Einrichten von SAML 2 für Einmalanmeldung (Single Sign-On , SSO) in Smartsheet

Einrichtung von SAML-basiertem SSO mit Smartsheet 

Gehen Sie wie folgt vor: 

• Richten Sie den Identityprovider (IdP) Ihrer Organisation ein, um mit Smartsheet zu kommunizieren. 
• Fügen Sie dem Domain Name System (DNS) Ihrer Organisation einen Datensatz hinzu.
  • Möglicherweise müssen Sie einen kompetenten Mitarbeiter in der Technik bitten, Sie bei der Einrichtung und Pflege dieser Funktion zu unterstützen.

Um SSO über SAML 2 für Smartsheet für US-Behörden erfolgreich einzurichten, müssen bestimmte Anforderungen erfüllt sein und einige Einstellungen angewendet werden.

Zu beachten

• Smartsheet unterstützt SP-initiiertes SSO. Wenn Sie IdP-initiiertes SSO konfigurieren, arbeiten Sie mit Ihrem IdP.
• Sie können mehrere SSO-IdPs gleichzeitig verwenden.

Voraussetzungen für die Einrichtung von Smartsheet mit Ihrem IdP

• US-Kunden: Verwenden Sie diese Smartsheet-Metadaten:  www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata-eu.xml 
• EU-Kunden: Verwenden Sie diese Smartsheet-Metadaten: www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata-eu.xml

Konfigurieren Sie mit den bereitgestellten Metadaten eine Relying Party (abhängige Partei) innerhalb Ihres Identitätsanbieters. Der Prozess für das Konfigurieren einer Relying Party kann für jeden Identitätsanbieter anders sein. Informieren Sie sich in der Dokumentation Ihres Identitätsanbieters.

Der SHA1-Zertifikatalgorithmus wird aufgrund seiner Sicherheitsschwachstellen nicht mehr unterstützt. Sie dürfen kein mit SHA1 signiertes SSL-Zertifikat verwenden.

SAML-Austauschverfahren 

Smartsheet benötigt die folgenden Attribute im SAML-Austauschverfahren:

• Persistente ID: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent 
• E-Mail-Adresse: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Zu beachten

• Die erste Assertion muss eine persistente ID haben, die für jede Person bei jeder Anmeldung gleich ist. Ihre E-Mail-Adresse kann eine persistente ID sein, aber die Anforderung der E-Mail-Adresse muss dennoch im Assertion-Prozess übergeben werden. E-Mail-Anforderungen müssen nur in Kleinbuchstaben verfasst werden. Ein Beispiel für eine Assertion und eine vollständige Liste der von Smartsheet unterstützten Anforderungsformate finden Sie im Artikel SAML-Assertion: Beispiele für unterstützte Anforderungen in Smartsheet.
• Die persistente ID kann im Element NameID (Subject) der Assertion definiert werden.
• Wenn die Assertion das Element NameID (Subject) nicht enthält, können Sie eines der im Artikel Unterstützte Anforderungen definierten Attribute verwenden.
  • Stellen Sie sicher, dass Sie die Anforderung (den Claim) http://schemas.xmlsoap.org/ws/2005/05/identity/claims/Name aus den vordefinierten Azure-Attributen entfernt haben.

Die folgenden Attribute werden empfohlen, sind jedoch optional: 

• Vorname: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname 
  • Dies ist der Vorname des Benutzers.
• Nachname: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname 
  • Dies ist der Nachname des Benutzers.

Einige SAML-Dienste fragen möglicherweise zusätzliche Informationen ab, wenn Sie sie mit Smartsheet konfigurieren: 

• ACS-URL (Assertion Consumer Service): https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST 
  Verwenden Sie für EU-Konten https://sso.smartsheet.eu/Shibboleth.sso/SAML2/POST
• Zielgruppenbeschränkung: https://sso.smartsheet.com/saml
  Verwenden Sie für EU-Konten https://sso.smartsheet.eu/saml.

Geben Sie E-Mail-Adressen in Kleinbuchstaben ein. Großbuchstaben können den E-Mail-Abgleich zwischen Ihrem SAML-Anbieter und Smartsheet verhindern.

Konfigurieren von Smartsheet.com für die Verwendung mit Ihrem SAML-IdP

Bevor Sie fortfahren, stellen Sie sicher, dass die Anforderungen für die Konfiguration von SAML-basiertem SSO für Ihr Konto erfüllt sind.

Öffnen des SAML-Administrationsformulars

So stellen Sie eine Verbindung zwischen Ihrem IdP und Smartsheet her:

1. Wählen Sie in der linken Navigationsleiste die Option Konto aus. 
2. Wählen Sie im Menü Konto die Option Plan- und Abrechnungsinformationen aus.
3. Wählen Sie im Formular Kontoverwaltung die Option Sicherheitssteuerung aus. 
4. Wählen Sie im Abschnitt Authentifizierung die Option Bearbeiten aus.
   
5. Wählen Sie nicht konfiguriert aus.
   

Nachdem Sie diese Schritte durchgeführt haben, wird das Formular SAML-Administration angezeigt.

Konfigurieren von SSO mit Ihrem IdP

Befolgen Sie diese Schritte, um SAML mit einem oder mehreren IdPs zu konfigurieren:

1. Wählen Sie IdP hinzufügen aus.
   
   
2. Geben Sie einen Kurznamen für Ihren IdP an. 
3. Rufen Sie die IdP-Metadaten ab und kopieren Sie sie.
   Informieren Sie sich in der Dokumentation Ihres IdPs, um festzustellen, wie Sie IdP-Metadaten abrufen.
4. Im Textfeld IdP-Metadaten fügen Sie IdP-Metadaten 
   ein.
5. Kopieren Sie die SSO-URL und fügen Sie sie in Ihren IdP ein.
6. Wählen Sie Speichern aus​.
   • Nachdem Sie die Änderungen gespeichert haben, validiert Smartsheet die Metadaten.
     Wenn die Validierung erfolgreich ist, wird das Formular​IdP bearbeiten angezeigt. Falls Sie einen Fehler erhalten, lesen Sie unseren Artikel Häufig gestellte Fragen zu SAML und häufige Fehler.
     Sie können einen CNAME hinzufügen, der bei der Anmeldung zu einer aussagekräftigen URL weiterleitet. Weitere Informationen finden Sie im Abschnitt Weiterleiten von Benutzern zu einer benutzerfreundlichen CNAME-URL weiter unten.
7. Wählen Sie Aktivieren aus, um den IdP für die Verwendung mit Smartsheet zu aktivieren. Der IdP-Status ändert sich von Inaktiv in Aktiv, Standard.
8. Zum Aktivieren von SAML für Ihre Organisation wählen Sie im Formular Authentifizierung ​die Option SAML aus. 
   Vor der Aktivierung von SAML muss mindestens ein aktiver IdP vorhanden sein.
   
9. Wählen Sie Speichern aus.

Fertig! Benutzer in Ihrem Konto können sich jetzt mit ihren geschäftlichen Anmeldeinformationen bei Smartsheet anmelden.

Konfigurieren zusätzlicher IdPs

Für die meisten Organisationen ist ein IdP ausreichend. Die Anzahl der IdPs, die Sie hinzufügen können, ist jedoch nicht begrenzt.

Wählen Sie zum Bearbeiten oder Hinzufügen zusätzlicher IdPs neben dem Kontrollkästchen SAML die Option Konfiguration bearbeiten aus. Das Formular SAML-Administration wird angezeigt. Hier können Sie zusätzliche IdPs hinzufügen oder vorhandene IdPs bearbeiten, die Sie bereits eingerichtet haben.

Wenn mehrere aktive IdPs vorhanden sind, erfolgt die Authentifizierung von Personen, die sich über SAML anmelden, über den Standard-IdP. Um einen IdP als Standard festzulegen, wählen Sie im Formular IdP bearbeiten die Option Als Standard festlegen aus.

Weiterleiten von Benutzern zu einer benutzerfreundlichen CNAME-URL

Smartsheet stellt die Standard-SSO-URL​ für Ihre Organisation bereit. Dabei handelt es sich um einen Link, über den Sie sich direkt bei Smartsheet anmelden können. Sie können stattdessen einen CNAME mit einer benutzerfreundlichen, unternehmensspezifischeren URL hinzufügen.

Geben Sie nicht sso.smartsheet.com in das Feld CNAME im Formular IdP bearbeiten ein, denn dies führt zu Problemen bei der Anmeldung. Verwenden Sie stattdessen einen CNAME , der von Ihrem Unternehmen erstellt wurde und auf sso.smartsheet.com verweist.

1. Erstellen Sie in Ihrer Domäne einen DNS-Eintrag für den CNAME, der auf sso.smartsheet.com verweist. Beispiel: smartsheet.example.org IN CNAME sso.smartsheet.com.
2. Geben Sie im ​Formular IdP bearbeiten den CNAME ein. 
3. Wählen Sie Hinzufügen​ aus. 
   Es kann bis zu einer Stunde dauern, bis Ihre CNAME-Adresse authentifiziert ist.​​​

   

Es reicht nicht aus, nur den SSO-Zugriff eines Benutzers zu entfernen, um dessen Zugriff auf Smartsheet zu verhindern. Um den Zugriff eines Benutzers auf Smartsheet vollständig zu verhindern, müssen Sie diesen Benutzer vollständig aus dem Smartsheet-Konto Ihrer Organisation löschen.

Unterschiedliche SAML-Konfigurationsstatus 

SAML befindet sich in einem der folgenden Status:

• Nicht konfiguriert​: Keine aktiven IdPs. 
• Deaktiviert​: Mindestens ein aktiver IdP. Im Formular Authentifizierung ist das Kontrollkästchen SAML nicht ausgewählt.
• Aktiviert​: Mindestens ein aktiver IdP. Im Formular Authentifizierung ist das Kontrollkästchen SAML aktiviert. Ihr IdP befindet sich in einem dieser drei Status: 
  • Nicht konfiguriert​: Sicherheitszertifikat abgelaufen 
  • Inaktiv​: Gültige Metadaten, gültiges Sicherheitszertifikat 
  • Aktiv​: Gültige Metadaten, gültiges Sicherheitszertifikat; Einheits-ID nicht für andere aktive IdPs in Ihrem Konto freigegeben; aktiviert