適用対象

Smartsheet
  • Enterprise

各種プラン タイプと利用可能な機能の詳細については、「Smartsheet プラン」ページ (https://jp.smartsheet.com/pricing) をご覧ください。

機能

この機能を使用できるユーザー

システム管理者は IT 管理者と協力して、Smartsheet で SSO 用の SAML を設定できます。

この機能が Smartsheet リージョン (/ja/regions-capability-differences) または Smartsheet Gov (/articles/2480681-differences-between-smartsheet-gov-and-commercial) に含まれているかどうかをご確認ください。

Smartsheet へのドメインレベルのシングル サインオン用の SAML を設定する

ドメイン レベルで SAML を構成することで、プラン全体でドメインに統合シングル サインオン (SSO) を実装できます。 

PLANS

  • Enterprise

For more information about plan types and included capabilities, see the Smartsheet Plans page.

権限

システム管理者は IT 管理者と協力して、Smartsheet で SSO 用の SAML を設定できます。

Find out if this capability is included in Smartsheet Regions or Smartsheet Gov.

ドメイン レベルで SAML 構成を有効にすることで、検証済みのアクティブなドメイン内のさまざまなプランで、SSO が可能になります。また、部門やユーザーに割り当てられている特定の Smartsheet プランに関係なく、そのドメインに属するすべてのユーザーに対して統一されたプロセスが保証されます。

これは、エンタープライズ プランのみの機能です。システム管理者によってポリシーが設定されると、そのポリシーはプラン タイプに関係なく、ドメイン内のすべての Smartsheet ユーザーに適用されます。

既存のプランレベルの SAML 構成は、そのドメインに所属するユーザーに対しては引き続き機能することにご注意ください。ただし、ドメインレベルの SAML を実装するというオプションもあります。ドメイン レベルの SAML をアクティブ化すると、そのドメイン内のユーザーに対する以前のプラン レベルの SAML は上書きされます。

前提条件

SAML 属性の要件

Smartsheet での SAML 交換プロセスには以下の属性が必要です。

  • 永続的な ID: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
  • メール アドレス: email
  • (任意ですが、推奨されています):
    • 名: givenName
    • 姓: surname

一部の SAML サービスでは、以下の情報を求められる場合があります。

Azure では、永続的な ID の値は、事前入力された一意のユーザー識別子クレームによって自動的に含まれるため、手動で入力する必要はありません。一意の識別子クレームの場合、渡される値は user.userprincipalname である必要があります。手動で追加する必要がある属性値は、メール アドレスのみとなります。アプリケーション内で事前入力されたその他のクレームは、削除する必要があります。

Smartsheet へのシングル サインオン用に SAML を設定する

  1. [管理センター]に移動し、メニュー アイコンを選択します。
  2. [設定] タブをクリックして、[認証] を選択します。
  3. [SAML IdP を追加] を選択します。
  4. 次のいずれかで [構成] を選択します。
Choose SAML IdP

Okta ベースの SAML 構成

  1. [Name Okta IdP (Okta IdP に名前を付ける)] フィールドに Okta SAML 構成の名前を入力します。

  2. 画面の指示に従って Okta メタデータの URL を取得し、[保存して次へ] を選択します。

    Configure Okta SAML IdP
  3. Okta を使用して Smartsheet にサインインし、接続をテストします。[接続を検証する] を選択します。
  4. 接続が確認できたら、「上記の URL を使用して Smartsheet アプリ ホームにログインできました」と書かれたチェックボックスをオンにします。

  5. [保存して次へ] を選択します。

    Verify Okta connection
  6. ドロップダウン フィールドを使用してアクティブ ドメインを Okta に割り当てるか、[ドメインを追加]を選択して、追加したいドメインを見つけます。

  7. [保存して次へ] を選択します。

    Assign active domains to Okta SAML setup
  8. 画面の指示に従って Okta ブックマーク アプリを作成し、ユーザーが Okta アプリのホームから Smartsheet にサインインできるようにします。
  9. チェックボックスをオンにして、Smartsheet 用の Okta ブックマーク アプリが正常に作成されたことを確認します。

  10. [終了] を選択します。

    create an Okta bookmark app

カスタム SAML 構成

  1. 画面の指示に従って Smartsheet をリライング パーティーとして設定し、[次へ]を選択します。

    Configure custom SAML IdP
  2. [Name SAML IdP (SAML IdP に名前を付ける)] フィールドにカスタム SAML 構成の名前を入力します

  3. SAML IdP のメタデータを、XML ファイルから、または ID プロバイダーから提供された XML ファイルをホストする公開 URL からインポートします。

    メタデータのインポートには、XML URL オプションを使用することをお勧めします。

  4. [保存して次へ] を選択します。

    Copy IdP metadata for the custom SAML setup
  5. カスタム SAML IdP を使用して Smartsheet にサインインし、接続をテストします。[接続を検証する] を選択します。
  6. 接続が確認できたら、「上記の URL を使用して Smartsheet アプリ ホームにログインできました」と書かれたチェックボックスをオンにします。

  7. [保存して次へ] を選択します。

    Verify custom IdP connection
  8. ドロップダウン フィールドを使用してアクティブ ドメインをカスタム SAML IdP に割り当てるか、[ドメインを追加] を選択して、追加したいドメインを見つけます。

  9. [終了] を選択します。

    Assign active domains to custom SAML IdP setup

     

新しい SAML 構成を有効にするには、最初に SAML IdP 接続を確認する必要があります。

現在のプランレベルの SAML 構成について

  • プランレベルの SAML 設定がない場合や、Smartsheet を初めて使用する場合は、ドメインレベルの SAML のみ構成可能となります。ただし、プランレベルの SAML が必要な場合は、Smartsheet サポートまたは Smartsheet の担当者にお問い合わせください。
  • 現在のプランレベルまたはドメインレベルの SAML 設定は、Smartsheet の SAML 証明書の有効期限が切れるまで、ドメインに所属するユーザーに対して引き続き機能します。証明書の有効期限についての詳細をご覧ください
  • 管理センターに、現在のプラン レベルの SAML 構成が期限切れになるまでの日数を知らせる警告メッセージが表示されます。
  • プランレベルとドメインレベルの両方の SAML 構成が存在する場合、ドメインレベルの構成が優先され、ドメイン内のユーザーに対する既存のプランレベルの設定が置き換えられます。
  • 現在ご利用のプランで、電子メール/パスワード、Google SSO、SAML などのログイン方法が提供されており、エンタープライズ プランで特定のドメインにドメインレベルの SAML を設定している場合、そのドメインのユーザーには引き続き同じログイン オプションが表示されます。さらに、プラン タイプに関係なく、新しく構成されたドメインレベルの SAML にもアクセスできます。

留意点

ドメインを検証およびアクティブ化したエンタープライズ プランだけが、ドメインレベルの SAML 設定を構成および適用でき、そのドメイン内のすべてのユーザーに影響を与えます。

ただし、他のエンタープライズ プランで同じドメインが検証済みの場合は、それらのプランでもドラフトのドメインレベルの SAML 構成を設定できます。しかし、彼らはドメインをアクティブ化したユーザーではないため、その設定を適用することはできません。
 

ドメインレベルの SAML 構成で Google SSO や Azure SSO を使用できますか?

最初は、ドメインレベルの構成で SAML のみを使用できます。ドメインレベルの Google SSO/Azure SSO ログイン ポリシーの設定は、後日可能となります。
 

ドメインレベルの SAML への移行中に問題が発生した場合は、どうすればよいですか?

移行中に問題が発生した場合は、Smartsheet サポートまでご連絡ください。

必要に応じてプランレベルの SSO 設定に戻すことはできますか?

ドメインレベルの SAML 構成に移行した後は、プランレベルの SSO 設定に戻すことはできません。実施前に、この変更に対する準備が整っていることを確認してください。

ドメインレベルの SAML 構成に移行する際に、追加費用は発生しますか?

いいえ。ドメインレベルの SAML 構成を有効にしても、追加費用は発生しません。この機能は、既存の Smartsheet エンタープライズ プランに含まれています。

ドメインごとに異なる SAML を構成することはできますか?

はい。検証およびアクティブ化されたドメインごとに、異なる SAML 設定を構成できます。この柔軟性により、プランのさまざまなセグメントにわたって、セキュリティ設定をカスタマイズできます。

この変更は現在のユーザーのログイン方法にどのような影響を与えますか?

エンタープライズ プランのシステム管理者によって、検証およびアクティブ化されたドメインにドメインレベルの SAML が設定されると、そのドメインに所属するすべてのユーザーは、プラン タイプに関係なく、所定の SAML ログイン方法の対象となります。ただし、そのプランに属するエンド ユーザーは、その他のプランレベルの設定 (Google SSO、Azure SSO、電子メールおよびパスワードなど) をすべて利用できます。

ドメインレベルの SAML 構成をアクティブ化すると、既存のユーザー セッションはどうなりますか?

既存のセッションは影響を受けません。ただし、ユーザーがログアウトした後は、新しいドメインレベルの SAML 構成を使用して再度ログインする必要があります。

ドメインレベルの SAML 構成を、プラン全体で段階的に展開できますか?

構成はドメイン レベルで適用されるため、段階的なアプローチではなく、全面的な展開に適しています。 

複数のエンタープライズ プランでドメインレベルの SAML 構成を有効にできますか?

ドメインが検証およびアクティブ化されたエンタープライズ プランのみが、そのドメインに属するすべてのユーザーとプランに対してドメイン SAML ポリシーを設定できます。

この記事はお役に立ちましたか?
はいいいえ