Применить к
- Enterprise
Возможности
Кому доступна эта возможность?
Настройка SAML для единого входа в Smartsheet доступна системным администраторам и ИТ-администратору.
Настройка SAML для единого входа в Smartsheet на уровне домена
Настройка SAML на уровне домена позволяет внедрить унифицированный единый вход (SSO) для вашего домена во всех тарифных планах.
Who can use this?
Plans:
- Enterprise
Permissions:
Настройка SAML для единого входа в Smartsheet доступна системным администраторам и ИТ-администратору.
Find out if this capability is included in Smartsheet Regions or Smartsheet Gov.
Активация настройки SAML на уровне домена обеспечит согласованную работу SSO для различных планов в подтверждённом и активированном домене. Она также гарантирует унификацию процесса для всех пользователей, относящихся к этому домену, независимо от отдела или назначенного плана Smartsheet.
Эта функция доступна только в рамках плана "Корпоративный". После настройки системным администратором политика применяется ко всем пользователям Smartsheet в этом домене, независимо от типа их плана.
Обратите внимание, что существующие настройки SAML на уровне плана остаются функциональными для пользователей, относящихся к этому домену. Однако теперь у вас есть возможность внедрить SAML на уровне домена. Активированный SAML на уровне домена заменяет предыдущий SAML на уровне плана для пользователей в этом домене.
Предварительные условия
- Прежде чем настраивать SAML на уровне домена системные администраторы должны проверить и активировать свои домены с помощью экрана "Управление доменами". Дополнительные сведения об управлении доменами.
Активируйте приложение Smartsheet V2 в Okta.
Данное требование относится только к настройке SAML на основе Okta.
Системные администраторы должны настроить SAML в своём поставщике удостоверений и получить атрибуты SAML для обновления в Smartsheet во время настройки SAML.
Требования к атрибутам SAML
Для обмена по протоколу SAML в Smartsheet необходимо использовать указанные ниже атрибуты.
- Постоянный идентификатор: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
- Адрес электронной почты: email
- (Необязательно, но рекомендуется):
- Полное имя: givenName
- Фамилия: surname
При настройке сервисов SAML некоторые из них могут запрашивать дополнительную информацию.
- URL-адрес службы обработчика утверждений (ACS): https://saml.authn.smartsheet.com/saml2/idpresponse
- Учётные записи клиентов из ЕС: https://saml.authn.smartsheet.eu/saml2/idpresponse
- Ограничение аудитории: urn:amazon:cognito:sp:us-east-1_xww1cbP43
- Учётные записи клиентов из ЕС: urn:amazon:cognito:sp:eu-central-1_55Qg6Sssh
В Azure вам не нужно вручную вводить значение постоянного идентификатора, поскольку оно автоматически включается в предварительно заполненный запрос уникального идентификатора пользователя. Для запроса уникального идентификатора передаваемое значение должно быть user.userprincipalname. Адрес электронной почты — единственное значение атрибута, которое необходимо добавить вручную. Любые другие предварительно заполненные запросы в приложении должны быть удалены.
Настройка протокола SAML для внедрения единого входа в Smartsheet
- Перейдите в Центр администрирования и выберите значок меню.
- Перейдите на вкладку Настройки и выберите Аутентификация.
- Нажмите Добавить поставщика удостоверений SAML.
- Выберите Настроить в отношении одного из следующих пунктов.
Настройка SAML на основе Okta
- Введите название конфигурации SAML Okta в поле Название поставщика удостоверений Okta.
Следуйте инструкциям на экране, чтобы получить URL-адрес метаданных Okta, а затем выберите Сохранить и продолжить.
Brandfolder Image- Теперь необходимо проверить подключение, выполнив вход в Smartsheet с помощью Okta. Выберите Проверка подключения.
- После проверки подключения установите флажок рядом с утверждением Мне удалось выполнить вход в систему и перейти на домашнюю страницу Smartsheet, используя вышеуказанный URL-адрес.
Выберите Сохранить и продолжить.
Brandfolder Image- Назначьте свои активные домены для Okta с помощью выпадающего поля или выберите Добавить домен, чтобы найти все домены, которые вы хотите добавить.
Выберите Сохранить и продолжить.
Brandfolder Image- Следуйте инструкциям на экране и создайте приложение закладки в Okta, чтобы пользователи могли входить в Smartsheet с домашней страницы приложения Okta.
- Установите флажок, чтобы подтвердить успешное создание приложения закладки Okta для Smartsheet.
Нажмите Готово.
Brandfolder Image
Конфигурация настраиваемого SAML
Следуйте инструкциям на экране, чтобы установить Smartsheet в качестве проверяющей стороны, а затем нажмите Далее.
Brandfolder Image- Введите название конфигурации настраиваемого SAML в поле Название поставщика удостоверений SAML.
Импортируйте метаданные поставщика удостоверений SAML из XML-файла или публичного URL-адреса, по которому размещён XML-файл вашего поставщика удостоверений.
Использование URL-адреса XML-файла рекомендуется в качестве метода импортирования метаданных.
Выберите Сохранить и продолжить.
Brandfolder Image- Теперь необходимо проверить подключение, выполнив вход в Smartsheet с помощью поставщика удостоверений настраиваемого SAML. Выберите Проверка подключения.
- После проверки подключения установите флажок рядом с утверждением Мне удалось выполнить вход в систему и перейти на домашнюю страницу Smartsheet, используя вышеуказанный URL-адрес.
Выберите Сохранить и продолжить.
Brandfolder Image- Назначьте свои активные домены для поставщика удостоверений настраиваемого SAML с помощью выпадающего поля или выберите Добавить домен, чтобы найти все домены, которые вы хотите добавить.
Нажмите Готово.
Brandfolder Image
Без проверки подключения поставщика удостоверений SAML вы не сможете применить новую конфигурацию SAML.
Информация о текущих конфигурациях SAML на уровне плана
- Те, кто не настроил SAML на уровне плана или впервые воспользовался Smartsheet, могут настроить SAML только на уровне домена. Однако если вам всё ещё требуется SAML на уровне плана, обратитесь в службу поддержки или к своему контактному лицу в Smartsheet.
- Текущие конфигурации SAML на уровне плана или домена остаются функциональными для пользователей, относящихся к домену, до истечения срока действия сертификата SAML Smartsheet. подробнее об истечении срока действия сертификатов.
- В Центре администрирования появится предупреждение о том, сколько дней осталось до истечения срока действия текущих конфигураций SAML на уровне плана.
- При наличии конфигураций SAML и на уровне плана, и на уровне домена, конфигурация на уровне домена имеет приоритет и заменяет все существующие настройки на уровне плана для пользователей в данном домене.
- Если в рамках текущего тарифного плана предлагаются такие способы входа, как электронная почта/пароль, единый вход с помощью Google или SAML, а в рамках тарифного плана "Корпоративный" установлен SAML на уровне домена для определенного домена, пользователи этого домена будут и далее видеть вышеуказанные варианты входа. Кроме того, они получат доступ к новой конфигурации SAML на уровне домена, независимо от типа тарифного плана.
Обратите внимание
Только с планом "Корпоративный", в рамках которого подтверждён и активирован домен, можно настраивать и применять настройки SAML на уровне домена для всех пользователей этого домена.
В рамках других планов "Корпоративный", подтвердивших тот же домен, можно настроить черновую версию конфигурации SAML на уровне домена. Однако применить настройки не удастся, поскольку домен был активирован в рамках другого плана.
Можно ли использовать единый вход с помощью Google или Azure с конфигурацией SAML на уровне домена?
Первоначально для конфигурации на уровне домена будет доступен только SAML. Настройка политики входа с использованием системы единого входа с помощью Google/Azure на уровне домена будет разрешена позднее.
Что делать, если возникнут проблемы при переходе на SAML на уровне домена?
Обратитесь в службу поддержки Smartsheet, если у вас возникнут проблемы во время перехода.
Как при необходимости вернуться к настройкам единого входа на уровне плана?
После перехода на конфигурацию SAML на уровне домена возврат к настройкам единого входа на уровне плана невозможен. Перед внедрением убедитесь, что вы готовы к таким изменениям.
Существуют ли какие-либо дополнительные расходы, связанные с переходом на конфигурацию SAML на уровне домена?
Нет. Активация конфигурации SAML на уровне домена не требует дополнительных затрат, она включена в тарифный план Smartsheet "Корпоративный".
Можно ли использовать различные конфигурации SAML для разных доменов?
Да. Вы можете настроить различные параметры SAML для каждого подтверждённого и активированного домена. Такая гибкость позволяет настраивать индивидуальные параметры безопасности для различных сегментов вашего плана.
Как это изменение повлияет на вход текущих пользователей в систему?
После настройки системным администратором протокола SAML на уровне домена для подтверждённого и активированного домена в рамках плана "Корпоративный" все пользователи, относящиеся к этому домену, независимо от типа плана, будут применять предписанный метод входа на основе SAML. Однако все остальные настройки на уровне плана (например, единый вход с помощью Google, Azure, электронная почта и пароль и т. д.) по-прежнему будут доступны конечным пользователям, относящимся к этому плану.
Что происходит с существующими сеансами пользователей при активации конфигурации SAML на уровне домена?
Существующие сеансы не будут затронуты. Однако, как только пользователь выйдет из системы, ему нужно будет снова войти в неё с помощью новой конфигурации SAML на уровне домена.
Можно ли поэтапно развернуть конфигурацию SAML на уровне домена в рамках моего плана?
Конфигурация применяется на уровне домена, поэтому она больше подходит для полномасштабного развёртывания, а не для поэтапного подхода.
Можно ли активировать конфигурацию SAML на уровне домена для нескольких тарифных планов "Корпоративный"?
Только с планом "Корпоративный", в рамках которого подтверждён и активирован домен, можно настраивать политику SAML на уровне домена для всех пользователей и планов, относящихся к этому домену.
Can I set up a user movement policy while leveraging domain-level SAML?
No. The user movement policy is incompatible with domain-level SAML configurations.