Smartsheet へのプランレベルのシングル サインオン用の SAML を設定する

システム管理者は IT 管理者と協力して、Smartsheet で SSO 用の SAML を設定できます。

注意事項

2024 年 2 月 5 日より、新しいプランレベルの SAML 構成を作成することはできません。ただし、既存のプランレベルの SAML 構成に関しては、引き続きプランレベルの SAML 設定の作成、更新、削除、または読み取りを行うことができます。さらに、ドメインレベルで SAML を構成することもできます。

完了しなければならない手順

1. 組織の ID プロバイダー (IdP) を設定し、Smartsheet と通信できるようにします。 

2. 組織のパブリック ドメイン ネーム システム (DNS) にレコードを追加します。この機能の設定とメンテナンスには、内部の技術者によるサポートが必要となる場合があります。

   米国政府向けの Smartsheet で SAML SSO を設定するには、準拠しなければならない要件と設定があります。

留意点

• Smartsheet がサポートしているのは、サービス プロバイダーが起点となる SSO です。IdP-initiated (IdP が起点となる) SSO を構成している場合は、IdP を使用してください。
• 複数の SSO IdP を同時に使用できます。
• エンタープライズ プランのシステム管理者がドメインを検証してドメイン レベルで SAML 構成を設定すると、ドメインレベルの SAML 設定によって、ドメイン内のユーザーに対するプランレベルの SAML 設定は上書きされます。

前提条件

• 米国のお客様は、次の Smartsheet メタデータが必要です: www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata.xml 
• EU のお客様は、次の Smartsheet メタデータが必要です: www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata-eu.xml
• AU のお客様は、次の Smartsheet メタデータが必要です: https://www.smartsheet.com/smartsheet-saml2-sp-metadata-au.xml 

このメタデータを使用して、IdP 内の証明書利用者を設定します。証明書利用者の設定プロセスは、IdP によって異なる場合があります。詳細は IdP のドキュメントを参照してください。

SHA1 証明書のアルゴリズムは、セキュリティが脆弱であるため推奨されていません。SHA1 で署名された SSL 証明書を使用していないことを確認してください。

SAML 交換プロセス

Smartsheet での SAML 交換プロセスには以下の属性が必要です。

• 永続的識別子: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent 
• メール アドレス: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

以下の属性は推奨されていますが任意です。

• 名: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname 

  これはユーザーの名を表します。

• 姓: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname 

  これはユーザーの姓を表します。

一部の SAML サービスでは、Smartsheet で設定を行う際にその他の情報を求められる場合があります。

• Assertion Consumer Service (ACS) URL: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST 
  • EU プランの場合は、https://sso.smartsheet.eu/Shibboleth.sso/SAML2/POST をお使いください
  • AU プランの場合は、 https://sso.smartsheet.au/Shibboleth.sso/SAML2/POSTをお使いください。
• オーディエンス制限: https://sso.smartsheet.com/saml
  • EU プランの場合は、https://sso.smartsheet.eu/saml をお使いください。
  • AU プランの場合は、https://sso.smartsheet.au/saml をお使いください。

交換プロセスに関する注意事項

• メール アドレスは小文字で入力します。大文字を使用すると、SAML プロバイダーと Smartsheet との間で電子メールの照合ができなくなります。
• 最初のアサーションには、各ユーザーが毎回サインイン時に使用するものと同じ永続的識別子が必要です。メール アドレスを永続的識別子にすることも可能ですが、アサーション処理時にメール アドレスのクレームの認証が必要です。メール アドレスはすべて小文字にする必要があります。アサーションのサンプルと、Smartsheet がサポートしているクレーム形式の完全なリストについては、「SAML アサーション: Smartsheet でサポートしているクレーム例」の記事をご覧ください。
• 永続的識別子は、アサーションの「NameID (subject)」要素で定義することができます。
• アサーションに「NameID (Subject)」要素がない場合は、サポートしているクレームに関する記事で定義されている属性のいずれかを使用することができます。
• Azure で事前入力された属性から属性クレーム「http://schemas.xmlsoap.org/ws/2005/05/identity/claims/Name」を必ず削除してください。

SAML IdP の使用に向けて Smartsheet.com を構成する

SAML 構成を続行する前に、要件を満たす必要があります。 

[SAML 管理] ウィンドウを開く

1. 管理センターのホームページで、[設定] セクションまで下にスクロールし、[認証] カードを見つけます。

   Brandfolder Image

   

2. [SAML] を選択します。

   [認証] フォームが表示されます。

3. [未構成] を選択します。この手順を実行すると、[SAML 管理] ウィンドウが表示されます。

   Brandfolder Image

   

• Smartsheet で SAML を初めて設定する場合は、[未構成] ボタンをクリックすると、ドメインレベルの SAML 構成ページに移動します。プランレベルの SAML 構成を定義する必要がある場合は、Smartsheet サポートまでご連絡ください。
• プランレベルの SAML 構成がすでにある場合は、代わりに [構成の編集] ボタンが表示されます。既存の構成を変更するには、そのボタンを選択します。

IdP を使用して SSO を構成する

以下の手順に従い、1 つまたは複数の IdP を使用して SAML を構成します。

1. [IdP の追加] を選択します。

   Brandfolder Image

   

2. IdP のニックネームを入力します。

   IdP メタデータの取得方法については、IdP のドキュメントを確認してください。

3. IdP メタデータを取得し、コピーします。

4. [IdP メタデータ] テキストボックスに、IdP メタデータを貼り付けます。

   Brandfolder Image

   
5. SSO の URL をコピーし、ご利用の IdP に貼り付けます。
6. [保存] を選択します。変更を保存すると、Smartsheet によってメタデータが検証されます。
   • 検証が成功すると、[IdP の編集] ウィンドウが表示されます。
   • エラーが表示された場合は、SAML についてのよくある質問と一般的なエラーに関する記事をご覧ください。
   • サインイン時にユーザーをフレンドリ URL へと誘導する CNAME を追加できます。詳細は、以下の「フレンドリ CNAME URL でサインインするようにユーザーを誘導する」セクションをご覧ください。

7. Smartsheet で使用する IdP を有効にするには、[アクティブ化] を選択します。IdP ステータスが [非アクティブ] から [アクティブ (既定)] に変わります。 

   Brandfolder Image

   

8. プランの SAML を有効にするには、[認証] フォームで [SAML] を選択します。

   SAML を有効にする前に、少なくとも 1 つのアクティブな IdP が必要です。

9. [保存] を選択します。

   これで、プランのユーザーは会社の資格情報で Smartsheet にサインインできるようになりました。

その他の IdP を設定する

• 多くの組織/団体では、必要となるアクティブな IdP は 1 つのみですが、追加できる IdP の数に制限はありません。
• IdP を編集または追加するには、[SAML] チェックボックスの横の [構成の編集] を選択します。[SAML 管理] ウィンドウが表示されたら、IdP を追加するか、既に設定されている既存の IdP を編集します。

• アクティブな IdP が複数ある場合、SAML でサインインするユーザーは既定の IdP に対して認証されます。特定の IdP を既定に設定する場合は、[IdP の編集] ウィンドウで、[既定にする] を選択します。

  Brandfolder Image

  

フレンドリ CNAME URL でサインインするようにユーザーを誘導する

Smartsheet は、組織/団体が 1 クリック リンクで Smartsheet にサインインできる既定の SSO URL を提供します。会社固有のフレンドリ URL などの CNAME を代わりに追加することもできます。

ログイン エラーが発生する恐れがあるため、[IdP の編集] ウィンドウの [CNAME] フィールドに sso.smartsheet.com と入力しないでください。その代わりに、所属している企業が作成した CNAME を使用し、そのポイント先を sso.smartsheet.com に設定します。

1. ドメイン内に CNAME DNS レコードを作成して、ポイント先を sso.smartsheet.com に設定します。例: smartsheet.example.org IN CNAME sso.smartsheet.com。
2. [IdP の編集] ウィンドウで、[CNAME] を入力します。 

3. [追加] を選択します​。

   Brandfolder Image

   

リマインダー

• CNAME アドレスが認証されるまでに、最大 1 時間かかる場合があります。
• CNAME URL に HTTPS は使用できません。HTTP のみがサポートされています。
• ユーザーの SSO アクセスを削除するだけでは、そのユーザーによる Smartsheet へのアクセスを不可にすることはできません。ユーザーが Smartsheet に完全にアクセスできないようにするには、組織の Smartsheet プランからそのユーザーを完全に削除する必要があります。

SAML の構成状態

SAML の状態は以下のいずれかです。

• [未構成]​: アクティブな IdP がありません。 
• [無効]​: アクティブな IdP が少なくとも 1 つあります。また、[認証] ウィンドウの [SAML] チェックボックスが選択されていません。
• [有効]​: アクティブな IdP が少なくとも 1 つあります。また、[認証] ウィンドウの [SAML] チェックボックスが選択されています。IdP の状態は 3 つのうちのいずれかです。 
  • [未構成]​: セキュリティ証明書が期限切れです 
  • [非アクティブ]​: メタデータとセキュリティ証明書が有効です 
  • [アクティブ]​: メタデータとセキュリティ証明書が有効で、プラン上の別のアクティブな IdP とエンティティ ID を共有しておらず、アクティブ化されています