SAML für die Einmalanmeldung auf Planebene bei Smartsheet konfigurieren

Systemadmins mit IT-Admin-Berechtigung können SAML für SSO mit Smartsheet einrichten.

Zu Ihrer Information

Ab dem 5. Februar 2024 können Sie keine neuen SAML-Konfigurationen auf Planebene mehr erstellen. Bei bestehenden SAML-Konfigurationen auf Planebene haben Sie jedoch weiterhin die Möglichkeit, SAML-Einrichtungen auf Planebene zu erstellen, zu aktualisieren, zu löschen oder zu lesen. Darüber hinaus haben Sie jetzt die Möglichkeit, SAML auf Domänenebene zu konfigurieren.

Führen Sie dazu diese Schritte aus:

1. Richten Sie den Identityprovider (IdP) Ihrer Organisation ein, um mit Smartsheet zu kommunizieren. 

2. Fügen Sie dem öffentlichen DNS (Domain Name System) Ihrer Organisation einen Datensatz hinzu. Wenden Sie sich gegebenenfalls an Ihre IT-Abteilung, um Unterstützung bei der Einrichtung und Verwaltung dieser Funktion zu erhalten.

   Um SAML SSO für Smartsheet für US-Behörden erfolgreich einzurichten, müssen bestimmte Anforderungen erfüllt sein und einige Einstellungen angewendet werden.

Zu beachten

• Smartsheet unterstützt SP-initiiertes SSO. Wenn Sie IdP-initiiertes SSO konfigurieren, arbeiten Sie mit Ihrem IdP.
• Sie können mehrere SSO-IdPs gleichzeitig verwenden.
• Wenn der Systemadministrator eines Enterprise-Plans Ihre Domäne validiert und eine SAML-Konfiguration auf Domänenebene einrichtet, überschreibt die SAML-Einrichtung auf Domänenebene alle SAML-Konfigurationen auf Planebene für Benutzer dieser Domäne.

Voraussetzungen

• US-Kunden: Verwenden Sie diese Smartsheet-Metadaten: www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata.xml 
• EU-Kunden: Verwenden Sie diese Smartsheet-Metadaten: www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata-eu.xml
• AU-Kunden: Verwenden Sie diese Smartsheet-Metadaten: https://www.smartsheet.com/smartsheet-saml2-sp-metadata-au.xml 

Konfigurieren Sie mit den bereitgestellten Metadaten eine Relying Party (abhängige Partei) innerhalb Ihres Identityproviders. Der Prozess für das Konfigurieren einer Relying Party kann für jeden Identityprovider anders sein. Informieren Sie sich in der Dokumentation Ihres Identityproviders.

Der SHA1-Zertifikatalgorithmus wird aufgrund seiner Sicherheitsschwachstellen nicht mehr unterstützt. Sie dürfen kein mit SHA1 signiertes SSL-Zertifikat verwenden.

SAML-Austauschverfahren

Smartsheet benötigt die folgenden Attribute im SAML-Austauschverfahren:

• Persistente ID: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent 
• E-Mail-Adresse: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Die folgenden Attribute werden empfohlen, sind jedoch optional:

• Vorname: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname 

  Dies ist der Vorname des Benutzers bzw. der Benutzerin.

• Nachname: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname 

  Dies ist der Nachname des Benutzers bzw. der Benutzerin.

Einige SAML-Dienste fragen möglicherweise zusätzliche Informationen ab, wenn Sie sie mit Smartsheet konfigurieren:

• ACS-URL (Assertion Consumer Service): https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST 
  • Verwenden Sie für EU-Pläne https://sso.smartsheet.eu/Shibboleth.sso/SAML2/POST
  • Verwenden Sie für AU-Pläne https://sso.smartsheet.au/Shibboleth.sso/SAML2/POST
• Zielgruppenbeschränkung: https://sso.smartsheet.com/saml
  • Verwenden Sie für EU-Pläne https://sso.smartsheet.eu/saml
  • Verwenden Sie für AU-Pläne https://sso.smartsheet.au/saml

Hinweise zum Austauschverfahren

• Geben Sie E-Mail-Adressen in Kleinbuchstaben ein. Großbuchstaben können den E-Mail-Abgleich zwischen Ihrem SAML-Anbieter und Smartsheet verhindern.
• Die erste Assertion muss eine persistente ID enthalten, die für jede Person bei jeder Anmeldung gleich ist. Ihre E-Mail-Adresse kann eine persistente ID sein, aber die Anforderung der E-Mail-Adresse muss dennoch im Assertion-Prozess übergeben werden. E-Mail-Anforderungen müssen nur in Kleinbuchstaben verfasst werden. Ein Beispiel für eine Assertion und eine vollständige Liste der von Smartsheet unterstützten Anforderungsformate finden Sie im Artikel SAML-Assertion: Beispiele für unterstützte Anforderungen in Smartsheet.
• Die persistente ID kann im Element NameID (subject) der Assertion definiert werden.
• Wenn die Assertion nicht das Element NameID (subject) enthält, können Sie eines der Attribute verwenden, die im Artikel zu unterstützten Anforderungen definiert werden.
• Stellen Sie sicher, dass Sie die Attributanforderung http://schemas.xmlsoap.org/ws/2005/05/identity/claims/Name aus den vordefinierten Azure-Attributen entfernt haben.

Smartsheet.com für die Verwendung mit Ihrem SAML-IdP konfigurieren

Sie müssen die Voraussetzungen erfüllen, bevor Sie mit der SAML-Konfiguration fortfahren können. 

Das SAML-Administrationsformular öffnen

1. Scrollen Sie auf der Admin Center-Startseite nach unten zum Abschnitt Einstellungen und suchen Sie die Karte Authentifizierung.

   Brandfolder Image

   

2. Wählen Sie SAML aus.

   Das Formular Authentifizierung wird angezeigt.

3. Wählen Sie nicht konfiguriert aus. Nachdem Sie diese Schritte ausgeführt haben, wird das Formular SAML-Administration angezeigt.

   Brandfolder Image

   

• Wenn Sie SAML zum ersten Mal in Smartsheet einrichten, gelangen Sie über die Schaltfläche nicht konfiguriert zur SAML-Konfigurationsseite auf Domänenebene. Wenn Sie noch eine SAML-Konfiguration auf Planebene definieren müssen, wenden Sie sich an den Smartsheet-Support.
• Wenn Sie bereits eine SAML-Konfiguration auf Planebene eingerichtet haben, wird stattdessen die Schaltfläche Konfiguration bearbeiten angezeigt. Wählen Sie sie aus, um Ihre bestehende Konfiguration zu ändern.

SSO mit Ihrem IdP konfigurieren

Befolgen Sie diese Schritte, um SAML mit einem oder mehreren IdPs zu konfigurieren:

1. Wählen Sie IdP hinzufügen aus.

   Brandfolder Image

   

2. Geben Sie einen Kurznamen für Ihren IdP an.

   Informieren Sie sich in der Dokumentation Ihres IdPs, um festzustellen, wie Sie IdP-Metadaten abrufen.

3. Rufen Sie die IdP-Metadaten ab und kopieren Sie sie.

4. Fügen Sie die Daten im Textfeld IdP-Metadaten ein.

   Brandfolder Image

   
5. Kopieren Sie die SSO-URL und fügen Sie sie in Ihren IdP ein.
6. Wählen Sie Speichern aus. Nachdem Sie die Änderungen gespeichert haben, validiert Smartsheet die Metadaten.
   • Wenn die Validierung erfolgreich ist, wird das Formular​„IdP bearbeiten“ angezeigt.
   • Falls Sie einen Fehler erhalten, lesen Sie unseren Artikel mit häufig gestellten Fragen und Fehlern bei SAML.
   • Sie können einen CNAME hinzufügen, der bei der Anmeldung zu einer benutzerfreundlichen URL weiterleitet. Weitere Informationen finden Sie unten im Abschnitt Benutzer*innen zur Anmeldung über eine benutzerfreundliche CNAME-URL anweisen.

7. Wählen Sie Aktivieren aus, um den IdP für die Verwendung mit Smartsheet zu aktivieren. Der IdP-Status ändert sich von Inaktiv in Aktiv, Standard. 

   Brandfolder Image

   

8. Wählen Sie im Formular Authentifizierung die Option SAML aus, um SAML für Ihren Plan zu aktivieren.

   Vor der Aktivierung von SAML muss mindestens ein aktiver IdP vorhanden sein.

9. Wählen Sie Speichern aus.

   Fertig! Benutzer*innen in Ihrem Plan können sich jetzt mit ihren geschäftlichen Anmeldeinformationen bei Smartsheet anmelden.

Konfigurieren zusätzlicher IdPs

• Für die meisten Organisationen ist ein IdP ausreichend. Die Anzahl der IdPs, die Sie hinzufügen können, ist jedoch nicht begrenzt.
• Zum Bearbeiten oder Hinzufügen zusätzlicher IdPs wählen Sie neben dem Kontrollkästchen SAML die Option Konfiguration bearbeiten aus. Das Formular SAML-Administration wird angezeigt. Hier können Sie zusätzliche IdPs hinzufügen oder vorhandene IdPs bearbeiten, die Sie bereits eingerichtet haben.

• Wenn mehrere aktive IdPs vorhanden sind, erfolgt die Authentifizierung von Personen, die sich über SAML anmelden, über den Standard-IdP. Um einen IdP als Standard festzulegen, wählen Sie im Formular IdP bearbeiten die Option Make Default (Als Standard festlegen) aus.

  Brandfolder Image

  

Benutzer*innen zur Anmeldung über eine benutzerfreundliche CNAME-URL anweisen

Smartsheet stellt die Standard-SSO-URL​ für Ihre Organisation bereit. Dabei handelt es sich um einen Link, über den Sie sich direkt bei Smartsheet anmelden können. Sie können stattdessen einen CNAME mit einer benutzerfreundlichen, unternehmensspezifischeren URL hinzufügen.

Geben Sie in das Feld CNAME des Formulars IdP bearbeiten nicht „sso.smartsheet.com“ ein, da dies zu Problemen bei der Anmeldung führen kann. Verwenden Sie stattdessen einen CNAME, der von Ihrem Unternehmen erstellt wurde und auf „sso.smartsheet.com“ verweist.

1. Erstellen Sie in Ihrer Domäne einen DNS-Eintrag für den CNAME, der auf „sso.smartsheet.com“ verweist. Beispiel: smartsheet.example.org IN CNAME sso.smartsheet.com.
2. Geben Sie im ​Formular IdP bearbeiten den CNAME ein. 

3. Wählen Sie Hinzufügen​ aus.

   Brandfolder Image

   

Erinnerungen

• Es kann bis zu einer Stunde dauern, bis Ihre CNAME-Adresse authentifiziert ist.​​​
• Für Ihre CNAME-URL können Sie nicht HTTPS verwenden. Nur HTTP wird unterstützt.
• Es reicht nicht aus, nur den SSO-Zugriff eines Benutzers oder einer Benutzerin zu entfernen, um seinen bzw. ihren Zugriff auf Smartsheet zu verhindern. Um den Zugriff auf Smartsheet vollständig zu verhindern, müssen Sie den*die Benutzer*in vollständig aus dem Smartsheet-Plan Ihrer Organisation löschen.

Status von SAML-Konfigurationen

SAML befindet sich in einem der folgenden Status:

• Nicht konfiguriert​: Keine aktiven IdPs. 
• Deaktiviert​: Mindestens ein aktiver IdP. Im Formular Authentifizierung ist das Kontrollkästchen SAML nicht aktiviert.
• Aktiviert​: Mindestens ein aktiver IdP. Im Formular Authentifizierung ist das Kontrollkästchen SAML aktiviert. Ihr IdP befindet sich in einem dieser drei Status: 
  • Nicht konfiguriert​: Sicherheitszertifikat abgelaufen 
  • Inaktiv​: Gültige Metadaten, gültiges Sicherheitszertifikat 
  • Aktiv​: Gültige Metadaten, gültiges Sicherheitszertifikat; Entitäts-ID nicht für andere aktive IdPs in Ihrem Plan freigegeben; aktiviert