К тексту на этой странице мог быть частично применён машинный перевод.

Настройка Azure для OIDC или SAML на уровне плана с помощью Smartsheet

Вы можете использовать Azure для SSO в Smartsheet двумя способами. Оба метода эффективны.

Доступно для:

Планы:

  • Business
  • Enterprise

Разрешения:

  • Системный администратор

Узнайте, входит ли эта возможность в Smartsheet Regions или Smartsheet Gov.

В обеих конфигурациях Azure контролирует параметры аутентификации в Azure. Azure контролирует все политики и настройки SSO, а не Smartsheet. 

  • Open ID Connect (OIDC): Используйте встроенную кнопку Microsoft и соответствующее приложение Enterprise App в Azure (3290e3f7-d3ac-4165-bcef-cf4874fc4270). Чтобы ограничить доступ только к Azure, используйте настройки аутентификации Smartsheet. 
  • SAML: Создайте новое корпоративное приложение для Smartsheet в Azure и настройте параметры SAML и атрибуцию пользователей непосредственно в приложении. Этот метод обеспечивает больший контроль над конкретными атрибутами пользователя. 

Smartsheet предлагает предоставление SCIM с помощью службы предоставления Azure, но это не является обязательным условием для SSO. 

Следует помнить, что Azure для OIDC или SAML - это конфигурация на уровне плана .

Настройте SSO с помощью OIDC

  1. В Azure Enterprise Apps перейдите к предварительно созданному приложению Smartsheet Enterprise App (идентификатор 3290e3f7-d3ac-4165-bcef-cf4874fc4270) или выполните поиск по нему.
  2. Просмотрите настройки Azure, такие как видимость для пользователей и необходимость назначения. User.read - это единственное обязательное утверждение, которое использует Smartsheet.
  3. Активируйте и проверьте опцию Microsoft Azure AD в настройках аутентификации Smartsheet.
  4. Если тест работает, сообщите об этом пользователям и отключите все другие варианты аутентификации. 

Настройка Azure для SAML с помощью Smartsheet

Если вам нужно больше контроля над особенностями входа в систему, настройте SAML с Azure в качестве поставщика идентификационных данных SAML (IdP). Как и в случае с OIDC, большинство изменений конфигурации происходит в Azure, а не в Smartsheet. 

Когда вы настроите конфигурацию SAML между Smartsheet и Azure AD, пользователи увидят кнопку Your Company Account на экране входа в Smartsheet.

Вы должны быть системным администратором Smartsheet и Azure, чтобы настроить Azure для OIDC или SAML с помощью Smartsheet.

Чтобы настроить Azure AD с помощью SAML:

В Azure нельзя настроить SAML для приложения галереи, принадлежащего Smartsheet (ID 329...). Встроенное приложение предлагает контроль над OIDC SSO, что является другой опцией. Чтобы настроить SAML в Azure, создайте новое корпоративное приложение следующим образом:

В базовой конфигурации SAML введите следующее:
В разделе "Атрибуты и требования пользователей" Azure предоставляет следующие значения по умолчанию:
  • Уникальный идентификатор пользователя: user.userprincipalname
  • Адрес электронной почты: user.mail
  • Имя: user-userprincipalname

Значение по умолчанию Additional Claim of Name: user-userprincipalname вызывает непредвиденную ошибку. Удалите его, чтобы SAML через Azure работал.

В разделе Сертификат подписи SAML:
  1. Убедитесь, что Status = Active
  2. Подтвердите свое уведомление по электронной почте. Вы получаете уведомление на этот адрес электронной почты, когда срок действия сертификата подходит к концу. 
  3. Скачайте файл Federation Metadata XML и откройте его в Блокноте или другом текстовом редакторе.
  4. На левой панели в разделе Управление выберите Свойства, и прокрутите страницу в самый низ, чтобы отключить Требуется назначение пользователя? Отключение этой функции упрощает тестирование, а управление пользователями уже осуществляется в списке пользователей Smartsheet.  
  5. Войдите в Admin Center и выберите Аутентификация > SAML.
  6. Выберите Edit Configuration рядом с SAML и выберите Add IdP.
  7. Назовите IdP (например, AzureSAML) и вставьте загруженные метаданные. Сохраните изменения. 
  8. В окне Edit IdP выберите Activate.
  9. Закройте окно Edit IdP и окно SAML Administration.
  10. В окне Аутентификация выберите SAML.
  11. Сохраните изменения. 

На экране входа в систему должна появиться кнопка Company Account для входа через SAML. Вновь созданный IdP для Azure SAML предоставляет SSO URL в качестве ярлыка для SAML.

Настройте метод SSO в Центре администратора Smartsheet

  1. На панели навигации слева выберите Учётная запись. 
  2. В меню Учётная запись выберите Центр администрирования
  3. Выберите Учётная запись > Центр администрирования > Безопасность / Список безопасного совместного доступа. (Дополнительные сведения о других параметрах на этой странице см. в статье о контроле безопасности.)
  4. В разделе Аутентификация выберите Изменить.
  5. Выберите нужные параметры аутентификации. Вы должны выбрать хотя бы одну.

Можно ли использовать одно корпоративное приложение Azure для обеспечения SSO для нескольких списков пользователей Smartsheet?

Да, Smartsheet позволяет использовать один и тот же идентификатор сущности в нескольких списках пользователей.

 

Можно ли изменить атрибуты или требования пользователя во "встроенной" кнопке OIDC "Microsoft" SSO?

Нет. Используйте SAML для управления особенностями работы SSO.

Можно ли настроить исключения или группировку, чтобы применять разные способы входа для разных групп пользователей?

Нет, единственное исключение - опциональная обратная связь по электронной почте и паролю для системных администраторов в SAML.

 

Влияет ли Azure SSO на внешних пользователей Smartsheet?

Изменения параметров аутентификации, включая Azure SSO, затрагивают только пользователей из списка пользователей Smartsheet с поддержкой Azure SSO. Только управляемые пользователи, приглашенные системным администратором или предоставленные Smartsheet, могут войти в систему через SSO.  

Как регистрировать новых пользователей после включения SSO?

Используйте встроенную в Smartsheet функцию автоматического предоставления пользователей для вашего домена. Вы также можете использовать Azure SCIM. Настройка Azure SCIM - сложный процесс, поэтому начните со Smartsheet UAP; возможно, он удовлетворит ваши потребности.