この記事は、シングルサインオン(SSO)の利点と選択肢、およびSSOを正しく設定するためにCintooに提供すべき情報について説明します。
目次
概要
Cintooは、企業のセキュリティ要件を満たし、ユーザー管理を簡素化するために、企業のシングルサインオン(SSO)ソリューションと統合できます。
CintooはOpenID Connect(OIDC)およびSAMLプロトコルをサポートしており、次のIDプロバイダーと互換性があります:
- Azure AD (推奨プロバイダ)
- Microsoft ADFS
- Okta / Okta MyID
- Ping Federate
Cintoo営業担当者またはsales@cintoo.comにお問い合わせの上、貴社CintooアカウントでSSOオプションを購読してください。
認証フロー
Cintooの認証は2ステップで行われます:
- ログイン(メールアドレス)を入力
- ドメイン名(@記号の後のEメールの第二部)に基づいて、Cintooのネイティブ認証画面(すなわち、Cintooのログインとパスワードを用いたもの)または企業のSSOログイン画面にリダイレクトします。

つまり、@corp.comドメイン用にSSOが有効になっている場合、user@corp.com形式のログインを持つユーザーは、対応するIDプロバイダーのログイン画面にリダイレクトされ、Cintooネイティブ認証に戻る方法はありません。
注意: カスタムCintooドメイン(形式https://corp.cintoo.cloud)を購読しているお客様は、ユーザードメイン名に関係なくすべてのユーザーに独自のSSOプロバイダーを使用するように依頼することができます。 以下の外部ユーザー についてのセクションを参照してください。
ユーザーのプロビジョニング
SSOは認証にのみ使用され、Cintooアカウントでのユーザー作成方法には影響しません。 ユーザーは依然としてアカウント管理者やプロジェクト/BIMマネージャーによって招待されなければなりません。
アカウントに最初に招待されることなくSSOを使用して認証を試みるユーザーは、ログインすることができません。
外部ユーザー
外部ユーザが(つまり、あなたが管理していないドメインのメールで)プロジェクトに招待される場合、デフォルトではこれらのユーザーは認証にSSOを使用しません。SSOはドメイン名ごとに設定されているためです。
例:
- 貴社のドメイン名はcorp.comです
- user@guest.comをプロジェクトの1つに招待します
- もしguest.comがCintooの顧客であり、SSOオプションを購読している場合、その場合user@guest.comは、guest.com SSO(ではなくcorp.com SSO)を通じて認証されます。 それ以外の場合、このユーザーはCintooのネイティブ認証を通じてログインします。
外部ユーザーの管理を強化するために、次のことを検討してください:
- すべての外部ユーザーを自社のユーザーディレクトリ(例えばuser-guest@corp.com)にゲストとして追加します
- custom Cintooドメイン(例: https://corp.cintoo.cloud)を購読する(詳細はCintoo営業にお問い合わせください)。 この方法で独自のCintoo tenantが取得でき、すべてのプロジェクトはhttps://corp.cintoo.cloudのみを介してアクセスできます。
- カスタムドメインをSSOプロバイダーにリンクするようにCintooのITチームに依頼してください。 これは、https://corp.cintoo.cloudでプロジェクトを開こうとするユーザーが@corp.comメールアドレスを持っていない場合でも、自社のSSOにリダイレクトされることを意味します。
SSO実装プロセス
SSOの実装は常に次のステップに従います:
- このオプションを購読するためにCintooの営業に連絡してください
- OIDCまたはSAMLでIDプロバイダーを設定し、support@cintoo.comを通じて必要な情報をCintooのITチームに提供してください(詳細は以下をご覧ください)
- 一時的なログインURLを使用して、一部のユーザーでSSO設定を確認してください
- どの時点でドメイン内のすべてのユーザーが自社のSSOログイン画面にリダイレクトされるかについて、CintooのITチームと合意してください
注意: 切り替え前にCintooで作成されたユーザーは、既存のCintooパスワードで接続できません。
IDプロバイダー設定
オプション1: OpenID Connect
Azure-AD-Using-a-Custom-Application
Azure AD で独自のアプリケーションを作成する必要があります。
Azure ADでアプリ登録を選択し、次に新規登録を選択します

注意: リダイレクトURIのドメインは貴社のCintooインスタンスのドメインと一致しなければなりません(例: aec.cintoo.com、us.cintoo.cloud、 [corp].cintoo.cloud)。
アプリケーションが作成されたら、認証 設定を編集し、IDトークンオプションを有効にしてください。

アプリケーション(クライアント)IDとディレクトリ(テナント)IDを記録し、これらの値をCintooサポートチームに伝えてください。

注意: Cintooは、メールアドレスに基づいてユーザーを照合しようとします。 もしAzure ADユーザーのupn フィールドにemailアドレスが含まれていない場合、ユーザーのemail アドレスを含むオプションのemailクレームを設定してください(その場合、Cintooはupnの代わりにOAuth応答のemailフィールドを参照します)。
このオプションのクレームを追加する方法はこちらです。

メールアドレスを読み取るためにMicrosoft GraphにAPIアクセス許可を追加することが必須です。

Okta
Okta Administrationで、新しいアプリを作成します。

Web / OpenID Connectを選択してください。

必要なリダイレクトURLを追加してください。
注意: リダイレクトURIは、貴社のCintooインスタンスのドメイン名に依存します。 Cintooサポートチームに確認して、どれが正しいかを確認してください。
次の画面で、一般設定をクリックして、暗黙的許可を持つIDトークンの権限を追加します。

完了したら、Sign Onタブに移動し、OpenID Connect IDトークンセクションのIssuer およびAudience フィールドを確認してください。

これらの値はCintooサポートチームに伝える必要があります。
その他のプロバイダ
OpenID Connectを使用する他のアイデンティティプロバイダーの汎用構成はこちらです:
- Cintoo アプリケーションを作成する
- リダイレクトURIを構成する:https://<domain>/login/oauthcb。ここで、domain はお使いのCintooインスタンスに依存します(例:us.cintoo.cloudまたはeu.cintoo.cloud)
- implicit grantを持つIDトークンを許可します
- 以下のスコープを許可する:openID email profile
- 以下の情報をCintooサポートチームに伝えてください。
- クライアントID
- OpenID ConnectディスカバリーURL(例:https://<your_domain>/.well-known/openid-configuration)
注意: CintooはOAuth応答のemail フィールドに基づいてユーザー名を一致させます。 emailフィールドがない場合、代わりにupn フィールドが使用されます。
オプション2: SAML
SAMLアイデンティティプロバイダー内で構成する必要があるサービスプロバイダーメタデータはこちらです。
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://<domain>/saml">
<md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://<domain>/saml" index="1"/>
</md:SPSSODescriptor>
</md:EntityDescriptor>
注意: domainはお使いのCintooインスタンスに対応するドメイン名に置き換える必要があります(例:eu.cintoo.cloud、us.cintoo.cloud、またはyour-company.cintoo.cloud)。
IdPメタデータのURLまたはファイルをCintooサポートチームに伝える必要があります。あるいは、少なくとも以下の詳細を伝えてください:
- IdPエンティティID
- ログインURL
- 署名証明書
注意: CintooはSAML応答内のNameID フィールド(SAML subject)に基づいてユーザー名を照合します。 NameID はCintooログイン、すなわちユーザーのemail アドレスと同じでなければなりません。
この記事は役に立ちましたか?
それは素晴らしい!
フィードバックありがとうございます
お役に立てず申し訳ございません!
フィードバックありがとうございます
フィードバックを送信しました
記事の改善におけるご協力ありがとうございます。