Configurazione di SAML 2 per l'autenticazione Single Sign-On a Smartsheet

Quando configuri un SSO basato su SAML con Smartsheet 

Dovrai effettuare le seguenti operazioni: 

• Configura l'Identity Provider (IdP) della tua organizzazione per comunicare con Smartsheet. 
• Aggiungi un record al Domain Name System (DNS) della tua organizzazione.
  • Per assistenza nella configurazione e nella gestione di questa funzione, potresti aver bisogno di consultare una risorsa tecnica interna.

Per configurare correttamente SAML 2 SSO con Smartsheet per il governo degli Stati Uniti, è necessario applicare alcuni requisiti e impostazioni.

Tieni presenti queste informazioni

• Smartsheet supporta gli SSO creati dai provider di servizi. Se stai configurando un SSO creato da provider di identità (IdP), contatta tale provider.
• Puoi utilizzare contemporaneamente più di un IdP di SSO.

Occorrente per configurare Smartsheet con l'IdP

• I clienti residenti negli Stati Uniti devono utilizzare i metadati Smartsheet qui indicati: www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata.xml 
• I clienti residenti nell'Unione Europea devono utilizzare i metadati Smartsheet qui indicati: www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata-eu.xml

Utilizzando i metadati forniti, configura un Utilizzatore del certificato all’interno del tuo IdP. La procedura di configurazione di un Utilizzatore del certificato può variare per ciascun IdP. Consulta la documentazione del tuo IdP per ulteriori informazioni.

A causa delle vulnerabilità della sicurezza, l’algoritmo del certificato SHA1 è stato dichiarato obsoleto. Verifica di non utilizzare un certificato SSL che viene firmato con SHA1.

Processo di scambio SAML 

Smartsheet richiede i seguenti attributi nel processo di scambio SAML:

• ID persistente: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent 
• Indirizzo e-mail: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Tieni presenti queste informazioni

• La prima asserzione deve contenere un ID persistente uguale per tutti gli utenti ogni qualvolta essi eseguano l’accesso. Il tuo indirizzo e-mail può essere un ID persistente, ma il claim dell'indirizzo e-mail deve sempre essere utilizzato nel processo di asserzione. I claim via e-mail devono essere tutti minuscoli. Per un esempio di asserzione e un elenco completo dei formati di claim supportati da Smartsheet, vedi l'articolo Asserzione SAML: Esempi di claim supportati in Smartsheet.
• L'ID persistente può essere definito nell'elemento NameID (oggetto) dell'asserzione.
• Se l'asserzione non presenta un elemento NameID (oggetto), puoi utilizzare uno degli attributi definiti nell'articolo Claim supportati.
  • Assicurati di rimuovere il claim attributo http://schemas.xmlsoap.org/ws/2005/05/identity/claims/Name dagli attributi prepopolati in Azure.

I seguenti attributi sono consigliati, ma opzionali: 

• Nome: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname 
  • Questo rappresenta il nome dell'utente.
• Cognome: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname 
  • Questo rappresenta il cognome dell'utente.

Alcuni servizi SAML potrebbero richiedere ulteriori informazioni quando vengono configurati con Smartsheet. 

• URL di ACS (Assertion Consumer Service): https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST 
  Su account dell'Unione Europea, utilizza https://sso.smartsheet.eu/Shibboleth.sso/SAML2/POST
• Limitazione di destinatari: https://sso.smartsheet.com/saml
  Su account dell'Unione Europea, utilizza https://sso.smartsheet.eu/saml

Inserisci gli indirizzi e-mail usando lettere minuscole. Le lettere maiuscole possono interferire con la corrispondenza delle e-mail tra il tuo provider SAML e Smartsheet.

Configurare Smartsheet.com per l'uso con IdP SAML

Prima di procedere, verifica di soddisfare i requisiti per configurare un SSO basato su SAML per il tuo account.

Aprire il modulo Amministrazione SAML

Ecco come stabilire una connessione tra l’IdP e Smartsheet:

1. Sulla barra di navigazione sinistra, seleziona Account. 
2. Nel menu Account, seleziona Informazioni sul piano e la fatturazione.
3. Nel modulo Amministrazione account, seleziona Controlli di sicurezza. 
4. Nella sezione Autenticazione, seleziona Modifica.
   
5. Seleziona non configurato.
   

Dopo aver eseguito questi passaggi, verrà visualizzato il modulo Amministrazione SAML.

Configurare SSO con il tuo IdP

Segui questi passaggi per configurare SAML con uno o più IdP:

1. Seleziona Aggiungi IdP.
   
   
2. Inserisci un nome alternativo per il tuo IdP. 
3. Ottieni i metadati IdP; quindi copiali.
   Per capire come ottenere i metadati IdP, consulta la documentazione dell'IdP.
4. Nella casella di testo Metadati IdP, incolla i Metadati IdP. 
   
5. Copia l'URL di SSO; quindi incollalo nel tuo IdP.
6. Seleziona Salva​.
   • Dopo aver salvato le modifiche apportate, Smartsheet convaliderà i metadati.
     Se la convalida è corretta, viene visualizzato il modulo Modifica IdP ​. Se ricevi un errore, consulta l’articolo Domande frequenti ed errori comuni di SAML.
     Puoi aggiungere un CNAME che indirizzerà le persone a un URL intuitivo quando eseguono l’accesso. Per ulteriori informazioni, consulta la sezione Indirizzare gli utenti all'accesso con un URL CNAME breve di seguito.
7. Seleziona Attiva per abilitare l'IdP per l'uso con Smartsheet. Lo stato IdP cambierà da Inattivo ad Attivo, Predefinito.
8. Nel modulo​Autenticazione, seleziona la casella SAML per abilitare SAML per la tua organizzazione. 
   È necessario che sia attivato almeno un IdP per abilitare SAML
   
9. Seleziona Salva.

Ecco fatto! Ora gli utenti nel tuo account possono utilizzare le credenziali aziendali per accedere a Smartsheet.

Configurare ulteriori IdP

Sebbene la maggior parte delle organizzazioni necessiti solo di un singolo IdP attivo, non esiste un limite al numero di IdP che è possibile aggiungere.

Per modificare o aggiungere degli IdP, seleziona modifica configurazione accanto alla casella di spunta SAML. Viene visualizzato il modulo Amministrazione SAML che permette di aggiungere ulteriori IdP o modificare quelli esistenti già configurati

Se hai più di un IdP attivo, gli utenti che eseguono l'accesso tramite SAML eseguiranno l'autenticazione con l'IdP predefinito. Per rendere un IdP predefinito, nel modulo Modifica IdP ​, seleziona Rendi predefinito.

Indirizzare gli utenti all'accesso con un URL CNAME breve

Smartsheet fornisce l'URL SSO predefinito​ per la tua organizzazione, ossia un link­per accedere in un solo passaggio a Smartsheet. Potresti voler aggiungere un CNAME con un URL breve e più specifico dell'azienda.

Non digitare sso.smartsheet.com nel campo CNAME del modulo Modifica IdP, poiché ciò causerà problemi di accesso. Utilizza piuttosto un CNAME creato dall'azienda e fai in modo che punti a sso.smartsheet.com.

1. Nel tuo dominio, crea un record DNS CNAME e puntalo a sso.smartsheet.com. Ad esempio, smartsheet.example.org IN CNAME sso.smartsheet.com.
2. Nel modulo Modifica IdP,​inserisci il CNAME. 
3. Seleziona Aggiungi​. 
   L’autenticazione dell’indirizzo CNAME potrebbe richiedere fino a un’ora.​​​

   

Rimuovere l'accesso SSO di un utente da solo non è sufficiente per impedirgli di accedere a Smartsheet. Per impedire del tutto a un utente di accedere a Smartsheet, devi eliminare completamente l'utente dall'account Smartsheet dell'organizzazione.

Stati diversi della configurazione SAML 

SAML sarà in uno dei seguenti stati:

• Non configurato​: non sono presenti IdP attivi. 
• Disabilitato​: è presente almeno un IdP attivo. Inoltre, nel modulo Autenticazione, la casella di spunta SAML non è selezionata.
• Abilitato​: è presente almeno un IdP attivo. Inoltre, nel modulo Autenticazione, la casella di controllo SAML è selezionata. Il tuo IdP sarà in uno dei seguenti stati:
  • Non configurato​: il certificato di sicurezza è scaduto 
  • Inattivo​: metadati validi, certificato di sicurezza valido 
  • Attivo​: metadati validi, certificato di sicurezza valido, senza alcuna condivisione dell'entity ID con un altro IdP attivo nel tuo account, e attivato