为Smartsheet单点登录设置saml2

当您使用Smartsheet设置基于saml的SSO时

你需要做以下事情:

• 设置组织的身份提供程序(IdP)以与Smartsheet通信。
• 向您组织的域名系统(DNS)中添加一条记录。
  • 您可能需要循环使用内部技术资源，以帮助设置和维护此功能。

为了成功地使用Smartsheet为美国政府建立saml2单点登录，您必须应用一些要求和设置。

记住这些事情

• 内容支持Service-Provider-initiated SSO。如果您正在配置IdP发起的SSO，请使用IdP。
• 您可以同时使用多个SSO IdP。

你需要什么来设置Smartsheet与你的IdP

• 美国客户，使用Smartsheet元数据:www.santa-greenland.com/sites/default/files/smartsheet-saml2-sp-metadata.xml
• 欧盟客户，使用此Smartsheet元数据:www.santa-greenland.com/sites/default/files/smartsheet-saml2-sp-metadata-eu.xml

使用提供的元数据，在IdP中配置依赖方。每个IdP的依赖方配置流程可能不同。请查阅您的IdP文档以获得更多信息。

由于SHA1证书算法存在安全漏洞，已弃用。您必须确保您没有使用使用SHA1签名的SSL证书。

SAML交换过程

Smartsheet在SAML交换过程中需要以下属性:

• 持久的ID:urn: oasis:名字:tc: SAML 2.0: nameid-format:持久
• 电子邮件地址:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

记住这些事情

• 第一个断言必须有持续的ID这对每个人来说都是一样的。您的电子邮件地址可以是持续的ID，但电子邮件地址声明仍然需要在断言过程中传递。有关示例断言和Smartsheet支持的声明格式的完整列表，请参见SAML断言:Smartsheet中支持的声明示例篇文章。
• 的持续的ID可以在NameID(主题)元素的断言。
• 如果断言没有NameID(主题)元素中定义的属性之一支持索赔篇文章。

建议配置以下属性，但可选:

• 名字:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
  • 这表示用户的名字。
• 姓:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
  • 这表示用户的姓氏。

当你使用Smartsheet配置SAML服务时，一些SAML服务可能会要求额外的信息:

• 断言消费者服务(ACS) URL: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
  在欧盟账户，使用https://sso.smartsheet.eu/Shibboleth.sso/SAML2 /后
• 观众的限制: https://sso.smartsheet.com/saml
  在欧盟账户，使用https://sso.smartsheet.eu/saml

请使用小写字母输入邮箱地址。大写字母可以阻止SAML提供商和Smartsheet之间的电子邮件匹配。

配置Smartsheet.com以与SAML IdP一起使用

在继续之前，请确保满足为您的帐户配置基于saml的SSO的要求。

打开SAML管理表单

以下是如何在IdP和Smartsheet之间建立连接:

1. 在左边导航栏中,选择账户．
2. 在账户菜单中,选择计划和账单信息．
3. 在帐户管理形式,选择安全控制．
4. 在身份验证部分中,选择编辑．
   
5. 选择没有配置．
   

完成这些步骤后，将SAML管理表单将出现。

使用IdP配置SSO

按照以下步骤使用一个或多个idp配置SAML:

1. 选择增加国内流离失所者．
   
   
2. 输入IdP的昵称。
3. 获取IdP元数据;然后，复制它。
   请查阅IdP的文档，以确定如何获取IdP元数据。
4. 在国内流离失所者的元数据文本框中，粘贴国内流离失所者的元数据。
   
5. 复制SSO URL;然后，把它粘贴到你的IdP。
6. 选择保存．
   • 保存您所做的更改后，Smartsheet将验证元数据。
     如果验证成功，将出现Edit IdP表单。如果您收到错误，请检查我们的SAML常见问题和常见错误篇文章。
     您可以添加一个CNAME，在用户登录时将他们引导到一个友好的URL。看到引导人们在一个友好的CNAME URL上登录部分了解更多信息。
7. 要使IdP与Smartsheet一起使用，请选择激活．IdP状态将从不活跃的来活跃的，默认的．
8. 要为您的组织启用SAML，请在身份验证形式,选择SAML．
   在启用SAML之前，必须至少有一个活动IdP
   
9. 选择保存．

就是这样!现在你账户里的人可以使用他们的公司凭证登录到Smartsheet。

配置额外idp

虽然大多数组织只需要一个活动IdP，但可以添加的IdP数量没有限制。

要编辑或添加其他idp，请在SAML复选框,选择编辑配置．的SAML管理表单将为您添加其他idp或编辑已设置的现有idp。

如果您有多个活动IdP，那么通过SAML登录的用户将根据默认IdP进行身份验证。要使IdP为默认值，请在编辑国内流离失所者形式,选择缺席．

引导人们在一个友好的CNAME URL上登录

Smartsheet为您的组织提供默认的SSO URL，这是登录到Smartsheet的一步链接。你可能想加一个CNAME用一个友好的，更特定于公司的URL代替。

别类型sso.smartsheet.com在CNAME字段编辑国内流离失所者表单，因为这会导致登录问题。相反，使用CNAME由你的公司创建并指向sso.smartsheet.com。

1. 在您的域中，创建一个CNAME DNS记录，并将其指向sso.smartsheet.com。例如,在CNAME sso.smartsheet.com．
2. 在编辑国内流离失所者表格，输入CNAME．
3. 选择添加．
   你可能需要一个小时CNAME进行身份验证的地址。

   

仅删除用户的SSO访问不足以阻止他们访问Smartsheet。要完全阻止用户访问Smartsheet，必须完全从组织的Smartsheet帐户中删除该用户．

不同的SAML配置状态

SAML将处于以下状态之一:

• 没有配置:没有活动idp。
• 禁用:至少有一个活跃的IdP。还有，在身份验证形式,SAML未选中复选框。
• 启用:至少有一个活跃的IdP。还有，在身份验证形式,SAML选中复选框。您的IdP将处于以下三种状态之一:
  • 没有配置:安全证书已过期
  • 活动:有效元数据，有效安全证书
  • 活动:有效的元数据，有效的安全证书，不与您帐户上的其他活动IdP共享实体ID，并且已激活