Domande frequenti quando si configura SAML

Chi può usarlo?

Piani:

  • Smartsheet
  • Enterprise

Mentre configuri SAML per la tua organizzazione, puoi usare queste domande come risorsa se hai dubbi sulla configurazione.

Come faccio a testare la configurazione SAML senza creare problemi ad altre persone nel mio account Smartsheet?

Durante la configurazione SAML, puoi lasciare le altre opzioni di autenticazione abilitate. Dopo aver testato SAML, puoi restringere le opzioni di autenticazione del piano.

Ad esempio, la maggior parte degli utenti accede inizialmente a Smartsheet utilizzando un indirizzo e-mail diretto creato durante il processo di configurazione dell'account. Può rimanere invariato durante la configurazione e il test di SAML.

Ulteriori informazioni su come gestire le opzioni di autenticazione come Amministratore di sistema sono disponibili in questo articolo della Guida.

Come faccio a restringere le opzioni SSO?

In Gestione delle opzioni di autenticazione (altre info qui) puoi selezionare quali opzioni di autenticazione sono disponibili per gli utenti nel tuo piano.

Che succede se voglio chiedere agli utenti finali del mio Smartsheet di accedere tramite la nostra soluzione SAML, ma voglio anche che i miei altri amministratori di sistema abbiano l'opzione per accedere con E-mail + Password?

È un'azione possibile e consigliata. Quando disabiliti l'opzione E-mail + Password nel tuo piano, Smartsheet ti propone l'opzione Mantieni e-mail + password per gli amministratori di sistema (fallback).

Che succede se limito il mio piano Smartsheet a SAML, ma qualcuno incluso nel mio account non dispone della configurazione delle credenziali di accesso al mio IdP?

Se limiti il tuo account solo a SAML, gli utenti nel tuo account che non sono nel IdP della tua organizzazione non potranno accedere. Ciascun dominio dovrà essere configurato nella finestra di configurazione SAML di Smartsheet (vedere Configurazione di SAML 2 per SSO) per permettere agli utenti di accedere quando l'account ha la restrizione  con l'opzione di solo accesso SAML.

Se hai persone che non dispongono delle credenziali di accesso al tuo IdP, ecco alcuni modi per configurare comunque SAML per la tua organizzazione e garantire a tali persone l'accesso ai loro account:

  • Abilita un'opzione di autenticazione aggiuntiva (Google, Microsoft, E-mail + Password) per le persone interessate.
  • Configura SAML per il dominio da queste utilizzato per il loro account Smartsheet (se l'azienda possiede il dominio).
  • Rivolgiti al team IT per creare credenziali nell'IdP per le persone che non hanno ancora un account. 

     

Se devi creare un indirizzo e-mail completamente nuovo per qualcuno, contatta direttamente l'Assistenza Smartsheet o al team Account per capire qual è il modo migliore per aggiungere il nuovo indirizzo al loro account Smartsheet per poterlo usare per l'accesso.

In quale sezione del token SAML i clienti devono passare il certificato?

Aggiungi il certificato alla sezione dei metadati

Frammento di codice

***Certificate goes here***

 

Smartsheet usa la sezione nameid/subject della risposta SAML per autenticare l'utente? In tal caso, quale valore verrebbe utilizzato?

Sì. Il claim ID persistente/ID nome è obbligatorio. emailAddress è il claim di uso più comune. Nei seguenti articoli del Centro assistenza sono disponibili ulteriori informazioni in merito.

Configurazione di SAML 2 per single sign-on in Smartsheet - Vedi la sezione "Tieni presente queste informazioni". Questa sezione ti indirizza a ulteriori dettagli contenuti nell'articolo Asserzione SAML: Esempi di claim supportati in Smartsheet.

 

Single Log Out (SLO) è un protocollo che consente a un utente di chiudere tutte le sessioni del server stabilite tramite SAML avviando il processo di uscita una volta. In che modo Smartsheet gestisce le richieste Single Log Out (SLO)?

Smartsheet non supporta il single log out rispetto a IdP terzi. Anche se SLO dovesse innescare la disconnessione sul nostro SP SAML, non invaliderebbe la sessione Smartsheet. 

Il supporto per single log-out vale solo rispetto all'ecosistema Smartsheet. Quando esci da un'app all'interno dell'ecosistema Smartsheet, esci dall'intero ecosistema.

 

Quale metodo di binding usa Smartsheet per la configurazione SAML?

Il fornitore dei servizi Smartsheet supporta entrambi i metodi di binding HTTP-POST e HTTP-Redirect. Puoi configurare il tuo IdP nel modo che preferisci.

Le informazioni sulla differenza tra i due metodi sono disponibili all'indirizzo:

La tua applicazione convalida la firma nella risposta SAML con il certificato fornito dalla nostra organizzazione?

Sì, come parte del flusso SAML la firma della risposta viene convalidata usando il certificato.

 

Se supporti SSO avviato da SP, firmi la richiesta AuthN?

  • Il flusso di accesso SAML di Smartsheet è un flusso SSO avviato da SP.
  • L'SP di Smartsheet non è configurato per firmare la richiesta AuthN.

 

Quali opzioni di accesso sono disponibili per gli account .GOV?

Le opzioni di accesso per organizzazioni .GOV in Smartsheet sono impostate dall'Amministratore di sistema. Le opzioni di accesso disponibili sono:

  • E-mail+Password
  • Google
  • Microsoft Azure AD
  • SAML

Apple NON è un'opzione di accesso disponibile per le organizzazioni .GOV.