Aplica-se a
- Enterprise
Recursos
Quem pode usar esse recurso?
- Administrador de sistema
Centro de administração: configurar acesso gerenciado por IdP
Com o acesso gerenciado do Provedor de Identidade (IdP), você pode controlar efetivamente o acesso e as permissões do usuário no Smartsheet usando grupos baseados em função definidos em seu IdP. Isso não apenas melhora a segurança, mas também simplifica o gerenciamento de acesso, integrando-se perfeitamente ao seu sistema IdP atual.
Quem pode usar isso?
Planos:
- Enterprise
Permissões:
- Administrador de sistema
Descubra se essa capacidade está incluída em Smartsheet Regions ou Smartsheet Gov.
Visão geral
A integração do gerenciamento de acesso baseado em função com um IdP permite atualizações automáticas das permissões quando as funções mudam dentro da empresa. Isso elimina a necessidade do processo manual e demorado de atualizar o acesso aos itens Smartsheet quando um funcionário se muda para uma equipe diferente.
Por exemplo, se um funcionário faz a transição de uma função financeira para uma função de marketing, sua organização não precisa remover manualmente seu acesso a itens relacionados a finanças e conceder acesso a itens de marketing. Isso muitas vezes pode levar a lacunas de segurança, pois qualquer atraso na remoção de acesso às informações confidenciais de uma função anterior aumenta o risco de acesso não autorizado.
Com o acesso gerenciado por IdP, as funções de usuário são sincronizadas automaticamente entre as funções de IdP definidas em seu provedor de identidade (como Okta ou Microsoft Entra ID) e grupos baseados em função de IdP no Smartsheet, garantindo uma correspondência direta entre funções em ambos os sistemas.
Pré-requisitos
- Configuração de SAML em nível de domínio: A Linguagem de Marcação de Asserção de Segurança (SAML) é necessária para atribuir acesso e permissões usando grupos baseados em função IdP baseados em domínio. Os administradores de sistema devem garantir que o SSO SAML de nível de domínio seja configurado para permitir o acesso gerenciado por IdP. Isso ocorre porque quando um usuário faz login no Smartsheet usando o login SAML, o SAML compartilha a função IdP do usuário do IdP para o Smartsheet em tempo real.
- Configuração específica do IdP: dependendo de qual sistema IdP você usa, siga as instruções abaixo para garantir que as funções de usuário em seu IdP sejam sincronizadas corretamente com o Smartsheet:
- Instruções específicas da Okta
- Instruções específicas do Entra ID (anteriormente conhecido como Azure AD)
- Outros IdPs
Lembre-se do seguinte
- Planos empresariais: os administradores de sistema de planos em que um domínio foi validado podem ativar ou desativar o acesso gerenciado por IdP para seus planos por meio do Centro de administração, permitindo que eles gerenciem o acesso do usuário por meio de seus grupos baseados em função IdP.
- Famílias EPM: Somente os Administradores de Sistema do plano principal do Gerenciador do Plano Empresarial (EPM) têm a capacidade de ativar ou desativar esse recurso. Os administradores de sistema de planos infantis em famílias EPM herdam as configurações do plano principal e têm acesso somente leitura. Eles não podem criar, editar ou remover grupos baseados em função de IdP em seu plano.
Ativar acesso gerenciado por IdP
- No Centro de administração, selecione o ícone de Menu no canto superior esquerdo.
Navegue até Configurações > Acesso gerenciado por IdP .
Brandfolder Image
Ative o alternador IdP Managed Access.
Brandfolder Image
Quando você ativa o recurso IdP Managed Access, ele gera automaticamente a planilha de acesso gerenciado por IdP e a compartilha com todos os Administradores de Sistema atuais no plano. Se necessário, os administradores do sistema podem compartilhá-lo com outros administradores do sistema, como fariam com qualquer outra planilha.
Também é possível acessar a página de acesso gerenciado do IdP a partir do cartão de segurança na página inicial da Central do administrador.
Desativar acesso gerenciado por IdP
- Desative a opção IdP Managed Access na página IdP Managed Access.
Quem pode criar grupos IdP?
- Administradores de sistema de planos onde o domínio está ativado.
- Administradores de grupo de domínios ativados, se permitido pelo Admin do Sistema.
- Os administradores de grupo de domínios validados podem solicitar a criação de grupos IdP.
Meus usuários poderão compartilhar com grupos Smartsheet e grupos de IdP?
Sim. O nome de domínio será listado no final (no modal de compartilhamento) para que os usuários possam reconhecer que é um grupo IdP.
Que alterações ocorrem quando habilito o recurso pela primeira vez em um plano em que o domínio está ativado?
- Uma nova planilha é criada para mapeamentos de função IdP e grupo IdP.
- As associações a grupos IdP são criadas e atualizadas automaticamente quando os usuários fazem login.
- Você pode compartilhar itens Smartsheet com grupos IdP. Além disso, os usuários terão acesso com base em sua função de IdP.
Como a desativação do recurso afeta um plano em que o domínio está ativado?
- A planilha é excluída, mas todos os mapeamentos de função são retidos no banco de dados no nível do domínio para uso futuro.
- A sincronização de membros de funções e grupos é interrompida.
- Os usuários não podem mais compartilhar itens Smartsheet com grupos IdP e as associações de grupo são removidas.
- As associações de grupo existentes são excluídas. Os usuários perderão o acesso a itens compartilhados por meio de grupos IdP.
O que acontece depois de reativar o recurso em um plano com um domínio ativado?
- A planilha é recriada usando os mapeamentos de função anteriores armazenados no banco de dados.
- A sincronização de funções e associações de grupo é retomada, atualizando as associações de grupo dos usuários.
- O compartilhamento de itens com grupos IdP fica disponível novamente, restaurando o acesso para usuários com as funções apropriadas.
Como a desativação do domínio afeta o IdP Managed Access quando ativado?
- A planilha permanece, mas a sincronização é interrompida para o domínio desativado.
- Mapeamentos de função existentes e associações de grupo são retidos, mas nenhuma nova atualização é feita.
- Os usuários em domínios desativados perderão o acesso a itens Smartsheet compartilhados por meio de grupos de IdP.
O que ocorre quando um domínio é ativado com uma função IdP já definida na planilha?
- Se os mapeamentos de função já existirem, eles serão sincronizados com a planilha quando o domínio for ativado.
- O sistema garante que os dados corretos estejam disponíveis na planilha nova ou existente, restaurando o acesso do usuário.
Como ativar, desativar ou reativar o recurso funciona em um plano em que um domínio é validado?
- Não há impacto direto na planilha, pois o plano ativado a gerencia.
- As associações de grupo são atualizadas com base nos logins do usuário, mas são removidas quando o recurso é desativado.
- O compartilhamento de itens e a associação ao grupo funcionam conforme o esperado, semelhante aos planos ativados, mas são gerenciados por meio do plano principal ativado.
Qual é o efeito da invalidação de domínio em um plano de domínio validado?
- As associações de grupo para usuários no domínio invalidado são removidas.
- Os usuários nesses domínios perdem o acesso a itens compartilhados com grupos de IdP.
Há algum caso específico que eu precise saber ao lidar com a desativação ou reativação de domínio?
- Quando um domínio é desativado, as linhas correspondentes na planilha são excluídas, mas os mapeamentos de função são mantidos.
- Se o último domínio de um plano for desativado, a planilha será excluída e o recurso será desativado para o plano.
- Se um domínio for reativado, todos os mapeamentos de função existentes serão ressincronizados com a planilha e os usuários recuperarão o acesso.