SAML-Assertion: Beispiele für unterstützte Ansprüche in Smartsheet

Eine Referenz für unterstützte Ansprüche und Beispiele für SAML-Assertionen.

Wer kann das nutzen?

Pläne:

  • Smartsheet
  • Enterprise

Erforderliche Attribute

Für eine erfolgreiche Authentifizierung bei der Anmeldung müssen sowohl die Ansprüche der Persistenten ID als auch der E-Mail-Adresse an Smartsheet übergeben werden. Dies erfordert zwei getrennte Ansprüche. 

Weitere Informationen finden Sie weiter unten. 

Persistente ID

Dies ist das Attribut, das sich für eine Identität am seltensten ändert. Smartsheet akzeptiert sechs Formate (einige davon sind nicht nach dem SAML 2.0-Standard spezifiziert), die im Element „NameID“ codiert sind. Die folgenden Formate werden unterstützt:

  • urn:oasis:names:tc:SAML:1.1:nameid-­format:emailAddress
  • urn:oasis:names:tc:SAML:2.0:nameid­-format:email
  • urn:oasis:names:tc:SAML:2.0:nameid-­format:persistent
  • urn:oasis:names:tc:SAML:2.0:nameid-­format:unspecified
  • urn:oasis:names:tc:SAML:1.1:nameid­-format:unspecified
  • urn:oid:1.3.6.1.4.1.5923.1.1.1.10 

Smartsheet akzeptiert auch Assertionen ohne ein NameID-Element und extrahiert einen Wert für eine persistente ID aus einem Attribut, wenn ein Attribut mit den folgenden Elementen übereinstimmt: 

  • name="eduPersonPrincipalName" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"
  • name="persistent" nameFormat="urn:oasis:names:tc:SAML:2.0:nameid-­format:persistent"
  • name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"
  • name="eduPersonPrincipalName" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"

E-Mail-Adresse

Dies ist die mit dem Smartsheet-Konto verknüpfte E-Mail-Adresse. Sie entspricht einem Benutzernamen im Smartsheet-Service. Dies muss ein Attribut sein und darf nicht aus dem NameID-Element extrahiert werden. 

Dies sind die akzeptierten Formate: 

  • name="email" name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
  • name="emailAddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="Email",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:basic"
  • name="saml_username",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="emailaddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:unspecified"
  • name="emailaddress",nameFormat="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
  • name="urn:oid:0.9.2342.19200300.100.1.3",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"
  • name="mail",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:basic" 

Optionale Attribute 

Vorname

Der Vorname der Person, die mit dem Konto verknüpft ist (Vorname). 

Dies sind die unterstützten Formate: 

  • name="givenName" name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname"
  • name="givenname" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="given_name" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="givenname" nameFormat="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname"
  • name="givenname" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:unspecified"
  • name="urn:oid:2.5.4.42" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"

Nachname

Der Nachname der Person, die mit dem Konto verknüpft ist (Nachname). 

Dies sind die unterstützten Formate:

  • name="surname" 
  • name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"
  • name="surname" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:basic"
  • name="sur_name" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="surname" nameFormat="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"
  • name="surname" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:unspecified"
  • name="urn:oid:2.5.4.4" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:uri"

Beispiel-Assertion 

Wenn Sie Metadaten generieren, müssen Sie die oben genannten Ansprüche verwenden.

Der folgende Link enthält Beispiele für SAML-Antwort-Assertionen:
https://www.samltool.com/generic_sso_res.php

 

Diese Beispiele dienen nur zur Veranschaulichung und funktionieren nicht in Smartsheet. Ihre Metadaten müssen von Ihrem IdP generiert werden.