Применить к
- Enterprise
Возможности
Кому доступна эта возможность?
Вы должны быть лицензированным системным администратором, чтобы активировать политики управления "Обязательная корпоративная учётная запись" и "Обязательная многофакторная аутентификация" для внешнего доступа.
Политики управления для внешних соавторов
Обязательная корпоративная учётная запись и обязательная многофакторная аутентификация повышают безопасность доступа, предоставленного внешним пользователям. Внешние соавторы входят в систему с помощью единого входа (SSO) и дополнительного уровня аутентификации (обязательная многофакторная аутентификация) и получают доступ к любому контенту, который вы им предоставляете.
Доступно для:
Планы:
- Enterprise
Разрешения:
Вы должны быть лицензированным системным администратором, чтобы активировать политики управления "Обязательная корпоративная учётная запись" и "Обязательная многофакторная аутентификация" для внешнего доступа.
Узнайте, входит ли эта возможность в Smartsheet Regions или Smartsheet Gov.
Кто такой внешний соавтор?
Пользователь, приглашённый для совместной работы над таблицей или рабочей областью, но не являющийся участником организации или не относящийся к домену, которым принадлежит таблица или рабочая область.
Данные политики гарантируют, что ваши внешние соавторы используют безопасный метод входа в систему. Этот метод также косвенно подтверждает, что соавтор всё ещё работает в организации, с которой вы собираетесь сотрудничать.
Когда внешний соавтор, не вошедший в систему с помощью единого входа / многофакторной аутентификации, пытается получить доступ к активу, требующему указанного метода входа, пользователь видит сообщение, что для доступа к активу необходимо войти в систему с помощью единого входа.
В то время как обязательная корпоративная учётная запись настраивается на уровне плана, обязательная многофакторная аутентификация может применяться как для учётной записи, так и для отдельных рабочих пространств. Системные администраторы могут разрешить администраторам рабочих пространств принимать решения относительно применения дополнительного уровня безопасности к конкретным рабочим пространствам, которыми они владеют.
Действие политик управления распространяется на таблицы, отчёты и панели, то есть на все элементы, которые могут быть связаны с рабочим пространством.
Обязательная корпоративная учётная запись
Обязательная корпоративная учётная запись — политика на уровне плана, которая гарантирует, что доступ к Smartsheet будет предоставлен исключительно пользователям с корпоративными учётными данными (единый вход), тем самым снижая риск потенциального несанкционированного доступа.
Поддерживаемые методы
- Рабочая учётная запись Azure
- Рабочая учётная запись Google
- Единый вход на основе SAML
Обязательная многофакторная аутентификация
В соответствии с данной политикой внешние соавторы должны проходить многофакторную аутентификацию, что повышает уровень безопасности за счёт дополнительного уровня проверки. Это гарантирует, что даже в случае раскрытия пароля несанкционированный доступ будет предотвращён благодаря многофакторной аутентификации.
- Чтобы активировать эту политику, необходимо сначала включить политику Обязательная корпоративная учётная запись
Если поставщик удостоверений внешнего соавтора не поддерживает многофакторную аутентификацию или не может сообщить Smartsheet о статусе её завершения, наша собственная многофакторная аутентификация на основе электронной почты обеспечит резервную копию.
Поддерживаемые методы
- SAML (Okta, Azure, AD FS)
- Рабочая учётная запись Microsoft
Одноразовый пароль по электронной почте
Многофакторная аутентификация на основе электронной почты
Это механизм одноразовых, ограниченных по времени паролей, предоставляемых по электронной почте. Он применяется в ситуациях, когда стандартная многофакторная аутентификация через поставщика удостоверений соавтора невозможна.
Если система не может определить, завершена ли внешним соавтором многофакторная аутентификация в отношении актива, к которому применяется политика, при нажатии на актив в связанную с ним учётную запись направляется электронное письмо.
Если пользователь три раза подряд неправильно введёт проверочный код, то сможет повторить попытку только через 30 минут.
Информация о мобильном приложении
- В настоящее время мобильное приложение автоматически ограничивает доступ внешних соавторов к активам, когда системные администраторы применяют к ним одну или обе политики.
- В начале февраля внешние соавторы, отвечающие требованиям политики единого входа, получат доступ к защищённым активам через мобильное приложение.
- В начале марта мы предоставим внешним соавторам возможность инициировать многофакторную аутентификацию с помощью TOTP (одноразовый пароль на основе времени) на основе электронной почты для доступа к общим активам через мобильное приложение.
Системные администраторы
Чтобы активировать политику "Обязательная корпоративная учётная запись", необходимо выполнить действия ниже.
- Перейдите в Центр администрирования.
- Выберите значок меню и перейдите на страницу Настройки > Безопасный доступ для внешних пользователей.
Сдвиньте ползунок, чтобы активировать политику Обязательная корпоративная учётная запись.
Если для внутренних пользователей для входа в систему не активирован единый вход, политика "Обязательная корпоративная учётная запись" будет автоматически отключена.
Чтобы активировать политику "Обязательная многофакторная аутентификация", необходимо выполнить действия ниже.
- Перейдите в Центр администрирования.
- Выберите значок меню и перейдите на страницу Настройки > Безопасный доступ для внешних пользователей.
- Сдвиньте ползунок, чтобы активировать политику Обязательная многофакторная аутентификация.
- Чтобы разрешить администраторам рабочих пространств применять политику к определённым рабочим пространствам, нажмите кнопку Применить в рабочем пространстве.
- Чтобы применить политику ко всем активам плана, выберите Применить ко всем активам плана.
Администраторы рабочих пространств
- Администраторы рабочих пространств не могут настраивать политику "Обязательная корпоративная учётная запись" на уровне плана. Конфигурацию может выполнить системный администратор.
- Если системный администратор активирует параметр Применение в рабочем пространстве, администраторы рабочих пространств смогут применять политику "Обязательная многофакторная аутентификация" в определённых рабочих пространствах.
Чтобы активировать многофакторную аутентификацию для доступа к рабочему пространству, необходимо выполнить действия ниже.
- Перейдите в рабочую область и выберите Предоставить доступ в правом верхнем углу.
- Выберите Настроить в верхней части окна совместного доступа.
- Сдвиньте ползунок, чтобы активировать функцию Обязательная многофакторная аутентификация. Настройки применяются ко всем элементам в рабочей области, а не к отдельным элементам.
Список исключений
Список исключений (также известный как список доверенных доменов) позволяет системным администраторам указывать домены и отдельные адреса электронной почты, на которые не распространяются политики.
Активация списка исключений инициирует создание таблицы с определёнными столбцами. Доступ к этой таблице имеют все системные администраторы.
Чтобы создать список исключений, необходимо выполнить действия ниже.
- Перейдите в Центр администрирования.
- Выберите значок меню и перейдите на страницу Настройки > Безопасный доступ для внешних пользователей.
- В разделе Расширенные параметры выберите Создать таблицу для одного из пунктов ниже:
- домены в списке исключений;
- адреса электронной почты в списке исключений.
- Чтобы добавить новые домены или адреса электронной почты в список исключений, введите их в столбце домены / адреса электронной почты, с которыми разрешён общий доступ и используйте столбцы с флажками, чтобы указать, освобождается ли пользователь от действия политик.
Таблица для списка исключений
Системные администраторы могут только добавлять, редактировать и удалять строки в таблице. Таблица содержи указанные ниже столбцы:
- домены / адреса электронной почты, с которыми разрешён общий доступ: список доменов / адресов электронной почты, которым предоставляется общий доступ к контенту;
- домены / адреса электронной почты, для которых не требуется корпоративная учётная запись: флажок, при установке которого домен / адрес электронной почты освобождается от необходимости использовать учётные данные корпоративной учётной записи для доступа к общему контенту;
- домены / адреса электронной почты, для которых не требуется многофакторная аутентификация: флажок, при установке которого домен / адрес электронной почты освобождается от необходимости проходить многофакторную аутентификацию для доступа к общему контенту;
- автор изменений: последний пользователь, внёсший изменения в строку;
- изменено: дата и время, когда в строку было внесено последнее изменение;
- автор: пользователь, который первоначально создал запись в таблице;
- создано: дата и время создания записи;
- примечания: открытое поле для любой дополнительной информации или комментариев, связанных со статусом домена / электронного адреса.
Запросы API
Внешние соавторы, использующие публичные запросы API для доступа к общим активам Smartsheet, защищённым политиками "Обязательная корпоративная учётная запись" или "Обязательная многофакторная аутентификация", могут получить доступ к этим активам через Smartsheet API, только если их домен или адрес электронной почты находится в списке исключений или если это подтверждённый домен плана.
Если у ваших внешних соавторов возникнут проблемы с доступом к общим активам, им следует обратиться к системному администратору плана, к которому относятся эти активы.
На что ещё обратить внимание
- Эти политики распространяются на пользователей, которые не относятся ни к одному подтверждённому домену в рамках плана, активировавшего эту политику, ни к одному домену / адресу электронной почты из списка исключений для этих политик.
- Срок действия одноразовых, ограниченных по времени паролей составляет десять минут. По истечении срока действия пользователь должен сгенерировать новый пароль.
- Если системный администратор отключит политику "Обязательная корпоративная учётная запись" при включённой политике "Обязательная многофакторная аутентификация", появится предупреждающее сообщение о том, что отключение первой политики автоматически отключает вторую.
- Действующие системные администраторы несут ответственность за предоставление доступа к таблице списка исключений новым или будущим системным администраторам.
- Обновления (новые записи об исключениях) в списке исключений могут занять до трёх минут.
Можно ли отключить многофакторную аутентификацию на основе электронной почты, если включена политика "Обязательная многофакторная аутентификация"?
Нет. Если политика Обязательная многофакторная аутентификация активна, системные администраторы не могут отключить функцию многофакторной аутентификации на основе электронной почты. Она разработана как резервный вариант для обеспечения безопасности, если основной метод многофакторной аутентификации недоступен.
Как могут получить доступ внешние соавторы, не входящие ни в одну из организаций, если активирована функция "Обязательная корпоративная учётная запись" / "Обязательная многофакторная аутентификация"? Особенно те, кто является независимыми консультантами?
- Они могут использовать вход через социальные сети, такие как единый вход с помощью Google SSO или Microsoft (например, gmail.com, live.com).
- Для проверки можно получить код по электронной почте (многофакторная аутентификация на основе электронной почты).
- Системные администраторы по мере необходимости могут добавлять пользователей в список исключений.
Сможет ли администратор рабочего пространства применять эти политики?
Администраторы рабочих пространств могут активировать политику "Обязательная многофакторная аутентификация" на уровне рабочих пространств, если системный администратор включил эту политику на указанном уровне. Администраторы рабочих пространств не могут настраивать политику "Обязательная корпоративная учётная запись".
Есть ли домены, автоматически добавляемые в список исключений?
Да. Все проверенные домены в рамках плана автоматически освобождаются от действия политик "Обязательная корпоративная учётная запись" и "Обязательная многофакторная аутентификация", поскольку пользователи из этих доменов рассматриваются как внутренние пользователи плана.