К тексту на этой странице мог быть частично применён машинный перевод.

Подготовка IdP к работе с группами на основе IdP-ролей

Прежде чем настраивать управляемый IdP доступ на плане Smartsheet, убедитесь, что система Identity Provider (IdP) настроена на синхронизацию ролей пользователей со Smartsheet. Ознакомьтесь с конкретными инструкциями для вашего IdP, будь то Okta, Microsoft Entra ID или другой IdP.

Доступно для:

Планы:

  • Enterprise

Разрешения:

  • System Admin

Узнайте, входит ли эта возможность в Smartsheet Regions или Smartsheet Gov.

Предварительные условия

  • Для доступа, управляемого IdP, требуется уже настроенный SAML SSO на уровне домена. Чтобы продолжить, ваша система IdP должна иметь существующую интеграцию SAML со Smartsheet.
  • Убедитесь, что ваша система IdP включает атрибут профиля пользователя с данными о его роли (ролях). Тип данных атрибута профиля должен быть строкой или массивом строк.

Примечания

  • Значения в атрибуте профиля пользователя не могут содержать 4-байтовые символы UTF-8, которые включают в себя эмодзи и символы некоторых языков. Если эти символы присутствуют в значениях роли, возникнет ошибка, и пользователь не сможет войти в Smartsheet.
  • Значения, содержащие не буквенно-цифровые символы (за исключением символов " . ", " - ", " * " и "_"), будут закодированы в форме URL на стороне Smartsheet.
  • Утверждение может иметь несколько значений атрибутов SAML, если атрибут роли профиля пользователя имеет тип строкового массива.
    • На стороне Smartsheet значения будут свернуты в строку, разделенную запятыми и заключенную в скобки ( [ ] ), длина которой может составлять до 2048 символов.
    • Если максимальная длина превышена, пользователи столкнутся с ошибкой при входе в Smartsheet. Обратите внимание, что символы, закодированные в форме URL, будут занимать дополнительные пробелы.

    Okta.

  1. В консоли администратора Okta перейдите в раздел Приложения > Приложения, найдите существующую интеграцию Okta со Smartsheet и откройте ее.

    Okta integration with Smartsheet in Okta Admin console
  2. На вкладке Общие перейдите к карточке Настройки SAML и выберите Изменить.

  3. Выберите Далее.

    Существующие свойства приложения автоматически заполняются.

    Edit existing SAML integration in Okta

  4. Перейдите в раздел Attribute Statements (опционально) внизу и выберите Add Another.

    Add another statement in Okta
  5. Укажите следующие значения:
    • Name: http://schemas.smartsheet.com/ws/2022/03/identity/claims/idproles
    • Формат имени: Ссылка на URI
    • Значение: Используйте атрибут профиля, в котором указаны роли пользователей. Атрибут профиля должен иметь тип данных "строка" или "массив строк".

  6. Выберите Preview the SAML Assertion (Предварительный просмотр утверждения SAML). Отображается следующий элемент атрибута:

    .
  7. Выберите Далее > Завершить.

Microsoft Entra ID (Azure)

  1. В Azure Portal перейдите в Microsoft Entra ID > Manage > Enterprise applications и выберите существующее приложение Smartsheet Enterprise, которое позволяет вашим пользователям входить в Smartsheet через SSO на уровне домена.
  2. Перейдите в раздел Управление > Единая регистрация и выберите Вход на основе SAML, если необходимо, чтобы открыть страницу Настройка единой регистрации с SAML.
  3. Перейдите в раздел Атрибуты и претензии > Редактировать > Добавить новую претензию и укажите следующие значения:
    • Имя: idproles
    • Пространство имен: http://schemas.smartsheet.com/ws/2022/03/identity/claims
    • Формат имени: URI
    • Источник: Атрибут
    • Атрибут источника: Выберите атрибут источника для пользователей, содержащий роли.
    • Дополнительные параметры утверждений SAML: Установите флажок Expose claim in SAML tokens in addition to JWT tokens
  4. Выберите Сохранить.
  5. Когда вы вернетесь на страницу Set up Single Sign-On with SAML, в списке должно появиться новое добавленное утверждение.

Другие IdP

  1. Войдите в консоль IdP Admin и найдите существующее приложение Smartsheet.
  2. Найдите место, где определяются пользовательские сопоставления атрибутов, и настройте следующие параметры:
    • Имя атрибута: http://schemas.smartsheet.com/ws/2022/03/identity/claims/idproles

    • Атрибут источника: Выберите атрибут источника, содержащий роли. 

      Значений атрибутов может быть несколько, если пользователи имеют несколько ролей.

  3. Проверьте конфигурацию, чтобы убедиться, что IdP поддерживает такое тестирование. Полученное утверждение SAML должно выглядеть так, как показано в примере ниже:

    Поскольку разные IdP могут по-разному обрабатывать пользовательские атрибуты, эта информация приводится только в качестве справочного материала.

.
role 1
.
role 2
.
role 3
.