Assurez l’application cohérente des politiques de sécurité et de conformité de votre organisation grâce à l’intégration d’Okta SCIM avec Smartsheet.
USM Content
Grâce à l’intégration d’Okta SCIM avec Smartsheet, vous pouvez gérer vos rôles d’utilisateur et vos accès en fonction des mises à jour effectuées dans votre environnement Okta Active Directory.
Les administrateurs système peuvent provisionner, désactiver et gérer les données de profil des utilisateurs Smartsheet via le service Okta Active Directory. L’intégration vous permet de provisionner et de désactiver des utilisateurs via un répertoire d’utilisateurs central et garantit qu’ils ne peuvent plus accéder aux données de l’entreprise dans Smartsheet une fois qu’ils quittent l’organisation.
Comment ça marche
L’intégration d’annuaire (DI) utilise Okta comme source fiable pour la gestion des sièges. Une fois activée, Smartsheet attribue et met automatiquement à jour les types d’accès en fonction des groupes Okta auxquels vos utilisateurs appartiennent, ce qui réduit la nécessité d’effectuer des mises à jour manuelles dans le centre d’administration.
Voici ce qu’il se passe pendant une synchronisation :
- Attribution des sièges par groupe : les utilisateurs reçoivent un type de siège en fonction de leur appartenance à un groupe Okta. Les membres d’un groupe sous licence (comme un utilisateur sous licence Smartsheet) reçoivent un poste Membre, tandis que les utilisateurs auxquels l’application Smartsheet est attribuée mais qui ne sont pas placés dans un groupe spécifique ont par défaut un poste Contributeur.
- Mises à niveau et rétrogradations automatiques : lorsqu’un utilisateur passe d’un groupe Okta à l’autre, son type d’utilisateur est automatiquement mis à jour lors de la prochaine synchronisation. Aucune intervention manuelle n’est nécessaire.
- Le groupe privilégié a la priorité : si un utilisateur appartient à plusieurs groupes avec des rôles différents, l’intégration d’annuaire attribue le type de siège le plus privilégié.
- Membres provisoires : l’intégration d’annuaire met à niveau les membres provisoires si nécessaire, mais ne les rétrograde pas automatiquement. Les administrateurs système doivent gérer les rétrogradations manuellement dans le centre d’administration, à moins que votre forfait ne soit configuré pour rétrograder automatiquement. Dans ce cas, la modification se produit à la fin de la période d’évaluation. En savoir plus sur les paramètres des membres provisoires.
- Désactivation : lorsqu’un utilisateur est retiré d’Okta ou retiré de l’application Smartsheet, il est automatiquement désactivé dans Smartsheet lors de la prochaine synchronisation.
Pour réactiver un utilisateur désactivé, un administrateur système doit désactiver temporairement l’intégration d’annuaire, réactiver l’utilisateur, puis réactiver l’intégration d’annuaire.
Une fois que l’intégration d’annuaire est active, elle remplace toutes les modifications manuelles de poste effectuées par les administrateurs système dans le centre d’administration lors de la synchronisation suivante. Il est recommandé de désactiver le paramètre de mise à niveau automatique dans Smartsheet pour éviter des conflits avec les flux de travail pilotés par l’IdP.
Les membres provisoires ont le même accès aux fonctionnalités que les membres, mais seulement pour une durée limitée. En savoir plus sur le modèle d’utilisateur Smartsheet et l’adhésion provisoire.
Correspondance entre les groupes et les sièges
| Rôles Smartsheet | Valeurs de correspondance | Noms des variables (préférés) | Type de siège obtenu |
|---|---|---|---|
| Utilisateur de Smartsheet sous licence | LICENSED_USER | smartsheetLicensedUser | Membre |
| Administrateur de groupe Smartsheet | GROUP_ADMIN | smartsheetGroupAdmin | Membre |
| Afficheur de ressources Smartsheet | RESOURCE_VIEWER | smartsheetResourceViewer | Membre |
| Administrateur système Smartsheet | USER_ADMIN, PAYMENT_ADMIN, DATA_ADMIN | smartsheetSystemAdmin | Contributeur |
Si vous affectez un utilisateur à l’application Smartsheet sans l’ajouter à un groupe Okta, vous obtiendrez un type de siège Contributeur.
Changements de type de postes pris en charge via les correspondances de groupe
L’intégration d’annuaire gère automatiquement les transitions suivantes :
| De | À |
|---|---|
| Contributeur | Membre |
| Membre provisoire | Membre |
| Membre | Contributeur |
- Si un contributeur passe dans un état de membre provisoire, puis est ajouté à un groupe de niveau membre dans l’intégration d’annuaires, il passe automatiquement au statut de membre.
- Si un contributeur passe dans un état de membre provisoire, mais qu’il n’a pas été ajouté à un groupe d’IdP de type de siège membre, il reste dans cet état jusqu’à ce que le paramètre d’approbation de l’administrateur le rétrograde ou qu’un administrateur système modifie manuellement son type de siège dans le centre d’administration.
Modifications du type de poste non prises en charge via les correspondances de groupe
L’intégration d’annuaire ne gère pas les transitions suivantes. Voici où vous devez les effectuer :
| De | À | Où agir |
|---|---|---|
| Membre provisoire | Contributeur | Centre d’administration |
| Contributeur | Aucun accès | Centre d’administration |
| Contributeur | Membre provisoire | Déclenché par le système uniquement |
| Membre provisoire | Aucun accès | Centre d’administration |
| Membre | Aucun accès | Centre d’administration |
- La rétrogradation de Membre à Membre provisoire n’est pas prise en charge directement dans le centre d’administration ou l’intégration d’annuaire.
- La désactivation est toujours prise en charge par la suppression ou la désactivation du profil utilisateur dans Okta.
- Vous devez gérer les Invités entièrement dans le centre d’administration, car ils n’existent pas dans votre IdP.
Préparer Smartsheet pour l’intégration Okta/SCIM
Avant de configurer l’intégration, vous devez réaliser certaines tâches dans Smartsheet. Affichez le processus de configuration sous forme de tutoriel. Seuls les administrateurs système dans Smartsheet et Okta peuvent configurer l’intégration.
- Activer la prise en charge SCIM : votre forfait nécessite un provisionnement SCIM. Contactez l’assistance pour activer la fonctionnalité.
- Validez votre/vos domaine(s) : validez chaque domaine utilisé avec Smartsheet-Okta. Vous devez avoir validé au moins un domaine dans Smartsheet. Seuls les forfaits dont l’adresse e-mail principale se trouve sur un domaine validé sont pris en charge.
Générez le jeton API : il est requis pour configurer le provisionnement automatique des utilisateurs avec Okta. Copiez et enregistrez le jeton d’accès API. Vous ne pouvez pas le récupérer et vous aurez besoin de la clé pour configurer Okta.
Si vous ne souhaitez pas que vos utilisateurs s’inscrivent à Smartsheet via l’UAP, désactivez le paramètre UAP.
Activer l’intégration d’annuaire : pour utiliser Okta SCIM, un administrateur système doit activer la fonctionnalité d’intégration d’annuaire via le centre d’administration. Sur la page Sécurité et contrôles, localisez la carte Intégration d’annuaire et activez la fonctionnalité.
Brandfolder Image
Dans le modèle de propriété des éléments de Smartsheet, les forfaits deviennent propriétaires des éléments plutôt que des utilisateurs individuels. Cela signifie que Smartsheet ne transfère pas les éléments d’un utilisateur déprovisionné vers un compte séquestre, car ces éléments restent actifs dans le forfait. Cependant, cela est toujours recommandé par mesure de précaution.
- Attribuer l’application Smartsheet : assurez-vous que l’application Smartsheet est attribuée aux utilisateurs concernés dans Okta.
- Organiser les utilisateurs en groupes : affectez les utilisateurs aux groupes Okta appropriés pour déclencher le bon type d’utilisateur dans Smartsheet.
- Désactiver la mise à niveau automatique (recommandé) : si l’intégration d’annuaire est active, désactivez le paramètre de mise à niveau automatique dans Smartsheet afin d’éviter tout conflit avec les attributions de licences IdP.
Configurer Okta pour l’intégration Smartsheet
- Connectez-vous à la page d’administration Okta.
- Accédez à Applications > Toutes les intégrations et recherchez Smartsheet SCIM dans le catalogue d’applications. Sélectionnez Smartsheet SCIM.
- Saisissez un libellé d’application, comme Smartsheet pour les États-Unis.
- Définissez vos options d’authentification. Si vous configurez SAML SSO, sélectionnez Afficher les instructions de configuration en bas de la page et terminez la configuration de SAML SSO.
- Sur l’écran Paramètres d’authentification avancés, sous Détails des informations d’identification, sélectionnez E-mail pour le format du nom d’utilisateur de l’application, puis Terminé. Cet e-mail correspond au compte Smartsheet de l’utilisateur.
- Accédez à l’onglet Provisionnement et sélectionnez Configurer l’intégration de l’API.
- Sélectionnez Activer l’intégration de l’API et indiquez l’URL de base.
- Pour Smartsheet UE, utilisez l’adresse https://scim.smartsheet.eu/v2
- Pour Smartsheet UE, utilisez l’adresse https://scim.smartsheet.eu/v2
Pour Smartsheet pour l’Australie, utilisez https://scim.smartsheet.au/v2
Si vous obtenez une erreur lors du déploiement de vos groupes, essayez plutôt d’utiliser ces URL de base :
- États-Unis : https://scim.smartsheet.com/v3
- UE : https://scim.smartsheet.eu/v3
- AU : https://scim.smartsheet.au/v3
- Saisissez votre jeton d’API enregistré dans le champ Jeton d’API. Sélectionnez Tester les informations d’identification de l’API pour vérifier le jeton. Si tout fonctionne comme prévu, le message suivant s’affiche : Smartsheet SCIM a été vérifié avec succès.
- Sélectionnez Enregistrer. Dans l’onglet Provisionnement sous Paramètres, sélectionnez Sur l’application.
- Sélectionnez Modifier > Activer pour les fonctionnalités de votre choix, puis enregistrez vos modifications.
ressources supplémentaires ;
Suivez chaque lien ci-dessous pour poursuivre la configuration de l’intégration. Il est important de suivre ces étapes en respectant l’ordre dans lequel elles sont énumérées ici.
- Définir les rôles Smartsheet
- (Facultatif) Configurer les rôles des connecteurs premium supplémentaires
Vous pouvez également afficher ces articles sous forme de tutoriel détaillé.
LCM Content
Grâce à l’intégration d’Okta SCIM avec Smartsheet, vous pouvez gérer vos rôles d’utilisateur et vos accès en fonction des mises à jour effectuées dans votre environnement Okta Active Directory.
Les administrateurs système peuvent provisionner, désactiver et gérer les données de profil des utilisateurs Smartsheet via le service Okta Active Directory. L’intégration vous permet de provisionner et de désactiver des utilisateurs par le biais d’un annuaire d’utilisateurs central et de vous assurer qu’une personne ayant quitté l’entreprise n’a plus accès aux données de cette dernière dans Smartsheet.
À garder à l’esprit
Smartsheet prend en charge les utilisateurs sans licence, de sorte que vous pouvez également provisionner les utilisateurs Smartsheet sans aucun rôle. Les nouveaux utilisateurs sans licence provisionnés via Okta n’apparaîtront dans le centre d’administration de Smartsheet qu’après une première connexion ou leur ajout à un groupe Smartsheet.
Préparer Smartsheet pour l’intégration Okta/SCIM
Avant de configurer l’intégration, vous devez réaliser certaines tâches dans Smartsheet. Affichez le processus de configuration sous forme de tutoriel. Seuls les administrateurs système dans Smartsheet et Okta peuvent configurer l’intégration.
- Activez la prise en charge SCIM : votre forfait nécessite un provisionnement SCIM. Contactez l’assistance pour activer la fonctionnalité.
- Validez votre/vos domaine(s) : validez chaque domaine utilisé avec Smartsheet-Okta. Vous devez avoir validé au moins un domaine dans Smartsheet. Seuls les forfaits dont l’adresse e-mail principale se trouve sur un domaine validé sont pris en charge.
Générez le jeton d’API : il est nécessaire pour configurer le provisionnement automatique des utilisateurs avec Okta. Copiez et enregistrez le jeton d’accès API. Vous ne pouvez pas le récupérer et vous aurez besoin de la clé pour configurer Okta.
Si vous ne voulez pas que vos utilisateurs s’inscrivent à Smartsheet par le biais de l’UAP, désactivez le paramètre UAP.
Activez l’intégration d’annuaire : pour utiliser Okta SCIM, un administrateur système doit activer la fonctionnalité d’intégration d’annuaire via le centre d’administration. Sur la page Sécurité et contrôles, localisez la carte Intégration d’annuaire et activez la fonctionnalité.
Brandfolder Image
Configurer Okta pour l’intégration Smartsheet
- Connectez-vous à la page d’administration Okta.
- Accédez à Applications > Toutes les intégrations et recherchez Smartsheet SCIM dans le catalogue d’applications. Sélectionnez Smartsheet SCIM.
- Saisissez un libellé d’application, comme Smartsheet pour les États-Unis.
- Définissez vos options d’authentification. Si vous configurez SAML SSO, sélectionnez Afficher les instructions de configuration en bas de la page et terminez la configuration de SAML SSO.
- Sur l’écran Paramètres d’authentification avancés, sous Détails des informations d’identification, sélectionnez E-mail pour le format du nom d’utilisateur de l’application, puis Terminé. Cet e-mail correspond au compte Smartsheet de l’utilisateur.
- Accédez à l’onglet Provisionnement et sélectionnez Configurer l’intégration de l’API.
- Sélectionnez Activer l’intégration de l’API et indiquez l’URL de base.
- Pour Smartsheet UE, utilisez l’adresse https://scim.smartsheet.eu/v2
- Pour Smartsheet UE, utilisez l’adresse https://scim.smartsheet.eu/v2
Pour Smartsheet AU, voir https://scim.smartsheet.au/v2
Si vous obtenez une erreur lors du déploiement de vos groupes, essayez plutôt d’utiliser ces URL de base :
- US : https://scim.smartsheet.com/v3
- EU : https://scim.smartsheet.eu/v3
- AU : https://scim.smartsheet.au/v3
- Saisissez votre jeton d’API enregistré dans le champ Jeton d’API. Sélectionnez Tester les informations d’identification de l’API pour vérifier le jeton. Si tout fonctionne comme prévu, le message suivant s’affiche : « Smartsheet SCIM a été vérifié avec succès ».
- Sélectionnez Enregistrer. Dans l’onglet Provisionnement sous Paramètres, sélectionnez Sur l’application.
- Sélectionnez Modifier > Activer pour les fonctionnalités de votre choix, puis enregistrez vos modifications.
Les utilisateurs que vous supprimez de votre instance Okta SCIM seront désactivés dans Smartsheet. Les utilisateurs désactivés ne peuvent pas se connecter à Smartsheet et n’ont plus de licence attribuée. Vous pouvez alors réattribuer cette licence.
Ressources supplémentaires
Suivez chaque lien ci-dessous pour poursuivre la configuration de l’intégration. Il est important de suivre ces étapes en respectant l’ordre dans lequel elles sont énumérées ici.
- Définir les rôles Smartsheet
- (Facultatif) Configurer les rôles des connecteurs premium supplémentaires
Vous pouvez également afficher ces articles sous forme de tutoriel détaillé.