当您使用Smartsheet设置基于saml的SSO时
你需要做以下几点:
- 设置组织的身份提供程序(IdP)与Smartsheet通信。
- 向您组织的域名系统(DNS)添加一条记录。
- 您可能需要循环使用内部技术资源来帮助设置和维护该特性。
为了成功地为美国政府使用Smartsheet建立SAML 2 SSO,您必须应用一些要求和设置。
记住这些事情
- 内容支持Service-Provider-initiated SSO。如果您正在配置IdP发起的SSO,请使用您的IdP。
- 您可以同时使用多个SSO IdP。
你需要什么设置Smartsheet与你的IdP
- 美国客户,使用Smartsheet元数据:www.santa-greenland.com/sites/default/files/smartsheet-saml2-sp-metadata.xml
- 欧盟客户,使用Smartsheet元数据:www.santa-greenland.com/sites/default/files/smartsheet-saml2-sp-metadata-eu.xml
使用提供的元数据,在IdP中配置依赖方。每个IdP的配置依赖方过程可能不同。更多信息请参考您的IdP文档。
SHA1证书算法存在安全漏洞,目前已弃用。您必须确保您没有使用使用SHA1签名的SSL证书。
SAML交换过程
Smartsheet在SAML交换过程中需要以下属性:
- 持久的ID:urn: oasis:名字:tc: SAML 2.0: nameid-format:持久
- 电子邮件地址:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
记住这些事情
- 第一个断言必须有一个持续的ID每个人无论什么时候登录都是一样的。您的电子邮件地址可以是持续的ID,但电子邮件地址断言过程中仍然需要传递Claim。有关样例断言和Smartsheet支持的声明格式的完整列表,请参见SAML断言:Smartsheet中支持的索赔示例篇文章。
- 的持续的ID可以在NameID(主题)元素。
- 如果断言没有NameID(主题)元素中定义的属性之一支持索赔篇文章。
推荐使用以下属性,但可选:
- 名字:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
- 这表示用户的名字。
- 姓:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
- 这表示用户的姓。
当您使用Smartsheet对一些SAML服务进行配置时,它们可能会询问附加信息:
- 断言消费者服务(ACS) URL: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
对于欧盟账户,使用https://sso.smartsheet.eu/Shibboleth.sso/SAML2 /后 - 观众的限制: https://sso.smartsheet.com/saml
对于欧盟账户,使用https://sso.smartsheet.eu/saml
请使用小写字母输入邮箱地址。大写字母可以阻止您的SAML提供者和Smartsheet之间的电子邮件匹配。
配置Smartsheet.com以便与您的SAML IdP一起使用
在继续之前,请确保满足为您的帐户配置基于saml的SSO的要求。
打开SAML Administration表单
以下是如何在你的IdP和Smartsheet之间建立连接:
- 在左边导航栏中,选择账户.
- 在账户菜单中,选择计划和账单信息.
- 在帐户管理形式,选择安全控制.
- 在身份验证部分中,选择编辑.
- 选择没有配置.
完成这些步骤后,SAML管理形式将会出现。
配置单点登录您的IdP
按照以下步骤使用一个或多个idp配置SAML:
- 选择增加国内流离失所者.
- 为你的IdP输入一个昵称。
- 获取IdP元数据;然后,复制它。
参考您的IdP文档,以确定如何获取IdP元数据。 - 在国内流离失所者的元数据文本框中,粘贴国内流离失所者的元数据。
- 复制SSO URL;然后,粘贴到你的IdP。
- 选择保存.
- 在保存所做的更改之后,Smartsheet将验证元数据。
如果验证成功,将出现Edit IdP表单。如果您收到一个错误,请检查我们的SAML常见问题和常见错误篇文章。
你可以添加一个CNAME,当人们登录时,它会引导人们到一个友好的URL。看到引导人们在一个友好的CNAME URL上登录有关更多信息,请参见下面的部分。
- 在保存所做的更改之后,Smartsheet将验证元数据。
- 要使IdP与Smartsheet一起使用,请选择激活.IdP状态将从不活跃的来活跃的,默认的.
- 为您的组织启用SAML身份验证形式,选择SAML.
在启用SAML之前,必须至少有一个活动的IdP
- 选择保存.
就是这样!现在,您的帐户中的用户可以使用他们的公司凭证登录到Smartsheet。
配置附加的国内流离失所者
虽然大多数组织只需要一个活跃的国内流离失所者,但你可以添加的国内流离失所者的数量没有限制。
要编辑或添加其他idp,请在SAML复选框,选择编辑配置.的SAML管理表单出现,供您添加其他idp或编辑已设置的现有idp。
如果有多个活动IdP,通过SAML登录的人将根据默认IdP进行身份验证。将IdP设置为默认值编辑国内流离失所者形式,选择缺席.
引导人们在一个友好的CNAME URL上登录
Smartsheet为您的组织提供默认的SSO URL,这是登录到Smartsheet的一步链接。你可能想加一个CNAME取而代之的是一个友好的、更针对公司的URL。
别类型sso.smartsheet.com在CNAME场的编辑国内流离失所者表单,因为那会导致登录问题。相反,使用一个CNAME由你的公司创建并指向sso。smartsheet.com。
- 在您的域中,创建一个CNAME DNS记录并将其指向sso.smartsheet.com。例如,example.org IN CNAME sso.smartsheet.com.
- 在编辑国内流离失所者形式,进入CNAME.
- 选择添加.
可能要花上一个小时CNAME地址进行身份验证。
仅仅删除用户的SSO访问并不足以阻止他们访问Smartsheet。要完全阻止用户访问Smartsheet,必须完全从您组织的Smartsheet帐户中删除该用户.
不同的SAML配置状态
SAML将处于以下状态之一:
- 没有配置:没有活跃的国内难民。
- 禁用:至少有一个活跃的IdP。此外,在身份验证形式,SAML不是选择复选框。
- 启用:至少有一个活跃的IdP。此外,在身份验证形式,SAML复选框被选中。你的IdP将处于以下三种状态之一:
- 没有配置:安全证书过期
- 活动:有效的元数据,有效的安全证书
- 活动:有效的元数据,有效的安全证书,不与您帐户上的其他活动IdP共享实体ID,并已激活