Recherches récentes

Aucune recherche récente

    Articles populaires

      Articles
      Afficher tout
        Sujets
        Afficher tout
          Tickets
          Afficher tout
            aucun résultat

            Désolé ! aucun résultat trouvé pour

            Guide d'implémentation de Cintoo SSO

            Cet article décrit les avantages et les options à choisir pour un Single Sign-On et quelles informations fournir à Cintoo pour configurer correctement le SSO.

            TABLE DES MATIÈRES

            Vue Ortho 

            Cintoo peut être intégré avec votre solution SSO d'entreprise, pour répondre aux exigences de sécurité d'entreprise et simplifier la gestion des utilisateurs.

            Cintoo prend en charge les protocoles OpenID Connect (OIDC) et SAML, et est compatible avec les fournisseurs d'identité suivants :

            • Azure AD (fournisseur préféré)
            • Microsoft ADFS
            • Okta / Okta MyID
            • Ping Federate

            Contactez un représentant commercial de Cintoo ou sales@cintoo.com pour souscrire à l'option SSO pour votre compte Cintoo.

            Flux d'authentification


            L'authentification dans Cintoo se fait en deux étapes :

            • Entrez le login (adresse e-mail)
            • En fonction du nom de domaine (deuxième partie de l'e-mail après le caractère @), redirigez soit vers l'écran d'authentification native de Cintoo (c'est-à-dire avec un login et un mot de passe Cintoo), soit vers l'écran de connexion SSO de l'entreprise.


            Cela signifie qu'une fois que le SSO est activé pour le domaine @corp.com, tout utilisateur ayant un login sous la forme user@corp.com est redirigé vers l'écran de connexion du fournisseur d'identité correspondant, et il n'est pas possible de revenir à l'authentification native de Cintoo.


            Remarque : les clients qui se sont abonnés à un domaine Cintoo personnalisé (sous la forme https://corp.cintoo.cloud) peuvent demander à utiliser leur propre fournisseur SSO pour tous les utilisateurs, indépendamment du nom de domaine de l'utilisateur. Voir la section sur Utilisateurs externes ci-dessous.

            Fourniture de comptes utilisateur


            Le SSO est uniquement utilisé pour l'authentification et n'a aucun impact sur la façon dont les utilisateurs sont créés dans un compte Cintoo. Les utilisateurs doivent toujours être invités par un administrateur de compte ou par un chef de projet / BIM. 

            Tout utilisateur tentant de s'authentifier avec le SSO sans avoir été invité au préalable dans le compte ne pourra pas se connecter.

            Utilisateurs externes 


            Si des utilisateurs externes sont invités (c'est-à-dire avec un e-mail dans un domaine que vous ne contrôlez pas) à vos projets, par défaut ces utilisateurs ne s'authentifieront pas avec votre SSO, car le SSO est configuré par nom de domaine.

            Exemple :

            • Le nom de domaine de votre entreprise est corp.com
            • Vous invitez user@guest.com à l'un de vos projets
            • Si guest.com est également un client de Cintoo et s'est abonné à l'option SSO, alors user@guest.com s'authentifiera par le SSO de guest.com (pas par le SSO de corp.com). Sinon, cet utilisateur se connectera via l'authentification native de Cintoo.


            Pour augmenter le contrôle sur vos utilisateurs externes, vous pouvez vouloir :

            • Ajouter tous les utilisateurs externes en tant qu'invités dans votre propre annuaire d'utilisateurs (par ex., user-guest@corp.com)
            • Souscrire à un domaine personnalisé Cintoo, c'est-à-dire https://corp.cintoo.cloud (contactez les ventes de Cintoo pour information). De cette façon, vous obtiendrez votre propre locataire Cintoo, et tous vos projets ne seront accessibles qu'à travers https://corp.cintoo.cloud.
            • Demandez à l'équipe informatique de Cintoo de lier votre domaine personnalisé à votre fournisseur SSO. Cela signifie que tout utilisateur essayant d'ouvrir un projet sur https://corp.cintoo.cloud sera redirigé vers votre propre SSO, même s'il n'a pas une adresse e-mail @corp.com.

            Processus de mise en œuvre du SSO

             

            La mise en œuvre du SSO suit toujours ces étapes :

            • Contactez les commerciaux de Cintoo pour souscrire à l'option
            • Configurez votre fournisseur d'identité avec OIDC ou SAML, et communiquez les informations requises à l'équipe informatique de Cintoo via support@cintoo.com (voir les détails ci-dessous)
            • Validez la configuration du SSO avec quelques utilisateurs, en utilisant une URL de connexion temporaire
            • Convenez avec l'équipe informatique de Cintoo d'une date de basculement, après laquelle tous les utilisateurs de votre domaine seront redirigés vers votre écran de connexion SSO

            Attention : les utilisateurs créés dans Cintoo avant le basculement ne pourront plus se connecter avec leur mot de passe Cintoo existant.

            Configuration du Fournisseur d'Identité

             

            Option 1 : OpenID Connect


            Azure AD Utiliser une application personnalisée

             

            Si vous ne souhaitez pas ou ne pouvez pas prévoir l'application générique Cintoo fournie dans la galerie d'applications Azure AD, vous avez toujours l'option de créer votre propre application dans Azure AD.

            Dans Azure AD, sélectionnez Inscription des applications, puis Nouvelle inscription

            Une image contenant texte Description générée automatiquement


            Remarque : le domaine dans l'URI de redirection doit correspondre au domaine de votre instance Cintoo (par ex., aec.cintoo.com, us.cintoo.cloud, [corp].cintoo.cloud).


            Une fois l'application créée, éditez les paramètres Authentification et activez l'option ID tokens.

            Une image contenant texte, capture d’écran, moniteur, écran Description générée automatiquement


            Notez l'ID d'application (client) et l'ID de répertoire (tenant) de l'application et communiquez ces valeurs à l'équipe support de Cintoo.

            Une image contenant texte, capture d’écran, moniteur, écran Description générée automatiquement


            Remarque : Cintoo essaie de faire correspondre l'utilisateur en fonction de son adresse e-mail. Si le champ upn  des utilisateurs Azure AD ne contient pas l'adresse e-mail, configurez une revendication e-mail  optionnelle contenant l'adresse e-mail de l'utilisateur (dans ce cas, Cintoo examinera le champ e-mail  dans la réponse OAuth au lieu de upn).


            Voici comment ajouter cette revendication optionnelle.


            Il est obligatoire d'ajouter une autorisation API pour Microsoft Graph afin de lire l'adresse e-mail.

            Okta


            Dans Okta Administration, créez une nouvelle application.


            Sélectionnez Web / OpenID Connect.


            Ajoutez l'URL de redirection nécessaire.

             

            Remarque : l'URI de redirection dépend du nom de domaine de votre instance Cintoo. Vérifiez avec l'équipe de support de Cintoo lequel est le bon.


            Dans l'écran suivant, Paramètres généraux, cliquez sur Modifier et ajoutez ID Token avec autorisation implicite.


            Lorsque cela est fait, allez à l'onglet Connexion et notez les champs Émetteur et Audience  dans la section Jeton d'Identité OpenID Connect.


            Ces valeurs devront être communiquées à l'équipe de support de Cintoo.

            Autres fournisseurs


            Voici la configuration générique pour tout autre fournisseur d'identité utilisant OpenID Connect :

            • Créez une application Cintoo 
            • Configurez l'URI de redirection : https://<domain>/login/oauthcbdomaine  dépend de votre instance Cintoo (par ex., us.cintoo.cloud ou eu.cintoo.cloud)
            • Autoriser le jeton d'identité avec autorisation implicite
            • Autoriser les portées suivantes : openID email profil
            • Communiquez les informations suivantes à l'équipe de support de Cintoo :
              1. ID Client
              2. URL de découverte OpenID Connect (par ex., https://<your_domain>/.well-known/openid-configuration)


            Remarque :  Cintoo fait correspondre le nom d'utilisateur en fonction du champ e-mail dans la réponse OAuth. S'il n'y a pas de champ e-mail, le champ upn est utilisé à la place.

            Option 2 : SAML

             

            Voici les métadonnées du fournisseur de services dont vous aurez besoin pour configurer votre fournisseur d'identité SAML.

            <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://<domain>/saml">
                <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
                    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
                    <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://<domain>/saml" index="1"/>
                </md:SPSSODescriptor>
            </md:EntityDescriptor>

             

            Remarque : le domaine doit être remplacé par le nom de domaine correspondant à votre instance de Cintoo (par ex., eu.cintoo.cloud, us.cintoo.cloud, ou votre-entreprise.cintoo.cloud).


            Vous devrez communiquer l'URL de métadonnées de votre IdP ou le fichier à l'équipe de support de Cintoo, ou au moins les détails suivants :

            • ID d'entité de l'IdP
            • URL de connexion
            • Certificat(s) de signature


            Remarque : Cintoo fait correspondre le nom d'utilisateur en fonction du champ NameID (sujet SAML) dans la réponse SAML. Le NameID doit être le même que le login Cintoo, c'est-à-dire l'adresse e-mail de l'utilisateur.

            Cet article a-t-il été utile ?

            C'est super !

            Merci pour votre commentaire

            Désolé ! Nous n'avons pas pu vous être utile

            Merci pour votre commentaire

            Dites-nous comment nous pouvons améliorer cet article !

            Sélectionner au moins l'une des raisons
            La vérification CAPTCHA est requise.

            Commentaires envoyés

            Nous apprécions vos efforts et nous allons corriger l'article

            Aperçu
            0 de 0