Configurar SAML 2 para el Inicio de sesión único en Smartsheet

Si en su organización se utiliza el estándar Security Assertion Markup Language (SAML) para la autenticación del inicio de sesión, puede configurar Smartsheet para ingresar a través de un proveedor de Inicio de sesión único (Single Sign-On, SSO) compatible. Después de configurar SSO en una cuenta de nivel Empresarial, todas las personas que integran la cuenta podrán utilizar la opción Su cuenta corporativa para iniciar sesión con sus credenciales empresariales.

Si quiere configurar SAML 2 para SSO con el entorno de Smartsheet correspondiente al gobierno de EE. UU., debe aplicar ciertos requisitos y ajustes distintos para configurar correctamente el SSO con SAML 2. Tenga presente la información incluida en este artículo de Ayuda mientras esté realizando la configuración.

¿Quiénes pueden usar esta capacidad?

permisos de roles Un Administrador del sistema y un Administrador de TI pueden configurar SAML 2 para SSO con Smartsheet
tipo de plan Cuentas Enterprise y Premier de Smartsheet

Se trata de una guía de autoservicio para configura SAML y la característica, y los pasos de configuración que se analizan en este artículo requieren conocimientos tanto de SAML 2 como de SSO. Es posible que tenga que consultar a un recurso técnico de su organización para que le ayude a configurar este aspecto.

Proveedores de SSO compatibles

Actualmente, Smartsheet admite los siguientes proveedores de servicios de identidad (Identity Providers, IdP) que cumplen con los requisitos de SAML 2:

  • OneLogin
  • ADFS
  • Azure Active Directory
  • Shibboleth
  • PingIdentity
  • Okta
  • Smartsheet admite solamente SSO iniciado por SP; el SSO iniciado por IdP no es compatible.
  • Puede usar varios proveedores de servicios de identidad (IdP) para SSO a la vez.

Lo que tiene configurar Smartsheet con su proveedor de servicios de identidad

Los Metadatos de Smartsheet, indicados aquí: www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata.xml 

Utilice los metadatos provistos para configurar un Usuario de confianza con su Proveedor de servicios de identidad. Los detalles para hacerlo son específicos de su Proveedor de identidad; consulte la documentación del suyo para conocer más detalles.

Debido a vulnerabilidades de seguridad, se ha dejado de aceptar el algoritmo de certificados SHA1. Debe asegurarse de ya no estar utilizando un certificado SSL que esté firmado mediante SHA1.

Smartsheet requiere que se afirmen los siguientes atributos durante el proceso de intercambio de SAML: 

  • ID persistente:  urn:oasis:names:tc:SAML:2.0:nameid‑format:persistent 
  • Dirección de correo electrónico: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • La primera afirmación debe contener un ID persistente que sea igual par cada persona siempre que inicie sesión. Su dirección de correo electrónico puede ser un ID persistente, pero sigue siendo necesario que la reclamación de Dirección de correo electrónico se apruebe en el proceso de afirmación. Para ver una afirmación de muestra y una lista completa de todos nuestros formatos de reclamación compatibles, consulte el artículo Ejemplos de configuración y reclamaciones para SAML en Smartsheet.
  • El ID persistente puede definirse en el elemento NameID (sujeto) de la afirmación (consulte Reclamaciones compatibles).
  • Si la afirmación no tiene ningún elemento NameID (sujeto), puede usar uno de los atributos que se definen en el artículo Reclamaciones compatibles.

Los siguientes son atributos recomendados, pero opcionales:

  • Nombre: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
  • Apellido: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

Como sus nombres lo indican, el primer atributo representa el nombre de pila de la persona que integra la cuenta, y el segundo es su apellido. 

Es posible que algunos servicios SAML le soliciten información adicional cuando los configure con Smartsheet: 

  • URL del Assertion Consumer Service (ACS): https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST 
  • Restricción del público: https://sso.smartsheet.com/saml

Configurar Smartsheet.com para usarlo con su proveedor de servicios de identidad (IdP) para SAML

Antes de proseguir, asegúrese de cumplir con los requisitos para configurar el SSO basado en SAML para su cuenta.

Abrir el formulario de Administración de SAML

Aquí se indica cómo establecer una conexión entre su IdP y Smartsheet:

  1. Seleccione Cuenta > Administrador de la cuenta > Controles de seguridad.
     
  2. En el formulario de Controles de seguridad, seleccione Editar​en la sección de Autenticación.
    controles-de-seguridad
     
  3. En el formulario de Autenticación, haga clic en no configurado, contiguo a SAML.

    saml-no-configurado

Una vez que haya seleccionado no configurado, aparecerá el formulario de Administración de SAML. En este formulario puede configurar SAML con al menos un Proveedor de servicios de identidad.

Configurar SSO con su Proveedor de servicios de identidad

Para configurar SSO con su Proveedor de servicios de identidad (IdP):

  1. Abra el formulario de Administración de SAML y seleccione Agregar IdP.

    agregar-idp
  2. Escriba un alias para su IdP. 
  3. Obtenga los metadatos del IdP; luego, cópielos y péguelos en el campo de texto Metadatos del IdP. Consulte la documentación de su Proveedor de servicios de identidad para determinar cómo obtenerlos.
    metadatos-de-idp
  4. Haga clic en Guardar. Smartsheet validará los metadatos. 

    Si la validación resulta exitosa, aparece el formulario para Editar el IdP. Si recibe un error, consulte nuestro artículo de Preguntas frecuentes y errores comunes de SAML.

    CONSEJO: Puede agregar un CNAME que dirija a las personas a un URL simple cuando inicien sesión. Consulte la sección de CNAME a continuación para obtener más información.
     
  5. Haga clic en Activar para habilitar el IdP que se usará con Smartsheet. El estado del IdP pasará de Inactivo a Activo, Predeterminado.
    activar-idp
  6. En el formulario de Autenticación, marque la casilla SAML para habilitar SMAL en su organización. Tenga presente que debe haber al menos un IdP activo antes de habilitar SAML.
    saml-habilitado
  7. Haga clic en Guardar.

¡Eso es todo! Ahora las personas que integran su cuenta pueden usar sus credenciales corporativas para iniciar sesión en Smartsheet.

Configurar IdP adicionales

Si bien la mayoría de las organizaciones solo necesita un único IdP activo, no existe ningún límite en cuanto a la cantidad de IdP que puede agregar. 

Para editar o agregar IdP adicionales, haga clic en editar configuración, al lado de la casilla de verificación de SAML. Aparecerá el formulario de Administración de SAML para que agregue IdP adicionales o edite los existentes que ya ha configurado.

Si tiene más de un IdP activo, las personas que inicien sesión a través de SAML se autenticarán en referencia con el IdP predeterminado. Para hacer que un IdP sea el predeterminado, haga clic en Convertir en predeterminado en el formulario para Editar IdP.

saml-administrar-varios-idp

Indicar a las personas que inicien sesión en un URL de CNAME simple

Smartsheet proporciona el URL de SSO predeterminado para su organización, que es un enlace de un solo paso para iniciar sesión en Smartsheet. Como alternativa, es posible que quiera agregar un CNAME con un URL simple más específico de la compañía.

No escriba sso.smartsheet.com en el campo CNAME del formulario para Editar IdP, ya que esto causará problemas para iniciar sesión. En cambio, utilice un CNAME creado por su compañía, y haga que apunte a sso.smartsheet.com.

  1. Cree un registro de DNS de CNAME en su dominio y haga que apunte a sso.smartsheet.com. Por ejemplo: "smartsheet.example.org IN CNAME sso.smartsheet.com" 
  2. En el formulario para Editar IdP, ingrese el CNAME y haga clic en Agregar. 

    NOTA: Es posible que su dirección de CNAME tarde hasta una hora en autenticarse.

    cname

Para evitar que un usuario de su organización acceda a Smartsheet, no basta con solo deshabilitar su acceso SSO. Para evitar por completo que un usuario acceda a Smartsheet, debe eliminarlo completamente de la cuenta Smartsheet de su organización. Para hacerlo, consulte “Eliminar usuarios” en Administrar usuarios en un plan multiusuario.

Diferentes estados de configuración de SAML

SAML estará en uno de los siguientes estados:

  • No configurado: ningún IdP activo 
  • Deshabilitado: al menos un IdP activo, y SAML no está seleccionado en el formulario de Autenticación 
  • Habilitado: al menos un IdP activo, y SAML está seleccionado en el formulario de Autenticación. Su IdP estará en uno de los siguientes tres estados: 
    • No configurado: el certificado de seguridad ha caducado 
    • Inactivo: metadatos válidos, certificado de seguridad válido 
    • Activo: metadatos válidos, certificado de seguridad válido, no se está compartiendo el ID de la entidad con ningún otro IdP activo en su cuenta, y está activado