Configurare SSO per gli account Bluebeam | Okta Workforce Identity Nuvola

Si applica a:

  • Revu 21

Il single sign-on (SSO) offre un accesso fluido agli utenti, permettendo loro di accedere ai prodotti Bluebeam utilizzando le credenziali di accesso IdP. Questa guida fornisce istruzioni per l'IT Admin per configurare l'SSO per la propria organizzazione se utilizza Okta Workforce Identity Cloud come provider di identità (IdP). Se utilizzi Microsoft Entra ID come IdP, consulta Configurare SSO per gli account Bluebeam | Entra ID.

Se usi un IdP diverso da Entra ID o Okta Workforce Identity Cloud, consulta Configurazione SSO per account Bluebeam | OIDC generico per informazioni sulla configurazione SSO per IdP non supportati ma compatibili.

È possibile scegliere di configurare solo SSO e non SCIM. Tuttavia, se si desidera configurare SCIM, è necessario prima configurare SSO.

Requisiti

La possibilità di configurare l'SSO è disponibile solo se la tua organizzazione:

  • Ha acquistato o convertito un minimo di 10 postazioni in un piano di abbonamento Bluebeam.
  • Non è già configurato per utilizzare SSO con i prodotti e i servizi Bluebeam . Se la tua organizzazione ha già configurato l'SSO, contattaci prima di continuare.
  • Utilizza Microsoft Entra ID o Okta Workforce Identity Nuvola come provider di identità (IdP).

Se soddisfi questi requisiti e vuoi abilitare l'SSO per la tua organizzazione, fai in modo che l'Org Admin acceda a Org Admin e completi i seguenti passaggi per richiedere l'accesso per configurare SSO e SCIM:

  1. Nel tuo browser web, digita l'URL di Org Admin che Closedcorrisponde alla tua Area:

  2. In Account, seleziona l'account che desideri gestire.

  3. Selezionare Impostazioni.

    Se la tua organizzazione non soddisfa i requisiti per la configurazione SSO, il pulsante Richiedi accesso non sarà disponibile e non potrai procedere.

  4. Accanto a Configurazione SSO, seleziona Richiedi accesso.

  5. Fornire le informazioni richieste.

Dopo aver ricevuto ed elaborato la richiesta, è possibile procedere alla configurazione dell'SSO. Se hai selezionato Voglio usare SCIM, l'Assistenza Bluebeam vi contatterà per dirti se puoi procedere con l'attivazione di SCIM o se sono necessarie ulteriori azioni.

È possibile configurare SSO prima di ricevere informazioni relative a SCIM.

Panoramica

Questa guida include la configurazione dell'SSO per l'accesso ai prodotti e ai servizi Bluebeam , nonché le informazioni che devono essere scambiate tra Bluebeam e il tuo IdP.

La configurazione SSO deve essere eseguita dall'amministratore IT della tua organizzazione.

Richiedi e verifica i domini

Per configurare SSO, prima richiedi e poi verifica il dominio della tua organizzazione che desideri collegare all'account Bluebeam. Per collegare più di un dominio al tuo account Bluebeam, esegui questa procedura separatamente per ciascuno di essi. Non potrai configurare l'SSO finché non avrai richiesto e verificato almeno un dominio.

Questa procedura richiede di Copia le informazioni da Org Admin e Incolla in un nuovo record TXT per il server DNS. Per preparare questo passaggio, dovresti essere pronto ad accedere al server DNS per ogni dominio che vuoi rivendicare.

  • È possibile rivendicare fino a 500 domini. Se la pagina Proprietà del dominio indica che sono già stati rivendicati e verificati 500 domini, è necessario rimuoverne uno dall'elenco per poter completare la procedura e consentire la rivendicazione e la verifica di un nuovo dominio.
  • Dopo aver utilizzato un dominio elencato come parte di una configurazione SSO, non è possibile rimuoverlo dall'elenco.

Per rivendicare e verificare il tuo dominio, segui questi passaggi:

  1. In Org Admin, seleziona Account, quindi seleziona l'account che desideri gestire.
  2. Selezionare Impostazioni.
  3. Accanto a Proprietà del dominio, seleziona Gestisci.
  4. Seleziona Richiedi dominio.
  5. Inserisci il nome di dominio che vuoi rivendicare (ad esempio company.com), e seleziona Richiedi.
  6. Dalla finestra di dialogo Verifica dominio, seleziona Copia accanto a ciascun campo e incolla le informazioni in un nuovo record TXT per il tuo server DNS.
  7. Attendi almeno cinque minuti, quindi seleziona Verifica.

Esegui questa procedura per ogni dominio che desideri rivendicare e verificare.

Non è possibile avviare la configurazione SSO mentre lo stato del dominio è "In sospeso", ma non è necessario attendere che il dominio venga verificato per richiedere domini aggiuntivi.

Lo stato del dominio potrebbe rimanere "In attesa" fino a 72 ore per consentire la propagazione DNS delle modifiche su tutti i server sul Web. Durante questo periodo, è possibile accedere periodicamente a Org Admin e seguire questi passaggi per verificare il passaggio allo stato "Verificato":

  1. In Org Admin, seleziona Account, quindi seleziona l'account che desideri gestire.
  2. Selezionare Impostazioni.
  3. Accanto a Proprietà del dominio, seleziona Gestisci.
  4. Nella pagina Proprietà del dominio, seleziona i tre punti sotto Azioni, quindi seleziona Verifica verifica.

Se dopo 72 ore lo stato del dominio è ancora "In sospeso", verifica innanzitutto di aver inserito correttamente le informazioni nel record TXT. Se il record TXT è corretto, contattaci.

Configurare SSO

Per configurare SSO è necessario eseguire una serie di procedure nella Okta Admin Console prima di completare la configurazione in Org Admin.

Configurare OIDC per Okta

Per configurare OIDC in Okta, seguire questi passaggi:

  1. Nella console di amministrazione di Okta, vai su Sicurezza > API e modifica il server di autorizzazione predefinito.

  2. In Criteri di accesso, seleziona Aggiungi criterio e specifica i seguenti valori:

    • Nome: Predefinito
    • Descrizione: Predefinito
    • Assegna a: Seleziona tutti i clienti

  3. Seleziona Creazione criterio.

  4. Nella policy che hai creato, Seleziona Aggiungi regola.

  5. Nella pagina Aggiungi regola, immettere Predefinito come Nome regola e mantenere tutte le altre selezioni.

  6. Seleziona Creazione regola.

Creazione un'applicazione Okta per SSO e raccogli informazioni per la configurazione SSO

Per Creazione un'applicazione Okta per SSO, seguire questi passaggi:

  1. Nella console di amministrazione di Okta, vai su Applicazioni > Applicazioni > + Creazione integrazione app.

  2. Nella pagina Creazione una nuova integrazione app, specifica quanto segue:

    • Metodo di accesso: OIDC - OpenID Connect

    • Tipo di applicazione: Applicazione Web

  3. Seleziona Next.

  4. Nella pagina Nuova integrazione app Web, eseguire le seguenti azioni:

    • Inserisci un nome di integrazione dell'app per la tua applicazione OIDC SSO.

    • Selezionare Codice di autorizzazione come Tipo di concessione.

    • Aggiungere i seguenti URI di reindirizzamento di accesso:

      • https://signin.bluebeam.com/oauth2/v1/authorize/callback

      • https://id.bluebeam.com/oidc/callback

      • https://signin.bluebeamstudio.co.uk/oauth2/v1/authorize/callback

      • https://signin.bluebeamstudio.de/oauth2/v1/authorize/callback

      • https://signin.bluebeamstudio.se/oauth2/v1/authorize/callback

      • https://signin.bluebeamstudio.com.au/oauth2/v1/authorize/callback

      • https://id.bluebeam.com/oidctest/callback

      Non rimuovere la voce predefinita (http://localhost:8080/authorization-code/callback) dall'elenco.

    • In Assegnazioni:

      • Seleziona Consenti a tutti gli utenti della tua organizzazione di accedere.

      • Selezionare Abilita accesso immediato con la modalità Federation Broker.

  5. Seleziona Salva.

  6. Per configurare l'autenticazione utente, andare alla Tab Accedi dell'applicazione.

  7. Scorrere fino ad Autenticazione utente e selezionare un metodo di autorizzazione.

  8. Seleziona Salva.

Per raccogliere le informazioni necessarie per la configurazione SSO, segui questi passaggi:

  1. Seleziona la Tab Generale, Copia le seguenti informazioni e Incolla altrove per utilizzarle durante la configurazione SSO:

    • ID cliente

    • Chiave privata client

  2. Dalla barra di navigazione laterale, vai su Sicurezza > API e seleziona il server di autorizzazione predefinito.

  3. Nella pagina Impostazioni, seleziona Modifica e modifica l'URI dei metadati sostituendo "oauth-authorization-server" con "openid-configuration".
    Pagina delle impostazioni dell'applicazione Okta che mostra come modificare l'URI dei metadati come specificato in questo passaggio.

  4. Copia l'URI dei metadati aggiornato e Incolla nel tuo browser web per visualizzare le informazioni che ti serviranno in seguito per la configurazione SSO.

    È possibile utilizzare un'estensione del browser "pretty print" per visualizzare meglio il contenuto dell'URI dei metadati e trovare più facilmente le informazioni necessarie per la configurazione SSO.

Esporta l'elenco degli utenti dal tuo IdP e preparati a riconciliare gli utenti

Come parte della configurazione SSO, ti verrà chiesto di riconciliare gli utenti nella tua organizzazione elencati nel tuo IdP con l'elenco degli utenti nella tua organizzazione che dispongono di ID Bluebeam (BBID). Utilizzare questa procedura per esportare l'elenco degli utenti e caricarlo nel nostro modello CSV per il processo di riconciliazione SSO.

  1. Esporta il tuo elenco utenti da Okta Workforce Identity Cloud usando le istruzioni.
  2. Aprire l'elenco degli utenti esportato.
  3. Scarica e apri il nostro modello CSV.
  4. Copia le informazioni utente richieste dall'elenco utenti esportato nelle celle definite del nostro modello.

    Nuvola di identità della forza lavoro Okta NOME CAMPOColonna corrispondente del modello CSV
    CognomelastName
    NomefirstName
    Email principaleemail
  5. Trova tutte le righe nel file che contengono celle vuote, determina se quegli utenti necessitano di BBID ed esegui le seguenti azioni:
    • Se la cella vuota appare in una riga per un utente che non necessita di un BBID, è possibile eliminare la riga.
    • Se la cella vuota appare in una riga per un utente che necessita di un BBID:
      1. Trova la loro voce nel tuo IdP e fornisci il valore mancante.
      2. Esporta nuovamente l'elenco degli utenti dal tuo IdP e vai al passaggio 4 sopra.
        3. Se non è stato necessario eseguire i passaggi a e b per alcun utente, procedere al passaggio 6.
  6. Salva il file CSV per utilizzarlo quando si configura l'SSO in Org Admin.

Configurare SSO in Org Admin

Per completare la configurazione SSO, imposta l'accesso SSO ai prodotti e servizi Bluebeam per gli utenti finali della tua organizzazione elencati con il tuo IdP. Riconcilierai anche l'elenco dei tuoi utenti in Okta Workforce Nuvola con l'elenco dei tuoi utenti nel nostro sistema che hanno BBID per garantire i tuoi utenti finaliID utente Okta corrispondono ai loro BBID.

Per configurare l'SSO, vai su Org Admin e segui questi passaggi:

  1. In Account, seleziona l'account che desideri gestire.

  2. Selezionare Impostazioni.

  3. Accanto a Configurazione SSO, seleziona Configura.
  4. Seleziona OpenID Connect.
  5. Quando richiesto, fornisci le seguenti informazioni richieste visualizzate in precedenza quando hai incollato l'URI dei metadati nel tuo browser web:
    • Emittente
    • Endpoint di autorizzazione
    • Endpoint token
    • JWKS IRI
    • Endpoint Userinfo (obbligatorio per Okta)
    • ID cliente
    • Chiave privata client
  6. Selezionare Invia.
  7. Nella finestra di dialogo Configurazione OpenID Connect, specifica i domini verificati che desideri configurare per il tuo account e seleziona Avanti.
  8. Per "associare l'attributo del fornitore di servizi ai campi disponibili", mantenere le voci predefinite.
  9. Seleziona Accedi per testare l'SSO
  10. Quando richiesto, utilizzare un account con un BBID Studio per effettuare l'accesso.
    I test "Connessione" e "Attributi utente" devono avere esito positivo prima di poter continuare.
  11. Torna a Org Admin.
  12. Selezionare Continua.
  13. Selezionare Avanti per fornire un elenco dei propri utenti e completare la configurazione SSO.
  14. Carica il file CSV che hai creato in precedenza.
  15. Seleziona Avanti.
    Seleziona Termina più tardi per Salva i tuoi progressi, abbandonare questa procedura e continuare in un secondo momento.
  16. Quando richiesto, fare clic su Chiudi per continuare la configurazione SSO.

Verrai reindirizzato alla Tab Impostazioni, dove potrai verificare che i domini selezionati per la tua organizzazione siano visualizzati e quindi continuare la configurazione SSO.

Incroceremo i BBID che troviamo all'interno della tua organizzazione con gli ID utente della tua organizzazione in Okta Workforce Identity Nuvola. Al termine del processo, ti invieremo un'e-mail con oggetto "Continua configurazione SSO" e potrai avviare il processo di riconciliazione necessario per completare la configurazione SSO.


I seguenti problemi con i dati nel file CSV potrebbero causare errori durante il caricamento del file:

  • Il file CSV è vuoto.
  • Si è verificato un errore durante la lettura del file CSV.
  • Nel file CSV manca almeno una colonna obbligatoria: non è stato possibile trovare le colonne email, firstName o lastName.
  • Si è verificato un problema durante la lettura del file CSV nella riga [numero di riga].
  • Il file CSV alla riga [numero riga] non conteneva abbastanza colonne di dati per elaborare le colonne email, firstName e/o lastName.
  • Il file CSV alla riga [numero di riga] contiene un indirizzo email non valido "jsmith", mentre era previsto un indirizzo email valido (ad esempio jsmith@example.com).

Utilizzare le informazioni contenute nel messaggio di errore visualizzato per determinare la causa dell'errore, correggere l'errore, quindi generare e caricare nuovamente il file CSV.

Riconcilia le identità utente nel tuo IdP con i BBID nella tua organizzazione

Per completare la configurazione SSO, assicurati che le identità utente all'interno del tuo IdP corrispondano ai BBID nel database utenti Bluebeam per gli utenti della tua organizzazione. Se si continua la configurazione SSO senza eseguire il processo di riconciliazione, gli utenti non corrispondenti perderanno l'accesso ai loro Progetti Studio e sessioni esistenti.

Quando ricevi l'e-mail "Continua configurazione SSO", aprila e Seleziona Continua configurazione SSO per Apri Org Admin alla Tab Sicurezza in Impostazioni account. Nella Tab Sicurezza, accanto a Configurazione SSO, Seleziona Continua per visualizzare un elenco degli utenti del tuo account che non siamo riusciti a trovare in corrispondenza con gli utenti presenti nel nostro database.

La riconciliazione è un processo importante e necessario per l'abilitazione dell'SSO. Se nella tua organizzazione sono presenti numerosi utenti e molti di questi sono elencati come "Non corrispondenti", la riconciliazione potrebbe richiedere 20 minuti o più.

Perché alcuni utenti sono elencati come "Non corrispondenti"?

Gli utenti potrebbero essere elencati come "Non corrispondenti" per vari motivi. Ad esempio, l'elenco dei BBID che abbiamo memorizzato potrebbe includere utenti che non fanno più parte della tua organizzazione, che hanno cambiato nome o che presentavano errori nel loro indirizzo email al momento dell'aggiunta originale. La riconciliazione consente di valutare gli utenti elencati come "Non corrispondenti" per determinare se è necessario predisporli per l'accesso SSO o se il processo di configurazione può ignorare tali utenti.

È necessario riconciliare gli indirizzi email non corrispondenti prima di poter continuare la configurazione SSO.

Quando vedi questa schermata, puoi:

  • Seleziona Ricarica elenco utenti se il file CSV contiene errori che devi correggere.
  • Seleziona Salva & Termina più tardi se vuoi salvare i tuoi progressi e rivolgerti in seguito agli utenti non abbinati.
  • Seleziona uno o più utenti da ignorare e non configurare per SSO, perché non fanno più parte della tua organizzazione o non necessitano dell'accesso in abbonamento ai prodotti e servizi Bluebeam .
  • Selezionare uno o più utenti per aggiornare il campo Nuovo ID Bluebeam dalla directory . Questa azione sarebbe necessaria se un utente necessitasse di un accesso in abbonamento ai prodotti e servizi Bluebeam ; le sue informazioni e-mail sono cambiate con la tua organizzazione, ma il suo BBID nel nostro database non è cambiato.
La riconciliazione confronta i BBID degli utenti con le credenziali di accesso IdP. Per aggiornare l'attuale BBID di un utente in modo che corrisponda alle credenziali di accesso dell'IdP, in futuro sarà necessario che l'utente acceda ai nostri servizi con le proprie credenziali IdP. Assicuratevi di contattare quegli utenti e dite loro di usare le credenziali della loro organizzazione come nuovo BBID e, se necessario, di disconnettersi da tutte le sessioni e di accedere nuovamente utilizzando il nuovo BBID.

Perché un utente appare più volte?

Se un utente appare più volte ma in diverse Aree Studio, riconcilia quell'utente per ciascuna Area per assicurarti che non perda l'accesso a quei Progetti Studio o Sessioni Studio.

Quando "ignorare gli utenti"

Molti utenti non corrispondenti sono quelli che non fanno più parte della tua organizzazione o che non hanno bisogno di un BBID. Quando vedi l'elenco degli utenti non corrispondenti, passa il mouse sull'icona delle informazioni () accanto all'ID Bluebeam corrente di un utente non corrispondente per esaminare la sua attività in Studio. Le informazioni visualizzate sono:

  • Ultimo accesso a Studio
  • Sessioni di proprietà
  • Sessione a cui ho partecipato
  • Progetti di proprietà
  • Appartenenze al progetto

Se si determina che un utente è un ex dipendente o non necessita dell'accesso SSO ai prodotti e servizi Bluebeam , selezionare "Non corrispondente", quindi selezionare "Ignora utente" per escludere l'utente dalla configurazione SSO per l'organizzazione.

Per ignorare più di un utente, seleziona più utenti e poi seleziona "Ignora utente".

Quando modificare il nuovo ID Bluebeam dalla directory

Se è necessario aggiornare un utente, selezionare Modifica, selezionare "Non corrispondente" e fornire l'indirizzo e-mail dell'utente fornito dall'IdP. Dopo aver aggiornato le informazioni corrispondenti, informa l'utente/gli utenti che da ora in poi dovranno utilizzare il nuovo BBID e, se necessario, disconnettersi e riconnettersi utilizzando il nuovo BBID.

Selezionare Mostra tutti gli utenti per verificare che tutti gli utenti nell'elenco siano "Ignorati" o indichino "Nessuna modifica".

Attiva SSO

Dopo aver ignorato o aggiornato gli utenti non corrispondenti, seleziona Attiva per completare la configurazione SSO. Se desideri configurare SCIM per la tua organizzazione, consulta la sezione Configurare SCIM per gli account Bluebeam .

Disabilita SSO

Utilizza Org Admin se devi disabilitare SSO per la tua organizzazione.

Se hai configurato SCIM per la tua organizzazione, puoi disabilitare SCIM e mantenere configurato SSO, ma se vuoi disabilitare SSO, devi prima disabilitare SCIM.

Disabilita SSO per la tua organizzazione

Se necessario, puoi disattivare l'SSO per la tua organizzazione. Assicuratevi di volerlo fare, perché questa azione non può essere annullata facilmente.

Se si disabilita l'SSO, si verifica quanto segue:
  • Tutte le configurazioni effettuate durante la configurazione SSO andranno perse.
  • I tuoi utenti non potranno più accedere ai prodotti Bluebeam utilizzando il provider SSO della tua organizzazione.
  • Gli utenti devono utilizzare il proprio BBID e la password per accedere ai prodotti Bluebeam .
  • Tutti gli ID utente devono essere gestiti individualmente tramite accounts.bluebeam.com.

Per disattivare l'SSO, segui questi passaggi:

  1. Dal menu della barra laterale sinistra in Org Admin, seleziona Impostazioni.
  2. Disattivare l'interruttore accanto a Configurazione SSO.

Abbonamento

Revu 21

SSO

Questa guida contiene informazioni e procedure che consentono agli IT Admins di configurare l'SSO per le proprie organizzazioni se gestiscono le identità con Okta Workforce Identity Nuvola.