Applica a
- Enterprise
Funzionalità
Chi può utilizzare questa funzionalità?
- Amministratore di sistema
Interfaccia di amministrazione: configurare l'accesso gestito da IdP
Con l'accesso gestito da Identity Provider ( IdP ), puoi controllare efficacemente l'accesso degli utenti e le autorizzazioni all'interno di Smartsheet utilizzando i gruppi basati sui ruoli definiti nella tua IdP. Ciò non solo migliora la sicurezza, ma semplifica anche la gestione degli accessi, integrandosi perfettamente con l'attuale sistema di IdP.
Chi può usarlo?
Piani:
- Enterprise
Autorizzazioni:
- Amministratore di sistema
Scopri se questa funzionalità è inclusa in Smartsheet Regions o Smartsheet Gov.
Panoramica
L'integrazione della gestione degli accessi basata sui ruoli con un IdP consente aggiornamenti automatici delle autorizzazioni quando i ruoli cambiano all'interno dell'azienda. In questo modo si elimina la necessità di aggiornare l'accesso agli elementi Smartsheet manualmente, dispendioso e dispendioso in termini di tempo, quando un dipendente passa a un altro team.
Ad esempio, se un dipendente passa da un ruolo finanziario a un ruolo di marketing, la tua organizzazione non ha bisogno di rimuovere manualmente il suo accesso agli elementi relativi alla finanza e concedere l'accesso a quelli di marketing. Ciò può spesso portare a lacune nella sicurezza, poiché qualsiasi ritardo nella rimozione dell'accesso alle informazioni sensibili di un ruolo precedente aumenta il rischio di accesso non autorizzato.
Con l'accesso gestito da IdP, i ruoli utente vengono sincronizzati automaticamente tra IdP ruoli definiti nel tuo provider di identità (come l'ID Okta o Microsoft Entra) e IdP gruppi basati sui ruoli in Smartsheet, garantendo una corrispondenza diretta tra i ruoli in entrambi i sistemi.
Prerequisiti
- Configurazione dei SAML a livello di dominio: Security Assertion Markup Language (SAML) è necessario per assegnare l'accesso e le autorizzazioni utilizzando gruppi basati su domini IdP ruoli. Gli amministratori di sistema devono assicurarsi che la SAML SSO a livello di dominio sia configurata per abilitare l'accesso gestito da IdP. Questo perché quando un utente accede a Smartsheet utilizzando SAML login, SAML condivide il ruolo IdP dell'utente da IdP a Smartsheet in tempo reale.
- Configurazione IdP specifica: a seconda del sistema IdP che utilizzi, segui le istruzioni riportate di seguito per assicurarti che i ruoli utente nel tuo IdP sincronizzati correttamente con Smartsheet:
- Istruzioni specifiche per Okta
- Istruzioni specifiche per l'ID Entra (precedentemente noto come Azure AD)
- Altri IdP
Tieni presente quanto segue
- Piani aziendali: gli amministratori di sistema dei piani in cui un dominio è stato convalidato possono attivare o disattivare l'accesso gestito da IdP per i propri piani tramite l'interfaccia di amministrazione, consentendo loro di gestire l'accesso degli utenti tramite i loro IdP gruppi basati sui ruoli.
- Famiglie di EPM: solo gli amministratori di sistema del piano principale Enterprise Plan Manager (EPM) hanno la possibilità di attivare o disattivare questa funzione. Gli amministratori di sistema dei piani bambini nelle famiglie EPM ereditano le impostazioni dal piano principale e hanno accesso in sola lettura. Non possono creare, modificare o rimuovere IdP gruppi basati sui ruoli nel loro piano.
Attivare l'accesso gestito da IdP
- NelCentro dell’Amministratore, seleziona l’icona Menunell’angolo superiore sinistro.
Passare a Impostazioni > IdP Accesso gestito.
Brandfolder ImageAttivare l'interruttore IdP Accesso gestito.
Brandfolder Image
Quando attivi la funzionalità IdP Accesso gestito, viene generato automaticamente il foglio di accesso gestito da IdP e lo condivide con tutti gli amministratori di sistema correnti del piano. Se necessario, gli amministratori di sistema possono condividerlo con altri amministratori di sistema come farebbero con qualsiasi altro foglio.
È inoltre possibile accedere alla pagina IdP Accesso gestito dalla scheda Sicurezza nella home page dell'interfaccia di amministrazione.
Disattivare l'accesso gestito da IdP
- Disattivare l'interruttore IdP Accesso gestito nella pagina IdP Accesso gestito.
Chi può creare IdP gruppi?
- Amministratori di sistema dei piani in cui è attivato il dominio.
- Amministratori di gruppo dei domini attivati, se consentito dall'Amministratore di sistema.
- Gli amministratori di gruppo di domini convalidati possono richiedere la creazione di IdP gruppi.
I miei utenti potranno condividere contenuti con gruppi Smartsheet e IdP gruppi?
Sì. Il nome di dominio verrà elencato alla fine (nella modalità di condivisione) in modo che gli utenti possano riconoscere che si tratta di un gruppo IdP.
Quali modifiche si verificano quando abilito la funzione per la prima volta in un piano in cui è attivato il dominio?
- Viene creato un nuovo foglio per le mappature di ruoli e IdP gruppi IdP.
- IdP appartenenze ai gruppi vengono create e aggiornate automaticamente quando gli utenti accedono.
- Puoi condividere elementi Smartsheet con IdP gruppi. Inoltre, gli utenti otterranno l'accesso in base al loro ruolo IdP.
In che modo la disattivazione della funzione influisce su un piano in cui il dominio è attivato?
- Il foglio viene eliminato, ma tutte le mappature dei ruoli vengono mantenute nel database a livello di dominio per un utilizzo futuro.
- La sincronizzazione delle appartenenze a ruoli e gruppi viene interrotta.
- Gli utenti non possono più condividere elementi Smartsheet con IdP gruppi e le appartenenze ai gruppi vengono rimosse.
- Le appartenenze ai gruppi esistenti vengono eliminate. Gli utenti perderanno l'accesso agli elementi condivisi tramite IdP gruppi.
Cosa succede dopo aver riattivato la funzione in un piano con un dominio attivato?
- Il foglio viene ricreato utilizzando le mappature dei ruoli precedenti memorizzate nel database.
- La sincronizzazione dei ruoli e delle appartenenze ai gruppi riprende, aggiornando le appartenenze ai gruppi degli utenti.
- La condivisione degli elementi con IdP gruppi diventa nuovamente disponibile, ripristinando l'accesso per gli utenti con i ruoli appropriati.
In che modo la disattivazione del dominio influisce IdP accesso gestito quando abilitato?
- Il foglio rimane, ma la sincronizzazione si interrompe per il dominio disattivato.
- Le mappature dei ruoli e le appartenenze ai gruppi esistenti vengono mantenute, ma non vengono effettuati nuovi aggiornamenti.
- Gli utenti nei domini disattivati perderanno l'accesso agli elementi Smartsheet condivisi attraverso IdP gruppi.
Cosa succede quando un dominio viene attivato con un ruolo IdP già definito nel foglio?
- Se le mappature dei ruoli esistono già, vengono sincronizzate con il foglio quando il dominio viene attivato.
- Il sistema garantisce che i dati corretti siano disponibili nel foglio nuovo o esistente, ripristinando l'accesso degli utenti.
Come funziona l'abilitazione, la disabilitazione o la riattivazione della funzione in un piano in cui un dominio è convalidato?
- Non c'è alcun impatto diretto sul foglio, in quanto lo gestisce il piano attivato.
- Le appartenenze ai gruppi vengono aggiornate in base agli accessi utente, ma vengono rimosse quando la funzione viene disattivata.
- La condivisione degli elementi e l'appartenenza ai gruppi funzionano come previsto, in modo simile ai piani attivati, ma sono gestiti tramite il piano principale attivato.
Qual è l'effetto dell'invalidamento del dominio in un piano di dominio convalidato?
- Le appartenenze ai gruppi per gli utenti nel dominio invalidato vengono rimosse.
- Gli utenti di questi domini perdono l'accesso agli elementi condivisi con IdP gruppi.
Ci sono casi particolari di cui devo essere a conoscenza quando ho a che fare con la disattivazione o la riattivazione del dominio?
- Quando un dominio viene disattivato, le righe corrispondenti nel foglio vengono eliminate, ma vengono mantenute le mappature dei ruoli.
- Se l'ultimo dominio di un piano è disattivato, il foglio viene eliminato e la funzione viene disattivata per il piano.
- Se un dominio viene riattivato, tutte le mappature dei ruoli esistenti vengono sincronizzate nuovamente con il foglio e gli utenti riottengono l'accesso.