Single Sign-On (SSO) - Configuração Principal

Ativação do Single Sign-On (SSO)

Para ativar o Single Sign-On (SSO), siga estas etapas:
Localize o interruptor de alternância do SSO nas suas configurações de autenticação.
Alterne o interruptor para ativar o SSO.

⚠️ Importante: Você só pode testar a configuração do LOGIN SSO utilizando o link direto para a sua aplicação. O LOGIN SSO não funcionará no modo de visualização.

Opções de Configuração do LOGIN SSO

1. Configurar LOGIN SSO baseado em SAML

Se optar por usar o SAML, será necessário configurar tanto os detalhes do fornecedor de serviços da Drimify quanto os detalhes do seu fornecedor de identidade.

Detalhes do Fornecedor de Serviços (fornecido pela Drimify):

ID da Entidade – identificador único para a sua configuração.
URL ACS (Assertion Consumer Service) – Para onde o IdP envia as asserções SAML.
URL SLS (Single Logout Service) – Lida com pedidos de logout.

Estes valores aparecerão uma vez que o LOGIN SSO esteja ativado e devem ser adicionados ao seu Fornecedor de Identidade (IdP).

Detalhes do Fornecedor de Identidade (fornecido por você):

ID da Entidade (Emissor) – ex.: https://idp.example.com/
URL de Serviço de Single Sign-On – ex.: https://idp.example.com/sso/saml
URL de Serviço de Single Logout – ex.: https://idp.example.com/slo/saml
Certificado X.509 – Necessário para validar respostas SAML.
Certificado de Criptografia (opcional) – Para encriptar asserções.

2. Método de Autenticação (Opcional)

Pode definir opcionalmente um authenticationMethod para impor um nível específico de autenticação quando os usuários fizerem login via LOGIN SSO.

Métodos disponíveis:

Nenhum (Deixe o IdP decidir)
Senha / Senha sobre TLS
Certificado X.509
Autenticação PKI
Kerberos
Cartão Inteligente / PKI de Cartão Inteligente
Token síncrono no tempo (OTP)
Móvel (1FA / 2FA)
Apenas Endereço IP / IP + Senha
Sessão anterior
Indeterminado

Se não tiver certeza, selecione Nenhum para deixar o seu Fornecedor de Identidade determinar o mecanismo de autenticação.

3. Configurar LOGIN SSO baseado em OAuth

Também pode configurar o LOGIN SSO utilizando um fornecedor oauth.

Opções de OAuth suportadas:

Keycloak
Fornecedor personalizado

Para Keycloak:

id do cliente
Segredo do Cliente
url do servidor keycloak
Realm
Versão

Para OAuth Personalizado:

id do cliente
Segredo do Cliente
url de autorização
url do token de acesso
URL do Proprietário do Recurso (Informações do Usuário)
Escopos (ex.: openid, profile, email)
campo de id (ex.: sub)
Campo de E-Mail (ex.: email)
Campo do Primeiro Nome (ex.: given_name)
Campo de Sobrenome (ex.: family_name)

Resumo Passo a Passo

Ative o SSO usando o interruptor.
Escolha um método de configuração:

Configure manualmente SAML ou OAuth.

Insira os detalhes obrigatórios (dependendo do método).
Salve e teste utilizando o link direto da aplicação.

Notas Importantes

🔐 Requisito do Plano: A sua assinatura deve incluir a opção Premium LOGIN SSO.
🔗 Teste usando link direto: O modo de visualização não suporta o LOGIN SSO.
🛠️ Verifique a sua plataforma LOGIN SSO: Certifique-se de que o seu IdP ou fornecedor oauth permite pedidos da Drimify.

Dicas de Resolução de Problemas

Específico do SAML

✅ Desacordo entre URL ACS / ID da Entidade: Verifique estes valores no seu IdP.
📅 Certificado Expirado: Atualize o certificado X.509 se estiver expirado ou alterado.
🚫 Método de Autenticação não Suportado: Tente definir para "Nenhum" se o login falhar.
📥 Asserção SAML não aceita: Certifique-se de que está no formato correto e inclui campos obrigatórios (como o email).

Específico do OAuth

❌ ID/Segredo do Cliente Inválido: Verifique as credenciais.
🌐 URLs Incorretas: Certifique-se de que todos os URLs são precisos e acessíveis.
🔍 Escopos em Falta: Confirme que os escopos obrigatórios estão incluídos.
🧩 Mapeamentos de Campos em Falta: Combine os nomes dos campos com a resposta de informação do usuário do seu fornecedor OAuth.### Problemas Gerais

⚠️ SSO apenas funciona através de link direto: Evite testar na visualização.
🔄 SSO não está a iniciar: Certifique-se de que está ativado e que o seu plano inclui esta funcionalidade.
🧭 Incompatibilidade de dados do utilizador: Verifique se o seu IdP ou fornecedor de OAuth devolve um identificador único e válido para o utilizador.

Actualizado em: 30/05/2025