Применить к

Resource Management

Возможности

Кому доступна эта возможность?

Администраторы ресурсов могут включить единый вход в своих учётных записях.

Единый вход (SSO) для Resource Management

Используйте единый вход (SSO) для управления паролями и подготовки пользователей, чтобы гарантировать безопасный вход пользователей в вашу учётную запись.

PLANS

  • Resource Management

Права доступа

Администраторы ресурсов могут включить единый вход в своих учётных записях.

Resource Management предоставляет возможность единого входа с использованием протокола SAML 2.0, работающего со всеми основными поставщиками, в том числе ADFS, Azure AD, OKTA и Google. Resource Management поддерживает профиль единого входа через веб-браузер. Единый вход, инициированный поставщиком удостоверений, не поддерживается.

Перед началом работы

Сначала создайте или назначьте учётную запись пользователя, для входа в которую будут использоваться имя пользователя и пароль (а не служба единого входа). 

Такая учётная запись может быть использована в том случае, если в конфигурацию единого входа будут внесены изменения и пользователи, для которых включён единый вход, больше не смогут входить в систему.

С помощью резервной учётной записи может будет входить в систему, если служба единого входа перестанет функционировать. При отсутствии резервной учётной записи вы, возможно, не сможете войти в систему.

Настройка единого входа для учётной записи

Чтобы выполнить перенос поставщика удостоверений единого входа на https://rm.smartsheet.com, выполните следующие действия:

Сразу после обновления поставщика удостоверений администратор должен подтвердить эти изменения на странице "Параметры учётной записи" > "Конфигурация единого входа".

  1. В поставщике удостоверений (IdP) укажите Resource Management как приложение (доверяющую сторону) с использованием соответствующих значений конфигурации единого входа, указанных по адресу https://rm.smartsheet.com/saml/metadata.

    URL-адрес ACS: https://rm.smartsheet.com/saml/acs
    EntityID (аудитория): https://rm.smartsheet.com/saml/metadata
    NameID: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
  2. Выполните на странице https://rm.smartsheet.com вход от имени администратора. Перейдите на страницу https://rm.smartsheet.com/settings и откройте раздел "Единый вход". Если единый вход ещё не включён, нажмите "Настроить единый вход". В противном случае нажмите "Редактировать".
  3. Добавьте URL-адрес в метаданные поставщика удостоверений. Затем выберите один из двух доступных режимов конфигурации: автоматический или ручной.
    • Автоматическая конфигурация. Введите URL-адрес метаданных, предоставленных вашим поставщиком удостоверений. Метаданные, предоставленные поставщиком удостоверений, включают URL-адрес единого входа, идентификатор сущности и файл сертификата x.509, который требуется Resource Management. Рекомендуется использовать автоматическую конфигурацию. Настроить её проще, чем ручную. Кроме того, она не требует извлечения и отправки сертификата.  При входе пользователей в систему режим автоматической конфигурации единого входа в Resource Management будет динамически получать последние версии сертификатов и URL-адресов единого входа. Этот режим также поддерживает сценарии, когда имеется несколько сертификатов, связанных с приложением единого входа (т. е. корректно осуществляет ротацию сертификатов). Ваш поставщик удостоверений должен предоставить общедоступный URL-адрес метаданных в виде XML-файла.
    • Ручная конфигурация: введите сертификат подписи SAML 2.0 и URL-адреса.

      Используйте этот вариант, если ваш поставщик удостоверений не предоставляет общедоступный URL-адрес метаданных, XML-файл с метаданными неполон или испорчен и (или) организация не поддерживает изменяемые настройки.  Необходимо получить у поставщика удостоверений сертификат x.509, целевой URL-адрес единого входа и целевой URL-адрес выхода. Если вы не знаете, какие URL-адреса нужны, обратитесь за помощью в ИТ-отдел или к администратору поставщика удостоверений. Сертификат подписи SAML 2.0 должен иметь PEM-формат. DER-формат не поддерживается.
      Снимок экрана режима автоматической конфигурации, на котором показаны различные параметры конфигурации SAML

    4. Если требуется разрешить пользователям обходить процесс приглашения, выберите параметр Выполнять автоматическую подготовку пользователей вне учётной записи, прошедших проверку подлинности.
    Если этот флажок установлен, новым пользователям не нужно принимать приглашение, чтобы начать работу с приложением. Им потребуется просто перейти на страницу входа и ввести адрес электронной почты. После этого они будут распознаны как пользователи системы и получат возможность войти в учётную запись вашей компании.
    При этом автоматическая подготовка не распространяется на учётные записи новых пользователей. Учётные записи новых пользователей необходимо создавать в приложении. 

    Нажмите кнопку Сохранить.

    Необходимые атрибуты

    Для успешной проверки подлинности с использованием единого входа необходимо передать Resource Management запрос NameID в формате адреса электронной почты. Требуемый формат идентификатора имени, предоставляемого поставщиком удостоверений, имеет следующий вид:

    urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

    Действия после настройки

    Выполнив вход в систему с использованием единого входа, пользователь больше не сможет входить в систему с помощью имени пользователя и пароля, и адрес электронной почты его профиля в приложении будет заблокирован. Свяжитесь с нами, чтобы обновить адрес электронной почты для входа.

    Если для единого входа в Resource Management задан режим ручной конфигурации и вам требуется внести изменения в параметры единого входа в приложении, рекомендуем переключиться на автоматическую конфигурацию (см. инструкции выше). После переключения на автоматическую конфигурацию единого входа Resource Management автоматически обнаружит изменения, внесённые в конфигурацию единого входа поставщика удостоверений. 

    Вносить изменения в конфигурацию единого входа в ручном режиме необходимо с особой осторожностью. Прежде чем вносить какие-либо изменения в активную конфигурацию единого входа, убедитесь в том, что в организации имеется хотя бы один пользователь с правами администратора, который не входил в систему с использованием единого входа и может выполнить вход по имени пользователя и паролю. Это позволит вам выполнить вход с использованием этого профиля, если потребуется отменить какие-либо изменения.

    Если возможность единого входа для организации уже активирована, то чтобы войти в систему с помощью имени пользователя и пароля, вам нужно будет нажать ссылку "Войти с паролем от Resource Management".

    Если у вас возникли проблемы, обратитесь в службу поддержки по ссылке.

    Термины и определения

    Термин

    Определение

    Идентификатор сущности

    Идентификатор поставщика услуг. В некоторых поставщиках удостоверений известен также как "аудитория". Содержится в метаданных поставщика услуг.

    Поставщик удостоверений (IdP)

    Служба, которая проверяет и подтверждает удостоверение пользователя, а также его доступ к запрошенному ресурсу ("поставщику услуг").

    Поставщик услуг (SP)

    Служба Resource Management, доступ к которой требуется пользователям.

    Метаданные

    Набор данных, поставляемый поставщиком удостоверений поставщику услуг и (или) наоборот в формате XML.

    Метаданные поставщика удостоверений

    Предоставляет URL-адрес единого входа, идентификатор сущности и файл сертификата x.509, который требуется поставщику услуг для расшифровки подтверждения. Для автоматической настройки единого входа в Resource Management вставьте URL-адрес в этот файл.

    Метаданные поставщика услуг

    Поставляются приложением Resource Management по адресу
    https://rm.smartsheet.com/saml/metadata и содержат URL-адрес ACS, ограничение аудитории (идентификатор сущности), формат идентификатора имени и сертификат x.509, если подтверждение требует расшифровки.

    NameID

    Атрибут в составе подтверждения, используемый для указания адреса электронной почты пользователя. Единый вход Resource Management требует, чтобы атрибут NameID имел следующий формат: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

    URL-адрес пользовательского сервиса утверждений (Assertion Consumer Service, ACS)

    Конечная точка поставщика, предназначенная для обработки транзакций SAML.  У некоторых поставщиков удостоверений это называется URL-адресом единого входа.

    Вам помогла эта статья?
    ДаНет