Einrichten von SAML 2 für Single Sign-on in Smartsheet

Gilt für

Smartsheet
  • Enterprise

Funktionen

Wer kann diese Funktion nutzen?

Systemadministratoren mit einem IT-Administrator können SAML 2 für SSO mit Smartsheet
einrichten.

Wenn Ihre Organisation den SAML-Standard (Security Assertion Markup Language) für die Anmeldeauthentifizierung verwendet, können Sie Smartsheet für die Anmeldung über einen unterstützen SSO-Anbieter (Single Sign-on) konfigurieren.

Um SSO über SAML 2 für Smartsheet für US-Behörden erfolgreich einzurichten, müssen bestimmte Anforderungen erfüllt sein und einige Einstellungen angewendet werden.

Zu beachten

  • Smartsheet unterstützt SP-initiiertes SSO. Wenn Sie IdP-initiiertes SSO konfigurieren, arbeiten Sie mit Ihrem IdP.
  • Sie können mehrere SSO-IdPs gleichzeitig verwenden.

Voraussetzungen für die Einrichtung von Smartsheet mit Ihrem IdP

Konfigurieren Sie mit den angegebenen Metadaten eine vertrauende Seite in Ihrem IdP. Der Prozess für das Konfigurieren einer vertrauenden Seite kann je nach IdP variieren. Weitere Informationen hierzu finden Sie in der Dokumentation Ihres IdPs.

Der SHA1-Zertifikatalgorithmus wird aufgrund seiner Sicherheitsschwachstellen nicht mehr unterstützt. Sie müssen sicherstellen, dass Sie kein mit SHA1 signiertes SSL-Zertifikat mehr verwenden.

SAML-Austauschprozess

Smartsheet benötigt die folgenden Attribute im SAML-Austauschprozess:

  • Persistente ID: urn:oasis:names:tc:SAML:2.0:nameid‑format:persistent
  • E-Mail-Adresse: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Zu beachten

  • Die erste Assertion muss eine persistente ID haben, die für jede Person bei jeder Anmeldung gleich ist. Ihre E-Mail-Adresse kann eine persistente ID sein, aber die Anforderung der E-Mail-Adresse muss dennoch im Assertion-Prozess übergeben werden. Ein Beispiel für eine Assertion und eine vollständige Liste der von Smartsheet unterstützten Anforderungsformate finden Sie im Artikel SAML-Assertion: Beispiele für unterstützte Anforderungen in Smartsheet.
  • Die persistente ID kann im Element NameID (Subject) der Assertion definiert werden.
  • Wenn die Assertion das Element NameID (Subject) nicht enthält, können Sie eines der im Artikel Unterstützte Anforderungen definierten Attribute verwenden.

Die folgenden Attribute werden empfohlen, sind aber optional:

  • Vorname: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
    • Dies ist der Vorname des Benutzers.
  • Nachname: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
    • Dies ist der Nachname des Benutzers.

Einige SAML-Services fordern möglicherweise zusätzliche Informationen an, wenn Sie sie mit Smartsheet konfigurieren:

  • ACS-URL (Assertion Consumer Service): https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
    Verwenden Sie für EU-Konten https://sso.smartsheet.eu/Shibboleth.sso/SAML2/POST.
  • Zielgruppenbeschränkung: https://sso.smartsheet.com/saml
    Verwenden Sie für EU-Konten https://sso.smartsheet.eu/saml.

Geben Sie E-Mail-Adressen in Kleinbuchstaben ein. Großbuchstaben können den E-Mail-Abgleich zwischen Ihrem SAML-Anbieter und Smartsheet verhindern.

Konfigurieren von Smartsheet.com für die Verwendung mit Ihrem SAML-IdP

Bevor Sie fortfahren, stellen Sie sicher, dass die Anforderungen für die Konfiguration von SAML-basiertem SSO für Ihr Konto erfüllt sind.

Öffnen des SAML-Administrationsformulars

Herstellen einer Verbindung zwischen Ihrem IdP und Smartsheet:

  1. Wählen Sie unten links in der Smartsheet-App die Option Konto > Plan- und Abrechnungsinformationen aus.
  2. Wählen Sie im Formular Kontoverwaltung die Option Sicherheitssteuerung aus.
  3. Wählen Sie im Abschnitt Authentifizierung die Option Bearbeiten aus.
    security-controls
  4. Wählen Sie nicht konfiguriert aus.
    saml-not-configured

Sobald Sie nicht konfiguriert ausgewählt haben, wird das Formular SAML-Administration angezeigt.

Konfigurieren von SSO mit Ihrem IdP

Befolgen Sie diese Schritte, um SAML mit einem oder mehreren IdPs zu konfigurieren:

  1. Wählen Sie IdP hinzufügen aus.

    add-idp
  2. Geben Sie eine Kurzform für Ihren IdP ein.
  3. Ermitteln Sie die IdP-Metadaten und kopieren Sie sie in das Textfeld IdP-Metadaten.
    Informationen zum Ermitteln der IdP-Metadaten finden Sie in der Dokumentation Ihres IdPs.

    idp-metadata
  4. Kopieren Sie die SSO-URL und fügen Sie sie in Ihren IdP ein.
  5. Wählen Sie Speichern aus.
    • Nachdem Sie die Änderungen gespeichert haben, validiert Smartsheet die Metadaten.
      Wenn die Validierung erfolgreich ist, wird das Formular IdP bearbeiten angezeigt. Wenn ein Fehler ausgegeben wird, lesen Sie den Artikel Häufig gestellte Fragen zu SAML und häufige Fehler.
      Sie können einen CNAME hinzufügen, der Benutzer zu einer benutzerfreundlichen URL weiterleitet, wenn sie sich anmelden. Weitere Informationen finden Sie im Abschnitt Weiterleiten von Benutzern zu einer benutzerfreundlichen CNAME-URL weiter unten.
  6. Wählen Sie Aktivieren aus, um den IdP für die Verwendung mit Smartsheet zu aktivieren. Der IdP-Status ändert sich von Inaktiv in Aktiv, Standard.
  7. Um SAML für Ihre Organisation zu aktivieren, wählen Sie im Formular Authentifizierung die Option SAML aus.
    Vor der Aktivierung von SAML muss mindestens ein aktiver IdP vorhanden sein.
    activate-idp
  8. Wählen Sie Speichern aus.

Fertig! Benutzer in Ihrem Konto können sich jetzt mit ihren geschäftlichen Anmeldeinformationen bei Smartsheet anmelden.

Konfigurieren zusätzlicher IdPs

Für die meisten Organisationen ist ein IdP ausreichend. Die Anzahl der IdPs, die Sie hinzufügen können, ist jedoch nicht begrenzt.

Wählen Sie zum Bearbeiten oder Hinzufügen zusätzlicher IdPs neben dem Kontrollkästchen „SAML“ die Option Konfiguration bearbeiten aus. Das Formular SAML-Administration wird angezeigt. Hier können Sie zusätzliche IdPs hinzufügen oder vorhandene IdPs bearbeiten, die Sie bereits eingerichtet haben.

Wenn mehrere aktive IdPs vorhanden sind, erfolgt die Authentifizierung von Personen, die sich über SAML anmelden, über den Standard-IdP. Um einen IdP als Standard festzulegen, wählen Sie im Formular IdP bearbeiten die Option Als Standard festlegen aus.

saml-admin-multiple-idps

Weiterleiten von Benutzern zu einer benutzerfreundlichen CNAME-URL

Smartsheet stellt die Standard-SSO-URL für Ihre Organisation bereit. Dabei handelt es sich um einen Link, über den Sie sich direkt bei Smartsheet anmelden können. Sie können stattdessen einen CNAME mit einer benutzerfreundlichen, unternehmensspezifischeren URL hinzufügen.

Geben Sie nicht sso.smartsheet.com in das Feld CNAME im Formular IdP bearbeiten ein, denn dies führt zu Problemen bei der Anmeldung. Verwenden Sie stattdessen einen CNAME , der von Ihrem Unternehmen erstellt wurde und auf sso.smartsheet.com verweist.

  1. Erstellen Sie in Ihrer Domäne einen DNS-Eintrag für den CNAME, der auf sso.smartsheet.com verweist. Beispiel: smartsheet.example.org IN CNAME sso.smartsheet.com.
  2. Geben Sie im Formular IdP bearbeiten den CNAME ein.
  3. Wählen Sie Hinzufügen aus.
    Es kann bis zu einer Stunde dauern, bis Ihre CNAME-Adresse authentifiziert wird.

    cname

Es reicht nicht aus, nur den SSO-Zugriff eines Benutzers zu entfernen, um dessen Zugriff auf Smartsheet zu verhindern. Um den Zugriff eines Benutzers auf Smartsheet vollständig zu verhindern, müssen Sie diesen Benutzer vollständig aus dem Smartsheet-Konto Ihrer Organisation löschen.

Unterschiedliche SAML-Konfigurationsstatus

SAML befindet sich in einem der folgenden Status:

  • Nicht konfiguriert: Keine aktiven IdPs
  • Deaktiviert: Mindestens ein aktiver IdP; SAML im Formular Authentifizierung nicht aktiviert
  • Aktiviert: Mindestens ein aktiver IdP; SAML im Formular Authentifizierung aktiviert. Ihr IdP befindet sich in einem dieser drei Status:
    • Nicht konfiguriert: Sicherheitszertifikat abgelaufen
    • Inaktiv: Gültige Metadaten; gültiges Sicherheitszertifikat
    • Aktiv: Gültige Metadaten; gültiges Sicherheitszertifikat; Einheits-ID nicht für andere aktive IdPs in Ihrem Konto freigegeben; aktiviert