Gilt für
- Enterprise
Funktionen
Wer kann diese Funktion nutzen?
- Systemadmin
Admin Center: Konfigurieren des IdP-verwalteten Zugriffs
Mit dem verwalteten Zugriff von Identity Provider ( IdP ) können Sie den Benutzerzugriff und die Berechtigungen innerhalb Smartsheet mithilfe rollenbasierter Gruppen, die in Ihrem IdP definiert sind, effektiv steuern. Dies verbessert nicht nur die Sicherheit, sondern vereinfacht auch die Zugriffsverwaltung und lässt sich nahtlos in Ihr aktuelles IdP System integrieren.
Wer kann das nutzen?
Pläne:
- Enterprise
Berechtigungen:
- Systemadmin
Finden Sie heraus, ob diese Funktion in Smartsheet-Regionen oder Smartsheet Gov enthalten ist.
Überblick
Die Integration der rollenbasierten Zugriffsverwaltung in eine IdP ermöglicht automatische Aktualisierungen der Berechtigungen, wenn sich die Rollen innerhalb Ihres Unternehmens ändern. Dadurch entfällt der manuelle und zeitaufwändige Prozess, den Zugriff auf Smartsheet Elemente zu aktualisieren, wenn ein Mitarbeiter in ein anderes Team wechselt.
Wenn ein Mitarbeiter beispielsweise von einer Finanzrolle in eine Marketingrolle wechselt, muss Ihr Unternehmen den Zugriff auf finanzbezogene Elemente nicht manuell entfernen und den Zugriff auf Marketingelemente gewähren. Dies kann häufig zu Sicherheitslücken führen, da jede Verzögerung bei der Entfernung des Zugriffs auf die sensiblen Informationen einer früheren Rolle das Risiko eines unbefugten Zugriffs erhöht.
Mit IdP verwalteten Zugriff werden Benutzerrollen automatisch zwischen IdP in Ihrem Identitätsanbieter definierten Rollen (z. B. Okta oder Microsoft Entra ID) und IdP rollenbasierten Gruppen in Smartsheet synchronisiert, wodurch eine direkte Übereinstimmung zwischen Rollen in beiden Systemen gewährleistet wird.
Voraussetzungen
- Einrichtung von SAML auf Domänenebene: Security Assertion Markup Language ( SAML ) ist erforderlich, um Zugriff und Berechtigungen mithilfe domänenbasierter IdP rollenbasierter Gruppen zuzuweisen. Systemadministratoren müssen sicherstellen, dass SAML SSO auf Domänenebene eingerichtet sind, um den IdP verwalteten Zugriff zu ermöglichen. Denn wenn sich ein Benutzer mit SAML Login bei Smartsheet anmeldet, teilt SAML die IdP Rolle des Benutzers von IdP bis Smartsheet in Echtzeit.
- Spezifische IdP Konfiguration: Je nachdem, welches IdP System Sie verwenden, befolgen Sie die folgenden Anweisungen, um sicherzustellen, dass die Benutzerrollen in Ihrem IdP ordnungsgemäß mit Smartsheet synchronisiert werden:
- Okta-spezifische Anweisungen
- Entra ID-spezifische Anweisungen (früher als Azure AD bezeichnet)
- Andere IdPs
Zu beachten
- Enterprise Pläne: Systemadministratoren von Plänen, für die eine Domäne validiert wurde, können den IdP verwalteten Zugriff für ihre Pläne über Admin Center aktivieren oder deaktivieren, sodass sie den Benutzerzugriff über ihre IdP rollenbasierten Gruppen verwalten können.
- EPM-Familien: Nur Systemadministratoren des Enterprise Plan Manager (EPM)-Hauptplans können diese Funktion aktivieren oder deaktivieren. Systemadministratoren von untergeordneten Plänen in EPM-Familien erben die Einstellungen aus dem Hauptplan und haben schreibgeschützten Zugriff. Sie können IdP rollenbasierten Gruppen in ihrem Plan nicht erstellen, bearbeiten oder entfernen.
Aktivieren des IdP verwalteten Zugriffs
- Wählen Sie in Admin Center das Symbol für das Menü in der oberen linken Ecke aus.
Navigieren Sie zu Einstellungen > IdP Verwalteter Zugriff.
Brandfolder ImageAktivieren Sie die Option IdP Managed Access.
Brandfolder Image
Wenn Sie die Funktion für IdP verwalteten Zugriff aktivieren, wird automatisch das Blatt mit IdP verwaltetem Zugriff generiert und für alle aktuellen Systemadministratoren im Plan freigegeben. Bei Bedarf können Systemadministratoren es für andere Systemadministratoren freigeben, so wie sie es mit jedem anderen Blatt tun würden.
Sie können die Seite "Verwalteter Zugriff IdP" auch über die Karte "Sicherheit" auf der Admin Center Startseite aufrufen.
Deaktivieren des IdP-verwalteten Zugriffs
- Deaktivieren Sie den Schalter IdP Managed Access auf der Seite IdP Managed Access.
Wer kann IdP Gruppen erstellen?
- Systemadministratoren von Plänen, bei denen die Domäne aktiviert ist.
- Gruppenadministratoren aktivierter Domänen, sofern dies vom Systemadministrator zugelassen wurde.
- Gruppenadministratoren aus validierten Domänen können die Erstellung von IdP Gruppen anfordern.
Können meine Benutzer Freigaben für Smartsheet Gruppen und IdP Gruppen durchführen?
Ja. Der Domänenname wird am Ende (im Freigabemodal) aufgeführt, damit Benutzer erkennen können, dass es sich um eine IdP Gruppe handelt.
Welche Änderungen treten auf, wenn ich die Funktion zum ersten Mal in einem Plan aktiviere, in dem die Domäne aktiviert ist?
- Für IdP Rollen- und IdP Gruppenzuordnungen wird ein neues Blatt erstellt.
- IdP Gruppenmitgliedschaften werden automatisch erstellt und aktualisiert, wenn sich Benutzer anmelden.
- Sie können Smartsheet Elemente für IdP Gruppen freigeben. Außerdem erhalten Benutzer Zugriff basierend auf ihrer IdP Rolle.
Wie wirkt sich das Deaktivieren der Funktion auf einen Plan aus, in dem die Domäne aktiviert ist?
- Das Blatt wird gelöscht, aber alle Rollenzuordnungen bleiben für die zukünftige Verwendung in der Datenbank auf Domänenebene erhalten.
- Die Synchronisierung von Rollen- und Gruppenmitgliedschaften wird beendet.
- Benutzer können Smartsheet Elemente nicht mehr für IdP Gruppen freigeben und Gruppenmitgliedschaften werden entfernt.
- Bestehende Gruppenmitgliedschaften werden gelöscht. Benutzer verlieren den Zugriff auf freigegebene Elemente durch IdP Gruppen.
Was geschieht, nachdem ich die Funktion in einem Plan mit einer aktivierten Domäne wieder aktiviere?
- Das Blatt wird mithilfe der vorherigen Rollenzuordnungen, die in der Datenbank gespeichert sind, erneut erstellt.
- Die Synchronisierung von Rollen und Gruppenmitgliedschaften wird fortgesetzt und die Gruppenmitgliedschaften der Benutzer werden aktualisiert.
- Die Elementfreigabe für IdP Gruppen ist wieder verfügbar, sodass der Zugriff für Benutzer mit den entsprechenden Rollen wiederhergestellt wird.
Wie wirkt sich die Domänendeaktivierung auf IdP Managed Access aus, wenn sie aktiviert ist?
- Das Blatt bleibt erhalten, aber die Synchronisierung wird für die deaktivierte Domäne beendet.
- Bestehende Rollenzuordnungen und Gruppenmitgliedschaften werden beibehalten, es werden jedoch keine neuen Aktualisierungen vorgenommen.
- Benutzer in deaktivierten Domänen verlieren den Zugriff auf Smartsheet Elemente, die über IdP Gruppen freigegeben wurden.
Was geschieht, wenn eine Domäne mit einer bereits im Blatt definierten IdP Rolle aktiviert wird?
- Wenn bereits Rollenzuordnungen vorhanden sind, werden diese mit dem Blatt synchronisiert, sobald die Domäne aktiviert wird.
- Das System stellt sicher, dass die richtigen Daten in einem neuen oder vorhandenen Blatt verfügbar sind, wodurch der Benutzerzugriff wiederhergestellt wird.
Wie funktioniert das Aktivieren, Deaktivieren oder erneute Aktivieren der Funktion in einem Plan, in dem eine Domäne validiert wird?
- Es gibt keine direkten Auswirkungen auf das Blatt, da es durch den aktivierten Plan verwaltet wird.
- Gruppenmitgliedschaften werden basierend auf Benutzeranmeldungen aktualisiert, aber entfernt, wenn die Funktion deaktiviert wird.
- Die Elementfreigabe und die Gruppenmitgliedschaft funktionieren wie erwartet, ähnlich wie aktivierte Pläne, werden jedoch über den aktivierten Hauptplan verwaltet.
Welche Auswirkungen hat die Domäneninvalidierung in einem validierten Domänenplan?
- Gruppenmitgliedschaften für Benutzer in der ungültigen Domäne werden entfernt.
- Benutzer in diesen Domänen verlieren den Zugriff auf Elemente, die für IdP Gruppen freigegeben wurden.
Gibt es bestimmte Fälle, die ich beachten muss, wenn es um die Deaktivierung oder Reaktivierung von Domains geht?
- Wenn eine Domäne deaktiviert wird, werden die entsprechenden Zeilen im Blatt gelöscht, aber die Rollenzuordnungen bleiben erhalten.
- Wenn die letzte Domäne eines Plans deaktiviert wird, wird das Blatt gelöscht und die Funktion für den Plan deaktiviert.
- Wenn eine Domäne erneut aktiviert wird, werden alle vorhandenen Rollenzuordnungen erneut mit dem Blatt synchronisiert und die Benutzer erhalten wieder Zugriff.