S’applique à
- Business
- Enterprise
Fonctionnalités
Qui peut utiliser cette fonctionnalité ?
- Administrateur système
Configurer Azure pour OIDC ou SAML au niveau du forfait avec Smartsheet
Vous pouvez utiliser Azure pour l’authentification unique (SSO) avec Smartsheet de deux manières. Les deux méthodes sont efficaces.
Qui peut l’utiliser ?
Forfaits :
- Business
- Enterprise
Autorisations :
- Administrateur système
Découvrez si cette fonctionnalité est incluse dans Régions Smartsheet ou Smartsheet pour le secteur public.
Dans les deux configurations, Azure contrôle vos paramètres d’authentification Azure. Azure gère toutes les politiques et tous les ajustements de paramètres SSO, pas Smartsheet.
- Open ID Connect (OIDC) : utilisez le bouton Microsoft intégré et l’application d’entreprise correspondante dans Azure (3290e3f7-d3ac-4165-bcef-cf4874fc4270). Pour vous limiter uniquement à Azure, utilisez les paramètres d’authentification de Smartsheet.
- SAML : créez une nouvelle application d’entreprise pour Smartsheet dans Azure et configurez la configuration SAML et l’attribution d’utilisateurs directement dans l’application. Cette méthode offre un meilleur contrôle sur les attributs d’utilisateur spécifiques.
Smartsheet propose le provisionnement SCIM avec le service de provisionnement Azure, mais ce n’est pas requis pour l’authentification unique.
Gardez à l’esprit qu’Azure pour OIDC ou SAML est une configuration au niveau du forfait.
Configurer la SSO avec OIDC
- Dans les applications d’entreprise Azure, recherchez ou accédez à l’application Smartsheet Enterprise prédéfinie (ID 3290e3f7-d3ac-4165-bcef-cf4874fc4270).
- Vérifiez les paramètres d’Azure, tels que la visibilité pour les utilisateurs et l’affectation requise. User.read est la seule autorisation requise utilisée par Smartsheet.
- Activez et testez l’option Microsoft Azure AD dans les paramètres d’authentification de Smartsheet.
- Lorsque le test est concluant, communiquez la modification à vos utilisateurs et désactivez toute autre option d’authentification.
Configurer Azure pour SAML avec Smartsheet
Si vous avez besoin d’un meilleur contrôle des informations de connexion, configurez SAML avec Azure en tant que fournisseur d’identité (IdP). Comme pour OIDC, la plupart des changements de configuration ont lieu dans Azure, et non dans Smartsheet.
Lorsque vous paramétrez une configuration SAML entre Smartsheet et Azure AD, les utilisateurs voient le bouton Votre compte d’entreprise sur l’écran de connexion de Smartsheet.
Vous devez être administrateur système sur Smartsheet et Azure pour configurer Azure pour OIDC ou SAML avec Smartsheet
Pour configurer Azure AD avec SAML :
Vous ne pouvez pas configurer SAML sur l’application de galerie appartenant à Smartsheet (ID 329..) dans Azure. L’application intégrée offre un contrôle sur la SSO OIDC comme autre option. Pour configurer SAML dans Azure, créez une nouvelle application d’entreprise comme suit :
Dans la configuration SAML de base, saisissez les éléments suivants :
- Entity ID (ID d’entité) : https://sso.smartsheet.com/saml
- Reply URL (URL de réponse) : https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
- Sign-on URL (URL de connexion) : https://app.smartsheet.com/b/home
Dans User Attributes & Claims (Attributs utilisateur et revendications), Azure fournit les valeurs par défaut suivantes :
- Unique User Identifier (ID d’utilisateur unique): user.userprincipalname
- Email address (Adresse e-mail) : user.mail
- Name (Nom) : user-userprincipalname
La Additional Claim of Name (revendication de nom supplémentaire) par défaut user-userprincipalname provoque une erreur inattendue. Supprimez-la pour que SAML fonctionne via Azure.
Sous SAML signing certificate (Certificat de signature SAML) :
- Assurez-vous que le Status (état) indique Active (Actif)
- Confirmez votre adresse e-mail de notification. Vous recevez une notification sur cette adresse e-mail lorsque la date d’expiration du certificat approche.
- Téléchargez le fichier XML de métadonnées de fédération et ouvrez-le dans Bloc-notes ou dans un autre éditeur de texte brut.
- Dans le panneau de gauche, sous la section Manage (Gérer), sélectionnez Properties (Propriétés) et faites défiler vers le bas pour désactiver User assignment required? (Affectation d’utilisateur requise ?) La désactivation de cette fonctionnalité facilite les tests, et les utilisateurs sont déjà gérés dans la liste des utilisateurs de Smartsheet.
- Connectez-vous au centre d’administration et sélectionnez Authentication (Authentification) > SAML.
- Sélectionnez Edit Configuration (Modifier la configuration) à côté de SAML puis Add IdP (Ajouter un IdP).
- Nommez l’IdP (par exemple, AzureSAML) et collez les métadonnées téléchargées. Enregistrez vos modifications.
- Dans la fenêtre Edit IdP (Modifier l’IdP), sélectionnez Activate (Activer).
- Fermer les fenêtres Edit IdP (Modifier l’IdP) et SAML Administration (Administration SAML).
- Dans la fenêtre Authentication (Authentification), sélectionnez SAML.
- Enregistrez vos modifications.
Le bouton Company Account (Compte d’entreprise) pour une connexion via SAML devrait apparaître sur l’écran de connexion. L’IdP que vous venez de créer pour Azure SAML fournit une URL SSO en tant que raccourci vers SAML.
Définir votre méthode SSO dans le centre d’administration de Smartsheet
- Dans la barre de navigation de gauche, sélectionnez Account (Compte).
- Dans le menu Account (Compte), sélectionnez Admin Center (Centre d’administration).
- Sélectionnez Security/Safe Sharing List (Sécurité/Liste de partage sécurisé). Pour plus d’informations sur les autres options de cette page, consultez nos contrôles de sécurité.
- Dans la section Authentication (Authentification), sélectionnez Edit (Modifier).
- Sélectionnez les options d’authentification souhaitées. Vous devez en sélectionner au moins une.
Puis-je utiliser une seule application d’entreprise Azure pour activer l’authentification unique pour plusieurs listes d’utilisateurs Smartsheet ?
Oui, Smartsheet vous permet d’utiliser le même identifiant d’entité sur plusieurs listes d’utilisateurs.
Puis-je modifier les attributs utilisateur ou les revendications dans la SSO par bouton « Microsoft » OIDC « intégré » ?
Non. Utilisez SAML pour contrôler les valeurs spécifiques de l’expérience SSO.
Puis-je configurer des exceptions ou un regroupement pour appliquer différentes expériences de connexion à différents ensembles d’utilisateurs ?
Non, la seule exception concerne l’option de secours via e-mail et mot de passe pour les administrateurs système sous SAML.
Azure SSO affecte-t-il les utilisateurs Smartsheet externes ?
Seuls les utilisateurs figurant sur la liste des utilisateurs Smartsheet avec Azure SSO activé sont affectés par les modifications apportées aux paramètres d’authentification, incluant Azure SSO. Seuls les utilisateurs gérés invités par un administrateur système ou provisionnés par Smartsheet peuvent se connecter via SSO.
Comment tenir compte des nouveaux utilisateurs après l’activation de l’authentification unique ?
Utilisez le provisionnement automatique des utilisateurs (UAP) intégré à Smartsheet pour votre domaine. Vous pouvez également utiliser le SCIM d’Azure. La configuration SCIM d’Azure est un processus complexe. Commencez donc par l’UAP de Smartsheet. Vous constaterez peut-être qu’il répond à vos besoins.