Inicio de sesión único (SSO) para Resource Management

Resource Management proporciona SSO mediante el protocolo SAML 2.0, que funciona con todos los proveedores principales, incluidos ADFS, Azure AD, OKTA y Google, entre otros. Resource Management admite el perfil SSO del Navegador web. El inicio de sesión iniciado por IdP no es compatible.

Antes de comenzar

En primer lugar, cree o designe una cuenta de usuario que utilizará un nombre de usuario y una contraseña (sin SSO) para iniciar sesión. 

Esta cuenta funciona como una copia de seguridad en el caso de que se produzcan cambios en su configuración de SSO y los usuarios habilitados para SSO ya no puedan iniciar sesión.

La cuenta de la copia de seguridad le permite iniciar sesión si el SSO falla. Si no tiene una cuenta de copia de seguridad, es posible que no pueda iniciar sesión.

Configurar el SSO para la cuenta

Para migrar el proveedor de identidades de SSO a https://rm.smartsheet.com.

Asegúrese de que un administrador confirme estos cambios en la página Configuración de la cuenta > Configuración de SSO inmediatamente después de actualizar el proveedor de identidades.

1. En su proveedor de identidades (IdP) de SSO, configure Resource Management como una aplicación (usuario de confianza) mediante los valores de configuración de SSO relevantes de https://rm.smartsheet.com/saml/metadata.
   
   URL de ACS: https://rm.smartsheet.com/saml/acs
   EntityID (audiencia): https://rm.smartsheet.com/saml/metadata
   NameID: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
2. Inicie sesión en https://rm.smartsheet.com como un administrador. Vaya a https://rm.smartsheet.com/settings y haga clic en la sección de SSO. Si todavía no se habilitó el SSO, haga clic en Configurar SSO; de lo contrario, haga clic en Editar.
3. Agregue la URL a los metadatos de su idP. Luego, elija uno de los dos modos de configuración disponibles: Automática o Manual.
   • Configuración automática: ingrese la URL de metadatos proporcionados por el IdP. Los metadatos proporcionados por el IdP brindarán la URL de inicio de sesión único, el ID de entidad y el archivo de certificado x.509 requeridos por Resource Management.  La configuración automática (recomendada) es más fácil de establecer que la manual y no requiere la extracción o la carga de un certificado.  El modo de SSO de configuración automática en Resource Management obtendrá de forma dinámica los últimos certificados y URL de inicio de sesión cuando los usuarios inicien sesión en Resource Management. Este modo también admite casos en los que tiene múltiples certificados asociados con su aplicación SSO (es decir, los certificados se rotan correctamente). Su proveedor de identidades debe brindar una URL de metadatos disponible públicamente como XML.
   • Configuración manual: ingrese sus URL y certificado de firma SAML 2.0.
     
     Use esta opción si su IdP no proporciona una URL de metadatos disponible públicamente, el XML de metadatos está incompleto/tiene el formato incorrecto o la organización no está a favor de configuraciones mutables. Obtenga el certificado x.509, la URL de destino de inicio de sesión SSO y la URL de destino de cierre de sesión de su IdP. Si no está seguro de cuáles son las URL necesarias, consulte a su departamento de TI o administrador de IdP para obtener ayuda. Su certificado de firma SAML 2.0 debe estar codificado en PEM. No se admite el codificado en formato DER.
     

4. Seleccione la opción Aprovisionar automáticamente a los usuarios autenticados que no están en la cuenta para permitir que los usuarios omitan el proceso de invitación.
Cuando se selecciona esta casilla de verificación, los usuarios nuevos no tienen que aceptar una invitación para unirse a la aplicación. Pueden visitar la página de inicio de sesión e ingresar su dirección de correo electrónico. Se los reconocerá como usuarios en el sistema y se les dará la opción de iniciar sesión en la cuenta de su compañía.
Esta casilla de verificación de aprovisionamiento automático no aprovisiona automáticamente nuevas cuentas de usuario. Las nuevas cuentas de usuario se deben crear a través de la aplicación. 

5. Haga clic en Guardar.

Atributos requeridos

Se debe enviar a Resource Management una notificación de NameID con el formato de dirección de correo electrónico para una correcta autenticación de inicio de sesión. Este es el formato del identificador de nombres requerido suministrado por el proveedor de identidades:

urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Después de la configuración

Una vez que un usuario ha iniciado sesión con SSO, no podrá iniciar sesión con un nombre de usuario y una contraseña, y su dirección de correo electrónico de perfil se bloqueará en la aplicación. Para actualizar su correo electrónico de inicio de sesión, póngase en contacto con nosotros para obtener ayuda.

Si su SSO está establecido en el modo Configuración manual en Resource Management y necesita modificar la configuración de SSO en la aplicación, primero debe habilitar la Configuración automática mediante los pasos anteriores. Una vez que el SSO está establecido en el modo Configuración automática, Resource Management detectará automáticamente los cambios en su configuración de SSO de IdP. 

Si usa el modo Configuración manual y realiza cambios en su configuración de SSO, hágalo con cuidado. Antes de realizar cambios en su configuración de SSO activa, asegúrese de tener al menos un usuario administrativo que no haya iniciado sesión con SSO y todavía tenga acceso con nombre de usuario/contraseña. De esta manera, en caso de que tenga que revertir algún cambio, podrá iniciar sesión con ese perfil.

Una vez que el SSO está habilitado para su organización, para iniciar sesión con nombre de usuario y contraseña, haga clic en el enlace con la etiqueta Iniciar sesión con la contraseña de Resource Management.

Si surgen problemas, póngase en contacto con el soporte técnico aquí.

Terminología frecuente