Configurar SAML 2 para login único no Smartsheet

Aplica-se a

Smartsheet
  • Enterprise

Recursos

Quem pode usar esse recurso?

Administradores de sistema com um administrador de TI podem configurar SAML 2 para SSO (Autenticação única) com o Smartsheet
 

Para definir o SSO baseado em SAML com Smartsheet 

Você precisará fazer o seguinte: 

  • Configure o provedor de identidade (IdP) da sua organização para se comunicar com o Smartsheet. 
  • Adicione um registro no DNS (sistema de nome de domínio) da organização.
    • Talvez seja necessário incluir um recurso técnico interno para obter assistência na configuração e manutenção desse recurso.

Para configurar com êxito o SSO do SAML 2 com o Smartsheet para o governo dos Estados Unidos, há alguns requisitos e configurações que você precisa seguir.

Lembre-se do seguinte

  • O Smartsheet é compatível com SSO iniciado por um provedor de serviços. Caso você esteja configurando um SSO iniciado por um IdP, consulte seu IdP.
  • É possível usar mais de um IdP de SSO ao mesmo tempo.

Requisitos para configurar o Smartsheet com o IdP

Usando os metadados fornecidos, configure Terceiros confiáveis no seu IdP. O processo de configuração de Terceiros confiáveis pode ser diferente para cada IdP. Consulte a documentação do IdP para saber mais.

Devido às vulnerabilidades de segurança, o algoritmo de certificado SHA1 foi descontinuado. Verifique se não está usando um certificado Secure Sockets Layer (SSL) assinado com SHA1.

Processo de troca de SAML 

O Smartsheet exige os seguintes atributos no processo de troca de SAML:

  • ID persistente: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent 
  • Endereço de e-mail: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.

Lembre-se do seguinte

  • A primeira asserção deve ter um ID persistente igual para cada pessoa que fizer o login. O endereço de e-mail pode ser um ID persistente, mas a declaração do Endereço de e-mail ainda precisa passar pelo processo de asserção. Para ver um exemplo de asserção e uma lista completa com os formatos de declaração compatíveis com o Smartsheet, consulte o artigo Asserção de SAML: exemplos de declaração compatíveis no Smartsheet.
  • É possível definir o ID persistente no elemento NameID (assunto) da asserção.
  • Caso a asserção não tenha um elemento NameID (assunto), você poderá usar os atributos definidos no artigo Declarações compatíveis.

Os seguintes atributos são recomendados, mas opcionais: 

  • Nome: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname 
    • Representa o nome do usuário.
  • Sobrenome: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname 
    • Representa o sobrenome do usuário.

Alguns serviços de SAML podem solicitar informações adicionais quando configurados com o Smartsheet: 

  • URL do ACS (Serviço do consumidor de declaração): https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST 
    Em contas da UE, use https://sso.smartsheet.eu/Shibboleth.sso/SAML2/POST;
  • Restrição de público: https://sso.smartsheet.com/saml
    Em contas da UE, use https://sso.smartsheet.eu/saml.

Insira os endereços de e-mail com letras minúsculas. As letras maiúsculas podem impedir a correspondência de e-mails entre o provedor SAML e o Smartsheet.

Configurar o Smartsheet.com para usar com o IdP de SAML

Antes de continuar, verifique se você atende aos requisitos de configuração do SSO por SAML para a conta.

Abra o formulário de administração de SAML

Veja como estabelecer uma conexão entre o IdP e o Smartsheet:

  1. Na Barra de navegação à esquerda, selecione Conta
  2. No menu Conta, selecione Plano e informações para cobrança.
  3. No formulário Administração da conta, selecione Controles de segurança
  4. Na seção Autenticação, selecione Editar.
    security-controls
  5. Selecione não configurado.
    saml-not-configured

 

Quando terminar essas etapas, o formulário Administração de SAML será exibido.

Configure o SSO com o IdP

Siga estas etapas para configurar o SAML com um ou mais IdPs:

  1. Selecione Adicionar IdP.

    add-idp
  2. Insira um apelido para o IdP. 
  3. Procure os metadados do IdP e copie as informações.
    Consulte a documentação do IdP para saber como obter os metadados do IdP.
  4. Na caixa de texto Metadados do IdP, cole os metadados do IdP. 
    idp-metadata
  5. Copie e cole o URL do SSO no IdP.
  6. Selecione Salvar​.
    • Depois que você salvar as alterações feitas, o Smartsheet validará os metadados.
      Se a validação for bem-sucedida, o formulário Editar IdP ​será exibido. Caso receba uma mensagem de erro, consulte o artigo Perguntas frequentes sobre SAML e erros comuns.
      Você pode adicionar um CNAME que direcionará as pessoas para um URL simples ao fazer login. Veja a seção Direcione pessoas para entrar em um URL de CNAME simples abaixo para saber mais.
  7. Para habilitar o IdP para usar com o Smartsheet, selecione Ativar. O status do IdP mudará de Inativo para Ativo, Padrão.
  8. Para habilitar o SAML para a organização, selecione SAML ​no formulário Autenticação
    Deve haver pelo menos um IdP ativo antes de habilitar o SAML
    activate-idp
  9. Selecione Salvar.

Pronto! Agora as pessoas da conta podem usar as credenciais da empresa para entrar no Smartsheet.

Configure outros IdPs

Embora a maioria das organizações precise de apenas um IdP ativo, o número de IdPs que você pode adicionar é ilimitado.

Para editar ou adicionar mais IdPs, selecione Editar configuração ao lado da caixa de seleção SAML. O formulário Administração de SAML aparecerá para você adicionar outros IdPs ou editar os que já estão definidos.

Se você tiver mais de um IdP ativo, as pessoas que fizerem login pelo SAML serão autenticadas no IdP padrão. Para que um IdP se torne o padrão, selecione Tornar padrão ​no formulário Editar IdP.

saml-admin-multiple-idps

Direcione pessoas para entrar um URL de CNAME simples

O Smartsheet disponibiliza o URL de SSO padrão​ para a organização, que é um link de etapa única para entrar no Smartsheet. Você pode adicionar um CNAME com um URL simples e mais específico da empresa.

Não digite sso.smartsheet.com no campo CNAME do formulário Editar IdP, pois isso resultará em problemas de login. Em vez disso, use um CNAME criado pela empresa e direcione-o para sso.smartsheet.com.

  1. No domínio, crie um registro do sistema de nomes de domínio (DNS) CNAME e direcione-o para sso.smartsheet.com, por exemplo, smartsheet.exemplo.org NO CNAME sso.smartsheet.com.
  2. No formulário Editar IdP, ​insira o CNAME
  3. Selecione Adicionar​. 
    Pode levar até uma hora para que o endereço CNAME seja autenticado.​​​

    cname

Não basta remover o acesso de SSO de um usuário para impedir que ele acesse o Smartsheet. Para impedir completamente o acesso de um usuário ao Smartsheet, exclua o usuário da conta da organização no Smartsheet.

Estados de configuração de SAML diferentes 

O SAML estará em um dos seguintes estados:

  • Não configurado​: não há IdPs ativos. 
  • Desabilitado​: há pelo menos um IdP ativo. Além disso, no formulário Autenticação, a caixa de seleção SAML não está selecionada.
  • Habilitado​: há pelo menos um IdP ativo. Além disso, no formulário Autenticação, a caixa de seleção SAML está selecionada. O IdP estará em um destes três estados: 
    • Não configurado​: o certificado de segurança expirou. 
    • Inativo​: metadados válidos, certificado de segurança válido. 
    • Ativo​: metadados válidos, certificado de segurança válido, não compartilha o ID da entidade com outro IdP ativo na conta e ativado.