適用対象
機能
この機能を使用できるユーザー
リソース管理者は、アカウントで SSO を有効にすることができます。
Resource Management 用のシングル サインオン (SSO)
パスワード管理とユーザー プロビジョニングにシングル サインオン (SSO) を使用して、ユーザーがアカウントに安全にログインできるようにします。
Resource Management は、ADFS、Azure AD、OKTA、Google など、主要なプロバイダーと連携する SAML 2.0 プロトコルを使用した SSO を提供します。現在、Resource Management では Web ブラウザー SSO プロファイルのみをサポートしています。IdP が起点となるサインオンはサポートしていません。
はじめる前に
まず、ログインに SSO ではなくユーザー名とパスワードを使用するユーザー アカウントを作成または指定します。
このアカウントは、SSO の構成に変更が加えられ、SSO を有効にしたユーザーがログインできなくなった場合に、バックアップ策を提供します。
バックアップ アカウントを使用すると、SSO に失敗した場合にログインできます。バックアップ アカウントをお持ちでない場合は、ログインできない可能性があります。
お使いのアカウントの SSO を設定する
SSO ID プロバイダーを https://rm.smartsheet.com に移行するには
ID プロバイダーを更新した直後に、管理者が [アカウント設定] の SSO 構成ページでこれらの変更を確認していることを確認します。
- SSO ID プロバイダー (IdP) で、https://rm.smartsheet.com/saml/metadata の関連する SSO 構成値を使用して、アプリ (証明書利用者) として Resource Management を設定します。
ACS URL: https://rm.smartsheet.com/saml/acs
EntityID (オーディエンス): https://rm.smartsheet.com/saml/metadata
NameID: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress - 管理者として https://rm.smartsheet.com にログインします。https://rm.smartsheet.com/settings に移動して、SSO セクションをクリックします。SSO がまだ有効になっていない場合、[SSO を設定する] をクリックします。有効になっている場合は [編集] をクリックします。
- IdP メタデータに URL を追加します。次に 、2 つの構成モードのうちの 1 つ ([自動] または [手動]) を選択します。
- 自動構成: IdP から提供されたメタデータの URL を入力します。IdP が提供するメタデータによって、シングル サイン オン URL、エンティティ ID、および Resource Management が要求する x.509 証明書ファイルが提供されます。 自動構成 (推奨) は手動構成よりも簡単に構成でき、証明書の抽出やアップロードも不要です。 Resource Management の自動構成 SSO モードでは、ユーザーが Resource Management にログインする際に、最新の証明書とサインオン URL を動的に取得します。このモードでは、SSO アプリケーションに複数の証明書を関連付けているシナリオもサポートします (証明書を適切にローテーションさせるなど)。ID プロバイダーは、一般に利用可能なメタデータ URL を XML として提供する必要があります。
- 手動構成: SAML 2.0 署名証明書と URL を入力します。
IdP が一般に利用可能なメタデータ URL を提供しない場合や、メタデータ XML が不完全/不正である場合、組織が変更可能な設定を許可しない場合に、このオプションを使用します。 IdP から x.509 証明書、SSO サインイン ターゲット URL、ログアウト ターゲット URL を取得します。必要な URL が不明な場合は、IT 部門や IdP 管理者に問い合わせてください。 SAML 2.0 署名証明書は PEM エンコードされている必要があります。DER エンコーディングはサポートされていません。
4. ユーザーの招待プロセスの回避を許可する場合は、[アカウントにない認証済みユーザーを自動的にプロビジョニングする] を選択します。
このチェック ボックスをオンにすると、新規ユーザーがアプリケーションに参加する際に招待を受け入れる必要がなくなります。サインイン ページにアクセスして、メール アドレスを入力するだけで、システムのユーザーとして認識され、会社のアカウントにサインインするオプションが提供されます。
この自動プロビジョニングのチェック ボックスをオンにしても、新規ユーザー アカウントの自動プロビジョニングは行われません。新規ユーザー アカウントは、アプリケーションから作成する必要があります。
5. [保存] をクリックします。
必須属性
サインイン認証に成功するためには、メール アドレスの形式の NameID クレームを Resource Management に渡す必要があります。ID プロバイダーから提供される必須の名前識別子の形式は以下のとおりです。
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
設定後
一度 SSO でログインしたユーザーは、ユーザー名とパスワードでのログインができなくなり、そのユーザーのプロファイルにあるメール アドレスはアプリケーション内でロックされます。ログイン電子メールを更新するには、Smartsheet にお問い合わせください。
Resource Management の SSO が手動構成モードに設定されており、アプリケーションで SSO の設定を変更する必要がある場合、上述のステップに従い自動構成を有効にする必要があります。SSO を [自動] に設定すると、Resource Management は IdP SSO の構成変更を自動的に検出します。
手動設定モードを使用して SSO の構成を変更したい場合は、注意して行ってください。アクティブな SSO 構成に変更を加える前に、組織内に SSO でログインしていない、ユーザー名/パスワードでログインしている管理ユーザーが少なくとも 1 人はいることを確認してください。これにより、変更を元に戻す必要がある場合にそのユーザーのプロファイルでログインすることができます。
組織の SSO が有効になったら、ユーザー名とパスワードでログインするために、[Resource Management のパスワードでサインインする] と書かれたリンクをクリックします。
問題が発生した場合は、こちらからサポートにご連絡ください。
一般的な用語
|
用語 |
定義 |
|---|---|
|
EntityID |
サービス プロバイダーの ID。一部の IdP ではオーディエンスと呼ばれています。SP メタデータの中で提供されます。 |
|
ID プロバイダー (IdP) |
ユーザーの ID と要求されたリソースへのアクセスを検証しアサートする機関 (「サービス プロバイダー」) |
|
サービス プロバイダー (SP) |
ユーザーがアクセスしようとする Resource Management のサービス |
|
メタデータ |
IdP から SP に提供される、またはその逆の、xml 形式の情報一式 |
|
IdP メタデータ |
シングル サインオン URL、エンティティ ID、および SP がアサーション解読のために要求する x.509 証明書ファイル を提供します。このファイルの URL を入力すると、Resource Management に SSO が自動的に設定されます。 |
|
SP メタデータ |
Resource Management によって |
|
NameID |
ユーザーのメール アドレスを指定するために使用されるアサーション内の属性。Resource Management の SSO には NameID フォーマット urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress が必要です。 |
|
アサーション コンシューマー サービス (ACS) の URL |
SAMLトランザクションの処理専用の SP エンドポイント。 一部の IdP では、シングル サインオン URL (SSO URL) と呼ばれています。 |