Configurar o Entra ID para OIDC ou SAML no nível do plano com o Smartsheet

Você pode usar o Entra ID para SSO com o Smartsheet de duas maneiras. Os dois métodos são eficazes.

Quem pode usar isso?

Planos:

  • Enterprise

Permissões:

  • Administrador de sistema

Find out if this capability is included in Smartsheet Regions or Smartsheet Gov.

Em ambas as configurações, o Entra ID controla as configurações de autenticação do Entra ID. O Entra ID controla todas as políticas de SSO e os ajustes de configurações, não o Smartsheet. 

  • Open ID Connect (OIDC): use o botão integrado da Microsoft e o aplicativo corporativo correspondente no Entra ID (3290e3f7-d3ac-4165-bcef-cf4874fc4270). Para restringir apenas ao Entra ID, use as configurações de autenticação do Smartsheet. 
  • SAML: crie um novo aplicativo corporativo para o Smartsheet no Entra ID e configure SAML e a atribuição de usuário diretamente no aplicativo. Esse método fornece mais controle sobre atributos específicos do usuário. 

O Smartsheet oferece provisionamento de SCIM com o serviço de provisionamento Entra ID, mas isso não é um requisito para SSO. 

Lembre-se de que o Entra ID para OIDC ou SAML é uma configuração no nível do plano.

Configurar o SSO com OIDC

  1. No Entra ID Enterprise Apps, procure ou vá até o aplicativo corporativo pré-pronto Smartsheet (ID 3290e3f7-d3ac-4165-bcef-cf4874fc4270).
  2. Revise as configurações do Entra ID, como visibilidade para usuários e atribuição necessária. User.read é a única declaração necessária que o Smartsheet usa.
  3. Ative e teste a opção Microsoft Entra ID nas configurações de autenticação do Smartsheet.
  4. Quando o teste funcionar, comunique a alteração aos seus usuários e desative quaisquer outras opções de autenticação. 

Configurar o Entra ID para SAML com o Smartsheet

Se você precisar de mais controle sobre os detalhes de login, configure SAML com Entra ID como o provedor de identidade (IdP) de SAML. Assim como no OIDC, a maioria das alterações de configuração ocorre no Entra ID, não no Smartsheet. 

Quando você define a configuração de SAML entre o Smartsheet e o Entra ID, os usuários veem o botão Conta da sua empresa na tela de login do Smartsheet.

Você deve ser um administrador de sistema no Smartsheet e no Entra ID para configurar o Entra ID para OIDC ou SAML com o Smartsheet.

Para configurar o Entra ID com SAML: 

Você não pode configurar SAML no aplicativo de galeria do Smartsheet (ID 329) no Entra ID. O aplicativo integrado oferece controle sobre o SSO do OIDC, que é uma opção diferente. Para configurar SAML no Entra ID, crie um aplicativo empresarial da seguinte forma:

Na configuração básica de SAML, insira o seguinte:
Em Atributos e declarações do usuário, o Entra ID fornece os seguintes padrões:
  • Identificador de usuário exclusivo: user.userprincipalname
  • Endereço de e-mail: user.mail
  • Nome: user-userprincipalname

A Declaração de nome adicional padrão: user-userprincipalname causa um erro inesperado. Exclua para que SAML via Entra ID funcione.

Sob o certificado de autenticação SAML: 
  1. Verifique se o Status está definido como Ativo.
  2. Confirme seu e-mail de notificação. Você recebe uma notificação nesse e-mail quando o certificado se aproxima da expiração. 
  3. Baixe o XML de metadados da federação e abra o arquivo no bloco de notas ou em outro editor de texto bruto.
  4. No painel esquerdo, em Manage (Gerenciar), selecione Properties (Propriedades) e use a rolagem até a parte inferior para desativar User assignment required? (Atribuição de usuário necessária?). Desativar esse recurso facilita o teste, e os usuários já são gerenciados na lista de usuários do Smartsheet.  
  5. Faça login no centro de administração e selecione Autenticação SAML.
  6. Selecione Editar configuração ao lado de SAML e selecione Adicionar IdP.
  7. Nomeie o IdP (por exemplo, Entra IDSAML) e cole os metadados baixados. Salve suas alterações. 
  8. Na janela Editar IdP, selecione Ativar.
  9. Feche a janela Editar IdP e a janela Administração de SAML.
  10. Na janela Autenticação, selecione SAML.
  11. Salve suas alterações. 

O botão Conta da empresa para login via SAML deve aparecer na tela de login. O IdP recém-criado para o Entra ID SAML fornece um URL de SSO como um atalho para SAML.

Defina seu método de SSO no centro de administração do Smartsheet

  1. Na barra de navegação à esquerda, selecione Conta
  2. No menu Conta, selecione Centro de administração
  3. Selecione Segurança/Lista de compartilhamento seguro. Para obter mais informações sobre as outras opções nessa página, consulte Controles de segurança.
  4. Na seção Autenticação , selecione Editar.
  5. Selecione as opções de autenticação desejadas. É preciso selecionar ao menos uma.

Posso usar um único aplicativo empresarial do Azure para potencializar o SSO para várias listas de usuários do Smartsheet?

Sim, o Smartsheet permite que você use o mesmo ID de entidade em várias listas de usuários.

 

Posso alterar os atributos ou declarações do usuário no SSO do botão “Microsoft” do OIDC “integrado”?

Não. Use SAML para controlar as especificidades da experiência de SSO.

Posso configurar exceções ou agrupamentos para aplicar diferentes experiências de login a diferentes grupos de usuários?

Não, a única exceção é o fallback opcional de e-mail e senha para administradores de sistema no SAML.

 

O SSO do Azure afeta os usuários externos do Smartsheet?

Somente os usuários na lista de usuários do Smartsheet habilitados para SSO do Azure são afetados por alterações nas configurações de autenticação, incluindo o SSO do Azure. Somente usuários gerenciados convidados por um administrador de sistema ou provisionados pelo Smartsheet podem fazer login por meio do SSO.  

Como faço para contabilizar novos usuários depois de ativar o SSO?

Use o provisionamento automático do Smartsheet para o seu domínio. Você também pode usar o Azure SCIM. A configuração do Azure SCIM é um processo complexo. Portanto, comece com o provisionamento automático do Smartsheet; ele pode ser suficiente para suprir suas necessidades.