Политики управления для внешних соавторов

Кто такой внешний соавтор?

Пользователь, приглашённый для совместной работы над таблицей или рабочей областью, но не являющийся участником организации или не относящийся к домену, которым принадлежит таблица или рабочая область.

Данные политики гарантируют, что ваши внешние соавторы используют безопасный метод входа в систему. Этот метод также косвенно подтверждает, что соавтор всё ещё работает в организации, с которой вы собираетесь сотрудничать.

Когда внешний соавтор, не вошедший в систему с помощью единого входа / многофакторной аутентификации, пытается получить доступ к активу, требующему указанного метода входа, пользователь видит сообщение, что для доступа к активу необходимо войти в систему с помощью единого входа.

В то время как обязательная корпоративная учётная запись настраивается на уровне плана, обязательная многофакторная аутентификация может применяться как для учётной записи, так и для отдельных рабочих пространств. Системные администраторы могут разрешить администраторам рабочих пространств принимать решения относительно применения дополнительного уровня безопасности к конкретным рабочим пространствам, которыми они владеют.

Действие политик управления распространяется на таблицы, отчёты и панели, то есть на все элементы, которые могут быть связаны с рабочим пространством.

Обязательная корпоративная учётная запись

Обязательная корпоративная учётная запись — политика на уровне плана, которая гарантирует, что доступ к Smartsheet будет предоставлен исключительно пользователям с корпоративными учётными данными (единый вход), тем самым снижая риск потенциального несанкционированного доступа.

Поддерживаемые методы

• Рабочая учётная запись Azure
• Рабочая учётная запись Google
• Единый вход на основе SAML

Обязательная многофакторная аутентификация

В соответствии с данной политикой внешние соавторы должны проходить многофакторную аутентификацию, что повышает уровень безопасности за счёт дополнительного уровня проверки. Это гарантирует, что даже в случае раскрытия пароля несанкционированный доступ будет предотвращён благодаря многофакторной аутентификации.

• Чтобы активировать эту политику, необходимо сначала включить политику Обязательная корпоративная учётная запись

• Если поставщик удостоверений внешнего соавтора не поддерживает многофакторную аутентификацию или не может сообщить Smartsheet о статусе её завершения, наша собственная многофакторная аутентификация на основе электронной почты обеспечит резервную копию.

   

Поддерживаемые методы

• SAML (Okta, Azure, AD FS)
• Рабочая учётная запись Microsoft

• Одноразовый пароль по электронной почте

   

Многофакторная аутентификация на основе электронной почты

Это механизм одноразовых, ограниченных по времени паролей, предоставляемых по электронной почте. Он применяется в ситуациях, когда стандартная многофакторная аутентификация через поставщика удостоверений соавтора невозможна.

Если система не может определить, завершена ли внешним соавтором многофакторная аутентификация в отношении актива, к которому применяется политика, при нажатии на актив в связанную с ним учётную запись направляется электронное письмо.

Если пользователь три раза подряд неправильно введёт проверочный код, то сможет повторить попытку только через 30 минут.

Информация о мобильном приложении

• В настоящее время мобильное приложение автоматически ограничивает доступ внешних соавторов к активам, когда системные администраторы применяют к ним одну или обе политики.
• В начале февраля внешние соавторы, отвечающие требованиям политики единого входа, получат доступ к защищённым активам через мобильное приложение.
• В начале марта мы предоставим внешним соавторам возможность инициировать многофакторную аутентификацию с помощью TOTP (одноразовый пароль на основе времени) на основе электронной почты для доступа к общим активам через мобильное приложение.

Системные администраторы

Чтобы активировать политику "Обязательная корпоративная учётная запись", необходимо выполнить действия ниже.

1. Перейдите в Центр администрирования.
2. Выберите значок меню и перейдите на страницу Настройки > Безопасный доступ для внешних пользователей.

3. Сдвиньте ползунок, чтобы активировать политику Обязательная корпоративная учётная запись.

   Если для внутренних пользователей для входа в систему не активирован единый вход, политика "Обязательная корпоративная учётная запись" будет автоматически отключена.

Чтобы активировать политику "Обязательная многофакторная аутентификация", необходимо выполнить действия ниже.

1. Перейдите в Центр администрирования.
2. Выберите значок меню и перейдите на страницу Настройки > Безопасный доступ для внешних пользователей.
3. Сдвиньте ползунок, чтобы активировать политику Обязательная многофакторная аутентификация.
   • Чтобы разрешить администраторам рабочих пространств применять политику к определённым рабочим пространствам, нажмите кнопку Применить в рабочем пространстве.
   • Чтобы применить политику ко всем активам плана, выберите Применить ко всем активам плана.

Brandfolder Image

Администраторы рабочих пространств

• Администраторы рабочих пространств не могут настраивать политику "Обязательная корпоративная учётная запись" на уровне плана. Конфигурацию может выполнить системный администратор.
• Если системный администратор активирует параметр Применение в рабочем пространстве, администраторы рабочих пространств смогут применять политику "Обязательная многофакторная аутентификация" в определённых рабочих пространствах.

Чтобы активировать многофакторную аутентификацию для доступа к рабочему пространству, необходимо выполнить действия ниже.

1. Перейдите в рабочую область и выберите Предоставить доступ в правом верхнем углу. 
2. Выберите Настроить в верхней части окна совместного доступа. 
3. Сдвиньте ползунок, чтобы активировать функцию Обязательная многофакторная аутентификация. Настройки применяются ко всем элементам в рабочей области, а не к отдельным элементам.

Brandfolder Image

Список исключений

Список исключений (также известный как список доверенных доменов) позволяет системным администраторам указывать домены и отдельные адреса электронной почты, на которые не распространяются политики.

Активация списка исключений инициирует создание таблицы с определёнными столбцами. Доступ к этой таблице имеют все системные администраторы.

Чтобы создать список исключений, необходимо выполнить действия ниже.

1. Перейдите в Центр администрирования.
2. Выберите значок меню и перейдите на страницу Настройки > Безопасный доступ для внешних пользователей. 
3. В разделе Расширенные параметры выберите Создать таблицу для одного из пунктов ниже:
   • домены в списке исключений;
   • адреса электронной почты в списке исключений.
4. Чтобы добавить новые домены или адреса электронной почты в список исключений, введите их в столбце домены / адреса электронной почты, с которыми разрешён общий доступ и используйте столбцы с флажками, чтобы указать, освобождается ли пользователь от действия политик.

Таблица для списка исключений

Системные администраторы могут только добавлять, редактировать и удалять строки в таблице. Таблица содержи указанные ниже столбцы:

• домены / адреса электронной почты, с которыми разрешён общий доступ: список доменов / адресов электронной почты, которым предоставляется общий доступ к контенту;
• домены / адреса электронной почты, для которых не требуется корпоративная учётная запись: флажок, при установке которого домен / адрес электронной почты освобождается от необходимости использовать учётные данные корпоративной учётной записи для доступа к общему контенту;
• домены / адреса электронной почты, для которых не требуется многофакторная аутентификация: флажок, при установке которого домен / адрес электронной почты освобождается от необходимости проходить многофакторную аутентификацию для доступа к общему контенту;
• автор изменений: последний пользователь, внёсший изменения в строку;
• изменено: дата и время, когда в строку было внесено последнее изменение;
• автор: пользователь, который первоначально создал запись в таблице;
• создано: дата и время создания записи;
• примечания: открытое поле для любой дополнительной информации или комментариев, связанных со статусом домена / электронного адреса.

Brandfolder Image

Запросы API

Внешние соавторы, использующие публичные запросы API для доступа к общим активам Smartsheet, защищённым политиками "Обязательная корпоративная учётная запись" или "Обязательная многофакторная аутентификация", могут получить доступ к этим активам через Smartsheet API, только если их домен или адрес электронной почты находится в списке исключений или если это подтверждённый домен плана.

Если у ваших внешних соавторов возникнут проблемы с доступом к общим активам, им следует обратиться к системному администратору плана, к которому относятся эти активы.

На что ещё обратить внимание

• Эти политики распространяются на пользователей, которые не относятся ни к одному подтверждённому домену в рамках плана, активировавшего эту политику, ни к одному домену / адресу электронной почты из списка исключений для этих политик.
• Срок действия одноразовых, ограниченных по времени паролей составляет десять минут. По истечении срока действия пользователь должен сгенерировать новый пароль.
• Если системный администратор отключит политику "Обязательная корпоративная учётная запись" при включённой политике "Обязательная многофакторная аутентификация", появится предупреждающее сообщение о том, что отключение первой политики автоматически отключает вторую.
• Действующие системные администраторы несут ответственность за предоставление доступа к таблице списка исключений новым или будущим системным администраторам.
• Обновления (новые записи об исключениях) в списке исключений могут занять до трёх минут.