Configurar SAML para el SSO a nivel del plan en Smartsheet

Los Administradores del sistema con un Administrador de TI pueden configurar SAML para el SSO en Smartsheet.

Recordatorio

Desde el 5 de febrero de 2024, no puede crear nuevas configuraciones de SAML a nivel del plan. No obstante, para las configuraciones de SAML a nivel del plan vigentes, conserva la capacidad de crear, actualizar, eliminar o leer este tipo de configuraciones. Además, ahora tiene la opción de configurar SAML a nivel de dominio.

Estos son los pasos que debe completar

1. Configurar el Proveedor de identidades (IdP) de su organización para que se comunique con Smartsheet. 

2. Agregar un registro al sistema de nombres de dominio (DNS) público de su organización. Es posible que deba consultar con un recurso técnico interno para obtener ayuda con la configuración y el mantenimiento de esta función.

   Para configurar correctamente el SSO de SAML con Smartsheet para el Gobierno de EE. UU., debe aplicar determinados requisitos y ajustes.

Tenga en cuenta los siguientes factores

• Smartsheet admite el SSO iniciado por el proveedor de identidades. Si quiere configurar un SSO iniciado por IdP, trabaje con su IdP.
• Puede usar más de un IdP de SSO al mismo tiempo.
• Si el Administrador del sistema de un plan Empresarial valida su dominio y configura SAML a nivel de dominio, dicha configuración reemplaza cualquier configuración de SAML a nivel del plan para los usuarios dentro de ese dominio.

Requisitos previos

• Los clientes de EE. UU. deben utilizar estos metadatos de Smartsheet: www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata.xml 
• Los clientes de la UE deben utilizar estos metadatos de Smartsheet: www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata-eu.xml

Utilice los metadatos provistos para configurar un Usuario de confianza con su IdP. El proceso de configuración de un Usuario de confianza puede variar de un IdP a otro. Consulte la documentación de su IdP para obtener más información.

Debido a sus vulnerabilidades de seguridad, se descontinuó el algoritmo del certificado SHA1. Debe asegurarse de no estar utilizando un certificado SSL firmado a través de SHA1.

Proceso de intercambio de SAML

Smartsheet requiere los siguientes atributos en el proceso de intercambio de SAML:

• ID persistente: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent 
• Dirección de correo electrónico: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Se recomiendan los siguientes atributos opcionales:

• Nombre: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname 

  Esto representa el nombre del usuario.

• Apellido: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname 

  Esto representa el apellido del usuario.

Es posible que algunos servicios de SAML soliciten información adicional al configurarlos con Smartsheet:

• URL de Servicio de consumidor de aserciones (ACS): https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST 
  • En las cuentas de la UE, se debe utilizar https://sso.smartsheet.eu/Shibboleth.sso/SAML2/POST
• Restricción de público: https://sso.smartsheet.com/saml
  • En los planes de la UE, se debe utilizar https://sso.smartsheet.eu/saml

Notas sobre el proceso de intercambio

• Escriba las direcciones de correo electrónico en minúsculas. Las letras mayúsculas pueden impedir la vinculación de correos electrónicos entre su proveedor de SAML y Smartsheet.
• La primera aserción debe tener una Id. persistente que sea igual para todas las personas cuando inician sesión. Su dirección de correo electrónico puede ser un Id. persistente, pero la reclamación de la dirección de correo electrónico debe aprobarse en el proceso de aserción. Las reclamaciones por correo electrónico deben estar todas en minúscula. Para ver una aserción de muestra y una lista completa de los formatos de reclamación compatibles con Smartsheet, consulte el artículo Aserción de SAML: Ejemplos de reclamaciones compatibles en Smartsheet.
• La Id. persistente se puede definir en el elemento NameID (asunto) de la aserción.
• Si la aserción no tiene un elemento NameID (sujeto), puede usar uno de los atributos definidos en el artículo Reclamaciones compatibles.
• Asegúrese de eliminar la reclamación de atributos http://schemas.xmlsoap.org/ws/2005/05/identity/claims/Name de los atributos completados previamente en Azure.

Configurar Smartsheet.com para utilizar con su IdP de SAML

Debe cumplir los requisitos antes de continuar con la configuración de SAML. 

Abrir el formulario Administración de SAML

Para establecer una conexión entre su IdP y Smartsheet:

1. En Centro de administración, seleccione el ícono de Menú en la esquina superior izquierda. 
2. Vaya a Configuración > Autenticación.

3. Seleccione Administrar opciones de SSO federado. 

   Aparecerá el formulario Autenticación.

4. Seleccione No configurado. Después de realizar estos pasos, aparecerá el formulario Administración de SAML.

   Brandfolder Image

   

Si es la primera vez que configura SAML en Smartsheet, el botón No configurado abrirá la página de configuración de SAML a nivel de dominio. Si aún necesita definir la configuración de SAML a nivel del plan, contacte a Soporte de Smartsheet.

Configure el SSO con su IdP

Siga estos pasos para configurar SAML con uno o más IdP:

1. Seleccione Agregar IdP.

   Brandfolder Image

   

2. Escriba un alias para su IdP.

   Consulte la documentación de su IdP para determinar cómo obtener los metadatos de IdP.

3. Obtenga los metadatos de IdP y cópielos.

4. En el cuadro de texto Metadatos de IdP, pegue los metadatos de IdP.

   Brandfolder Image

   
5. Copie la URL de SSO y péguela en su IdP.
6. Seleccione Guardar. Después de guardar los cambios realizados, Smartsheet validará los metadatos.
   • Si se completa con éxito la validación, aparecerá el formulario ​Editar IdP.
   • Si recibe un error, consulte nuestro artículo de Preguntas frecuentes y errores comunes de SAML.
   • Puede agregar un CNAME que dirija a las personas a una URL simple cuando inicien sesión. Consulte la sección Dirigir a las personas para que inicien sesión en una URL de CNAME simple a continuación para obtener más información.

7. Para habilitar el IdP para su uso con Smartsheet, seleccione Activar. El estado del IdP cambiará de Inactivo a Activo, Predeterminado. 

   Brandfolder Image

   

8. Para habilitar SAML para su plan, en el formulario Autenticación, seleccione SAML.

   Debe haber al menos un IdP activo antes de habilitar SAML.

9. Seleccione Guardar.

   ¡Eso es todo! Ahora las personas de su plan pueden usar las credenciales de su empresa para iniciar sesión en Smartsheet.

Configurar IdP adicionales

• Aunque la mayoría de las organizaciones solo necesitan un IdP activo, no existen límites con respecto a la cantidad de IdP que puede agregar.
• Para editar o agregar IdP adicionales, junto a la casilla de verificación de SAML, seleccione Editar configuración. Aparecerá el formulario de Administración de SAML para que pueda agregar IdP adicionales o editar los que ya configuró.

• Si tiene más de un IdP activo, las personas que inicien sesión a través de SAML se autenticarán con el IdP predeterminado. Para que un IdP sea el predeterminado, en el formulario Editar IdP​, seleccione Establecer como predeterminado.

  Brandfolder Image

  

Dirigir a las personas para que inicien sesión en una URL de CNAME simple

Smartsheet proporciona la URL de SSO predeterminada​ para su organización, que es un enlace de un ­paso para iniciar sesión en Smartsheet. En cambio, puede agregar un CNAME con una URL simple y más específica de la empresa.

No escriba sso.smartsheet.com en el campo CNAME del formulario Editar IdP, ya que esto causará problemas para iniciar sesión. En su lugar, utilice un CNAME creado por su empresa y configúrelo para que se dirija a sso.smartsheet.com.

1. En su dominio, cree un registro DNS de CNAME y configúrelo para que se dirija a sso.smartsheet.com. Por ejemplo, smartsheet.example.org IN CNAME sso.smartsheet.com.
2. En el formulario Editar IdP​, escriba el CNAME. 

3. Seleccione Agregar​.

   Brandfolder Image

   

Recordatorios

• Es posible que la autenticación de su dirección de CNAME tarde hasta una hora.​​​
• No puede usar HTTPS para la URL de CNAME. Solo se admite HTTP.
• Retirar el acceso de SSO de un usuario no es suficiente para evitar que acceda a Smartsheet. Para evitar que un usuario acceda a Smartsheet, debe eliminar por completo al usuario del plan de Smartsheet de su organización.

Estados de configuración de SAML

SAML estará en uno de los siguientes estados:

• No configurado​: No hay ningún IdP activo. 
• Deshabilitado​: Hay al menos un IdP activo. Además, en el formulario Autenticación, la casilla de verificación SAML no está seleccionada.
• Habilitado​: Hay al menos un IdP activo. Además, en el formulario Autenticación, la casilla de verificación SAML está seleccionada. Su IdP estará en uno de los siguientes tres estados: 
  • No configurado​: El certificado de seguridad venció. 
  • Inactivo​: Metadatos válidos; certificado de seguridad válido 
  • Activo​: Metadatos válidos, certificado de seguridad válido, no se comparte la Id. de entidad con otro IdP activo en su plan, activado