Konfiguration af Bluebeam Single Sign-On (SSO) til Microsoft Azure AD

Introduktion

Tak for din interesse i at udnytte Bluebeam-understøttelsen af enkeltlogon (SSO) til at øge sikkerheden, forbedre brugeroplevelsen og reducere supportomkostningerne. De trinvise instruktioner i dette dokument hjælper med at sikre en vellykket konfiguration af SSO, der udnytter Microsoft OpenID Connect Protocol (OIDC), når du bruger Microsoft Entra ID (tidligere kendt som Azure Active Directory [AD]).

Konfiguration af SSO kræver, at din organisation har mindst 100 brugerlicenser på enten et Basics-, Core- eller Complete-abonnement fra Bluebeam, og at slutbrugerne anvender versioner, der er under kernesupport (se Understøttede versioner og supportniveauer).

Med et Bluebeam-abonnement kan navngivne brugerlicenser få adgang til Revu i offlinetilstand i op til 14 dage – selv med SSO. For at opdatere deres token skal brugeren logge på igen efter henstandsperioden. Se denne artikel for at få mere information.

Hvis du har spørgsmål vedrørende disse instruktioner, kan du kontakte os.

Oversigt

Denne vejledning beskriver, hvordan du konfigurerer din SSO-konfiguration og de oplysninger, der skal sendes til/fra Bluebeam og din organisations Entra ID.

SSO-konfiguration understøtter multifaktorgodkendelse (MFA) som defineret af identitetsudbyderen.

Vigtige overvejelser, før du begynder:

  • Du skal bruge Active Directory Global Administrator for at give tilladelser til programmet.
  • Vær meget opmærksom på at undgå uoverensstemmelser mellem en brugers e-mailadresse i dit Entra ID og den e-mailadresse, der bruges i et eksisterende Bluebeam-ID (BBID). Forskelle kan skyldes ting som navneændringer eller justeringer af kontooplysninger.
    Som en del af onboarding-processen for Bluebeam Single Sign-On (SSO) sender vi dig en CSV-fil med en liste over din organisations brugere, der i øjeblikket findes i vores system, herunder personer, der kan være aktive Bluebeam Studio-brugere. Til SSO laver Bluebeam matches i henhold til e-mailadresse, som skal matche det gamle BBID, der er indeholdt i de filer, vi sender.

Fortæl os, hvis du har brug for hjælp til at matche brugerens e-mailadresser. Vi kan dobbelttjekke administratorens navn/e-mailadresse med Account Manager eller slå op i licenssystemet.

Forberedelse til implementering

Først skal du kontakte teknisk support for at fortælle os, at du konfigurerer SSO. Når du er blevet tilføjet i vores system, vil du se en ny valgmulighed i accounts.bluebeam.com, der giver dig mulighed for sikkert at indsende de nødvendige oplysninger.

Input til hjemmesystemet

I Azure skal du konfigurere omdirigerings-URI’er for brugere i deres respektive regioner. Du kan enten:

  • Opsætte én konfiguration, der indeholder flere regioner.
  • Opsætte forskellige konfigurationer for hver region, hvor du har brugere.

Brug nedenstående tabel til at bestemme den omdirigerings-URI, der skal oprettes i Entra ID:

Region Omdirigerings-URI
USA https://signin.bluebeam.com/oauth2/v1/authorize/callback
Storbritannien https://signin.bluebeamstudio.co.uk/oauth2/v1/authorize/callback
Tyskland https://signin.bluebeamstudio.de/oauth2/v1/authorize/callback
Sverige https://signin.bluebeamstudio.se/oauth2/v1/authorize/callback
Australien https://signin.bluebeamstudio.com.au/oauth2/v1/authorize/callback

Output, der skal sendes til Bluebeams system

Du skal dele de omdirigeringer, du har oprettet, med Bluebeam SSO Engineering-teamet ved at logge ind på siden Bluebeam-konto og bruge vores sikre formular til at angive følgende oplysninger:

  • Client Secret Value.
  • Application Client ID.
  • OpenID Connect (OIDC)-metadatafil.
  • Domæneliste (Bluebeam har brug for en liste over alle domæner, der administreres i dit Entra ID).

Konfigurer dit Entra ID

Indstil Entra ID til OpenID Connect (OIDC):

  1. Gå til Microsoft Azure-portalen.
  2. Klik på Microsoft Entra ID.
  3. Klik på App registrations i sidepanelet. klik derefter på + New registration.
  4. Angiv et programnavn (f.eks. Bluebeam SSO). Derefter:
    1. Under Omdirigerings-URI skal du vælge Web som platform.
    2. Se skemaet ovenfor for at finde Omdirigerings-URI og indtaste linket.
    3. Klik på Registrer.
  5. Klik på Certificates & secrets i sidepanelet. Derefter:
      1. Klik på + New client secret.
      2. Indtast en beskrivelse.
      3. Indstil udløbsdatoen.
        Den udløber som standard efter seks måneder. Vi foreslår dog, at du bruger den maksimale værdi på to år, hvis det er muligt, baseret på dine sikkerhedsbehov.
      4. Klik på Tilføj.
      5. Kopiér Client Value til dine noter.
        Du skal bruge Client Value senere. Åbn et tekstredigeringsprogram, f.eks. Notesblok eller Word, for at indsætte den Client Value, du kopierede. Du kan ikke hente denne værdi senere, så du skal gemme og opbevare den på et sikkert sted.
  6. Klik på Overview i sidepanelet – og:
    1. Kopiér Application (client) ID til dine noter fra oplysningerne under Essentials.
    2. Klik på Slutpunkter.
    3. Kopiér og gem URL’en til OpenID Connect-metadatadokumentet.
      Formatér dit OpenID Connect-metadatadokument som:
      https://login.microsoftonline.com/{tenant-id}/v2.0/.well-known/openid-configuration
  7. Klik på Token-konfiguration (Token configuration) i sidepanelet. Klik derefter på + Tilføj valgfrit krav (+ Add optional claim). Tilføj følgende claims til ID-tokenet:
    • Claim: family_nameToken type: ID
    • Claim: given_name, Token type: ID
    • Claim: preferred_username, Token type: ID 
    • Claim: email, Token type: ID

    Tokenet skal have de ovenfor viste Claims (preferred_username/e-mailadresse, fornavn, efternavn, brugernavn (dvs. e-mailadresse)) for oprettelse af en bruger i Bluebeams system. Informer os, hvis dit system bruger andre Claims.

  8. Klik på API permissions i sidepanelet, og klik på + Add a permission.
  9. Klik på Microsoft Graph øverst på siden. Klik derefter på Delegated Permissions.
    Du skal bruge Active Directory Global Administrator for at give disse tilladelser til programmet.
  10. Markér afkrydsningsfelterne for følgende OpenID-tilladelser:
    • e-mail
    • openid
    • Profil
  11. Klik på Tilføj tilladelser.
  12. I dialogen Konfigurerede tilladelser skal du klikke på Giv administratortilladelse til .<your organization>
    Billedet nedenfor illustrerer de tilladelser, der som minimum skal gives.

Begræns brugeradgang til SSO ved hjælp af “Brugere og grupper”

Brug følgende procedure til enten at tildele SSO-adgang til alle brugere i din Azure-instans eller til kun at tildele SSO-adgang til et angivet undersæt af brugere i din Azure-instans.

  1. Gå til https://portal.azure.com/.
  2. Vælg Microsoft Entra ID.
  3. Klik på Enterprise Applications i sidepanelet.
  4. Vælg den applikation, du har oprettet (f.eks. Bluebeam SSO).
  5. Klik på Properties i sidepanelet.
  6. Hvis du vil tillade SSO-login for alle brugere i dit Active Directory, skal du lade Assignment required? være sat til Nej.Begrænsning af SSO til programmet
  7. Hvis du vil begrænse SSO-login til bestemte brugere, skal du skifte Assignment required? være sat til Ja og:
    1. Bruge funktionen Brugere og grupper i Entra ID til at tildele SSO til disse brugere.
    2. Give Bluebeam-administratoren besked om denne indstilling.
      Bluebeam aktiverer SSO på tværs af hele domænet. Hvis du ikke medtager en bestemt bruger fra dit Azure AD, medfører det, at den pågældende bruger ikke kan logge på.

Send oplysninger til Bluebeam

Når du har samlet alle oplysningerne i afsnittet Output, der skal sendes til Bluebeams systemer, kan du indsende dem via vores sikre formular. Sådan indsender du:

    1. Log ind på accounts.bluebeam.com med dit BBID.
      Hvis du ikke kan se afsnittet SSO-identitetsudbyder, skal du sørge for, at du bruger det samme BBID, som du har angivet til teknisk support.
    2. Klik på Skift ud for SSO-identitetsudbyder.
    3. Vælg Azure som din identitetsudbyder. Angiv derefter følgende oplysninger om din organisation:
    4. Når du er klar til at konfigurere SSO, skal du klikke på Gem.

    Når disse oplysninger er indsendt, bliver de gennemgået af vores interne teams, og Bluebeams tekniske support kontakter dig for at koordinere en tidslinje for aktivering.

    Sådan gør du

    SSO

    Revu 21

    Revu 20

    Revu 2019

    Revu 2018

    Lær, hvordan du begynder at konfigurere dine Revu-licenser til SSO med Microsoft Azure.

Related Articles