Gilt für
- Enterprise
Funktionen
Wer kann diese Funktion nutzen?
Systemadministratoren mit einem IT-Administrator können SAML für SSO mit Smartsheet einrichten.
SAML für Einmalanmeldung bei Smartsheet auf Domänenebene konfigurieren
Die SAML-Konfiguration auf Domänenebene ermöglicht es Ihnen, eine planübergreifend einheitliche Einmalanmeldung (SSO) für Ihre Domäne zu implementieren.
Durch das Aktivieren der SAML-Konfiguration auf Domänenebene stellen Sie eine planübergreifend konsistente SSO-Erfahrung innerhalb einer verifizierten und aktivierten Domäne sicher. Außerdem wird ein einheitlicher Prozess für alle Benutzer dieser Domäne garantiert, unabhängig von ihrer Abteilung oder dem spezifischen Smartsheet-Plan, dem sie zugewiesen sind.
Diese Funktion ist nur in Enterprise-Plänen verfügbar. Nach der Konfiguration durch den Systemadministrator gilt die Richtlinie für alle Smartsheet-Benutzer in dieser Domäne, unabhängig von ihrem Plantyp.
Beachten Sie, dass Ihre bestehenden SAML-Konfigurationen auf Planebene für Benutzer dieser Domäne weiterhin funktionsfähig bleiben. Sie haben nun jedoch die Möglichkeit, SAML auf Domänenebene zu implementieren. Sobald Sie SAML auf Domänenebene aktivieren, werden Ihre vorherigen SAML auf Planebene für Benutzer in dieser Domäne überschrieben.
Voraussetzungen
- Systemadministratoren müssen ihre Domänen über den Bildschirm „Domänenverwaltung“ verifizieren und aktivieren, bevor sie eine SAML-Konfiguration auf Domänenebene einrichten. Weitere Informationen zur Domänenverwaltung.
Aktivieren der Smartsheet V2-Anwendung in Okta.
Diese Anforderung gilt nur für die Okta-basierte SAML Konfiguration.
Systemadministratoren müssen SAML in ihrem IdP einrichten und SAML-Attribute abrufen, die während der SAML-Konfiguration in Smartsheet aktualisiert werden.
SAML-Attributanforderungen
Für das SAML-Austauschverfahren sind die folgenden Attribute in Smartsheet erforderlich:
- Persistente ID: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
- E-Mail-Adresse: E-Mail
- (Optional, aber empfohlen):
- Vorname: Vorname
- Nachname: Nachname
Einige SAML-Dienste fragen möglicherweise zusätzliche Informationen ab:
- ACS (Assertion Consumer Service)-URL: https://saml.authn.smartsheet.com/saml2/idpresponse
- Zielgruppenbeschränkung: urn:amazon:cognito:sp:us-east-1_xww1cbP43
- EU-Konten: urn:amazon:cognito:sp:eu-central-1_55Qg6Sssh
In Azure müssen Sie den Wert der persistenten ID nicht manuell eingeben, da er automatisch durch den vorausgefüllten Anspruch auf eine eindeutige Benutzer-ID enthalten ist. Für den Anspruch auf eine eindeutige ID muss der übergebene Wert user.userprincipalname sein. Der einzige Attributwert, den Sie manuell hinzufügen müssen, ist die E-Mail-Adresse. Alle anderen vorausgefüllten Ansprüche innerhalb der Anwendung sollten gelöscht werden.
SAML für Einmalanmeldung in Smartsheet einrichten
- Öffnen Sie das Admin Center und wählen Sie das Symbol Menü aus.
- Navigieren Sie zum Tab Einstellungen und wählen Sie Authentifizierung aus.
- Wählen Sie SAML-IdP hinzufügen aus.
- Wählen Sie für eine der folgenden Optionen Konfigurieren aus:
Okta-basierte SAML-Konfiguration
- Geben Sie im Feld Okta-IdP benennen einen Namen für Ihre Okta-SAML-Konfiguration ein.
Folgen Sie den Anweisungen auf dem Bildschirm, um die Okta-Metadaten-URL abzurufen, und wählen Sie dann Speichern und Weiter aus.
Brandfolder Image
- Sie werden nun aufgefordert, Ihre Verbindung zu testen, indem Sie sich mit Okta bei Smartsheet anmelden. Wählen Sie Verbindung verifizieren aus.
- Wählen Sie nach Verifizierung Ihrer Verbindung das Kontrollkästchen Ich habe mich über die oben angegebene URL auf der Startseite der Smartsheet-App angemeldet aus.
Wählen Sie Speichern und Weiter aus.
Brandfolder Image
- Weisen Sie über das Dropdown-Feld Okta Ihre aktiven Domänen zu oder wählen Sie Domäne hinzufügen aus, um die Domänen zu finden, die Sie hinzufügen möchten.
Wählen Sie Speichern und Weiter aus.
Brandfolder Image
- Befolgen Sie die Anweisungen auf dem Bildschirm, um eine Okta-Lesezeichen-App zu erstellen, die es Ihren Benutzern ermöglicht, sich über die Startseite der Okta-App bei Smartsheet anzumelden.
- Aktivieren Sie das Kontrollkästchen, um zu bestätigen, dass Sie erfolgreich eine Okta-Lesezeichen-App für Smartsheet erstellt haben.
Wählen Sie Fertigstellen aus.
Brandfolder Image
Benutzerdefinierte SAML-Konfiguration
Befolgen Sie die Anweisungen auf dem Bildschirm, um Smartsheet als vertrauende Seite festzulegen, und wählen Sie dann Weiter aus.
Brandfolder Image
- Geben Sie im Feld SAML IdP benennen einen Namen für Ihre benutzerdefinierte SAML-Konfiguration ein.
Importieren Sie Ihre SAML IdP-Metadaten entweder aus einer XML-Datei oder aus einer öffentlichen URL, die eine XML-Datei Ihres Identityprovider hostet.
Die XML-URL-Option ist die empfohlene Methode zum Importieren Ihrer Metadaten.
Wählen Sie Speichern und Weiter aus.
Brandfolder Image
- Sie werden nun aufgefordert, Ihre Verbindung zu testen, indem Sie sich mit Ihrem benutzerdefinierten SAML IdP bei Smartsheet anmelden. Wählen Sie Verbindung verifizieren aus.
- Wählen Sie nach Verifizierung Ihrer Verbindung das Kontrollkästchen Ich habe mich über die oben angegebene URL auf der Startseite der Smartsheet-App angemeldet aus.
Wählen Sie Speichern und Weiter aus.
Brandfolder Image
- Weisen Sie über das Dropdown-Feld Ihrem benutzerdefinierten SAML IdP Ihre aktiven Domänen zu oder wählen Sie Domäne hinzufügen aus, um die Domänen zu finden, die Sie hinzufügen möchten.
Wählen Sie Fertigstellen aus.
Brandfolder Image
Sie können Ihre neue SAML-Konfiguration erst aktivieren, wenn Sie zuvor Ihre SAML IdP-Verbindung überprüft haben.
Informationen zu aktuellen SAML-Konfigurationen auf Planebene
- Benutzer, die noch keine SAML auf Planebene eingerichtet haben oder neu in Smartsheet sind, können SAML nur auf Domänenebene konfigurieren. Wenn Sie dennoch SAML auf Planebene benötigen, wenden Sie sich an den Smartsheet-Support oder Ihren Smartsheet-Kontakt.
- Aktuelle SAML-Konfigurationen auf Plan- oder Domänenebene bleiben für Benutzer einer Domäne funktionsfähig, bis das Smartsheet-SAML-Zertifikat abläuft. Weitere Informationen zum Ablauf von Zertifikaten.
- Im Admin Center wird eine Warnmeldung angezeigt, die Sie darüber informiert, wie viele Tage noch verbleiben, bis Ihre aktuellen SAML-Konfigurationen auf Planebene ablaufen.
- In Fällen, bei denen sowohl SAML-Konfigurationen auf Plan- als auch auf Domänenebene vorhanden sind, hat die Konfiguration auf Domänenebene Vorrang und ersetzt für Benutzer dieser Domäne alle vorhandenen Einstellungen auf Planebene.
- Wenn ein Plan derzeit Anmeldemethoden wie E-Mail/Kennwort, Google SSO oder SAML anbietet und ein Enterprise-Plan für eine bestimmte Domäne SAML auf Domänenebene einrichtet, werden Benutzern dieser Domäne weiterhin dieselben Anmeldeoptionen angezeigt. Darüber hinaus haben sie unabhängig von ihrem Plantyp Zugriff auf die neu konfigurierte SAML auf Domänenebene.
Zu beachten
Der Enterprise-Plan, der die Domäne validiert und aktiviert hat, ist der einzige Plan, der SAML-Einstellungen auf Domänenebene konfigurieren und anwenden kann, die sich auf alle Benutzer dieser Domäne auswirken.
Wenn jedoch andere Enterprise-Pläne dieselbe Domäne validiert haben, können sie auch einen Entwurf für eine SAML-Konfiguration auf Domänenebene konfigurieren. Trotzdem können sie die Einstellungen nicht anwenden, da sie nicht diejenigen waren, die die Domäne aktiviert haben.
Kann ich Google SSO oder Azure SSO mit der SAML-Konfiguration auf Domänenebene verwenden?
Anfänglich sind nur SAML für die Konfiguration auf Domänenebene verfügbar. Die Einrichtung der Google SSO-/Azure SSO-Anmeldung auf Domänenebene wird zu einem späteren Zeitpunkt möglich sein.
Wie kann ich vorgehen, wenn beim Übergang zu SAML auf Domänenebene Probleme auftreten?
Wenden Sie sich an den Smartsheet-Support, um Unterstützung zu erhalten, wenn Sie während des Übergangs auf Probleme stoßen.
Wie kann ich im Bedarfsfall zu den SSO-Einstellungen auf Planebene zurückkehren?
Nach dem Übergang zur SAML-Konfiguration auf Domänenebene ist die Wiederherstellung der SSO-Einstellungen auf Planebene nicht mehr möglich. Stellen Sie sicher, dass Sie auf diese Änderung vorbereitet sind, bevor Sie sie implementieren.
Fallen für die Umstellung auf eine SAML-Konfiguration auf Domänenebene zusätzliche Kosten an?
Nein, für die Aktivierung der SAML-Konfiguration auf Domänenebene fallen keine zusätzlichen Kosten an. Sie ist in Ihrem bestehenden Enterprise-Plan für Smartsheet enthalten.
Kann ich unterschiedliche SAML-Konfigurationen für verschiedene Domänen verwenden?
Ja. Sie können für jede validierte und aktivierte Domäne unterschiedliche SAML-Einstellungen konfigurieren. Diese Flexibilität ermöglicht maßgeschneiderte Sicherheitseinstellungen für verschiedene Segmente Ihres Plans.
Wie wirkt sich diese Änderung auf die Anmeldung meiner aktuellen Benutzer aus?
Sobald SAML auf Domänenebene für eine validierte und aktivierte Domäne durch einen Systemadministrator in einem Enterprise-Plan konfiguriert wurde, gilt für alle Benutzer dieser Domäne, unabhängig von ihrem Plantyp, die vorgeschriebene SAML-Anmeldemethode. Alle anderen Konfigurationen auf Planebene (z. B. Google SSO, Azure SSO, E-Mail und Kennwort usw.) sind jedoch weiterhin für Endbenutzer verfügbar, die diesem Plan angehören.
Was geschieht mit aktiven Benutzersitzungen, wenn die SAML-Konfiguration auf Domänenebene aktiviert wird?
Aktive Sitzungen bleiben davon unberührt. Sobald sich ein Benutzer jedoch abmeldet, muss er sich das nächste Mal mit der neuen SAML-Konfiguration auf Domänenebene anmelden.
Kann ich die SAML-Konfiguration auf Domänenebene phasenweise für meinen Plan einführen?
Die Konfiguration wird auf Domänenebene angewendet und eignet sich daher eher für eine vollständige Implementierung als für einen phasenweisen Ansatz.
Kann ich die SAML-Konfiguration auf Domänenebene für mehrere Enterprise-Pläne aktivieren?
Nur der Enterprise-Plan, der die Domäne validiert und aktiviert hat, kann die Richtlinie für die SAML-Domäne für alle Benutzer und Pläne dieser Domäne konfigurieren.