Smartsheet へのプランレベルのシングルサインオン用に SAML を構成する

このヘルプ記事では、プラン内のユーザーのみがアクセスできる、プラン レベルでの SAML 構成のセットアップについて説明します。ドメイン内のすべてのSmartsheetユーザーに適用される SAML セットアップについては、ドメイン レベルの SAML 構成ガイドを参照してください。

プラン

• Smartsheet

• Enterprise

プラン タイプと含まれる機能の詳細については、 「Smartsheetプラン」ページを参照してください。

許可

IT 管理者とともにシステム管理者は、 Smartsheetを使用して SSO 用の SAML を設定できます。

この機能がSmartsheetリージョンまたはSmartsheet Gov に含まれているかどうかを確認してください。

注意事項として

2024 年 2 月 5 日以降、新しいプランレベルの SAML 構成を作成できなくなります。ただし、既存のプラン レベルの SAML 構成の場合、プラン レベルの SAML セットアップを作成、更新、削除、または読み取る機能は引き続き使用できます。さらに、ドメイン レベルで SAML を構成するオプションが追加されました。

これらは完了する必要がある手順です

1. Smartsheetと通信できるように組織の ID プロバイダー (IdP) を設定します。

2. 組織のドメイン ネーム システム (DNS) にレコードを追加します。この機能のセットアップとメンテナンスについては、社内の技術リソースに問い合わせる必要がある場合があります。 注: 米国政府向けにSmartsheetを使用して SAML SSO を正常にセットアップするには、適用する必要がある要件と設定がいくつかあります。

これらのことを念頭に置いてください

• Smartsheet は、サービス プロバイダーが開始する SSO をサポートしています。 IdP によって開始される SSO を構成している場合は、IdP と連携してください。

• 同時に複数の SSO IdP を使用できます。

• エンタープライズ プランのシステム管理者がドメインを検証し、ドメイン レベルで SAML 構成をセットアップする場合、ドメイン レベルの SAML セットアップは、そのドメイン内のユーザーのプラン レベルの SAML 構成をオーバーライドします。

前提条件

• 米国のお客様は、次のSmartsheetメタデータを使用してください: www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata.xml

• EU のお客様は、次のSmartsheetメタデータを使用してください: www.smartsheet.com/sites/default/files/smartsheet-saml2-sp-metadata-eu.xml

提供されたメタデータを使用して、IdP 内に証明書利用者を構成します。証明書利用者を構成するプロセスは、IdP ごとに異なる場合があります。詳細については、IdP のドキュメントを参照してください。

注記 セキュリティの脆弱性のため、SHA1 証明書アルゴリズムは非推奨になりました。 SHA1 を使用して署名された SSL 証明書を使用していないことを確認する必要があります。

SAML交換プロセス

Smartsheet、 SAML 交換プロセスで次の属性が必要です。

• 永続 ID: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent

• 電子メール アドレス: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

次の属性は推奨されますが、オプションです。

• 指定された名前: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname これはユーザーの名を表します。

• 姓: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname これはユーザーの姓を表します。

一部の SAML サービスは、 Smartsheetで構成するときに追加情報を要求する場合があります。

• アサーション コンシューマ サービス (ACS) URL: https://sso.smartsheet.com/Shibboleth.sso/SAML2/POST

  • EU アカウントでは、https://sso.smartsheet.eu/Shibboleth.sso/SAML2/POST を使用します。

• 視聴者制限: https://sso.smartsheet.com/saml

  • EU アカウントでは、https://sso.smartsheet.eu/saml を使用します。

交換手続きの注意点

• メールアドレスを小文字で入力してください。大文字を使用すると、SAML プロバイダーとSmartsheetの間で電子メールが一致しなくなります。

• 最初のアサーションには、各ユーザーがサインインするたびに同じ永続 ID が必要です。電子メール アドレスを永続 ID にすることもできますが、電子メール アドレス要求はアサーション プロセスで渡される必要があります。電子メールの請求はすべて小文字にする必要があります。サンプル アサーションと Smartsheet でサポートされているクレーム形式の完全なリストについては、「SAML アサーション: Smartsheetでサポートされているクレームの例」の記事を参照してください。

• 永続 ID は、アサーションの NameID (subject) 要素で定義できます。

• アサーションに NameID (subject) 要素がない場合は、「サポートされるクレーム」の記事で定義されている属性の 1 つを使用できます。

• Azure の事前設定された属性から属性クレーム http://schemas.xmlsoap.org/ws/2005/05/identity/claims/Name を必ず削除してください。

SAML IdP で使用するようにSmartsheet.com を構成する

重要 SAML 構成を続行する前に、要件を満たす必要があります。

SAML管理フォームを開く

IdP とSmartsheetの間の接続を確立するには:

1. 左側のナビゲーション バーで、[アカウント] を選択します。

2. 「アカウント」メニューで、「プランと請求情報」を選択します。

3. 「アカウント管理」フォームで「セキュリティ制御」を選択します。

4. 「認証」セクションで「編集」を選択します。

1. 「未設定」を選択します。これらの手順を実行すると、SAML 管理フォームが表示されます。

Smartsheetで SAML 構成を初めてセットアップする場合は、[未構成] ボタンをクリックすると、ドメイン レベルの SAML 構成ページが表示されます。プラン レベルの SAML 構成を定義する必要がある場合は、 Smartsheetサポートにお問い合わせください。

IdP で SSO を構成する

1 つ以上の IdP で SAML を構成するには、次の手順に従います。

1. [IdP の追加] を選択します。

1. IdP のニックネームを入力します。 注: IdP メタデータを取得する方法については、IdP のドキュメントを参照してください。

2. IdP メタデータを取得してコピーします。

3. [IdP メタデータ] テキストボックスに、IdP メタデータを貼り付けます。

1. SSO URL をコピーし、IdP に貼り付けます。

2. 「保存」を選択します。加えた変更を保存した後、 Smartsheet はメタデータを検証します。

   • 検証が成功すると、[IdP の編集] フォームが表示されます。

   • エラーが発生した場合は、SAML FAQ と一般的なエラーの記事を確認してください。

   • ユーザーがサインインするときにわかりやすい URL に誘導する CNAME を追加できます。詳細については、以下の「わかりやすい CNAME URL でサインインするようにユーザーに指示する」セクションを参照してください。

3. IdP をSmartsheetで使用できるようにするには、 [アクティブ化] を選択します。 IdP ステータスが非アクティブからアクティブ、デフォルトに変わります。

1. プランで SAML を有効にするには、認証フォームで SAML を選択します。 注: SAML を有効にする前に、少なくとも 1 つのアクティブな IdP が必要です。

2. 「保存」を選択します。 それでおしまい！これで、アカウント内のユーザーは会社の資格情報を使用してSmartsheetにサインインできるようになります。

追加の IdP を構成する

• ほとんどの組織ではアクティブな IdP が 1 つだけ必要ですが、追加できる IdP の数に制限はありません。

• IdP を編集または追加するには、SAML チェックボックスの横にある構成の編集を選択します。 SAML 管理フォームが表示され、IdP を追加したり、すでに設定した既存の IdP を編集したりできます。

• 複数のアクティブな IdP がある場合、SAML 経由でサインインするユーザーはデフォルトの IdP に対して認証されます。 IdP をデフォルトにするには、[IdP の編集] フォームで [デフォルトにする] を選択します。

わかりやすい CNAME URL でサインインするようにユーザーを誘導します

Smartsheet は、組織にデフォルトの SSO URL を提供します。これは、 Smartsheetにサインインするためのワンステップ リンクです。代わりに、わかりやすい、より会社固有の URL を含む CNAME を追加することもできます。

重要 ログインの問題が発生するため、「IdP の編集」フォームの「CNAME」フィールドに「sso.smartsheet.com」と入力しないでください。代わりに、会社が作成した CNAME を使用し、それが sso.smartsheet.com を指すようにします。

1. ドメインで CNAME DNS レコードを作成し、それを sso.smartsheet.com に指定します。たとえば、CNAME sso.smartsheet.com 内の Smartsheet.example.org です。

2. [IdP の編集] フォームに CNAME を入力します。

3. [追加] を選択します。

リマインダー

• CNAME アドレスが認証されるまでに最大 1 時間かかる場合があります。

• ユーザーの SSO アクセスを削除するだけでは、 Smartsheet へのアクセスを防ぐのに十分ではありません。ユーザーがSmartsheetにアクセスできないようにするには、そのユーザーを組織のSmartsheetプランから完全に削除する必要があります。

SAML 構成状態

SAML は次のいずれかの状態になります。

• 未構成: アクティブな IdP がありません。

• 無効: アクティブな IdP が少なくとも 1 つあります。また、認証フォームでは、SAML チェックボックスが選択されていません。

• 有効: アクティブな IdP が少なくとも 1 つあります。また、認証フォームでは、SAML チェックボックスがオンになっています。 IdP は次の 3 つの状態のいずれかになります。

  • 未構成: セキュリティ証明書の有効期限が切れています

  • 非アクティブ：有効なメタデータ、有効なセキュリティ証明書

  • アクティブ: 有効なメタデータ、有効なセキュリティ証明書、アカウント上の別のアクティブな IdP とエンティティ ID を共有しておらず、アクティブ化されている