Cintoo SSO-Implementierungsleitfaden

Dieser Artikel beschreibt Vorteile und Optionen für die Auswahl eines Single Sign-On und welche Informationen Cintoo bereitgestellt werden müssen, um SSO korrekt einzurichten.

INHALTSVERZEICHNIS

• Überblick 
• Authentifizierungsfluss
• Benutzerbereitstellung
• Externe Benutzer 
• SSO-Implementierungsprozess
  • Option 1: OpenID Connect
    • Azure AD Verwendung einer benutzerdefinierten Anwendung
    • Okta
    • Andere Anbieter
  • Option 2: SAML

Überblick 

Cintoo kann mit Ihrer unternehmensinternen Single Sign-On (SSO)-Lösung integriert werden, um die Sicherheitsanforderungen des Unternehmens zu erfüllen und das Benutzermanagement zu vereinfachen.

Cintoo unterstützt die Protokolle OpenID Connect (OIDC) und SAML und ist mit den folgenden Identitätsanbietern kompatibel:

• Azure AD (bevorzugter Anbieter)
• Microsoft ADFS
• Okta / Okta MyID
• Ping Federate

Kontaktieren Sie den Cintoo-Vertriebsmitarbeiter oder sales@cintoo.com um die SSO-Option für Ihr Cintoo-Konto zu abonnieren.

Authentifizierungsfluss

Die Authentifizierung in Cintoo erfolgt in zwei Schritten:

• Geben Sie Ihren Login (E-Mail-Adresse) ein
• Abhängig vom Domainnamen (zweiter Teil der E-Mail nach dem @-Zeichen) erfolgt eine Weiterleitung entweder zur nativen Cintoo-Authentifizierungsseite (d.h. mit Cintoo-Login und Passwort) oder zur SSO-Login-Seite des Unternehmens.

Das bedeutet, dass, sobald SSO für die Domain @corp.com aktiviert ist, jeder Benutzer mit einem Login in der Form user@corp.com zur entsprechenden Anmeldeseite des Identitätsanbieters weitergeleitet wird, und es gibt keine Möglichkeit, zur nativen Cintoo-Authentifizierung zurückzukehren.

Hinweis: Kunden, die eine benutzerdefinierte Cintoo-Domain (im Format https://corp.cintoo.cloud) abonniert haben, können die Verwendung ihres eigenen SSO-Anbieters für alle Benutzer, unabhängig vom Domainnamen des Benutzers, beantragen. See section about External Users below.

Benutzerbereitstellung

SSO wird nur für die Authentifizierung verwendet und hat keinen Einfluss darauf, wie Benutzer in einem Cintoo-Konto erstellt werden. Benutzer müssen weiterhin von einem Kontoadministrator oder einem Projekt-/BIM-Manager eingeladen werden. 

Jeder Benutzer, der versucht, sich mit SSO zu authentifizieren, ohne zuvor im Konto eingeladen worden zu sein, wird sich nicht einloggen können.

Externe Benutzer 

Wenn externe Benutzer eingeladen werden (d.h., mit einer E-Mail in einer Domain, die Sie nicht kontrollieren) zu Ihren Projekten, werden diese Benutzer standardmäßig nicht mit Ihrem SSO authentifiziert, da SSO pro Domainname konfiguriert ist.

Beispiel:

• Der Domainname Ihres Unternehmens ist corp.com
• Sie laden user@guest.com zu einem Ihrer Projekte ein
• Wenn guest.com ebenfalls ein Cintoo-Kunde ist und die SSO-Option abonniert hat, dann wird sich user@guest.com über das SSO von guest.com (nicht über das SSO von corp.com) anmelden. Andernfalls wird sich dieser Benutzer über die native Cintoo-Authentifizierung einloggen.

Um mehr Kontrolle über Ihre externen Benutzer zu erhalten, können Sie:

• Fügen Sie alle externen Benutzer als Gäste in Ihrem eigenen Benutzerverzeichnis hinzu (z. B. user-guest@corp.com)
• Abonnieren Sie eine benutzerdefinierte Cintoo-Domain, d. h. https://corp.cintoo.cloud (kontaktieren Sie den Cintoo-Vertrieb für Informationen). Auf diese Weise erhalten Sie Ihren eigenen Cintoo-Tenant, und alle Ihre Projekte sind nur über https://corp.cintoo.cloud zugänglich.
• Bitten Sie das Cintoo IT-Team, Ihren benutzerdefinierten Domainnamen mit Ihrem SSO-Anbieter zu verknüpfen. Das bedeutet, dass jeder Benutzer, der versucht, ein Projekt in https://corp.cintoo.cloud zu öffnen, zu Ihrem eigenen SSO weitergeleitet wird, selbst wenn er keine @corp.com-E-Mail-Adresse hat.

SSO-Implementierungsprozess

Die SSO-Implementierung folgt immer diesen Schritten:

• Kontaktieren Sie den Cintoo-Vertrieb, um die Option zu abonnieren
• Konfigurieren Sie Ihren Identitätsanbieter mit OIDC oder SAML und übermitteln Sie die erforderlichen Informationen an das Cintoo-IT-Team über support@cintoo.com (siehe unten für Details)
• Validieren Sie die SSO-Konfiguration mit einigen Benutzern, indem Sie eine temporäre Login-URL verwenden
• Vereinbaren Sie mit dem Cintoo-IT-Team einen Umstellungstermin, nach dem alle Benutzer in Ihrer Domain zu Ihrem SSO-Anmeldebildschirm umgeleitet werden.

Warnung: Benutzer, die vor dem Umschaltzeitpunkt in Cintoo erstellt wurden, können sich nicht mehr mit ihrem bestehenden Cintoo-Passwort verbinden.

Identitätsanbieter-Konfiguration

Option 1: OpenID Connect

Azure AD Verwendung einer benutzerdefinierten Anwendung

Wenn Sie die generische Cintoo-Anwendung, die in der Azure AD App-Galerie bereitgestellt wird, nicht bereitstellen möchten oder können, haben Sie dennoch die Möglichkeit, Ihre eigene Anwendung in Azure AD zu erstellen.

Wählen Sie in Azure AD App-Registrierungen und dann Neue Registrierung aus.

Hinweis: Die Domain in der Umleitungs-URI muss mit der Domain Ihrer Cintoo-Instanz übereinstimmen (z. B. aec.cintoo.com, us.cintoo.cloud, [corp].cintoo.cloud).

Sobald die Anwendung erstellt ist, bearbeiten Sie die Authentifizierungs Einstellungen und aktivieren die Option ID-Token.

Notieren Sie die Anwendungs- (Client-) ID und die Verzeichnis- (Tenant-) ID der Anwendung und übermitteln diese Werte an das Cintoo-Support-Team.

Hinweis: Cintoo versucht, den Benutzer anhand seiner E-Mail-Adresse abzugleichen. Wenn das upn Feld von Azure AD-Benutzern nicht die E-Mail-Adresse enthält, konfigurieren Sie einen optionalen E-Mail Anspruch, der die E-Mail-Adresse des Benutzers enthält (in diesem Fall betrachtet Cintoo das E-Mail Feld in der OAuth-Antwort anstelle von upn).

So fügen Sie diesen optionalen Anspruch hinzu.

Es ist obligatorisch, eine API-Berechtigung für Microsoft Graph hinzuzufügen, um die E-Mail-Adresse zu lesen.

Okta

In Okta Administration eine neue App erstellen.

Wählen Sie Web / OpenID Connect.

Fügen Sie die erforderliche Umleitungs-URL hinzu.

Hinweis: Die Umleitungs-URI hängt vom Domainnamen Ihrer Cintoo-Instanz ab. Überprüfen Sie mit dem Cintoo-Support-Team, welches die richtige ist.

Im nächsten Bildschirm, Allgemeine Einstellungen, klicken Sie auf Bearbeiten und fügen die Berechtigung ID-Token mit impliziter Gewährung hinzu.

Wenn dies erledigt ist, gehen Sie zum Tab Anmelden und notieren Sie die Felder Herausgeber und Zielgruppe  im Abschnitt OpenID Connect ID-Token.

Diese Werte müssen dem Cintoo-Support-Team mitgeteilt werden.

Andere Anbieter

Hier ist die generische Konfiguration für jeden anderen Identitätsanbieter, der OpenID Connect verwendet:

• Erstellen Sie eine Cintoo Anwendung.
• Konfigurieren Sie die Rückruf-URL: https://<domain>/login/oauthcb, wobei domain  von Ihrer Cintoo-Instanz abhängt (z.B. us.cintoo.cloud oder eu.cintoo.cloud).
• Erlauben Sie ID-Token mit impliziter Gewährung
• Erlauben Sie die folgenden Bereiche: openID E-Mail Profil.
• Kommunizieren Sie die folgenden Informationen an das Cintoo-Support-Team:
  1. Client ID
  2. OpenID Connect Discovery-URL (z.B. https://<your_domain>/.well-known/openid-configuration)

Hinweis: Cintoo gleicht den Benutzernamen basierend auf dem E-Mail-Feld in der OAuth-Antwort ab. Wenn es kein E-Mail-Feld gibt, wird stattdessen das upn-Feld verwendet.

Option 2: SAML

Hier sind die Metadaten des Dienstanbieters, die Sie innerhalb Ihres SAML-Identitätsanbieters konfigurieren müssen.

<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://<domain>/saml">
    <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
        <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
        <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://<domain>/saml" index="1"/>
    </md:SPSSODescriptor>
</md:EntityDescriptor>

Hinweis: Die Domain muss durch den Domainnamen ersetzt werden, der Ihrer Cintoo-Instanz entspricht (z.B. eu.cintoo.cloud, us.cintoo.cloud, oder your-company.cintoo.cloud).

Sie müssen Ihre IdP-Metadaten-URL oder -Datei an das Cintoo-Support-Team übermitteln oder zumindest die folgenden Details mitteilen:

• IdP-Entity-ID
• Login-URL
• Signaturzertifikat(e)

Hinweis: Cintoo gleicht den Benutzernamen basierend auf dem NameID-Feld (SAML-Subjekt) in der SAML-Antwort ab. Die NameID muss mit dem Cintoo-Login übereinstimmen, d.h. der E-Mail-Adresse des Benutzers.