К тексту на этой странице мог быть частично применён машинный перевод.

Применить к

Smartsheet
  • Enterprise

Дополнительные сведения о планах и их возможностях см. на странице «Расценки».

Возможности

Кому доступна эта возможность?

  • Системный администратор

Проверьте, доступна ли эта функция на платформах Smartsheet Regions и Smartsheet Gov.

Центр администрирования: Настройка управляемого IdP доступа

С помощью управляемого доступа Identity Provider (IdP) вы можете эффективно контролировать доступ и разрешения пользователей в Smartsheet, используя группы на основе ролей, определенные в IdP. Это не только повышает безопасность, но и упрощает управление доступом, легко интегрируясь с вашей текущей системой IdP.

Доступно для:

Планы:

  • Enterprise

Разрешения:

  • Системный администратор

Узнайте, входит ли эта возможность в Smartsheet Regions или Smartsheet Gov.

Обзор

Интеграция управления доступом на основе ролей с IdP позволяет автоматически обновлять разрешения при смене ролей в компании. Это устраняет необходимость в ручном и трудоемком процессе обновления доступа к элементам Smartsheet при переходе сотрудника в другую команду.

Например, если сотрудник переходит с финансовой роли на маркетинговую, вашей организации не нужно вручную удалять его доступ к элементам, связанным с финансами, и предоставлять доступ к маркетинговым элементам. Это часто приводит к пробелам в системе безопасности, поскольку любая задержка с удалением доступа к конфиденциальной информации предыдущей роли увеличивает риск несанкционированного доступа.

При использовании доступа, управляемого IdP, роли пользователей автоматически синхронизируются между ролями IdP, определенными в вашем провайдере идентификации (например, Okta или Microsoft Entra ID), и группами на основе ролей IdP в Smartsheet, обеспечивая прямое соответствие между ролями в обеих системах.

Предварительные условия

  • Настройка SAML на уровне домена: Security Assertion Markup Language (SAML) необходим для назначения доступа и разрешений с помощью ролевых групп IdP на уровне домена. Системные администраторы должны убедиться, что SAML SSO на уровне домена настроен для обеспечения управляемого IdP доступа. Это происходит потому, что когда пользователь входит в Smartsheet с помощью SAML login, SAML передает IdP-роль пользователя от IdP к Smartsheet в режиме реального времени.
  • Конкретная конфигурация IdP: В зависимости от того, какую систему IdP вы используете, следуйте приведенным ниже инструкциям, чтобы убедиться, что роли пользователей в вашей системе IdP правильно синхронизируются со Smartsheet:

Обратите внимание

  • Корпоративные планы: Системные администраторы планов, в которых домен был подтвержден, могут активировать или деактивировать управляемый IdP доступ для своих планов через Admin Center, что позволит им управлять доступом пользователей с помощью групп, основанных на ролях IdP.
  • Семейства EPM: Только системные администраторы главного плана Enterprise Plan Manager (EPM) имеют возможность активировать или деактивировать эту функцию. Системные администраторы дочерних планов в семействах EPM наследуют настройки главного плана и имеют доступ только для чтения. Они не могут создавать, редактировать или удалять группы на основе ролей IdP в своем плане.

Активируйте управляемый IdP доступ

  1. В Admin Center выберите значок Menu в левом верхнем углу.

  2. Перейдите к разделу Настройки > Управляемый доступ IdP.

    IdP Managed Access option in Admin Center menu

  3. Включите тумблер IdP Managed Access.

    Activate IdP managed access toggle in Admin Center

Когда вы активируете функцию управляемого доступа IdP, она автоматически создает лист управляемого доступа IdP и предоставляет его всем текущим системным администраторам в плане. При необходимости системные администраторы могут передавать его другим системным администраторам, как и любой другой лист.

Вы также можете перейти на страницу IdP Managed Access из карточки Security на главной странице Admin Center.

Деактивируйте управляемый IdP доступ

  • Отключите тумблер IdP Managed Access на странице IdP Managed Access.

Кто может создавать группы IdP?

  • Системные администраторы планов, на которых активирован домен.
  • Групповые администраторы активированных доменов, если это разрешено системным администратором.
  • Администраторы групп из подтвержденных доменов могут запрашивать создание групп IdP.
     

Смогут ли мои пользователи обмениваться данными с группами Smartsheet и группами IdP?

Да. Имя домена будет указано в конце (в модале совместного доступа), чтобы пользователи могли распознать, что это группа IdP.

Какие изменения происходят при первом включении функции в тарифном плане с активированным доменом?

  • Создается новый лист для сопоставления IdP-ролей и IdP-групп.
  • Членство в группах IdP автоматически создается и обновляется при входе пользователей в систему.
  • Вы можете делиться элементами Smartsheet с группами IdP. Кроме того, пользователи будут получать доступ на основе своей роли IdP.
     

Как отключение функции повлияет на план, в котором активирован домен?

  • Лист удаляется, но все сопоставления ролей сохраняются в базе данных на уровне домена для дальнейшего использования.
  • Синхронизация ролей и членства в группах прекращается.
  • Пользователи больше не могут делиться элементами Smartsheet с группами IdP, а членство в группах удаляется.
  • Существующие членства в группах удаляются. Пользователи потеряют доступ к общим элементам через группы IdP.
     

Что произойдет после повторного включения функции в тарифном плане с активированным доменом?

  • Лист создается заново с использованием предыдущих сопоставлений ролей, хранящихся в базе данных.
  • Синхронизация ролей и членства в группах возобновляется, обновляя членство пользователей в группах.
  • Совместное использование элементов с группами IdP снова становится доступным, восстанавливая доступ для пользователей с соответствующими ролями.
     

Как деактивация домена влияет на IdP Managed Access, если она включена?

  • Лист остается, но синхронизация прекращается для деактивированного домена.
  • Существующие сопоставления ролей и членства в группах сохраняются, но новые обновления не производятся.
  • Пользователи в деактивированных доменах потеряют доступ к элементам Smartsheet, совместно используемым через группы IdP.
     

Что происходит, когда активируется домен с уже определенной в листе ролью IdP?

  • Если сопоставления ролей уже существуют, они синхронизируются с листом при активации домена.
  • Система обеспечивает наличие правильных данных в новом или существующем листе, восстанавливая доступ пользователей.
     

Как включить, отключить или снова включить функцию в плане, где домен подтвержден?

  • Прямого влияния на лист нет, так как им управляет активированный план.
  • Членство в группах обновляется при входе пользователя в систему, но удаляется при отключении функции.
  • Совместное использование элементов и членство в группах работает, как и ожидалось, аналогично активированным планам, но управление осуществляется через основной активированный план.
     

Каков эффект от признания домена недействительным в проверенном плане домена?

  • Членство в группах для пользователей в недействительном домене удаляется.
  • Пользователи в этих доменах теряют доступ к элементам, совместно используемым с группами IdP.
     

Есть ли какие-то особые случаи, о которых я должен знать при деактивации или повторной активации домена?

  • Когда домен деактивируется, соответствующие строки в листе удаляются, но сопоставления ролей сохраняются.
  • Если последний домен плана деактивирован, лист удаляется, а функция деактивируется для плана.
  • При повторной активации домена все существующие сопоставления ролей будут заново синхронизированы с листом, и пользователи получат доступ.

Связанный контент

Вам помогла эта статья?
ДаНет