Configurare SAML per single sign-on a livello di dominio in Smartsheet

La configurazione SAML a livello di dominio consente di implementare un single sign-on (SSO) unificato per il dominio tra i piani. 

Chi può usarlo?

Piani:

  • Enterprise

Autorizzazioni:

  • Amministratore di sistema

Find out if this capability is included in Smartsheet Regions or Smartsheet Gov.

È necessario un Amministratore IT per configurare SAML per SSO con Smartsheet.

Abilitando la configurazione SAML a livello di dominio, garantisci un’esperienza di SSO coerente tra vari piani all’interno di un dominio verificato e attivato. Garantisci inoltre un processo uniforme per tutti gli utenti appartenenti a quel dominio, indipendentemente dal loro reparto o dal piano Smartsheet specifico che hai assegnato loro.

Questa funzione è presente solo nel piano Aziendale. Una volta configurata dall’Amministratore di sistema, la politica si applica a qualsiasi utente Smartsheet in quel dominio, indipendentemente dal tipo di piano.

Qualsiasi configurazione SAML esistente a livello di piano rimane funzionale per gli utenti appartenenti a quel dominio. Tuttavia, ora è possibile implementare SAML a livello di dominio. Una volta attivato SAML a livello di dominio, esso sostituisce i SAML precedenti a livello di piano per gli utenti di quel dominio.

La politica di spostamento degli utenti supporta solo configurazioni SAML a livello di piano ed è incompatibile con configurazioni SAML a livello di dominio. Il passaggio a SAML a livello di dominio non è possibile se hai già configurato una politica di spostamento degli utenti.

Prima di iniziare

Configurare SAML per l’autenticazione single sign-on in Smartsheet

  1. Vai al Centro dell’Amministratore e seleziona l’icona del menu.
  2. Vai alla scheda Impostazioni e seleziona Autenticazione.
  3. Seleziona Aggiungi un IdP SAML.
  4. Seleziona Configura su una delle seguenti opzioni:
Choose SAML IdP

Indirizzare gli utenti all’accesso con un URL CNAME breve

Smartsheet offre un URL SSO predefinito per la tua organizzazione, che funge da link diretto per l’accesso a Smartsheet. Hai la possibilità di creare un CNAME che fornisca un URL più personalizzato, fungendo da “scorciatoia” o alias per la tua pagina di accesso. In questo modo, invece di visitare l’URL Smartsheet standard, gli utenti possono accedervi con un brand, come smartsheet.latuaazienda.com.

Una volta completata la configurazione SAML preferita, vai al tuo provider DNS per creare un record CNAME. Questo record deve indirizzare il tuo URL personalizzato (ad esempiosmartsheet.latuaazienda.com) al servizio SSO Smartsheet all’indirizzosso.smartsheet.com.

Configurazione SAML basata su Okta

  1. Inserisci un nome per la tua configurazione SAML Okta nel campo Name Okta IdP (Nome IdP Okta).

  2. Copia i valori dai campi URL ACS (Assertion Consumer Service) e Audience Restriction (Entity ID) (Restrizioni pubblico (ID entità)) e incollali nei campi ACS URL e Audience URI nell’app Okta v2 di Smartsheet, rispettivamente. Questa azione serve a stabilire Smartsheet come fornitore di servizi, il che ti consentirà di ottenere metadati SAML dalla tua istanza Okta.

    Configure Okta SAML IdP
  3. Segui le istruzioni visualizzate sullo schermo per ottenere l’URL dei metadati Okta, quindi seleziona Save & Next (Salva e Avanti).
  4. Ora devi testare la tua connessione accedendo a Smartsheet utilizzando Okta. Seleziona Verify connection (Verifica connessione).
  5. Dopo aver verificato la connessione, seleziona la casella di spunta I have successfully verified the connection (Ho verificato con successo la connessione).

  6. Seleziona Save & Next (Salva e Avanti).

    Verify Okta connection
  7. Assegna i tuoi domini attivi a Okta utilizzando il campo a discesa o seleziona Add domain (Aggiungi dominio) per trovare i domini che desideri aggiungere.

  8. Seleziona Save & Next (Salva e Avanti).

    Assign active domains to Okta SAML setup
  9. Segui le istruzioni sullo schermo per creare una Bookmark App Okta, che consenta agli utenti di accedere a Smartsheet dalla home page dell’app Okta.
  10. Seleziona la casella di spunta per confermare di aver creato correttamente una Bookmark App Okta per Smartsheet.

  11. Seleziona Termina.

    create an Okta bookmark app

Configurazione SAML personalizzata

  1. Segui le istruzioni visualizzate sullo schermo per stabilire Smartsheet come relying party, quindi seleziona Next (Avanti).

    Configure custom SAML IdP
  2. Inserisci un nome per la configurazione SAML personalizzata nel campo Name SAML IdP (Assegna nome a IdP SAML).

  3. Importa i tuoi metadati IdP SAML da un file XML o da un URL pubblico che ospita un file XML fornito dall’identity provider.

    L’opzione URL XML è il metodo consigliato per importare i metadati.

  4. Seleziona Save & Next (Salva e Avanti).

    Copy IdP metadata for the custom SAML setup
  5. Ora devi testare la tua connessione accedendo a Smartsheet utilizzando il tuo IdP SAML personalizzato. Seleziona Verify connection (Verifica connessione).
  6. Dopo aver verificato la connessione, seleziona la casella di spunta I have successfully verified the connection (Ho verificato con successo la connessione).

  7. Seleziona Save & Next (Salva e Avanti).

    Verify custom IdP connection
  8. Assegna i tuoi domini attivi all’IdP SAML personalizzato utilizzando il campo a discesa o seleziona Add domain (Aggiungi dominio) per trovare i domini che desideri aggiungere.

  9. Seleziona Finish (Termina).

    Assign active domains to custom SAML IdP setup

Non puoi attivare la nuova configurazione SAML senza prima verificare la connessione IdP SAML.

Informazioni sulle attuali configurazioni SAML a livello di piano

  • Se non disponi di una configurazione SAML a livello di piano o non conosci Smartsheet, puoi configurare SAML solo a livello di dominio. Se hai ancora bisogno di SAML a livello di piano, contatta il tuo Customer Success Manager (CSM) per assistenza con la tua richiesta.
  • Le attuali configurazioni SAML a livello di piano o di dominio rimangono funzionali per gli utenti appartenenti a un dominio fino alla scadenza del certificato SAML di Smartsheet. Per saperne di più sulla scadenza dei certificati.
  • Nel Centro dell’Amministratore viene visualizzato un messaggio di avviso, che ti informa del numero di giorni rimasti prima della scadenza delle attuali configurazioni SAML a livello di piano.
  • Nei casi in cui esistono configurazioni SAML sia a livello di piano che a livello di dominio, la configurazione a livello di dominio ha la precedenza e sostituisce qualsiasi configurazione esistente a livello di piano per gli utenti all’interno di tale dominio.
  • Se un piano offre metodi di accesso come e-mail e password, Google SSO o SAML, e un piano Aziendale configura SAML a livello di dominio per un determinato dominio, gli utenti di quel dominio continuano a visualizzare le stesse opzioni di accesso. Inoltre, hanno anche accesso al SAML a livello di dominio appena configurato, indipendentemente dal tipo di piano.

Tieni presente quanto segue

Il piano Aziendale che ha convalidato e attivato il dominio è l’unico in grado di configurare e applicare le impostazioni SAML a livello di dominio, che interessano tutti gli utenti all’interno di quel dominio.

Tuttavia, se altri piani Aziendali hanno convalidato lo stesso dominio, hanno anche la possibilità di configurare una bozza di configurazione SAML a livello di dominio. Tuttavia, non possono applicare le impostazioni poiché non sono stati loro ad aver attivato il dominio.

Posso usare Google SSO o Entra ID SSO con la configurazione SAML a livello di dominio?

Inizialmente, solo SAML sarà disponibile per la configurazione a livello di dominio. Consentiremo l’impostazione della politica di accesso di Google SSO/Entra ID SSO a livello di dominio in un secondo momento.
 

Cosa devo fare se riscontro problemi durante la transizione a SAML a livello di dominio?

Contatta l’Assistenza Smartsheet per assistenza in caso di problemi durante la transizione.

Come posso tornare alle impostazioni di SSO a livello di piano, se necessario?

Dopo la transizione alla configurazione SAML a livello di dominio, non è possibile ripristinare le impostazioni di SSO a livello di piano. Assicurati di essere pronto per questa modifica prima dell’implementazione.

Il passaggio alla configurazione SAML a livello di dominio comporta costi aggiuntivi?

No. Non ci sono costi aggiuntivi per l’abilitazione della configurazione SAML a livello di dominio; è inclusa nel tuo piano Smartsheet Aziendale esistente.

Posso avere configurazioni di SAML diverse per domini diversi?

Sì. Puoi configurare impostazioni SAML diverse per ogni dominio convalidato e attivato. Questa flessibilità consente impostazioni di sicurezza personalizzate in vari segmenti del piano.

In che modo questa modifica influirà sull’esperienza di accesso dei miei utenti attuali?

Una volta che SAML a livello di dominio è stato configurato per un dominio convalidato e attivato da un Amministratore di sistema su un piano Aziendale, tutti gli utenti appartenenti a quel dominio, indipendentemente dal tipo di piano, saranno soggetti al metodo di accesso SAML prescritto. Tuttavia, tutte le altre configurazioni a livello di piano (come Google SSO, Entra ID SSO, e-mail e password e così via) saranno ancora disponibili per gli utenti finali appartenenti a tale piano.

Cosa succede alle sessioni utente esistenti quando viene attivata la configurazione SAML a livello di dominio?

Le sessioni esistenti dovrebbero rimanere inalterate. Tuttavia, una volta che un utente si disconnette, dovrà accedere nuovamente utilizzando la nuova configurazione SAML a livello di dominio.

Posso implementare gradualmente la configurazione di SAML a livello di dominio nel mio piano?

La configurazione viene applicata a livello di dominio, quindi è più adatta per un’implementazione su vasta scala piuttosto che per un approccio graduale. 

Posso abilitare la configurazione SAML a livello di dominio su più piani Aziendali?

Solo il piano Aziendale che ha convalidato e attivato il dominio può configurare i criteri di SAML del dominio per tutti gli utenti e i piani appartenenti a tale dominio.

Posso impostare una politica di spostamento degli utenti sfruttando SAML a livello di dominio?

No. La politica di spostamento degli utenti non è compatibile con le configurazioni SAML a livello di dominio.