Aplica a

Smartsheet
  • Enterprise

Para obtener más información sobre los tipos de planes y las capacidades incluidas, consulte la página de planes de Smartsheet https://es.smartsheet.com/pricing.

Capacidades

¿Quiénes pueden usar esta capacidad?

Debe ser un administrador del sistema con licencia para habilitar las políticas de gestión Exigir cuenta corporativa y Exigir MFA para el uso compartido externo.

Consulte si esta capacidad está incluida en Smartsheet Regions o Smartsheet Gov.

Políticas de gestión para colaboradores externos

Las políticas Exigir cuenta corporativa y Exigir MFA mejoran la seguridad del uso compartido de terceros, ya que los colaboradores externos deben iniciar sesión con el inicio de sesión único (SSO) y una capa de autenticación adicional (Exigir MFA) para obtener acceso a cualquier contenido que comparta con ellos.

PLANS

  • Enterprise

For more information about plan types and included capabilities, see the Smartsheet Plans page.

Permisos

Debe ser un administrador del sistema con licencia para habilitar las políticas de gestión Exigir cuenta corporativa y Exigir MFA para el uso compartido externo.

Find out if this capability is included in Smartsheet Regions or Smartsheet Gov.

¿Qué es un colaborador externo?

Es un usuario a quien se invitó a colaborar en una hoja o un espacio de trabajo, pero que no es miembro de la organización o del dominio que tiene propiedad de la hoja o el espacio.

Estas políticas garantizan que sus colaboradores externos utilicen un método seguro para iniciar sesión, que valida de manera pasiva que siguen siendo empleados de la organización con la que usted pretende colaborar.

Cuando un colaborador externo que no inició sesión con SSO o MFA intenta acceder a un recurso que requiere SSO o MFA, el usuario ve un mensaje en el que se le indica que debe iniciar sesión a través de SSO para acceder a este.

Si bien la opción Exigir cuenta corporativa está configurada a nivel del plan, la política Exigir MFA puede aplicarse en toda la cuenta o en espacios de trabajo específicos. Los administradores del sistema pueden habilitar a los administradores del espacio de trabajo para que decidan si desean aplicar la capa de seguridad adicional a espacios de trabajo específicos de su propiedad.

Las políticas rigen las hojas, los informes y los paneles: todos los elementos que pueden asociarse con un espacio de trabajo.

Exigir cuenta corporativa

Exigir cuenta corporativa es una política a nivel del plan que garantiza que el acceso a Smartsheet se limite a los usuarios con credenciales autenticadas en el ámbito corporativo (SSO), lo que permite reducir el riesgo de un posible acceso no autorizado.

Métodos admitidos

  • Cuenta de trabajo de Azure
  • Cuenta de trabajo de Google
  • SSO de SAML

Exigir MFA

Esta política exige a los colaboradores externos la autenticación multifactor (MFA), lo que mejora la seguridad para ellos con una capa adicional de verificación. Esto garantiza que, incluso si una contraseña está en riesgo, la funcionalidad de MFA impedirá el acceso no autorizado.

  • Para activar esta política, primero debe habilitar la política Exigir cuenta corporativa.

  • Si el proveedor de identidades (IdP) de un colaborador externo no es compatible con la MFA o no comunica el estado de finalización de la MFA a Smartsheet, nuestra MFA basada en correo electrónico servirá de respaldo.

     

Métodos admitidos

  • SAML (Okta, Azure, AD FS)
  • Cuenta de trabajo de Microsoft

  • Contraseña única de correo electrónico

     

MFA basada en correo electrónico

Es un mecanismo de contraseña única con límite de tiempo (OTP) que se envía por correo electrónico. Está diseñado para casos en los que no es posible utilizar la MFA a través del IdP del colaborador.

Si el sistema no puede determinar que el colaborador externo completó la MFA en un recursos en el que rige la política, se envía un correo electrónico a su cuenta en cuanto haga clic en el elemento.

Si el usuario ingresa el código de verificación de manera incorrecta tres veces consecutivas, deberá esperar 30 minutos para volver a intentarlo.

Acerca de la aplicación para dispositivos móviles

  • Actualmente, la aplicación para dispositivos móviles restringe automáticamente el acceso de los colaboradores externos a los recursos cuando los administradores del sistema aplican una o ambas políticas.
  • Los colaboradores externos que cumplen con la política de SSO obtienen acceso a recursos protegidos a través de la aplicación para dispositivos móviles.

Administradores del sistema

Para activar la política Exigir cuenta corporativa:

  1. Vaya al Centro de administración.
  2. Seleccione el ícono menú y vaya a Configuración > Acceso externo seguro.

  3. Deslice el botón Exigir cuenta corporativa para activar la política.

    Si la opción de inicio de sesión interna no tiene habilitado el SSO, la política Exigir cuenta corporativa se desactivará automáticamente.

Para activar la política Exigir MFA:

  1. Vaya al Centro de administración.
  2. Seleccione el ícono menú y vaya a Configuración > Acceso externo seguro.
  3. Deslice el botón para activar la política Exigir MFA.
    • Para permitir que los administradores del espacio de trabajo apliquen la política en espacios de trabajo específicos, seleccione el botón Participación del espacio de trabajo.
    • Para aplicar la política en todos los recursos del plan, seleccione Aplicar en todos los recursos del plan.
Secure External Access page

Administradores del espacio de trabajo

  • Los administradores del espacio de trabajo no pueden configurar la política Exigir cuenta corporativa a nivel del plan. Un administrador del sistema debe habilitar esta configuración.
  • Si un administrador del sistema habilita la Participación del espacio de trabajo, los administradores del espacio de trabajo pueden aplicar la política Exigir MFA en espacios de trabajo específicos.

Para activar la MFA a fin de acceder al espacio de trabajo:

  1. Vaya al espacio de trabajo y seleccione Compartir en la esquina superior derecha. 
  2. Seleccione Configurar en la parte superior de la ventana de uso compartido. 
  3. Deslice el botón Exigir MFA para activar la política. La configuración se aplica a todos los recursos del espacio de trabajo, no a elementos individuales.
Activate MFA for workspace access

Lista de exenciones

La lista de exenciones (también conocida como lista de dominios de confianza) permite a los administradores del sistema especificar dominios y direcciones de correo electrónico individuales que están exentos de las políticas.

Al habilitar una lista de exenciones, se crea una hoja con columnas específicas. Todos los administradores del sistema tienen acceso a esta hoja.

Para crear una lista de exenciones:

  1. Vaya al Centro de administración.
  2. Seleccione el ícono menú y vaya a Configuración > Acceso externo seguro
  3. En Configuración avanzada, seleccione Crear hoja en cualquiera de las siguientes opciones:
    • Dominios exentos
    • Direcciones de correo electrónico exentas
  4. Para agregar nuevos dominios o direcciones de correo electrónico a la lista de exenciones, ingréselos en la columna Dominios/correos electrónicos con permiso de uso compartido y utilice las columnas de casilla de verificación para indicar si la entidad está exenta de las políticas.

Hoja de lista de exenciones

Los administradores del sistema solo pueden agregar, editar y eliminar filas en la hoja. La hoja contiene las siguientes columnas:

  • Dominios/correos electrónicos con permiso de uso compartido: Enumera los dominios o las direcciones de correo electrónico con los que se permite compartir contenido.
  • Exento del requisito de cuenta corporativa: Una casilla de verificación que, cuando está marcada, exime al dominio o la dirección de correo electrónico del requisito de usar credenciales de cuenta corporativa para acceder al contenido compartido.
  • Exentos del requisito de MFA: Una casilla de verificación que, cuando está marcada, exime al dominio o la dirección de correo electrónico del requisito de usar credenciales de MFA para acceder al contenido compartido.
  • Modificada por: Indica el último usuario que realizó cambios en la fila.
  • Modificada el: Muestra la fecha y la hora en que se realizó la última modificación en la fila.
  • Creada por: Identifica al usuario que creó originalmente la entrada en la hoja.
  • Creada: Muestra la fecha y la hora en que se creó la entrada.
  • Notas: Un campo abierto para cualquier información o comentarios adicionales sobre el estado del dominio o la dirección de correo electrónico.
Exempt list sheet

Llamadas API

Los colaboradores externos que utilizan llamadas a la API pública para acceder a recursos compartidos de Smartsheet que están protegidos por las políticas Exigir cuenta corporativa o Exigir MFA solo pueden acceder a ellos a través de la API de Smartsheet si su dominio o dirección de correo electrónico está en la lista de exenciones, o si es un dominio validado del plan.

Si sus colaboradores externos tienen problemas para acceder a los recursos compartidos, deben comunicarse con el administrador del sistema del plan al que pertenecen esos recursos.

Otras cuestiones para tener en cuenta

  • Estas políticas se aplican a los usuarios que no forman parte de ningún dominio validado del plan en el que se habilitó la política, o a cualquier dominio o dirección de correo electrónico mencionados en la lista de exenciones.
  • Las OTP emitidas tienen una vida útil de diez minutos. Después del vencimiento, los usuarios deben generar una nueva.
  • Si un administrador del sistema desactiva la política Exigir cuenta corporativa mientras la política Exigir MFA está activada, aparecerá un mensaje de alerta en el que se le indicará que al deshabilitar la política Exigir cuenta corporativa se deshabilitará automáticamente la política Exigir MFA.
  • Los administradores del sistema existentes son responsables de otorgar acceso a la hoja de lista de exenciones a los administradores del sistema nuevos o futuros.
  • Las actualizaciones (nuevas entradas de exención) en la lista de exenciones pueden demorar hasta tres minutos en aplicarse. 

¿Podemos desactivar la funcionalidad de MFA basada en correo electrónico una vez que se activa la política Exigir MFA?

No. Una vez que la política Requerir MFA está activa, los administradores del sistema no pueden desactivar la funcionalidad de MFA basada en correo electrónico. Está diseñada como una copia de seguridad para garantizar la seguridad continua, incluso si el método principal de MFA no está disponible.

¿Cómo accederán al sistema los colaboradores externos que no formen parte de ninguna organización con la opción Exigir cuenta corporativa/Exigir MFA? En especial, aquellos que son asesores independientes.

  • Pueden utilizar los inicios de sesión sociales, como el SSO de Google o las opciones de Microsoft (p. ej., gmail.com, live.com).
  • Pueden recibir un código basado en correo electrónico (MFA basada en correo electrónico) para la verificación.
  • Los administradores del sistema pueden agregar usuarios a la lista de exenciones si es necesario.
     

¿Cómo gestionamos las objeciones cuando los colaboradores externos no utilizan Microsoft o Google para la política Exigir cuenta corporativa?

Para la política Exigir cuenta corporativa, actualmente solo se admite el SSO de Google/Microsoft o el inicio de sesión corporativo de SAML.

¿Podrá algún administrador del espacio de trabajo implementar estas políticas?

Los administradores del espacio de trabajo pueden activar la política Exigir MFA al nivel del espacio de trabajo si un administrador del sistema activó la política Exigir MFA a nivel del espacio de trabajo. Los administradores del espacio de trabajo no pueden configurar la política Exigir cuenta corporativa.

¿Se agregan dominios automáticamente a la lista de exenciones?

Sí. Todos los dominios verificados dentro del plan quedan automáticamente exentos de las políticas Exigir cuenta corporativa y Exigir MFA, ya que se trata a los usuarios de estos dominios como usuarios internos del plan.

Contenido relacionado

¿El artículo resultó útil?
SiNo