Konfigurer SSO for Bluebeam-konti | Okta Workforce Identity Cloud

Gælder for:

  • Revu 21

Single sign-on (SSO) giver problemfri adgang for dine brugere ved at lade dem tilgå Bluebeam-produkter med deres IdP-loginoplysninger. Denne vejledning indeholder instruktioner til IT Admin om, hvordan de konfigurerer SSO for deres organisation, hvis de bruger Okta Workforce Identity Cloud som identitetsudbyder (IdP). Hvis du bruger Microsoft Entra ID som IdP, skal du se Konfiguration af SCIM for Bluebeam-konti | Entra ID.

Hvis du bruger et andet IdP end Entra ID eller Okta Workforce Identity Cloud, kan du se Konfiguration af SSO for Bluebeam-konti | Generisk OIDC for oplysninger om SSO-konfiguration for ikke-understøttede, men kompatible IdP'er.

Du kan vælge kun at konfigurere SSO og ikke konfigurere SCIM. Men hvis du vil konfigurere SCIM, skal du først konfigurere SSO.

Krav

Muligheden for at konfigurere SSO er kun tilgængelig, hvis din organisation:

  • Har købt eller konverteret mindst 10 brugerlicenser til et Bluebeam-abonnement.
  • Er ikke allerede konfigureret til at bruge SSO med Bluebeams produkter og tjenester. Hvis din organisation allerede har SSO konfigureret, skal du kontakte os, før du fortsætter.
  • Bruger Microsoft Entra ID eller Okta Workforce Identity Cloud som identitetsudbyder (IdP).

Hvis du opfylder disse krav og ønsker at aktivere SSO for din organisation, skal du få Org Admin til at logge på Org Admin og udføre følgende trin for at anmode om adgang til at konfigurere SSO og SCIM:

  1. I din webbrowser skal du indtaste den Org Admin-URL, der Closedsvarer til din region:

  2. Under Konti skal du vælge den konto, du vil administrere.

  3. Vælg Indstillinger.

    Hvis din organisation ikke opfylder kravene til SSO-konfiguration, er knappen Anmod om adgang ikke tilgængelig, og du kan ikke fortsætte.

  4. Ud for SSO-konfiguration skal du vælge Anmod om adgang.

  5. Angiv de ønskede oplysninger.

Når vi har modtaget og behandlet din anmodning, kan du fortsætte til SSO-konfigurationen. Hvis du har valgt Jeg vil bruge SCIM, vil Bluebeam Support kontakte dig for at informere dig om, hvorvidt du kan fortsætte med SCIM-aktivering, eller om yderligere handling er påkrævet.

Du kan konfigurere SSO, før du modtager oplysninger om SCIM.

Oversigt

Denne vejledning omfatter konfigurationen af SSO for adgang til Bluebeam -produkter og -tjenester samt de oplysninger, der skal udveksles mellem Bluebeam og din IdP.

SSO-konfiguration skal udføres af IT-administratoren for din organisation.

Gør krav på og bekræft domæner

For at konfigurere SSO skal du først reservere og derefter verificere det domæne, som din organisation ejer, og som du vil knytte til din Bluebeam-konto. Hvis du vil knytte mere end ét domæne til din Bluebeam-konto, skal du udføre denne procedure separat for hvert af disse domæner. Du kan ikke konfigurere SSO, før du har gjort krav på og verificeret mindst ét domæne.

Denne procedure kræver, at du kopierer oplysninger fra Org Admin og indsætter dem i en ny TXT-registrering til din DNS-server. Du skal være forberedt på at logge på DNS-serveren for hvert domæne, du vil gøre krav på, for at forberede dig på dette trin.

  • Du kan gøre krav på op til 500 domæner. Hvis siden Domænejerskab viser, at du allerede har gjort krav på og verificeret 500 domæner, skal du fjerne et domæne fra listen, før du kan gennemføre denne procedure og gøre krav på og verificere et andet domæne.
  • Når du har brugt et anført domæne som en del af en SSO-konfiguration, kan du ikke fjerne det fra listen.

Følg disse trin for at gøre krav på og bekræfte dit domæne:

  1. I Org Admin skal du vælge Konti og derefter vælge den konto, du vil administrere.
  2. Vælg Indstillinger.
  3. Vælg Administrer ud for Domæneejerskab.
  4. Vælg Claim Domain.
  5. Indtast det domænenavn, du vil gøre krav på (f.eks company.com), og vælg Claim.
  6. I dialogen Verificer domæne skal du vælge Kopier ud for hvert felt og indsætte oplysningerne i en ny TXT-post til din DNS-server.
  7. Vent mindst fem minutter, og vælg derefter Kontroller bekræftelse.

Udfør denne procedure for hvert domæne, du vil gøre krav på og bekræfte.

Du kan ikke starte SSO-konfiguration, mens domænets status er "Afventer", men du behøver ikke at vente på, at domænet bliver bekræftet for at gøre krav på flere domæner.

Domænets status kan forblive "Afventer" i op til 72 timer, mens DNS-propagationen for disse ændringer finder sted på tværs af alle servere på internettet. I løbet af dette tidsrum kan du med jævne mellemrum logge på Org Admin og følge disse trin for at kontrollere, om status ændres til "Bekræftet:"

  1. I Org Admin skal du vælge Konti og derefter vælge den konto, du vil administrere.
  2. Vælg Indstillinger.
  3. Vælg Administrer ud for Domæneejerskab.
  4. På siden Domæneejerskab skal du vælge de tre prikker under Handlinger og derefter vælge Kontroller bekræftelse.

Hvis domænets status stadig er "Afventer" efter 72 timer, skal du først kontrollere, at du har indtastet oplysningerne korrekt i TXT-registreringen. Hvis TXT-registreringen er korrekt, skal du kontakte os.

Konfigurer SSO

SSO-konfiguration kræver, at du udfører en række procedurer i Okta Admin Console, før du fuldfører konfigurationen i Org Admin.

Konfigurer OIDC til Okta

Følg disse trin for at konfigurere OIDC i Okta:

  1. I Okta Admin Console skal du gå til Sikkerhed > API og redigere standardautorisationsserveren.

  2. Under Adgangspolitikker skal du vælge Tilføj politik og angive følgende værdier:

    • Navn: Standard
    • Beskrivelse: Standard
    • Tildel til: Vælg alle klienter

  3. Vælg Opret politik.

  4. Vælg Tilføj regel på den politik, du har oprettet.

  5. På siden Tilføj regel skal du indtaste Standard som regelnavn og beholde alle andre valg.

  6. Vælg Opret regel.

Opret en Okta-applikation til SSO, og indsaml oplysninger til SSO-konfiguration

Følg disse trin for at oprette en Okta-applikation til SSO:

  1. I Okta Admin Console skal du gå til Applikationer > Applikationer > + Opret app-integration.

  2. På siden Opret en ny appintegration skal du angive følgende:

    • Loginmetode: OIDC - OpenID Connect

    • Applikationstype: Webapplikation

  3. Vælg Next.

  4. På siden Ny webapp-integration skal du gøre følgende:

    • Indtast et appintegrationsnavn til din OIDC SSO-applikation.

    • Vælg Autorisationskode som Grant Type.

    • Tilføj følgende login-omdirigerings-URI'er:

      • https://signin.bluebeam.com/oauth2/v1/authorize/callback

      • https://id.bluebeam.com/oidc/callback

      • https://signin.bluebeamstudio.co.uk/oauth2/v1/authorize/callback

      • https://signin.bluebeamstudio.de/oauth2/v1/authorize/callback

      • https://signin.bluebeamstudio.se/oauth2/v1/authorize/callback

      • https://signin.bluebeamstudio.com.au/oauth2/v1/authorize/callback

      • https://id.bluebeam.com/oidctest/callback

      Fjern ikke standardindgangen (http://localhost:8080/authorization-code/callback) fra listen.

    • Under Opgaver:

      • Vælg Tillad alle i din organisation adgang.

      • Vælg Aktiver øjeblikkelig adgang med Federation Broker Mode.

  5. Vælg Gem.

  6. For at konfigurere brugergodkendelse skal du gå til fanen Log på for programmet.

  7. Rul til Brugergodkendelse, og vælg en godkendelsesmetode.

  8. Vælg Gem.

Følg disse trin for at indsamle de oplysninger, du skal bruge til SSO-konfiguration:

  1. Vælg fanen Generelt, og kopiér følgende oplysninger, og indsæt dem et andet sted til brug under SSO-konfiguration:

    • Klient-id

    • Klienthemmelighed

  2. Fra sidenavigationen skal du gå til Sikkerhed > API og vælge standardautorisationsserveren.

  3. På siden Indstillinger skal du vælge Rediger og ændre metadata-URI'en for at erstatte "oauth-authorization-server" med "openid-configuration".
    Okta-applikationens indstillingsside viser, hvordan du kan ændre metadata-URI'en som angivet i dette trin.

  4. Kopiér den opdaterede metadata-URI, og indsæt den i din webbrowser for at få vist de oplysninger, som du skal bruge til SSO-konfiguration senere.

    Du kan bruge browserudvidelsen "pretty print" til bedre at vise indholdet fra metadata-URI'en og lettere finde de oplysninger, du har brug for til SSO-konfiguration.

Eksportér brugerlisten fra dit IdP, og forbered dig på at afstemme brugere

Som en del af SSO-konfigurationen vil du blive bedt om at afstemme de brugere i din organisation, der er opført i din IdP, med listen over brugere i din organisation, der har Bluebeam ID'er (BBID'er). Brug denne procedure til at eksportere din brugerliste og indlæse den i vores CSV-skabelon til SSO-afstemningsprocessen.

  1. Eksportér din brugerliste fra Okta Workforce Identity Cloud ved at følge deres instruktioner.
  2. Åbn den eksporterede brugerliste.
  3. Download og åbn vores CSV-skabelon.
  4. Kopiér de påkrævede brugeroplysninger fra den eksporterede brugerliste til de definerede celler i vores skabelon.

    Okta Workforce Identity Cloud FELTNAVNCSV-skabelonens tilsvarende kolonne
    EfternavnlastName
    FornavnfirstName
    Primær e-mailadresseemail
  5. Find alle rækker i filen, der indeholder tomme celler, afgør, om disse brugere har brug for BBID'er, og foretag følgende handlinger:
    • Hvis den tomme celle vises i en række for en bruger, der ikke har brug for et BBID, kan du slette rækken.
    • Hvis den tomme celle optræder i en række for en bruger, der har brug for et BBID:
      1. Find deres indtastning i dit IdP, og angiv den manglende værdi.
      2. Eksportér din brugerliste fra din IdP igen, og gå til trin 4 ovenfor.
        3. Hvis du ikke skulle udføre trin a og b for nogen brugere, skal du fortsætte til trin 6.
  6. Gem CSV-filen til brug, når du konfigurerer SSO i Org Admin.

Konfigurer SSO i Org Admin

For at fuldføre SSO-konfigurationen skal du konfigurere SSO-adgang til Bluebeams produkter og tjenester for slutbrugere i din organisation, der er angivet med din IdP. Du skal også afstemme listen over dine brugere i Okta Workforce Cloud med listen over dine brugere i vores system, der har BBID'er, for at sikre, at dine slutbrugeres Okta-bruger-ID stemmer overens med deres BBID.

For at konfigurere SSO skal du gå til Org Admin og følge disse trin:

  1. Under Konti skal du vælge den konto, du vil administrere.

  2. Vælg Indstillinger.

  3. Ud for SSO-konfiguration skal du vælge Konfigurer.
  4. Vælg OpenID Connect.
  5. Når du bliver bedt om det, skal du angive følgende oplysninger, der blev vist, da du tidligere indsatte metadata-URI'en i din webbrowser:
    • Udsteder
    • Autorisationsslutpunkt
    • Token-slutpunkt
    • JWKS IRI
    • Userinfo Endpoint (påkrævet for Okta)
    • Klient-id
    • Klienthemmelighed
  6. Vælg Send.
  7. I dialogboksen OpenID Connect-konfiguration skal du angive det eller de bekræftede domæner, du ønsker konfigureret til din konto, og vælge Næste.
  8. Behold standardindtastningerne for at "Kortlægge tjenesteudbyderattribut til tilgængelige felter".
  9. Vælg Log ind for at teste SSO
  10. Når du bliver bedt om det, skal du bruge en konto, der har et Studio BBID til at logge på.
    Testene "Connection" og "User Attributes" skal være vellykket, før du kan fortsætte.
  11. Vend tilbage til Org Admin.
  12. Vælg Fortsæt.
  13. Vælg Næste for at give en liste over dine brugere og fuldføre SSO-konfigurationen.
  14. Upload den CSV-fil, du oprettede tidligere.
  15. Vælg Næste.
    Vælg Afslut senere for at gemme din status, forlade denne procedure og fortsæt på et senere tidspunkt.
  16. Når du bliver bedt om det, skal du klikke Luk for at fortsætte SSO-konfigurationen.

Du vil blive returneret til fanen Indstillinger, hvor du kan bekræfte, at de domæner, du har valgt til din organisation, vises, og derefter fortsætte med SSO-konfigurationen.

Vi krydsreferencer BBID'er, vi finder i din organisation, med bruger-ID'er for din organisation i Okta Workforce Identity Cloud. Vi sender dig en e-mail med emnet "Fortsæt SSO-konfiguration", når denne proces er færdig, og du kan starte den afstemningsproces, der er nødvendig for at fuldføre SSO-konfigurationen.


Følgende problemer med data i CSV-filen kan forårsage fejl, når du uploader filen:

  • CSV-filen er tom.
  • Der opstod en fejl under læsning af CSV-filen..
  • CSV-filen mangler mindst én påkrævet kolonne: e-mail-, fornavn- eller efternavnskolonne(r) blev ikke fundet.
  • Der opstod et problem ved læsning af CSV-filen omkring række[rækkenummer].
  • CSV-filen i række [rækkenummer] indeholdt ikke nok kolonner med data til at behandle kolonnerne e-mail, fornavn og/ellerefternavn.
  • CSV-filen i række [rækkenummer] indeholder en ugyldig e-mailadresse "jsmith", hvor en gyldig e-mailadresse var forventet(f.eks. jsmith@example.com).

Brug oplysningerne fra den viste fejlmeddelelse til at finde årsagen til fejlen, ret fejlen, og generér og upload derefter CSV-filen igen.

Afstem brugeridentiteter i dit IdP med BBID'er i din organisation

For at fuldføre din SSO-konfiguration skal du sørge for, at brugeridentiteterne i dit IdP matcher BBID'erne i Bluebeams brugerdatabase for brugere i din organisation. Hvis du fortsætter SSO-konfigurationen uden at udføre afstemningsprocessen, mister umatchede brugere adgangen til deres eksisterende Studio-projekter og -sessioner.

Når e-mailen "Fortsæt SSO-konfiguration" modtages, skal du åbne den og vælge Fortsæt SSO-konfiguration for at åbne Org Admin til fanen Sikkerhed i Kontoindstillinger. På fanen Sikkerhed skal du ud for SSO-konfiguration vælge Fortsæt for at se en liste over brugere på din konto, som vi ikke kunne matche med brugere i vores database.

Afstemning er en vigtig og påkrævet proces for SSO-aktivering. Hvis du har et stort antal brugere i din organisation, og et stort antal af disse brugere er angivet som "Ikke matchede", kan afstemningen tage 20 minutter eller mere.

Hvorfor er nogle brugere angivet som "Ikke matchede"?

Brugere kan blive angivet som "Ikke matchet" af flere årsager. For eksempel kunne listen over BBID'er, vi har gemt, omfatte brugere, der enten ikke længere er i din organisation, har fået foretaget navneændringer eller havde fejl i deres e-mailadresse, da de oprindeligt blev tilføjet. Afstemning giver dig mulighed for at evaluere de brugere, der er angivet som "Ikke matchede", for at afgøre, om de skal klargøres til SSO- og SCIM-adgang, eller om konfigurationsprocessen kan ignorere disse brugere.

Du skal afstemme umatchede e-mailadresser, før du kan fortsætte konfigurationen af SSO og SCIM.

Når du ser denne skærm, kan du:

  • Vælg Genupload brugerliste, hvis din CSV-fil indeholder fejl, som du skal rette.
  • Vælg Gem og afslut senere, hvis du vil gemme dine fremskridt og henvende dig til de umatchede brugere senere.
  • Vælg en eller flere brugere, der skal ignoreres og ikke konfigureres til SSO, fordi de enten ikke længere er i din organisation eller ikke har brug for abonnementsadgang til Bluebeams produkter og tjenester.
  • Vælg en eller flere brugere for at opdatere feltet Nyt Bluebeam-ID fra bibliotek. Denne handling er nødvendig, hvis en bruger har brug for abonnementsadgang til Bluebeam-produkter og -tjenester, og deres e-mailoplysninger er blevet ændret med din organisation, men deres BBID i vores database er ikke ændret.
Afstemning matcher brugernes BBID med deres IdP-loginoplysninger. Opdatering af en brugers nuværende BBID, så det matcher vedkommendes IdP-loginoplysninger, kræver, at brugeren får adgang til vores tjenester med deres IdP-legitimationsoplysninger fremover. Sørg for at kontakte disse brugere og fortælle dem, at de skal bruge deres organisationslegitimationsoplysninger som deres nye BBID og, hvis det er nødvendigt, logge ud af eventuelle sessioner og logge ind igen med deres nye BBID.

Hvorfor optræder en bruger flere gange?

Hvis en bruger optræder flere gange, men i forskellige Studio -regioner, skal du afstemme denne bruger for hver region for at sikre, at vedkommende ikke mister adgangen til disse Studio-projekter eller Studio-sessioner.

Hvornår skal man "ignorere brugere"

Mange umatchede brugere er dem, der enten ikke længere er i din organisation eller ikke har brug for et BBID. Når du ser listen over umatchede brugere, skal du holde musen over informationsikonet () ved siden af en umatchet brugers nuværende Bluebeam-ID for at gennemgå deres Studio-aktivitet. De viste oplysninger er:

  • Seneste Studio-login
  • Ejede sessioner
  • Deltog i sessionen
  • Projekter ejet
  • Projektmedlemskaber

Hvis du finder ud af, at en bruger enten er en tidligere medarbejder eller på anden måde ikke kræver SSO-adgang til Bluebeams produkter og tjenester, skal du vælge "Ikke matchet" og derefter vælge "Ignorer bruger" for at udelukke brugeren fra SSO-konfigurationen for din organisation.

Hvis du vil ignorere mere end én bruger, skal du vælge flere brugere og vælge "Ignorer bruger".

Hvornår skal nyt Bluebeam-ID fra mappen redigeres

Hvis en bruger skal opdateres, skal du vælge Rediger, vælge "Ikke matchet" og angive brugerens e-mailadresse fra IdP. Når du har opdateret de matchende oplysninger, skal du underrette brugeren/brugerne om, at de skal bruge det nye BBID fremover og, hvis det er nødvendigt, logge ud og ind igen med det nye BBID.

Vælg Vis alle brugere for at kontrollere, at alle brugere på listen enten er "Ignoreret" eller angiver "Ingen ændring".

Aktivér SSO

Når du har ignoreret eller opdateret uoverensstemmende brugere, skal du vælge Aktivér for at fuldføre SSO-konfigurationen. Se Konfigurer SCIM for Bluebeam-konti, hvis du vil konfigurere SCIM for din organisation.

Deaktiver SSO

Brug Org Admin, hvis du har brug for at deaktivere SSO for din organisation.

Hvis du har konfigureret SCIM til din organisation, kan du deaktivere SCIM og beholde SSO konfigureret, men hvis du ønsker at deaktivere SSO, skal du først deaktivere SCIM.

Deaktiver SSO for din organisation

Hvis det er nødvendigt, kan du deaktivere SSO for din organisation. Sørg for, at du vil gøre det, for denne handling kan ikke let fortrydes.

Hvis du deaktiverer SSO, sker følgende:
  • Alle konfigurationer foretaget under SSO-opsætningen går tabt.
  • Dine brugere vil ikke længere kunne logge ind på Bluebeam-produkter ved hjælp af SSO-udbyderen for din organisation.
  • Dine brugere skal bruge deres BBID og adgangskode for at logge på Bluebeam-produkter.
  • Alle bruger-ID'er skal administreres individuelt via accounts.bluebeam.com.

Følg disse trin for at deaktivere SSO:

  1. Vælg Indstillinger fra venstre sidepanelmenu i Org Admin.
  2. Sluk for kontakten ved siden af SSO-konfiguration.

Abonnement

Revu 21

SSO

Denne vejledning indeholder oplysninger og procedurer for IT-administratorer til at konfigurere SSO for deres organisationer, hvis de administrerer identiteter med Okta Workforce Identity Sky.