Visão geral
O login único (SSO) oferece aos usuários acesso ao Workplace por meio do provedor de identidade (IdP) que você controla. Isso apresenta alguns benefícios para você e a sua equipe:
- É mais seguro: oferece uma camada de administração e segurança adicional (nenhuma credencial é armazenada fora dos sistemas de controle da empresa ou transmitida pela rede).
- É mais fácil para os usuários finais: entre no Workplace usando as mesmas credenciais de SSO que outros sistemas (por exemplo, laptop ou aplicativos internos) para que os usuários possam acessar a plataforma sem precisar se lembrar de outra senha.
O Workplace tem suporte direto de diversos provedores de identidade, como Azure AD, G Suite, Okta, OneLogin, Ping Identity que oferecem conectores diretos para facilitar a configuração.
Ativar o SSO para o Workplace
Depois de concluir com sucesso as configurações de SSO abaixo, os usuários provisionados no Workplace poderão autenticar por meio do provedor de identidade selecionado.
Pré-requisitosPré-requisitos
Para ativar a autenticação SSO no Workplace, será necessário:
- Ter acesso às configurações do seu do provedor de identidade.
- Ter uma função de Administrador do sistema atribuída no Workplace.
- Ter uma conta correspondente no provedor de identidade com o mesmo email que o usuário do Workplace com o qual está conectado (isto é, que usa o mesmo endereço de email para autenticar no Workplace e no provedor de identidade). Isso é essencial para testar o SSO e concluir a configuração do Workplace corretamente.
Instruções de alto nível
Ativar o SSO exige algumas alterações no provedor de identidade e no Workplace. Existem três estágios:
Veja uma visão geral detalhada de cada etapa:
Configure o seu IdP para SSO para o Workplace1. Configure o seu provedor de identidade para ativar o SSO para o Workplace
Siga as instruções do provedor de identidade abaixo para configurar o SSO para o Workplace. Todos os provedores de identidade com base na nuvem aos quais oferecemos suporte proporcionam um aplicativo pré-configurado para facilitar a configuração do Workplace:
O Workplace também oferece suporte para ADFS como um provedor SSO. Leia mais sobre como configurar ADFS como um provedor SSO para o Workplace.
Todas as configurações acima fornecerão ao menos uma URL SAML, URL do emissor do SAML e um certificado X.509 que usaremos nas próximas etapas para configurar o Workplace. Anote essas informações.
2. Configure o Workplace para autenticar usuários por meio SSO
Isso vincula o seu provedor de SSO ao Workplace:
- URL SAML
- URL do emissor do SAML
- Redirecionamento de saída SAML (opcional)
- Certificado SAML
3. Ativar o SSO para os seus usuários
Ativar o SSO para os seus usuáriosAgora você pode habilitar o SSO para os seus usuários de uma destas maneiras:
- Ativar o SSO para um usuário
- Ativar o SSO em massa para todos ou parte dos seus usuários
Ativar o SSO para um usuário
É possível ativar o SSO para um usuário fazendo login como um administrador com permissão para adicionar e remover contas:
Ativar o SSO em massa para todos ou parte dos seus usuários
Você pode usar diferentes abordagens para habilitar o SSO para todos ou para um subconjunto dos seus usuários:
- Usar nossa API de gerenciamento de conta para atualizar o método de login para um conjunto de usuários automaticamente. A maioria dos provedores de identidade que se integram ao Workplace contam com essa API para sincronizar as configurações de autenticação para todos os seus usuários em escala. Leia mais em API de gerenciamento de contas.
- O método de login está entre os campos aos quais oferecemos suporte para edição em massa. Você pode definir o campo
Login method
para SSO para um conjunto de usuários usando o recurso de importação de planilha. Leia mais em Gerenciamento de conta em massa.
Redirecionamento de saída SAML (Opcional)
Como opção, você pode escolher configurar uma URL de saída do SAML na página de configuração do SSO, que pode ser usada para direcionar a página de saída do provedor de identidade. Quando essa configuração estiver ativada e configurada, o usuário não será mais direcionado para a página de desconexão do Workplace. Em vez disso, o usuário será redirecionado para a URL adicionada na configuração do redirecionamento de saída SAML.
Frequência de reautenticaçãoFrequência de reautenticação
Você pode configurar o Workplace para solicitar uma verificação de SAML todos os dias, a cada três dias, uma semana, duas semanas, um mês ou nunca. Também é possível forçar uma redefinição do SAML para todos os usuários usando o botão Forçar a reautenticação agora.
Arquitetura do SSO Workplace
O Workplace oferece suporte para o SAML 2.0 para SSO, oferecendo aos administradores a opção de gerenciar o acesso à plataforma usando um provedor de identidade (IdP) que controlam. O Workplace recebe e aceita declarações do IdP e tem a função de provedor de serviços de SAML (SP) no seguinte fluxo de autenticação:
- Preenche o nome de usuário e clica no botão ContinuarOU
- Clica no botão Login com SSO.
<samlp:AuthnRequest>
objeto passado na solicitação tem dados, como Issuer
que contem a identificação da instância do Workplace e NameIDPolicy
que foi combinado entre SP e IdP com antecedência e que especifica restrições no identificador do nome a ser usado para representar o sujeito solicitado. O Workplace requer que a identificação do nome contenha o endereço de email do usuário (nameid-format:emailAddress
). /work/saml.php
.- A resposta é assinada com o certificado emitido pelo IdP;
emailAddress
devolvido nas declarações de SAML corresponde àquele usado para iniciar o fluxo de SSO;- A autenticação foi realizada com sucesso (
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
).