Configurar SAML 2 para el Inicio de sesión único en Smartsheet

Aplica a

Smartsheet
  • Enterprise

Capacidades

¿Quiénes pueden usar esta capacidad?

Los administradores de sistemas con un administrador de TI pueden configurar SAML 2 para el SSO con Smartsheet
 

Si en su organización se utiliza el estándar Security Assertion Markup Language (SAML) para la autenticación del inicio de sesión, puede configurar Smartsheet para ingresar a través de un proveedor de Inicio de sesión único (SSO) compatible.

Para configurar con éxito el SSO de SAML 2 con Smartsheet para el gobierno de EE. UU., hay algunos requisitos y configuraciones que debe aplicar.

Tenga en cuenta lo siguiente

  • Smartsheet admite el SSO iniciado por el SP. Si está configurando un SSO iniciado por un IdP, trabaje con su IdP.
  • Puede utilizar varios IdP de SSO al mismo tiempo.

Lo que necesita para configurar Smartsheet con su IdP

Necesitará los metadatos de Smartsheet proporcionados aquí: www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata.xml

Utilice los metadatos proporcionados para configurar un Usuario de confianza con su IdP.El proceso de configuración de un Usuario de confianza puede variar para cada IdP.Consulte la documentación de su IdP para obtener más información.

Debido a sus vulnerabilidades de seguridad, el algoritmo de certificados SHA1 ha quedado obsoleto. Debe asegurarse de que no está utilizando un certificado SSL firmado con SHA1.

Proceso de intercambio de SAML

Smartsheet requiere los siguientes atributos en el proceso de intercambio de SAML:

  • ID persistente:urn:oasis:names:tc:SAML:2.0:nameid‑format:persistent 
  • Dirección de correo electrónico: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Tenga en cuenta lo siguiente

  • La primera afirmación debe tener un ID persistente que sea el mismo para cada persona siempre que esta inicie sesión. Su dirección de correo electrónico puede ser un ID persistente, pero sigue siendo necesario que la reclamación de Dirección de correo electrónico se apruebe en el proceso de afirmación. Para ver un ejemplo de afirmación y una lista completa de los formatos de reclamación admitidos por Smartsheet, consulte el artículo Afirmación de SAML: Ejemplos de reclamaciones admitidas en Smartsheet.
  • El ID persistente puede definirse en el elemento NameID (sujeto) de la afirmación.
  • Si la afirmación no tiene ningún elemento NameID (sujeto), puede usar uno de los atributos que se definen en el artículo Reclamaciones compatibles.

Los siguientes son atributos recomendados, pero opcionales: 

  • Nombre: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname 
    • Representa el nombre del usuario
  • Apellido: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname 
    • Representa el apellido del usuario

Es posible que algunos servicios SAML le soliciten información adicional cuando los configure con Smartsheet:

  • URL del Assertion Consumer Service (ACS): https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST 
  • Restricción del público: https://sso.smartsheet.com/saml

Introduzca las direcciones de correo electrónico en minúsculas. Las mayúsculas pueden impedir la coincidencia de correos electrónicos entre su proveedor de SAML y Smartsheet.

Configurar Smartsheet.com para su uso con su IdP de SAML

Antes de continuar, asegúrese de cumplir con los requisitos para configurar el SSO basado en SAML para su cuenta.

Abrir el formulario de administración de SAML

A continuación se explica cómo establecer una conexión entre su IdP y Smartsheet:

  1. En el área inferior izquierda de la aplicación de Smartsheet, seleccione Cuenta > Información del plan y facturación.
  2. En el formulario Administración de la cuenta, seleccione Controles de seguridad.
  3. En la sección Autenticación, seleccione Editar.
    security-controls
  4. Seleccione la opción no configurado.
    saml-not-configured

Una vez que haya seleccionado la opción no configurado, aparecerá el formulario de Administración de SAML.

Configurar el SSO con su IdP

Siga estos pasos para configurar SAML con uno o varios IdP:

  1. Seleccione Agregar IdP.

    add-idp
  2. Introduzca un alias para su IdP.
  3. Obtenga los metadatos del IdP;a continuación, cópielos y péguelos en el cuadro de texto Metadatos del IdP.
    Consulte la documentación de su IdP para determinar cómo obtener los metadatos del IdP.

    idp-metadata
  4. Copie la URL de SSO;a continuación, péguela en su IdP.
  5. Seleccione Guardar​.
    • Después de guardar los cambios realizados, Smartsheet validará los metadatos.
      Si la validación resulta exitosa, aparecerá el formulario Editar IdP. Si recibe un error, consulte nuestro artículo Preguntas frecuentes y errores comunes de SAML.
      Puede agregar un CNAME que dirija a los usuarios a una URL descriptiva cuando inicien sesión. Consulte la sección Dirigir a los usuarios para que inicien sesión en una URL descriptiva de CNAME que se encuentra a continuación para obtener más información.
  6. Para habilitar el IdP para su uso con Smartsheet, seleccione Activar. El estado del IdP pasará de Inactivo a Activo, Predeterminado.
  7. Para habilitar SAML para su organización, en el formulario Autenticación, seleccione SAML
    Debe haber al menos un IdP activo antes de habilitar SAML
    activate-idp
  8. Seleccione Guardar.

¡Eso es todo! Ahora las personas que integran su cuenta pueden usar sus credenciales corporativas para iniciar sesión en Smartsheet.

Configurar IdP adicionales

Si bien la mayoría de las organizaciones solo necesita un único IdP activo, no existe ningún límite en cuanto a la cantidad de IdP que puede agregar.

Para editar o agregar IdP adicionales, junto a la casilla de verificación de SAML, seleccione editar configuración. Aparecerá el formulario Administración de SAML para que agregue IdP adicionales o edite los existentes que ya ha configurado.

Si tiene más de un IdP activo, los usuarios que inicien sesión a través de SAML se autenticarán con el IdP predeterminado. Para hacer que un IdP sea el predeterminado, en el formulario Editar IdP, seleccione Establecer como predeterminado.

saml-admin-multiple-idps

Dirigir a los usuarios para que inicien sesión en una URL descriptiva de CNAME

Smartsheet proporciona la URL de SSO predeterminada para su organización, que es un enlace de un solo paso para iniciar sesión en Smartsheet. Es posible que desee agregar un CNAME con una URL descriptiva y más específica de la empresa en su lugar.

No escriba sso.smartsheet.com en el campo CNAME del formulario Editar IdP, ya que eso causará problemas para iniciar sesión. En su lugar, utilice un CNAME creado por su empresa y haga que apunte a sso.smartsheet.com.

  1. En su dominio, cree un registro DNS de CNAME y diríjalo a sso.smartsheet.com. Por ejemplo: smartsheet.example.org IN CNAME sso.smartsheet.com.
  2. En el formulario Editar IdP, introduzca el CNAME
  3. Seleccione Agregar​. 
    Es posible que la dirección de su CNAME tarde hasta una hora en autenticarse​​​

    cname

La eliminación del acceso de SSO de un usuario no es suficiente para evitar que acceda a Smartsheet. Para evitar completamente que un usuario acceda a Smartsheet, debe eliminar completamente a ese usuario de la cuenta de Smartsheet de su organización.

Diferentes estados de configuración de SAML

SAML estará en uno de los siguientes estados:

  • No configurado: ningún IdP activo
  • Deshabilitado: al menos un IdP activo, y SAML no está seleccionado en el formulario de Autenticación
  • Habilitado: al menos un IdP activo, y SAML está seleccionado en el formulario de Autenticación Su IdP estará en uno de los siguientes tres estados:
    • No configurado: el certificado de seguridad ha caducado
    • Inactivo: metadatos válidos, certificado de seguridad válido
    • Activo: metadatos válidos, certificado de seguridad válido, no se está compartiendo el ID de la entidad con ningún otro IdP activo en su cuenta, y está activado