管理センター: IdP 管理アクセスの設定

ID プロバイダー (IdP) 管理アクセスを利用すると、IdP で定義された役割ベースのグループを使用して、Smartsheet 内のユーザー アクセスと権限を効果的に制御できます。これにより、セキュリティが向上するだけではなく、現在の IdP システムとシームレスに統合してアクセス管理を簡素化できます。

ご利用可能なユーザー

プラン:

  • Enterprise

権限:

  • システム管理者

Find out if this capability is included in Smartsheet Regions or Smartsheet Gov.

概要

役割ベースのアクセス管理を IdP と統合すると、社内で役割が変更されるた場合に権限を自動更新できます。これにより、従業員が別のチームに異動した場合に、Smartsheet アイテムへのアクセス権の更新という時間のかかる手動のプロセスが不要になります。

たとえば、従業員の役割が財務担当からマーケティング担当に変更になっても、組織は財務関連アイテムへのアクセス権を手動で削除してマーケティング関連アイテムへのアクセス権を付与する必要はありません。アクセス権の更新が必要な場合は、前の役割で扱っていた機密情報へのアクセス権限の削除が万一遅れてしまうと不正アクセスのリスクが高まるので、多くの場合セキュリティ ギャップが生じます。

IdP 管理アクセスを使用すると、ID プロバイダー (Okta や Microsoft Entra ID など) で定義されている IdP ロール (役割) と、Smartsheet の IdP ロールベースのグループとの間でユーザーの役割が自動的に同期されます。これにより、両システムの役割間で直接通信が可能になります。

前提条件

  • ドメインレベルの SAML 設定: ドメインベースの IdP ロールベースのグループを使用してアクセスと権限を割り当てるには、セキュリティ アサーション マークアップ ランゲージ (SAML) が必要です。システム管理者は、IdP 管理アクセスを有効にするために、ドメインレベルの SAML SSO が設定されていることを確認する必要があります。これは、ユーザーが SAML ログインを使用して Smartsheet にログインした場合に、SAML が IdP から Smartsheet にユーザーの IdP ロールをリアルタイムで共有できるようにするためです。
  • 特定の IdP 設定: 使用している IdP システムに応じて以下の手順に従い、IdP で定義されているユーザーの役割情報が Smartsheet の情報と正しく同期されるようにします。

留意点

  • エンタープライズ プラン: ドメインが検証されたプランのシステム管理者は、管理センターを介してプランへの IdP 管理アクセスをアクティブ化または非アクティブ化することができ、IdP ロールベースのグループを通してユーザー アクセスを管理できます。
  • EPM ファミリー:Enterprise Plan Manager (EPM) メイン プランのシステム管理者のみが、この機能をアクティブ化または非アクティブ化できます。EPM ファミリーの子プランのシステム管理者は、メイン プランから設定を継承し、読み取り専用のアクセス権を持ちます。プラン内の IdP ロールベースのグループを作成、編集、削除することはできません。

IdP 管理アクセスをアクティブ化する

  1. 管理センターで、左上のメニュー アイコンを選択します。

  2. [設定] > [IdP 管理アクセス] の順に移動します。

    IdP Managed Access option in Admin Center menu

  3. [IdP 管理アクセス] をオンに切り替えます。

    Activate IdP managed access toggle in Admin Center

IdP 管理アクセス機能をアクティブ化すると、IdP 管理アクセス シートが自動的に生成され、プラン内の現在のシステム管理者全員に共有されます。必要に応じて、システム管理者はこのシートを他のシートと同様に他のシステム管理者と共有できます。

管理センターのホーム ページのセキュリティ カードから [IdP 管理アクセス] ページにアクセスすることもできます。

IdP 管理アクセスを非アクティブ化する

  • [IdP 管理アクセス] ページで [IdP 管理アクセス] をオフにします。

誰が IdP グループを作成できますか?

  • ドメインがアクティブ化されたプランのシステム管理者。
  • アクティブ化されたドメインのグループ管理者 (システム管理者が許可している場合)
  • 検証済みドメインのグループ管理者は、IdP グループの作成をリクエストできます。
     

ユーザーは Smartsheet グループおよび IdP グループと共有できますか?

はい。ドメイン名は (共有モーダルで) 最後に表示されるため、ユーザーはそれが IdP グループであることを認識できます。

ドメインがアクティブ化されているプランで初めて機能を有効にするとき、どのような変更が生じますか?

  • IdP ロールと IdP グループのマッピング用の新しいシートが作成されます。
  • IdP グループ メンバーシップは、ユーザーがログインすると自動的に作成および更新されます。
  • Smartsheet アイテムを IdP グループと共有できます。また、ユーザーは、IdP の役割に基づいてアクセス権を取得します。
     

この機能を無効にすると、ドメインがアクティブ化されているプランにどのような影響がありますか?

  • シートが削除されますが、すべての役割のマッピングは今後使用できるようドメイン レベルのデータベースに保持されます。
  • 役割とグループ メンバーシップの同期が停止します。
  • ユーザーは IdP グループで Smartsheet アイテムを共有できなくなり、グループ メンバーシップが削除されます。
  • 既存のグループ メンバーシップは削除されます。ユーザーは、IdP グループを介した共有アイテムにアクセスできなくなります。
     

ドメインがアクティブ化されたプランで機能を再度アクティブ化すると、どうなりますか?

  • シートは、データベースに保存されている以前の役割のマッピングを使用して再作成されます。
  • 役割とグループ メンバーシップの同期が再開され、ユーザーのグループ メンバーシップが更新されます。
  • IdP グループとのアイテム共有が再び可能になり、適切な役割を持つユーザーのアクセスが復旧されます。
     

ドメインを非アクティブ化すると、有効された IdP 管理アクセスにどのような影響がありますか?

  • シートは残りますが、非アクティブ化されたドメインの同期は停止されます。
  • 既存の役割のマッピングとグループ メンバーシップは保持されますが、新しく更新されることはありません。
  • 非アクティブ化されたドメインのユーザーは、IdP グループを通じて共有された Smartsheet アイテムにアクセスできなくなります。
     

シートですでに定義されている IdP の役割でドメインをアクティブ化すると、どうなりますか?

  • 役割のマッピングがすでに存在する場合は、ドメインがアクティブ化されたときにそのマッピングがシートに同期されます。
  • システムにより、新規または既存のシートで正しいデータが利用できるようになり、ユーザー アクセスが復旧されます。
     

ドメイン検証済みのプランでは、機能の有効化、無効化、再有効化はどのように機能しますか?

  • シートはアクティブ化されたプランによって管理されるため、シートへの直接的な影響はありません。
  • グループ メンバーシップはユーザー ログインに基づいて更新されますが、機能を非アクティブ化すると削除されます。
  • アイテムの共有とグループ メンバーシップは、アクティブ化されたプランと同様に想定どおりに機能しますが、アクティブ化されたメインのプランを通じて管理されます。
     

検証済みドメイン プランでドメインが無効になると、どのような影響がありますか?

  • 無効になったドメイン内のユーザーのグループ メンバーシップは削除されます。
  • これらのドメインのユーザーは、IdP グループで共有されているアイテムにアクセスできなくなります。
     

ドメインの非アクティブ化または再アクティブ化を処理する際に注意しなければならないことはありますか?

  • ドメインが非アクティブ化されると、シート内の対応する行は削除されますが、役割のマッピングは保持されます。
  • プランの最後のドメインが非アクティブ化されると、シートが削除され、そのプランの機能が非アクティブ化されます。
  • ドメインが再アクティブ化されると、既存の役割のマッピングはすべてシートに再同期され、ユーザーは再びアクセスできるようになります。