Configurer SAML 2 pour l’authentification unique dans Smartsheet

S’applique à

Smartsheet
  • Enterprise

Fonctionnalités

Qui peut utiliser cette fonctionnalité ?

Les administrateurs système avec un administrateur informatique peuvent configurer SAML 2 pour l’authentification unique avec Smartsheet
 

Si votre organisation utilise la norme SAML (Security Assertion Markup Language) pour l’authentification de la connexion, vous pouvez configurer Smartsheet afin qu’il soit possible de s’y connecter par l’intermédiaire d’un fournisseur d’authentification unique (ou SSO, Single Sign-On) pris en charge.

Pour parvenir à configurer SAM  2 SSO avec Smartsheet pour le gouvernement américain, vous devez appliquer quelques exigences et paramètres.

Gardez cela à l’esprit

  • Smartsheet prend en charge l’authentification unique initiée par un prestataire de services. Si vous configurez une authentification unique initiée par un fournisseur d’identité (IdP), collaborez avec celui-ci.
  • Vous pouvez utiliser plusieurs fournisseurs d’identités d’authentification unique en même temps.

Éléments dont vous avez besoin afin de configurer Smartsheet avec votre fournisseur d’identité

Vous aurez besoin des métadonnées de Smartsheet, fournies ici : www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata.xml

Configurez une partie de confiance au sein de votre fournisseur d’identité, en utilisant les métadonnées fournies. Le processus de configuration d’une partie de confiance peut varier pour chaque fournisseur d’identité. Consultez la documentation de votre fournisseur d’identité pour plus d’informations.

L’algorithme SHA1 pour les certificats est obsolète en raison de ses failles de sécurité. Vous devez vérifier que vous n’utilisez pas de certificats SSL signés à l’aide de SHA1.

Processus d’échange SAML 

Smartsheet exige les attributs suivants lors du processus d’échange SAML :

  • Identifiant persistant :urn:oasis:names:tc:SAML:2.0:nameid‑format:persistent
  • Adresse e-mail : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Gardez cela à l’esprit

  • La première assertion doit contenir un identifiant persistant, qui est identique pour toutes les personnes qui se connectent. Votre adresse e-mail peut être un identifiant persistant, mais la demande d’adresse e-mail doit toujours être transmise dans le processus d’assertion. Pour obtenir un exemple d’assertion et une liste complète des formats d’assertion pris en charge par Smartsheet, consultez l’article Smartsheet Assertion SAML : exemples de revendications prises en charge.
  • L’identifiant persistant peut être défini dans l’élément NameID (subject) de l’assertion.
  • Si l’assertion n’a pas d’élément NameID (subject), vous pouvez utiliser l’un des attributs définis dans l’article Revendications prises en charge.

Les attributs suivants sont recommandés, mais facultatifs : 

  • Prénom : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname 
    • Ceci représente le prénom de l’utilisateur
  • Nom de famille : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname 
    • Ceci représente le nom de famille (patronyme) de l’utilisateur

Il est possible que certains services SAML demandent des informations supplémentaires lorsque vous les configurez avec Smartsheet :

  • URL du service consommateur d’assertions (ACS - Assertion Consumer Service) : https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
  • Restriction d’audience (Audience Restriction) : https://sso.smartsheet.com/saml

Entrez les adresses e-mail en minuscules. Les majuscules peuvent empêcher la correspondance des e-mails entre votre fournisseur SAML et Smartsheet.

Configurer Smartsheet.com pour l’utiliser avec votre fournisseur d’identité SAML

Avant de poursuivre, vérifiez que vous remplissez les conditions requises permettant de configurer l’authentification unique basée sur SAML pour votre compte.

Ouvrir le formulaire d’administration de SAML

Procédure pour établir une connexion entre votre fournisseur d’identité et Smartsheet :

  1. Dans la zone inférieure gauche de l’application Smartsheet, sélectionnez Compte > Forfait et facturation.
  2. Dans le formulaire Administration du compte, sélectionnez Contrôles de sécurité
  3. Dans la section Authentification, sélectionnez Modifier.
    security-controls
  4. Sélectionnez non configuré.
    saml-not-configured

Après avoir sélectionné non configuré, le formulaire d’administration de SAML apparaît.

Configurer l’authentification unique avec votre fournisseur d’identité

Suivez ces étapes pour configurer SAML avec un ou plusieurs fournisseurs d’identité (IdP) :

  1. Sélectionnez Ajouter un IdP.

    add-idp
  2. Définissez un alias pour votre fournisseur d’identité. 
  3. Obtenez les métadonnées du fournisseur d’identité, puis, copiez et collez-les dans la zone de texte métadonnées de l’IdP.
    Consultez la documentation de votre fournisseur d’identité pour déterminer comment obtenir les métadonnées de sa part.

    idp-metadata
  4. Copiez l’URL d’authentification unique, puis, collez-la dans votre fournisseur d’identité.
  5. Sélectionnez Enregistrer.
    • Après avoir enregistré les modifications que vous avez apportées, Smartsheet validera les métadonnées.
      Si la validation réussie, le formulaire Modifier l’IdP s’affiche. Si une erreur apparaît, consultez notre article Foire Aux Questions sur SAML et erreurs courantes.
      Vous pouvez ajouter un enregistrement CNAME qui redirigera les utilisateurs vers une URL conviviale lorsqu’ils se connectent. Pour plus d’informations, consultez la section Rediriger les utilisateurs pour qu’ils se connectent en utilisant une URL conviviale CNAME, ci-dessous.
  6. Pour activer le fournisseur d’identité pour une utilisation avec Smartsheet, sélectionnez Activer. Le statut du fournisseur d’identité d’Inactif à Actif, par défaut.
  7. Pour activer SAML pour votre organisation, dans le formulaire Authentification, sélectionnez SAML.
    Au moins un fournisseur d’identité doit être actif pour activer SAML
    activate-idp
  8. Sélectionnez Enregistrer.

Et voilà ! Les membres de votre compte peuvent désormais utiliser les identifiants de leur entreprise pour se connecter à Smartsheet.

Configurer des fournisseurs d’identité supplémentaires

Bien que la plupart des organisations n’aient besoin que d’un seul fournisseur d’identité actif, il n’y a pas de limite au nombre que vous pouvez en ajouter.

Pour modifier ou ajouter des fournisseurs d’identité supplémentaires, à côté de la case à cocher SAML, sélectionnez Modifier la configuration. Le formulaire d’administration de SAML s’affiche et vous pouvez ajouter des fournisseurs d’identité ou modifier ceux que vous avez déjà configurés.

Si plusieurs fournisseurs d’identité sont actifs, les personnes qui se connectent en utilisant SAML s’authentifieront auprès de celui défini par défaut. Pour définir le fournisseur d’identité par défaut, dans le formulaire Modifier l’IdP, sélectionnez Définir par défaut.

saml-admin-multiple-idps

Rediriger les utilisateurs pour qu’ils se connectent en utilisant une URL conviviale CNAME

Smartsheet fournit l’URL d’authentification unique par défaut pour votre organisation, qui est un lien permettant de se connecter à Smartsheet en une étape. Vous pouvez ajouter un enregistrement CNAME avec une URL plus conviviale et spécifique à l’entreprise.

Ne saisissez pas sso.smartsheet.com dans le champ CNAME du formulaire Modifier l’IdP, car cela provoquerait des problèmes lors de la connexion. Utilisez plutôt un enregistrement CNAME créé par votre entreprise et faites-le pointer vers sso.smartsheet.com.

  1. Dans votre domaine, créez un enregistrement DNS CNAME et faites-le pointer vers sso.smartsheet.com. smartsheet.exemple.org IN CNAME sso.smartsheet.com », par exemple.
  2. Dans le formulaire Modifier l’IdP, entrez l’enregistrement CNAME.
  3. Sélectionnez Ajouter
    L’authentification de votre adresse CNAME peut prendre jusqu’à une heure​​​

    cname

La suppression de l’accès par authentification unique d’un utilisateur n’est pas suffisante pour l’empêcher d’accéder à Smartsheet. Pour cela, vous devez le supprimer complètement du compte Smartsheet de votre organisation.

Les différents états de la configuration SAML 

SAML peut être dans l’un des états suivants :

  • Non configuré : aucun fournisseur d’identité actif
  • Désactivé : au moins un fournisseur d’identité est actif et la case SAML n’est pas cochée dans le formulaire Authentification 
  • Activé : au moins un fournisseur d’identité est actif et la case SAML est cochée dans le formulaire Authentification. Votre fournisseur d’identité peut être dans l’un des trois états suivants :
    • Non configuré : le certificat de sécurité a expiré 
    • Inactif : les métadonnées sont valides, le certificat de sécurité est valide
    • Actif : les métadonnées sont valides, le certificat de sécurité est valide, pas de partage de l’identification d’entité avec un autre fournisseur d’identité actif de votre compte, et est activé