Настройка протокола SAML 2 для реализации единого входа в Smartsheet

Если в вашей организации для аутентификации пользователей используется стандарт Security Assertion Markup Language (SAML), то вы можете настроить вход в Smartsheet через поддерживаемых поставщиков единого входа (Single Sign-On, SSO). После настройки функции единого входа для корпоративной учётной записи любой пользователь сможет с помощью её учётных данных входить в систему, выбирая параметр Учётная запись вашей организации.

Настройка протокола SAML 2 для единого входа в Smartsheet для пользователей государственных органов США несколько отличается от стандартной процедуры. Соответствующие инструкции см. в этой статье.

Кто может воспользоваться этой возможностью?

разрешения ролей Единый вход в Smartsheet по протоколу SAML 2 могут настраивать Системный администратор и ИТ-администратор
тип плана Учётные записи Smartsheet «Корпоративная» и «Премьер»

Это руководство для самостоятельной настройки доступа по протоколу SAML и функции единого входа. Процедура настройки, описанная в данной статье, требует знаний как протокола SAML 2, так и самой функции. Для настройки вам может понадобиться техническая консультация специалиста вашей компании.

Поддерживаемые поставщики единого входа

На данный момент Smartsheet поддерживает следующих поставщиков удостоверений (IdP) по протоколу SAML 2:

  • OneLogin
  • ADFS
  • Azure Active Directory
  • Shibboleth
  • PingIdentity
  • Okta
  • Smartsheet поддерживает только единый вход, инициированный поставщиком услуг; единый вход, инициированный поставщиком удостоверений, не поддерживается.
  • Допускается одновременное использование нескольких поставщиков удостоверений для единого входа (IdP).

Что необходимо при настройке Smartsheet для работы с поставщиком удостоверений

Метаданные Smartsheet, которые доступны по следующему адресу: www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata.xml 

С помощью предоставленных метаданных настройте доверяющую сторону на стороне своего поставщика удостоверений. Эти настройки зависят от поставщика. Подробные инструкции см. в его документации.

Поддержка алгоритма проверки сертификатов SHA1 была прекращена из-за имеющихся в нем уязвимостей. Убедитесь, что используемый вами SSL-сертификат подписан отличным от SHA1 алгоритмом.

Система Smartsheet требует использования в процессе SAML-обмена следующих атрибутов:

  • Постоянный идентификатор: urn:oasis:names:tc:SAML:2.0:nameid‑format:persistent 
  • Адрес эл. почты: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • Первое утверждение должно содержать постоянный идентификатор, который остается неизменным для каждого входящего пользователя. Постоянным идентификатором может быть ваш адрес электронной почты, однако указанный выше адрес также должен быть передан в процессе утверждения. Пример утверждения и полный список поддерживаемых форматов запросов см. в статье Примеры настроек и запросов для протокола SAML в Smartsheet.
  • Постоянный идентификатор может быть указан в элементе NameID (subject) утверждения (см. статью Поддерживаемые запросы).
  • Если в утверждении отсутствует элемент NameID (subject), вы можете использовать один из атрибутов, указанных в статье Поддерживаемые запросы.

Рекомендуется использовать следующие атрибуты (они необязательны):

  • Имя: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname 
  • Фамилия: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname 

Соответственно, первый атрибут представляет собой имя пользователя учётной записи, второй — его фамилию.

Некоторые сервисы SAML могут запросить дополнительную информацию при настройке для Smartsheet:

  • URL пользовательского сервиса утверждений (Assertion Consumer Service, ACS) URL: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST 
  • Ограничение аудитории: https://sso.smartsheet.com/saml

Настройка Smartsheet.com для работы с поставщиком удостоверений SAML (IdP)

Прежде чем продолжать, убедитесь, что ваша учётная запись соответствует всем требованиям, предъявляемым к настройке единого входа по протоколу SAML.

Доступ к форме «Администрирование SAML»

Процедура настройки соединения между вашим поставщиком удостоверений и Smartsheet

  1. Выберите Учётная запись > Администратор учётной записи > Контроль безопасности.
     
  2. На форме «Контроль безопасности» в разделе Проверка подлинности щёлкните Изменить.
    security-controls
     
  3. На форме «Проверка подлинности» щёлкните пункт не настроено рядом с SAML.

    saml-not-configured

После выбора элемента не настроено появится форма «Администрирование SAML». В этой форме вы можете настроить протокол SAML для использования с одним или несколькими поставщиками удостоверений.

Настройка единого входа через поставщика удостоверений

Процедура настройки единого входа через поставщика удостоверений:

  1. Откройте форму «Администрирование SAML» и выберите пункт Добавить поставщик удостоверений.

    add-idp
  2. Укажите псевдоним своего поставщика удостоверений.
  3. Получите метаданные поставщика и скопируйте их в текстовое поле «Метаданные поставщика удостоверений». Процесс получения метаданных должен быть описан в документации поставщика.
    idp-metadata
  4. Нажмите кнопку Сохранить. Smartsheet проверит указанные метаданные.

    Если проверка пройдет удачно, появится форма Изменение поставщика удостоверений. В случае ошибки см. нашу статью Часто задаваемые вопросы и типичные ошибки при настройке SAML.

    СОВЕТ. Вы можете добавить запись CNAME, которая будет перенаправлять пользователей, входящих в учётную запись, на страницу с более понятным адресом. Дополнительные сведения см. в разделе CNAME.
     
  5. Щёлкните Активировать, чтобы использовать поставщика удостоверений в Smartsheet. Статус поставщика удостоверений изменится с Неактивен на Активен, по умолчанию.
    activate-idp
  6. На форме Проверка подлинности установите флажок SAML, чтобы использовать протокол SAML в своей организации. Примите во внимание, что перед включением протокола SAML у вас должен быть активирован хотя бы один поставщик удостоверений.
    saml-enabled
  7. Нажмите кнопку Сохранить.

Вот и всё! Теперь пользователи вашей учётной записи смогут входить в Smartsheet с помощью корпоративных учётных данных.

Настройка дополнительных поставщиков удостоверений

Большинство компаний обходится одним поставщиком удостоверений. Однако вы можете добавить их столько, сколько вам нужно.

Чтобы поменять или добавить поставщика удостоверений, нажмите кнопку изменить конфигурацию рядом с флажком SAML. Откроется форма Администрирование SAML, в которой можно добавить нового или отредактировать параметры существующего поставщика.

Если у вас более одного активного поставщика удостоверений, то пользователи, входящие через SAML, будут проходить проверку подлинности через поставщика, выбранного по умолчанию. Для установки поставщика по умолчанию щёлкните Сделать по умолчанию в форме Изменение поставщика удостоверений.

saml-admin-multiple-idps

Перенаправление пользователей на страницу входа с понятным адресом с помощью записи CNAME

Smartsheet предлагает прямую ссылку по умолчанию для страницы единого входа пользователей организации. Вы можете заменить ее более понятным адресом, добавив запись CNAME.

Не вводите адрес sso.smartsheet.com в поле CNAME формы Изменение поставщика удостоверений, так как это приведёт к проблемам при входе. Вместо этого используйте запись CNAME, созданную в вашей организации, и настройте ее как указатель на адрес sso.smartsheet.com.

  1. Создайте запись DNS CNAME в своём домене и настройте ее как указатель на адрес sso.smartsheet.com. Пример: smartsheet.example.org IN CNAME sso.smartsheet.com.
  2. На форме «Изменение поставщика удостоверений» введите значение своей записи CNAME и щёлкните «Добавить».

    ПРИМЕЧАНИЕ. Проверка подлинности адреса, указанного в записи CNAME, может занять до одного часа.

    cname

Чтобы заблокировать доступ в Smartsheet какому-либо пользователю организации, отключить для него доступ через систему единого входа недостаточно. Для полного закрытия доступа к Smartsheet вы должны полностью удалить этого пользователя из учётной записи Smartsheet организации. Для этого см. раздел «Удаление пользователей» в статье Управление пользователями в плане на нескольких пользователей.

Описание разных состояний настройки SAML

Функция SAML может находиться в следующих состояниях:

  • Не настроено — без активных поставщиков удостоверений 
  • Выключено — активен как минимум один поставщик удостоверений, а флажок SAML на форме «Проверка подлинности» не установлен 
  • Включено — активен как минимум один поставщик удостоверений, а флажок SAML на форме «Проверка подлинности» установлен. Поставщик удостоверений может находиться в одном из трёх состояний: 
    • Не настроено — срок действия сертификата безопасности истёк 
    • Неактивно — указаны верные метаданные и действительный сертификат безопасности 
    • Активно — указаны верные метаданные и действительный сертификат безопасности, в вашей учётной записи не настроен доступ ещё одного активного поставщика удостоверений к идентификатору сущности, поставщик активирован