このページの一部は機械翻訳されている場合があります。

適用対象

Smartsheet
  • Business
  • Enterprise

機能

この機能を使用できるユーザー

  • システム管理者

Smartsheet へのプランレベルの OIDC または SAML 用の Azure を構成する

Smartsheet への SSO に Azure を使用するには、2 つの方法があります。どちらの方法も効果的です。

ご利用可能なユーザー

プラン:

  • Business
  • Enterprise

権限:

  • システム管理者

この機能が Smartsheet リージョンまたは Smartsheet Gov に含まれているかどうかを確認してください。

どちらの設定でも、Azure の認証設定は Azure によって制御されます。SSO のポリシーと設定の調整はすべて、Smartsheet ではなく、Azure で管理します。 

  • Open ID Connect (OIDC): 組み込みの Microsoft ボタンと、これに対応する Azure のエンタープライズ アプリ (3290e3f7-d3ac-4165-bcef-cf4874fc4270) を使用します。Azure のみに制限するには、Smartsheet の認証設定を使用してください。 
  • SAML: Azure で Smartsheet 用の新しいエンタープライズ アプリを作成し、そのアプリで SAML のセットアップとユーザー属性を直接設定します。この方法では、特定のユーザー属性をより細かく管理できます。 

Smartsheet は、Azure プロビジョニング サービスを使用した SCIM のプロビジョニングを提供していますが、SSO の要件ではありません。 

OIDC または SAML 用の Azure は、プランレベルの構成であることに留意してください。


OIDC を使用した SSO の設定

  1. Azure エンタープライズ アプリで、既成の Smartsheet エンタープライズ アプリ (ID 3290e3f7-d3ac-4165-BCEF-CF4874FC4270) を参照または検索します。
  2. ユーザーに対する可視性や必要な割り当てなど、Azure の設定を確認します。Smartsheet では、User.read のみを使用する必要があります。
  3. Smartsheet の認証設定で Microsoft Azure AD オプションをアクティブ化してテストします。
  4. テストが正常に完了したら、変更をユーザーに伝え、他の認証オプションを無効にします。 

Smartsheet への SAML 用の Azure を構成する

ログインの詳細をさらに管理する必要がある場合は、Azure を SAML ID プロバイダー (IdP) として SAML を構成します。OIDC と同様に、ほとんどの構成変更は Smartsheet ではなく Azure で行います。 

Smartsheet と Azure AD の間に SAML を構成すると、[組織/団体アカウント] ボタンが Smartsheet のログイン画面に表示されるようになります。

Smartsheet への OIDC または SAML 用の Azure を構成するには、Smartsheet および Azure のシステム管理者である必要があります

SAML で Azure AD を構成するには:

Azure で Smartsheet が所有するギャラリー アプリ (ID 329..) に SAML を設定することはできません。組み込みのアプリでは、別のオプションである OIDC SSO を管理できます。Azure で SAML を設定するには、次の手順で新しいエンタープライズ アプリを作成します。

基本的な SAML 構成に、次を入力します。
Azure のユーザー属性とクレームには、以下のような既定値があります。
  • Unique User Identifier (一意のユーザー識別子): user.userprincipalname
  • Email address (メール アドレス): user.mail
  • Name (名前): user-userprincipalname

既定の Additional Claim of Name (追加の名前クレーム): user-userprincipalname は予期せぬエラーの原因となります。これを削除して、Azure 経由の SAML が正しく機能するようにするにしてださい。

SAML 署名証明書で次を行います。
  1. Status (ステータス) が Active (アクティブ) であることを確認します。
  2. 通知メールを確認します。証明書の期限が近づくと、この電子メールに通知が届きます。 
  3. [Federation Metadata XML (フェデレーション メタデータ XML)] をダウンロードし、Notepad やその他のテキスト エディタでファイルを開きます。
  4. 左パネルから [Manage (管理)][Properties (プロパティ)] を選択し、一番下までスクロールして [User assignment required? (ユーザーの割り当てが必要ですか?)] をオフにします。この機能をオフにするとテストが容易になります。ユーザーは既に Smartsheet ユーザーリストで管理されています。  
  5. 管理センターにログインして [Authentication (認証)] > [SAML] をクリックします。
  6. [SAML] の横にある [Edit Configuration (構成の編集)] を選択して、[Add IdP (IdP の追加)] をクリックします。
  7. IdP に名前を付け (例: AzureSAML)、ダウンロードしたメタデータに貼り付けます。変更内容を保存します。 
  8. [Edit IdP (IdP の編集)] ウィンドウで、[Activate (アクティブ化)] をクリックします。
  9. [Edit IdP (IdP の編集)] ウィンドウと [SAML Administration (SAML 管理)] ウィンドウを閉じます。
  10. [Authentication (認証)] ウィンドウで、[SAML] を選択します。
  11. 変更内容を保存します。 

SAML を使用したログイン用の [組織/団体アカウント] ボタンが、ログイン画面に表示されます。新しく作成された Azure SAML 用の IdP により、SSO URL が SAML へのショートカットとして提供されます。


Smartsheet の管理センターで SSO の方法を設定する

  1. 左側のナビゲーション バーで [アカウント] を選択します。 
  2. [アカウント] メニューで、[管理センター] を選択します。 
  3. [セキュリティ] > [共有セーフ リスト] の順に選択します。このページにある他のオプションの詳細については、「セキュリティ制御」に関する記事をご覧ください。
  4. [認証] セクションで、[編集] を選択します。
  5. 希望する認証オプションを選択します。少なくとも 1 つ選択する必要があります。

単一の Azure エンタープライズ アプリを使用して、複数の Smartsheet ユーザーリストの SSO を強化できますか?

はい。Smartsheet では、複数のユーザー リストで同じエンティティ ID を使用できます。

 

OIDC を使用する「組み込まれた Microsoft」ボタンによる SSO では、ユーザー属性やクレームを変更できますか?

いいえ。SSO の設定を細かく管理するには、SAML を使用してください。

例外やグループ化を設定して、異なるユーザー グループに異なるログイン方法を適用することはできますか?

いいえ。唯一設定できる例外は、SAML でのシステム管理者向けのメール アドレス (オプション ) とパスワードのフォールバックのみとなります。

 

Azure SSO は外部の Smartsheet ユーザーに影響を与えますか?

認証設定 (Azure SSO を含む) の変更の影響を受けるのは、Azure SSO が有効になった Smartsheet ユーザー リスト内のユーザーのみです。システム管理者によって招待された、または Smartsheet によってプロビジョニングされた管理対象ユーザーのみ、SSO を介してログインできます。  

SSO を有効にした後、新規ユーザーのアカウントを作成するにはどうすればよいですか?

ドメインに対して Smartsheet の組み込みの自動プロビジョニングを使用します。Azure SCIM も使用できます。Azure SCIM のセットアップは複雑なプロセスであるため、Smartsheet UAP から始めてください。