Konfiguration af Bluebeam Single Sign-On (SSO) til Microsoft Entra ID (tidligere Azure AD)

Introduktion

Tak for din interesse i at udnytte Bluebeam-understøttelsen af enkeltlogon (SSO) til at øge sikkerheden, forbedre brugeroplevelsen og reducere supportomkostningerne. De trinvise instruktioner i dette dokument hjælper med at sikre en vellykket konfiguration af SSO, der udnytter Microsoft OpenID Connect Protocol (OIDC), når du bruger Microsoft Entra ID (tidligere kendt som Azure Active Directory [AD]).

Konfiguration af SSO kræver, at din organisation har mindst 100 brugerlicenser på enten et Basics-, Core- eller Complete Bluebeam-abonnement, og at slutbrugerne bruger versioner under Premium-support (se Understøttede versioner og supportniveauer).

Med et Bluebeam-abonnement kan navngivne brugerlicenser få adgang til Revu offline i op til 14 dage – selv med SSO. For at opdatere sit token skal en bruger logge på Revu 21 igen efter den udvidede periode. Se denne artikel for at få flere oplysninger.

Hvis du har spørgsmål vedrørende disse instruktioner, kan du kontakte os.

Oversigt

Denne guide beskriver, hvordan du opsætter din SSO-konfiguration og de oplysninger, der skal sendes til/fra Bluebeam og din organisations Entra ID.

SSO-konfiguration understøtter multifaktorgodkendelse (MFA) som defineret af identitetsudbyderen.

Vigtige overvejelser, før du begynder:

Du skal bruge Active Directory Global Administrator for at give tilladelser til programmet.
Vær meget opmærksom på at undgå uoverensstemmelser mellem e-mailadressen fra en bruger i dit Entra ID og den e-mailadresse, der bruges i et eksisterende Bluebeam-ID (BBID), som kan være forårsaget af ting som navneændringer eller justeringer af kontooplysninger. Som en del af onboardingprocessen for Bluebeam Single Sign-On (SSO) sender vi dig en CSV-fil, der viser din organisations brugere, der i øjeblikket findes i vores system, herunder dem, der kan være aktive Bluebeam Studio-brugere. For SSO matcher Bluebeam i henhold til e-mailadressen, som skal matche det ældre BBID, der er indeholdt i de filer, vi sender.

Fortæl os det, hvis du har brug for hjælp til at matche brugerens e-mailadresser. Vi kan dobbelttjekke administratorens navn/e-mailadresse med Account Manager eller konsultere licenssystemet.

Forberedelse til implementering

Først skal dukontakte teknisk support for at fortælle os, at du vil konfigurere SSO. Når du er blevet tilføjet i vores system, vil du se en ny indstilling på accounts.bluebeam.com, der giver dig mulighed for sikkert at indsende de nødvendige oplysninger.

Input til hjemmesystemet

I Azure skal du konfigurere omdirigerings-URI'er for brugere i deres respektive regioner. Du kan enten:

Opsætte én konfiguration, der indeholder flere regioner.
Opsætte forskellige konfigurationer for hver region, hvor du har brugere.

Brug nedenstående tabel til at bestemme den omdirigerings-URI, der skal oprettes i Entra ID:

Region	Omdirigerings-URI
USA	https://signin.bluebeam.com/oauth2/v1/authorize/callback
Storbritannien	https://signin.bluebeamstudio.co.uk/oauth2/v1/authorize/callback
Tyskland	https://signin.bluebeamstudio.de/oauth2/v1/authorize/callback
Sverige	https://signin.bluebeamstudio.se/oauth2/v1/authorize/callback
Australien	https://signin.bluebeamstudio.com.au/oauth2/v1/authorize/callback

Output, der skal sendes til Bluebeams system

Du skal dele de omdirigeringer, du har oprettet, med Bluebeam SSO Engineering-teamet ved at logge ind på din Bluebeam-kontoside og bruge vores sikre formular til at angive følgende oplysninger:

Client Secret Value.
Application Client ID.
OpenID Connect (OIDC)-metadatafil.
Domæneliste (Bluebeam har brug for en liste over alle domæner, der administreres i dit Entra ID).

Konfigurer dit Entra ID

Indstil Entra ID til OpenID Connect (OIDC):

1. 1. 1. Gå til Microsoft Azure-portalen.
    2. Klik på Microsoft Entra ID.
    3. Klik på App registrations i sidepanelet. klik derefter på + New registration.
    4. Angiv et programnavn (f.eks. Bluebeam SSO). Derefter:
      1. Under Omdirigerings-URI skal du vælge Web som platform.
      2. Se skemaet ovenfor for at finde Omdirigerings-URI og indtaste linket.
      3. Klik på Registrer.
    5. Klik på Certificates & secrets i sidepanelet. Derefter:
      1. Klik på + New client secret.
        Indtast en beskrivelse.
        Indstil udløbsdatoen.
        Den udløber som standard efter seks måneder. Vi foreslår dog, at du bruger den maksimale værdi på to år, hvis det er muligt, baseret på dine sikkerhedsbehov.
        Klik på Tilføj.
        Kopiér Client Value ind i dine noter.
        Du skal bruge Client Value senere. Åbn et tekstredigeringsprogram, f.eks. Notesblok eller Word, for at indsætte den Client Value, du kopierede. Du kan ikke hente denne værdi senere, så du skal gemme og opbevare den på et sikkert sted.
    6. Klik på Oversigt i sidepanelet, og:
      1. Kopiér Application (client) ID til dine noter fra oplysningerne under Essentials.
      2. Klik på Slutpunkter.
      3. Kopiér og gem URL'en til OpenID Connect-metadatadokumentet.
        Formater dit OpenID Connect-metadatadokument som:
        https://login.microsoftonline.com/{tenant-id}/v2.0/.well-known/openid-configuration
    7. Klik på Token-konfiguration i sidepanelet. Klik derefter på + Tilføj valgfrit krav. Tilføj følgende krav til ID-tokenet:
      - Påstand:family_name, Token type:ID
      - Påstand:given_name, Token type: ID
      - Påstand:foretrukket_brugernavn, Tokentype: ID
      - Påstand:e-mail, Token type:ID
      Tokenet skal have foretrukket_brugernavn/email, fornavn, efternavn, brugernavn (dvs. e-mail) Claims ovenfor for at oprette en bruger i Bluebeam-systemet. Fortæl os, hvis dit system bruger andre Claims.
    8. Klik på API permissions i sidepanelet, og klik på + Add a permission.
    9. Klik på Microsoft Graph øverst på siden. Klik derefter på Delegerede tilladelser.
      Du skal bruge Active Directory Global Administrator for at give disse tilladelser til programmet.
    10. Markér afkrydsningsfelterne for følgende OpenID-tilladelser:
      - email
      - openid
      - Profil
    11. Klik på Tilføj tilladelser.
    12. Klik på Giv administratorsamtykke <your organization> til
      i dialogboksen med konfigurerede tilladelser. Billedet nedenfor viser de mindst nødvendige tilladelser, der skal tildeles.

Begræns brugeradgang til SSO ved hjælp af "Brugere og grupper"

Brug følgende procedure til enten at tildele SSO-adgang til alle brugere i din Azure-instans eller til kun at tildele SSO-adgang til et angivet undersæt af brugere i din Azure-instans.

Gå til https://portal.azure.com/.
Vælg Microsoft Entra ID.
Klik på Enterprise Applications i sidepanelet.
Vælg den applikation, du har oprettet (f.eks. Bluebeam SSO).
Klik på Properties i sidepanelet.
Hvis du vil tillade SSO-login for alle brugere i dit Active Directory, skal du beholde opgave påkrævet? indstillet til Nej.
Hvis du vil begrænse SSO-login til bestemte brugere, skal du slå Tildeling påkrævet til/fra? til Ja og:
1. Bruge funktionen Brugere og grupper i Entra ID til at tildele SSO til disse brugere.
2. Giv Bluebeam-administratoren besked om denne indstilling.
  Bluebeam aktiverer SSO på tværs af hele domænet. Hvis du ikke medtager en bestemt bruger fra dit Azure AD, medfører det, at den pågældende bruger ikke kan logge på.

Send oplysninger til Bluebeam

Når du har samlet alle oplysningerne i sektionen Output, der skal sendes til Bluebeams systemer, kan du indsende dem via vores sikre formular. Sådan indsender du:

1. Log ind på accounts.bluebeam.com med dit BBID.
  Hvis du ikke kan se afsnittet SSO-identitetsudbyder, skal du sørge for, at du bruger det samme BBID, som du har angivet til teknisk support.
2. Klik på Skift ud for SSO-identitetsudbyder.
3. Vælg Azure som din identitetsudbyder. Angiv derefter følgende oplysninger om din organisation:
  - Firmanavn.
  - Client Id (det program-ID (klient-ID), som du kopierede, da du konfigurerede Entra ID).
  - Client Secret (klienthemmelighed) (den Client Value, du kopierede, da du konfigurerede dit Entra ID).
  - Issuer (udsteder) (Open ID-metadata, du kopierede, da du konfigurerede dit Entra ID).
  - Domæneliste (adskilt af kommaer).
4. Når du er klar til at konfigurere SSO, skal du klikke på Gem.
Når disse oplysninger er indsendt, bliver de gennemgået af vores interne teams, og Bluebeams tekniske support kontakter dig for at koordinere en tidslinje for aktivering.

Sådan gør du

SSO

Revu 21

Revu 20

Lær, hvordan du begynder at konfigurere dine Revu-licenser til SSO med Microsoft Azure.