Einmalanmeldung (Single Sign-on, SSO) für Resource Management

Resource Management bietet SSO mit SAML 2.0-Protokoll. Dies funktioniert für alle wichtigen Anbieter, wie u. a. ADFS, Azure AD, OKTA und Google. Resource Management unterstützt das Web Browser SSO-Profil. IdP-initiiertes Anmelden wird nicht unterstützt.

Bevor Sie beginnen

Erstellen oder legen Sie zunächst ein Benutzerkonto fest, das für die Anmeldung einen Benutzernamen und ein Kennwort (nicht SSO) verwendet.

Dieses Konto bietet Ihnen eine Backup-Strategie für den Fall, dass Änderungen an Ihrer SSO-Konfiguration vorgenommen werden und SSO-aktivierte Benutzer sich nicht mehr anmelden können.

Mit dem Backup-Konto können Sie sich anmelden, wenn SSO fehlschlägt. Wenn Sie über kein Backup-Konto verfügen, können Sie sich möglicherweise nicht anmelden.

SSO für Ihr Konto einrichten

So migrieren Sie Ihren SSO-Identitätsanbieter zu https://rm.smartsheet.com.

Stellen Sie sicher, dass ein Administrator diese Änderungen sofort nach der Aktualisierung des Identitätsanbieters auf der SSO-Konfigurationsseite in den Kontoeinstellungen bestätigt.

1. Richten Sie in Ihrem SSO-Identitätsanbieter (IdP) Resource Management als App (Relying Party) ein und verwenden Sie dafür die relevanten SSO-Konfigurationswerte von https://rm.smartsheet.com/saml/metadata.
   
   ACS URL: https://rm.smartsheet.com/saml/acs
   EntityID (Zielgruppe): https://rm.smartsheet.com/saml/metadata
   NameID: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
2. Melden Sie sich bei https://rm.smartsheet.com als Administrator an. Navigieren Sie zu https://rm.smartsheet.com/settings und klicken Sie in den Abschnitt „SSO“. Sollte SSO noch nicht aktiviert sein, klicken Sie auf „SSO einrichten“ oder ansonsten auf „Bearbeiten“.
3. Fügen Sie die URL zu Ihren IdP-Metadaten hinzu. Wählen Sie dann einen der beiden verfügbaren Konfigurationsmodi aus: „Automatisch“ oder „Manuell“.
   • Automatische Konfiguration: Geben Sie die Metadaten-URL von Ihrem Identitätsanbieter ein. Die Metadaten von Ihrem Identitätsanbieter stellen die SSO-URL, die EntityID und die x.509-Zertifikatsdatei zur Verfügung, die für Resource Management erforderlich sind. Die automatische Konfiguration (empfohlen) ist einfacher zu konfigurieren als die manuelle Konfiguration. Es muss kein Zertifikat extrahiert und hochgeladen werden.  Der SSO-Modus „Automatische Konfiguration“ in Resource Management ruft dynamisch die neuesten Zertifikate und Anmelde-URLs ab, wenn sich Benutzer bei Resource Management anmelden. Dieser Modus unterstützt auch Szenarien mit mehreren Zertifikaten in Zusammenhang mit Ihrer SSO-Anwendung (z. B. rotierende Zertifikate). Ihr Identitätsanbieter muss eine öffentlich verfügbare Metadaten-URL als XML bereitstellen.
   • Manuelle Konfiguration: Geben Sie Ihr SAML 2.0-Signierungszertifikat und URLs ein.
     
     Verwenden Sie diese Option, wenn Ihr Identitätsanbieter keine öffentlich verfügbare Metadaten-URL bereitstellt, die Metadaten-XML unvollständig/nicht wohlgeformt ist und/oder die Organisation änderbare Einstellungen nicht unterstützt. Fordern Sie das Zertifikat x.509, die SSO-Anmelde-Ziel-URL und Abmelde-Ziel-URL von Ihrem Identitätsanbieter an. Wenn Sie sich nicht sicher sind, welche URLs erforderlich sind, wenden Sie sich an Ihre IT-Abteilung oder einen IdP-Administrator. Ihr SAML 2.0-Signaturzertifikat muss PEM-kodiert sein. DER-Verschlüsselung wird nicht unterstützt.
     

4. Wählen Sie die Option Automatisiertes Benutzer-Provisioning für authentifizierte Benutzer durchführen, die nicht im Konto vorhanden sind, wenn Sie Benutzern gestatten möchten, den Einladungsprozess zu umgehen.
Wenn dieses Kontrollkästchen ausgewählt ist, müssen neue Benutzer keine Einladung annehmen, um sich bei der Anwendung anzumelden. Es reicht aus, wenn sie die Anmeldeseite aufrufen und ihre E-Mail-Adresse eingeben. Sie werden als Benutzer im System erkannt und erhalten die Option, sich bei Ihrem Unternehmenskonto anzumelden.
Dieses Kontrollkästchen für das automatisierte Provisioning stellt nicht automatisch neue Benutzerkonten bereit. Neue Benutzerkonten müssen über die Anwendung erstellt werden. 

5. Klicken Sie auf Speichern.

Erforderliche Attribute

Für eine erfolgreiche Authentifizierung bei der Anmeldung muss eine NameID-Anforderung im Format einer E-Mail-Adresse an Resource Management übermittelt werden. Das erforderliche NameID-Format des Identitätsanbieters lautet:

urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Nach der Einrichtung

Sobald sich ein Benutzer mit SSO angemeldet hat, kann er sich nicht mit Benutzername und Kennwort anmelden. Die Profil-E-Mail-Adresse wird in der Anwendung gesperrt. Kontaktieren Sie uns, wenn Sie Hilfe bei der Aktualisierung von Anmelde-E-Mail-Adressen benötigen.

Wenn Ihr SSO in Resource Management auf den Modus „Manuelle Konfiguration“ festgelegt ist und Sie in der Anwendung Änderungen an Ihren SSO-Einstellungen vornehmen müssen, sollten Sie zunächst mithilfe der oben beschriebenen Schritte „Automatische Konfiguration“ aktivieren. Sobald SSO auf „Automatisch“ festgelegt ist, erkennt Resource Management Änderungen an Ihrer IdP-SSO-Konfiguration automatisch. 

Wenn Sie den Modus „Manuelle Konfiguration“ verwenden und Änderungen an Ihrer SSO-Konfiguration vornehmen, gehen Sie mit Sorgfalt vor. Bevor Sie Änderungen an Ihrer aktiven SSO-Konfiguration vornehmen, stellen Sie sicher, dass Sie mindestens einen Administrator haben, der sich nicht mit SSO anmeldet und der noch einen Benutzernamen/ein Kennwort besitzt. Dies bietet Ihnen die Möglichkeit, sich mit diesem Profil anzumelden, sollten Sie Änderungen rückgängig machen müssen.

Sobald SSO für Ihre Organisation aktiviert ist, klicken Sie zur Anmeldung mit einem Benutzernamen und Kennwort auf den Link „Sign in using your Resource Management password“.

Sollten Probleme auftreten, kontaktieren Sie hier den Support.

Allgemeine Terminologie