Assertion SAML: exemples de revendications prises en charge dans Smartsheet

Utilisez cet article comme référence relativement aux revendications prises en charge et comme exemples d’assertions SAML.

Attributs requis

Les revendications d’identifiant persistant et d’adresse e-mail doivent être transmises à Smartsheet pour que l’authentification réussisse lors de la connexion. Deux revendications sont donc nécessaires et vous trouverez des détails supplémentaires ci-dessous.

Identifiant persistant : il est possible de le décrire comme l’attribut qui est le moins susceptible de changer pour une identité. Smartsheet accepte six formats (dont certains ne sont pas spécifiés dans la norme SAML 2.0) qui sont codés dans l’élément NameID. Voici les formats que nous prenons en charge :

  • urn:oasis:names:tc:SAML:1.1:nameid-­format:emailAddress
  • urn:oasis:names:tc:SAML:2.0:nameid­-format:email
  • urn:oasis:names:tc:SAML:2.0:nameid-­format:persistent
  • urn:oasis:names:tc:SAML:2.0:nameid-­format:unspecified
  • urn:oasis:names:tc:SAML:1.1:nameid­-format:unspecified
  • urn:oid:1.3.6.1.4.1.5923.1.1.1.10 

Smartsheet accepte également les assertions sans élément NameID et extrait une valeur d’identifiant persistant d’un attribut s’il en existe un qui correspond à :

  • name="eduPersonPrincipalName" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"
  • name="persistent" nameFormat="urn:oasis:names:tc:SAML:2.0:nameid-­format:persistent"
  • name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"
  • name="eduPersonPrincipalName" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"

Adresse e-mail : il s’agit de l’adresse e-mail associée au compte Smartsheet. Elle correspond à un nom d’utilisateur pour le service Smartsheet. Il doit s’agir d’un attribut et elle ne sera pas extraite de l’élément NameID. Voici les formats acceptés :

  • name="email" name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
  • name="emailAddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="Email",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:basic"
  • name="saml_username",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="emailaddress",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:unspecified"
  • name="emailaddress",nameFormat="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
  • name="urn:oid:0.9.2342.19200300.100.1.3",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"
  • name="mail",nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:basic" 

Attributs facultatifs

Given Name : le prénom de la personne associé au compte. Voici les formats que Smartsheet prend en charge :

  • name="givenName" name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname"
  • name="givenname" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="given_name" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="givenname" nameFormat="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname"
  • name="givenname" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:unspecified"
  • name="urn:oid:2.5.4.42" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:uri"

Surname : le nom de famille de la personne associée au compte. Voici les formats que Smartsheet prend en charge :

  • name="surname" 
  • name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"
  • name="surname" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:basic"
  • name="sur_name" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-­format:basic"
  • name="surname" nameFormat="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"
  • name="surname" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:unspecified"
  • name="urn:oid:2.5.4.4" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname­-format:uri"

Exemple d’assertion

Lorsque vous générez des métadonnées, vous devez utiliser les revendications indiquées ci-dessus.

Cliquez sur le lien suivant pour voir plusieurs exemples d’assertions de réponse SAML :
https://www.samltool.com/generic_sso_res.php

REMARQUE : ces exemples sont uniquement fournis à titre d’illustration et ne fonctionnent pas dans Smartsheet. Votre IdP doit générer vos métadonnées.