Configurer le protocole SAML pour l’authentification unique au niveau du domaine sur Smartsheet

La configuration SAML au niveau du domaine vous permet de mettre en œuvre une authentification unique (SSO) unifiée pour votre domaine sur tous les forfaits. 

Qui peut l’utiliser ?

Forfaits :

  • Enterprise

Autorisations :

  • Administrateur système

Découvrez si cette fonctionnalité est incluse dans Régions Smartsheet ou Smartsheet pour le secteur public.

Vous avez besoin d’un administrateur informatique pour configurer le protocole SAML pour l’authentification unique dans Smartsheet.

En activant la configuration SAML au niveau du domaine, vous obtenez une authentification unique cohérente entre les différents forfaits d’un domaine vérifié et activé. Cette action garantit également un processus uniforme pour tous les utilisateurs appartenant à ce domaine, quel que soit leur service ou le forfait Smartsheet précis que vous leur avez attribué.

Cette fonctionnalité est réservée aux forfaits Entreprise. Une fois configurée par l’administrateur système, la politique s’applique à tout utilisateur Smartsheet de ce domaine, quel que soit son type de forfait.

Toutes les configurations SAML existantes au niveau du forfait restent valables pour les utilisateurs appartenant à ce domaine. Cependant, vous avez maintenant la possibilité de mettre en œuvre un protocole SAML au niveau du domaine. Une fois que vous avez activé le protocole SAML au niveau du domaine, il remplace l’ancien SAML au niveau du forfait pour les utilisateurs de ce domaine.

La politique de déplacement des utilisateurs ne prend en charge que les configurations SAML au niveau du forfait et est incompatible avec les configurations SAML au niveau du domaine. Il n’est pas possible de passer à une configuration SAML au niveau du domaine si vous avez déjà configuré une politique de déplacement des utilisateurs.

Avant de commencer

Configurer SAML pour l’authentification unique dans Smartsheet

  1. Accédez au centre d’administration et sélectionnez l’icône de menu.
  2. Accédez à l’onglet Paramètres et sélectionnez Authentification.
  3. Sélectionnez Ajouter un IdP SAML.
  4. Sélectionnez Configurer sur l’une des options suivantes :
Choose SAML IdP

Rediriger les utilisateurs pour qu’ils se connectent en utilisant une URL conviviale CNAME

Smartsheet propose une URL SSO par défaut pour votre organisation, qui sert de lien direct pour vous connecter à Smartsheet. Vous avez la possibilité de créer un enregistrement CNAME qui fournit une URL plus personnalisée, agissant comme un « raccourci » ou un alias pour votre page de connexion. De cette façon, au lieu de visiter l’URL Smartsheet standard, les utilisateurs peuvent accéder à une URL personnalisée, par exemplesmartsheet.votreentreprise.com.

Une fois que vous avez terminé votre configuration SAML préférée, accédez à votre fournisseur DNS pour créer un enregistrement CNAME. Cet enregistrement doit renvoyer votre URL personnalisée (par exemple,smartsheet.votreentreprise.com) vers le service SSO de Smartsheet àsso.smartsheet.com.

Configuration SAML basée sur Okta

  1. Saisissez un nom pour votre configuration SAML Okta dans le champ Name Okta IdP (Nommer l’IdP Okta).

  2. Copiez les valeurs des champs URL ACS (Assertion Consumer Service) et Restriction d’audience (ID d’entité), puis collez-les dans les champs URL ACS et URI d’audience de l’application Okta Smartsheet V2, respectivement. Cela vous permet d’établir Smartsheet en tant que prestataire de services. Vous pourrez ainsi obtenir des métadonnées SAML à partir de votre instance Okta.

    Configure Okta SAML IdP
  3. Suivez les instructions à l’écran pour obtenir l’URL des métadonnées Okta, puis sélectionnez Save & Next (Enregistrer et suivant).
  4. Vous devez maintenant tester votre connexion en vous connectant à Smartsheet à l’aide d’Okta. Sélectionnez Vérifier la connexion.
  5. Après avoir vérifié votre connexion, sélectionnez la case à cocher J’ai vérifié la connexion.

  6. Sélectionnez Save & Next (Enregistrer et suivant).

    Verify Okta connection
  7. Attribuez vos domaines actifs à Okta à l’aide du champ déroulant ou sélectionnez Ajouter un domaine pour trouver les domaines que vous souhaitez ajouter.

  8. Sélectionnez Save & Next (Enregistrer et suivant).

    Assign active domains to Okta SAML setup
  9. Suivez les instructions à l’écran pour créer une application Okta Bookmark, qui permet à vos utilisateurs de se connecter à Smartsheet depuis la page d’accueil de leur application Okta.
  10. Sélectionnez la case à cocher pour confirmer que vous avez créé une application Okta Bookmark pour Smartsheet.

  11. Sélectionnez Finish (Terminer).

    create an Okta bookmark app

Configuration d’une authentification SAML personnalisée

  1. Suivez les instructions à l’écran pour définir Smartsheet comme partie de confiance, puis sélectionnez Next (Suivant).

    Configure custom SAML IdP
  2. Saisissez un nom pour votre configuration SAML personnalisée dans le champ Name SAML IdP (Nommer l’IdP SAML).

  3. Importez vos métadonnées d’IdP SAML à partir, soit d’un fichier XML, soit d’une URL publique hébergeant un fichier XML fourni par votre fournisseur d’identité.

    Nous recommandons l’option URL XML pour importer vos métadonnées.

  4. Sélectionnez Save & Next (Enregistrer et suivant).

    Copy IdP metadata for the custom SAML setup
  5. Vous devez maintenant tester votre connexion en vous connectant à Smartsheet à l’aide de votre IdP SAML personnalisé. Sélectionnez Vérifier la connexion.
  6. Après avoir vérifié votre connexion, sélectionnez la case à cocher J’ai vérifié la connexion.

  7. Sélectionnez Save & Next (Enregistrer et suivant).

    Verify custom IdP connection
  8. Attribuez vos domaines actifs à votre IdP SAML personnalisé à l’aide du champ déroulant ou sélectionnez Ajouter un domaine pour trouver les domaines que vous souhaitez ajouter.

  9. Sélectionnez Finish (Terminer).

    Assign active domains to custom SAML IdP setup

Vous ne pouvez pas activer votre nouvelle configuration SAML sans avoir d’abord vérifié la connexion de votre IdP SAML.

À propos des configurations SAML au niveau du forfait disponibles

  • Si vous n’avez pas de configuration SAML au niveau du forfait ou si vous débutez avec Smartsheet, vous ne pouvez configurer le SAML qu’au niveau du domaine. Si vous avez toujours besoin d’une configuration SAML au niveau du forfait, contactez votre responsable de la réussite client (Customer Success Manager, ou CSM) pour obtenir de l’aide concernant votre demande.
  • Les configurations SAML actuelles au niveau du forfait ou du domaine restent valables pour les utilisateurs appartenant à un domaine, jusqu’à expiration du certificat SAML Smartsheet. En savoir plus sur l’expiration des certificats.
  • Le centre d’administration affiche un message d’avertissement vous indiquant le nombre de jours restants avant l’expiration de vos configurations SAML actuelles au niveau du forfait.
  • Dans les cas où il existe à la fois des configurations SAML au niveau du forfait et au niveau du domaine, la configuration au niveau du domaine prévaut et remplace toute configuration au niveau du forfait pour les utilisateurs de ce domaine.
  • Si un forfait propose actuellement des méthodes de connexion par e-mail et par mot de passe, Google SSO ou SAML, et qu’un forfait Entreprise configure l’authentification SAML au niveau du domaine pour un domaine particulier, les utilisateurs de ce domaine disposeront toujours des mêmes options de connexion. De plus, ils ont également accès à l’authentification SAML au niveau du domaine nouvellement configuré, quel que soit leur type de forfait.

Rappel

Le forfait Entreprise qui a validé et activé le domaine est le seul capable de configurer et d’appliquer des paramètres SAML au niveau du domaine, modifications qui affecteront tous les utilisateurs de ce domaine.

Cependant, si d’autres forfaits Entreprise ont validé le même domaine, ils ont également la possibilité de configurer un brouillon de SAML au niveau du domaine. Néanmoins, ils ne peuvent pas appliquer les paramètres, faute d’avoir activé le domaine.

Puis-je utiliser Google SSO ou Entra ID SSO avec la configuration du SAML au niveau du domaine ?

Dans un premier temps, seul le protocole SAML sera disponible pour la configuration au niveau du domaine. Nous autoriserons la configuration de la politique de connexion Google SSO/Entra ID SSO au niveau du domaine à une date ultérieure.
 

Que dois-je faire si je rencontre des problèmes en passant à une authentification SAML au niveau du domaine ?

Contactez l’assistance Smartsheet si vous rencontrez des problèmes pendant la transition.

Comment revenir aux paramètres d’authentification unique au niveau du forfait si nécessaire ?

Après la transition vers une configuration d’authentification SAML au niveau du domaine, il n’est pas possible de revenir aux paramètres d’authentification unique au niveau du forfait. Assurez-vous d’avoir bien anticipé ce changement avant sa mise en œuvre.

Le passage à une configuration SAML au niveau du domaine entraîne-t-il des coûts supplémentaires ?

Non. Il n’y a pas de coûts supplémentaires pour activer la configuration SAML au niveau du domaine ; elle est incluse dans votre forfait Entreprise Smartsheet.

Puis-je avoir différentes configurations SAML selon les domaines ?

Oui. Vous pouvez configurer différents paramètres SAML pour chaque domaine validé et activé. Cette flexibilité permet d’adapter les paramètres de sécurité aux différents aspects de votre forfait.

Comment ce changement affectera-t-il l’authentification de mes utilisateurs actuels ?

Une fois qu’un administrateur système configure l’authentification SAML au niveau du domaine pour un domaine validé et activé appartenant à un forfait Entreprise, tous les utilisateurs appartenant à ce domaine, quel que soit leur type de forfait, seront soumis à la méthode d’authentification SAML prescrite. Cependant, toutes les autres configurations au niveau du forfait (comme Google SSO, Entra ID SSO, e-mail et mot de passe, etc.) restent disponibles pour les utilisateurs finaux appartenant à ce forfait.

Qu’advient-il des sessions utilisateur existantes une fois la configuration SAML au niveau du domaine activée ?

Les sessions existantes ne devraient pas être affectées. Cependant, une fois qu’un utilisateur se déconnecte, il devra se reconnecter à l’aide de la nouvelle configuration SAML au niveau du domaine.

Puis-je déployer la configuration SAML au niveau du domaine de manière progressive dans mon forfait ?

La configuration est appliquée au niveau du domaine, de sorte qu’elle est plus adaptée à un déploiement à grande échelle plutôt qu’à une approche progressive. 

Puis-je activer la configuration SAML au niveau du domaine sur plusieurs forfaits Entreprise ?

Seul le forfait Entreprise qui valide et active le domaine peut configurer la politique d’authentification SAML au niveau du domaine pour tous les utilisateurs et forfaits appartenant à celui-ci.

Puis-je configurer une politique de déplacement des utilisateurs tout en exploitant le protocole SAML au niveau du domaine ?

Non. La politique de déplacement des utilisateurs est incompatible avec les configurations SAML au niveau du domaine.