К тексту на этой странице мог быть частично применён машинный перевод.

Применить к

Smartsheet
  • Enterprise

Возможности

Кому доступна эта возможность?

Настройка SAML для единого входа в Smartsheet доступна системным администраторам и ИТ-администратору.

Настройка SAML для единого входа в Smartsheet на уровне домена

Настройка SAML на уровне домена позволяет внедрить унифицированный единый вход (SSO) для вашего домена во всех тарифных планах. 

Доступно для:

Планы:

  • Enterprise

Разрешения:

Настройка SAML для единого входа в Smartsheet доступна системным администраторам и ИТ-администратору.

Узнайте, входит ли эта возможность в Smartsheet Regions или Smartsheet Gov.

Активация настройки SAML на уровне домена обеспечит согласованную работу SSO для различных планов в подтверждённом и активированном домене. Она также гарантирует унификацию процесса для всех пользователей, относящихся к этому домену, независимо от отдела или назначенного плана Smartsheet.

Эта функция доступна только в рамках плана "Корпоративный". После настройки системным администратором политика применяется ко всем пользователям Smartsheet в этом домене, независимо от типа их плана.

Обратите внимание, что существующие настройки SAML на уровне плана остаются функциональными для пользователей, относящихся к этому домену. Однако теперь у вас есть возможность внедрить SAML на уровне домена. Активированный SAML на уровне домена заменяет предыдущий SAML на уровне плана для пользователей в этом домене.


Предварительные условия

Требования к атрибутам SAML

Для обмена по протоколу SAML в Smartsheet необходимо использовать указанные ниже атрибуты.

  • Постоянный идентификатор: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
  • Адрес электронной почты: email
  • (Необязательно, но рекомендуется):
    • Полное имя: givenName
    • Фамилия: surname

При настройке сервисов SAML некоторые из них могут запрашивать дополнительную информацию.

В Azure вам не нужно вручную вводить значение постоянного идентификатора, поскольку оно автоматически включается в предварительно заполненный запрос уникального идентификатора пользователя. Для запроса уникального идентификатора передаваемое значение должно быть user.userprincipalname. Адрес электронной почты — единственное значение атрибута, которое необходимо добавить вручную. Любые другие предварительно заполненные запросы в приложении должны быть удалены.


Настройка протокола SAML для внедрения единого входа в Smartsheet

  1. Перейдите в Центр администрирования и выберите значок меню.
  2. Перейдите на вкладку Настройки и выберите Аутентификация.
  3. Нажмите Добавить поставщика удостоверений SAML.
  4. Выберите Настроить в отношении одного из следующих пунктов.
Brandfolder Image
Choose SAML IdP

Настройка SAML на основе Okta

  1. Введите название конфигурации SAML Okta в поле Название поставщика удостоверений Okta.
  2. Следуйте инструкциям на экране, чтобы получить URL-адрес метаданных Okta, а затем выберите Сохранить и продолжить.

    Brandfolder Image
    Configure Okta SAML IdP
  3. Теперь необходимо проверить подключение, выполнив вход в Smartsheet с помощью Okta. Выберите Проверка подключения.
  4. После проверки подключения установите флажок рядом с утверждением Мне удалось выполнить вход в систему и перейти на домашнюю страницу Smartsheet, используя вышеуказанный URL-адрес.
  5. Выберите Сохранить и продолжить.

    Brandfolder Image
    Verify Okta connection
  6. Назначьте свои активные домены для Okta с помощью выпадающего поля или выберите Добавить домен, чтобы найти все домены, которые вы хотите добавить.
  7. Выберите Сохранить и продолжить.

    Brandfolder Image
    Assign active domains to Okta SAML setup
  8. Следуйте инструкциям на экране и создайте приложение закладки в Okta, чтобы пользователи могли входить в Smartsheet с домашней страницы приложения Okta.
  9. Установите флажок, чтобы подтвердить успешное создание приложения закладки Okta для Smartsheet.
  10. Нажмите Готово.

    Brandfolder Image
    create an Okta bookmark app

Конфигурация настраиваемого SAML

  1. Следуйте инструкциям на экране, чтобы установить Smartsheet в качестве проверяющей стороны, а затем нажмите Далее.

    Brandfolder Image
    Configure custom SAML IdP
  2. Введите название конфигурации настраиваемого SAML в поле Название поставщика удостоверений SAML.
  3. Импортируйте метаданные поставщика удостоверений SAML из XML-файла или публичного URL-адреса, по которому размещён XML-файл вашего поставщика удостоверений.

    Использование URL-адреса XML-файла рекомендуется в качестве метода импортирования метаданных.

  4. Выберите Сохранить и продолжить.

    Brandfolder Image
    Copy IdP metadata for the custom SAML setup
  5. Теперь необходимо проверить подключение, выполнив вход в Smartsheet с помощью поставщика удостоверений настраиваемого SAML. Выберите Проверка подключения.
  6. После проверки подключения установите флажок рядом с утверждением Мне удалось выполнить вход в систему и перейти на домашнюю страницу Smartsheet, используя вышеуказанный URL-адрес.
  7. Выберите Сохранить и продолжить.

    Brandfolder Image
    Verify custom IdP connection
  8. Назначьте свои активные домены для поставщика удостоверений настраиваемого SAML с помощью выпадающего поля или выберите Добавить домен, чтобы найти все домены, которые вы хотите добавить.
  9. Нажмите Готово.

    Brandfolder Image
    Assign active domains to custom SAML IdP setup

     

Без проверки подключения поставщика удостоверений SAML вы не сможете применить новую конфигурацию SAML.


Информация о текущих конфигурациях SAML на уровне плана

  • Те, кто не настроил SAML на уровне плана или впервые воспользовался Smartsheet, могут настроить SAML только на уровне домена. Однако если вам всё ещё требуется SAML на уровне плана, обратитесь в службу поддержки или к своему контактному лицу в Smartsheet.
  • Текущие конфигурации SAML на уровне плана или домена остаются функциональными для пользователей, относящихся к домену, до истечения срока действия сертификата SAML Smartsheet. подробнее об истечении срока действия сертификатов.
  • В Центре администрирования появится предупреждение о том, сколько дней осталось до истечения срока действия текущих конфигураций SAML на уровне плана.
  • При наличии конфигураций SAML и на уровне плана, и на уровне домена, конфигурация на уровне домена имеет приоритет и заменяет все существующие настройки на уровне плана для пользователей в данном домене.
  • Если в рамках текущего тарифного плана предлагаются такие способы входа, как электронная почта/пароль, единый вход с помощью Google или SAML, а в рамках тарифного плана "Корпоративный" установлен SAML на уровне домена для определенного домена, пользователи этого домена будут и далее видеть вышеуказанные варианты входа. Кроме того, они получат доступ к новой конфигурации SAML на уровне домена, независимо от типа тарифного плана.

Обратите внимание

Только с планом "Корпоративный", в рамках которого подтверждён и активирован домен, можно настраивать и применять настройки SAML на уровне домена для всех пользователей этого домена.

В рамках других планов "Корпоративный", подтвердивших тот же домен, можно настроить черновую версию конфигурации SAML на уровне домена. Однако применить настройки не удастся, поскольку домен был активирован в рамках другого плана.
 

Можно ли использовать единый вход с помощью Google или Azure с конфигурацией SAML на уровне домена?

Первоначально для конфигурации на уровне домена будет доступен только SAML. Настройка политики входа с использованием системы единого входа с помощью Google/Azure на уровне домена будет разрешена позднее.
 

Что делать, если возникнут проблемы при переходе на SAML на уровне домена?

Обратитесь в службу поддержки Smartsheet, если у вас возникнут проблемы во время перехода.

Как при необходимости вернуться к настройкам единого входа на уровне плана?

После перехода на конфигурацию SAML на уровне домена возврат к настройкам единого входа на уровне плана невозможен. Перед внедрением убедитесь, что вы готовы к таким изменениям.

Существуют ли какие-либо дополнительные расходы, связанные с переходом на конфигурацию SAML на уровне домена?

Нет. Активация конфигурации SAML на уровне домена не требует дополнительных затрат, она включена в тарифный план Smartsheet "Корпоративный".

Можно ли использовать различные конфигурации SAML для разных доменов?

Да. Вы можете настроить различные параметры SAML для каждого подтверждённого и активированного домена. Такая гибкость позволяет настраивать индивидуальные параметры безопасности для различных сегментов вашего плана.

Как это изменение повлияет на вход текущих пользователей в систему?

После настройки системным администратором протокола SAML на уровне домена для подтверждённого и активированного домена в рамках плана "Корпоративный" все пользователи, относящиеся к этому домену, независимо от типа плана, будут применять предписанный метод входа на основе SAML. Однако все остальные настройки на уровне плана (например, единый вход с помощью Google, Azure, электронная почта и пароль и т. д.) по-прежнему будут доступны конечным пользователям, относящимся к этому плану.

Что происходит с существующими сеансами пользователей при активации конфигурации SAML на уровне домена?

Существующие сеансы не будут затронуты. Однако, как только пользователь выйдет из системы, ему нужно будет снова войти в неё с помощью новой конфигурации SAML на уровне домена.

Можно ли поэтапно развернуть конфигурацию SAML на уровне домена в рамках моего плана?

Конфигурация применяется на уровне домена, поэтому она больше подходит для полномасштабного развёртывания, а не для поэтапного подхода. 

Можно ли активировать конфигурацию SAML на уровне домена для нескольких тарифных планов "Корпоративный"?

Только с планом "Корпоративный", в рамках которого подтверждён и активирован домен, можно настраивать политику SAML на уровне домена для всех пользователей и планов, относящихся к этому домену.

Can I set up a user movement policy while leveraging domain-level SAML?

No. The user movement policy is incompatible with domain-level SAML configurations.