Smartsheetを使用してOIDCまたはSAML用にAzureを構成する
Smartsheetマニュアル|OIDCまたはSAMLを使用して、セットアップとユーザー管理を含め、AzureとSmartsheet for SSOを統合する方法を説明します。
Smartsheetで Azure for SSO を使用するには、2 つの方法があります。どちらの方法も効果的です。
プラン
Enterprise
プラン タイプと含まれる機能の詳細については、 「Smartsheetプラン」ページを参照してください。
許可
Smartsheetで OIDC またはSmartsheet用に Azure を構成するには、Smartsheet と Azure のシステム管理者である必要があります
この機能がSmartsheetリージョンまたはSmartsheet Gov に含まれているかどうかを確認してください。
どちらの構成でも、Azure が Azure の認証設定を制御します。 Azure は、 Smartsheetではなく、すべての SSO ポリシーと設定の調整を制御します。
Open ID Connect (OIDC): 組み込みの Microsoft ボタンと、Azure の対応するエンタープライズ アプリ (3290e3f7-d3ac-4165-bcef-cf4874fc4270) を使用します。 Azure のみに制限するには、Smartsheet の認証設定を使用します。
SAML: Azure でSmartsheet用の新しいエンタープライズ アプリを作成し、アプリで SAML セットアップとユーザー属性を直接構成します。この方法では、特定のユーザー属性をより詳細に制御できます。
注記 Smartsheet は、 Azure プロビジョニング サービスを使用した SCIM プロビジョニングを提供しますが、これは SSO の要件ではありません。
OIDC を使用して SSO をセットアップする
Azure Enterprise Apps で、事前に構築されたSmartsheet Enterprise アプリ (ID 3290e3f7-d3ac-4165-bcef-cf4874fc4270) を参照または検索します。
ユーザーに対する可視性や必要な割り当てなどの Azure 設定を確認します。 User.read は、 Smartsheetで使用される唯一の必須クレームです。
Smartsheet の認証設定で Microsoft Azure AD オプションを有効にしてテストします。
テストが機能したら、変更をユーザーに伝え、他の認証オプションを無効にします。
Smartsheetを使用して SAML 用に Azure を構成する
ログインの詳細をより詳細に制御する必要がある場合は、SAML ID プロバイダー (IdP) として Azure を使用して SAML を構成します。 OIDC と同様、ほとんどの構成変更はSmartsheetではなく Azure で行われます。
Smartsheetと Azure AD の間で SAML 構成をセットアップすると、ユーザーにはSmartsheetログイン画面に [会社のアカウント] ボタンが表示されます。
SAML を使用して Azure AD を構成するには:
Azure の Smartsheet 所有のギャラリー アプリ (ID 329..) に SAML を設定することはできません。組み込みアプリは、別のオプションである OIDC SSO の制御を提供します。 Azure で SAML を設定するには、次のように新しいエンタープライズ アプリを作成します。
基本的な SAML 設定で、次のように入力します。
エンティティ ID: https://sso.smartsheet.com/saml
返信 URL: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST
サインオン URL: https://app.smartsheet.com/b/home
[ユーザー属性とクレーム] では、Azure では次のデフォルトが提供されます。
一意のユーザー識別子: user.userprincipalname
メールアドレス:user.mail
名前: ユーザー-ユーザープリンシパル名
デフォルトの追加の名前要求: user-userprincipalname は予期しないエラーを引き起こすため、Azure 経由の SAML が機能するには削除する必要があります。
SAML 署名証明書の下:
ステータス = アクティブであることを確認してください
通知メールを確認します。証明書の有効期限が近づくと、このメールで通知が届きます。
フェデレーション メタデータ XML をダウンロードし、メモ帳または別の生のテキスト エディターでファイルを開きます。
左側のパネルの「管理」で「プロパティ」を選択し、一番下までスクロールして「ユーザーの割り当ては必要ですか?」をオフにします。この機能をオフにするとテストが容易になり、ユーザーはすでにSmartsheetユーザー リストで管理されています。
admin.smartsheet.comにログイン > 認証 > SAML
SAML の横にある [構成の編集] を選択し、[IdP の追加] を選択します。
IdP に名前を付け (例: AzureSAML)、ダウンロードしたメタデータを貼り付けます。変更を保存します。
[IdP の編集] ウィンドウで、[アクティブ化] を選択します。
「IdP の編集」ウィンドウと「SAML 管理」ウィンドウを閉じます。
「認証」ウィンドウで「SAML」を選択します。
変更を保存します。
SAML 経由でログインするための [企業アカウント] ボタンがログイン画面に表示されます。 Azure SAML 用に新しく作成された IdP は、SAML へのショートカットとして SSO URL を提供します。
Smartsheet の管理センターで SSO 方法を設定する
左側のナビゲーション バーで、[アカウント] を選択します。
[アカウント] メニューで、 [管理センター]を選択します。
「セキュリティ/安全な共有機能リスト」を選択します。このページの他のオプションの詳細については、「セキュリティ制御」を参照してください。
「認証」セクションで「編集」を選択します。
必要な認証オプションを選択します。少なくとも 1 つ選択する必要があります。
単一の Azure エンタープライズ アプリを使用して、複数のSmartsheetユーザーリストの SSO を強化できますか?
はい、 Smartsheet、複数のユーザーリストで同じエンティティ ID を使用できます。
「組み込み」OIDC「Microsoft」ボタン SSO でユーザー属性またはクレームを変更できますか?
いいえ。SAML を使用して、SSO エクスペリエンスの詳細を制御します。
例外またはグループ化を設定して、異なるユーザーのセットに異なるログイン エクスペリエンスを適用できますか?
いいえ、唯一の例外は、SAML におけるシステム管理者のオプションの電子メールとパスワードのフォールバックです。
外部のSmartsheetユーザーは Azure SSO の影響を受けますか?
Azure SSO が有効になっているSmartsheetユーザー リスト内のユーザーのみが、Azure SSO を含む認証設定の変更の影響を受けます。 SSO 経由でログインできるのは、システム管理者によって招待された、またはSmartsheetによってプロビジョニングされた管理対象ユーザーのみです。
SSO を有効にした後、新しいユーザーをどのように考慮すればよいですか?
Smartsheet の組み込みユーザーの自動プロビジョニングをドメインに使用します。 Azure SCIM を使用することもできます。 Azure SCIM のセットアップは複雑なプロセスであるため、 Smartsheet UAP から始めます。あなたのニーズを満たしていることがわかるかもしれません。
最終更新