Configurar Azure para OIDC o SAML a nivel de plan con Smartsheet

En ambas configuraciones, Azure controla la configuración de autenticación de Azure. Azure controla todas las políticas y los ajustes de la configuración de SSO; Smartsheet no lo hace. 

• Open ID Connect (OIDC): Utilice el botón integrado de Microsoft y la aplicación empresarial correspondiente en Azure (3290e3f7-d3ac-4165-bcef-cf4874fc4270). Para restringirlo solamente a Azure, use la configuración de autenticación de Smartsheet. 
• SAML: Cree una nueva aplicación empresarial para Smartsheet en Azure y configure los ajustes de SAML y la atribución de usuarios directamente en la aplicación. Este método proporciona más control sobre determinados atributos de usuario. 

Smartsheet ofrece el aprovisionamiento de SCIM con el servicio de aprovisionamiento de Azure, pero no es un requisito para el SSO. 

Tenga en cuenta que Azure para OIDC o SAML es una configuración a nivel del plan.

Configurar el SSO con OIDC

1. En las aplicaciones empresariales de Azure, busque la aplicación empresarial prediseñada de Smartsheet (ID 3290e3f7-d3ac-4165-bcef-cf4874fc4270).
2. Revise la configuración de Azure, como la visibilidad de los usuarios y la asignación requerida. User.read es el único permiso obligatorio que utiliza Smartsheet.
3. Active y pruebe la opción Microsoft Azure AD en la configuración de autenticación de Smartsheet.
4. Cuando la prueba funcione, comunique el cambio a los usuarios y deshabilite cualquier otra opción de autenticación. 

Configurar Azure para SAML con Smartsheet

Si necesita más control sobre los detalles de inicio de sesión, configure SAML con Azure como proveedor de identidades de SAML (IdP). Al igual que con OIDC, la mayoría de los cambios de configuración se llevan a cabo en Azure, no en Smartsheet. 

Cuando configura los ajustes de SAML entre Smartsheet y Azure AD, los usuarios ven el botón La cuenta de su empresa en la pantalla de inicio de sesión de Smartsheet.

Cómo configurar Azure AD con SAML:

No puede configurar SAML en la aplicación de galería de propiedad de Smartsheet (ID 329..) en Azure. La aplicación integrada ofrece control sobre el SSO de OIDC, una opción diferente. Para configurar SAML en Azure, cree una nueva aplicación empresarial de la siguiente forma:

En la configuración básica de SAML, introduzca lo siguiente:

• Entity ID (ID de la entidad): https://sso.smartsheet.com/saml
• Reply URL (URL de respuesta): https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
• Sign-on URL (URL de inicio de sesión): https://app.smartsheet.com/b/home

En User Attributes & Claims (Atributos y reclamaciones de usuarios), Azure proporciona los siguientes valores predeterminados:

• Unique User Identifier (Identificador único de usuario): user.userprincipalname
• Email address (Dirección de correo electrónico): user.mail
• Name (Nombre): user-userprincipalname

La configuración predeterminada de Additional Claim of Name (Reclamación adicional de nombre): user-userprincipalname causa un error inesperado. Elimínela para que funcione SAML mediante Azure.

En el certificado de firma de SAML: 

1. Verifique que Status (Estado) = Activo
2. Confirme la notificación por correo electrónico. Recibirá una notificación en este correo electrónico cuando el certificado se acerque a su vencimiento. 
3. Descargue el XML de metadatos de federación y abra el archivo en el Bloc de notas u otro editor de texto sin formato.
4. En el panel izquierdo, debajo de Manage (Administrar), seleccione Properties(Propiedades) y desplácese hasta la parte inferior para desactivar la opción User assignment required? (¿Se requiere asignación de usuario?) Si desactiva esta función, las pruebas serán más fáciles y los usuarios ya estarán administrados en la lista de usuarios de Smartsheet.  
5. Inicie sesión en el Centro de administración y seleccione Autenticación > SAML.
6. Seleccione Editar configuración junto a SAML y seleccione Agregar IdP.
7. Asígnele un nombre al IdP (por ejemplo, AzureSAML) y péguelo en los metadatos descargados. Guarde los cambios. 
8. En la ventana Editar IdP, seleccione la opción Activar.
9. Cierre las ventanas Editar IdP y Administración de SAML.
10. En la ventana Autenticación, seleccione la opción SAML.
11. Guarde los cambios. 

En la pantalla de inicio de sesión, debe aparecer el botón Cuenta de la empresa para iniciar sesión a través de SAML. El IdP recién creado para SAML de Azure proporciona una URL de SSO como acceso directo a SAML.

Establecer el método de SSO en el Centro de administración de Smartsheet

1. En la barra de navegación izquierda, seleccione Cuenta. 
2. En el menú Cuenta, seleccione Centro de administración. 
3. Seleccione Seguridad/Lista de uso compartido seguro. (Para obtener más información sobre las otras opciones de esta página, consulte Controles de seguridad).
4. En la sección Autenticación, seleccione Editar.
5. Seleccione las opciones de autenticación que desee. Debe seleccionar al menos una.