Este artículo describe las ventajas y opciones para elegir un inicio de sesión único (SSO) y qué información se debe proporcionar a Cintoo para configurar el SSO correctamente.
ÍNDICE DE CONTENIDOS
- Descripción general
- Flujo de autenticación
- Provisionamiento de usuarios
- Usuarios externos
- Proceso de implementación de SSO
Descripción general
Cintoo puede integrarse con la solución de inicio de sesión único (SSO) de tu empresa, para cumplir con los requisitos de seguridad corporativos y simplificar la gestión de usuarios.
Cintoo admite los protocolos OpenID Connect (OIDC) y SAML, y es compatible con los siguientes proveedores de identidad:
- Azure AD (proveedor preferido)
- Microsoft ADFS
- Okta / Okta MyID
- Ping Federate
Contacta con un representante de ventas de Cintoo o sales@cintoo.com para suscribirte a la opción de SSO para tu cuenta de Cintoo.
Flujo de autenticación
La autenticación en Cintoo se realiza en dos pasos:
- Ingresa el inicio de sesión (dirección de correo electrónico)
- Según el nombre de dominio (la segunda parte del correo electrónico después del carácter @), se redirige a la pantalla de autenticación nativa de Cintoo (es decir, con un inicio de sesión y contraseña de Cintoo) o a la pantalla de inicio de sesión corporativo de SSO.

Esto significa que una vez que el SSO esté activado para el dominio @corp.com, cualquier usuario con un inicio de sesión con el formato user@corp.com será redirigido a la pantalla de inicio de sesión del proveedor de identidad correspondiente, y no hay forma de volver a la autenticación nativa de Cintoo.
Nota: los clientes que se suscribieron a un dominio personalizado de Cintoo (de la forma https://corp.cintoo.cloud) pueden solicitar usar su propio proveedor de SSO para todos los usuarios, independientemente del nombre de dominio del usuario. Ver la sección sobre Usuarios externos a continuación.
Provisionamiento de usuarios
El SSO solo se utiliza para la autenticación y no tiene impacto en la forma en que se crean los usuarios en una cuenta de Cintoo. Los usuarios aún deben ser invitados por un administrador de cuenta o por un gerente de proyecto / BIM.
Cualquier usuario que intente autenticarse usando SSO sin haber sido invitado primero a la cuenta no podrá iniciar sesión.
Usuarios externos
Si se invita a usuarios externos (es decir, con un correo electrónico en un dominio que no controlas) a tus proyectos, de forma predeterminada estos usuarios no se autenticarán con tu SSO, ya que el SSO se configura por nombre de dominio.
Ejemplo:
- El nombre de dominio de tu empresa es corp.com
- Invitas a user@guest.com a uno de tus proyectos
- Si guest.com también es cliente de Cintoo y se ha suscrito a la opción de SSO, entonces user@guest.com se autenticará a través del SSO de guest.com (no del SSO de corp.com). De lo contrario, este usuario iniciará sesión a través de la autenticación nativa de Cintoo.
Para aumentar el control sobre tus usuarios externos, es posible que quieras:
- Agregar todos los usuarios externos como invitados en tu propio directorio de usuarios (por ejemplo, user-guest@corp.com)
- Suscribirte a un dominio personalizado de Cintoo, es decir, https://corp.cintoo.cloud (contacta con ventas de Cintoo para obtener información). De esta manera obtendrás tu propio tenant de Cintoo, y todos tus proyectos solo serán accesibles a través de https://corp.cintoo.cloud.
- Pide al equipo de TI de Cintoo que vincule tu dominio personalizado con tu proveedor de SSO. Esto significa que cualquier usuario que intente abrir un proyecto en https://corp.cintoo.cloud será redirigido a tu propio SSO, incluso si no tiene una dirección de correo electrónico @corp.com.
Proceso de implementación de SSO
La implementación de SSO siempre sigue estos pasos:
- Contacta con ventas de Cintoo para suscribirte a la opción
- Configura tu proveedor de identidad con OIDC o SAML, y comunica la información requerida al equipo de TI de Cintoo a través de support@cintoo.com (ver los detalles a continuación)
- Valida la configuración de SSO con algunos usuarios, utilizando una URL de inicio de sesión temporal
- Acuerda con el equipo de TI de Cintoo una fecha de cambio, después de la cual todos los usuarios en tu dominio serán redirigidos a tu pantalla de inicio de sesión de SSO
Advertencia: los usuarios creados en Cintoo antes del cambio ya no podrán conectarse con su contraseña existente de Cintoo.
Configuración del proveedor de identidad
Opción 1: OpenID Connect
Azure AD usando una aplicación personalizada
Debe crear su propia aplicación en Azure AD.
En Azure AD, selecciona Registros de aplicaciones, luego Nuevo registro

Nota: el dominio en el URI de redirección debe coincidir con el dominio de tu instancia de Cintoo (por ejemplo, aec.cintoo.com, us.cintoo.cloud, [corp].cintoo.cloud).
Una vez creada la aplicación, edita la configuración de Autenticación y habilita la opción tokens de ID.

Anota el ID de aplicación (cliente) y el ID de directorio (tenant) de la aplicación, y comunica estos valores al equipo de soporte de Cintoo.

Nota: Cintoo intenta emparejar al usuario en función de su dirección de correo electrónico. Si el campo upn de los usuarios de Azure AD no contiene la dirección de correo electrónico, configura un reclamo opcional de correo electrónico que contenga la dirección de correo electrónico del usuario (en ese caso, Cintoo buscará el campo de correo electrónico en la respuesta de OAuth en lugar de upn).
Aquí se muestra cómo agregar este reclamo opcional.

Es obligatorio agregar un permiso de API para Microsoft Graph para leer la dirección de correo electrónico.

Okta
En Administración de Okta, crea una nueva aplicación.

Selecciona Web / OpenID Connect.

Agrega la URL de redirección necesaria.
Nota: el URI de redirección depende del nombre de dominio de tu instancia de Cintoo. Consulta con el equipo de soporte de Cintoo cuál es el correcto.
En la siguiente pantalla, Configuración general, haz clic en Editar y agrega el permiso ID Token con concesión implícita.

Cuando hayas terminado, ve a la pestaña Sign On y anota los campos Issuer y Audience en la sección OpenID Connect ID Token.

Estos valores deberán comunicarse al equipo de soporte de Cintoo.
Otros proveedores
Esta es la configuración genérica para cualquier otro proveedor de identidad que use OpenID Connect:
- Crea una aplicación de Cintoo
- Configura el URI de redirección: https://<domain>/login/oauthcb, donde domain depende de tu instancia de Cintoo (por ejemplo, us.cintoo.cloud o eu.cintoo.cloud)
- Permite el token de ID con concesión implícita
- Permite los siguientes ámbitos: openID email profile
- Comunica la siguiente información al equipo de soporte de Cintoo:
- ID del cliente
- URL de descubrimiento de OpenID Connect (p. ej., https://<your_domain>/.well-known/openid-configuration)
Nota: Cintoo compara el nombre de usuario en función del campo email en la respuesta de OAuth. Si no hay un campo de email, se usa en su lugar el campo upn .
Opción 2: SAML
Aquí están los metadatos del proveedor de servicios que necesitas configurar dentro de tu proveedor de identidad SAML.
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://<domain>/saml">
<md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://<domain>/saml" index="1"/>
</md:SPSSODescriptor>
</md:EntityDescriptor>
Nota: domain debe reemplazarse por el nombre de dominio correspondiente a tu instancia de Cintoo (por ejemplo, eu.cintoo.cloud, us.cintoo.cloud o your-company.cintoo.cloud).
Necesitarás comunicar la URL o el archivo de metadatos de tu IdP al equipo de soporte de Cintoo o, al menos, los siguientes detalles:
- ID de entidad del IdP
- URL de inicio de sesión
- Certificado(s) de firma
Nota: Cintoo compara el nombre de usuario en función del campo NameID (sujeto SAML) en la respuesta de SAML. El NameID debe ser el mismo que el inicio de sesión de Cintoo, es decir, la dirección de correo electrónico del usuario.
¿Le fue útil este artículo?
¡Qué bueno!
Gracias por sus comentarios
¡Sentimos mucho no haber sido de ayuda!
Gracias por sus comentarios
Comentarios enviados
Agradecemos su iniciativa, e intentaremos corregir el artículo