Aplica a
- Enterprise
Capacidades
¿Quiénes pueden usar esta capacidad?
- Administrador del sistema
Políticas de gestión para colaboradores externos
Las políticas Exigir cuentas de trabajo con SSO y Exigir MFA mejoran la seguridad del uso compartido de terceros, ya que los colaboradores externos deben iniciar sesión con el inicio de sesión único (SSO) y una capa de autenticación adicional (Exigir MFA) para obtener acceso a cualquier contenido que comparta con ellos.
Who can use this?
Plans:
- Enterprise
Permissions:
- Administrador del sistema
Find out if this capability is included in Smartsheet Regions or Smartsheet Gov.
¿Qué es un colaborador externo?
Un colaborador externo es un usuario a quien se invitó a colaborar en una hoja o espacio de trabajo, pero cuya dirección de correo electrónico no coincide con los dominios asociados con el plan propietario de la hoja o el espacio de trabajo, y que no es miembro de dicho plan.
Estas políticas garantizan que los colaboradores externos (usuarios invitados, externos a los dominios validados de su organización) utilicen un método seguro para iniciar sesión, que valide de manera pasiva que siguen siendo empleados de la organización con la que usted pretende colaborar.
Cuando un colaborador externo intenta acceder a un recurso que exige SSO o MFA, el usuario ve un mensaje en el que se le indica que debe iniciar sesión a través de SSO. Los colaboradores externos deben usar el botón Iniciar sesión con la cuenta de su empresa para verificar su identidad mediante el SSO de su empresa. Para usar SAML o SSO para iniciar sesión en Smartsheet, los clientes de un plan Empresarial deben configurar estas opciones. La configuración se puede realizar a nivel del plan para los usuarios del plan Empresarial o a nivel del dominio para todos los usuarios con un dominio de correo electrónico específico.
Si bien la política Exigir cuentas de trabajo con SSO está configurada a nivel del plan, la política Exigir MFA puede aplicarse en toda la cuenta o en espacios de trabajo específicos. Los administradores del sistema pueden permitirles a los administradores del espacio de trabajo que decidan si desean aplicar la capa de seguridad adicional a espacios de trabajo específicos de su propiedad.
Las políticas rigen las hojas, los informes y los paneles: todos los elementos que pueden asociarse a un espacio de trabajo.
Una vez habilitadas, las políticas Exigir cuentas de trabajo con SSO y Exigir MFA se aplican exclusivamente a los elementos básicos (hojas, informes y paneles) de la aplicación central de Smartsheet, excluidos los elementos de las aplicaciones premium de Smartsheet.
Exigir cuentas de trabajo con SSO
Exigir cuentas de trabajo con SSO es una política a nivel del plan que garantiza que el acceso a Smartsheet se limite a los usuarios con credenciales autenticadas en el ámbito corporativo (SSO), lo que permite reducir el riesgo de un posible acceso no autorizado.
Métodos admitidos
- Cuenta de trabajo de Azure
- Cuenta de trabajo de Google (dominios de ISP, es decir, las cuentas que no son de trabajo no funcionan)
- SSO de SAML
Para usar un IdP que cumpla con SAML 2.0, el colaborador externo debe formar parte de un plan Empresarial que tenga configurado un proveedor de identidades de SAML 2.0 para la autenticación en Smartsheet.
Exigir MFA
Esta política exige a los colaboradores externos la autenticación multifactor (MFA), lo que mejora la seguridad para ellos con una capa adicional de verificación. Esto garantiza que, incluso si una contraseña está en riesgo, la funcionalidad de MFA impedirá el acceso no autorizado.
Si el proveedor de identidades (IdP) de un colaborador externo no es compatible con la MFA o no comunica el estado de finalización de la MFA a Smartsheet, nuestra MFA basada en correo electrónico servirá de respaldo.
Métodos admitidos
- SAML (Okta, Azure, AD FS)
- Cuenta de trabajo de Microsoft
Contraseña única de correo electrónico
MFA basada en correo electrónico
Es un mecanismo de contraseña única con límite de tiempo (OTP) que se envía por correo electrónico. Está diseñado para casos en los que no es posible utilizar la MFA a través del IdP del colaborador.
Si el sistema no puede determinar que el colaborador externo completó la MFA en un recursos en el que rige la política, se envía un correo electrónico a su cuenta en cuanto haga clic en el elemento.
Si el usuario ingresa el código de verificación de manera incorrecta tres veces consecutivas, deberá esperar 30 minutos para volver a intentarlo.
Acerca de la aplicación para dispositivos móviles
La aplicación para dispositivos móviles de Smartsheet respeta las políticas de Acceso externo seguro habilitadas en el Centro de administración, al igual que las aplicaciones web y de escritorio.
Administradores del sistema
Para activar la política Exigir cuentas de trabajo con SSO:
- Vaya al Centro de administración.
- Seleccione el ícono de menú y vaya a Configuración > Acceso externo seguro.
Deslice el botón Exigir cuentas de trabajo con SSO para activar la política.
Si la opción de inicio de sesión interna no tiene habilitado el SSO, la política Exigir cuentas de trabajo con SSO se desactivará de forma automática.
Para activar la política Exigir MFA:
- Vaya al Centro de administración.
- Seleccione el ícono de menú y vaya a Configuración > Acceso externo seguro.
- Deslice el botón para activar la política Exigir MFA.
- Para permitir que los administradores del espacio de trabajo apliquen la política en espacios de trabajo específicos, seleccione el botón Participación del espacio de trabajo.
- Para aplicar la política en todos los recursos del plan, seleccione Aplicar en todos los recursos del plan.
Administradores del espacio de trabajo
- Los administradores del espacio de trabajo no pueden configurar la política Exigir cuentas de trabajo con SSO a nivel del plan. Un administrador del sistema debe habilitar esta configuración.
- Si un administrador del sistema habilita la Participación en el espacio de trabajo, los administradores del espacio de trabajo pueden aplicar la política Exigir MFA en espacios de trabajo específicos.
Para generar un informe que incluya todos los espacios de trabajo en los que se aplica la política Exigir MFA, seleccione Generar informe de participación. La hoja de cálculo del informe de espacios de trabajo incluye el nombre de los espacios de trabajo, que indica si la política Exigir MFA se aplica a cada uno de ellos, junto con un enlace URL para acceder a él y una lista de usuarios con permisos de administrador en el espacio de trabajo.
También puede usar el botón API de hoja pública para acceder a este informe y hacer un seguimiento de la ID de la hoja.
Para activar la MFA a fin de acceder al espacio de trabajo:
- Vaya al espacio de trabajo y seleccione Compartir en la esquina superior derecha.
- Seleccione Configurar en la parte superior de la ventana de uso compartido.
- Deslice el botón Exigir MFA para activar la política. La configuración se aplica a todos los recursos del espacio de trabajo, no a elementos individuales.
Lista de exenciones
La lista de exenciones (también conocida como lista de dominios de confianza) permite a los administradores del sistema especificar dominios y direcciones de correo electrónico individuales que están exentos de las políticas.
Al habilitar una lista de exenciones, se crea una hoja con columnas específicas. Todos los administradores del sistema tienen acceso a esta hoja.
Para crear una lista de exenciones:
- Vaya al Centro de administración.
- Seleccione el ícono de menú y vaya a Configuración > Acceso externo seguro.
- En Configuración avanzada, seleccione Crear hoja en cualquiera de las siguientes opciones:
- Dominios exentos
- Direcciones de correo electrónico exentas
- Para agregar nuevos dominios o direcciones de correo electrónico a la lista de exenciones, ingréselos en la columna Dominios/correos electrónicos con permiso de uso compartido y utilice las columnas de casilla de verificación para indicar si la entidad está exenta de las políticas.
Hoja de lista de exenciones
Los administradores del sistema solo pueden agregar, editar y eliminar filas en la hoja. La hoja contiene las siguientes columnas:
| Nombre de la columna | Descripción |
|---|---|
| Dominios o correos electrónicos con permiso de uso compartido | Enumera los dominios o las direcciones de correo electrónico con los que se permite compartir contenido. |
| Exento del requisito de cuenta corporativa | Una casilla de verificación que, cuando está marcada, exime al dominio o la dirección de correo electrónico del requisito de usar credenciales de cuenta corporativa para acceder al contenido compartido. |
| Exento del requisito de MFA | Una casilla de verificación que, cuando está marcada, exime al dominio o la dirección de correo electrónico del requisito de usar credenciales de MFA para acceder al contenido compartido. |
| Modificada por | Indica el último usuario que realizó cambios en la fila, lo que proporciona responsabilidad y seguimiento de las actualizaciones. |
| Modificada el | Muestra la fecha y la hora en que se realizó la última modificación en la fila, lo que ayuda a mantener una línea de tiempo de cambios. |
| Creado por | Identifica al usuario que creó originalmente la entrada en la hoja y establece el origen de los datos. |
| Creada el | Muestra la fecha y la hora en que se creó la entrada, lo que aporta contexto histórico. |
| Notas | Un campo abierto para agregar cualquier información adicional, comentarios o justificación sobre el estado del dominio o la dirección de correo electrónico. |
Llamadas API
Los colaboradores externos que utilizan llamadas a la API pública para acceder a recursos compartidos de Smartsheet que están protegidos por las políticas Exigir cuentas de trabajo con SSO o Exigir MFA solo pueden acceder a ellos a través de la API de Smartsheet si su dominio o dirección de correo electrónico está en la lista de exenciones, o si es un dominio validado del plan.
Si sus colaboradores externos tienen problemas para acceder a los recursos compartidos, deben comunicarse con el administrador del sistema del plan al que pertenecen esos recursos.
Otras cuestiones para tener en cuenta
- Estas políticas se aplican a los usuarios que no forman parte de ningún dominio validado del plan en el que se habilitó la política, o a cualquier dominio o dirección de correo electrónico mencionados en la lista de exenciones.
- Las OTP emitidas tienen una vida útil de diez minutos. Después del vencimiento, los usuarios deben generar una nueva.
- Los administradores del sistema existentes son responsables de otorgar acceso a la hoja de lista de exenciones a los administradores del sistema nuevos o futuros.
- Las actualizaciones (nuevas entradas de exención) en la lista de exenciones pueden demorar hasta tres minutos en aplicarse.
¿Podemos desactivar la funcionalidad de MFA basada en correo electrónico una vez que se activa la política Exigir MFA?
No. Una vez que la política Requerir MFA está activa, los administradores del sistema no pueden desactivar la funcionalidad de MFA basada en correo electrónico. Está diseñada como una copia de seguridad para garantizar la seguridad continua, incluso si el método principal de MFA no está disponible.
¿Cómo accederán al sistema los colaboradores externos que no formen parte de ninguna organización con la opción Exigir cuentas de trabajo con SSO/Exigir MFA? En especial, aquellos que son asesores independientes.
- Los colaboradores externos deben usar su correo electrónico laboral o una cuenta corporativa configurada con el SSO de Google o Microsoft.
- Pueden recibir un código basado en correo electrónico (MFA basada en correo electrónico) para la verificación.
- Los administradores del sistema pueden agregar usuarios a la lista de exenciones si es necesario.
¿Podrá algún administrador del espacio de trabajo implementar estas políticas?
Los administradores del espacio de trabajo pueden activar la política Exigir MFA al nivel del espacio de trabajo si un administrador del sistema activó la política Exigir MFA a nivel del espacio de trabajo. Los administradores del espacio de trabajo no pueden configurar la política Exigir cuentas de trabajo con SSO.
¿Se agregan dominios de forma automática a la lista de exenciones?
Sí. Todos los dominios verificados dentro del plan quedan de forma automática exentos de las políticas Exigir cuentas de trabajo con SSO y Exigir MFA, ya que se trata a los usuarios de estos dominios como usuarios internos del plan.