Gilt für
- Business
- Enterprise
Funktionen
Wer kann diese Funktion nutzen?
- Systemadmin
Azure für OIDC auf Planebene oder SAML mit Smartsheet konfigurieren
Sie können Azure für SSO auf zwei Arten mit Smartsheet verwenden. Beide Methoden sind effektiv.
Who can use this?
Plans:
- Business
- Enterprise
Permissions:
- Systemadmin
Find out if this capability is included in Smartsheet Regions or Smartsheet Gov.
In beiden Konfigurationen steuert Azure die Authentifizierungseinstellungen von Azure. Sämtliche SSO-Richtlinien- und Einstellungsanpassungen werden von Azure gesteuert, nicht von Smartsheet.
- ID Connect (OIDC) öffnen: Verwenden Sie die integrierte Microsoft-Schaltfläche und die entsprechende Unternehmensanwendung in Azure (3290e3f7-d3ac-4165-bcef-cf4874fc4270). Um sich auf Azure zu beschränken, verwenden Sie die Authentifizierungseinstellungen in Smartsheet.
- SAML: Erstellen Sie eine neue Unternehmensanwendung für Smartsheet in Azure und konfigurieren Sie die SAML-Einrichtung und die Benutzerzuordnung direkt in der App. Diese Methode bietet mehr Kontrolle über bestimmte Benutzerattribute.
Smartsheet bietet die SCIM-Bereitstellung mit dem Azure-Bereitstellungsdienst, dieser ist jedoch keine Voraussetzung für SSO.
Denken Sie daran, dass es sich bei Azure für OIDC oder SAML um eine Konfiguration auf Planebene handelt.
Einrichten von SSO mit OIDC
- Navigieren Sie im Bereich für Unternehmensanwendungen von Azure zur vordefinierten Smartsheet-Unternehmensanwendung oder suchen Sie danach (ID 3290e3f7-d3ac-4165-bcef-cf4874fc4270).
- Überprüfen Sie die Azure-Einstellungen, z. B. Sichtbarkeit für Benutzer und erforderliche Zuweisungen. User.read ist der einzige erforderliche Anspruch, den Smartsheet verwendet.
- Aktivieren und testen Sie die Microsoft Azure AD-Option in den Authentifizierungseinstellungen in Smartsheet.
- Wenn der Test erfolgreich ist, teilen Sie Ihren Benutzern die Änderung mit und deaktivieren Sie alle anderen Authentifizierungsoptionen.
Konfigurieren von Azure für OIDC oder SAML mit Smartsheet
Wenn Sie mehr Kontrolle über die Anmeldemodalitäten benötigen, konfigurieren Sie SAML mit Azure als SAML-Identitätsanbieter (IdP). Wie bei OIDC finden die meisten Konfigurationsänderungen in Azure statt, nicht in Smartsheet.
Wenn Sie eine SAML-Konfiguration zwischen Smartsheet und Azure AD einrichten, sehen Benutzer*innen die Schaltfläche Ihrem Firmenkonto auf dem Smartsheet-Anmeldebildschirm.
Sie müssen Systemadmin in Smartsheet und Azure sein, um Azure für OIDC oder SAML mit Smartsheet zu konfigurieren.
So konfigurieren Sie Azure AD mit SAML:
Sie können SAML nicht in der Galerie-App von Smartsheet (ID 329..) in Azure einrichten. Die integrierte App bietet Kontrolle über OIDC-SSO, eine andere Option. Erstellen Sie zum Einrichten von SAML wie folgt in Azure eine neue Unternehmensanwendung:
Geben Sie in der SAML-Grundkonfiguration Folgendes ein:
- Entity ID (Entitäts-ID): https://sso.smartsheet.com/saml
- Reply URL (Antwort-URL): https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
- Sign-on URL (Anmelde-URL): https://app.smartsheet.com/b/home
Unter „User Attributes & Claims“ (Benutzerattribute und -ansprüche) stellt Azure die folgenden Standardwerte bereit:
- Unique User Identifier (Eindeutige Benutzer-ID): user.userprincipalname
- Email address (E-Mail-Adresse): user.mail
- Name: user-userprincipalname
Der standardmäßige Additional Claim of Name (zusätzliche Namensanspruch): „user-userprincipalname“ verursacht einen unerwarteten Fehler. Löschen Sie ihn, damit SAML über Azure funktioniert.
Unter SAML-Signaturzertifikat:
- Stellen Sie sicher, dass für den Status „Active“ (Aktiv) festgelegt ist.
- Bestätigen Sie Ihre Benachrichtigungs-E-Mail. Sie erhalten eine Benachrichtigung an diese E-Mail, wenn das Zertifikat bald abläuft.
- Laden Sie die Federation Metadata XML (XML-Datei mit Verbundmetadaten) herunter und öffnen Sie die Datei in Notepad oder einem anderen Editor für unformatierten Text.
- Wählen Sie im linken Bereich unter Manage (Verwalten) die Option Verwalten (Eigenschaften) aus und scrollen Sie nach unten, um die Option User assignment required? (Benutzerzuweisung erforderlich?) zu deaktivieren. Das Deaktivieren dieser Funktion erleichtert das Testen und Benutzer werden bereits in der Smartsheet-Benutzerliste verwaltet.
- Melden Sie sich bei Admin Center an und wählen Sie Authentifizierung > SAML aus.
- Wählen Sie Konfiguration bearbeiten neben SAML und dann IdP hinzufügen aus.
- Benennen Sie den IdP (z. B. AzureSAML) und fügen Sie die heruntergeladenen Metadaten ein. Speichern Sie die Änderungen.
- Wählen Sie im Fenster IdP bearbeiten die Option Aktivieren aus.
- Schließen Sie die Fenster IdP bearbeiten und SAML-Administration.
- Wählen Sie im Fenster Authentifizierung die Option SAML aus.
- Speichern Sie die Änderungen.
Die Schaltfläche Company Account für die Anmeldung über SAML sollte auf dem Anmeldebildschirm angezeigt werden. Der neu erstellte IdP für Azure-SAML stellt eine SSO-URL als Verknüpfung für SAML bereit.
Festlegen der SSO-Methode in Smartsheet Admin Center
- Wählen Sie in der linken Navigationsleiste die Option Konto aus.
- Wählen Sie im Menü Konto die Option Admin Center aus.
- Wählen Sie Security/Safe Sharing List aus. Weitere Informationen zu den anderen Optionen auf dieser Seite finden Sie unter Sicherheitssteuerung.
- Wählen Sie im Abschnitt Authentifizierung die Option Bearbeiten aus.
- Wählen Sie die gewünschten Authentifizierungsoptionen aus. Sie müssen mindestens eine auswählen.
Kann ich eine einzelne Azure-Unternehmensanwendung verwenden, um SSO für mehrere Smartsheet-Benutzerlisten zu ermöglichen?
Ja, Smartsheet ermöglicht es Ihnen, dieselbe Entitäts-ID für mehrere Benutzerlisten zu verwenden.
Kann ich Benutzerattribute oder Ansprüche in der „integrierten“ OIDC-Schaltfläche „Microsoft“-SSO ändern?
Nein. Verwenden Sie SAML, um die Einzelheiten der SSO-Erfahrung zu steuern.
Kann ich Ausnahmen oder Gruppierungen einrichten, um unterschiedliche Anmeldemethoden auf verschiedene Benutzergruppen anzuwenden?
Nein, die einzige Ausnahme ist der optionale E-Mail- und Kennwort-Fallback für Systemadministratoren unter SAML.
Wirkt sich Azure-SSO auf externe Smartsheet-Benutzer aus?
Nur Benutzer in der Smartsheet-Benutzerliste, für die Azure-SSO aktiviert ist, sind von Änderungen an den Authentifizierungseinstellungen betroffen, einschließlich Azure-SSO. Nur verwaltete Benutzer, die von einem Systemadministrator eingeladen oder von Smartsheet bereitgestellt werden, können sich per SSO anmelden.
Wie füge ich neue Benutzer*innen hinzu, nachdem SSO aktiviert wurde?
Verwenden Sie das in Smartsheet integrierte automatisierte Benutzer-Provisioning für Ihre Domäne. Sie können auch Azure-SCIM verwenden. Das Einrichten von Azure-SCIM ist ein komplexer Prozess, fangen Sie also mit dem automatisierten Benutzer-Provisioning in Smartsheet an. Dies könnte Ihren Anforderungen entsprechen.