Aplica a
- Business
- Enterprise
Capacidades
¿Quiénes pueden usar esta capacidad?
Debe ser administrador del sistema en Smartsheet y Azure a fin de configurar Azure para OIDC o SAML con Smartsheet.
Configurar Azure para OIDC o SAML a nivel de plan con Smartsheet
Puede usar Azure para el SSO con Smartsheet de dos maneras. Ambos métodos son efectivos.
¿Quién puede usar esto?
Planes:
- Business
- Enterprise
Permisos:
Debe ser administrador del sistema en Smartsheet y Azure a fin de configurar Azure para OIDC o SAML con Smartsheet.
Averigüe si esta capacidad está incluida en Smartsheet Regions o Smartsheet Gov.
En ambas configuraciones, Azure controla la configuración de autenticación de Azure. Azure controla todas las políticas y los ajustes de la configuración de SSO; Smartsheet no lo hace.
- Open ID Connect (OIDC): Utilice el botón integrado de Microsoft y la aplicación empresarial correspondiente en Azure (3290e3f7-d3ac-4165-bcef-cf4874fc4270). Para restringirlo solamente a Azure, use la configuración de autenticación de Smartsheet.
- SAML: Cree una nueva aplicación empresarial para Smartsheet en Azure y configure los ajustes de SAML y la atribución de usuarios directamente en la aplicación. Este método proporciona más control sobre determinados atributos de usuario.
Smartsheet ofrece el aprovisionamiento de SCIM con el servicio de aprovisionamiento de Azure, pero no es un requisito para el SSO.
Tenga en cuenta que Azure para OIDC o SAML es una configuración a nivel del plan.
Configurar el SSO con OIDC
- En las aplicaciones empresariales de Azure, busque la aplicación empresarial prediseñada de Smartsheet (ID 3290e3f7-d3ac-4165-bcef-cf4874fc4270).
- Revise la configuración de Azure, como la visibilidad de los usuarios y la asignación requerida. User.read es el único permiso obligatorio que utiliza Smartsheet.
- Active y pruebe la opción Microsoft Azure AD en la configuración de autenticación de Smartsheet.
- Cuando la prueba funcione, comunique el cambio a los usuarios y deshabilite cualquier otra opción de autenticación.
Configurar Azure para SAML con Smartsheet
Si necesita más control sobre los detalles de inicio de sesión, configure SAML con Azure como proveedor de identidades de SAML (IdP). Al igual que con OIDC, la mayoría de los cambios de configuración se llevan a cabo en Azure, no en Smartsheet.
Cuando configura los ajustes de SAML entre Smartsheet y Azure AD, los usuarios ven el botón La cuenta de su empresa en la pantalla de inicio de sesión de Smartsheet.
Cómo configurar Azure AD con SAML:
No puede configurar SAML en la aplicación de galería de propiedad de Smartsheet (ID 329..) en Azure. La aplicación integrada ofrece control sobre el SSO de OIDC, una opción diferente. Para configurar SAML en Azure, cree una nueva aplicación empresarial de la siguiente forma:
En la configuración básica de SAML, introduzca lo siguiente:
- Entity ID (ID de la entidad): https://sso.smartsheet.com/saml
- Reply URL (URL de respuesta): https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
- Sign-on URL (URL de inicio de sesión): https://app.smartsheet.com/b/home
En User Attributes & Claims (Atributos y reclamaciones de usuarios), Azure proporciona los siguientes valores predeterminados:
- Unique User Identifier (Identificador único de usuario): user.userprincipalname
- Email address (Dirección de correo electrónico): user.mail
- Name (Nombre): user-userprincipalname
La configuración predeterminada de Additional Claim of Name (Reclamación adicional de nombre): user-userprincipalname causa un error inesperado. Elimínela para que funcione SAML mediante Azure.
En el certificado de firma de SAML:
- Verifique que Status (Estado) = Activo
- Confirme la notificación por correo electrónico. Recibirá una notificación en este correo electrónico cuando el certificado se acerque a su vencimiento.
- Descargue el XML de metadatos de federación y abra el archivo en el Bloc de notas u otro editor de texto sin formato.
- En el panel izquierdo, debajo de Manage (Administrar), seleccione Properties(Propiedades) y desplácese hasta la parte inferior para desactivar la opción User assignment required? (¿Se requiere asignación de usuario?) Si desactiva esta función, las pruebas serán más fáciles y los usuarios ya estarán administrados en la lista de usuarios de Smartsheet.
- Inicie sesión en el Centro de administración y seleccione Autenticación > SAML.
- Seleccione Editar configuración junto a SAML y seleccione Agregar IdP.
- Asígnele un nombre al IdP (por ejemplo, AzureSAML) y péguelo en los metadatos descargados. Guarde los cambios.
- En la ventana Editar IdP, seleccione la opción Activar.
- Cierre las ventanas Editar IdP y Administración de SAML.
- En la ventana Autenticación, seleccione la opción SAML.
- Guarde los cambios.
En la pantalla de inicio de sesión, debe aparecer el botón Cuenta de la empresa para iniciar sesión a través de SAML. El IdP recién creado para SAML de Azure proporciona una URL de SSO como acceso directo a SAML.
Establecer el método de SSO en el Centro de administración de Smartsheet
- En la barra de navegación izquierda, seleccione Cuenta.
- En el menú Cuenta, seleccione Centro de administración.
- Seleccione Seguridad/Lista de uso compartido seguro. (Para obtener más información sobre las otras opciones de esta página, consulte Controles de seguridad).
- En la sección Autenticación, seleccione Editar.
- Seleccione las opciones de autenticación que desee. Debe seleccionar al menos una.
¿Puedo usar una sola aplicación empresarial de Azure para utilizar SSO con varias listas de usuarios de Smartsheet?
Sí, Smartsheet le permite usar el mismo ID de entidad en varias listas de usuarios.
¿Puedo cambiar los atributos o reclamaciones de los usuarios en el SSO del botón “Microsoft” de OIDC “integrado”?
No. Utilice SAML para controlar detalles específicos del uso de SSO.
¿Puedo configurar excepciones o agrupaciones para aplicar diferentes experiencias de inicio de sesión a diferentes conjuntos de usuarios?
No, la única excepción es la reserva opcional de correo electrónico y contraseña para administradores del sistema en SAML.
¿El SSO de Azure afecta a los usuarios externos de Smartsheet?
Solo los usuarios que se encuentren en la lista de usuarios de Smartsheet habilitados para el SSO de Azure se verán afectados por los cambios en la configuración de autenticación, incluido el SSO de Azure. Solo los usuarios administrados invitados por un administrador del sistema o aprovisionados por Smartsheet pueden iniciar sesión a través de SSO.
¿Cómo creo nuevos usuarios después de habilitar el SSO?
Utilice el aprovisionamiento automático de usuarios (UAP) integrado de Smartsheet para su dominio. También puede usar el SCIM de Azure. Configurar el SCIM de Azure es un proceso complejo, así que comience con el UAP de Smartsheet; es posible que se ajuste a sus necesidades.