Imposta SAML 2 per l’autenticazione singola in Smartsheet

Se la tua organizzazione utilizza lo standard Security Assertion Markup Language (SAML) per l’autenticazione all’accesso, puoi configurare Smartsheet per l’accesso attraverso un provider Single Sign-On (SSO) supportato. Dopo che SSO viene configurato in un account a livello aziendale, chiunque sull’account può utilizzare l’opzione Il tuo account aziendale per eseguire l’accesso con le credenziali aziendali.

Se stai cercando di configurare SAML 2 per SSO con l’ambiente Smartsheet per il governo U.S.A., esistono dei requisiti e delle impostazioni diverse che devi applicare per configurare correttamente SAML 2 SSO. Tenere a mente le informazioni in questo articoli della guida durante la configurazione.

Chi può utilizzare questa funzionalità?

Autorizzazioni ruolo Un Amministratore di sistema e un Amministratore IT posso configurare SAML 2 per SSO con Smartsheet
tipo di piano Account Smartsheet Aziendale e Premier

Questa è una guida da utilizzare in maniera autonoma per configurare SAML e le fasi di funzionalità e di configurazione descritte in questo articolo richiedono la conoscenza sia di SAML 2 che di SSO. Per assistenza in questa configurazione, potresti aver bisogno di consultare una risorsa tecnica presso la tua organizzazione.

Provider SSO supportati

Smartsheet attualmente supporta i seguenti IdP (compliant identity providers ) SAML 2:

  • OneLogin
  • ADFS
  • Azure Active Directory
  • Shibboleth
  • PingIdentity
  • Okta
  • Smartsheet supporta solo SSO avviato da SP; SSO avviato da IdP non è supportato.
  • Puoi utilizzare più identity providers (IdP) SSO contemporaneamente.

Cosa è necessario per configurare Smatsheet con il tuo Identity Provider

I metadati Smartsheet , forniti qui: www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata.xml 

Utilizzando i metadati forniti, configura un Utilizzatore del certificato all’interno del tuo Identity Provider. I dettagli su come effettuare questa operazione sono specifici per il tuo Identity Provider; consulta la documentazione del tuo Identity Provider per ulteriori dettagli.

A causa delle vulnerabilità della sicurezza, l’algoritmo del certificato SHA1 è stato disapprovato. Devi assicurarti di non utilizzare più utilizzando un certificato SSL che viene firmato utilizzando SHA1

Smartsheet richiede che gli attributi seguenti siano rispettati nel corso del processo di scambio SAML:

  • ID persistente:urn:oasis:names:tc:SAML:2.0:nameid‑format:persistent 
  • Indirizzo e-mail: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • La prima asserzione deve contenere un ID costante uguale per tutti gli utenti ogni qualvolta essi eseguano l’accesso. Il tuo indirizzo e-mail può essere un ID persistente, ma il claim dell’indirizzo e-mail deve sempre essere utilizzato nel processo di asserzione. Per un esempio di asserzione e un elenco completo dei nostri formati di claim supportati, vedi l’articolo Configurazione ed esempi di claim per SAML in Smartsheet.
  • L’ID persistente può essere definito nell’elemento NameID (oggetto) dell’asserzione (vedere Claim supportati).
  • Se l’asserzione non presenta un elemento NameID (oggetto), puoi utilizzare uno degli attributi definiti nell’articolo Claim supportati.

I seguenti attributi sono consigliati, ma opzionali:

  • Nome: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
  • Cognome: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

Come indicato dal loro nome, il primo attributo rappresenta il nome dell'utente dell’account, mentre il secondo il cognome dello stesso.

Alcuni servizi SAML potrebbero richiedere ulteriori informazioni quando vengono configurati con Smartsheet.

  • URL DI ACS (Assertion Consumer Service): https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST 
  • Limitazione di destinatari: https://sso.smartsheet.com/saml

Configurazione di Smartsheet.com per l'utilizzo con Identity Provider (IdP) SAML

Prima di procedere, assicurati di soddisfare i requisiti per configurare SSO basato su SAML per il tuo account.

Apri il modulo Amministrazione di SAML

Ecco come stabilire una connessione tra l’IdP e Smartsheet:

  1. Seleziona Account > Amministrazione account > Controllo di sicurezza​.
     
  2. Nel modulo Controlli di sicurezza, seleziona Modifica​ nella sezione Autenticazione.
    controlli di sicurezza
     
  3. Nel modulo Autenticazione, fai clic su non configurato accanto a SAML.

    saml-non-configurato

Dopo aver selezionato non configurato, appare il modulo Amministrazione SAML. In questo modulo, puoi configurato SAML con uno o più Identity Provider.

Configurare SSO con il tuo Identity Provider

Per configurare SSO con il tuo Identity Provider (IdP) :

  1. Apri il modulo Amministrazione di SAML e selezionare Aggiungi IdP.

    aggiungi-idp
  2. Fornire un nickname per il tuo IdP.
  3. Ottieni i metadati IdP, quindi copiali e incollali nel campo di testo Metadati IdP. Per capire come ottenerli, consulta la documentazione dell'Identity Provider.
    metadati-idp
  4. Fai clic su Salva. Smartsheet convaliderà i metadati.

    Se la convalida è corretta, appare il modulo Modifica IdP. Se ricevi un errore, consulta l’articolo Domande frequenti ed errori comuni di SAML.

    SUGGERIMENTO: Puoi aggiungere un CNAME che indirizzerà le persone a un URL intuitivo al momento dell’accesso. Per ulteriori informazioni, consulta la sezione CNAME
     
  5. Fai clic su Attiva ​per abilitare l’IdP per l’uso con Smartsheet. Lo stato IdP cambierà da Inattivo ad Attivo, Predefinito.
    attiva-idp
  6. Nel modulo Autenticazione, seleziona la casella SAML ​per abilitare SAML per la tua organizzazione. Tieni presente che è necessario che sia attivato almeno un IdP per abilitare SAML.
    saml-abilitato
  7. Clicca su Salva.

Ecco fatto! Ora le persone nel tuo account possono utilizzare le credenziali aziendali per accedere a Smartsheet.

Configurare ulteriori IdP

Sebbene la maggior parte delle organizzazioni necessiti solo di un singolo IdP attivo, non esiste un limite al numero di IdP che è possibile aggiungere.

Per modificare o aggiungere IdP, fai clic su modifica configurazione accanto alla casella di spunta SAML. Appare il modulo Amministrazione SAML che permette di aggiungere ulteriori IdP o di modificare quelli esistenti già configurati.

Se hai più di un IdP attivo, le persone che eseguono l’accesso tramite SAML eseguiranno l’autenticazione rispetto all’dP predefinito. Per rendere un IdP predefinito, fai clic su Rendi predefinito nel modulo Modulo IdP.

amministrazione-saml--idp-multipli

Indirizzare le persone all’accesso a un URL CNAME intuitivo

Smartsheet fornisce l’URL SSO predefinito per la tua organizzazione, un link per accedere in un solo passaggio a Smartsheet. È possibile aggiungere un CNAME con un URL più intuitivo, più specifico dell’azienda.

Non digitare sso.smartsheet.com nel campo CNAME del modulo Modifica IdP, poiché ciò causerà problemi di accesso. Piuttosto, utilizzare un CNAME creato dalla tua azienda e fare in modo che punti a sso.smartsheet.com.

  1. Creare un record CNAME DNS nel tuo dominio e fare in modo che punti a sso.smartsheet.com. Ad esempio, "smartsheet.example.org IN CNAME sso.smartsheet.com" 
  2. Nel modulo Modifica IdP , inserire il CNAME e fare clic su Aggiungi. 

    NOTA: L’autenticazione dell’indirizzo CNAME potrebbe richiedere fino a un’ora.

    cname

Per impedire a un utente nell’organizzazione di accedere a Smartsheet, la sola disabilitazione del suo accesso SSO non è sufficiente. Per impedire completamente a un utente di accedere a Smartsheet, devi rimuovere completamente l’utente dall’account Smartsheet dell’organizzazione. A questo scopo, consulta “Rimozione degli utenti” in Gestione degli utenti su un piano multi-utente.

Stati diversi della configurazione SAML 

SAML sarà in uno dei seguenti stati:

  • Non configurato​—Nessuno IdP attivo
  • Disabilitato​—Almeno un IdP attivo, e SAML non è selezionato sul modulo Autenticazione
  • Abilitato​—Almeno un IdP attivo, e SAML è selezionato sul modulo Autenticazione Il tuo IdP sarà in uno dei seguenti stati:
    • Non configurato​—Il certificato di sicurezza è scaduto
    • Inattivo​—Metadati validi, certificato di sicurezza valido
    • Attivo​—Metadati validi, certificato di sicurezza valido, nessuna condivisione dell’ID dell’entità con un altro IdP attivo nel tuo account, e attivato