Single Sign-On (SSO) - Configuração Principal
Ativação do Single Sign-On (SSO)
Para ativar o Single Sign-On (SSO), siga estas etapas:
Localize o interruptor de alternância do SSO nas suas configurações de autenticação.
Alterne o interruptor para ativar o SSO.
⚠️ Importante: Você só pode testar a configuração do LOGIN SSO utilizando o link direto para a sua aplicação. O LOGIN SSO não funcionará no modo de visualização.
Opções de Configuração do LOGIN SSO
1. Configurar LOGIN SSO baseado em SAML
Se optar por usar o SAML, será necessário configurar tanto os detalhes do fornecedor de serviços da Drimify quanto os detalhes do seu fornecedor de identidade.
Detalhes do Fornecedor de Serviços (fornecido pela Drimify):
ID da Entidade – identificador único para a sua configuração.
URL ACS (Assertion Consumer Service) – Para onde o IdP envia as asserções SAML.
URL SLS (Single Logout Service) – Lida com pedidos de logout.
Estes valores aparecerão uma vez que o LOGIN SSO esteja ativado e devem ser adicionados ao seu Fornecedor de Identidade (IdP).
Detalhes do Fornecedor de Identidade (fornecido por você):
ID da Entidade (Emissor) – ex.: https://idp.example.com/
URL de Serviço de Single Sign-On – ex.: https://idp.example.com/sso/saml
URL de Serviço de Single Logout – ex.: https://idp.example.com/slo/saml
Certificado X.509 – Necessário para validar respostas SAML.
Certificado de Criptografia (opcional) – Para encriptar asserções.
2. Método de Autenticação (Opcional)
Pode definir opcionalmente um authenticationMethod para impor um nível específico de autenticação quando os usuários fizerem login via LOGIN SSO.
Métodos disponíveis:
Nenhum (Deixe o IdP decidir)
Senha / Senha sobre TLS
Certificado X.509
Autenticação PKI
Kerberos
Cartão Inteligente / PKI de Cartão Inteligente
Token síncrono no tempo (OTP)
Móvel (1FA / 2FA)
Apenas Endereço IP / IP + Senha
Sessão anterior
Indeterminado
Se não tiver certeza, selecione Nenhum para deixar o seu Fornecedor de Identidade determinar o mecanismo de autenticação.
3. Configurar LOGIN SSO baseado em OAuth
Também pode configurar o LOGIN SSO utilizando um fornecedor oauth.
Opções de OAuth suportadas:
Keycloak
Fornecedor personalizado
Para Keycloak:
id do cliente
Segredo do Cliente
url do servidor keycloak
Realm
Versão
Para OAuth Personalizado:
id do cliente
Segredo do Cliente
url de autorização
url do token de acesso
URL do Proprietário do Recurso (Informações do Usuário)
Escopos (ex.: openid, profile, email)
campo de id (ex.: sub)
Campo de E-Mail (ex.: email)
Campo do Primeiro Nome (ex.: given_name)
Campo de Sobrenome (ex.: family_name)
Resumo Passo a Passo
Ative o SSO usando o interruptor.
Escolha um método de configuração:
Configure manualmente SAML ou OAuth.
Insira os detalhes obrigatórios (dependendo do método).
Salve e teste utilizando o link direto da aplicação.
Notas Importantes
🔐 Requisito do Plano: A sua assinatura deve incluir a opção Premium LOGIN SSO.
🔗 Teste usando link direto: O modo de visualização não suporta o LOGIN SSO.
🛠️ Verifique a sua plataforma LOGIN SSO: Certifique-se de que o seu IdP ou fornecedor oauth permite pedidos da Drimify.
Dicas de Resolução de Problemas
Específico do SAML
✅ Desacordo entre URL ACS / ID da Entidade: Verifique estes valores no seu IdP.
📅 Certificado Expirado: Atualize o certificado X.509 se estiver expirado ou alterado.
🚫 Método de Autenticação não Suportado: Tente definir para "Nenhum" se o login falhar.
📥 Asserção SAML não aceita: Certifique-se de que está no formato correto e inclui campos obrigatórios (como o email).
Específico do OAuth
❌ ID/Segredo do Cliente Inválido: Verifique as credenciais.
🌐 URLs Incorretas: Certifique-se de que todos os URLs são precisos e acessíveis.
🔍 Escopos em Falta: Confirme que os escopos obrigatórios estão incluídos.
🧩 Mapeamentos de Campos em Falta: Combine os nomes dos campos com a resposta de informação do usuário do seu fornecedor OAuth.### Problemas Gerais
⚠️ SSO apenas funciona através de link direto: Evite testar na visualização.
🔄 SSO não está a iniciar: Certifique-se de que está ativado e que o seu plano inclui esta funcionalidade.
🧭 Incompatibilidade de dados do utilizador: Verifique se o seu IdP ou fornecedor de OAuth devolve um identificador único e válido para o utilizador.
Actualizado em: 30/05/2025
Obrigado!