Обязательная корпоративная учётная запись и обязательная многофакторная аутентификация повышают безопасность доступа, предоставленного внешним пользователям. Внешние соавторы входят в систему с помощью единого входа (SSO) и дополнительного уровня аутентификации (обязательная многофакторная аутентификация) и получают доступ к любому контенту, который вы им предоставляете.
USM Content
Кто такой внешний соавтор?
An external collaborator is a user who has been invited to collaborate on a sheet or workspace but whose email address doesn’t match the domains associated with the plan that owns the sheet or workspace and who isn’t a member of that plan.
Данные политики гарантируют, что ваши внешние соавторы используют безопасный метод входа в систему. Этот метод также косвенно подтверждает, что соавтор всё ещё работает в организации, с которой вы собираетесь сотрудничать.
Когда внешний соавтор, не вошедший в систему с помощью единого входа / многофакторной аутентификации, пытается получить доступ к активу, требующему указанного метода входа, пользователь видит сообщение, что для доступа к активу необходимо войти в систему с помощью единого входа. External collaborators must use the Sign in with your company account button to verify their identity using their company’s SSO login. To use SAML/SSO for logging in to Smartsheet, customers on Enterprise plans need to set it up. The configuration can be done at the plan level for Enterprise plan users or at the domain level for all users with a specific email domain.
В то время как обязательная корпоративная учётная запись настраивается на уровне плана, обязательная многофакторная аутентификация может применяться как для учётной записи, так и для отдельных рабочих пространств. Системные администраторы могут разрешить администраторам рабочих пространств принимать решения относительно применения дополнительного уровня безопасности к конкретным рабочим пространствам, которыми они владеют.
Действие политик управления распространяется на таблицы, отчёты и панели, то есть на все элементы, которые могут быть связаны с рабочим пространством.
Once enabled, the Require work accounts with SSO and Require MFA policies apply exclusively to core items (sheets, reports, and dashboards) within the core Smartsheet application, excluding items within Smartsheet Premium apps.
Требовать рабочие учётные записи с единым входом
Обязательная корпоративная учётная запись — политика на уровне плана, которая гарантирует, что доступ к Smartsheet будет предоставлен исключительно пользователям с корпоративными учётными данными (единый вход), тем самым снижая риск потенциального несанкционированного доступа.
Поддерживаемые методы
- Рабочая учётная запись Azure
- Google work account (ISP domains, i.e., non-work accounts don't work)
- Единый вход на основе SAML
To use a SAML 2.0 compliant IdP, the external collaborator must be part of an Enterprise plan that has configured a SAML 2.0 Identity Provider for authentication into Smartsheet.
Требовать многофакторную аутентификацию
В соответствии с данной политикой внешние соавторы должны проходить многофакторную аутентификацию, что повышает уровень безопасности за счёт дополнительного уровня проверки. Это гарантирует, что даже в случае раскрытия пароля несанкционированный доступ будет предотвращён благодаря многофакторной аутентификации.
Если поставщик удостоверений внешнего соавтора не поддерживает многофакторную аутентификацию или не может сообщить Smartsheet о статусе её завершения, наша собственная многофакторная аутентификация на основе электронной почты обеспечит резервную копию.
Поддерживаемые методы
- SAML (Okta, Azure, AD FS)
- Рабочая учётная запись Microsoft
Одноразовый пароль по электронной почте
Многофакторная аутентификация на основе электронной почты
Это механизм одноразовых, ограниченных по времени паролей, предоставляемых по электронной почте. Он применяется в ситуациях, когда стандартная многофакторная аутентификация через поставщика удостоверений соавтора невозможна.
Если система не может определить, завершена ли внешним соавтором многофакторная аутентификация в отношении актива, к которому применяется политика, при нажатии на актив в связанную с ним учётную запись направляется электронное письмо.
Если пользователь три раза подряд неправильно введёт проверочный код, то сможет повторить попытку только через 30 минут.
Информация о мобильном приложении
The Smartsheet mobile app honors any Secure External Access policies enabled in the Admin Center, just like the web and desktop apps.
Системные администраторы
Чтобы активировать политику "Обязательная корпоративная учётная запись", необходимо выполнить действия ниже.
- Перейдите в Центр администрирования.
- Выберите значок меню и перейдите на страницу Настройки > Безопасный доступ для внешних пользователей.
Сдвиньте ползунок, чтобы активировать политику Обязательная корпоративная учётная запись.
Если для внутренних пользователей для входа в систему не активирован единый вход, политика "Обязательная корпоративная учётная запись" будет автоматически отключена.
Чтобы активировать политику "Обязательная многофакторная аутентификация", необходимо выполнить действия ниже.
- Перейдите в Центр администрирования.
- Выберите значок меню и перейдите на страницу Настройки > Безопасный доступ для внешних пользователей.
- Сдвиньте ползунок, чтобы активировать политику Обязательная многофакторная аутентификация.
- Чтобы разрешить администраторам рабочих пространств применять политику к определённым рабочим пространствам, нажмите кнопку Применить в рабочем пространстве.
- Чтобы применить политику ко всем активам плана, выберите Применить ко всем активам плана.
Администраторы рабочих пространств
- Администраторы рабочих пространств не могут настраивать политику "Обязательная корпоративная учётная запись" на уровне плана. Конфигурацию может выполнить системный администратор.
- Если системный администратор активирует параметр Применение в рабочем пространстве, администраторы рабочих пространств смогут применять политику "Обязательная многофакторная аутентификация" в определённых рабочих пространствах.
To generate a report showing all the workspaces with the Require MFA policy enforced, select Generate opt-in report. The workspace report spreadsheet includes the workspace name, indicating whether the Require MFA policy applies to each workspace, along with a URL link to access it, and a list of users with Admin permissions on the workspace.
You can also use the public sheet API to access this report and track its sheet ID.
Чтобы активировать многофакторную аутентификацию для доступа к рабочему пространству, необходимо выполнить действия ниже.
- Перейдите в рабочую область и выберите Предоставить доступ в правом верхнем углу.
- Выберите Настроить в верхней части окна совместного доступа.
- Сдвиньте ползунок, чтобы активировать функцию Обязательная многофакторная аутентификация. Настройки применяются ко всем элементам в рабочей области, а не к отдельным элементам.
Список исключений
Список исключений (также известный как список доверенных доменов) позволяет системным администраторам указывать домены и отдельные адреса электронной почты, на которые не распространяются политики.
Активация списка исключений инициирует создание таблицы с определёнными столбцами. Доступ к этой таблице имеют все системные администраторы.
Чтобы создать список исключений, необходимо выполнить действия ниже.
- Перейдите в Центр администрирования.
- Выберите значок меню и перейдите на страницу Настройки > Безопасный доступ для внешних пользователей.
- В разделе Расширенные параметры выберите Создать таблицу для одного из пунктов ниже:
- домены в списке исключений;
- адреса электронной почты в списке исключений.
- Чтобы добавить новые домены или адреса электронной почты в список исключений, введите их в столбце домены / адреса электронной почты, с которыми разрешён общий доступ и используйте столбцы с флажками, чтобы указать, освобождается ли пользователь от действия политик.
Таблица для списка исключений
Системные администраторы могут только добавлять, редактировать и удалять строки в таблице. Таблица содержи указанные ниже столбцы:
| Имя столбца | Описание |
|---|---|
| домены/адреса электронной почты, к которым разрешён общий доступ; | домены / адреса электронной почты, с которыми разрешён общий доступ: список доменов / адресов электронной почты, которым предоставляется общий доступ к контенту; |
| домены/адреса электронной почты, для которых не требуется корпоративная учётная запись; | домены / адреса электронной почты, для которых не требуется корпоративная учётная запись: флажок, при установке которого домен / адрес электронной почты освобождается от необходимости использовать учётные данные корпоративной учётной записи для доступа к общему контенту; |
| домены/адреса электронной почты, для которых не требуется использование многофакторной аутентификации; | домены / адреса электронной почты, для которых не требуется многофакторная аутентификация: флажок, при установке которого домен / адрес электронной почты освобождается от необходимости проходить многофакторную аутентификацию для доступа к общему контенту; |
| Автор изменений; | Indicates the last user who made changes to the row, providing accountability and tracking for updates. |
| Изменено; | Shows the date and time when the last modification was made to the row, helping to maintain a timeline of changes. |
| Автор; | Identifies the user who originally created the entry in the sheet, establishing the origin of the data. |
| Создано; | Displays the date and time when the entry was created, giving a historical context. |
| Примечания. | примечания: открытое поле для любой дополнительной информации или комментариев, связанных со статусом домена / электронного адреса. |
Запросы API
Внешние соавторы, использующие публичные запросы API для доступа к общим активам Smartsheet, защищённым политиками "Обязательная корпоративная учётная запись" или "Обязательная многофакторная аутентификация", могут получить доступ к этим активам через Smartsheet API, только если их домен или адрес электронной почты находится в списке исключений или если это подтверждённый домен плана.
Если у ваших внешних соавторов возникнут проблемы с доступом к общим активам, им следует обратиться к системному администратору плана, к которому относятся эти активы.
На что ещё обратить внимание
- Эти политики распространяются на пользователей, которые не относятся ни к одному подтверждённому домену в рамках плана, активировавшего эту политику, ни к одному домену / адресу электронной почты из списка исключений для этих политик.
- Срок действия одноразовых, ограниченных по времени паролей составляет десять минут. По истечении срока действия пользователь должен сгенерировать новый пароль.
- Действующие системные администраторы несут ответственность за предоставление доступа к таблице списка исключений новым или будущим системным администраторам.
- Обновления (новые записи об исключениях) в списке исключений могут занять до трёх минут.
Можно ли отключить многофакторную аутентификацию на основе электронной почты, если включена политика "Обязательная многофакторная аутентификация"?
Нет. Если политика Обязательная многофакторная аутентификация активна, системные администраторы не могут отключить функцию многофакторной аутентификации на основе электронной почты. Она разработана как резервный вариант для обеспечения безопасности, если основной метод многофакторной аутентификации недоступен.
Как могут получить доступ внешние соавторы, не входящие ни в одну из организаций, если активирована функция "Обязательная корпоративная учётная запись" / "Обязательная многофакторная аутентификация"? Особенно те, кто является независимыми консультантами?
- External collaborators must use their work email or a corporate login account set up with Google or Microsoft SSO.
- Для проверки можно получить код по электронной почте (многофакторная аутентификация на основе электронной почты).
- Системные администраторы по мере необходимости могут добавлять пользователей в список исключений.
Сможет ли администратор рабочего пространства применять эти политики?
Администраторы рабочих пространств могут активировать политику "Обязательная многофакторная аутентификация" на уровне рабочих пространств, если системный администратор включил эту политику на указанном уровне. Администраторы рабочих пространств не могут настраивать политику "Обязательная корпоративная учётная запись".
Есть ли домены, автоматически добавляемые в список исключений?
Да. Все проверенные домены в рамках плана автоматически освобождаются от действия политик "Обязательная корпоративная учётная запись" и "Обязательная многофакторная аутентификация", поскольку пользователи из этих доменов рассматриваются как внутренние пользователи плана.