SSO configureren voor Bluebeam -accounts | Okta Workforce Identity Wolk

Van toepassing op:

  • Revu 21

Single sign-on (SSO) biedt naadloze toegang voor uw gebruikers doordat zij Bluebeam-producten kunnen benaderen met hun IdP-inloggegevens. Deze handleiding bevat instructies waarmee de IT Admin SSO kan configureren voor zijn of haar organisatie als deze Okta Workforce Identity Cloud gebruikt als identiteitsprovider (IdP). Gebruikt u Microsoft Entra ID als IdP, raadpleeg dan SSO configureren voor Bluebeam-accounts | Entra ID.

Als je een andere IdP gebruikt dan Entra ID of Okta Workforce Identity Cloud, zie dan SSO configureren voor Bluebeam-accounts | generieke OIDC voor informatie over SSO-configuratie voor niet-ondersteunde maar compatibele IdP's.

U kunt ervoor kiezen om alleen SSO te configureren en SCIM niet. Als u echter SCIM wilt configureren, moet u eerst SSO configureren.

Vereisten

De mogelijkheid om SSO te configureren is alleen beschikbaar als uw organisatie:

  • Heeft minimaal 10 seats gekocht of omgezet naar een Bluebeam-abonnement.
  • Is nog niet geconfigureerd voor het gebruik van SSO met Bluebeam -producten en -services. Als uw organisatie al SSO heeft geconfigureerd, neem dan contact met ons op voordat u verdergaat.
  • Gebruikt Microsoft Entra ID of Okta Workforce Identity Wolk als identiteitsprovider (IdP).

Als u aan deze eisen voldoet en SSO voor uw organisatie wilt inschakelen, laat dan de Org Admin inloggen bij Org Admin en de volgende stappen uitvoeren om toegang aan te vragen om SSO en SCIM te configureren:

  1. Typ in uw webbrowser de Org Admin URL die Closedkomt overeen met uw regio:

  2. Selecteer onder Accounts het account dat u wilt beheren.

  3. Selecteer Instellingen.

    Als uw organisatie niet voldoet aan de vereisten voor SSO-configuratie, is de knop Toegang aanvragen niet beschikbaar en kunt u niet verdergaan.

  4. Selecteer naast SSO-configuratie de optie Toegang aanvragen.

  5. Geef de gevraagde informatie.

Nadat we uw verzoek hebben ontvangen en verwerkt, kunt u doorgaan met de SSO-configuratie. Als u Ik wil SCIM gebruiken heeft geselecteerd, neemt Bluebeam-ondersteuning contact met u op om u te laten weten of u door kunt gaan met SCIM-activering of dat verdere actie vereist is.

U kunt SSO configureren voordat u informatie over SCIM ontvangt.

Overzicht

Deze handleiding bevat informatie over de configuratie van SSO voor toegang tot Bluebeam -producten en -diensten, evenals de informatie die moet worden uitgewisseld tussen Bluebeam en uw IdP.

De SSO-configuratie moet worden uitgevoerd door de IT-beheerder van uw organisatie.

Domeinen claimen en verifiëren

Om SSO te configureren, claimt u eerst en verifieert u vervolgens het domein dat uw organisatie bezit en dat u wilt koppelen aan uw Bluebeam-account. Om meer dan één domein aan uw Bluebeam-account te koppelen, voert u deze procedure apart uit voor elk van die domeinen. U kunt SSO niet configureren totdat u ten minste één domein heeft geclaimd en geverifieerd.

Voor deze procedure moet u informatie uit Org Admin kopiëren en in een nieuw TXT-record voor uw DNS-server plakken. U moet voorbereid zijn om in te loggen op de DNS-server voor elk domein dat u wilt claimen, ter voorbereiding op die stap.

  • U kunt maximaal 500 domeinen claimen. Als op de pagina Domeineigendom wordt weergegeven dat u al 500 domeinen hebt geclaimd en geverifieerd, moet u een domein uit de lijst verwijderen voordat u deze procedure kunt voltooien en een ander domein kunt claimen en verifiëren.
  • Nadat u een vermeld domein als onderdeel van een SSO-configuratie hebt gebruikt, kunt u het niet meer uit de lijst verwijderen.

Volg deze stappen om uw domein te claimen en te verifiëren:

  1. Selecteer in Org Admin de optie Accounts en selecteer vervolgens het account dat u wilt beheren.
  2. Selecteer Instellingen.
  3. Selecteer Beheren naast Domeineigendom.
  4. Selecteer Domein claimen.
  5. Voer de domeinnaam in die u wilt claimen (bijv. bedrijf.com), en selecteer Claim.
  6. Selecteer in het Verify Domain-dialoogvenster naast elk veld Kopiëren en plak de informatie in een nieuw TXT-record voor uw DNS-server.
  7. Wacht minimaal vijf minuten en selecteer vervolgens Verificatie controleren.

Voer deze procedure uit voor elk domein dat u wilt claimen en verifiëren.

U kunt de SSO-configuratie niet starten zolang de domeinstatus 'In behandeling' is. U hoeft echter niet te wachten tot het domein is geverifieerd om extra domeinen te claimen.

De domeinstatus kan tot 72 uur lang "In behandeling" blijven, terwijl de DNS-propagatie van deze wijzigingen plaatsvindt op alle servers op het internet. In deze periode kunt u periodiek inloggen bij Org Admin en deze stappen volgen om te controleren of de status verandert naar "Geverifieerd:"

  1. Selecteer in Org Admin de optie Accounts en selecteer vervolgens het account dat u wilt beheren.
  2. Selecteer Instellingen.
  3. Selecteer Beheren naast Domeineigendom.
  4. Selecteer op de pagina Domeineigendom de drie puntjes onder Acties en selecteer vervolgens Verificatie controleren.

Als de domeinstatus na 72 uur nog steeds 'In behandeling' is, controleer dan eerst of u de informatie correct in het TXT-record hebt ingevoerd. Als het TXT-record correct is, neem dan contact met ons op.

SSO configureren

Voor SSO-configuratie moet u een reeks procedures uitvoeren in de Okta Admin Console voordat u de configuratie in Org Admin voltooit.

OIDC configureren voor Okta

Volg deze stappen om OIDC in Okta te configureren:

  1. Ga in de Okta Admin Console naar Beveiliging > API en bewerk de standaardautorisatieserver.

  2. Selecteer onder Toegangsbeleid de optie Beleid toevoegen en geef de volgende waarden op:

    • Naam: Standaard
    • Beschrijving: Standaard
    • Toewijzen aan: Selecteer alle klanten

  3. Selecteer Beleid maken.

  4. Selecteer Regel toevoegen in het beleid dat u hebt gemaakt.

  5. Voer op de pagina Regel toevoegen Standaard in als de regelnaam en behoud alle andere selecties.

  6. Selecteer Regel maken.

Maak een Okta-applicatie voor SSO en verzamel informatie voor de SSO-configuratie

Volg deze stappen om een Okta-applicatie voor SSO te maken:

  1. Ga in de Okta Admin Console naar Toepassingen > Toepassingen > + App-integratie maken.

  2. Geef op de integratiepagina Nieuwe app maken het volgende op:

    • Aanmeldmethode: OIDC - OpenID Connect

    • Toepassingstype: webapplicatie

  3. Selecteer Next;

  4. Voer op de pagina Nieuwe web-app-integratie de volgende acties uit:

    • Voer een app-integratienaam in voor uw OIDC SSO-toepassing.

    • Selecteer Autorisatiecode als het toekenningstype.

    • Voeg de volgende aanmeldingsomleidings-URI's toe:

      • https://signin.bluebeam.com/oauth2/v1/authorize/callback

      • https://id.bluebeam.com/oidc/callback

      • https://signin.bluebeamstudio.co.uk/oauth2/v1/authorize/callback

      • https://signin.bluebeamstudio.de/oauth2/v1/authorize/callback

      • https://signin.bluebeamstudio.se/oauth2/v1/authorize/callback

      • https://signin.bluebeamstudio.com.au/oauth2/v1/authorize/callback

      • https://id.bluebeam.com/oidctest/callback

      Verwijder de standaardinvoer (http://localhost:8080/authorization-code/callback) niet uit de lijst.

    • Onder Opdrachten:

      • Selecteer Iedereen in uw organisatie toegang geven.

      • Selecteer Directe toegang inschakelen met Federation Broker-modus.

  5. Selecteer Opslaan.

  6. Om gebruikerauthenticatie te configureren, gaat u naar het Tabblad Aanmelden voor de applicatie.

  7. Blader naar gebruiker Authenticatie en Selecteren een autorisatiemethode.

  8. Selecteer Opslaan.

Volg deze stappen om de informatie te verzamelen die u nodig hebt voor de SSO-configuratie:

  1. Selecteer het tabblad Algemeen , kopieer de volgende informatie en plak deze ergens anders voor gebruik tijdens de SSO-configuratie:

    • Client-id

    • Clientgeheim

  2. Ga via de zijnavigatie naar Beveiliging > API en selecteer de standaardautorisatieserver.

  3. Selecteer Bewerken op de pagina Instellingen en wijzig de Metadata-URI om "oauth-authorization-server" te vervangen door "openid-configuration".
    De pagina met Instellingen voor de Okta-toepassing toont hoe u de metagegevens-URI kunt wijzigen zoals gespecificeerd in deze stap.

  4. Kopieer de bijgewerkte metadata-URI en plak deze in uw webbrowser. De informatie die u later nodig hebt voor de SSO-configuratie wordt dan weergegeven.

    U kunt een browserextensie met 'mooie lettertjes' gebruiken om de inhoud van de metadata-URI beter weer te geven en de informatie die u nodig hebt voor de SSO-configuratie, eenvoudiger te vinden.

Exporteer de gebruikerslijst van uw IdP en bereid u voor op het afstemmen van gebruikers

Als onderdeel van de SSO-configuratie wordt u gevraagd om de gebruikers in uw organisatie die in uw IdP staan vermeld, af te stemmen op de lijst met gebruikers in uw organisatie die een Bluebeam ID (BBID) hebben. Gebruik deze procedure om uw gebruikerslijst te exporteren en te laden in onze CSV-sjabloon voor het SSO-afstemmingsproces.

  1. Exporteer uw gebruikerslijst uit Okta Workforce Identity Wolk met behulp van de instructies.
  2. Open de geëxporteerde gebruikerslijst.
  3. Download en open onze CSV-sjabloon.
  4. Kopiëren de vereiste gebruikerinformatie uit de geëxporteerde gebruikerlijst naar de gedefinieerde cellen van onze sjabloon.

    Okta Workforce Identity Wolk VELDNAAMCSV-sjabloon overeenkomstige kolom
    AchternaamlastName
    VoornaamfirstName
    Primair e-mailadresemail
  5. Zoek in het bestand naar rijen met lege cellen, bepaal of deze gebruikers BBID's nodig hebben en voer de volgende acties uit:
    • Als de lege cel in een rij staat voor een gebruiker die geen BBID nodig heeft, kunt u de rij verwijderen.
    • Als de lege cel in een rij verschijnt voor een gebruiker die een BBID nodig heeft:
      1. Zoek de betreffende invoer in uw IdP en geef de ontbrekende waarde op.
      2. Exporteer uw gebruikerslijst opnieuw vanuit uw IdP en ga naar stap 4 hierboven.
        3. Als u stap a en b voor geen enkele gebruiker hoeft uit te voeren, gaat u verder met stap 6.
  6. Sla het CSV-bestand op, zodat u het kunt gebruiken wanneer u SSO configureert in Org Admin.

SSO configureren in Org Admin

Om de SSO-configuratie te voltooien, stelt u SSO-toegang in tot Bluebeam -producten en -diensten voor eindgebruikers in uw organisatie die bij uw IdP staan vermeld. U stemt ook de lijst met uw gebruikers af in Okta Workforce Wolk met de lijst van uw gebruikers in ons systeem die BBID's hebben om ervoor te zorgen dat uw eindgebruikersOkta-gebruikers-ID's overeenkomen met hun BBID's.

Om SSO te configureren, gaat u naar Org Admin en volgt u deze stappen:

  1. Selecteer onder Accounts het account dat u wilt beheren.

  2. Selecteer Instellingen.

  3. Selecteer Configureren naast SSO-configuratie .
  4. Selecteer OpenID Connect.
  5. Geef, wanneer u hierom wordt gevraagd, de volgende gevraagde informatie op die werd weergegeven toen u eerder de metagegevens-URI in uw webbrowser plakte:
    • Verlener
    • Autorisatie-eindpunt
    • Token-eindpunt
    • JWKS IRI
    • Gebruikersinfo-eindpunt (vereist voor Okta)
    • Client-id
    • Clientgeheim
  6. Selecteer Verzenden.
  7. Geef in het dialoogvenster OpenID Connect-configuratie het/de geverifieerde domein(en) op die u voor uw account wilt configureren en selecteer Volgende.
  8. Om het kenmerk van de serviceprovider toe te wijzen aan beschikbare velden, behoudt u de standaardinvoer.
  9. Selecteer Aanmelden om SSO te testen
  10. Wanneer u hierom wordt gevraagd, meldt u zich aan met een account dat een Studio BBID heeft.
    De tests "Verbinding" en "gebruikerkenmerken" moeten succesvol zijn voordat u verder kunt gaan.
  11. Terug naar Org Admin.
  12. Selecteer Doorgaan.
  13. Selecteer Volgende om een lijst met uw gebruikers op te geven en de SSO-configuratie te voltooien.
  14. Upload het CSV-bestand dat u eerder hebt gemaakt.
  15. Selecteer Volgende.
    Selecteer Later voltooien om uw voortgang op te slaan, deze procedure te verlaten en later verder te gaan.
  16. Wanneer u daarom wordt gevraagd, klikt u op Sluiten om door te gaan met de SSO-configuratie.

U keert terug naar het tabblad Instellingen , waar u kunt controleren of de domeinen die u voor uw organisatie hebt geselecteerd, worden weergegeven en vervolgens kunt doorgaan met de SSO-configuratie.

We vergelijken de BBID's die we binnen uw organisatie aantreffen met de gebruiker-ID's voor uw organisatie in Okta Workforce Identity Wolk. Zodra dit proces is voltooid, sturen we u een e-mail met als onderwerp 'Doorgaan met SSO-configuratie'. U kunt dan het afstemmingsproces starten dat nodig is om de SSO-configuratie te voltooien.


De volgende problemen met gegevens in het CSV-bestand kunnen fouten veroorzaken wanneer u het bestand uploadt:

  • Het CSV-bestand is leeg.
  • Er is een fout opgetreden bij het lezen van het CSV-bestand.
  • Er ontbreekt minimaal één vereiste kolom in het CSV-bestand: de kolommen email, firstName en lastName konden niet worden gevonden.
  • Er is een probleem opgetreden bij het lezen van het CSV-bestand rond rij [rijnummer].
  • Het CSV-bestand op rij [rijnummer] bevatte niet voldoende kolommen met gegevens om de kolommen e-mail, voornaam en/of achternaam te verwerken.
  • Het CSV-bestand op rij [rijnummer] bevat een ongeldig e-mailadres "jsmith", terwijl een geldig e-mailadres werd verwacht (bijv. jsmith@example.com).

Gebruik de informatie in het weergegeven foutbericht om de oorzaak van de fout te bepalen, corrigeer de fout en genereer en upload het CSV-bestand opnieuw.

Stem gebruikersidentiteiten in uw IdP af op BBID's in uw organisatie

Om uw SSO-configuratie te voltooien, moet u ervoor zorgen dat de gebruikersidentiteiten in uw IdP overeenkomen met de BBID's in de Bluebeam- gebruikersdatabase voor gebruikers in uw organisatie. Als u de SSO-configuratie voortzet zonder het afstemmingsproces uit te voeren, verliezen niet-gekoppelde gebruikers de toegang tot hun bestaande Studio-projecten en -sessies.

Wanneer de e-mail "Doorgaan met SSO-configuratie" arriveert, Openen deze en Selecteren Doorgaan met SSO-configuratie om Org Admin te Openen op het Tabblad Beveiliging in Accountinstellingen. Selecteer op het tabblad Beveiliging , naast SSO-configuratie, de optie Doorgaan . Er wordt dan een lijst weergegeven met gebruikers in uw account die we niet konden koppelen aan gebruikers in onze database.

Verzoening is een belangrijk en vereist proces voor SSO-inschakeling. Als u een groot aantal gebruikers in uw organisatie hebt en een groot aantal van die gebruikers als 'Niet overeenkomend' wordt weergegeven, kan het afstemmen 20 minuten of langer duren.

Waarom worden sommige gebruikers weergegeven als 'Niet overeenkomend'?

Gebruikers kunnen om verschillende redenen als 'Niet overeenkomend' worden vermeld. De lijst met BBID's die we hebben opgeslagen, kan bijvoorbeeld gebruikers bevatten die niet meer bij uw organisatie werken, van wie de naam is gewijzigd of die bij het toevoegen fouten in hun e-mailadres hadden. Met afstemming kunt u de gebruikers evalueren die als 'Niet overeenkomend' worden weergegeven, om te bepalen of ze moeten worden ingericht voor SSO-toegang of dat het configuratieproces deze gebruikers kan negeren.

U moet niet-overeenkomende e-mailadressen met elkaar verzoenen voordat u kunt doorgaan met de SSO-configuratie.

Wanneer u dit scherm ziet, kunt u:

  • Selecteer Gebruikerslijst opnieuw uploaden als uw CSV-bestand fouten bevat die u wilt corrigeren.
  • Selecteer Opslaan en later voltooien als u uw voortgang wilt opslaan en de niet-overeenkomende gebruikers later wilt benaderen.
  • Selecteer een of meer gebruikers die u wilt negeren en niet wilt configureren voor SSO, omdat ze niet meer bij uw organisatie horen of geen abonnement voor toegang tot Bluebeam -producten en -diensten nodig hebben.
  • Selecteer een of meer gebruikers om het veld Nieuwe Bluebeam -ID uit directory bij te werken. Deze actie is nodig als een gebruiker een abonnement nodig heeft voor toegang tot Bluebeam -producten en -diensten. Als zijn/haar e-mailadres bij uw organisatie is gewijzigd, maar zijn/haar BBID in onze database niet is gewijzigd.
Bij afstemming worden de BBID's van gebruikers vergeleken met hun IdP-inloggegevens. Als u de huidige BBID van een gebruiker wilt bijwerken, zodat deze overeenkomt met de inloggegevens van zijn/haar IdP, moet die gebruiker voortaan onze services openen met zijn/haar IdP-inloggegevens. Neem contact op met deze gebruikers en vertel ze dat ze hun organisatiegegevens als nieuwe BBID moeten gebruiken. Indien nodig moeten ze zich afmelden bij sessies en zich opnieuw aanmelden met hun nieuwe BBID.

Waarom verschijnt een gebruiker meerdere keren?

Als een gebruiker meerdere keren voorkomt, maar in verschillende Studio- regio's, stem die gebruiker dan voor elke regio af om ervoor te zorgen dat hij of zij de toegang tot die Studio-projecten of Studio-sessies niet verliest.

Wanneer u gebruikers moet negeren

Veel niet-overeenkomende gebruikers zijn gebruikers die niet langer in uw organisatie werken of geen BBID nodig hebben. Wanneer u de lijst met niet-overeenkomende gebruikers ziet, beweegt u de muis over het informatiepictogram () naast de huidige Bluebeam -ID van een niet-overeenkomende gebruiker om hun Studio-activiteit te bekijken. De weergegeven informatie is:

  • Laatste aanmelding bij Studio
  • Sessies in eigendom
  • Bijgewoonde sessie
  • Projecten in eigendom
  • Projectlidmaatschappen

Als u vaststelt dat een gebruiker een voormalige werknemer is of om een andere reden geen SSO-toegang tot Bluebeam -producten en -diensten nodig heeft, Selecteren u 'Niet overeenkomend' en vervolgens 'Gebruiker Negeren' om de gebruiker uit te sluiten van de SSO-configuratie voor uw organisatie.

Als u meer dan één gebruiker wilt negeren, selecteert u meerdere gebruikers en selecteert u 'Gebruiker negeren'.

Wanneer moet u een nieuwe Bluebeam ID uit de directory bewerken?

Als een gebruiker moet worden bijgewerkt, selecteert u Bewerken, selecteert u 'Niet overeenkomend' en geeft u het e-mailadres van de gebruiker op van de IdP. Nadat u de overeenkomende informatie hebt bijgewerkt, moet u de gebruiker(s) laten weten dat zij voortaan de nieuwe BBID moeten gebruiken. Indien nodig moet u zich afmelden en opnieuw aanmelden met de nieuwe BBID.

Selecteer Alle gebruikers weergeven om te controleren of elke gebruiker in de lijst is 'Genegeerd' of 'Geen wijziging' heeft.

SSO activeren

Nadat u niet-gematchte gebruikers heeft genegeerd of bijgewerkt, selecteert u Activeren om de SSO-configuratie te voltooien. Zie SCIM configureren voor Bluebeam Accounts als u SCIM voor uw organisatie wilt configureren.

SSO uitschakelen

Gebruik Org Admin als u SSO voor uw organisatie wilt uitschakelen.

Als u SCIM voor uw organisatie hebt geconfigureerd, kunt u SCIM uitschakelen en SSO geconfigureerd laten. Als u SSO echter wilt uitschakelen, moet u eerst SCIM uitschakelen.

Schakel SSO uit voor uw organisatie

Indien nodig kunt u SSO voor uw organisatie uitschakelen. Zorg ervoor dat u dit daadwerkelijk wilt doen, want deze actie kan niet eenvoudig ongedaan worden gemaakt.

Als u SSO uitschakelt, gebeurt het volgende:
  • Alle configuraties die tijdens de SSO-installatie zijn gemaakt, gaan verloren.
  • Uw gebruikers kunnen zich niet langer aanmelden bij Bluebeam -producten met de SSO-provider voor uw organisatie.
  • Uw gebruikers moeten hun BBID en wachtwoord gebruiken om zich aan te melden bij Bluebeam -producten.
  • Alle gebruikers-ID's moeten individueel worden beheerd via accounts.bluebeam.com.

Om SSO uit te schakelen, volgt u deze stappen:

  1. Selecteer Instellingen in het menu aan de linkerkant in Org Admin.
  2. Schakel de schakelaar naast SSO-configuratie uit.

Abonnement

Revu 21

SSO

Deze handleiding bevat informatie en procedures voor IT Admins om SSO te configureren voor hun organisaties als zij identiteiten beheren met Okta Workforce Identity Wolk.