Autenticação

Saiba mais sobre as opções para permitir que os usuários acessem o Workplace.

Conteúdo

Visão geral

Visão geral

O login único (SSO) oferece aos usuários acesso ao Workplace por meio do provedor de identidade (IdP) que você controla. Isso apresenta alguns benefícios para você e a sua equipe:

  • É mais seguro: oferece uma camada de administração e segurança adicional (nenhuma credencial é armazenada fora dos sistemas de controle da empresa ou transmitida pela rede).
  • É mais fácil para os usuários finais: entre no Workplace usando as mesmas credenciais de SSO que outros sistemas (por exemplo, laptop ou aplicativos internos) para que os usuários possam acessar a plataforma sem precisar se lembrar de outra senha.

O Workplace tem suporte direto de diversos provedores de identidade, como Azure AD, G Suite, Okta, OneLogin, Ping Identity que oferecem conectores diretos para facilitar a configuração.

?
O Workplace oferece suporte a SAML (Security Assertion Markup Language) 2.0 para SSO. É um padrão da indústria, então isso reflete na nossa capacidade de integrar facilmente com qualquer provedor de identidade que oferece suporte para SAML 2.0, mesmo se não listado nesta página ou até mesmo criar a sua própria implementação do SSO.

Ativar o SSO para o Workplace

Depois de concluir com sucesso as configurações de SSO abaixo, os usuários provisionados no Workplace poderão autenticar por meio do provedor de identidade selecionado.

Pré-requisitos

Pré-requisitos

Para ativar a autenticação SSO no Workplace, será necessário:

  • Ter acesso às configurações do seu do provedor de identidade.
  • Ter uma função de Administrador do sistema atribuída no Workplace.
  • Ter uma conta correspondente no provedor de identidade com o mesmo email que o usuário do Workplace com o qual está conectado (isto é, que usa o mesmo endereço de email para autenticar no Workplace e no provedor de identidade). Isso é essencial para testar o SSO e concluir a configuração do Workplace corretamente.
?
Por padrão, o Workplace oferece suporte para um provedor de identidade para SSO em cada instância. Isso significa que para ativar o SSO para todo usuário, você deve ter um provedor de identidade global estabelecido para o SSO. Como alternativa, oferecemos suporte a uma situação de autenticação mista em que alguns usuários farão a autenticação por meio do SSO e outros, por meio das credenciais de nome de usuário e senha do Workplace, ou oferecemos suporte a múltiplos provedores de identidade em nosso plano empresarial.

Instruções de alto nível

Ativar o SSO exige algumas alterações no provedor de identidade e no Workplace. Existem três estágios:

1
Configure o seu provedor de identidade (IdP) para ativar o SSO para o Workplace.

2
Configure o Workplace para autenticar usuários por meio SSO.

3
Ative o SSO para os seus usuários.

Veja uma visão geral detalhada de cada etapa:

Configure o seu IdP para SSO para o Workplace

1. Configure o seu provedor de identidade para ativar o SSO para o Workplace

Siga as instruções do provedor de identidade abaixo para configurar o SSO para o Workplace. Todos os provedores de identidade com base na nuvem aos quais oferecemos suporte proporcionam um aplicativo pré-configurado para facilitar a configuração do Workplace:

G-Suite
Azure AD
Okta
OneLogin
Ping
Duo

O Workplace também oferece suporte para ADFS como um provedor SSO. Leia mais sobre como configurar ADFS como um provedor SSO para o Workplace.

Todas as configurações acima fornecerão ao menos uma URL SAML, URL do emissor do SAML e um certificado X.509 que usaremos nas próximas etapas para configurar o Workplace. Anote essas informações.

?
Para o certificado X.509 (pode ser necessário abrir o certificado baixado em um editor de texto para usar nas próximas etapas.
Configure o Workplace para autenticar usuários por meio SSO

2. Configure o Workplace para autenticar usuários por meio SSO

Isso vincula o seu provedor de SSO ao Workplace:

1
No Painel Administrativo, selecione Segurança.

2
Clique na aba Autenticação.

3
Marque a caixa de seleção Login único (SSO).

4
Clique em +Adicionar novo provedor de SSO.

5
Digite os valores fornecidos pelo seu provedor de identidade nos campos relevantes:
  • URL SAML
  • URL do emissor do SAML
  • Redirecionamento de saída SAML (opcional)
  • Certificado SAML

?
Dependendo do provedor de identidade, talvez seja preciso copiar os valores da URL do público, URL do destinatário e URL do ACS (Assertion Consumer Service) listados na seção Configuração do SAML e configurar o seu provedor de identidade de acordo.

5
Role a página até a parte inferior da seção e clique no botão Testar SSO. Isso resultará na exibição de uma janela pop-up com a página de login do provedor de identidade. Digite as suas credenciais para autenticar.

?
Solução de problemas: verifique se o endereço de email usado para autenticar com o seu IdP seja o mesmo da conta do Workplace com a qual você está conectado.

6
Quando o teste tiver sido concluído com sucesso, role a página até o final e clique no botão Salvar.

7
Se necessário, configure o SSO como a autenticação padrão para novos usuários selecionando SSO no menu suspenso Padrão para novos usuários.

3. Ativar o SSO para os seus usuários

Ativar o SSO para os seus usuários

Agora você pode habilitar o SSO para os seus usuários de uma destas maneiras:

  • Ativar o SSO para um usuário
  • Ativar o SSO em massa para todos ou parte dos seus usuários

Ativar o SSO para um usuário

É possível ativar o SSO para um usuário fazendo login como um administrador com permissão para adicionar e remover contas:

1
No Painel Administrativo, selecione Pessoas.

2
Procure o usuário que você deseja habilitar para SSO.

3
Clique no botão ... e selecione Editar os detalhes da pessoa.

4
Selecione SSO em Entrar com.
Ativar o SSO em massa para todos ou parte dos seus usuários

Você pode usar diferentes abordagens para habilitar o SSO para todos ou para um subconjunto dos seus usuários:

  • Usar nossa API de gerenciamento de conta para atualizar o método de login para um conjunto de usuários automaticamente. A maioria dos provedores de identidade que se integram ao Workplace contam com essa API para sincronizar as configurações de autenticação para todos os seus usuários em escala. Leia mais em API de gerenciamento de contas.
  • O método de login está entre os campos aos quais oferecemos suporte para edição em massa. Você pode definir o campo Login method para SSO para um conjunto de usuários usando o recurso de importação de planilha. Leia mais em Gerenciamento de conta em massa.
Redirecionamento de saída SAML

Redirecionamento de saída SAML (Opcional)

Como opção, você pode escolher configurar uma URL de saída do SAML na página de configuração do SSO, que pode ser usada para direcionar a página de saída do provedor de identidade. Quando essa configuração estiver ativada e configurada, o usuário não será mais direcionado para a página de desconexão do Workplace. Em vez disso, o usuário será redirecionado para a URL adicionada na configuração do redirecionamento de saída SAML.

Frequência de reautenticação

Frequência de reautenticação

Você pode configurar o Workplace para solicitar uma verificação de SAML todos os dias, a cada três dias, uma semana, duas semanas, um mês ou nunca. Também é possível forçar uma redefinição do SAML para todos os usuários usando o botão Forçar a reautenticação agora.

Arquitetura do SSO Workplace

Arquitetura do SSO Workplace

?
Esta seção oferece uma visão geral mais detalhada do fluxo do SSO com suporte pelo Workplace. Soluções personalizadas com base no SAML devem seguir as diretrizes destacadas acima para integrar com o Workplace para a autenticação.

O Workplace oferece suporte para o SAML 2.0 para SSO, oferecendo aos administradores a opção de gerenciar o acesso à plataforma usando um provedor de identidade (IdP) que controlam. O Workplace recebe e aceita declarações do IdP e tem a função de provedor de serviços de SAML (SP) no seguinte fluxo de autenticação:

1
SSO iniciado por SP. Um usuário com SSO ativado é direcionado à página de login do Workplace, em seguida:
  • Preenche o nome de usuário e clica no botão ContinuarOU
  • Clica no botão Login com SSO.

2
O Workplace faz uma vinculação de redirecionamento de HTTP de SP para IdP. O <samlp:AuthnRequest>objeto passado na solicitação tem dados, como Issuer que contem a identificação da instância do Workplace e NameIDPolicy que foi combinado entre SP e IdP com antecedência e que especifica restrições no identificador do nome a ser usado para representar o sujeito solicitado. O Workplace requer que a identificação do nome contenha o endereço de email do usuário (nameid-format:emailAddress).

3
O Workplace espera uma vinculação de publicação de HTTP de IdP para SP. Um token de SAML é devolvido contendo declarações do usuário, como status de autenticação. URL de post-back do Workplace (também conhecida como URL do ACS – Assertion Consumer Service) é configurada no nível IDP e aponta para o ponto de extremidade da instância do Workplace da empresa /work/saml.php.

4
O Workplace, antes de deixar um usuário entrar, verifica se:
  • A resposta é assinada com o certificado emitido pelo IdP;
  • emailAddress devolvido nas declarações de SAML corresponde àquele usado para iniciar o fluxo de SSO;
  • A autenticação foi realizada com sucesso (<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>).