Autenticazione singola (SSO) per Resource Management

Resource Management fornisce l'accesso SSO usando il protocollo SAML 2.0, che funziona con tutti i principali provider, tra cui ADFS, Azure AD, OKTA e Google. Resource Management supporta attualmente solo il profilo SSO del browser Web. L'autenticazione singola avviata dal provider di identità (IdP) non è supportata.

Prima di iniziare

In primo luogo, crea o nomina un account utente che utilizzi un nome utente e una password (anziché l'SSO) per accedere. 

Questo account fornisce una strategia di backup nel caso in cui vengano apportate modifiche alla configurazione SSO e gli utenti abilitati tramite SSO non siano più in grado di accedere.

L'account di backup consente di effettuare l'accesso in caso di errore durante l'accesso SSO. Se non disponi di un account di backup, potresti non essere in grado di accedere.

Configurazione dell'SSO per l'account

Per eseguire la migrazione del provider di identità SSO a https://rm.smartsheet.com,

assicurati che un amministratore confermi queste modifiche nella pagina Impostazioni account > SSO configuration immediatamente dopo l'aggiornamento del provider di identità.

1. Tramite il tuo provider di identità (IdP) SSO, configura Resource Management come app (entità di autorizzazione) utilizzando i valori di configurazione SSO pertinenti da https://rm.smartsheet.com/saml/metadata.
   
   URL ACS: https://rm.smartsheet.com/saml/acs
   EntityID (destinatari): https://rm.smartsheet.com/saml/metadata
   ID nome: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
2. Accedi a https://rm.smartsheet.com come amministratore. Passa a https://rm.smartsheet.com/settings e clicca sulla sezione SSO. Se l'SSO non è stato ancora abilitato, clicca su Imposta SSO, altrimenti clicca su Modifica.
3. Aggiungi l'URL ai metadati IdP. Scegli una delle due modalità di configurazione disponibili: automatica o manuale.
   • Configurazione automatica: inserisci l'URL dei metadati fornito dall'IdP. I metadati forniti dall'IdP forniranno l'URL di autenticazione singola (SSO), l'Entity ID e il file del certificato x.509 richiesti da Resource Management. La configurazione automatica (consigliata) è più semplice da effettuare rispetto a quella manuale e non richiede l'estrazione e il caricamento di un certificato.  In Resource Management la modalità di configurazione SSO automatica richiama dinamicamente i certificati più recenti e gli URL di autenticazione quando gli utenti accedono a Resource Management. Questa modalità supporta anche scenari in cui sono presenti più certificati associati all'applicazione SSO (ovvero la rotazione regolare dei certificati). Il tuo provider di identità deve fornire un URL di metadati pubblicamente disponibile come XML.
   • Configurazione manuale: inserisci il certificato di firma SAML 2.0 e gli URL.
     
     Usa questa opzione se il tuo IdP non fornisce un URL di metadati pubblicamente disponibile, se l'XML dei metadati è incompleto/non corretto e/o l'organizzazione non è favorevole alle impostazioni modificabili. Ottenere il certificato x.509, l'URL di destinazione per l'autenticazione SSO e l'URL di destinazione per il logout dal tuo IdP. Se non sei sicuro di quali URL siano necessari, contatta il tuo reparto IT o l'amministratore IdP per assistenza. Il certificato di firma SAML 2.0 deve essere codificato con PEM. La codifica DER non è supportata.
     

4. Seleziona l'opzione Utenti autenticati tramite provisioning automatico non presenti nell'account se desideri consentire agli utenti di saltare il processo di invito.
Quando si seleziona questa casella di spunta, non è necessario che i nuovi utenti accettino un invito per partecipare all'applicazione. Sarà sufficiente semplicemente visitare la pagina di accesso e inserire il proprio indirizzo e-mail, quindi verranno riconosciuti come utenti nel sistema e avranno la possibilità di accedere al tuo account aziendale.
Questa casella di spunta del provisioning automatico non effettua automaticamente il provisioning dei nuovi account utente. I nuovi account utente devono essere creati tramite l'applicazione. 

5. Clicca su Salva.

Attributi obbligatori

Affinché l'autenticazione di accesso abbia esito positivo, è necessario inoltrare a Resource Management una richiesta di NameID con il formato dell'indirizzo e-mail. Il formato richiesto per l'identificativo del nome fornito dal provider di identità è:

urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Dopo la configurazione

Dopo aver effettuato l'accesso con SSO, l'uente non potrà più accedere con un nome utente e una password, e il suo indirizzo e-mail del profilo sarà bloccato nell'applicazione. Per aggiornare la sua e-mail di accesso, contattaci per ricevere assistenza.

Se l'SSO in Resource Management è impostato sulla modalità di configurazione manuale e devi apportare modifiche alle impostazioni SSO nell'applicazione, attiva prima la Configurazione automatica adottando la procedura descritta sopra. Una volta che l'SSO è stato impostato su Automatico, Resource Management rileverà automaticamente le modifiche alla configurazione SSO dell'IdP. 

Se si usa la modalità Configurazione manuale e si apportano modifiche alla configurazione SSO, è opportuno procedere con cautela. Prima di apportare modifiche alla configurazione SSO attiva, assicurati di avere almeno un utente amministrativo all'interno della tua organizzazione che non acceda con SSO e che disponga ancora di un nome utente/password di accesso. Ciò ti consentirà di accedere con quel profilo nel caso in cui sia necessario ripristinare le modifiche.

Dopo aver abilitato l'SSO per la tua organizzazione, per accedere con nome utente e password, clicca sul collegamento con l'etichetta Accedi usando la tua password di Resource Management.

In caso di problemi, contatta il team di assistenza qui.

Terminologia comune