適用対象
- Enterprise
機能
この機能を使用できるユーザー
- システム管理者
管理センター: IdP管理アクセスを構成する
アイデンティティ プロバイダー (IdP ) 管理アクセスを使用すると、 IdPで定義されたロールベースのグループを使用して、 Smartsheet内のユーザー アクセスと権限を効果的に制御できます。これにより、セキュリティが向上するだけでなく、アクセス管理が簡素化され、現在のIdPシステムとシームレスに統合されます。
ご利用可能なユーザー
プラン:
- Enterprise
概要
ロールベースのアクセス管理をIdPと統合すると、社内でロールが変更されたときに権限を自動的に更新できるようになります。これにより、従業員が別のチームに移動したときに、 Smartsheetアイテムへのアクセスを更新するという手動で時間のかかるプロセスが不要になります。
たとえば、従業員が財務の役割からマーケティングの役割に移行した場合、組織は財務関連の項目へのアクセス権を手動で削除し、マーケティング関連の項目へのアクセス権を付与する必要はありません。以前の役割の機密情報へのアクセスを削除するのが遅れると、不正アクセスのリスクが増大するため、セキュリティのギャップが生じる可能性が高くなります。
IdP管理アクセスを使用すると、ユーザー ロールは、ID プロバイダー (Okta や Microsoft Entra ID など) で定義されたIdPロールとSmartsheetのIdPロールベースのグループ間で自動的に同期され、両方のシステムのロール間の直接的な対応が確保されます。
前提条件
- ドメインレベルのSAML設定:ドメインベースのIdPロールベース グループを使用してアクセスと権限を割り当てるには、セキュリティ アサーション マークアップ言語 ( SAML ) が必要です。システム管理者は、ドメインレベルのSAML SSO IdP管理アクセスを有効にするように設定されています。これは、ユーザーがSAMLログインを使用してSmartsheetにログインすると、 SAML がユーザーのIdPロールをIdPからSmartsheetにリアルタイムで共有するためです。
- 特定のIdP構成:使用するIdPシステムに応じて、以下の手順に従って、 IdPのユーザー ロールがSmartsheetと正しく同期されていることを確認します。
- Okta固有の指示
- Entra ID固有の指示(旧称 Azure AD)
- その他のIdP
留意点
- エンタープライズプラン:ドメインが検証されているプランのシステム管理者は、管理センターを介してプランのIdP管理アクセスを有効または無効にすることができ、 IdPロールベースのグループを通じてユーザー アクセスを管理できます。
- EPM ファミリー:この機能を有効または無効にできるのは、 エンタープライズ Plan Manager (EPM) メイン プランのシステム管理者のみです。EPM ファミリーの子プランのシステム管理者は、メイン プランから設定を継承し、読み取り専用アクセス権を持ちます。プラン内でIdPロールベースのグループを作成、編集、または削除することはできません。
IdP管理アクセスを有効にする
- 管理センターで、左上のメニュー アイコンを選択します。
移動設定 > IdP管理アクセス。
Brandfolder Image
をオンにするIdP管理アクセストグル。
Brandfolder Image
IdP管理アクセス機能を有効にすると、 IdP管理アクセスシートが自動的に生成され、プラン内の現在のシステム管理者全員と共有されます。必要に応じて、システム管理者は他のシートと同様に他のシステム管理者と共有できます。
また、 IdP管理アクセス管理センターのホームページのセキュリティカードからページに移動します。
IdP管理アクセスを無効にする
- オフにするIdP管理アクセスオンにするIdP管理アクセスページ。
IdPグループを作成できるのは誰ですか?
- ドメインがアクティブ化されているプランのシステム管理者。
- システム管理者によって許可されている場合、アクティブ化されたドメインのグループ管理者。
- 検証済みドメインのグループ管理者は、 IdPグループの作成をリクエストできます。
ユーザーはSmartsheetグループやIdPグループと共有できるようになりますか?
はい。ドメイン名は最後に(共有モーダルに)リストされるため、ユーザーはそれがIdPグループであることを認識できます。
ドメインがアクティブ化されているプランで初めて機能を有効にすると、どのような変更が起こりますか?
- IdPロールとIdPグループのマッピング用の新しいシートが作成されます。
- IdPグループ メンバーシップは、ユーザーがログインすると自動的に作成および更新されます。
- SmartsheetアイテムをIdPグループと共有できます。また、ユーザーはIdPロールに基づいてアクセス権を取得します。
この機能を無効にすると、ドメインがアクティブ化されているプランにどのような影響がありますか?
- シートは削除されますが、すべてのロール マッピングは将来使用するためにドメイン レベルでデータベースに保持されます。
- ロールとグループ メンバーシップの同期が停止します。
- ユーザーはSmartsheetアイテムをIdPグループと共有できなくなり、グループ メンバーシップは削除されます。
- 既存のグループ メンバーシップは削除されます。ユーザーはIdPグループを通じて共有アイテムにアクセスできなくなります。
アクティブ化されたドメインを含むプランで機能を再度有効にするとどうなりますか?
- シートは、データベースに保存されている以前のロール マッピングを使用して再作成されます。
- ロールとグループ メンバーシップの同期が再開され、ユーザーのグループ メンバーシップが更新されます。
- IdPグループとのアイテム共有が再び利用可能になり、適切なロールを持つユーザーのアクセスが復元されます。
ドメインの非アクティブ化を有効にすると、 IdP管理アクセスにどのような影響がありますか?
- シートは残りますが、非アクティブ化されたドメインの同期は停止します。
- 既存のロール マッピングとグループ メンバーシップは保持されますが、新しい更新は行われません。
- 非アクティブ化されたドメインのユーザーは、 IdPグループを通じて共有されたSmartsheetアイテムにアクセスできなくなります。
シートにすでに定義されているIdPロールを使用してドメインをアクティブ化すると何が起こりますか?
- ロール マッピングがすでに存在する場合は、ドメインがアクティブ化されたときにシートに同期されます。
- システムは、新しいシートまたは既存のシートで正しいデータが利用可能であることを確認し、ユーザー アクセスを復元します。
ドメインが検証されているプランでは、機能を有効化、無効化、または再度有効化するとどのように機能しますか?
- 有効化されたプランによってシートが管理されるため、シートに直接的な影響はありません。
- グループ メンバーシップはユーザーのログインに基づいて更新されますが、機能が非アクティブ化されると削除されます。
- アイテムの共有とグループ メンバーシップは、アクティブ化されたプランと同様に期待どおりに機能しますが、メインのアクティブ化されたプランを通じて管理されます。
検証済みドメイン プランでのドメイン無効化の影響は何ですか?
- 無効化されたドメイン内のユーザーのグループ メンバーシップは削除されます。
- これらのドメインのユーザーは、 IdPグループと共有されているアイテムにアクセスできなくなります。
ドメインの非アクティブ化または再アクティブ化を行う際に注意する必要がある特別なケースはありますか?
- ドメインが非アクティブ化されると、シート内の対応する行は削除されますが、ロール マッピングは保持されます。
- プランの最後のドメインが非アクティブ化されると、シートは削除され、プランの機能は非アクティブ化されます。
- ドメインが再アクティブ化されると、既存のロール マッピングがシートに再同期され、ユーザーは再びアクセスできるようになります。