Smartsheet へのドメインレベルのシングル サインオン用の SAML を設定する

ドメイン レベルで SAML を構成することで、プラン全体でドメインに統合シングル サインオン (SSO) を実装できます。 

ご利用可能なユーザー

プラン:

  • Enterprise

権限:

  • システム管理者

この機能が Smartsheet リージョンまたは Smartsheet Gov に含まれているかどうかを確認してください。

Smartsheet で SSO 用の SAML を設定するには、IT 管理者が必要です。

ドメイン レベルで SAML 構成を有効にすることで、検証済みのアクティブなドメイン内のさまざまなプランで、SSO が可能になります。また、ユーザーの部門や、ユーザーに割り当てられている特定の Smartsheet プランに関係なく、そのドメインに属するすべてのユーザーに対して統一されたプロセスが保証されます。

この機能はエンタープライズ プラン限定です。システム管理者によってポリシーが設定されると、そのポリシーはプラン タイプに関係なく、ドメイン内のすべての Smartsheet ユーザーに適用されます。

既存のプランレベルの SAML 構成は、そのドメインに所属するユーザーに対して引き続き機能します。ただし、ドメインレベルの SAML を実装するというオプションもあります。ドメインレベルの SAML をアクティブ化すると、そのドメイン内のユーザーに対する以前のプランレベルの SAML は上書きされます。

このユーザー移動ポリシーは、プランレベルの SAML 構成のみをサポートしており、ドメインレベルの SAML 設定とは互換性がありません。ユーザー移動ポリシーをすでに構成している場合、ドメインレベルの SAML に切り替えることはできません。

はじめる前に

Smartsheet へのシングル サインオン用に SAML を設定する

  1. アドミン センターに移動し、メニュー アイコンを選択します。
  2. [設定] タブをクリックして、[認証] を選択します。
  3. [SAML IdP を追加] を選択します。
  4. 次のいずれかで [構成] を選択します。
Choose SAML IdP

フレンドリ CNAME URL でサインインするようにユーザーを誘導する

Smartsheet では組織/団体向けに既定の SSO URL を提供しており、この URL から直接 Smartsheet にサインインできます。よりパーソナライズされた URL を提供する CNAME を作成することもできます。この URL は、サインイン ページの「ショートカット」またはエイリアスとして機能します。これにより、ユーザーは標準の Smartsheet URL ではなく、smartsheet.yourcompany.com のようなブランド化された URL にアクセスできます。

希望する SAML の設定が完了したら、DNS プロバイダーに移動して CNAME レコードを作成します。このレコードでは、カスタム URL (smartsheet.yourcompany.comなど) を Smartsheet SSO サービス (sso.smartsheet.com) に向けて設定する必要があります。

Okta ベースの SAML 構成

  1. [Okta IdP に名前を付ける] フィールドに Okta SAML 構成の名前を入力します。

  2. [Assertion Consumer Service (ACS) URL] および [オーディエンス制限 (Entity ID)] フィールドの値をコピーして、Smartsheet v2 Okta アプリの [ACS URL] および [Audience URI (オーディエンス URI)] フィールドにそれぞれ貼り付けます。これにより、Smartsheet がサービス プロバイダーとして確立され、Okta インスタンスから SAML メタデータを取得できるようになります。

    Configure Okta SAML IdP
  3. 画面の指示に従って Okta メタデータの URL を取得し、[保存して次へ] を選択します。
  4. Okta を使用して Smartsheet にサインインし、接続をテストします。[接続を検証する] を選択します。
  5. 接続を確認した後、[接続の検証を正常に完了しました] チェックボックスをオンにします。

  6. [保存して次へ] を選択します。

    Verify Okta connection
  7. ドロップダウン フィールドを使用してアクティブ ドメインを Okta に割り当てるか、[ドメインを追加する] を選択して、追加したいドメインを見つけます。

  8. [保存して次へ] を選択します。

    Assign active domains to Okta SAML setup
  9. 画面の指示に従って Okta ブックマーク アプリを作成します。これにより、ユーザーは Okta アプリのホームから Smartsheet にサインインできます。
  10. チェックボックスをオンにして、Smartsheet 用の Okta ブックマーク アプリが正常に作成されたことを確認します。

  11. [終了] を選択します。

    create an Okta bookmark app

カスタム SAML 構成

  1. 画面の指示に従って Smartsheet をリライング パーティーとして設定し、[次へ] を選択します。

    Configure custom SAML IdP
  2. [SAML IdP に名前を付ける] フィールドにカスタム SAML 構成の名前を入力します。

  3. SAML IdP のメタデータを、XML ファイルから、または ID プロバイダーから提供された XML ファイルをホストする公開 URL からインポートします。

    メタデータのインポートには、XML URL オプションを使用することをお勧めします。

  4. [保存して次へ] を選択します。

    Copy IdP metadata for the custom SAML setup
  5. カスタム SAML IdP を使用して Smartsheet にサインインし、接続をテストします。[接続を検証する] を選択します。
  6. 接続を確認した後、[接続の検証を正常に完了しました] チェックボックスをオンにします。

  7. [保存して次へ] を選択します。

    Verify custom IdP connection
  8. ドロップダウン フィールドを使用してアクティブ ドメインをカスタム SAML IdP に割り当てるか、[ドメインを追加する] を選択して、追加したいドメインを見つけます。

  9. [終了] を選択します。

    Assign active domains to custom SAML IdP setup

新しい SAML 構成を有効にするには、最初に SAML IdP 接続を確認する必要があります。

現在のプランレベルの SAML 構成について

  • プランレベルの SAML を設定していない場合、または Smartsheet を初めて使用する場合は、ドメイン レベルでのみ SAML を構成できます。プランレベルの SAML が必要な場合は、カスタマー サクセス マネージャー (CSM) にお問い合わせください。
  • 現在のプランレベルまたはドメインレベルの SAML 構成は、Smartsheet の SAML 証明書の有効期限が切れるまで、ドメインに所属するユーザーに対して引き続き機能します。証明書の有効期限についての詳細をご確認ください
  • アドミン センターに、現在のプランレベルの SAML 構成が期限切れになるまでの日数を知らせる警告メッセージが表示されます。
  • プランレベルとドメインレベルの両方の SAML 構成が存在する場合、ドメインレベルの構成が優先され、ドメイン内のユーザーに対する既存のプランレベルの設定が置き換えられます。
  • 現在ご利用のプランで、電子メールとパスワード、Google SSO、SAML などのサインイン方法が提供されていて、エンタープライズ プランで特定のドメインにドメインレベルの SAML を設定している場合、そのドメインのユーザーには引き続き同じサインイン オプションが表示されます。さらに、プラン タイプに関係なく、新しく構成されたドメインレベルの SAML にもアクセスできます。

留意点

ドメインを検証およびアクティブ化したエンタープライズ プランだけが、ドメインレベルの SAML 設定を構成および適用でき、そのドメイン内のすべてのユーザーに影響を与えます。

ただし、他のエンタープライズ プランで同じドメインが検証済みの場合は、それらのプランでもドラフトのドメインレベルの SAML 構成を設定できます。しかし、それらはドメインをアクティブ化したユーザーではないため、その設定を適用することはできません。

ドメインレベルの SAML 構成で Google SSO や Entra ID SSO を使用できますか?

最初は、ドメインレベルの構成で SAML のみを使用できます。ドメインレベルの Google SSO/Entra ID SSO ログイン ポリシーの設定は、後日可能となります。
 

ドメインレベルの SAML への移行中に問題が発生した場合は、どうすればよいですか?

移行中に問題が発生した場合は、Smartsheet サポートまでご連絡ください。

必要に応じてプランレベルの SSO 設定に戻すことはできますか?

ドメインレベルの SAML 構成に移行した後は、プランレベルの SSO 設定に戻すことはできません。実施前に、この変更に対する準備が整っていることを確認してください。

ドメインレベルの SAML 構成に移行する際に、追加費用は発生しますか?

いいえ。ドメインレベルの SAML 構成を有効にしても、追加費用は発生しません。この機能は、既存の Smartsheet エンタープライズ プランに含まれています。

ドメインごとに異なる SAML を構成することはできますか?

はい。検証とアクティブ化が行われたドメインごとに、異なる SAML 設定を構成できます。この柔軟性により、プランのさまざまなセグメントにわたって、セキュリティ設定をカスタマイズできます。

この変更は現在のユーザーのログイン方法にどのような影響を与えますか?

エンタープライズ プランのシステム管理者によって、検証とアクティブ化が行われたドメインにドメインレベルの SAML が構成されると、そのドメインに所属するすべてのユーザーは、プラン タイプに関係なく、所定の SAML ログイン方法の対象となります。ただし、そのプランに属するエンド ユーザーは、その他のプランレベルの構成 (Google SSO、Entra ID SSO、電子メールおよびパスワードなど) をすべて利用できます。

ドメインレベルの SAML 構成をアクティブ化すると、既存のユーザー セッションはどうなりますか?

既存のセッションは影響を受けません。ただし、ユーザーがログアウトした後は、新しいドメインレベルの SAML 構成を使用して再度ログインする必要があります。

ドメインレベルの SAML 構成を、プラン全体で段階的に展開できますか?

構成はドメイン レベルで適用されるため、段階的なアプローチではなく、全面的な展開に適しています。 

複数のエンタープライズ プランでドメインレベルの SAML 構成を有効にできますか?

ドメインの検証とアクティブ化が行われたエンタープライズ プランのみが、そのドメインに属するすべてのユーザーとプランに対してドメイン SAML ポリシーを設定できます。

ドメインレベルの SAML を活用しながら、ユーザー移動ポリシーを設定できますか?

できません。ユーザー移動ポリシーは、ドメインレベルの SAML 構成と互換性がありません。