Configurar SSO para las cuentas Bluebeam | OIDC

Se aplica a:

  • Revu 21

El inicio de sesión único (SSO) proporciona un acceso fluido a los usuarios, ya que les permite acceder a los productos Bluebeam utilizando sus credenciales de inicio de sesión de IdP.

Bluebeam oficialmente ofrece servicio de asistencia para la configuración de SSO para los siguientes IdP:

Revu es compatible con otros IdP que utilizan OpenID Connect (OIDC) como protocolo de autenticación, pero esas configuraciones no reciben soporte y la habilitación de SCIM no está disponible. Aunque este documento proporciona una guía sencilla para usar nuestro conector OIDC genérico para configurar SSO para un IdP compatible pero sin soporte, Bluebeam el servicio de asistencia no podrá solucionar problemas si tienes problemas para configurar SSO para un IdP no compatible, y es posible que debas deshabilitar SSO.

Bluebeam no es compatible con el Lenguaje de marcado para confirmaciones de seguridad (SAML) para gestionar la autenticación.

Requisitos

La capacidad de configurar SSO solo está disponible si su organización:

  • Ha comprado o convertido un mínimo de 10 puestos a un plan de suscripción de Bluebeam.
  • Aún no está configurado para usar SSO con productos y servicios de Bluebeam . Si su organización ya tiene configurado SSO, contáctenos antes de continuar.

Si cumple con estos requisitos y desea habilitar SSO para su organización, haga que el Org Admin inicie sesión en Org Admin y realice los siguientes pasos para solicitar acceso para configurar SSO:

  1. En su navegador web, escriba la URL Org Admin que Closedcorresponde a su región:

  2. En Cuentas, seleccione la cuenta que desea administrar.

  3. Seleccione Configuración.

    Si su organización no cumple con los requisitos para la configuración de SSO, el botón Solicitar acceso no estará disponible y no podrá continuar.

  4. Junto a Configuración de SSO, seleccione Solicitar acceso.

  5. Proporcione la información solicitada.

Una vez que hayamos recibido y procesado tu solicitud, podrás proceder a la configuración del SSO.

Reclamar y verificar dominios

Para configurar SSO, primero reclama y luego verifica el dominio que posee tu organización y que deseas vincular con tu cuenta Bluebeam. Para vincular más de un dominio a tu cuenta Bluebeam, realiza este procedimiento por separado para cada uno de esos dominios. No puedes configurar el SSO hasta que hayas reclamado y verificado al menos un dominio.

Este procedimiento requiere que copie la información de Org Admin y la pegue en un nuevo registro TXT para su servidor DNS. Debes estar preparado para iniciar sesión en el servidor DNS de cada dominio que quieras reclamar para prepararte para ese paso.

  • Puedes reclamar hasta 500 dominios. Si la página Propiedad del dominio muestra que ya has reclamado y verificado 500 dominios, debes eliminar un dominio de la lista antes de poder completar este procedimiento y reclamar y verificar otro dominio.
  • Después de utilizar un dominio listado como parte de una configuración SSO, no podrá eliminarlo de la lista.

Para reclamar y verificar su dominio, siga estos pasos:

  1. En Org Admin, seleccione Cuentas y luego seleccione la cuenta que desea administrar.
  2. Seleccione Configuración.
  3. Junto a Propiedad del dominio, seleccione Administrar.
  4. Seleccione Reclamar dominio.
  5. Ingrese el nombre de dominio que desea reclamar (por ejemplo empresa.com), y seleccione Reclamar.
  6. Desde el cuadro de diálogo Verificar dominio, selecciona Copiar junto a cada campo y pega la información en un nuevo registro TXT para tu servidor DNS.
  7. Espere al menos cinco minutos y luego seleccione Verificar verificación.

Realice este procedimiento para cada dominio que desee reclamar y verificar.

No puede iniciar la configuración de SSO mientras el estado del dominio sea "Pendiente", pero no tiene que esperar a que se verifique el dominio para reclamar dominios adicionales.

El estado del dominio podría permanecer «Pendiente» durante un máximo de 72 horas mientras se propaga el DNS de estos cambios en todos los servidores de internet. Durante este tiempo, puedes iniciar sesión periódicamente en Org Admin y seguir estos pasos para comprobar el cambio de estado a «Verificado»:

  1. En Org Admin, seleccione Cuentas y luego seleccione la cuenta que desea administrar.
  2. Seleccione Configuración.
  3. Junto a Propiedad del dominio, seleccione Administrar.
  4. En la página Propiedad del dominio, seleccione los tres puntos debajo de Acciones y luego seleccione Verificar verificación.

Si el estado del dominio sigue siendo "Pendiente" después de 72 horas, primero verifique que haya ingresado correctamente la información en el registro TXT. Si el registro TXT es correcto, contáctenos.

Configurar SSO

La configuración de SSO requiere que realices una serie de procedimientos dentro de tu IdP antes de completar la configuración en Org Admin.

Crea una aplicación web para SSO y recopilación de información para la configuración de SSO

Para configurar SSO para tu cuenta Bluebeam, debes crear una aplicación para SSO en tu IdP. Esta sección describe el flujo de trabajo general y la información que necesitarás para la creación de la aplicación. Para obtener información detallada sobre la creación de una aplicación SSO en tu IdP, consulta la documentación de tu IdP.

En general, prepárate para proporcionar lo siguiente:

  • Cuando se presenten opciones de configuración, selecciona la opción para OIDC.
  • Cuando se te pida, proporciona los siguientes URI de redireccionamiento de inicio de sesión:

    • https://signin.bluebeam.com/oauth2/v1/authorize/callback

    • https://id.bluebeam.com/oidc/callback

    • https://signin.bluebeamstudio.co.uk/oauth2/v1/authorize/callback

    • https://signin.bluebeamstudio.de/oauth2/v1/authorize/callback

    • https://signin.bluebeamstudio.se/oauth2/v1/authorize/callback

    • https://signin.bluebeamstudio.com.au/oauth2/v1/authorize/callback

    • https://id.bluebeam.com/oidctest/callback

  • Cuando se te pida que introduzcas los atributos de usuario necesarios, utiliza lo siguiente:

    • family_name

    • given_name

    • email

    • preferred_username

  • Asegúrate de que la aplicación sea accesible para todos los usuarios gestionados por el IdP.

Para recopilar la información que necesitarás para la configuración de SSO en Org Admin, sigue estos pasos:

  1. Encuentra la siguiente información en tu IdP y pégala en otro lugar para usarla durante la configuración de SSO:

    • URI del emisor

    • Punto final de autorización URI

    • JWKS URI

    • ID de aplicación (ID de cliente)

    • Secreto del cliente

    • Punto final de token

    • Punto final de UserInfo (si está disponible)

  2. En tu IdP, selecciona el servidor de autorización predeterminado.

Exporte la lista de usuarios de su IdP y prepárese para conciliar usuarios

Como parte de la configuración de SSO, se le solicitará que concilie los usuarios de su organización enumerados en su IdP con la lista de usuarios de su organización que tienen ID de Bluebeam (BBID). Utilice este procedimiento para exportar su lista de usuarios y cargarla en nuestra plantilla CSV para el proceso de conciliación de SSO.

  1. Exporta tu lista desde tu IdP siguiendo sus instrucciones.
  2. Abrir la lista de usuario exportada.
  3. Descargue y Abrir nuestra plantilla CSV.
  4. Copie la información de usuario requerida de la lista de usuarios exportada a las celdas definidas de nuestra plantilla.

    Atributo reclamado
    		Columna correspondiente a la plantilla CSV
    family_namelastName
    given_namefirstName

    email

    o

    preferred_username

    		email
  5. Busque cualquier fila en el archivo que contenga celdas vacías, determine si esos usuarios necesitan BBID y realice las siguientes acciones:
    • Si la celda vacía aparece en una fila para un usuario que no necesita un BBID, puede eliminar la fila.
    • Si la celda vacía aparece en una fila para un usuario que necesita un BBID:
      1. Encuentra su entrada en tu IdP y proporciona el valor faltante.
      2. Exporte nuevamente su lista de usuarios desde su IdP y vaya al Paso 4 anterior.
        3. Si no tuvo que realizar los pasos a y b para ningún usuario, continúe con el paso 6.
  6. Guarde el archivo CSV para usarlo cuando configure SSO en Org Admin.

Configurar SSO en Org Admin

Para completar la configuración de SSO, configura el acceso SSO a los productos y servicios de Bluebeam para los usuarios finales de tu organización que figuren en su IdP. También reconciliarás la lista de tus usuarios en su IdP con la lista de tus usuarios en nuestro sistema que tienen BBID para asegurarte de que los ID de tus usuarios finales en su IdP coinciden con tus BBID.

Para configurar SSO, vaya a Org Admin y siga estos pasos:

  1. En Cuentas, seleccione la cuenta que desea administrar.

  2. Seleccione Configuración.

  3. Junto a Configuración de SSO, seleccione Configurar.
  4. Seleccione OpenID Connect.
  5. Cuando se te pida, proporciona la siguiente información solicitada que recopilaste anteriormente de tu aplicación de SSO:
    • Emisor
    • Punto final de autorización
    • Punto final de token
    • JWKS IRI
    • Punto final de información del usuario
    • ID de cliente
    • Secreto del cliente
  6. Seleccione Enviar.
  7. En el cuadro de diálogo Configuración de OpenID Connect, especifique los dominios verificados que desea configurar en su cuenta y seleccione Siguiente.
  8. Para «Asignar el atributo de proveedor de servicios a los campos disponibles»," deja las entradas predeterminadas para «Nombre» y «Apellidos». Para «Mapeado de correo electrónico», selecciona «correo», o selecciona «UPN» si se asigna a preferred_username.
  9. Seleccione Iniciar sesión para probar SSO
  10. Cuando se le solicite, utilice una cuenta que tenga un BBID de Studio para iniciar sesión.
    Las pruebas «Connection» y «Atributos del usuario» deben tener un resultado correcto antes de poder continuar. Verifica que los valores esperados para «Atributos del usuario» sean coherentes con tu selección de mapeo.
  11. Regresar a Org Admin.
  12. Seleccione Continuar.
  13. Seleccione Siguiente para proporcionar una lista de sus usuarios y completar la configuración de SSO.
  14. Sube el Archivo CSV que creaste anteriormente.
  15. Seleccionar Siguiente.
    Seleccione Finalizar más tarde para guardar su progreso, salir de este procedimiento y continuar en otro momento.
  16. Cuando se le solicite, click Cerrar para continuar con la configuración de SSO.

Regresarás al Tabulador de Configuración, donde podrás verificar que aparezcan los dominios que seleccionaste para tu organización y luego continuar con la configuración de SSO.

Cruzaremos las referencias de BBID que encontremos dentro de su organización con las ID de usuario de su organización en Okta Workforce Identity Nube. Le enviaremos un correo electrónico con el asunto "Continuar configuración de SSO" cuando se complete este proceso y pueda iniciar el proceso de conciliación necesario para completar la configuración de SSO.

Los siguientes problemas con los datos en el archivo CSV podrían provocar errores al cargar el archivo:

  • El archivo CSV está vacío.
  • Al leer el archivo CSV se encontró un error.
  • Al archivo CSV le falta al menos una columna obligatoria: no se pudieron encontrar las columnas de correo electrónico, nombre o apellido.
  • Hubo un problema al leer el archivo CSV alrededor de la fila [número de fila].
  • El archivo CSV en la fila [número de fila] no contenía suficientes columnas de datos para procesar las columnas de correo electrónico, nombre y/o apellido.
  • El archivo CSV en la fila [número de fila] contiene una dirección de correo electrónico no válida "jsmith", donde se esperaba una dirección de correo electrónico válida (por ejemplo jsmith@ejemplo.com).

Utilice la información del mensaje de error mostrado para determinar la causa del error, corríjalo y luego genere y cargue nuevamente el archivo CSV.

Concilie las identidades de los usuarios en su IdP con los BBID de su organización

Para completar su configuración de SSO, asegúrese de que las identidades de usuario dentro de su IdP coincidan con los BBID en la base de datos de usuarios de Bluebeam de los usuarios de su organización. Si continúa con la configuración de SSO sin realizar el proceso de conciliación, los usuarios no coincidentes perderán el acceso a sus Proyectos de Studio y sesiones existentes.

Cuando llegue el correo electrónico "Continuar con la configuración de SSO", ábralo y seleccione Continuar con la configuración de SSO para abrir Org Admin en el Tabulador Seguridad en Configuración de la cuenta. En el Tabulador de Seguridad, junto a Configuración de SSO, Seleccionar Continuar para ver una lista de usuarios en su cuenta que no pudimos hacer coincidir con los usuarios en nuestra base de datos.

La conciliación es un proceso importante y necesario para la habilitación del SSO. Si tiene una gran cantidad de usuarios en su organización y una gran cantidad de esos usuarios figuran como "No coincidentes", la conciliación podría demorar 20 minutos o más.

¿Por qué algunos usuarios aparecen como "No coincidentes"?

Los usuarios podrían aparecer como "No coincidentes" por diversos motivos. Por ejemplo, la lista de BBID que hemos almacenado podría incluir usuarios que ya no están en su organización, que han cambiado de nombre o que tenían errores en su dirección de correo electrónico cuando se agregaron originalmente. La conciliación le permite evaluar los usuarios enumerados como "No coincidentes" para determinar si se les debe proporcionar acceso SSO y SCIM o si el proceso de configuración puede ignorar a esos usuarios.

Debe conciliar las direcciones de correo electrónico que no coincidan antes de poder continuar con la configuración de SSO y SCIM.

Cuando vea esta pantalla, podrá:

  • Seleccione Volver a cargar la lista de usuarios si su archivo CSV contiene errores que necesita corregir.
  • Seleccione Guardar y finalizar más tarde si desea guardar su progreso y abordar a los usuarios no coincidentes más tarde.
  • Seleccione uno o más usuarios para ignorar y no configurar para SSO, porque ya no están en su organización o no necesitan acceso de suscripción a los productos y servicios de Bluebeam .
  • Selecciona uno o más usuarios para actualizar el campo Nuevo Bluebeam ID del directorio. Esta acción sería necesaria si un usuario necesita acceso por suscripción a productos y servicios Bluebeam , y su información de correo electrónico cambia con tu organización pero su BBID en nuestra base de datos no cambia.
La conciliación hace coincidir los BBID de los usuarios con sus credenciales de inicio de sesión de IdP. Para actualizar el BBID actual de un usuario para que coincida con sus credenciales de inicio de sesión de IdP, será necesario que ese usuario acceda a nuestros servicios con sus credenciales de IdP en el futuro. Asegúrese de contactar a esos usuarios y decirles que utilicen las credenciales de su organización como su nuevo BBID y, si es necesario, cierren la sesión y vuelvan a iniciarla usando su nuevo BBID.

¿Por qué un usuario aparece varias veces?

Si un usuario aparece varias veces pero en diferentes regiones de Studio , reconcilie ese usuario para cada región para garantizar que no pierda el acceso a esos Proyectos de Studio o Sesiones de Studio.

Cuándo "Ignorar a los usuarios"

Muchos usuarios no coincidentes son aquellos que ya no están en su organización o no necesitan un BBID. Cuando vea la lista de usuarios no coincidentes, pase el cursor sobre el ícono de información () junto al ID de Bluebeam actual de un usuario no coincidente para revisar su actividad en Studio. La información mostrada es:

  • Último inicio de sesión en Studio
  • Sesiones propias
  • Sesión a la que asistió
  • Proyectos propios
  • Membresías del proyecto

Si determina que un usuario es un ex empleado o que no requiere acceso SSO a los productos y servicios de Bluebeam , seleccione "No coincide" y luego seleccione "Ignorar usuario" para excluir al usuario de la configuración de SSO para su organización.

Para ignorar a más de un usuario, selecciona varios usuarios e «Ignorar usuario».

Cuándo editar el nuevo ID de Bluebeam desde el directorio

Si es necesario actualizar un usuario, selecciona Editar, selecciona No coincide y proporciona la dirección de correo electrónico del usuario del IdP. Después de actualizar la información coincidente, notifica a los usuarios que deberán usar el nuevo BBID de ahora en adelante y, si es necesario, cerrar sesión y volver a iniciarla con el nuevo BBID.

Seleccione Mostrar todos los usuarios para verificar que todos los usuarios de la lista estén "Ignorados" o indiquen "Sin cambios".

Activar el SSO

Después de ignorar o actualizar los usuarios no coincidentes, selecciona Activar para completar la configuración del SSO.

Deshabilitar SSO

Utilice Org Admin si necesita deshabilitar el SSO para su organización.

Desactivar el SSO para su organización

Si es necesario, puede deshabilitar el SSO para su organización. Asegúrate de que deseas hacerlo, porque esta acción no se puede deshacer fácilmente.

Si deshabilita SSO, ocurre lo siguiente:
  • Se perderán todas las configuraciones realizadas durante la configuración de SSO.
  • Sus usuarios ya no podrán iniciar sesión en los productos Bluebeam utilizando el proveedor de SSO de su organización.
  • Sus usuarios deben usar su BBID y contraseña para iniciar sesión en los productos Bluebeam .
  • Todos los ID de usuario deben administrarse individualmente a través de accounts.bluebeam.com.

Para deshabilitar SSO, siga estos pasos:

  1. Desde el menú de la barra lateral izquierda en Org Admin, seleccione Configuración.
  2. Desactive el interruptor junto a Configuración SSO.

Suscripción

Revu 21

SSO

OIDC

Esta guía contiene información y procedimientos para que los IT Admins configuren el SSO para sus organizaciones si administran identidades con un IdP no compatible que requiere el conector OIDC genérico.