Con el acceso administrado del proveedor de identidades (IdP), puede controlar de manera eficaz el acceso y los permisos de los usuarios dentro de Smartsheet utilizando grupos basados en roles definidos en su IdP. Esto no solo mejora la seguridad, sino que también simplifica la gestión de accesos, ya que se integra a la perfección con su sistema de IdP actual.
USM Content
Descripción general
La integración de la gestión de accesos basada en roles con un IdP permite actualizar los permisos automáticamente cuando cambian los roles dentro de su empresa. Esto elimina la necesidad de actualizar el acceso a los elementos de Smartsheet mediante un proceso manual y lento cuando un empleado se traslada a otro equipo.
Por ejemplo, si un empleado pasa de una función de finanzas a una de marketing, su organización no necesita eliminar su acceso a los elementos relacionados con finanzas y otorgar acceso a los de marketing de forma manual. Esto a menudo puede generar brechas de seguridad, ya que cualquier retraso en la eliminación del acceso a la información confidencial de un rol anterior aumenta el riesgo de accesos no autorizados.
Con el acceso administrado por IdP, los roles de los usuarios se sincronizan automáticamente entre los roles de IdP definidos en su proveedor de identidades (como Okta o Microsoft Entra ID) y los grupos basados en roles de IdP en Smartsheet, lo que garantiza una correspondencia directa entre los roles en ambos sistemas.
Requisitos previos
- Configuración de SAML a nivel de dominio: El lenguaje de marcado de aserción de seguridad (SAML) es necesario para asignar accesos y permisos mediante grupos en función de roles de IdP basados en dominios. Los administradores del sistema deben asegurarse de que el SSO de SAML a nivel de dominio esté configurado para habilitar el acceso administrado por IdP. Esto se debe a que, cuando un usuario inicia sesión en Smartsheet con el inicio de sesión de SAML, SAML comparte el rol de IdP del usuario de IdP a Smartsheet en tiempo real.
- Configuración específica de IdP: Según el sistema de IdP que utilice, siga las instrucciones a continuación para asegurarse de que los roles de los usuarios en su IdP se sincronicen correctamente con Smartsheet:
- Instrucciones específicas para Okta
- Instrucciones específicas para Entra ID (anteriormente conocido como Azure AD)
- Otros IdP
Tenga en cuenta los siguientes factores
- Planes empresariales: Los administradores del sistema de planes en los que se validó un dominio pueden activar o desactivar el acceso administrado por IdP para sus planes a través del Centro de administración, lo que les permite gestionar el acceso de los usuarios a través de sus grupos basados en roles de IdP.
- Familias de EPM: Solo los administradores del sistema del plan principal del Administrador del plan Empresarial (EPM) pueden activar o desactivar esta función. Los administradores del sistema de planes secundarios de las familias de EPM heredan la configuración del plan principal y tienen acceso de solo lectura. No pueden crear, editar ni eliminar grupos basados en roles de IdP en su plan.
Activar el acceso administrado por IdP
- En el Centro de administración, seleccione el ícono de Menú en la esquina superior izquierda.
Diríjase a Configuración > Acceso administrado por IdP.
Brandfolder Image
Active la opción Acceso administrado por IdP.
Brandfolder Image
Cuando activa la función Acceso administrado por IdP, se genera una hoja de acceso administrado por IdP de forma automática y se comparte con todos los administradores del sistema actuales del plan. Si es necesario, los administradores del sistema pueden compartirla con otros administradores, como lo harían con cualquier otra hoja.
También puede acceder a la página Acceso administrado por IdP desde la tarjeta Seguridad en la página de inicio del Centro de administración.
Desactivar el acceso administrado por IdP
- Desactive la opción Acceso administrado por IdP en la página Acceso administrado por IdP.
¿Quiénes pueden crear grupos de IdP?
- Administradores del sistema de planes en los que el dominio está activado.
- Administradores de grupo de dominios activados, si el administrador del sistema lo permite.
- Los administradores de grupo de dominios validados pueden solicitar la creación de grupos de IdP.
¿Mis usuarios podrán compartir con grupos de Smartsheet y grupos de IdP?
Sí. El nombre de dominio aparecerá al final (en el modal de uso compartido) para que los usuarios puedan reconocer que es un grupo de IdP.
¿Qué cambios se producen cuando habilito la función por primera vez en un plan en el que el dominio está activado?
- Se crea una nueva hoja para las asignaciones de roles y grupos de IdP.
- Las membresías de grupos de IdP se crean y actualizan automáticamente cuando los usuarios inician sesión.
- Puede compartir elementos de Smartsheet con grupos de IdP. Además, los usuarios obtendrán acceso en función de su rol de IdP.
¿Cómo afecta la desactivación de la función a un plan en el que el dominio está activado?
- La hoja se elimina, pero todas las asignaciones de funciones se conservan en la base de datos a nivel de dominio para uso futuro.
- Se detiene la sincronización de las membresías de roles y grupos.
- Los usuarios ya no pueden compartir elementos de Smartsheet con grupos de IdP y se eliminan las membresías de grupos.
- Se eliminan las membresías de grupos existentes. Los usuarios dejan de tener acceso a los elementos compartidos a través de los grupos de IdP.
¿Qué sucede cuando se vuelve a habilitar la función en un plan con un dominio activado?
- La hoja se vuelve a crear utilizando las asignaciones de funciones anteriores almacenadas en la base de datos.
- Se reanuda la sincronización de roles y membresías de grupos, y se actualizan las membresías de grupo de los usuarios.
- El intercambio de elementos con grupos de IdP vuelve a estar disponible, lo que restaura el acceso a los usuarios con los roles adecuados.
¿Cómo afecta la desactivación del dominio el acceso administrado por IdP cuando está habilitado?
- La hoja se conserva, pero la sincronización se detiene para el dominio desactivado.
- Se conservan las asignaciones de funciones y las membresías de grupos existentes, pero no se realizan nuevas actualizaciones.
- Los usuarios de dominios desactivados dejan de tener acceso a los elementos de Smartsheet compartidos a través de grupos de IdP.
¿Qué ocurre cuando se activa un dominio con un rol de IdP ya definido en la hoja?
- Si ya existen asignaciones de roles, se sincronizan con la hoja cuando se activa el dominio.
- El sistema garantiza que los datos correctos estén disponibles en la hoja nueva o existente, y se restaura el acceso de los usuarios.
¿Cómo funciona la activación, desactivación o reactivación de la función en un plan en el que hay un dominio validado?
- No se produce ningún impacto directo en la hoja, ya que el plan activado la gestiona.
- Las membresías de grupo se actualizan en función de los inicios de sesión de los usuarios, pero se eliminan cuando se desactiva la función.
- El uso compartido de elementos y la membresía de grupos funcionan de la manera prevista, de forma similar a los planes activados, pero se administran a través del plan principal activado.
¿Cuál es el efecto de la invalidación de un dominio en un plan con un dominio validado?
- Se eliminan las membresías de grupos de los usuarios del dominio invalidado.
- Los usuarios de estos dominios pierden el acceso a los elementos compartidos con los grupos de IdP.
¿Hay algún caso particular que deba tener en cuenta al gestionar la desactivación o reactivación de un dominio?
- Cuando se desactiva un dominio, se eliminan las filas correspondientes de la hoja, pero se conservan las asignaciones de roles.
- Si se desactiva el último dominio de un plan, se elimina la hoja y se desactiva la función para el plan.
- Si un dominio se reactiva, las asignaciones de roles existentes se vuelven a sincronizar con la hoja y los usuarios recuperan su acceso.