Autenticação

Saiba mais sobre suas opções para permitir que os usuários acessem o Workplace.

Visão geral

Visão geral

O login único (SSO) oferece aos usuários acesso ao Workplace por meio do provedor de identidade (IdP) que você controla. Isso apresenta alguns benefícios para você e sua equipe:

  • É mais seguro: oferece uma camada de administração e segurança adicional (nenhuma credencial é armazenada fora dos sistemas de controle da empresa ou transmitida pela rede).
  • É mais fácil para os usuários finais: entre no Workplace usando as mesmas credenciais de SSO que outros sistemas (por exemplo, laptop ou aplicativos internos) para que os usuários possam acessar a plataforma sem precisar se lembrar de outra senha.

O Workplace tem suporte direto de diversos provedores de identidade, como Azure AD, G Suite, Okta, OneLogin, Ping Identity que oferecem conectores diretos para facilitar a configuração.

?
O Workplace oferece suporte a SAML (Security Assertion Markup Language) 2.0 para SSO. É um padrão da indústria, então isso reflete em nossa capacidade de integrar facilmente com qualquer provedor de identidade que oferece suporte para SAML 2.0, mesmo se não listado nesta página ou até mesmo criar sua própria implementação do SSO.

Ativar o SSO para o Workplace

Depois de concluir com sucesso as configurações de SSO abaixo, os usuários provisionados no Workplace poderão autenticar por meio do provedor de identidade selecionado.

Pré-requisitos

Pré-requisitos

Para ativar a autenticação SSO no Workplace, você deverá:

  • Ter acesso às configurações de seu do provedor de identidade.
  • Ter uma função de administrador do sistema atribuída no Workplace.
  • Ter uma conta correspondente no provedor de identidade com o mesmo email que o usuário do Workplace com o qual está conectado (isto é, que usa o mesmo endereço de email para autenticar no Workplace e no provedor de identidade). Isso é essencial para testar o SSO e concluir a configuração do Workplace corretamente.
?
O Workplace oferece suporte para um provedor de identidade para SSO em cada instância. Isso significa que para ativar o SSO para todo usuário, você deve ter um provedor de identidade global estabelecido para o SSO. Como alternativa, oferecemos suporte a uma situação de autenticação mista em que alguns usuários farão a autenticação por meio do SSO e outros, por meio das credenciais de nome de usuário e senha do Workplace.

Instruções de alto nível

Ativar o SSO exige algumas alterações no provedor de identidade e no Workplace. Dependendo do provedor de identidade, a configuração pode variar, mas as etapas podem ser resumidas desta forma:

1
Configure seu provedor de identidade (IdP) para ativar o SSO para o Workplace.

2
Configure o Workplace para autenticar usuários por meio SSO.

3
Ativar o SSO para seus usuários.

Aqui está uma visão geral detalhada de cada etapa:

Configure seu IdP para SSO com o Workplace

1. Configure seu IdP para ativar o SSO para o Workplace

Siga as instruções do provedor de identidade abaixo para configurar o SSO para o Workplace. Todos os provedores de identidade com base na nuvem aos quais oferecemos suporte proporcionam um aplicativo pré-configurado para facilitar a configuração do Workplace.

G-Suite
Azure AD
Okta
OneLogin
Ping
Duo

O Workplace também oferece suporte para ADFS como um provedor SSO. Leia mais sobre como configurar ADFS como um provedor SSO para o Workplace.

Todas as configurações acima fornecerão ao menos uma URL SAML, URL do emissor do SAML e um certificado X.509 que usaremos nas próximas etapas para configurar o Workplace. Anote essas informações.

?
Para o certificado X.509 (pode ser necessário abrir o certificado baixado em um editor de texto para usar nas próximas etapas.
Configure o Workplace para autenticar usuários por meio SSO

2. Configure o Workplace para autenticar usuários por meio SSO

Depois de passar pela configuração do provedor de identidade:

1
Vá para o Painel Administrativo e navegue até a seção Segurança.

2
Navegue até a guia Autenticação.

3
Marque a caixa de seleção Login único (SSO).

4
Insira os valores de seu provedor de identidade nos campos correspondentes:
  • URL SAML
  • URL do emissor do SAML
  • Redirecionamento de saída SAML (opcional)
  • Certificado SAML

5
Dependendo do provedor de identidade, talvez seja preciso copiar os valores da URL do público, URL do destinatário e URL do ACS (Assertion Consumer Service) listados na seção Configuração do SAML e configurar seu provedor de identidade de acordo.

6
Role a página até a parte inferior da seção e clique no botão Testar SSO. Isso resultará na exibição de uma janela pop-up com a página de login do provedor de identidade. Digite suas credenciais para autenticar.

?
Solução de problemas: certifique-se de que o endereço de email usado para autenticar com seu IdP seja o mesmo da conta do Workplace com a qual você está conectado.

7
Quando o teste tiver sido concluído com sucesso, role a página até o final e clique no botão Salvar.

3. Ativar o SSO para seus usuários

Ativar o SSO para seus usuários

Dependendo de como você decidiu configurar a autenticação para sua instância:

  • Ative o SSO para um usuário. É possível ativar o SSO para um usuário fazendo login como um administrador com permissão para adicionar e remover contas. Em seguida, realize estas etapas para alterar as configurações de SSO para um usuário:

    1
    Ir para o Painel Administrativo e navegar até a seção Pessoas.

    2
    Procurar o usuário de quem você deseja alterar as configurações de autenticação.

    3
    Clicar no botão ... e selecionar Editar os detalhes da pessoa.

    4
    Alterar o campo Entrar com para SSO.
  • Ativar SSO para todos os usuários do Workplace. É possível ativar o SSO para todos seus usuários fazendo login como administrador que tem a função de administrador do sistema. Depois de entrar como administrador com essa permissão, será possível realizar estas etapas para alterar as configurações do SSO para todos os usuários do Workplace.

    1
    Vá para o Painel Administrativo e navegue até a seção Segurança.

    2
    Navegue até a guia Autenticação.

    3
    Se você deseja alternar todos os usuários para SSO, desmarque a caixa de seleção Senha.
  • Ativar SSO para uma parcela dos usuários. É possível usar abordagens diferentes para ativar o SSO de forma seletiva para um subconjunto de seus usuários.

    O método de login está entre os campos aos quais oferecemos suporte para edição em massa. É possível definir o método de login para SSO para um conjunto de usuários usando csvo recurso importar. Leia mais em Gerenciamento de conta em massa.

    Como alternativa, é possível usar nossa API de gerenciamento de conta para atualizar o método de login para um conjunto de usuários automaticamente. Leia mais em API de gerenciamento de conta.

Redirecionamento de saída SAML

Redirecionamento de saída SAML (Opcional)

Como opção, você pode escolher configurar uma URL de saída do SAML na página de configuração do SSO, que pode ser usada para direcionar a página de saída do provedor de identidade. Quando essa configuração estiver ativada e configurada, o usuário não será mais direcionado para a página de saída do Workplace. Em vez disso, o usuário será redirecionado para a URL que foi adicionada na configuração do Redirecionamento de saída SAML.

Frequência de reautenticação

Frequência de reautenticação

Você pode configurar o Workplace para solicitar uma verificação de SAML todos os dias, a cada três dias, uma semana, duas semanas, um mês ou nunca. Também é possível forçar uma redefinição do SAML para todos os usuários usando o botão Forçar a reautenticação agora.

Arquitetura do SSO Workplace

Arquitetura do SSO Workplace

?
Esta seção oferece uma visão geral mais detalhada do fluxo do SSO com suporte pelo Workplace. Soluções personalizadas com base no SAML devem seguir as diretrizes destacadas acima para integrar com o Workplace para a autenticação.

O Workplace oferece suporte para o SAML 2.0 para SSO, oferecendo aos administradores a opção de gerenciar o acesso à plataforma usando um provedor de identidade (IdP) que controlam. O Workplace recebe e aceita declarações do IdP e tem a função de provedor de serviços de SAML (SP) no seguinte fluxo de autenticação:

1
SSO iniciado por SP. Um usuário com SSO ativado é direcionado à página de login do Workplace, em seguida:
  • Preenche o nome de usuário e clica no botão ContinuarOU
  • Clica no botão login com SSO.

2
O Workplace faz uma vinculação de redirecionamento de HTTP de SP para IdP. O <samlp:AuthnRequest>objeto passado na solicitação tem dados, como Issuer que contem a identificação da instância do Workplace e NameIDPolicy que foi combinado entre SP e IdP com antecedência e que especifica restrições no identificador do nome a ser usado para representar o sujeito solicitado. O Workplace requer que a identificação do nome contenha o endereço de email do usuário (nameid-format:emailAddress).

3
O Workplace espera uma vinculação de publicação de HTTP de IdP para SP. Um token de SAML é devolvido contendo declarações do usuário, como status de autenticação. URL de post-back do Workplace (também conhecida como URL do ACS – Assertion Consumer Service) é configurada no nível IDP e aponta para o ponto de extremidade da instância do Workplace da empresa/work/saml.php.

4
O Workplace, antes de deixar um usuário entrar, verifica se:
  • A resposta é assinada com o certificado emitido pelo IdP;
  • emailAddress devolvido nas declarações de SAML corresponde àquele usado para iniciar o fluxo de SSO;
  • A autenticação foi realizada com sucesso (<samlp:​StatusCode Value="urn:​oasis:​names:​tc:​SAML​:2.0:​status:Success"/>).