Gilt für

Smartsheet
  • Enterprise

Funktionen

Wer kann diese Funktion nutzen?

  • Systemadmin

SAML für Einmalanmeldung bei Smartsheet auf Domänenebene konfigurieren

Die SAML-Konfiguration auf Domänenebene ermöglicht Ihnen, eine einheitliche Einmalanmeldung (SSO) für alle Pläne in Ihrer Domäne zu implementieren.

Wer kann das nutzen?

Pläne:

  • Enterprise

Berechtigungen:

  • Systemadmin

Finden Sie heraus, ob diese Funktion in Smartsheet-Regionen oder Smartsheet Gov enthalten ist.

Sie benötigen eine*n IT-Admin, um SAML für SSO mit Smartsheet einzurichten.

Durch das Aktivieren der SAML-Konfiguration auf Domänenebene stellen Sie eine konsistente SSO-Erfahrung für alle Pläne innerhalb einer verifizierten und aktivierten Domäne sicher. Außerdem wird ein einheitlicher Prozess für alle Benutzer dieser Domäne garantiert, unabhängig von ihrer Abteilung oder dem spezifischen Smartsheet-Plan, dem sie zugewiesen sind.

Diese Funktion ist nur in Enterprise-Plänen verfügbar. Nach der Konfiguration durch den Systemadministrator gilt die Richtlinie für alle Smartsheet-Benutzer in dieser Domäne, unabhängig von ihrem Plantyp.

Beachten Sie, dass Ihre bestehenden SAML-Konfigurationen auf Planebene für Benutzer dieser Domäne weiterhin funktionsfähig bleiben. Sie haben nun jedoch die Möglichkeit, SAML auf Domänenebene zu implementieren. Sobald Sie SAML auf Domänenebene aktivieren, werden Ihre vorherigen SAML auf Planebene für Benutzer in dieser Domäne überschrieben.


Voraussetzungen

SAML-Attributanforderungen

Für das SAML-Austauschverfahren sind die folgenden Attribute in Smartsheet erforderlich:

  • Persistente ID: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
  • E-Mail-Adresse: E-Mail
  • (Optional, aber empfohlen):
    • Vorname: Vorname
    • Nachname: Nachname

Einige SAML-Services fordern möglicherweise zusätzliche Informationen an, z. B. die ACS-URL (Assertion Consumer Service) und die Audience Restriction (Entitäts-ID). Sie finden diese Werte auf dem Bildschirm SAML IdP konfigurieren.

So rufen Sie den Bildschirm auf:

  1. Gehen Sie zu Admin Center.
  2. Rufen Sie Authentifizierung auf und wählen Sie SAML IdP hinzufügen > Anderer IdP (Anpassen) aus.

In Azure müssen Sie den Wert der persistenten ID nicht manuell eingeben, da er automatisch durch den vorausgefüllten Anspruch auf eine eindeutige Benutzer-ID enthalten ist. Für den Anspruch auf eine eindeutige ID muss der übergebene Wert user.userprincipalname sein. Der einzige Attributwert, den Sie manuell hinzufügen müssen, ist die E-Mail-Adresse. Alle anderen vorausgefüllten Ansprüche innerhalb der Anwendung sollten gelöscht werden. Weitere Informationen zum Konfigurieren von Azure für die Einmalanmeldung bei Smartsheet auf Domänenebene


SAML für Einmalanmeldung in Smartsheet einrichten

  1. Öffnen Sie das Admin Center und wählen Sie das Symbol Menü aus.
  2. Navigieren Sie zum Tab Einstellungen und wählen Sie Authentifizierung aus.
  3. Wählen Sie SAML-IdP hinzufügen aus.
  4. Wählen Sie für eine der folgenden Optionen Konfigurieren aus:
Brandfolder Image
Choose SAML IdP

Okta-basierte SAML-Konfiguration

  1. Geben Sie im Feld Name Okta IdP (Okta-IdP benennen) einen Namen für Ihre Okta-SAML-Konfiguration ein.
  2. Kopieren Sie die Werte aus den Feldern URL des Assertion Consumer Service (ACS) und Zielgruppenbeschränkung (Entitäts-ID) und fügen Sie sie in die jeweiligen Felder ACS URL (ACS-URL) und Audience URI (Zielgruppen-URI) in der Smartsheet v2 Okta-App ein. Auf diese Weise richten Sie Smartsheet als Serviceanbieter ein, damit Sie SAML-Metadaten von Ihrer Okta-Instanz abrufen können.

    Brandfolder Image
    Configure Okta SAML IdP
  3. Folgen Sie den Anweisungen auf dem Bildschirm, um die Okta-Metadaten-URL abzurufen, und wählen Sie dann Speichern und weiter aus.
  4. Sie werden nun aufgefordert, Ihre Verbindung zu testen, indem Sie sich mit Okta bei Smartsheet anmelden. Wählen Sie Verbindung verifizieren aus.
  5. Nachdem Sie Ihre Verbindung verifiziert haben, aktivieren Sie das Kontrollkästchen Ich habe die Verbindung erfolgreich verifiziert.
  6. Wählen Sie Speichern und weiter aus.

    Brandfolder Image
    Verify Okta connection
  7. Weisen Sie Okta über das Dropdown-Feld Ihre aktiven Domänen zu oder wählen Sie Domäne hinzufügen aus, um die Domänen zu finden, die Sie hinzufügen möchten.
  8. Wählen Sie Speichern und weiter aus.

    Brandfolder Image
    Assign active domains to Okta SAML setup
  9. Befolgen Sie die Anweisungen auf dem Bildschirm, um eine Okta-Lesezeichen-App zu erstellen, die Ihren Benutzer*innen ermöglicht, sich über die Startseite der Okta-App bei Smartsheet anzumelden.
  10. Aktivieren Sie das Kontrollkästchen, um zu bestätigen, dass Sie erfolgreich eine Okta-Lesezeichen-App für Smartsheet erstellt haben.
  11. Wählen Sie Beenden aus.

    Brandfolder Image
    create an Okta bookmark app

Benutzerdefinierte SAML-Konfiguration

  1. Befolgen Sie die Anweisungen auf dem Bildschirm, um Smartsheet als abhängige Partei festzulegen, und wählen Sie dann Weiter aus.

    Brandfolder Image
    Configure custom SAML IdP
  2. Geben Sie im Feld Name des SAML IdP einen Namen für Ihre benutzerdefinierte SAML-Konfiguration ein.
  3. Importieren Sie Ihre SAML IdP-Metadaten entweder aus einer XML-Datei oder aus einer öffentlichen URL, die eine XML-Datei Ihres Identityproviders hostet.

    Die XML-URL-Option ist die empfohlene Methode zum Importieren Ihrer Metadaten.

  4. Wählen Sie Speichern und weiter aus.

    Brandfolder Image
    Copy IdP metadata for the custom SAML setup
  5. Sie werden nun aufgefordert, Ihre Verbindung zu testen, indem Sie sich mit Ihrem benutzerdefinierten SAML IdP bei Smartsheet anmelden. Wählen Sie Verbindung verifizieren aus.
  6. Nachdem Sie Ihre Verbindung verifiziert haben, aktivieren Sie das Kontrollkästchen Ich habe die Verbindung erfolgreich verifiziert.
  7. Wählen Sie Speichern und weiter aus.

    Brandfolder Image
    Verify custom IdP connection
  8. Weisen Sie Ihrem benutzerdefinierten SAML IdP über das Dropdown-Feld Ihre aktiven Domänen zu oder wählen Sie Domäne hinzufügen aus, um die Domänen zu finden, die Sie hinzufügen möchten.
  9. Wählen Sie Beenden aus.

    Brandfolder Image
    Assign active domains to custom SAML IdP setup

Sie können Ihre neue SAML-Konfiguration erst aktivieren, wenn Sie zuvor Ihre SAML-IdP-Verbindung verifiziert haben.


Informationen zu aktuellen SAML-Konfigurationen auf Planebene

  • Benutzer, die noch keine SAML auf Planebene eingerichtet haben oder neu in Smartsheet sind, können SAML nur auf Domänenebene konfigurieren. Wenn Sie dennoch SAML auf Planebene benötigen, wenden Sie sich an den Smartsheet-Support oder Ihren Smartsheet-Kontakt.
  • Aktuelle SAML-Konfigurationen auf Plan- oder Domänenebene bleiben für Benutzer einer Domäne funktionsfähig, bis das Smartsheet-SAML-Zertifikat abläuft. Weitere Informationen zum Ablauf von Zertifikaten.
  • Im Admin Center wird eine Warnmeldung angezeigt, die Sie darüber informiert, wie viele Tage noch verbleiben, bis Ihre aktuellen SAML-Konfigurationen auf Planebene ablaufen.
  • In Fällen, bei denen sowohl SAML-Konfigurationen auf Plan- als auch auf Domänenebene vorhanden sind, hat die Konfiguration auf Domänenebene Vorrang und ersetzt für Benutzer dieser Domäne alle vorhandenen Einstellungen auf Planebene.
  • Wenn ein Plan derzeit Anmeldemethoden wie E-Mail/Kennwort, Google SSO oder SAML anbietet und ein Enterprise-Plan für eine bestimmte Domäne SAML auf Domänenebene einrichtet, werden Benutzern dieser Domäne weiterhin dieselben Anmeldeoptionen angezeigt. Darüber hinaus haben sie unabhängig von ihrem Plantyp Zugriff auf die neu konfigurierte SAML auf Domänenebene.

Zu beachten

Der Enterprise-Plan, der die Domäne validiert und aktiviert hat, ist der einzige Plan, der SAML-Einstellungen auf Domänenebene konfigurieren und anwenden kann, die sich auf alle Benutzer dieser Domäne auswirken.

Wenn jedoch andere Enterprise-Pläne dieselbe Domäne validiert haben, können sie auch einen Entwurf für eine SAML-Konfiguration auf Domänenebene konfigurieren. Trotzdem können sie die Einstellungen nicht anwenden, da sie nicht diejenigen waren, die die Domäne aktiviert haben.

Kann ich Google SSO oder Azure SSO mit der SAML-Konfiguration auf Domänenebene verwenden?

Anfänglich sind nur SAML für die Konfiguration auf Domänenebene verfügbar. Die Einrichtung der Google SSO-/Azure SSO-Anmeldung auf Domänenebene wird zu einem späteren Zeitpunkt möglich sein.

Wie kann ich vorgehen, wenn beim Übergang zu SAML auf Domänenebene Probleme auftreten?

Wenden Sie sich an den Smartsheet-Support, um Unterstützung zu erhalten, wenn Sie während des Übergangs auf Probleme stoßen.

Wie kann ich im Bedarfsfall zu den SSO-Einstellungen auf Planebene zurückkehren?

Nach dem Übergang zur SAML-Konfiguration auf Domänenebene ist die Wiederherstellung der SSO-Einstellungen auf Planebene nicht mehr möglich. Stellen Sie sicher, dass Sie auf diese Änderung vorbereitet sind, bevor Sie sie implementieren.

Fallen für die Umstellung auf eine SAML-Konfiguration auf Domänenebene zusätzliche Kosten an?

Nein, für die Aktivierung der SAML-Konfiguration auf Domänenebene fallen keine zusätzlichen Kosten an. Sie ist in Ihrem bestehenden Enterprise-Plan für Smartsheet enthalten.

Kann ich unterschiedliche SAML-Konfigurationen für verschiedene Domänen verwenden?

Ja. Sie können für jede validierte und aktivierte Domäne unterschiedliche SAML-Einstellungen konfigurieren. Diese Flexibilität ermöglicht maßgeschneiderte Sicherheitseinstellungen für verschiedene Segmente Ihres Plans.

Wie wirkt sich diese Änderung auf die Anmeldung meiner aktuellen Benutzer aus?

Sobald SAML auf Domänenebene für eine validierte und aktivierte Domäne durch einen Systemadministrator in einem Enterprise-Plan konfiguriert wurde, gilt für alle Benutzer dieser Domäne, unabhängig von ihrem Plantyp, die vorgeschriebene SAML-Anmeldemethode. Alle anderen Konfigurationen auf Planebene (z. B. Google SSO, Azure SSO, E-Mail und Kennwort usw.) sind jedoch weiterhin für Endbenutzer verfügbar, die diesem Plan angehören.

Was geschieht mit aktiven Benutzersitzungen, wenn die SAML-Konfiguration auf Domänenebene aktiviert wird?

Aktive Sitzungen bleiben davon unberührt. Sobald sich ein Benutzer jedoch abmeldet, muss er sich das nächste Mal mit der neuen SAML-Konfiguration auf Domänenebene anmelden.

Kann ich die SAML-Konfiguration auf Domänenebene phasenweise für meinen Plan einführen?

Die Konfiguration wird auf Domänenebene angewendet und eignet sich daher eher für eine vollständige Implementierung als für einen phasenweisen Ansatz.

Kann ich die SAML-Konfiguration auf Domänenebene für mehrere Enterprise-Pläne aktivieren?

Nur der Enterprise-Plan, der die Domäne validiert und aktiviert hat, kann die Richtlinie für die SAML-Domäne für alle Benutzer und Pläne dieser Domäne konfigurieren.

Kann ich eine Richtlinie für Benutzerbewegungen einrichten, während ich SAML auf Domänenebene nutze?

Nein. Die Richtlinie für Benutzerbewegungen ist mit SAML-Konfigurationen auf Domänenebene nicht kompatibel.