SAML設定時によくある質問

プラン

• Smartsheet

• Enterprise

プラン タイプと含まれる機能の詳細については、 「Smartsheetプラン」ページを参照してください。

組織に SAML を設定する際に、構成に関する質問がある場合は、これをリソースとして使用できます。

Smartsheetアカウントの他のユーザーの邪魔をせずに SAML 構成をテストするにはどうすればよいですか

SAML の構成中、他の認証オプションを有効のままにすることができます。 SAML をテストした後、プランの認証オプションを制限できます。

たとえば、デフォルトでは、ほとんどのユーザーは、アカウント作成時に設定された直接メール アドレスを使用してSmartsheetにアクセスします。これは、SAML の構成とテスト中にそのまま維持できます。

システム管理者として認証オプションを管理する方法の詳細については、このヘルプ記事を参照してください。

SSO オプションを制限するにはどうすればよいですか

[認証オプションの管理] (詳細はこちら) で、プランのユーザーがどの認証オプションを利用できるかを選択できます。

Smartsheetエンドユーザーに SAML ソリューションを使用してサインインするよう要求したいが、他のシステム管理者にも「電子メール + パスワード」を使用してサインインするオプションを与えたい場合はどうすればよいですか?

これは可能であり、推奨されます。プランで [電子メール + パスワード] オプションを無効にすると、 Smartsheetによって [システム管理者用に電子メール + パスワードを保持する (フォールバック)] オプションが表示されます。

Smartsheetプランを SAML に制限しているが、アカウント内の一部のユーザーが IdP でログイン資格情報をセットアップしていない場合はどうすればよいですか

アカウントを SAML のみに制限すると、アカウント ([ユーザー管理] ウィンドウにリストされている) にはいるが、組織の IdP にいないユーザーはサインインできなくなります。各ドメインは、アカウントが SAML のみのサインイン オプションに制限されている場合に、これらのユーザーがサインインできるようにするSmartsheet SAML セットアップ ウィンドウ (「SSO 用の SAML 2 のセットアップ」を参照)。

IdP にログイン資格情報を持たないユーザーがいる場合でも、組織に SAML を構成し、これらのユーザーにアカウントへのアクセスを許可する方法がいくつかあります。

• 影響を受ける人々に有効な別の認証オプション (Google、Microsoft、電子メール + パスワード) を有効にします。

• Smartsheetアカウントに使用するドメインの SAML を構成します (会社がドメインを所有している場合)。

• IT チームと協力して、まだアカウントを持っていないユーザーのために IdP に認証情報を作成します。

  注: IdP 内の誰かに新しい資格情報を作成する必要がある場合は、アカウントへのサインインに現在使用しているのと同じ電子メール アドレスを使用してください。ユーザーのためにまったく新しいメール アドレスを作成する必要がある場合は、 Smartsheetサポートまたはアカウント チームに直接連絡して、その新しいメール アドレスをSmartsheetアカウントに追加してサインインできるようにするための最良の方法についてのガイダンスを求めることになります。 。

顧客は SAML トークンのどのセクションで証明書を渡す必要がありますか

メタデータの <KeyInfo> セクションに証明書を追加します。

コードスニペット

<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" entityID="https://sso.smartsheet.com/saml" nighteye="disabled">

<md:SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol urn:oasis:names:tc:SAML:1.1:protocol">

<md:KeyDescriptor>

<ds:KeyInfo>

<ds:X509Data>
<ds:X509Certificate> ***Certificate goes here*** </ds:X509Certificate>
</ds:X509Data>

Smartsheet はユーザーを認証するために SAML 応答の nameid/subject セクションを使用しますか? その場合、どのような値が使用されるでしょうか？

はい。 永続的な ID / 名前 ID 要求が必要です。 emailAddress は最も一般的に使用されるクレームです。 詳細については、次のヘルプセンターの記事を参照してください。

Smartsheet へのシングル サインオン用に SAML 2 をセットアップする - 「次の点に留意してください」ブロックを参照してください。 このセクションでは、「SAML アサーション: Smartsheet でサポートされているクレームの例」の記事内の詳細へのリンクも示しています。

シングル ログアウト (SLO) は、ユーザーがログアウト プロセスを 1 回開始することで、SAML 経由で確立されたすべてのサーバー セッションを終了できるようにするプロトコルです。

Smartsheet はシングル ログアウト (SLO) リクエストをどのように処理しますか？

Smartsheet は、サード パーティの IdP に関するシングル ログアウトをサポートしていません。 たとえ SLO が SAML SP でログアウトをトリガーしたとしても、Smartsheet セッションは無効になりません。

シングル ログアウトのサポートは、Smartsheet エコシステムに関してのみ行われます。 Smartsheet エコシステム内のアプリからサインアウトすると、Smartsheet エコシステムの残りの部分からサインアウトしたことになります。

Smartsheet は SAML セットアップにどのバインド方法を使用しますか？

Smartsheet サービス プロバイダーは、HTTP-POST と HTTP-Redirect の両方のバインド メソッドをサポートしています。 IdP をどのように構成するかはあなた次第です。

2 つの方法の違いに関する情報は、次の場所にあります。

• https://en.wikipedia.org/wiki/SAML_2.0#HTTP_Redirect_Binding

• https://en.wikipedia.org/wiki/SAML_2.0#HTTP_POST_Binding

あなたのアプリケーションは、組織が提供する証明書を使用して SAML 応答の署名を検証していますか？

はい、SAML フローの一部として、証明書を使用して応答署名が検証されます。

SP によって開始される SSO をサポートしている場合、AuthN リクエストに署名しますか?

Smartsheet SAML ログイン フローは、SP によって開始される SSO フローです。

Smartsheet SP は AuthN リクエストに署名するように構成されていません。

.GOV アカウントではどのようなログイン オプションが利用できますか？

Smartsheet の .GOV 組織のログイン オプションは、システム管理者によって設定されます。 利用可能なログイン オプションは次のとおりです。

• メール＋パスワード

• Google

• Microsoft Azure AD

• SAML

Apple は政府機関内で利用できるログイン オプションではありません。