Smartsheet にシングル サインオンするためのSAML 2 設定

組織/団体がセキュリティ アサーション マークアップ ランゲージ (SAML) 標準のログイン認証を使用している場合は、Smartsheet がサポートしているシングル サインオン (SSO) プロバイダーを通じてサインインできるように設定できます。 エンタープライズ仕様のアカウントで SSO を設定すると、アカウント内のユーザーは「組織/団体のアカウント」オプションで組織/団体の資格情報を使ってサインインできます。

米国政府の Smartsheet 環境で SSO の SAML 2 を設定する場合は、SMAL 2 SSO を正常に設定するために異なる要件と設定が必要です。 設定時には、こちらのヘルプ記事の情報を参照してください。

この機能を使用できるユーザーは?

役割の権限 システム管理者と IT 管理者による Smartsheet への SAML 2 での SSO 設定が可能
プラン タイプ エンタープライズとプレミア Smartsheet アカウント

これは、SAML 設定のセルフサービス ガイドで、この記事に記載されている SAML の機能と設定手順を理解するには、SAML 2 と SSO 両方の知識が必要です。 この設定には、組織/団体の技術担当者のサポートが必要となる場合があります。

サポートされている SSO プロバイダー

Smartsheet では現在、以下の SAML 2 に準拠した ID プロバイダー (IdP) をサポートしています。

  • OneLogin
  • ADFS
  • Azure Active Directory
  • Shibboleth
  • PingIdentity
  • Okta
  • Smartsheet がサポートしているのは、SP (サービスプロバイダー) によって開始された SSO のみです。 IdP によって開始された SSO はサポートしていません。
  • 現在、複数の SSO ID プロバイダー (IdP) を使用できます。

ID プロバイダー を用いた Smartsheet の設定に必要なもの

以下は、Smartsheet メタデータです。 www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata.xml 

このメタデータを使用して、ID プロバイダー内の証明書利用者を設定します。 この手順は、ID プロバイダーに限られるものです。詳細については、ご利用の ID プロバイダーの資料を確認してください。

セキュリティの脆弱性の理由で、SHA 1 証明書のアルゴリズムは推奨されていません。 SHA 1 で署名された SSL 証明書を使用していないことを確認してください。

Smartsheet では、SAML の交換処理中に以下の属性がアサートされている必要があります。

  • 永続的な ID:  urn:oasis:names:tc:SAML:2.0:nameid‑format:persistent 
  • メール アドレス: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • 最初のアサーションには、各ユーザーが毎回サインイン時に同じ ID を使える永続的な ID を含む必要があります。 ユーザーのメール アドレスを永続的な ID として設定できますが、アサーション処理時のメール アドレスのクレームが認証される必要があります。 アサーションのサンプルと Smartsheet がサポートしているクレーム形式の一覧は、「Smartsheet の SAML 設定とクレームサンプル」をご覧ください。
  • 永続的な ID は、アサーションの「NameID (Subject)」要素で記入できます (「サポートしているクレーム」を参照)。
  • アサーションに「NameID (Subject)」要素がない場合は、サポートしているクレームに記載されている属性のいずれかを使用できます。

以下の属性は推奨されていますが任意です。

  • : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname 
  • : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

これらの名前が示しているように、最初の属性はアカウント ユーザーの「名」を、2 番目の属性は「姓」を表しています。

一部の SAML サービスでは、Smartsheet で設定を行う際にその他の情報を求められる場合があります。

  • アサーション コンシューマー サービス (ACS) のURL: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST 
  • オーディエンスの制限: https://sso.smartsheet.com/saml

SAML ID プロバイダー (IdP) を使用して Smartsheet.com を設定する

設定前に、アカウントの SAML ベースの SSO 設定条件を満たしていることを確認してください。

[SAML 管理] ウィンドウを開く

ID プロバイダー と Smartsheet 間の接続を確立する方法は、以下のとおりです。

  1. [アカウント] > [アカウント管理] > [セキュリティ制御] を選択します。
     
  2. [セキュリティ制御] ウィンドウの [認証] セクションで [編集]​ を選択します。
    セキュリティ制御
     
  3. [認証] ウィンドウの SAML の横にある [未構成]​ をクリックします。

    SAML 未構成

[未構成] を選択したら、[SAML 管理] ウィンドウが表示されます。 このウィンドウで、1つ以上の ID プロバイダーを使って SAML を設定できます。

ID プロバイダーを使って SSO を設定する

ID プロバイダー (IdP) を使って SSO を設定する方法:

  1. [SAML 管理] ウィンドウを開いて、[IdP の追加] を選択します。

    [IdP の追加]
  2. IdP ニックネームを入力します。
  3. [IdP メタデータ] を取得して、[IdP メタデータ] のテキスト フィールドにコピー/貼り付けします。 [IdP メタデータ] の取得方法については、ID プロバイダーの資料を確認してください。
    [IdP メタデータ]
  4. [保存] をクリックします。 Smartsheet がメタデータを検証します。

    検証が成功すると、[IdP の編集] ウィンドウが表示されます。 エラーが表示された場合は、「SAML についてよく寄せられる質問と一般的なエラー」 をご覧ください。

    ヒント: サインイン時にユーザーをフレンドリ URL へと誘導する CNAME を追加できます。 詳細は、以下の「CNAME」をご覧ください。
     
  5. [アクティブ化] をクリックして、Smartsheet で使用する IdP を有効にします。 [IdP ステータス] が [非アクティブ] から [アクティブ (既定)] に変わります。
    idp のアクティブ化
  6. [認証] ウィンドウで [SAML] ​のチェックボックスをクリックして、組織/団体の SAML を有効にします。 SAML を有効にする前に、少なくとも 1 つのアクティブな IdP が必要です。
    有効化済み IdP
  7. [保存] をクリックします。

以上です。 アカウントのユーザーは、会社の資格情報で Smartsheet にサインインできるようになりました。

その他の IdP を設定する

多くの組織/団体で必要となるアクティブな IdP は1つですが、追加できる IdP の数に制限はありません。

IdP を編集または追加するには、[SAML] チェックボックスの横の [構成の編集] をクリックします。 [SAML管理] ウィンドウが表示され、IdP を追加または既に設定されている既存の IdP を編集します。

アクティブな IdP が 1 つ以上ある場合は、SAML でサインインするユーザーは既定の IdP に対して認証されます。 特定の IdP を規定にする場合は、[IdP の編集] ウィンドウの [規定にする] をクリックします。

SAML 管理 複数の IdP

フレンドリ CNAME URL でサインインできるようにユーザーを誘導する

Smartsheetは、組織/団体が 1 クリック リンクで Smartsheet にサインインできる既定の SSO URL を提供します。 会社固有のフレンドリ UIRL を含む CNAME を代わりに追加することもできます。

ログイン エラーが発生するため、[IdP の編集] ウィンドウの [CNAME フィールド] には sso.smartsheet.com と入力しないでください。 その代わりに、会社が作成した CNAME を使って、 sso.smartsheet.com をポイントします。

  1. ドメインで CNAME DNS レコードを作成して、sso.smartsheet.com をポイントします。 たとえば、「smartsheet.example.org IN CNAME sso.smartsheet.com」 を作成します。
  2. [IdP の編集」ウィンドウで、CNAME を入力して [追加] をクリックします。

    注: CNAME アドレスが認証されるまでに、最大 1 時間かかる場合があります。

    CNAME

会社のユーザーによる Smartsheet へのアクセスを防ぐには、該当するユーザーの SSO アクセスを無効にするだけでは十分ではありません。 ユーザーによる Smartsheet へのアクセスを完全に防ぐには、会社の Smartsheet アカウントからそのユーザーを完全に削除する必要があります。 削除方法については、「ユーザーの管理 (マルチユーザー プラン)」の「ユーザーの削除」をご覧ください。

異なる SAML の構成状態

SAML の状態は以下のいずれかです。

  • [未構成] - アクティブなIdPはありません
  • [無効] - 少なくとも 1 つのアクティブな IdP があり、[認証] ウィンドウの SAML のチェックボックスがオンになっていません
  • [有効] - 少なくとも 1 つのアクティブな IdP があり、[認証] ウィンドウの SAML のチェックボックスがオンになっています IdP の状態は 3 つのうちのいずれかです。
    • [未構成] - セキュリティ証明書は期限切れです
    • [非アクティブ] - メタデータとセキュリティ証明書は有効です
    • [アクティブ]​ - メタデータとセキュリティ証明書は有効で、アカウントの別のアクティブな IdP とエンティティ ID を共有しておらず、アクティブです