SAML 2 für Single Sign-On für Smartsheet einrichten

Wenn Ihre Organisation den SAML-Standard (Security Assertion Markup Language) für die Anmeldeauthentifizierung verwendet, können Sie Smartsheet für die Anmeldung über einen unterstützten SSO-Anbieter (Single Sign-On) konfigurieren. Nachdem SSO auf einem Konto auf Enterprise-Ebene eingerichtet wurde, können sich alle Mitarbeiter des Kontos über die Option Ihr Unternehmenskonto mit den Anmeldeinformationen des Unternehmens anmelden.

Wenn Sie SAML 2 für SSO mit der Smartsheet-Umgebung für die US-Regierung konfigurieren möchten, müssen Sie einige unterschiedliche Anforderungen und Einstellungen für die erfolgreiche Einrichtung von SAML 2 SSO anwenden. Bitte beachten Sie bei der Konfiguration die Informationen in diesem Hilfe-Artikel.

Wer kann diese Funktion nutzen?

Rollenberechtigungen Ein Systemadministrator und ein IT-Administrator können SAML 2 für SSO mit Smartsheet einrichten
Plantyp Smartsheet-Konten Enterprise und Premier

Dies ist eine Self-Service-Anleitung zur Einrichtung von SAML. Die in diesem Artikel besprochenen Funktions- und Einrichtungsschritte erfordern Kenntnisse sowohl von SAML 2 als auch von SSO. Möglicherweise müssen Sie eine kompetente Person in der Technik Ihrer Organisation um Hilfe bei der Einrichtung bitten.

Unterstützte SSO-Provider

Smartsheet unterstützt derzeit die folgenden SAML 2-konformen Identity Provider (IdP):

  • OneLogin
  • ADFS
  • Azure Active Directory
  • Schibboleth
  • PingIdentity
  • Okta
  • Smartsheet unterstützt nur SP-initiiertes SSO. IdP-initiiertes SSO wird nicht unterstützt.
  • Sie können mehrere SSO-Identity Provider (IdP) gleichzeitig verwenden.

Anforderungen zur Einrichtung von Smartsheet mit Ihrem Identity Provider

Die Smartsheet-Metadaten, die hier zur Verfügung gestellt werden: www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata.xml

Konfigurieren Sie mit den bereitgestellten Metadaten eine Relying Party (abhängige Partei) innerhalb Ihres Identity Providers. Die spezifischen Eigenschaften hängen von Ihrem Identity Provider ab. Weitere Einzelheiten finden Sie in der Dokumentation Ihres Identity Providers.

Der SHA1-Zertifikat-Algorithmus wurde aufgrund seiner Sicherheitslücken eingestellt. Sie müssen sicherstellen, dass Sie kein SSL-Zertifikat mehr verwenden, das mit SHA1 signiert ist

Für Smartsheet müssen während des SAML-Austauschverfahrens die folgenden Attribute in Anspruch genommen werden:

  • Dauerhafte ID:urn:oasis:names:tc:SAML:2.0:nameid‑format:persistent
  • E-Mail-Adresse: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • Die erste Assertion muss eine dauerhafte ID enthalten, die für jede Person bei jeder Anmeldung gleich ist. Ihre E-Mail-Adresse kann eine dauerhafte ID sein, aber der Claim der E-Mail-Adresse muss im Assertion-Vorgang noch übergeben werden. Ein Beispiel einer Assertion sowie eine vollständige Liste der von uns unterstützten Claim-Formate finden Sie im Artikel Konfigurations- und Claim-Beispiele für SAML in Smartsheet.
  • Die dauerhafte ID kann im Element NameID (subject) der Assertion definiert werden (siehe Unterstützte Claims).
  • Wenn die Assertion kein Element NameID (subject) enthält, können Sie eines der im Artikel Unterstützte Claims definierten Attribute verwenden.

Die folgenden Attribute werden empfohlen, sind jedoch optional:

  • Vorname: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
  • Nachname: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

Wie die Namen schon sagen, stellt das erste Attribut den Vornamen der Person im Konto dar, das zweite den Nachnamen.

Einige SAML-Dienste fragen möglicherweise zusätzliche Informationen ab, wenn Sie sie mit Smartsheet konfigurieren:

  • ACS-URL (Assertion Consumer Service): https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
  • Beschränkung der Zielgruppe: https://sso.smartsheet.com/saml

Smartsheet.com für die Verwendung mit Ihrem SAML Identity Provider (IdP) konfigurieren

Bevor Sie fortfahren, vergewissern Sie sich, dass Sie die Voraussetzungen für die Konfiguration von SAML-basiertem SSO für Ihr Konto erfüllen.

Öffnen Sie das SAML-Verwaltungsformular

So stellen Sie eine Verbindung zwischen Ihrem IdP und Smartsheet her:

  1. Wählen Sie Konto > Kontoverwaltung > Sicherheitssteuerung.
     
  2. Wählen Sie im Formular „Sicherheitssteuerung“ im Abschnitt Authentifizierung die Option Bearbeiten aus.
    Security-controls (Sicherheitssteuerung)
     
  3. Klicken Sie im Authentifizierungsformular neben SAML auf nicht konfiguriert.

    Saml-not-configured (SAML nicht konfiguriert)

Wenn Sie nicht konfiguriert ausgewählt haben, erscheint das SAML-Verwaltungsformular. In diesem Formular können Sie SAML mit einem oder mehreren Identity Providern konfigurieren.

SSO mit Ihrem Identity Provider konfigurieren

So konfigurieren Sie SSO mit Ihrem Identity Provider (IdP):

  1. Öffnen Sie das SAML-Verwaltungsformular und wählen Sie IdP hinzufügen aus.

    Add-idp (IdP hinzufügen)
  2. Geben Sie einen Kurznamen für Ihren IdP an.
  3. Rufen Sie die IdP-Metadaten ab, kopieren Sie sie und fügen Sie sie in das Textfeld „IdP-Metadaten“ ein. Weitere Informationen dazu finden Sie in der Dokumentation zum Identity Provider.
    Idp-metadata (IdP-Metadaten)
  4. Klicken Sie auf Speichern. Smartsheet validiert die Metadaten.

    Nach erfolgreicher Validierung erscheint das Formular IdP bearbeiten. Falls Sie einen Fehler erhalten, lesen Sie unseren Artikel Häufig gestellte Fragen zu SAML und häufige Fehler.

    TIPP: Sie können einen CNAME hinzufügen, der bei der Anmeldung zu einer aussagekräftigen URL weiterleitet. Weitere Informationen dazu finden Sie im Abschnitt „CNAME“ weiter unten.
     
  5. Klicken Sie auf Aktivieren, um den IdP für Smartsheet zu aktivieren. Der IdP-Status wechselt von Inaktiv zu Aktiv, Standard.
    Activate-idp (IdP aktivieren)
  6. Aktivieren Sie im Formular Authentifizierung das Kontrollkästchen SAML, um SAML für Ihre Organisation zu aktivieren. Beachten Sie, dass vor der Aktivierung von SAML mindestens ein aktiver IdP vorhanden sein muss.
    Saml-enabled (SAML aktiviert)
  7. Klicken Sie auf Speichern.

Das war's! Jetzt können sich die Personen in Ihrem Konto mit den Anmeldedaten des Unternehmens bei Smartsheet anmelden.

Weitere IdPs konfigurieren

Die meisten Organisationen benötigen zwar nur einen einzigen aktiven IdP, doch die Anzahl der IdPs, die Sie hinzufügen können, ist unbegrenzt.

Klicken Sie zum Bearbeiten oder Hinzufügen weiterer IdPs neben dem Kontrollkästchen „SAML“ auf Konfiguration bearbeiten. Das Formular SAML-Verwaltung wird angezeigt, in dem Sie weitere IdPs hinzufügen oder bereits eingerichtete IdPs bearbeiten können.

Wenn Sie mehr als einen aktiven IdP haben, authentifizieren sich die Personen, die sich über SAML anmelden, über den Standard-IdP. Um einen IdP zum Standard zu machen, klicken Sie im Formular IdP bearbeiten auf Zum Standard machen.

saml-admin-multiple-idps (SAML-Verwaltung, mehrere IdPs)

Personen anweisen, sich bei einer aussagekräftigen CNAME-URL anzumelden

Smartsheet gibt die Standard-SSO-URL für Ihre Organisation an, die einen Link für die Anmeldung bei Smartsheet in einem Schritt darstellt. Vielleicht möchten Sie stattdessen einen CNAME mit einer aussagekräftigen, unternehmensspezifischeren URL hinzufügen.

Geben Sie nicht „sso.smartsheet.com“ in das CNAME-Feld des Formulars IdP bearbeiten ein, da dies zu Problemen bei der Anmeldung führt. Verwenden Sie stattdessen einen CNAME, der von Ihrem Unternehmen erstellt wurde und der auf „sso.smartsheet.com“ zeigt.

  1. Erstellen Sie einen CNAME-DNS-Eintrag in Ihrer Domäne, der auf „sso.smartsheet.com“ zeigt. Beispiel: „smartsheet.example.org IN CNAME sso.smartsheet.com“
  2. Geben Sie im Formular „IdP bearbeiten“ den CNAME ein und klicken Sie auf „Hinzufügen“.

    HINWEIS: Es kann bis zu einer Stunde dauern, bis Ihre CNAME-Adresse authentifiziert ist.

    cname

Um zu verhindern, dass ein bestimmter Benutzer in Ihrer Organisation auf Smartsheet zugreift, reicht es nicht aus, nur seinen SSO-Zugriff zu deaktivieren. Um den Zugriff eines Benutzers auf Smartsheet vollständig zu verhindern, müssen Sie diesen Benutzer vollständig aus dem Smartsheet-Konto Ihrer Organisation entfernen. Lesen Sie dazu den Abschnitt Benutzer entfernen unter Benutzer in einem Mehrbenutzerplan verwalten.

Unterschiedliche Statusmöglichkeiten für die SAML-Konfiguration

SAML weist eine der folgenden Statusmöglichkeiten auf:

  • Nicht konfiguriert: Keine aktiven IdPs
  • Deaktiviert: Mindestens ein aktiver IdP und SAML wird im Formular „Authentifizierung“ nicht aktiviert
  • Aktiviert: Mindestens ein aktiver IdP und SAML wird im Formular „Authentifizierung“ aktiviert. Ihr IdP weist einen von drei Statusmöglichkeiten auf:
    • Nicht konfiguriert: Sicherheitszertifikat ist abgelaufen
    • Inaktiv: Gültige Metadaten, gültiges Sicherheitszertifikat
    • Aktiv: Gültige Metadaten, gültiges Sicherheitszertifikat, keine Freigabe der Entitäts-ID für einen anderen aktiven IdP in Ihrem Konto, sowie aktiviert