Aplica-se a

Resource Management

Para obter mais informações sobre os tipos de planos e os recursos incluídos, consulte a página Planos do Smartsheet.

Recursos

Quem pode usar esse recurso?

Os administradores de recursos podem habilitar o SSO em suas contas.

Descubra se esse recurso está incluído no Smartsheet Regions ou Smartsheet Gov.

Login único (SSO) para o Resource Management

Use login único (SSO) para o gerenciamento de senha e o provisionamento de usuários para garantir que as pessoas façam login na sua conta de maneira segura.

PLANS

  • Resource Management

Para obter mais informações sobre os tipos de planos e os recursos incluídos, consulte a página Planos do Smartsheet.

Permissões

Os administradores de recursos podem habilitar o SSO em suas contas.

Find out if this capability is included in Smartsheet Regions or Smartsheet Gov.

O Resource Management fornece o SSO usando o protocolo SAML 2.0, que funciona com todos os grandes provedores, incluindo, entre outros, ADFS, Azure AD, OKTA e Google. O Resource Management é compatível com o perfil SSO de navegador da web. O login iniciado pelo IdP não é compatível.

Antes de começar

Primeiro, crie ou designe uma conta de usuário que usará um nome de usuário e uma senha (não SSO) para fazer login. 

Essa conta serve como uma estratégia reserva em caso de alterações na configuração de SSO que impeçam que os usuários com SSO habilitado façam login.

A conta de backup permite que você faça login se o SSO falhar. Se você não tiver uma conta de backup, talvez não consiga fazer login.

Configurar o SSO para a conta

Para migrar seu provedor de identidade SSO para https://rm.smartsheet.com.

Um administrador deve confirmar essas alterações na página de Configurações da conta > Configuração do SSO imediatamente após atualizar o provedor de identidade.

  1. No provedor de identidade (IdP) de SSO, configure o Resource Management como um aplicativo (terceiro confiável) usando os valores relevantes de configuração de SSO em https://rm.smartsheet.com/saml/metadata.

    URL do ACS: https://rm.smartsheet.com/saml/acs
    EntityID (público): https://rm.smartsheet.com/saml/metadata
    NameID: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
  2. Faça login em https://rm.smartsheet.com como administrador. Vá para https://rm.smartsheet.com/settings e clique na seção SSO. Se o SSO ainda não estiver habilitado, clique em Configurar SSO. Caso contrário, clique em Editar.
  3. Adicione o URL aos seus metadados de IdP. Em seguida, selecione um dos dois modos de configuração disponíveis: automático ou manual.
    • Configuração automática: insira o URL de metadados fornecido pelo IdP. Os metadados fornecidos pelo IdP providenciarão um URL de login único, a ID da entidade e o certificado x.509 exigido pelo Resource Management. A Configuração automática (recomendada) é mais fácil de configurar do que a manual e não exige a extração e o carregamento de um certificado.  O modo Configuração automática de SSO no Resource Management buscará dinamicamente os certificados mais recentes e os URLs de login quando os usuários fizerem login no Resource Management. Esse modo também é compatível com cenários de vários certificados associados ao aplicativo de SSO (por exemplo, rotação perfeita de certificados). O provedor de identidade deve fornecer um URL de metadados publicamente disponível como XML.
    • Configuração manual: insira o certificado de autenticação SAML 2.0 e os URLs.

      Use essa opção se o IdP não fornecer um URL de metadados publicamente disponível, se o XML de metadados estiver incompleto ou malformado e/ou se a organização não aceitar configurações mutáveis. Obtenha o certificado x.509, o URL de destino para login e o URL de destino para sair do SSO com seu IdP. Se não tiver certeza dos URLs necessários, fale com o departamento de TI ou com o administrador do IdP. Seu certificado de autenticação SAML 2.0 deve ser codificado por PEM. A codificação DER não é compatível.
      Captura de tela de Configuração automática mostrando diferentes opções para a configuração de SAML

    4. Selecione a opção Provisionamento automático de usuários autenticados que não estão na conta para permitir que usuários ignorem o processo de convite.
    Quando essa caixa de seleção está marcada, novos usuários não precisam aceitar um convite para ingressar no aplicativo. Eles podem acessar a página de login e inserir o endereço de e-mail. Esses usuários serão identificados como usuários do sistema com a opção de fazer login na conta da empresa.
    Essa caixa de seleção de provisionamento automático não provisiona novas contas de usuário automaticamente. Novas contas de usuário devem ser criadas pelo aplicativo. 

    5. Clique em Salvar.

    Atributos obrigatórios

    Para uma autenticação de login bem-sucedida, uma declaração NameID no formato de um endereço de e-mail deve ser compartilhada com o Resource Management. O formato do identificador de nome que deve ser fornecido pelo provedor de identidade é o seguinte:

    urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

    Após a configuração

    Depois que o usuário fizer login usando SSO, ele não poderá fazer login usando nome de usuário e senha. O endereço de e-mail do perfil será bloqueado no aplicativo. Para atualizar o e-mail de login, fale conosco se precisar de assistência.

    Se o SSO no Resource Management estiver configurado no modo Configuração manual e você precisar fazer alterações nas configurações de SSO no aplicativo, será necessário habilitar a Configuração automática primeiro usando as etapas acima. Quando o SSO estiver configurado como Automático, o Resource Management detectará automaticamente as alterações feitas na configuração de SSO do IdP. 

    Se usar o modo Configuração manual, tenha cuidado ao fazer alterações na configuração de SSO. Antes de fazer alterações na configuração de SSO ativo, verifique se você tem pelo menos um usuário administrativo que não tenha feito login com SSO e que ainda tenha um login com nome de usuário e senha. Assim, você poderá fazer login com esse perfil caso precise reverter alguma alteração.

    Quando o SSO estiver habilitado na sua organização, clique no link chamado Fazer login usando senha do Resource Management para fazer login com nome de usuário e senha.

    Se tiver dificuldade, contate o suporte aqui.

    Terminologia usual

    Termo

    Definição

    EntityID

    O identificador do provedor de serviços. Em alguns IdPs, é chamado de Público. É fornecido pelos metadados de SP.

    Provedor de identidade (IdP)

    A autoridade que verifica e valida a identidade e o acesso de um usuário a um recurso solicitado (o "Provedor de serviços").

    Provedor de serviços (SP)

    O serviço do Resource Management que os usuários pretendem acessar.

    Metadados

    Conjunto de informações em formato XML fornecido pelo IdP para o SP e/ou vice-versa.

    Metadados do IdP

    Fornece o URL de login único, o ID da entidade e o arquivo do certificado x.509 exigido pelo SP para descriptografar a asserção. Insira o URL nesse arquivo para configurar o SSO automaticamente no Resource Management.

    Metadados do SP

    Fornecidos pelo Resource Management em
    https://rm.smartsheet.com/saml/metadata e contêm o URL do ACS, a Restrição de público (ou seja, EntityID), o formato NameID e um certificado x.509 se a asserção precisa estar criptografada.

    NameID

    Um atributo na asserção usado para especificar o endereço de e-mail do usuário. O SSO do Resource Management exige o formato NameID urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

    URL do ACS (serviço de consumidor de asserção)

    O ponto de extremidade de SP dedicado a lidar com transações de SAML.  Em alguns IdPs, é chamado de URL de SSO (URL de Login único).
    Este artigo foi útil?
    SimNão