適用対象

Smartsheet
  • Enterprise

機能

この機能を使用できるユーザー

システム管理者は IT 管理者と協力して、Smartsheet で SAML 2 SSO を設定できます
 

SAML 2 を設定して Smartsheet へのシングル サインオンを使用する

PLANS

  • Smartsheet
  • Enterprise

権限

システム管理者は IT 管理者と協力して、Smartsheet で SAML 2 SSO を設定できます
 

Smartsheet で SAML ベースの SSO を設定する場合 

以下のことを実行する必要があります。 

  • 組織の ID プロバイダー (IdP) を設定し、Smartsheet と通信できるようにします。 
  • 組織のドメイン ネーム システム (DNS) にレコードを追加します。
    • この機能の設定とメンテナンスには、内部の技術者によるサポートが必要となる場合があります。

米国政府向けの Smartsheet で SAML 2 SSO を設定するには、準拠しなければならない要件や設定があります。

以下の点にご注意ください。

  • Smartsheet がサポートしているのは、 サービス プロバイダーが起点となる SSO です。IdP-initiated (IdP が起点となる) SSO を構成している場合は、IdP を使用してください。
  • 複数の SSO IdP を同時に使用できます。

Smartsheet で IdP を使用する場合に必要な設定

このメタデータを使用して、IdP 内の証明書利用者を設定します。証明書利用者の設定プロセスは、IdP によって異なる場合があります。詳細については、IdP のドキュメントを参照してください。

SHA1 証明書のアルゴリズムは、セキュリティが脆弱であるため推奨されていません。SHA1 で署名された SSL 証明書を使用していないことを確認してください。

SAML 交換プロセス 

Smartsheet では、SAML 交換プロセスには以下の属性が必要です。

  • 永続的な ID: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent 
  • メール アドレス: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

以下の点にご注意ください。

  • 最初のアサーションには、各ユーザーが毎回サインイン時に使用するものと同じ永続的な ID が必要です。メール アドレスを永続的な ID として設定することも可能ですが、アサーション処理時にそのメール アドレスのクレームの認証が必要です。メール アドレスはすべて小文字にする必要があります。アサーションのサンプルと、Smartsheet がサポートしているクレーム形式の完全なリストについては、「SAML アサーション: Smartsheet でサポートしているクレーム例」をご覧ください。
  • 永続的な ID は、アサーションの「NameID (Subject)」要素で定義することができます。
  • アサーションに「NameID (Subject)」要素がない場合は、サポートしているクレームに関する記事で定義されている属性のいずれかを使用することができます。

以下の属性は推奨されていますが任意です。

  • 名: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname 
    • これはユーザーの名を表します。
  • 姓: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname 
    • これはユーザーの姓を表します。

一部の SAML サービスでは、Smartsheet で設定を行う際にその他の情報を求められる場合があります。

  • アサーション コンシューマー サービス (ACS) の URL: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
    EU アカウントの場合は、https://sso.smartsheet.eu/Shibboleth.sso/SAML2/POST を使用  
  • オーディエンスの制限: https://sso.smartsheet.com/saml
    EU アカウントの場合は、https://sso.smartsheet.eu/saml を使用 

メール アドレスは小文字で入力します。大文字を使用すると、SAML プロバイダーと Smartsheet との間で電子メールの照合ができなくなります。

SAML IdP を使用して Smartsheet.com を設定する

設定前に、アカウントに SAML ベースの SSO を設定するための条件を満たしていることを確認してください。

[SAML 管理] フォームを開く

ID プロバイダー と Smartsheet 間の接続を確立する方法は、以下のとおりです。

  1. 左側のナビゲーション バー[アカウント] を選択します。 
  2. [アカウント] メニューで、[プランと請求先情報] を選択します。
  3. [アカウント管理] フォームで、[セキュリティ制御] を選択します。 
  4. [認証] セクションで、[編集] を選択します。
    security-controls
  5. [未構成] を選択します。
    saml-not-configured

 

この手順を実行すると、[SAML 管理] フォームが表示されます。

IdP を使用して SSO を設定する

以下の手順に従って、1 つまたは複数の IdP を使って SAML を設定します。

  1. [IdP を追加] を選択します。

    add-IdP
  2. IdP ニックネームを入力します。 
  3. IdP メタデータを取得し、コピーします。 
    IdP メタデータの取得方法については、IdP のドキュメントを確認してください。
  4. [IdP メタデータ] テキスト ボックスに、 IdP メタデータ
    idp-metadataを貼り付けます。 
  5. SSO の URL をコピーし、ご利用の IdP に貼り付けます。 
  6. [保存] を選択します。​
    • 変更を保存すると、Smartsheet によってメタデータが検証されます。
      検証が成功すると、[IdP の編集] ​フォームが表示されます。エラーが表示された場合は、「SAML についてよく寄せられる質問と一般的なエラー」 をご覧ください。
      サインイン時にユーザーをフレンドリ URL へと誘導する CNAME を追加できます。詳しくは、以下の「フレンドリ CNAME URL でサインインするようにユーザーを誘導する」セクションをご覧ください。
  7. Smartsheet で使用する IdP を有効にするには、[アクティブ化] を選択します。IdP ステータスが [非アクティブ] から [アクティブ](既定) に変わります。
  8. 組織/団体の SAML を有効にするには、[認証] ウィンドウで、[SAML] を選択します。​  
    SAML を有効にする前に、少なくとも 1 つのアクティブな IdP が必要です。
    activate-idp
  9. [保存] を選択します。 

以上です。これで、アカウントのユーザーは、会社の資格情報で Smartsheet にサインインできるようになりました。

その他の IdP を設定する

多くの組織/団体で必要となるアクティブな IdP は 1 つですが、追加できる IdP の数に制限はありません。

IdP を編集または追加するには、[SAML] チェックボックスの横の [構成の編集] を選択します。[SAML 管理] ウィンドウが表示されたら、IdP を追加するか、既に設定されている既存の IdP を編集します。

アクティブな IdP が複数ある場合、SAML でサインインするユーザーは既定の IdP に対して認証されます。特定の IdP を既定に設定する場合は、[IdP の編集] ​フォームで、[既定にする] を選択します。

saml-admin-multiple-idps

フレンドリ CNAME URL でサインインするようにユーザーを誘導する

Smartsheet は、組織/団体が 1 クリック リンクで Smartsheet にサインインできる既定の SSO URL​ を提供します。会社固有のフレンドリ URL などの CNAME を代わりに追加することもできます。

[IdP の編集] フォームの [CNAME] フィールドには sso.smartsheet.com と入力しないでください。ログイン エラーの原因となります。その代わりに、所属している企業が作成した CNAME を使用し、それが sso.smartsheet.com をポイントするように設定します。

  1. ドメイン内に CNAME DNS レコードを作成して、ポイント先を sso.smartsheet.com に設定します。例: smartsheet.example.org IN CNAME sso.smartsheet.com
  2. [IdP の編集] フォームで、CNAME を入力します。​  
  3. [追加] を選択します。​  
    CNAME アドレスが認証されるまでに、最大 1 時間かかる場合があります。​​​

    cname

ユーザーの SSO アクセスを削除するだけでは、そのユーザーが Smartsheet にアクセスできなくなることはありません。ユーザーが Smartsheet に完全にアクセスできないようにするには、組織/団体の Smartsheet アカウントからそのユーザーを完全に削除する必要があります。

異なる SAML の構成状態 

SAML の状態は以下のいずれかです。

  • [未構成]​: アクティブな IdP はありません。 
  • [無効]​: アクティブな IdP が少なくとも 1 つあります。また、[認証] フォームの [SAML] チェックボックスは選択されていません。
  • [有効]​: アクティブな IdP が少なくとも 1 つあります。また、[認証] フォームの [SAML] チェックボックスが選択されています。IdP の状態は 3 つのうちのいずれかです。 
    • [未構成]: セキュリティ証明書は期限切れです
    • [非アクティブ]​: メタデータとセキュリティ証明書は有効です 
    • [アクティブ]​: メタデータとセキュリティ証明書は有効で、アカウント上の別のアクティブな IdP とエンティティ ID を共有しておらず、アクティブ化されています
この記事はお役に立ちましたか?
はいいいえ