设置SAML 2用于Smartsheet的单点登录

适用于

内容
  • 企业

功能

谁可以使用这个功能

使用IT管理员进行系统管理可以用Smartsheet设置SAML 2单点登录吗

当您使用Smartsheet设置基于saml的SSO时

你需要做以下几点:

  • 设置组织的身份提供程序(IdP)与Smartsheet通信。
  • 向您组织的域名系统(DNS)添加一条记录。
    • 您可能需要循环使用内部技术资源来帮助设置和维护该特性。

为了成功地为美国政府使用Smartsheet建立SAML 2 SSO,您必须应用一些要求和设置。

记住这些事情

  • 内容支持Service-Provider-initiated SSO。如果您正在配置IdP发起的SSO,请使用您的IdP。
  • 您可以同时使用多个SSO IdP。

你需要什么设置Smartsheet与你的IdP

使用提供的元数据,在IdP中配置依赖方。每个IdP的配置依赖方过程可能不同。更多信息请参考您的IdP文档。

SHA1证书算法存在安全漏洞,目前已弃用。您必须确保您没有使用使用SHA1签名的SSL证书。

SAML交换过程

Smartsheet在SAML交换过程中需要以下属性:

  • 持久的ID:urn: oasis:名字:tc: SAML 2.0: nameid-format:持久
  • 电子邮件地址:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

记住这些事情

  • 第一个断言必须有一个持续的ID每个人无论什么时候登录都是一样的。您的电子邮件地址可以是持续的ID,但电子邮件地址断言过程中仍然需要传递Claim。有关样例断言和Smartsheet支持的声明格式的完整列表,请参见SAML断言:Smartsheet中支持的索赔示例篇文章。
  • 持续的ID可以在NameID(主题)元素。
  • 如果断言没有NameID(主题)元素中定义的属性之一支持索赔篇文章。

推荐使用以下属性,但可选:

  • 名字:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
    • 这表示用户的名字。
  • 姓:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
    • 这表示用户的姓。

当您使用Smartsheet对一些SAML服务进行配置时,它们可能会询问附加信息:

  • 断言消费者服务(ACS) URL: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
    对于欧盟账户,使用https://sso.smartsheet.eu/Shibboleth.sso/SAML2 /后
  • 观众的限制: https://sso.smartsheet.com/saml
    对于欧盟账户,使用https://sso.smartsheet.eu/saml

请使用小写字母输入邮箱地址。大写字母可以阻止您的SAML提供者和Smartsheet之间的电子邮件匹配。

配置Smartsheet.com以便与您的SAML IdP一起使用

在继续之前,请确保满足为您的帐户配置基于saml的SSO的要求。

打开SAML Administration表单

以下是如何在你的IdP和Smartsheet之间建立连接:

  1. 在左边导航栏中,选择账户
  2. 账户菜单中,选择计划和账单信息
  3. 帐户管理形式,选择安全控制
  4. 身份验证部分中,选择编辑
    安全控制
  5. 选择没有配置
    saml-not-configured

完成这些步骤后,SAML管理形式将会出现。

配置单点登录您的IdP

按照以下步骤使用一个或多个idp配置SAML:

  1. 选择增加国内流离失所者

    add-idp
  2. 为你的IdP输入一个昵称。
  3. 获取IdP元数据;然后,复制它。
    参考您的IdP文档,以确定如何获取IdP元数据。
  4. 国内流离失所者的元数据文本框中,粘贴国内流离失所者的元数据。
    idp-metadata
  5. 复制SSO URL;然后,粘贴到你的IdP。
  6. 选择保存
    • 在保存所做的更改之后,Smartsheet将验证元数据。
      如果验证成功,将出现Edit IdP表单。如果您收到一个错误,请检查我们的SAML常见问题和常见错误篇文章。
      你可以添加一个CNAME,当人们登录时,它会引导人们到一个友好的URL。看到引导人们在一个友好的CNAME URL上登录有关更多信息,请参见下面的部分。
  7. 要使IdP与Smartsheet一起使用,请选择激活.IdP状态将从不活跃的活跃的默认的
  8. 为您的组织启用SAML身份验证形式,选择SAML
    在启用SAML之前,必须至少有一个活动的IdP
    activate-idp
  9. 选择保存

就是这样!现在,您的帐户中的用户可以使用他们的公司凭证登录到Smartsheet。

配置附加的国内流离失所者

虽然大多数组织只需要一个活跃的国内流离失所者,但你可以添加的国内流离失所者的数量没有限制。

要编辑或添加其他idp,请在SAML复选框,选择编辑配置.的SAML管理表单出现,供您添加其他idp或编辑已设置的现有idp。

如果有多个活动IdP,通过SAML登录的人将根据默认IdP进行身份验证。将IdP设置为默认值编辑国内流离失所者形式,选择缺席

saml-admin-multiple-idps

引导人们在一个友好的CNAME URL上登录

Smartsheet为您的组织提供默认的SSO URL,这是登录到Smartsheet的一步链接。你可能想加一个CNAME取而代之的是一个友好的、更针对公司的URL。

别类型sso.smartsheet.comCNAME场的编辑国内流离失所者表单,因为那会导致登录问题。相反,使用一个CNAME由你的公司创建并指向sso。smartsheet.com。

  1. 在您的域中,创建一个CNAME DNS记录并将其指向sso.smartsheet.com。例如,example.org IN CNAME sso.smartsheet.com
  2. 编辑国内流离失所者形式,进入CNAME
  3. 选择添加
    可能要花上一个小时CNAME地址进行身份验证。

    cname

仅仅删除用户的SSO访问并不足以阻止他们访问Smartsheet。要完全阻止用户访问Smartsheet,必须完全从您组织的Smartsheet帐户中删除该用户

不同的SAML配置状态

SAML将处于以下状态之一:

  • 没有配置:没有活跃的国内难民。
  • 禁用:至少有一个活跃的IdP。此外,在身份验证形式,SAML不是选择复选框。
  • 启用:至少有一个活跃的IdP。此外,在身份验证形式,SAML复选框被选中。你的IdP将处于以下三种状态之一:
    • 没有配置:安全证书过期
    • 活动:有效的元数据,有效的安全证书
    • 活动:有效的元数据,有效的安全证书,不与您帐户上的其他活动IdP共享实体ID,并已激活