Cintoo SSOの実装ガイド

この記事は、シングルサインオン(SSO)の利点と選択肢、およびSSOを正しく設定するためにCintooに提供すべき情報について説明します。


目次


概要 

Cintooは、企業のセキュリティ要件を満たし、ユーザー管理を簡素化するために、企業のシングルサインオン(SSO)ソリューションと統合できます。

CintooはOpenID Connect(OIDC)およびSAMLプロトコルをサポートしており、次のIDプロバイダーと互換性があります:

  • Azure AD (推奨プロバイダ)
  • Microsoft ADFS
  • Okta / Okta MyID
  • Ping Federate

Cintoo営業担当者またはsales@cintoo.comにお問い合わせの上、貴社CintooアカウントでSSOオプションを購読してください。


認証フロー


Cintooの認証は2ステップで行われます:

  • ログイン(メールアドレス)を入力
  • ドメイン名(@記号の後のEメールの第二部)に基づいて、Cintooのネイティブ認証画面(すなわち、Cintooのログインとパスワードを用いたもの)または企業のSSOログイン画面にリダイレクトします。


つまり、@corp.comドメイン用にSSOが有効になっている場合、user@corp.com形式のログインを持つユーザーは、対応するIDプロバイダーのログイン画面にリダイレクトされ、Cintooネイティブ認証に戻る方法はありません。


注意: カスタムCintooドメイン(形式https://corp.cintoo.cloud)を購読しているお客様は、ユーザードメイン名に関係なくすべてのユーザーに独自のSSOプロバイダーを使用するように依頼することができます。 以下の外部ユーザー についてのセクションを参照してください。


ユーザーのプロビジョニング


SSOは認証にのみ使用され、Cintooアカウントでのユーザー作成方法には影響しません。 ユーザーは依然としてアカウント管理者やプロジェクト/BIMマネージャーによって招待されなければなりません。 

アカウントに最初に招待されることなくSSOを使用して認証を試みるユーザーは、ログインすることができません。


外部ユーザー 


外部ユーザが(つまり、あなたが管理していないドメインのメールで)プロジェクトに招待される場合、デフォルトではこれらのユーザーは認証にSSOを使用しません。SSOはドメイン名ごとに設定されているためです。

例:

  • 貴社のドメイン名はcorp.comです
  • user@guest.comをプロジェクトの1つに招待します
  • もしguest.comがCintooの顧客であり、SSOオプションを購読している場合、その場合user@guest.comは、guest.com SSO(ではなくcorp.com SSO)を通じて認証されます。 それ以外の場合、このユーザーはCintooのネイティブ認証を通じてログインします。


外部ユーザーの管理を強化するために、次のことを検討してください:

  • すべての外部ユーザーを自社のユーザーディレクトリ(例えばuser-guest@corp.com)にゲストとして追加します
  • custom Cintooドメイン(例: https://corp.cintoo.cloud)を購読する(詳細はCintoo営業にお問い合わせください)。 この方法で独自のCintoo tenantが取得でき、すべてのプロジェクトはhttps://corp.cintoo.cloudのみを介してアクセスできます。
  • カスタムドメインをSSOプロバイダーにリンクするようにCintooのITチームに依頼してください。 これは、https://corp.cintoo.cloudでプロジェクトを開こうとするユーザーが@corp.comメールアドレスを持っていない場合でも、自社のSSOにリダイレクトされることを意味します。

SSO実装プロセス

 

SSOの実装は常に次のステップに従います:

  • このオプションを購読するためにCintooの営業に連絡してください
  • OIDCまたはSAMLでIDプロバイダーを設定し、support@cintoo.comを通じて必要な情報をCintooのITチームに提供してください(詳細は以下をご覧ください)
  • 一時的なログインURLを使用して、一部のユーザーでSSO設定を確認してください
  • どの時点でドメイン内のすべてのユーザーが自社のSSOログイン画面にリダイレクトされるかについて、CintooのITチームと合意してください


注意: 切り替え前にCintooで作成されたユーザーは、既存のCintooパスワードで接続できません。


IDプロバイダー設定

 

オプション1: OpenID Connect


Azure-AD-Using-a-Custom-Application

 

Azure AD で独自のアプリケーションを作成する必要があります。

Azure ADでアプリ登録を選択し、次に新規登録を選択します

テキストを含む画像

自動生成された説明


注意: リダイレクトURIのドメインは貴社のCintooインスタンスのドメインと一致しなければなりません(例: aec.cintoo.com、us.cintoo.cloud、 [corp].cintoo.cloud)。


アプリケーションが作成されたら、認証 設定を編集し、IDトークンオプションを有効にしてください。

テキスト、スクリーンショット、モニター、画面を含む画像

自動生成された説明


アプリケーション(クライアント)IDディレクトリ(テナント)IDを記録し、これらの値をCintooサポートチームに伝えてください。

テキスト、スクリーンショット、モニター、画面を含む画像

自動生成された説明


注意: Cintooは、メールアドレスに基づいてユーザーを照合しようとします。 もしAzure ADユーザーのupn フィールドにemailアドレスが含まれていない場合、ユーザーのemail アドレスを含むオプションのemailクレームを設定してください(その場合、Cintooはupnの代わりにOAuth応答のemailフィールドを参照します)。


このオプションのクレームを追加する方法はこちらです。


メールアドレスを読み取るためにMicrosoft GraphにAPIアクセス許可を追加することが必須です。


Okta


Okta Administrationで、新しいアプリを作成します。


Web / OpenID Connectを選択してください。


必要なリダイレクトURLを追加してください。

 

注意: リダイレクトURIは、貴社のCintooインスタンスのドメイン名に依存します。 Cintooサポートチームに確認して、どれが正しいかを確認してください。


次の画面で、一般設定をクリックして、暗黙的許可を持つIDトークンの権限を追加します。


完了したら、Sign Onタブに移動し、OpenID Connect IDトークンセクションのIssuer およびAudience フィールドを確認してください。


これらの値はCintooサポートチームに伝える必要があります。


その他のプロバイダ


OpenID Connectを使用する他のアイデンティティプロバイダーの汎用構成はこちらです:

  • Cintoo アプリケーションを作成する
  • リダイレクトURIを構成する:https://<domain>/login/oauthcb。ここで、domain はお使いのCintooインスタンスに依存します(例:us.cintoo.cloudまたはeu.cintoo.cloud)
  • implicit grantを持つIDトークンを許可します
  • 以下のスコープを許可する:openID email profile
  • 以下の情報をCintooサポートチームに伝えてください。
    1. クライアントID
    2. OpenID ConnectディスカバリーURL(例:https://<your_domain>/.well-known/openid-configuration


注意: CintooはOAuth応答のemail フィールドに基づいてユーザー名を一致させます。 emailフィールドがない場合、代わりにupn フィールドが使用されます。


オプション2: SAML

 

SAMLアイデンティティプロバイダー内で構成する必要があるサービスプロバイダーメタデータはこちらです。

<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://<domain>/saml">
<md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://<domain>/saml" index="1"/>
</md:SPSSODescriptor>
</md:EntityDescriptor>

 

注意: domainはお使いのCintooインスタンスに対応するドメイン名に置き換える必要があります(例:eu.cintoo.cloud、us.cintoo.cloud、またはyour-company.cintoo.cloud)。


IdPメタデータのURLまたはファイルをCintooサポートチームに伝える必要があります。あるいは、少なくとも以下の詳細を伝えてください:

  • IdPエンティティID
  • ログインURL
  • 署名証明書


注意: CintooはSAML応答内のNameID フィールド(SAML subject)に基づいてユーザー名を照合します。 NameID はCintooログイン、すなわちユーザーのemail アドレスと同じでなければなりません。

この記事は役に立ちましたか?

それは素晴らしい!

フィードバックありがとうございます

お役に立てず申し訳ございません!

フィードバックありがとうございます

この記事に改善できることがあれば教えてください。

少なくとも一つの理由を選択してください
CAPTCHA認証が必要です。

フィードバックを送信しました

記事の改善におけるご協力ありがとうございます。