Recherches récentes

Aucune recherche récente

    Articles populaires

      Articles
      Afficher tout
        Sujets
        Afficher tout
          Tickets
          Afficher tout
            aucun résultat

            Désolé ! aucun résultat trouvé pour

            Guide d'implémentation de Cintoo SSO

            Cet article décrit les avantages et les options à choisir pour un Single Sign-On et quelles informations fournir à Cintoo pour configurer correctement le SSO.

            TABLE DES MATIÈRES

            Vue Ortho 

            Cintoo peut être intégré avec votre solution SSO d'entreprise, pour répondre aux exigences de sécurité d'entreprise et simplifier la gestion des utilisateurs.

            Cintoo prend en charge les protocoles OpenID Connect (OIDC) et SAML, et est compatible avec les fournisseurs d'identité suivants :

            • Azure AD (fournisseur préféré)
            • Microsoft ADFS
            • Okta / Okta MyID
            • Ping Federate

            Contactez un représentant commercial de Cintoo ou sales@cintoo.com pour souscrire à l'option SSO pour votre compte Cintoo.

            Flux d'authentification


            L'authentification dans Cintoo se fait en deux étapes :

            • Entrez le login (adresse e-mail)
            • En fonction du nom de domaine (deuxième partie de l'e-mail après le caractère @), redirigez soit vers l'écran d'authentification native de Cintoo (c'est-à-dire avec un login et un mot de passe Cintoo), soit vers l'écran de connexion SSO de l'entreprise.


            Cela signifie qu'une fois que le SSO est activé pour le domaine @corp.com, tout utilisateur ayant un login sous la forme user@corp.com est redirigé vers l'écran de connexion du fournisseur d'identité correspondant, et il n'est pas possible de revenir à l'authentification native de Cintoo.


            Note: customers who subscribed to a custom Cintoo domain (of the form https://corp.cintoo.cloud) can ask to use their own SSO provider for all users, independently of the user’s domain name. See section about External Users below.

            Fourniture de comptes utilisateur


            Le SSO est uniquement utilisé pour l'authentification et n'a aucun impact sur la façon dont les utilisateurs sont créés dans un compte Cintoo. Les utilisateurs doivent toujours être invités par un administrateur de compte ou par un chef de projet / BIM. 

            Tout utilisateur tentant de s'authentifier avec le SSO sans avoir été invité au préalable dans le compte ne pourra pas se connecter.

            Utilisateurs externes 


            Si des utilisateurs externes sont invités (c'est-à-dire avec un e-mail dans un domaine que vous ne contrôlez pas) à vos projets, par défaut ces utilisateurs ne s'authentifieront pas avec votre SSO, car le SSO est configuré par nom de domaine.

            Exemple :

            • Le nom de domaine de votre entreprise est corp.com
            • Vous invitez user@guest.com à l'un de vos projets
            • Si guest.com est également un client de Cintoo et s'est abonné à l'option SSO, alors user@guest.com s'authentifiera par le SSO de guest.com (pas par le SSO de corp.com). Sinon, cet utilisateur se connectera via l'authentification native de Cintoo.


            Pour augmenter le contrôle sur vos utilisateurs externes, vous pouvez vouloir :

            • Ajouter tous les utilisateurs externes en tant qu'invités dans votre propre annuaire d'utilisateurs (par ex., user-guest@corp.com)
            • Souscrire à un domaine personnalisé Cintoo, c'est-à-dire https://corp.cintoo.cloud (contactez les ventes de Cintoo pour information). De cette façon, vous obtiendrez votre propre locataire Cintoo, et tous vos projets ne seront accessibles qu'à travers https://corp.cintoo.cloud.
            • Demandez à l'équipe informatique de Cintoo de lier votre domaine personnalisé à votre fournisseur SSO. Cela signifie que tout utilisateur essayant d'ouvrir un projet sur https://corp.cintoo.cloud sera redirigé vers votre propre SSO, même s'il n'a pas une adresse e-mail @corp.com.

            Processus de mise en œuvre du SSO

             

            La mise en œuvre du SSO suit toujours ces étapes :

            • Contactez les commerciaux de Cintoo pour souscrire à l'option
            • Configurez votre fournisseur d'identité avec OIDC ou SAML, et communiquez les informations requises à l'équipe informatique de Cintoo via support@cintoo.com (voir les détails ci-dessous)
            • Validez la configuration du SSO avec quelques utilisateurs, en utilisant une URL de connexion temporaire
            • Convenez avec l'équipe informatique de Cintoo d'une date de basculement, après laquelle tous les utilisateurs de votre domaine seront redirigés vers votre écran de connexion SSO


            Warning: users created in Cintoo prior to the cutover will not be able to connect anymore with their existing Cintoo password.

            Configuration du Fournisseur d'Identité

             

            Option 1 : OpenID Connect


            Azure AD Utiliser une application personnalisée

             

            Si vous ne souhaitez pas ou ne pouvez pas prévoir l'application générique Cintoo fournie dans la galerie d'applications Azure AD, vous avez toujours l'option de créer votre propre application dans Azure AD.

            Dans Azure AD, sélectionnez Inscription des applications, puis Nouvelle inscription

            Une image contenant texte Description générée automatiquement


            Note: domain in the redirect URI must match domain of your Cintoo instance (e.g., aec.cintoo.com, us.cintoo.cloud, [corp].cintoo.cloud).


            Une fois l'application créée, éditez les paramètres Authentification et activez l'option ID tokens.

            Une image contenant texte, capture d’écran, moniteur, écran Description générée automatiquement


            Notez l'ID d'application (client) et l'ID de répertoire (tenant) de l'application et communiquez ces valeurs à l'équipe support de Cintoo.

            Une image contenant texte, capture d’écran, moniteur, écran Description générée automatiquement


            Note: Cintoo tries to match the user based on its email address. If the upn field of Azure AD users does not contain the email address, configure an optional email claim containing the user's email address (in that case Cintoo will look at the email field in the OAuth reply instead of upn).


            Voici comment ajouter cette revendication optionnelle.


            Il est obligatoire d'ajouter une autorisation API pour Microsoft Graph afin de lire l'adresse e-mail.

            Okta


            Dans Okta Administration, créez une nouvelle application.


            Sélectionnez Web / OpenID Connect.


            Ajoutez l'URL de redirection nécessaire.

             

            Note: redirect URI depends on the domain name of your Cintoo instance. Vérifiez avec l'équipe de support de Cintoo lequel est le bon.


            Dans l'écran suivant, Paramètres généraux, cliquez sur Modifier et ajoutez ID Token avec autorisation implicite.


            Lorsque cela est fait, allez à l'onglet Connexion et notez les champs Émetteur et Audience  dans la section Jeton d'Identité OpenID Connect.


            Ces valeurs devront être communiquées à l'équipe de support de Cintoo.

            Autres fournisseurs


            Voici la configuration générique pour tout autre fournisseur d'identité utilisant OpenID Connect :

            • Créez une application Cintoo 
            • Configurez l'URI de redirection : https://<domain>/login/oauthcbdomaine  dépend de votre instance Cintoo (par ex., us.cintoo.cloud ou eu.cintoo.cloud)
            • Autoriser le jeton d'identité avec autorisation implicite
            • Autoriser les portées suivantes : openID email profil
            • Communiquez les informations suivantes à l'équipe de support de Cintoo :
              1. ID Client
              2. URL de découverte OpenID Connect (par ex., https://<your_domain>/.well-known/openid-configuration)


            Note: Cintoo matches the username based on the email field in the OAuth reply. If there is no email field, the upn field is used instead.

            Option 2 : SAML

             

            Voici les métadonnées du fournisseur de services dont vous aurez besoin pour configurer votre fournisseur d'identité SAML.

            <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://<domain>/saml">
                <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
                    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
                    <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://<domain>/saml" index="1"/>
                </md:SPSSODescriptor>
            </md:EntityDescriptor>

             

            Note: domain must be replaced by domain name corresponding to your instance of Cintoo (e.g., eu.cintoo.cloud, us.cintoo.cloud, or your-company.cintoo.cloud).


            Vous devrez communiquer l'URL de métadonnées de votre IdP ou le fichier à l'équipe de support de Cintoo, ou au moins les détails suivants :

            • ID d'entité de l'IdP
            • URL de connexion
            • Certificat(s) de signature


            Note: Cintoo matches username based on NameID field (SAML subject) in SAML response. NameID must be same as Cintoo login, i.e. user’s email address.

            Cet article a-t-il été utile ?

            C'est super !

            Merci pour votre commentaire

            Désolé ! Nous n'avons pas pu vous être utile

            Merci pour votre commentaire

            Dites-nous comment nous pouvons améliorer cet article !

            Sélectionner au moins l'une des raisons
            La vérification CAPTCHA est requise.

            Commentaires envoyés

            Nous apprécions vos efforts et nous allons corriger l'article

            Aperçu
            0 de 0