articles