Kürzliche Suchen

Keine aktuellen Suchvorgänge

    Beliebte Artikel

      Artikel
      Alle ansehen
        Themen
        Alle ansehen
          Tickets
          Alle ansehen
            keine Ergebnisse

            Leider nichts gefunden für

            Cintoo SSO-Implementierungsleitfaden

            Dieser Artikel beschreibt Vorteile und Optionen für die Auswahl eines Single Sign-On und welche Informationen Cintoo bereitgestellt werden müssen, um SSO korrekt einzurichten.

            INHALTSVERZEICHNIS

            Überblick 

            Cintoo kann mit Ihrer unternehmensinternen Single Sign-On (SSO)-Lösung integriert werden, um die Sicherheitsanforderungen des Unternehmens zu erfüllen und das Benutzermanagement zu vereinfachen.

            Cintoo unterstützt die Protokolle OpenID Connect (OIDC) und SAML und ist mit den folgenden Identitätsanbietern kompatibel:

            • Azure AD (bevorzugter Anbieter)
            • Microsoft ADFS
            • Okta / Okta MyID
            • Ping Federate

            Kontaktieren Sie den Cintoo-Vertriebsmitarbeiter oder sales@cintoo.com um die SSO-Option für Ihr Cintoo-Konto zu abonnieren.

            Authentifizierungsfluss


            Die Authentifizierung in Cintoo erfolgt in zwei Schritten:

            • Geben Sie Ihren Login (E-Mail-Adresse) ein
            • Abhängig vom Domainnamen (zweiter Teil der E-Mail nach dem @-Zeichen) erfolgt eine Weiterleitung entweder zur nativen Cintoo-Authentifizierungsseite (d.h. mit Cintoo-Login und Passwort) oder zur SSO-Login-Seite des Unternehmens.


            Das bedeutet, dass, sobald SSO für die Domain @corp.com aktiviert ist, jeder Benutzer mit einem Login in der Form user@corp.com zur entsprechenden Anmeldeseite des Identitätsanbieters weitergeleitet wird, und es gibt keine Möglichkeit, zur nativen Cintoo-Authentifizierung zurückzukehren.


            Note: customers who subscribed to a custom Cintoo domain (of the form https://corp.cintoo.cloud) can ask to use their own SSO provider for all users, independently of the user’s domain name. See section about External Users below.

            Benutzerbereitstellung


            SSO wird nur für die Authentifizierung verwendet und hat keinen Einfluss darauf, wie Benutzer in einem Cintoo-Konto erstellt werden. Benutzer müssen weiterhin von einem Kontoadministrator oder einem Projekt-/BIM-Manager eingeladen werden. 

            Jeder Benutzer, der versucht, sich mit SSO zu authentifizieren, ohne zuvor im Konto eingeladen worden zu sein, wird sich nicht einloggen können.

            Externe Benutzer 


            Wenn externe Benutzer eingeladen werden (d.h., mit einer E-Mail in einer Domain, die Sie nicht kontrollieren) zu Ihren Projekten, werden diese Benutzer standardmäßig nicht mit Ihrem SSO authentifiziert, da SSO pro Domainname konfiguriert ist.

            Beispiel:

            • Der Domainname Ihres Unternehmens ist corp.com
            • Sie laden user@guest.com zu einem Ihrer Projekte ein
            • Wenn guest.com ebenfalls ein Cintoo-Kunde ist und die SSO-Option abonniert hat, dann wird sich user@guest.com über das SSO von guest.com (nicht über das SSO von corp.com) anmelden. Andernfalls wird sich dieser Benutzer über die native Cintoo-Authentifizierung einloggen.


            Um mehr Kontrolle über Ihre externen Benutzer zu erhalten, können Sie:

            • Fügen Sie alle externen Benutzer als Gäste in Ihrem eigenen Benutzerverzeichnis hinzu (z. B. user-guest@corp.com)
            • Abonnieren Sie eine benutzerdefinierte Cintoo-Domain, d. h. https://corp.cintoo.cloud (kontaktieren Sie den Cintoo-Vertrieb für Informationen). Auf diese Weise erhalten Sie Ihren eigenen Cintoo-Tenant, und alle Ihre Projekte sind nur über https://corp.cintoo.cloud zugänglich.
            • Bitten Sie das Cintoo IT-Team, Ihren benutzerdefinierten Domainnamen mit Ihrem SSO-Anbieter zu verknüpfen. Das bedeutet, dass jeder Benutzer, der versucht, ein Projekt in https://corp.cintoo.cloud zu öffnen, zu Ihrem eigenen SSO weitergeleitet wird, selbst wenn er keine @corp.com-E-Mail-Adresse hat.

            SSO-Implementierungsprozess

             

            Die SSO-Implementierung folgt immer diesen Schritten:

            • Kontaktieren Sie den Cintoo-Vertrieb, um die Option zu abonnieren
            • Konfigurieren Sie Ihren Identitätsanbieter mit OIDC oder SAML und übermitteln Sie die erforderlichen Informationen an das Cintoo-IT-Team über support@cintoo.com (siehe unten für Details)
            • Validieren Sie die SSO-Konfiguration mit einigen Benutzern, indem Sie eine temporäre Login-URL verwenden
            • Vereinbaren Sie mit dem Cintoo-IT-Team einen Umstellungstermin, nach dem alle Benutzer in Ihrer Domain zu Ihrem SSO-Anmeldebildschirm umgeleitet werden.


            Warning: users created in Cintoo prior to the cutover will not be able to connect anymore with their existing Cintoo password.

            Identitätsanbieter-Konfiguration

             

            Option 1: OpenID Connect


            Azure AD Verwendung einer benutzerdefinierten Anwendung

             

            Wenn Sie die generische Cintoo-Anwendung, die in der Azure AD App-Galerie bereitgestellt wird, nicht bereitstellen möchten oder können, haben Sie dennoch die Möglichkeit, Ihre eigene Anwendung in Azure AD zu erstellen.

            Wählen Sie in Azure AD App-Registrierungen und dann Neue Registrierung aus.

            Une image contenant texte Description générée automatiquement


            Note: domain in the redirect URI must match domain of your Cintoo instance (e.g., aec.cintoo.com, us.cintoo.cloud, [corp].cintoo.cloud).


            Sobald die Anwendung erstellt ist, bearbeiten Sie die Authentifizierungs Einstellungen und aktivieren die Option ID-Token.

            Une image contenant texte, capture d’écran, moniteur, écran Description générée automatiquement


            Notieren Sie die Anwendungs- (Client-) ID und die Verzeichnis- (Tenant-) ID der Anwendung und übermitteln diese Werte an das Cintoo-Support-Team.

            Une image contenant texte, capture d’écran, moniteur, écran Description générée automatiquement


            Note: Cintoo tries to match the user based on its email address. If the upn field of Azure AD users does not contain the email address, configure an optional email claim containing the user's email address (in that case Cintoo will look at the email field in the OAuth reply instead of upn).


            So fügen Sie diesen optionalen Anspruch hinzu.


            Es ist obligatorisch, eine API-Berechtigung für Microsoft Graph hinzuzufügen, um die E-Mail-Adresse zu lesen.

            Okta


            In Okta Administration eine neue App erstellen.


            Wählen Sie Web / OpenID Connect.


            Fügen Sie die erforderliche Umleitungs-URL hinzu.

             

            Note: redirect URI depends on the domain name of your Cintoo instance. Überprüfen Sie mit dem Cintoo-Support-Team, welches die richtige ist.


            Im nächsten Bildschirm, Allgemeine Einstellungen, klicken Sie auf Bearbeiten und fügen die Berechtigung ID-Token mit impliziter Gewährung hinzu.


            Wenn dies erledigt ist, gehen Sie zum Tab Anmelden und notieren Sie die Felder Herausgeber und Zielgruppe  im Abschnitt OpenID Connect ID-Token.


            Diese Werte müssen dem Cintoo-Support-Team mitgeteilt werden.

            Andere Anbieter


            Hier ist die generische Konfiguration für jeden anderen Identitätsanbieter, der OpenID Connect verwendet:

            • Erstellen Sie eine Cintoo Anwendung.
            • Konfigurieren Sie die Rückruf-URL: https://<domain>/login/oauthcb, wobei domain  von Ihrer Cintoo-Instanz abhängt (z.B. us.cintoo.cloud oder eu.cintoo.cloud).
            • Erlauben Sie ID-Token mit impliziter Gewährung
            • Erlauben Sie die folgenden Bereiche: openID E-Mail Profil.
            • Kommunizieren Sie die folgenden Informationen an das Cintoo-Support-Team:
              1. Client ID
              2. OpenID Connect Discovery-URL (z.B. https://<your_domain>/.well-known/openid-configuration)


            Note: Cintoo matches the username based on the email field in the OAuth reply. If there is no email field, the upn field is used instead.

            Option 2: SAML

             

            Hier sind die Metadaten des Dienstanbieters, die Sie innerhalb Ihres SAML-Identitätsanbieters konfigurieren müssen.

            <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://<domain>/saml">
                <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
                    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
                    <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://<domain>/saml" index="1"/>
                </md:SPSSODescriptor>
            </md:EntityDescriptor>

             

            Note: domain must be replaced by domain name corresponding to your instance of Cintoo (e.g., eu.cintoo.cloud, us.cintoo.cloud, or your-company.cintoo.cloud).


            Sie müssen Ihre IdP-Metadaten-URL oder -Datei an das Cintoo-Support-Team übermitteln oder zumindest die folgenden Details mitteilen:

            • IdP-Entity-ID
            • Login-URL
            • Signaturzertifikat(e)


            Note: Cintoo matches username based on NameID field (SAML subject) in SAML response. NameID must be same as Cintoo login, i.e. user’s email address.

            War dieser Artikel hilfreich?

            Das ist großartig!

            Vielen Dank für das Feedback

            Leider konnten wir nicht helfen

            Vielen Dank für das Feedback

            Wie können wir diesen Artikel verbessern?

            Wählen Sie wenigstens einen der Gründe aus
            CAPTCHA-Verifikation ist erforderlich.

            Feedback gesendet

            Wir wissen Ihre Bemühungen zu schätzen und werden versuchen, den Artikel zu korrigieren

            Vorschau
            0 von 0