Configure o SAML 2 para fazer login único no Smartsheet

Se a sua organização usa o padrão SAML ("Security Assertion Markup Language" - Linguagem de marcação para asserção de segurança) para autenticação de login, você pode configurar o Smartsheet para entrar em um provedor de login único (SSO) compatível. Depois de configurar o SSO em uma conta de nível Executivo, todos na conta podem usar a opção Conta da sua Empresa para conectar-se usando as credenciais corporativas.

Se deseja configurar o SAML 2 para SSO com o ambiente do Smartsheet para o governo dos RUA, existem algumas diferenças entre as exigências e configurações que você deve usar para configurar o SAML 2 SSO com sucesso. Lembre-se das informações contidas nesse artigo de ajuda ao fazer a configuração.

Quem pode usar esse recurso?

permissões de função Um Admin de sistema e um Admin de TI podem configurar o SAML 2 para SSO com Smartsheet
tipo de plano Empresa e Premier contas do Smartsheet

Este é um guia de autoatendimento para configurar o SAML e as etapas de recurso e instalação discutidas neste artigo exigem conhecimento sobre SAML 2 e SSO. Pode ser necessário consultar um recurso técnico em sua organização para obter ajuda na configuração.

Provedores de SSO compatíveis

Atualmente, o Smartsheet é compatível com os seguintes provedores de identidade (IdP) de SAML 2:

  • OneLogin
  • ADFS
  • Azure Active Directory
  • Shibboleth
  • PingIdentity
  • Okta
  • O Smartsheet é compatível somente com SSO iniciado pelo SP; O SSO iniciado pelo IdP não é compatível.
  • Você pode usar vários provedores de identidade (IdP) de SSO ao mesmo tempo.

O que você precisa para configurar o Smartsheet com o seu provedor de identidade

Os metadados do Smartsheet são fornecidos aqui: www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata.xml 

Usando os metadados fornecidos, configure Terceiros Confiáveis no seu provedor de identidade. Seu provedor de identidade tem detalhes específicos de como fazer isso; consulte a documentação do seu provedor de identidade para obter mais detalhes.

Devido a suas vulnerabilidades de segurança, o algoritmo de certificado SHA1 foi descontinuado. Você deve garantir que não está mais usando um certificado SSL assinado com SHA1

O Smartsheet requer que os seguintes atributos sejam declarados durante o processo de troca de SAML: 

  • ID Persistente:  urn:oasis:names:tc:SAML:2.0:nameid‑format:persistent 
  • Endereço de e-mail: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • A primeira asserção deve conter um ID persistente que seja o mesmo para cada pessoa sempre que ela se conectar. Seu endereço de e-mail pode ser um ID Persistente, mas a reivindicação de endereço de e-mail ainda precisa passar pelo processo de asserção. Para obter uma amostra de asserção e uma lista completa de nossos formatos de declaração compatíveis, consulte o artigo Exemplos de configuração e declarações para SAML no Smartsheet.
  • O ID persistente pode ser definido no elemento NameID (assunto) da asserção (consulte Declarações Compatíveis).
  • Se a asserção não tiver um elemento NameID (assunto), você poderá usar um dos atributos definidos no artigo Declarações Compatíveis.

Os seguintes atributos são recomendados, mas opcionais:

  • Nome: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname 
  • Sobrenome: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname 

Conforme o nome indica, o primeiro atributo representa o primeiro nome da pessoa na conta e o segundo representa o sobrenome.

Alguns serviços SAML podem solicitar informações adicionais quando você os configura com o Smartsheet:

  • URL do serviço de consumidor de asserção ("Assertion Consumer Service" - ACS): https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST 
  • Restrições de público-alvo: https://sso.smartsheet.com/saml

Configurando o Smartsheet.com para uso com seu provedor de identidade SAML (IdP)

Antes de continuar, verifique se você atende aos requisitos de configuração do SSO com base em SAML para sua conta.

Abra o formulário de administração SAML

Veja como estabelecer uma conexão entre seu IdP e o Smartsheet:

  1. Selecione Conta > Admin de Conta > Controles de Segurança.
     
  2. No formulário Controles de Segurança, selecione Editar na seção Autenticação.
    security-controls
     
  3. No formulário Autenticação, clique em não configurado próximo a SAML.

    saml-not-configured

Depois de selecionar não configurado, o formulário Administração do SAML é exibido. Neste formulário, você pode configurar o SAML com um ou mais provedores de identidade.

Configure o SSO com seu provedor de identidade

Para configurar o SSO com seu provedor de identidade (IdP):

  1. Abra o formulário Administração do SAML e selecione Adicionar IdP.

    add-idp
  2. Forneça um apelido para seu IdP.
  3. Obtenha os metadados do IdP, copie e cole-os no campo de texto Metadados do IdP. Consulte a documentação de seu provedor de identidade para saber como obter isso.
    idp-metadata
  4. Clique em Salvar. O Smartsheet validará os metadados.

    Se a validação for bem-sucedida, o formulário Editar IdP será exibido. Caso receba uma mensagem de erro, consulte o artigo Perguntas frequentes sobre SAML e erros comuns.

    DICA: Você pode adicionar um CNAME que direcionará as pessoas para um URL amigável ao fazer login. Consulte a seção CNAME abaixo para obter mais informações.
     
  5. Clique em Ativar para habilitar o IdP para uso com o Smartsheet. O status do IdP mudará de Inativo para Ativo, Padrão.
    activate-idp
  6. No formulário Autenticação, marque a caixa SAML para habilitar o SAML para sua organização. Observe que deve haver pelo menos um IdP habilitado antes de habilitar o SAML.
    saml-enabled
  7. Clique em Salvar.

Pronto! Agora, as pessoas na sua conta podem usar as credenciais corporativas para fazer login no Smartsheet.

Para configurar IdPs adicionais

Embora a maioria das organizações precise apenas de um único IdP ativo, não há limite para o número de IdPs que você pode adicionar.

Para editar ou adicionar IdPs adicionais, clique em editar configuração ao lado da caixa de seleção SAML. O formulário Administração o SAML aparece para que você adicione outros IdPs ou edite os existentes que você já configurou.

Se você tiver mais de um IdP ativo, as pessoas que fizerem login por meio do SAML serão autenticadas no IdP padrão. Para tornar um IdP padrão, clique em Tornar Padrão no formulário Editar IdP.

saml-admin-multiple-idps

Para direcionar pessoas para fazer login em um URL amigável de CNAME

O Smartsheet fornece à sua organização um URL SSO padrão, , que é um link de etapa única para fazer login no Smartsheet. Você pode adicionar um CNAME com um URL amigável e mais específico da empresa.

Não digite sso.smartsheet.com no campo CNAME do formulário Editar IdP, pois isso causará problemas de login. Em vez disso, use um CNAME criado por sua empresa e tenha isso em sso.smartsheet.com.

  1. Crie um registro DNS CNAME no seu domínio e direcione-o para sso.smartsheet.com. Por exemplo, “smartsheet.example.org IN CNAME sso.smartsheet.com” 
  2. No formulário Editar IdP, digite o CNAME e clique em Adicionar.

    NOTA: Pode levar até uma hora para que seu endereço CNAME seja autenticado.

    cname

Para impedir que um usuário na sua organização acesse o Smartsheet, desabilitar o acesso SSO dele não é suficiente. Para impedir totalmente que um usuário acesse o Smartsheet, você deve remover completamente o usuário da conta Smartsheet da sua organização. Para fazer isso, consulte “Remover Usuários” em Gerenciar Usuários em um Plano Multiusuário.

Estados de configuração SAML diferentes

O SAML estará em um dos seguintes estados:

  • Não configurado - sem IdPs ativos
  • Desabilitado - pelo menos um IdP ativo e a SAML não está marcada no formulário Autenticação
  • Habilitado - pelo menos um IdP ativo e a SAML são verificados no formulário Autenticação. Seu IdP estará em um dos três estados:
    • Não configurado - o certificado de segurança expirou
    • Inativo - metadados válidos, certificado de segurança válido
    • Ativo - metadados válidos, certificado de segurança válido, não compartilhando o ID da entidade com outro IdP ativo em sua conta e ativado
Este artigo foi útil?
SimNão