Configurer SAML 2 pour l’authentification unique dans Smartsheet

S’applique à

Smartsheet
  • Enterprise

Fonctionnalités

Qui peut utiliser cette fonctionnalité ?

Les administrateurs système et l’administrateur informatique peuvent configurer SAML 2 pour l’authentification unique dans Smartsheet
 

Lorsque vous configurez une authentification unique basée sur SAML avec Smartsheet 

Effectuez les actions suivantes : 

  • Configurez le fournisseur d’identité (IdP) de votre organisation pour communiquer avec Smartsheet. 
  • Ajoutez un enregistrement au Domain Name System (DNS) de votre organisation.
    • Vous devrez peut-être faire appel à un technicien interne pour vous aider à configurer cette fonctionnalité et à assurer sa maintenance.

Pour parvenir à configurer SAM 2 SSO avec Smartsheet pour le gouvernement américain, vous devez appliquer quelques exigences et paramètres.

Gardez cela à l’esprit

  • Smartsheet prend en charge l’authentification unique initiée par un prestataire de services. Si vous configurez une authentification unique initiée par un fournisseur d’identité (IdP), collaborez avec celui-ci.
  • Vous pouvez utiliser plusieurs IdP d’authentification unique en même temps.

Éléments dont vous avez besoin afin de configurer Smartsheet avec votre IdP

Configurez une partie de confiance au sein de votre IdP, en utilisant les métadonnées fournies. Le processus de configuration d’une partie de confiance peut varier pour chaque IdP. Consultez la documentation de votre IdP pour en savoir plus.

L’algorithme SHA1 pour les certificats est obsolète en raison de ses failles de sécurité. Vérifiez que vous n’utilisez pas de certificats SSL signés à l’aide de SHA1.

Processus d’échange SAML 

Smartsheet exige les attributs suivants lors du processus d’échange SAML :

  • Identifiant persistant :  urn:oasis:names:tc:SAML:2.0:nameid-format:persistent 
  • Adresse e-mail : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Gardez cela à l’esprit

  • La première assertion doit contenir un identifiant persistant, qui est identique pour toutes les personnes qui se connectent. Votre adresse e-mail peut être un identifiant persistant, mais la revendication d’adresse e-mail doit néanmoins être transmise dans le processus d’assertion. Pour obtenir un exemple d’assertion et une liste complète des formats de revendication pris en charge par Smartsheet, consultez l’article Assertion SAML : exemples de revendications prises en charge dans Smartsheet.
  • L’identifiant persistant peut être défini dans l’élément NameID (subject) de l’assertion.
  • Si l’assertion n’a pas d’élément NameID (subject), vous pouvez utiliser l’un des attributs définis dans l’article Revendications prises en charge.

Les attributs suivants sont recommandés, mais facultatifs : 

  • Prénom : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname 
    • Ceci représente le prénom de l’utilisateur
  • Nom : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname 
    • Ceci représente le nom de l’utilisateur

Il est possible que certains services SAML demandent des informations supplémentaires lorsque vous les configurez avec Smartsheet : 

  • URL du service consommateur d’assertions (ACS - Assertion Consumer Service) : https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST 
    Pour les comptes de l’Union européenne, utilisez https://sso.smartsheet.eu/Shibboleth.sso/SAML2/POST
  • Restriction d’audience (Audience Restriction) : https://sso.smartsheet.com/saml
    Pour les comptes de l’Union européenne, utilisez https://sso.smartsheet.eu/saml

Saisissez les adresses e-mail en minuscules. Les majuscules peuvent empêcher la correspondance des e-mails entre votre fournisseur SAML et Smartsheet.

Configurer Smartsheet.com pour l’utiliser avec votre IdP SAML

Avant de poursuivre, vérifiez que vous remplissez les conditions requises permettant de configurer l’authentification unique basée sur SAML pour votre compte.

Ouvrir le formulaire Administration SAML

Procédure pour établir une connexion entre votre IdP et Smartsheet :

  1. Dans la barre de navigation de gauche, sélectionnez Compte
  2. Dans le menu Compte , sélectionnez Forfait et informations de facturation.
  3. Dans le formulaire Administration du compte, sélectionnez Contrôles de sécurité
  4. Dans la section Authentification, sélectionnez Modifier.
    security-controls
  5. Sélectionnez non configuré.
    saml-not-configured

 

Après avoir suivi ces étapes, le formulaire Administration SAML s’affiche.

Configurer l’authentification unique avec votre IdP

Procédez comme suit pour configurer SAML avec un ou plusieurs IdP :

  1. Sélectionnez Ajouter un IdP.

    add-idp
  2. Saisissez un pseudonyme pour votre IdP. 
  3. Obtenez les métadonnées de l’IdP ; puis, copiez-les.
    Pour savoir comment obtenir ces métadonnées, consultez la documentation de votre IdP.
  4. Dans la zone texte Métadonnées de l’IdP, copiez les métadonnées de l’IdP.nbsp;
    idp-metadata
  5. Copiez l’URL d’authentification unique; puis collez-la dans votre IdP.
  6. Sélectionnez Enregistrer​.
    • Après avoir enregistré les modifications que vous avez apportées, Smartsheet validera les métadonnées.
      Si la validation réussit, le formulaire Modifier l’IdP s’affiche. Si une erreur s’affiche, consultez notre article Foire Aux Questions sur SAML et erreurs courantes.
      Vous pouvez ajouter un CNAME qui redirigera les utilisateurs vers une URL conviviale lorsqu’ils se connectent. Pour en savoir plus, consultez la section Rediriger les utilisateurs pour qu’ils se connectent en utilisant une URL conviviale CNAME ci-dessous.
  7. Pour activer l’IdP pour une utilisation avec Smartsheet, sélectionnez Activer. Le statut de l’IdP passe d’Inactif à Actif, par défaut.
  8. Pour activer SAML pour votre organisation, dans le formulaire Authentification, sélectionnez SAML
    Au moins un IdP doit être actif pour activer SAML
    activate-idp
  9. Sélectionnez Enregistrer.

Et voilà ! Les membres de votre compte peuvent désormais utiliser les identifiants de leur entreprise pour se connecter à Smartsheet.

Configurer des IdP supplémentaires

Bien que la plupart des organisations n’aient besoin que d’un seul IdP actif, il n’y a pas de limite au nombre que vous pouvez ajouter.

Pour modifier ou ajouter des IdP supplémentaires, à côté de la case à cocher SAML, sélectionnez Modifier la configuration. Le formulaire Administration SAML s’affiche. Vous pouvez ajouter des IdP ou modifier ceux que vous avez déjà configurés.

Si plusieurs IdP sont actifs, les personnes qui se connectent à l’aide de SAML s’authentifieront auprès de celui défini par défaut. Pour définir l’IdP par défaut, dans le formulaire Modifier l’IdP, sélectionnez Définir par défaut.

saml-admin-multiple-idps

Rediriger les utilisateurs pour qu’ils se connectent en utilisant une URL conviviale CNAME

Smartsheet fournit l’URL d’authentification unique par défaut​pour votre organisation, qui est un lien permettant de se connecter à Smartsheet en une seule étape. Vous pouvez ajouter un enregistrement CNAME avec une URL plus conviviale et spécifique à l’entreprise.

Ne saisissez pas sso.smartsheet.com dans le champ CNAME du formulaire Modifier l’IdP, car cela provoquerait des problèmes lors de la connexion. Utilisez plutôt un enregistrement CNAME créé par votre entreprise et faites-le pointer vers sso.smartsheet.com.

  1. Dans votre domaine, créez un enregistrement DNS CNAME et faites-le pointer vers sso.smartsheet.com. Par exemple, smartsheet.example.org IN CNAME sso.smartsheet.com.
  2. Dans le formulaire Modifier l’IdP​, entrez l’enregistrement CNAME
  3. Sélectionnez Ajouter​. 
    L’authentification de votre adresse CNAME peut prendre jusqu’à une heure​​​

    cname

La suppression de l’accès par authentification unique d’un utilisateur n’est pas suffisante pour l’empêcher d’accéder à Smartsheet. Pour cela, vous devez le supprimer complètement du compte Smartsheet de votre organisation.

Les différents états de la configuration SAML 

SAML peut être dans l’un des états suivants :

  • Non configuré : Il n’existe pas d’IdP actifs. 
  • Désactivé : Il existe au moins un IdP actif. De plus, dans le formulaire Authentification, la case SAML n’est pas sélectionnée.
  • Activé : Il existe au moins un IdP actif. De plus, dans le formulaire Authentification, la case SAML est sélectionnée. Votre IdP sera dans l’un des trois états suivants : 
    • Non configuré : le certificat de sécurité a expiré 
    • Inactif : les métadonnées sont valides, le certificat de sécurité est valide 
    • Actif : les métadonnées sont valides, le certificat de sécurité est valide, pas de partage de l’identification d’entité avec un autre IdP actif de votre compte et l’IdP est activé