Aplica-se a
- Enterprise
Recursos
Quem pode usar esse recurso?
Você precisa ser um administrador de sistema no Smartsheet e no Azure para configurar o Azure para OIDC ou SAML com o Smartsheet
Configurar o Azure para OIDC ou SAML em nível de plano com o Smartsheet
Você pode usar o Azure para SSO com o Smartsheet de duas maneiras. Os dois métodos são eficazes.
Em ambas as configurações, o Azure controla as configurações de autenticação do seu Azure. O Azure controla todas as políticas de SSO e ajustes de configurações, não o Smartsheet.
- Open ID Connect (OIDC): use o botão interno da Microsoft e o aplicativo corporativo correspondente no Azure (3290e3f7-d3ac-4165-bcef-cf4874fc4270). Para restringir apenas ao Azure, use as configurações de autenticação do Smartsheet.
- SAML: crie um novo aplicativo corporativo para o Smartsheet no Azure e defina a configuração do SAML e a atribuição do usuário diretamente no aplicativo. Esse método fornece mais controle sobre atributos específicos do usuário.
O Smartsheet oferece provisionamento de SCIM com o serviço de provisionamento do Azure, mas isso não é um requisito para SSO.
Tenha em mente que o Azure para OIDC ou SAML é uma configuração de nível de plano.
Configurar o SSO com OIDC
- No Azure Enterprise Apps, procure ou vá até o aplicativo corporativo pré-pronto Smartsheet (ID 3290e3f7-d3ac-4165-bcef-cf4874fc4270).
- Revise as configurações do Azure, como visibilidade para os usuários e atribuição necessária. User.read é a única declaração necessária que o Smartsheet usa.
- Ative e teste a opção do Microsoft Azure AD nas configurações de autenticação do Smartsheet.
- Quando o teste funcionar, comunique a alteração aos seus usuários e desative quaisquer outras opções de autenticação.
Configurar o Azure para SAML com o Smartsheet
Se você precisar de mais controle sobre os detalhes de login, configure o SAML com o Azure como o provedor de identidade SAML (IdP). Assim como no OIDC, a maioria das alterações de configuração ocorre no Azure, não no Smartsheet.
Quando você configura o SAML entre o Smartsheet e o Azure AD, os usuários veem o botão Conta da sua empresa na tela de login do Smartsheet.
Para configurar o Azure AD com SAML:
Você não pode configurar SAML no aplicativo de galeria de propriedade do Smartsheet (ID 329..) no Azure. O aplicativo integrado oferece controle sobre o SSO OIDC, uma opção diferente. Para configurar o SAML no Azure, crie um novo aplicativo corporativo da seguinte forma:
Na configuração básica do SAML, insira o seguinte:
- ID da entidade: https://sso.smartsheet.com/saml
- URL de resposta: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
- URL de inscrição: https://app.smartsheet.com/b/home
Em Atributos e declarações do usuário, o Azure fornece os seguintes padrões:
- Identificador de usuário exclusivo: user.userprincipalname
- Endereço de e-mail: user.mail
- Nome: user-userprincipalname
A Declaração de nome adicional padrão: user-userprincipalname causa um erro inesperado. Exclua para que o SAML via Azure funcione.
Sob o certificado de autenticação SAML:
- Certifique-se de que Status = Ativo
- Confirme seu e-mail de notificação. Você recebe uma notificação nesse e-mail quando o certificado se aproxima da expiração.
- Baixe o XML de metadados da federação e abra o arquivo no bloco de notas ou em outro editor de texto bruto.
- No painel esquerdo, em Gerenciar, selecione Propriedades e role até a parte inferior para desativar a opção Atribuição de usuário necessária? Desativar esse recurso facilita o teste, e os usuários já são gerenciados na lista de usuários do Smartsheet.
- Faça login no centro de administração e selecione Autenticação > SAML.
- Selecione Editar configuração ao lado de SAML e selecione Adicionar IdP.
- Nomeie o IdP (por exemplo, AzureSAML) e cole os metadados baixados. Salve as alterações.
- Na janela Editar IdP, selecione Ativar.
- Feche a janela Editar IdP e a janela Administração de SAML.
- Na janela Autenticação, selecione SAML.
- Salve as alterações.
O botão Conta da empresa para login via SAML deve aparecer na tela de login. O IdP recém-criado para SAML do Azure fornece um URL de SSO como um atalho para SAML.
Defina seu método de SSO no centro de administração do Smartsheet
- Na barra de navegação à esquerda, selecione Conta.
- No menu Conta, selecione Centro de administração.
- Selecione Segurança/Lista de compartilhamento seguro. Para obter mais informações sobre as outras opções nessa página, consulte Controles de segurança.
- Na seção Autenticação, selecione Editar.
- Selecione as opções de autenticação desejadas. É preciso selecionar ao menos uma.
Posso usar um único aplicativo empresarial do Azure para potencializar o SSO para várias listas de usuários do Smartsheet?
Sim, o Smartsheet permite que você use o mesmo ID de entidade em várias listas de usuários.
Posso alterar os atributos ou declarações do usuário no SSO do botão “Microsoft” do OIDC “integrado”?
Não. Use SAML para controlar as especificidades da experiência de SSO.
Posso configurar exceções ou agrupamentos para aplicar diferentes experiências de login a diferentes grupos de usuários?
Não, a única exceção é o fallback opcional de e-mail e senha para administradores de sistema no SAML.
O SSO do Azure afeta os usuários externos do Smartsheet?
Somente os usuários na lista de usuários do Smartsheet habilitados para SSO do Azure são afetados por alterações nas configurações de autenticação, incluindo o SSO do Azure. Somente usuários gerenciados convidados por um administrador de sistema ou provisionados pelo Smartsheet podem fazer login por meio do SSO.
Como faço para contabilizar novos usuários depois de ativar o SSO?
Use o provisionamento automático do Smartsheet para o seu domínio. Você também pode usar o Azure SCIM. A configuração do Azure SCIM é um processo complexo. Portanto, comece com o provisionamento automático do Smartsheet; ele pode ser suficiente para suprir suas necessidades.