Centre d’administration : configurer l’accès géré par l’IdP

Grâce à l’accès géré par le fournisseur d’identité (IdP), vous pouvez contrôler efficacement l’accès et les autorisations des utilisateurs dans Smartsheet à l’aide de groupes basés sur des rôles définis dans votre IdP. Cela améliore non seulement la sécurité, mais simplifie également la gestion des accès, grâce à une intégration fluide avec votre système d’identité (IdP) existant.

Qui peut l’utiliser ?

Forfaits :

  • Enterprise

Autorisations :

  • Administrateur système

Find out if this capability is included in Smartsheet Regions or Smartsheet Gov.

Présentation

L’intégration de la gestion des accès basée sur les rôles avec un IdP permet la mise à jour automatiquement des autorisations lorsque les rôles changent au sein de votre entreprise. Il n’est donc plus nécessaire de mettre en place un processus manuel fastidieux pour la mise à jour de l’accès aux éléments Smartsheet lorsqu’un employé change d’équipe.

Par exemple, si un employé change de rôle, passant de la finance au marketing, les autorisations se mettent à jour automatiquement : il n’est pas nécessaire de modifier manuellement les accès. Cela peut souvent conduire à des failles de sécurité, car tout retard dans la suppression de l’accès aux informations sensibles d’un rôle antérieur augmente le risque d’accès non autorisé.

Lorsque l’accès est géré par votre fournisseur d’identité (IdP), les rôles des utilisateurs sont automatiquement synchronisés entre ceux définis dans votre IdP (p. ex. Okta ou Microsoft Entra ID) et les groupes Smartsheet correspondants, assurant une correspondance exacte entre les rôles des deux systèmes.

Prérequis

  • Configuration SAML au niveau du domaine : le langage SAML (Security Assertion Markup Language) est nécessaire pour attribuer des accès et des autorisations à l’aide de groupes basés sur des rôles IdP basés sur des domaines. Les administrateurs système doivent s’assurer que l’authentification unique SAML au niveau du domaine est configurée pour permettre l’accès géré par l’IdP. En effet, lorsqu’un utilisateur se connecte à Smartsheet via SAML, le protocole transmet en temps réel à Smartsheet le rôle IdP de cet utilisateur.
  • Configuration spécifique de l’IdP – selon le système IdP que vous utilisez, suivez les instructions ci-dessous afin de garantir la bonne synchronisation des rôles utilisateurs entre votre IdP et Smartsheet :

Rappels importants

  • Forfaits Entreprise : les administrateurs système des forfaits pour lesquels un domaine a été validé peuvent activer ou désactiver l’accès géré par l’IdP pour leurs forfaits via le centre d’administration. Cela leur permet de gérer l’accès des utilisateurs par l’intermédiaire de leurs groupes basés sur des rôles IdP.
  • Familles GFE : seuls les administrateurs système du forfait principal du Gestionnaire de forfaits Entreprise (GFE) peuvent activer ou désactiver cette fonctionnalité. Les administrateurs système des forfaits enfants dans les familles GFE héritent des paramètres du forfait principal et n’ont qu’un accès en lecture seule. Ils ne peuvent pas créer, modifier ou supprimer des groupes basés sur des rôles IdP dans leur forfait.

Activer l’accès géré par l’IdP

  1. Dans le centre d’administration, sélectionnez l’icône Menu en haut à gauche.

  2. Accéder à Paramètres > IdP Managed Access(Accès géré par l’IdP).

    IdP Managed Access option in Admin Center menu

  3. Activez le bouton IdP Managed Access (Accès géré par l’IdP).

    Activate IdP managed access toggle in Admin Center

Lorsque vous activez la fonctionnalité d’accès géré par l’IdP, elle génère automatiquement la feuille d’accès géré par l’IdP et la partage avec tous les administrateurs système actuels du forfait. Si nécessaire, les administrateurs système peuvent la partager avec d’autres administrateurs système comme ils le feraient pour n’importe quelle autre feuille.

Vous pouvez également accéder à la page d’IdP Managed Access(Accès géré par l’IdP) à partir de la carte de sécurité sur la page d’accueil du centre d’administration.

Désactiver l’accès géré par l’IdP

  • Désactivez le bouton IdP Managed Access (Accès géré par l’IdP) sur la page IdP Managed Access (Accès géré par l’IdP).

Qui peut créer des groupes IdP ?

  • Administrateurs système des forfaits dans lesquels le domaine est activé.
  • Administrateurs de groupe des domaines activés, si l’administrateur système l’autorise.
  • Les administrateurs de groupe des domaines validés peuvent demander la création de groupes IdP.
     

Mes utilisateurs pourront-ils partager des éléments avec des groupes Smartsheet et des groupes IdP ?

Oui. Le nom du domaine sera répertorié à la fin (dans la fenêtre contextuelle de partage) afin que les utilisateurs puissent reconnaître qu’il s’agit d’un groupe IdP.

Que se passe-t-il lorsque j’active la fonctionnalité pour la première fois dans un forfait dans lequel le domaine est activé ?

  • Une nouvelle feuille est créée pour les mises en correspondance de rôles IdP et des groupes IdP.
  • Les appartenances aux groupes IdP sont automatiquement créées et mises à jour lorsque les utilisateurs se connectent.
  • Vous pouvez partager des éléments Smartsheet avec des groupes IdP. De plus, les utilisateurs obtiendront un accès en fonction de leur rôle IdP.
     

Comment la désactivation de la fonctionnalité affecte-t-elle un forfait dans lequel le domaine est activé ?

  • La feuille est supprimée, mais toutes les correspondances de rôles sont conservées dans la base de données au niveau du domaine pour une utilisation future.
  • La synchronisation des appartenances aux rôles et aux groupes s’arrête.
  • Les utilisateurs ne peuvent plus partager d’éléments Smartsheet avec des groupes IdP, et les appartenances aux groupes sont supprimées.
  • Les appartenances existantes au groupe sont supprimées. Les utilisateurs perdront l’accès aux éléments partagés via des groupes IdP.
     

Que se passe-t-il une fois que je réactive la fonctionnalité dans un forfait avec un domaine activé ?

  • La feuille est recréée à partir des correspondances de rôles précédentes stockées dans la base de données.
  • La synchronisation des rôles et des appartenances aux groupes reprend et actualise les appartenances des utilisateurs aux groupes.
  • Le partage d’éléments avec les groupes IdP est à nouveau disponible, ce qui rétablit l’accès pour les utilisateurs disposant des rôles appropriés.
     

Quel est l’impact de la désactivation d’un domaine sur l’accès géré par l’IdP lorsqu’il est activé ?

  • La feuille reste, mais la synchronisation s’arrête pour le domaine désactivé.
  • Les mises en correspondance des rôles et les appartenances aux groupes existants sont conservés, mais aucune nouvelle mise à jour n’est effectuée.
  • Les utilisateurs de domaines désactivés perdront l’accès aux éléments Smartsheet partagés par l’intermédiaire de groupes IdP.
     

Que se passe-t-il lorsqu’un domaine est activé avec un rôle IdP déjà défini dans la feuille ?

  • Si des correspondances de rôles existent déjà, elles sont synchronisées dans la feuille lorsque le domaine est activé.
  • Le système s’assure que les données correctes sont disponibles dans la feuille nouvelle ou existante, rétablissant ainsi l’accès de l’utilisateur.
     

Comment l’activation, la désactivation ou la réactivation de la fonctionnalité fonctionne-t-elle dans un forfait où un domaine est validé ?

  • Il n’y a pas d’impact direct sur la feuille, car le forfait activé la gère.
  • Les appartenances aux groupes sont mises à jour en fonction des connexions des utilisateurs, mais sont supprimées lorsque la fonctionnalité est désactivée.
  • Le partage d’éléments et l’appartenance à un groupe fonctionnent comme prévu, comme pour les forfaits activés, mais sont gérés par le biais du forfait principal activé.
     

Quel est l’impact de l’invalidation du domaine dans un forfait dont le domaine est validé ?

  • Les appartenances aux groupes des utilisateurs du domaine invalidé sont supprimées.
  • Les utilisateurs de ces domaines perdent l’accès aux éléments partagés avec les groupes IdP.
     

Y a-t-il des cas particuliers dont je dois tenir compte lors de la désactivation ou de la réactivation d’un domaine ?

  • Lorsqu’un domaine est désactivé, les lignes correspondantes de la feuille sont supprimées, mais les mises en correspondance de rôles sont conservées.
  • Si le dernier domaine d’un forfait est désactivé, la feuille est supprimée et la fonctionnalité est désactivée pour le forfait.
  • Si un domaine est réactivé, toutes les correspondances de rôles existantes sont resynchronisées avec la feuille et les utilisateurs récupèrent l’accès.