Bluebeamアカウントの SSO を構成する | Okta Workforce Identity クラウド

対象:

  • Revu 21

シングルサインオン (SSO) は、ユーザーが IdP ログイン資格情報を使用して Bluebeam 製品にアクセスできるようにすることで、シームレスなアクセスを実現します。このガイドでは、IT Admin が Okta Workforce Identity Cloud を ID プロバイダー (IdP) として使用している組織の SSO を構成するための手順を説明しています。Microsoft Entra ID を IdP として使用している場合は、Bluebeam アカウントの SSO を設定する|Entra IDを参照してください。

Entra ID または Okta Workforce Identity Cloud 以外の IdP を使用する場合、サポートされていないものの互換性のある IdP の SSO 設定については、Bluebeam アカウントの SSO 設定|汎用 OIDC をご参照ください。

SSO のみを構成し、SCIM を構成しないことも選択できます。ただし、SCIM を構成する場合は、最初に SSO を構成する必要があります。

要件

SSO を構成する機能は、組織が次の条件を満たしている場合にのみ利用できます。

  • Bluebeam サブスクリプションプランで少なくとも 10 シートを購入または変換した。
  • Bluebeam製品およびサービスで SSO を使用するようにまだ構成されていません。組織ですでに SSO が設定されている場合は、続行する前にお問い合わせください
  • Microsoft Entra ID または Okta Workforce Identity クラウド を ID プロバイダー (IdP) として使用します。

これらの要件を満たし、組織で SSO を有効にしたい場合は、Org AdminOrg Admin としてログインし、SSO および SCIM の設定権限を要求するために、以下の手順を実行してください。

  1. ウェブブラウザで、 Org Admin URLを入力します。 Closedあなたの地域に該当します:

  2. [アカウント]の下で、管理するアカウントを選択します。

  3. [設定]を選択します。

    組織が SSO 構成の要件を満たしていない場合、[アクセスのリクエスト]ボタンは使用できず、続行できません。
  4. [SSO 構成] の横にある[アクセスの要求]を選択します。

  5. 要求された情報を提供してください。

リクエストを受け取って処理したら、SSO設定に進むことができます。SCIMの使用を希望します」を選択した場合、Bluebeam サポートから連絡があり、SCIM の有効化を進められるか、またはさらなる対応が必要かをお知らせします。

SCIM に関連する情報を受け取る前に、SSO を設定できます。

概要

このガイドには、 Bluebeam製品およびサービスにアクセスするための SSO の構成と、 Bluebeamと IdP 間で交換する必要がある情報が含まれています。

SSO 構成は、組織の IT 管理者が実行する必要があります。

ドメインの申請と検証

SSO を構成するには、まず組織が所有し、Bluebeam アカウントにリンクするドメインを申請して検証します。複数のドメインを Bluebeam アカウントにリンクするには、それぞれのドメインに対して個別にこの手順を実行します。少なくとも1つのドメインを申請して検証するまで、SSO を構成することはできません。

この手順では、 Org Adminから情報をコピーし、DNS サーバーの新しい TXT レコードに貼り付ける必要があります。この手順を準備するには、要求するドメインごとに DNS サーバーにログインする準備をする必要があります。

  • 申請できるドメインは最大 500 件です。500 件のドメインをすでに申請し、検証済みであることが「ドメイン所有権」ページに表示された場合は、リストからドメインを削除してから、この手順を完了して別のドメインを申請および検証する必要があります。
  • リストされたドメインを SSO 構成の一部として使用した後、そのドメインをリストから削除することはできません。

ドメインを申請して検証するには、次の手順に従います。

  1. Org Admin[アカウント]を選択し、管理するアカウントを選択します。
  2. [設定]を選択します。
  3. [ドメイン所有権]の横にある[管理]を選択します。
  4. 「ドメインを要求」を選択します。
  5. 申請したいドメイン名を入力してください(例:company.com)、[請求]を選択します。
  6. [ドメインを検証] ダイアログで、各フィールドの横にある [コピー] を選択し、その情報を DNS サーバーの新しい TXT レコードに貼り付けます。
  7. 少なくとも 5 分間待ってから、 [検証を確認]を選択します。

申請および検証するドメインごとにこの手順を実行します。

ドメインのステータスが「保留中」の間は SSO 構成を開始できませんが、追加のドメインを要求するためにドメインが検証されるまで待つ必要はありません。

ドメインのステータスは最長で 72 時間まで「保留中」のままになります。その間、これらの変更がインターネット上のすべてのサーバーに DNS 伝播が行われます。この間、定期的に Org Admin にログインし、以下の手順に従ってステータスが「検証済み」に変更されているかどうかを確認することができます。

  1. Org Admin[アカウント]を選択し、管理するアカウントを選択します。
  2. [設定]を選択します。
  3. [ドメイン所有権]の横にある[管理]を選択します。
  4. 「ドメイン所有権」ページで、 「アクション」の下の 3 つのドットを選択し、 「検証を確認」を選択します。

72 時間経過してもドメインのステータスが「保留中」のままの場合は、まず TXT レコードに情報を正しく入力したかどうかを確認してください。TXT レコードが正しい場合は、お問い合わせください

SSOを構成する

SSO の設定では、 Org Admin で設定を完了する前に、 Okta Admin Console で 一連の手順を実行する必要があります。

Okta の OIDC を構成する

Okta で OIDC を構成するには、次の手順に従います。

  1. Okta 管理コンソールで、 [セキュリティ] > [API]に移動し、デフォルトの認証サーバーを編集します。

  2. [アクセス ポリシー] で[ポリシーの追加]を選択し、次の値を入力します。

    • 名前: デフォルト
    • 説明: デフォルト
    • 割り当て先:すべてのクライアントを選択
  3. [ポリシーの作成]を選択します。

  4. 作成したポリシーで、 [ルールの追加]を選択します。

  5. [ルールの追加] ページで、ルール名として「Default」と入力し、その他の選択はすべてそのままにします。

  6. [ルールの作成]を選択します。

SSO用のOktaアプリケーションを作成し、SSO構成の情報を収集する

SSO 用の Okta アプリケーションを作成するには、次の手順に従います。

  1. Okta 管理コンソールで、 [アプリケーション] > [アプリケーション] > [+ アプリ統合の作成]に移動します。

  2. 「新しいアプリ統合の作成」ページで、以下を指定します。

    • サインイン方法: OIDC - OpenID Connect

    • アプリケーションの種類: Web アプリケーション

  3. [次へ]を選択します。

  4. 「新しい Web アプリ統合」ページで、次のアクションを実行します。

    • OIDC SSO アプリケーションのアプリ統合名を入力します。

    • 付与タイプとして承認コードを選択します。

    • 次のサインイン リダイレクト URIを追加します。

      • https://signin.bluebeam.com/oauth2/v1/authorize/callback

      • https://id.bluebeam.com/oidc/callback

      • https://signin.bluebeamstudio.co.uk/oauth2/v1/authorize/callback

      • https://signin.bluebeamstudio.de/oauth2/v1/authorize/callback

      • https://signin.bluebeamstudio.se/oauth2/v1/authorize/callback

      • https://signin.bluebeamstudio.com.au/oauth2/v1/authorize/callback

      • https://id.bluebeam.com/oidctest/callback

      リストからデフォルトのエントリ (http://localhost:8080/authorization-code/callback) を削除しないでください。
    • 割り当ての下:

      • 組織内のすべてのユーザーにアクセスを許可するを選択します。

      • [フェデレーション ブローカー モードで即時アクセスを有効にする]を選択します。

  5. [保存] を選択。

  6. ユーザー認証を構成するには、アプリケーションの「サインオン」タブに移動します。

  7. 「ユーザー認証」までスクロールし、認証方法を選択します。

  8. [保存] を選択。

SSO 構成に必要な情報を収集するには、次の手順に従います。

  1. [全般]タブを選択し、次の情報をコピーして、SSO 構成時に使用するために別の場所に貼り付けます。

    • クライアント ID

    • クライアントシークレット

  2. サイド ナビゲーションから[セキュリティ] > [API]に移動し、デフォルトの認証サーバーを選択します。

  3. 設定ページで:

    1. メタデータ URI の値をコピーして、テキストエディタに貼り付けます。

    2. URL内の "oauth-authorization-server" を "openid-configuration" で置き換え。
      Okta アプリケーションの設定ページは、この手順で指定されているメタデータ URI を変更する方法を示しています。

  4. 更新された URL をコピーし、Web ブラウザに貼り付けて、後で SSO 設定に必要な情報を表示します。

    「pretty print」ブラウザ拡張機能を使用すると、メタデータ URI のコンテンツをより適切に表示し、SSO 構成に必要な情報をより簡単に見つけることができます。

IdPからユーザーリストをエクスポートし、ユーザーの調整を準備します

SSO 構成の一環として、IdP にリストされている組織内のユーザーを、 Bluebeam ID (BBID) を持つ組織内のユーザーのリストと照合するように求められます。この手順を使用して、ユーザー リストをエクスポートし、SSO 調整プロセス用の CSV テンプレートに読み込みます。

  1. 指示に従って、Okta Workforce Identity クラウド からユーザー リストをエクスポートします。
  2. エクスポートされたユーザー リストを開きます。
  3. CSV テンプレートをダウンロードして開く。
  4. エクスポートされたユーザー リストから必要なユーザー情報をテンプレートの定義済みセルにコピーします。

    Okta ワークフォースアイデンティティクラウド フィールド名CSVテンプレートの対応する列
    lastName
    firstName
    プライマリメールemail
  5. ファイル内で空のセルが含まれる行を見つけ、それらのユーザーに BBID が必要かどうかを判断し、次のアクションを実行します。
    • BBID を必要としないユーザーの行に空のセルが表示される場合は、その行を削除できます。
    • BBID が必要なユーザーの行に空のセルが表示される場合:
      1. IdP でエントリを見つけて、不足している値を入力します。
      2. IdP からユーザー リストを再度エクスポートし、上記の手順 4 に進みます。
      3. どのユーザーに対しても手順 a と b を実行する必要がなかった場合は、手順 6 に進みます。
  6. Org Admin で SSO を構成するときに使用するために CSV ファイルを保存します。

Org AdminでSSOを設定する

SSO 設定を完了するには、IdP に登録されている組織のエンドユーザーに対して、Bluebeam 製品とサービスへの SSO アクセスを設定します。Okta Workforce Identity クラウド 内のユーザーリストと、当社のシステム内の BBID を持つユーザーのリストを照合し、エンドユーザーの Okta ユーザー ID が BBID と一致していることを確認します。

SSO を設定するには、Org Admin に移動して次の手順に従います。

  1. [アカウント]の下で、管理するアカウントを選択します。

  2. [設定]を選択します。

  3. [SSO 構成] の横にある[構成]を選択します。
  4. OpenID Connect を選択します。
  5. プロンプトが表示されたら、以下の要求された情報を入力します。 メタデータ URI を貼り付けたときに表示される 以前にウェブブラウザで: 
    • 発行元
    • 認証エンドポイント
    • トークンエンドポイント
    • JWKS URI
    • Userinfo エンドポイント (Okta に必要)
    • クライアント ID
    • クライアントシークレット
  6. [送信]を選択します。
  7. OpenID Connect 構成ダイアログで、アカウントに構成する検証済みドメインを指定し、次へを選択します。
  8. 「サービス プロバイダー属性を利用可能な現場にマップする」には、デフォルトのエントリをそのままにします。
  9. サインインして SSO をテストします。を選択します。
  10. プロンプトが表示されたら、Studio BBID を持つアカウントを使用してログインします。
    続行する前に、「接続」および「ユーザー属性」のテストが成功する必要があります。
  11. 組織管理者に戻ります。
  12. [続行]を選択します。
  13. [次へ] を選択して、ユーザーのリストを指定し、SSO設定を完了します。
  14. 先ほど作成したCSVファイルをアップロードします。

  15. [次へ]を選択します。

  16. 進捗状況を保存し、この手順を終了して後で続行するには、 「後で完了」を選択します。
  17. 求められたら、[閉じる] を選択してSSO設定を続行します。

[設定]タブに戻り、組織用に選択したドメインが表示されていることを確認し、SSO 構成を続行できます。

組織内で見つかった BBID と、Okta Workforce Identity Cloud 内の組織のユーザー ID を照合します。このプロセスが完了すると、「SSO 構成の続行」という件名のメールが送信されますので、SSO 構成を完了するために必要な調整プロセスを開始できます。

IdP のユーザー ID を組織内の BBID と照合します

Okta Workforce Identity Cloud 内のユーザーID と、組織内のユーザーのBluebeam ユーザーデータベースにある BBID が一致することを照合し、確認します。調整プロセスを実行せずにSSO設定を続行すると、一致しないユーザーは既存のStudio プロジェクトセッションへのアクセスを失います。

「SSO 構成の続行」のメールが届いたら、そのメールを開き、「SSO 構成の続行」を選択して Org Admin の設定ページを開きます。SSO構成 の横にある 続行 を 選択 して、データベース内のユーザーと一致しなかったアカウント内のユーザーのリストを確認します。

調整は、SSO を有効にするために重要かつ必須のプロセスです。組織内に多数のユーザーがおり、そのうち多数のユーザーが「一致しない」とリストされている場合、調整には 20 分以上かかることがあります。

一部のユーザーが「一致しない」と表示されるのはなぜですか?

ユーザーは、さまざまな理由で「一致しません」と表示されることがあります。例えば、当社が保存している BBID のリストには、お客様の組織にすでに在籍していないユーザー、名前が変更されたユーザー、または最初に追加されたときにメールアドレスに誤りがあったユーザーなどが含まれる場合があります。照合を行うと、「一致しない」としてリストされているユーザーを評価し、SSO アクセス用にプロビジョニングする必要があるか、あるいは構成プロセスでこれらのユーザーを無視するかを判断できます。

SSO 構成を続行する前に、一致しない電子メール アドレスを調整する必要があります。

この画面が表示されたら、次の操作を実行できます。

  • CSV ファイルに修正が必要なエラーが含まれている場合は、「ユーザー リストの再アップロード」を選択します。
  • 進行状況を保存し、一致しないユーザーに後で対処する場合は、 「保存して後で終了」を選択します。
  • 組織に所属していないか、 Bluebeam製品およびサービスへのサブスクリプション アクセスを必要としないため、無視して SSO を構成しない 1 人以上のユーザーを選択します。
  • ディレクトリからの新しいBluebeam ID現場を更新するユーザーを 1 人以上選択します。このアクションは、ユーザーがBluebeam製品およびサービスへのサブスクリプション アクセスを必要としており、組織で電子メール情報が変更されたが、データベース内の BBID は変更されていない場合に必要になります。
ユーザーの BBID を IdP ログイン資格情報と照合します。ユーザーの現在のBBIDがIdPログイン資格情報と一致するように更新すると、そのユーザーは今後、Okta Workforce Cloudの資格情報を使用して当社のサービスにアクセスする必要があります。必ずそれらのユーザーに連絡し、組織の認証情報を新しい BBID として使用するよう伝え、必要な場合は、すべてのセッションからログアウトして新しい BBID を使用して再度ログインしてください。

ユーザーが複数回表示されるのはなぜですか?

ユーザーが複数回出現するが、異なるStudioリージョンに存在する場合は、各リージョンでそのユーザーを調整して、そのStudio プロジェクトまたはStudio セッションへのアクセスが失われないようにします。

「ユーザーを無視する」べきタイミング

一致しない多くのユーザーは、組織にもう存在しないか、BBIDを必要としないユーザーです。一致しないユーザーのリストが表示されたら、一致しないユーザーの現在のBBIDの隣にある情報アイコン()にカーソルを合わせてStudioアクティビティを確認します。表示されている情報は:

  • Studioへの最終ログイン
  • 所有セッション
  • 参加したセッション
  • 所有プロジェクト
  • プロジェクトメンバーシップ

ユーザーが元従業員であるか、 Bluebeam製品およびサービスへの SSO アクセスを必要としないと判断した場合は、「一致しない」を選択し、「ユーザーを無視する」を選択して、そのユーザーを組織の SSO 構成から除外します。

複数のユーザーを無視するには、複数のユーザーを選択し、「ユーザーを無視」を選択します。

ディレクトリから新しいBluebeam IDを編集する場合

ユーザーを更新する必要がある場合は、 「編集」を選択し、 「一致しない」を選択して、IdP からユーザーのメール アドレスを入力します。一致する情報を更新した後、今後は新しい BBID を使用する必要があることをユーザーに通知し、必要に応じてログアウトして新しい BBID を使用して再度ログインします。

[すべてのユーザーを表示]を選択して、リスト内のすべてのユーザーが「無視する」されているか、「変更なし」と表示されていることを確認します。

SSO を有効化

一致しないユーザーを無視するか更新した後で、[アクティブ化] を選択して SSO 設定を完了します。組織で SCIM の設定を続けたい場合は、Bluebeamアカウントの SCIM 設定」をご覧ください。

SSOを無効にする

組織の SSO を無効にする必要がある場合は、 Org Admin を使用します。

組織で SCIM を構成した場合は、SCIM を無効にして SSO を構成したままにすることができますが、SSO を無効にする場合は、まず SCIM を無効にする必要があります。

組織のSSOを無効にする

必要に応じて、組織の SSO を無効にすることができます。この操作は簡単に元に戻すことができないため、本当に実行してもよいかどうか確認してください。

SSO を無効にすると、次のようになります。
  • SSO セットアップ中に行われたすべての構成は失われます。
  • ユーザーは、組織の SSO プロバイダを使用してBluebeam製品にサインインできなくなります。
  • ユーザーは、 Bluebeam製品にサインインするために BBID とパスワードを使用する必要があります。
  • すべてのユーザー ID は、 accounts.bluebeam.comを通じて個別に管理する必要があります。

SSO を無効にするには、次の手順に従います。

  1. Org Adminの左矢印サイドバー メニューから、 [設定]を選択します。
  2. SSO 構成の横にあるトグルをオフにします。

サブスクリプション

Revu 21

SSO

このガイドには、Okta Workforce Identity Cloud を使用して ID を管理する IT Admins が組織の SSO を構成するための情報と手順が記載されています。