Configurer SAML 2 pour l’authentification unique à Smartsheet

Si votre organisation utilise la norme SAML (Security Assertion Markup Language) pour l’authentification, vous pouvez configurer Smartsheet afin qu’il soit possible de s’y connecter par l’intermédiaire d’un fournisseur d’authentification unique (ou SSO, Single Sign-On) pris en charge. Lorsque l’authentification unique est configurée sur un compte de niveau Entreprise, tous les utilisateurs du compte peuvent utiliser l’option Votre compte d’entreprise pour se connecter avec les identifiants de leur compte d’entreprise.

Si vous voulez configurer SAML 2 pour l’authentification unique dans l’environnement Smartsheet pour le gouvernement américain, vous devez respecter différentes exigences et définir certains paramètres. Veuillez garder les informations de cet article d’aide à l’esprit lors de la configuration.

Qui peut utiliser cette fonctionnalité ?

Autorisations de rôle Un administrateur système et un administrateur informatique peuvent configurer SAML 2 pour l’authentification unique avec Smartsheet
type de forfait Comptes Smartsheet Entreprise et Premier

Il s’agit d’un guide en libre-service pour configurer SAML, les fonctionnalités et les étapes de configuration abordées dans cet article nécessitent des connaissances sur SAML 2 et sur l’authentification unique. Vous aurez peut-être besoin de faire appel à un technicien de votre organisation qui vous aidera pour cette configuration.

Fournisseurs d’authentification unique pris en charge

Smartsheet prend actuellement en charge les fournisseurs d’identité (IdP) compatibles avec SAML 2 suivants :

  • OneLogin
  • ADFS
  • Azure Active Directory
  • Shibboleth
  • PingIdentity
  • Okta
  • Smartsheet prend uniquement en charge l’authentification unique initiée par un fournisseur de services ; L’authentification unique initiée par un fournisseur d’identité (IdP) n’est pas prise en charge.
  • Vous pouvez utiliser plusieurs fournisseurs d’identité (IdP) pour l’authentification unique simultanément.

Éléments dont vous avez besoin afin de configurer Smartsheet pour votre fournisseur d’identité

Les métadonnées de Smartsheet fournies ici : www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata.xml 

Configurez une partie de confiance au sein de votre fournisseur d’identité, en utilisant les métadonnées fournies. Les détails de la procédure dépendent de votre fournisseur d’identité, consultez la documentation de ce dernier pour plus de détails.

L’algorithme SHA1 pour les certificats est obsolète en raison de ses failles de sécurité. Vous devez vérifier que vous n’utilisez plus de certificats SSL signés à l’aide de SHA1

Smartsheet exige que les attributs suivants soient indiqués dans l’assertion pendant le processus d’échange SAML :

  • Identifiant persistant :urn:oasis:names:tc:SAML:2.0:nameid‑format:persistent 
  • Adresse e-mail : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • La première assertion doit contenir une identifiant persistant, qui est identique pour toutes les personnes qui se connectent. Votre adresse e-mail peut être un identifiant persistant, mais la demande d’adresse e-mail doit toujours être transmise dans le processus d’assertion. Reportez-vous à l’article Configuration et exemples de revendications pour SAML dans Smartsheet pour consulter un exemple d’assertion et la liste complète des formats des revendications que nous prenons en charge
  • L’identifiant persistant peut être défini dans l’élément NameID (subject) de l’assertion (voir Revendications prises en charge).
  • Si l’assertion n’a pas d’élément NameID (subject), vous pouvez utiliser l’un des attributs définis dans l’article Revendications prises en charge.

Les attributs suivants sont recommandés, mais facultatifs :

  • Given Name: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
  • Surname: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

Comme leur nom l’indique, le premier attribut représente le prénom de la personne dans le compte et le second son nom de famille.

Il est possible que certains services SAML demandent des informations supplémentaires lorsque vous les configurez avec Smartsheet :

  • URL ACS (Assertion Consumer Service) : https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
  • Audience Restriction: https://sso.smartsheet.com/saml

Configurer Smartsheet.com pour l’utiliser avec votre fournisseur d’identité (IdP) SAML

Avant de poursuivre, vérifiez que vous remplissez les conditions requises pour configurer l’authentification unique basée sur SAML pour votre compte.

Ouvrir le formulaire d’administration de SAML

Procédure pour établir une connexion entre votre IdP et Smartsheet :

  1. Sélectionnez Compte > Administrateur de compte > Contrôles de sécurité.
     
  2. Dans le formulaire Contrôles de sécurité, sélectionnez Modifier dans la rubrique Authentification.
    security-controls
     
  3. Dans le formulaire Authentification, cliquez sur Non configuré à côté de SAML.

    saml-not-configured

Quand avez sélectionné non configuré, le formulaire d’administration de SAML apparaît. Dans ce formulaire, vous pouvez configurer SAML avec un ou plusieurs fournisseurs d’identité.

Configurer l’authentification unique avec votre fournisseur d’identité

Pour configurer l’authentification unique avec votre fournisseur d’identité (IdP) :

  1. ouvrez le formulaire d’administration de SAML et sélectionnez Ajouter IdP

    add-idp
  2. Définissez un alias pour votre IdP.
  3. Procurez-vous les métadonnées de l’IdP, puis copiez-les et collez-les dans le champ texte des métadonnées IdP. Pour savoir comment obtenir ces informations, consultez les documents de votre fournisseur d’identité.
    idp-metadata
  4. Cliquez sur Enregistrer. Smartsheet valide les métadonnées.

    Si la validation réussie, le formulaire Modifier IdP s’affiche. Si une erreur s’affiche, consultez notre article Foire Aux Questions sur SAML et erreurs courantes.

    ASTUCE : Vous pouvez ajouter un CNAME qui redirigera les utilisateurs vers une URL conviviale lorsqu’ils se connectent. Veuillez consulter la section CNAME ci-dessous pour plus d’informations.
     
  5. Cliquez sur Activer pour pouvoir utiliser l’IdP avec Smartsheet. Le statut de l’IdP passe d’Inactif à Actif, par défaut
    activate-idp
  6. Dans le formulaire d’authentification, cochez la case SAML afin d’activer SAML pour votre organisation. Notez qu’au moins un IdP doit être actif pour activer SAML.
    saml-enabled
  7. Cliquez sur Enregistrer.

Et voilà ! Les membres de votre compte peuvent désormais utiliser les identifiants de leur entreprise pour se connecter à Smartsheet.

Configurer des IdP supplémentaires

Bien que la plupart des organisations n’aient besoin que d’un seul IdP actif, il n’y a pas de limite au nombre d’IdP que vous pouvez ajouter.

Pour modifier ou ajouter des IdP, cliquez sur Modifier la configuration à côté de la case à cocher SAML. Le formulaire d’administration SAML s’affiche et vous pouvez ajouter des IdP ou modifier ceux que vous avez déjà configurés.

Si plusieurs IdP sont actifs, les personnes qui se connectent en utilisant SAML s’authentifieront auprès de l’IdP par défaut. Cliquez sur Définir par défaut dans le formulaire Modifier IdP.

saml-admin-multiple-idps

Rediriger les utilisateurs pour qu’ils se connectent à en utilisant une URL conviviale CNAME

Smartsheet fournit l’URL d’authentification unique par défaut pour votre organisation, qui est un lien vous permettant de se connecter en une étape à Smartsheet. Vous pouvez ajouter un CNAME avec une URL plus conviviale et spécifique à l’entreprise.

Ne tapez pas sso.smartsheet.com dans le champ CNAME du formulaire Modifier IdP, car cela causerait des problèmes lors de la connexion. Utilisez un CNAME créé par votre entreprise à la place et faites-le pointer vers sso.smartsheet.com.

  1. Créez un enregistrement DNS CNAME dans votre domaine et faites-le pointer vers sso.smartsheet.com. « smartsheet.exemple.org IN CNAME sso.smartsheet.com », par exemple
  2. Dans le formulaire Modifier IdP, saisissez le CNAME et cliquez sur Ajouter.

    REMARQUE : l’authentification de votre adresse CNAME peut prendre jusqu’à une heure.

    cname

Il ne suffit pas de désactiver l’authentification unique d’un utilisateur de votre organisation pour l’empêcher d’accéder à Smartsheet, Vous devez le supprimer complètement du compte Smartsheet de votre organisation. Pour ce faire, veuillez consulter « Supprimer des utilisateurs » dans Gestion des utilisateurs d’un forfait multi-utilisateurs

Les différents états de la configuration SAML

SAML peut être dans l’un des états suivants :

  • Non configuré : pas d’IdP actifs
  • Désactivé : au moins un IdP actif et la case SAML n’est pas cochée dans le formulaire d’authentification
  • Activé : au moins un IdP actif et la case SAML est cochée dans le formulaire d’authentification. Votre IdP peut être dans l’un des trois états suivants :
    • Non configuré : le certificat de sécurité a expiré
    • Inactif : les métadonnées sont valides, le certificat de sécurité est valide
    • Actif : les métadonnées sont valides, le certificat de sécurité est valide, ne partage pas l’ID d’entité avec un autre IdP actif de votre compte et est activé