Konfigurieren von Azure für OIDC auf Planebene oder SAML mit Smartsheet

In beiden Konfigurationen steuert Azure die Authentifizierungseinstellungen von Azure. Sämtliche SSO-Richtlinien- und Einstellungsanpassungen werden von Azure gesteuert, nicht von Smartsheet. 

• ID Connect (OIDC) öffnen: Verwenden Sie die integrierte Microsoft-Schaltfläche und die entsprechende Unternehmensanwendung in Azure (3290e3f7-d3ac-4165-bcef-cf4874fc4270). Um sich auf Azure zu beschränken, verwenden Sie die Authentifizierungseinstellungen in Smartsheet. 
• SAML: Erstellen Sie eine neue Unternehmensanwendung für Smartsheet in Azure und konfigurieren Sie die SAML-Einrichtung und die Benutzerzuordnung direkt in der App. Diese Methode bietet mehr Kontrolle über bestimmte Benutzerattribute. 

Smartsheet bietet die SCIM-Bereitstellung mit dem Azure-Bereitstellungsdienst, dieser ist jedoch keine Voraussetzung für SSO. 

Denken Sie daran, dass es sich bei Azure für OIDC oder SAML um eine Konfiguration auf Planebene handelt.

Einrichten von SSO mit OIDC

1. Navigieren Sie im Bereich für Unternehmensanwendungen von Azure zur vordefinierten Smartsheet-Unternehmensanwendung oder suchen Sie danach (ID 3290e3f7-d3ac-4165-bcef-cf4874fc4270).
2. Überprüfen Sie die Azure-Einstellungen, z. B. Sichtbarkeit für Benutzer und erforderliche Zuweisungen. User.read ist der einzige erforderliche Anspruch, den Smartsheet verwendet.
3. Aktivieren und testen Sie die Microsoft Azure AD-Option in den Authentifizierungseinstellungen in Smartsheet.
4. Wenn der Test erfolgreich ist, teilen Sie Ihren Benutzern die Änderung mit und deaktivieren Sie alle anderen Authentifizierungsoptionen. 

Konfigurieren von Azure für OIDC oder SAML mit Smartsheet

Wenn Sie mehr Kontrolle über die Anmeldemodalitäten benötigen, konfigurieren Sie SAML mit Azure als SAML-Identitätsanbieter (IdP). Wie bei OIDC finden die meisten Konfigurationsänderungen in Azure statt, nicht in Smartsheet. 

Wenn Sie eine SAML-Konfiguration zwischen Smartsheet und Azure AD einrichten, sehen Benutzer die Schaltfläche Your Company Account auf dem Smartsheet-Anmeldebildschirm.

So konfigurieren Sie Azure AD mit SAML: 

Sie können SAML nicht in der Galerie-App von Smartsheet (ID 329..) in Azure einrichten. Die integrierte App bietet Kontrolle über OIDC-SSO, eine andere Option. Erstellen Sie zum Einrichten von SAML wie folgt in Azure eine neue Unternehmensanwendung:

Geben Sie in der SAML-Grundkonfiguration Folgendes ein:

• Entity ID (Entitäts-ID): https://sso.smartsheet.com/saml
• Reply URL (Antwort-URL): https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
• Sign-on URL (Anmelde-URL): https://app.smartsheet.com/b/home

Unter „User Attributes & Claims“ (Benutzerattribute und -ansprüche) stellt Azure die folgenden Standardwerte bereit:

• Unique User Identifier (Eindeutige Benutzer-ID): user.userprincipalname
• Email address (E-Mail-Adresse): user.mail
• Name: user-userprincipalname

Der standardmäßige Additional Claim of Name (zusätzliche Namensanspruch): „user-userprincipalname“ verursacht einen unerwarteten Fehler. Löschen Sie ihn, damit SAML über Azure funktioniert.

Unter SAML-Signaturzertifikat:

1. Stellen Sie sicher, dass für den Status „Active“ (Aktiv) festgelegt ist.
2. Bestätigen Sie Ihre Benachrichtigungs-E-Mail. Sie erhalten eine Benachrichtigung an diese E-Mail, wenn das Zertifikat bald abläuft. 
3. Laden Sie die Federation Metadata XML (XML-Datei mit Verbundmetadaten) herunter und öffnen Sie die Datei in Notepad oder einem anderen Editor für unformatierten Text.
4. Wählen Sie im linken Bereich unter Manage (Verwalten) die Option Verwalten (Eigenschaften) aus und scrollen Sie nach unten, um die Option User assignment required? (Benutzerzuweisung erforderlich?) zu deaktivieren. Das Deaktivieren dieser Funktion erleichtert das Testen und Benutzer werden bereits in der Smartsheet-Benutzerliste verwaltet.  
5. Melden Sie sich bei Admin Center an und wählen Sie Authentifizierung > SAML aus.
6. Wählen Sie Konfiguration bearbeiten neben SAML und dann IdP hinzufügen aus.
7. Benennen Sie den IdP (z. B. AzureSAML) und fügen Sie die heruntergeladenen Metadaten ein. Speichern Sie die Änderungen. 
8. Wählen Sie im Fenster IdP bearbeiten die Option Aktivieren aus.
9. Schließen Sie die Fenster IdP bearbeiten und SAML-Administration.
10. Wählen Sie im Fenster Authentifizierung die Option SAML aus.
11. Speichern Sie die Änderungen. 

Die Schaltfläche Company Account für die Anmeldung über SAML sollte auf dem Anmeldebildschirm angezeigt werden. Der neu erstellte IdP für Azure-SAML stellt eine SSO-URL als Verknüpfung für SAML bereit.

Festlegen der SSO-Methode in Smartsheet Admin Center

1. Wählen Sie in der linken Navigationsleiste die Option Konto aus. 
2. Wählen Sie im Menü Konto die Option Admin Center aus. 
3. Wählen Sie Security/Safe Sharing List aus. Weitere Informationen zu den anderen Optionen auf dieser Seite finden Sie unter Sicherheitssteuerung.
4. Wählen Sie im Abschnitt Authentifizierung die Option Bearbeiten aus.
5. Wählen Sie die gewünschten Authentifizierungsoptionen aus. Sie müssen mindestens eine auswählen.