適用対象
- Business
- Enterprise
機能
この機能を使用できるユーザー
- システム管理者
Smartsheet へのプランレベルの OIDC または SAML 用の Azure を構成する
Smartsheet への SSO に Azure を使用するには、2 つの方法があります。どちらの方法も効果的です。
ご利用可能なユーザー
プラン:
- Business
- Enterprise
どちらの設定でも、Azure の認証設定は Azure によって制御されます。SSO のポリシーと設定の調整はすべて、Smartsheet ではなく、Azure で管理します。
- Open ID Connect (OIDC): 組み込みの Microsoft ボタンと、これに対応する Azure のエンタープライズ アプリ (3290e3f7-d3ac-4165-bcef-cf4874fc4270) を使用します。Azure のみに制限するには、Smartsheet の認証設定を使用してください。
- SAML: Azure で Smartsheet 用の新しいエンタープライズ アプリを作成し、そのアプリで SAML のセットアップとユーザー属性を直接設定します。この方法では、特定のユーザー属性をより細かく管理できます。
Smartsheet は、Azure プロビジョニング サービスを使用した SCIM のプロビジョニングを提供していますが、SSO の要件ではありません。
OIDC または SAML 用の Azure は、プランレベルの構成であることに留意してください。
OIDC を使用した SSO の設定
- Azure エンタープライズ アプリで、既成の Smartsheet エンタープライズ アプリ (ID 3290e3f7-d3ac-4165-BCEF-CF4874FC4270) を参照または検索します。
- ユーザーに対する可視性や必要な割り当てなど、Azure の設定を確認します。Smartsheet では、User.read のみを使用する必要があります。
- Smartsheet の認証設定で Microsoft Azure AD オプションをアクティブ化してテストします。
- テストが正常に完了したら、変更をユーザーに伝え、他の認証オプションを無効にします。
Smartsheet への SAML 用の Azure を構成する
ログインの詳細をさらに管理する必要がある場合は、Azure を SAML ID プロバイダー (IdP) として SAML を構成します。OIDC と同様に、ほとんどの構成変更は Smartsheet ではなく Azure で行います。
Smartsheet と Azure AD の間に SAML を構成すると、[組織/団体アカウント] ボタンが Smartsheet のログイン画面に表示されるようになります。
Smartsheet への OIDC または SAML 用の Azure を構成するには、Smartsheet および Azure のシステム管理者である必要があります
SAML で Azure AD を構成するには:
Azure で Smartsheet が所有するギャラリー アプリ (ID 329..) に SAML を設定することはできません。組み込みのアプリでは、別のオプションである OIDC SSO を管理できます。Azure で SAML を設定するには、次の手順で新しいエンタープライズ アプリを作成します。
基本的な SAML 構成に、次を入力します。
- Entity ID (エンティティ ID): https://sso.smartsheet.com/saml
- Reply URL (応答 URL): https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
- Sign-on URL (サインオン URL): https://app.smartsheet.com/b/home
Azure のユーザー属性とクレームには、以下のような既定値があります。
- Unique User Identifier (一意のユーザー識別子): user.userprincipalname
- Email address (メール アドレス): user.mail
- Name (名前): user-userprincipalname
既定の Additional Claim of Name (追加の名前クレーム): user-userprincipalname は予期せぬエラーの原因となります。これを削除して、Azure 経由の SAML が正しく機能するようにするにしてださい。
SAML 署名証明書で次を行います。
- Status (ステータス) が Active (アクティブ) であることを確認します。
- 通知メールを確認します。証明書の期限が近づくと、この電子メールに通知が届きます。
- [Federation Metadata XML (フェデレーション メタデータ XML)] をダウンロードし、Notepad やその他のテキスト エディタでファイルを開きます。
- 左パネルから [Manage (管理)] の [Properties (プロパティ)] を選択し、一番下までスクロールして [User assignment required? (ユーザーの割り当てが必要ですか?)] をオフにします。この機能をオフにするとテストが容易になります。ユーザーは既に Smartsheet ユーザーリストで管理されています。
- 管理センターにログインして 、[Authentication (認証)] > [SAML] をクリックします。
- [SAML] の横にある [Edit Configuration (構成の編集)] を選択して、[Add IdP (IdP の追加)] をクリックします。
- IdP に名前を付け (例: AzureSAML)、ダウンロードしたメタデータに貼り付けます。変更内容を保存します。
- [Edit IdP (IdP の編集)] ウィンドウで、[Activate (アクティブ化)] をクリックします。
- [Edit IdP (IdP の編集)] ウィンドウと [SAML Administration (SAML 管理)] ウィンドウを閉じます。
- [Authentication (認証)] ウィンドウで、[SAML] を選択します。
- 変更内容を保存します。
SAML を使用したログイン用の [組織/団体アカウント] ボタンが、ログイン画面に表示されます。新しく作成された Azure SAML 用の IdP により、SSO URL が SAML へのショートカットとして提供されます。
Smartsheet の管理センターで SSO の方法を設定する
- 左側のナビゲーション バーで [アカウント] を選択します。
- [アカウント] メニューで、[管理センター] を選択します。
- [セキュリティ] > [共有セーフ リスト] の順に選択します。このページにある他のオプションの詳細については、「セキュリティ制御」に関する記事をご覧ください。
- [認証] セクションで、[編集] を選択します。
- 希望する認証オプションを選択します。少なくとも 1 つ選択する必要があります。
単一の Azure エンタープライズ アプリを使用して、複数の Smartsheet ユーザーリストの SSO を強化できますか?
はい。Smartsheet では、複数のユーザー リストで同じエンティティ ID を使用できます。
OIDC を使用する「組み込まれた Microsoft」ボタンによる SSO では、ユーザー属性やクレームを変更できますか?
いいえ。SSO の設定を細かく管理するには、SAML を使用してください。
例外やグループ化を設定して、異なるユーザー グループに異なるログイン方法を適用することはできますか?
いいえ。唯一設定できる例外は、SAML でのシステム管理者向けのメール アドレス (オプション ) とパスワードのフォールバックのみとなります。
Azure SSO は外部の Smartsheet ユーザーに影響を与えますか?
認証設定 (Azure SSO を含む) の変更の影響を受けるのは、Azure SSO が有効になった Smartsheet ユーザー リスト内のユーザーのみです。システム管理者によって招待された、または Smartsheet によってプロビジョニングされた管理対象ユーザーのみ、SSO を介してログインできます。
SSO を有効にした後、新規ユーザーのアカウントを作成するにはどうすればよいですか?
ドメインに対して Smartsheet の組み込みの自動プロビジョニングを使用します。Azure SCIM も使用できます。Azure SCIM のセットアップは複雑なプロセスであるため、Smartsheet UAP から始めてください。