Aplica a

Smartsheet
  • Enterprise

Capacidades

¿Quiénes pueden usar esta capacidad?

  • Administrador del sistema

Configurar SAML para el inicio de sesión único a nivel de dominio en Smartsheet

La configuración de SAML a nivel de dominio le permite implementar un inicio de sesión único (SSO) unificado para su dominio en todos los planes. 

Who can use this?

Plans:

  • Enterprise

Permissions:

  • Administrador del sistema

Find out if this capability is included in Smartsheet Regions or Smartsheet Gov.

Necesita que un Administrador de TI configure SAML para el inicio de sesión único (SSO) con Smartsheet.

Si habilita la configuración de SAML a nivel de dominio, se asegura una experiencia coherente de SSO en varios planes dentro de un dominio verificado y activado. También garantiza un proceso uniforme para todos los usuarios que pertenecen a ese dominio, independientemente de su departamento o del plan de Smartsheet específico que les haya asignado.

Esta función es solo para el plan Empresarial. Una vez que el Administrador del sistema configura la política, esta rige para cualquier usuario de Smartsheet en ese dominio, independientemente de su tipo de plan.

Tenga en cuenta que la configuración actual de SAML a nivel del plan sigue vigente para los usuarios que pertenecen a ese dominio. Sin embargo, ahora tiene la opción de implementar SAML a nivel de dominio. Cuando activa SAML a nivel de dominio, este reemplaza el SAML a nivel del plan anterior para los usuarios en ese dominio.


Requisitos previos

Requisitos de atributos de SAML

Se requieren los siguientes atributos en Smartsheet para el proceso de intercambio de SAML:

  • ID persistente: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
  • Dirección de correo electrónico: email
  • (Opcional, pero recomendado):
    • Nombre: givenName
    • Apellido: surname

Es posible que, en algunos servicios SAML, se solicite información adicional, como la URL del servicio de consumidor de aserciones (ACS) y la restricción de audiencia (ID de entidad). Puede encontrar fácilmente estos valores en la sección Configurar el IdP de SAML.

Para acceder a la pantalla:

  1. Vaya al Centro de administración.
  2. Ingrese a Autenticación y seleccione Agregar un IdP de SAML > Otro IdP (personalizar).

En Azure, no es necesario ingresar manualmente el valor de ID persistente, ya que se incluye automáticamente a través de la reclamación de identificador único de usuario que viene precargada. Para la reclamación de identificador único, el valor aprobado debe ser user.userprincipalname. El único valor de atributo que debe agregar manualmente es la dirección de correo electrónico. Cualquier otra reclamación que se complete previamente en la aplicación debe eliminarse. Obtenga más información sobre cómo configurar Azure para el inicio de sesión único a nivel de dominio en Smartsheet.


Configurar SAML para el inicio de sesión único en Smartsheet

  1. Vaya al Centro de administración y seleccione el ícono menú.
  2. Vaya a la pestaña Configuración y seleccione Autenticación.
  3. Seleccione Agregar un IdP de SAML.
  4. Seleccione Configurar en cualquiera de las siguientes opciones:
Brandfolder Image
Choose SAML IdP

Configuración de SAML basada en Okta

  1. Introduzca un nombre para su configuración de SAML basada en Okta en el campo Nombre de IdP de Okta.
  2. Copie los valores de los campos Dirección URL del servicio de consumidor de aserciones (ACS, Assertion Consumer Service) y Restricción de audiencia (ID de entidad) y péguelos en los campos correspondientes en Okta. Debe hacer esto para que Smartsheet se convierta en un proveedor de servicios, lo que le permitirá obtener metadatos de SAML de su instancia de Okta.

    Los nombres de los campos pueden variar en función de la versión de Okta, pero en general debe buscar la Dirección URL del servicio de consumidor de aserciones o URL de ACS, e ID de entidad o URI de audiencia.

    Brandfolder Image
    Configure Okta SAML IdP
  3. Siga las instrucciones que aparecen en pantalla para obtener la URL de los metadatos de Okta y, luego, seleccione Guardar y Siguiente.
  4. Ahora debe probar su conexión iniciando sesión en Smartsheet con Okta. Seleccione Verificar conexión.
  5. Después de verificar la conexión, seleccione la casilla de verificación Verifiqué la conexión correctamente.
  6. Seleccione Guardar y siguiente.

    Brandfolder Image
    Verify Okta connection
  7. Asigne sus dominios activos a Okta a través del campo de lista desplegable o seleccione Agregar dominio para buscar los dominios que desea agregar.
  8. Seleccione Guardar y Siguiente.

    Brandfolder Image
    Assign active domains to Okta SAML setup
  9. Siga las instrucciones en pantalla para crear una aplicación de marcadores de Okta, de modo que los usuarios puedan iniciar sesión en Smartsheet desde la página de inicio de la aplicación Okta.
  10. Seleccione la casilla de verificación para confirmar que creó correctamente una aplicación de marcadores de Okta para Smartsheet.
  11. Seleccione Finalizar.

    Brandfolder Image
    create an Okta bookmark app

Configuración personalizada de SAML

  1. Siga las instrucciones que aparecen en pantalla para establecer Smartsheet como usuario de confianza y, luego, seleccione Siguiente.

    Brandfolder Image
    Configure custom SAML IdP
  2. Introduzca un nombre para la configuración personalizada de SAML en el campo Nombrar el IdP de SAML.
  3. Importe los metadatos del IdP de SAML desde un archivo XML o una URL pública que aloje un archivo XML de su proveedor de identidades.

    La opción URL de XML es el método recomendado para importar sus metadatos.

  4. Seleccione Guardar y Siguiente.

    Brandfolder Image
    Copy IdP metadata for the custom SAML setup
  5. Ahora debe probar su conexión. Para ello, inicie sesión en Smartsheet con el IdP personalizado de SAML. Seleccione Verificar conexión.
  6. Después de verificar la conexión, seleccione la casilla de verificación Verifiqué la conexión correctamente.
  7. Seleccione Guardar y Siguiente.

    Brandfolder Image
    Verify custom IdP connection
  8. Asigne sus dominios activos a su IdP personalizado de SAML. Para ello, use el campo de lista desplegable o seleccione Agregar dominio para buscar los dominios que desea agregar.
  9. Seleccione Finalizar.

    Brandfolder Image
    Assign active domains to custom SAML IdP setup

No puede activar la nueva configuración de SAML sin verificar la conexión de su IdP de SAML.


Acerca de la configuración actual de SAML a nivel del plan

  • Las personas que no cuentan con una configuración de SAML a nivel del plan o son nuevas en Smartsheet solo tienen la opción de configurar SAML a nivel de dominio. Sin embargo, si aún necesita SAML a nivel del plan, debe contactar a Soporte de Smartsheet o a su contacto dentro de la empresa.
  • Las configuraciones de SAML a nivel del plan o a nivel de dominio seguirán vigentes para los usuarios que pertenecen a un dominio hasta que caduque el certificado de SAML de Smartsheet. Más información sobre la caducidad de los certificados.
  • En el Centro de administración, se mostrará un mensaje de advertencia en el que se informará la cantidad de días que faltan para que caduque la configuración actual de SAML a nivel del plan.
  • En los casos en los que existan configuraciones SAML a nivel del plan y a nivel de dominio, la configuración a nivel de dominio tiene prioridad y reemplaza toda configuración a nivel del plan para los usuarios dentro de ese dominio.
  • Si un plan actualmente ofrece métodos de inicio de sesión como correo electrónico y contraseña, SSO de Google o SAML, y un plan Empresarial tiene configurado SAML a nivel de dominio para un dominio particular, los usuarios de ese dominio seguirán viendo las mismas opciones de inicio de sesión. Además, también tendrán acceso al SAML a nivel de dominio recién configurado, independientemente de su tipo de plan.

Tenga esto en cuenta.

El plan Empresarial que validó y activó el dominio es el único capaz de establecer y aplicar la configuración de SAML a nivel de dominio, lo que afecta a todos los usuarios dentro de ese dominio.

Sin embargo, si otros planes Empresariales validaron el mismo dominio, también pueden configurar un SAML provisional a nivel de dominio. Sin embargo, no podrán aplicar la configuración, ya que no fueron ellos quienes activaron el dominio.
 

¿Puedo usar el SSO de Google o el de Azure con la configuración de SAML a nivel de dominio?

Al principio, solo SAML estará disponible para la configuración a nivel de dominio. Permitiremos la configuración de la política de inicio de sesión a nivel de dominio de SSO de Google o SSO de Azure más adelante.
 

¿Qué debo hacer si tengo problemas durante la transición a SAML a nivel de dominio?

Contacte a Soporte de Smartsheet para obtener ayuda si tiene problemas durante la transición.

¿Cómo puedo regresar a la configuración de SSO a nivel del plan en caso de ser necesario?

Luego de pasar a la configuración de SAML a nivel de dominio, no se puede volver a la configuración de SSO a nivel del plan. Asegúrese de estar preparado para este cambio antes de la implementación.

¿Existen costos adicionales para pasar a la configuración de SAML a nivel de dominio?

No. No hay costos adicionales para habilitar la configuración de SAML a nivel de dominio; se encuentra incluida en el plan Empresarial vigente de Smartsheet.

¿Puedo tener una configuración de SAML diferente para dominios distintos?

Sí. Puede establecer una configuración de SAML diferente para cada dominio validado y activado. Esta flexibilidad permite una configuración de seguridad personalizada en varios segmentos de su plan.

¿Cómo afectará este cambio a la experiencia de inicio de sesión de mis usuarios actuales?

Una vez que un Administrador del sistema configura SAML a nivel de dominio para un dominio validado y activado en un plan Empresarial, todos los usuarios que pertenezcan a ese dominio estarán sujetos al método de inicio de sesión de SAML establecido, independientemente de su tipo de plan. Sin embargo, todas las demás configuraciones a nivel de plan (como SSO de Google, SSO de Azure, correo electrónico y contraseña, etc.) seguirán estando disponibles para los usuarios finales que pertenezcan a dicho plan.

¿Qué sucede con las sesiones de usuario existentes cuando se activa la configuración de SAML a nivel de dominio?

Las sesiones existentes no deberían verse afectadas. Sin embargo, una vez que un usuario cierra sesión, deberá volver a iniciar sesión con la nueva configuración de SAML a nivel de dominio.

¿Puedo implementar la configuración de SAML a nivel de dominio en fases en mi plan?

La configuración se aplica a nivel de dominio, por lo que es más adecuada para una implementación a gran escala en lugar de un enfoque por fases. 

¿Puedo habilitar la configuración de SAML a nivel de dominio en varios planes Empresariales?

Solo el plan Empresarial que validó y activó el dominio puede configurar la política de SAML a nivel de dominio para todos los usuarios y planes que pertenecen a ese dominio.

¿Puedo configurar una política de movimiento de usuarios y, al mismo tiempo, usar SAML a nivel de dominio?

No. La política de movimiento de usuarios es incompatible con la configuración de SAML a nivel de dominio.