Single Sign-On (SSO) - Configuração Principal

Ativação do Single Sign-On (SSO)

Para ativar o Single Sign-On (SSO), siga estas etapas:

1. Localize o interruptor de alternância do SSO nas suas configurações de autenticação.
2. Alterne o interruptor para ativar o SSO.

Opções de Configuração do LOGIN SSO

1. Configurar LOGIN SSO baseado em SAML

Se optar por usar o SAML, será necessário configurar tanto os detalhes do fornecedor de serviços da Drimify quanto os detalhes do seu fornecedor de identidade.

Detalhes do Fornecedor de Serviços (fornecido pela Drimify):

• ID da Entidade – identificador único para a sua configuração.
• URL ACS (Assertion Consumer Service) – Para onde o IdP envia as asserções SAML.
• URL SLS (Single Logout Service) – Lida com pedidos de logout.

Detalhes do Fornecedor de Identidade (fornecido por você):

• ID da Entidade (Emissor) – ex.: https://idp.example.com/
• URL de Serviço de Single Sign-On – ex.: https://idp.example.com/sso/saml
• URL de Serviço de Single Logout – ex.: https://idp.example.com/slo/saml
• Certificado X.509 – Necessário para validar respostas SAML.
• Certificado de Criptografia (opcional) – Para encriptar asserções.

2. Método de Autenticação (Opcional)

Pode definir opcionalmente um authenticationMethod para impor um nível específico de autenticação quando os usuários fizerem login via LOGIN SSO.

Métodos disponíveis:

• Nenhum (Deixe o IdP decidir)
• Senha / Senha sobre TLS
• Certificado X.509
• Autenticação PKI
• Kerberos
• Cartão Inteligente / PKI de Cartão Inteligente
• Token síncrono no tempo (OTP)
• Móvel (1FA / 2FA)
• Apenas Endereço IP / IP + Senha
• Sessão anterior
• Indeterminado

3. Configurar LOGIN SSO baseado em OAuth

Também pode configurar o LOGIN SSO utilizando um fornecedor oauth.

Opções de OAuth suportadas:

• Keycloak
• Fornecedor personalizado

Para Keycloak:

• id do cliente
• Segredo do Cliente
• url do servidor keycloak
• Realm
• Versão

Para OAuth Personalizado:

• id do cliente
• Segredo do Cliente
• url de autorização
• url do token de acesso
• URL do Proprietário do Recurso (Informações do Usuário)
• Escopos (ex.: openid, profile, email)
• campo de id (ex.: sub)
• Campo de E-Mail (ex.: email)
• Campo do Primeiro Nome (ex.: given_name)
• Campo de Sobrenome (ex.: family_name)

Resumo Passo a Passo

1. Ative o SSO usando o interruptor.
2. Escolha um método de configuração:

• Configure manualmente SAML ou OAuth.

3. Insira os detalhes obrigatórios (dependendo do método).
4. Salve e teste utilizando o link direto da aplicação.

Notas Importantes

• 🔐 Requisito do Plano: A sua assinatura deve incluir a opção Premium LOGIN SSO.
• 🔗 Teste usando link direto: O modo de visualização não suporta o LOGIN SSO.
• 🛠️ Verifique a sua plataforma LOGIN SSO: Certifique-se de que o seu IdP ou fornecedor oauth permite pedidos da Drimify.

Dicas de Resolução de Problemas

Específico do SAML

• ✅ Desacordo entre URL ACS / ID da Entidade: Verifique estes valores no seu IdP.
• 📅 Certificado Expirado: Atualize o certificado X.509 se estiver expirado ou alterado.
• 🚫 Método de Autenticação não Suportado: Tente definir para "Nenhum" se o login falhar.
• 📥 Asserção SAML não aceita: Certifique-se de que está no formato correto e inclui campos obrigatórios (como o email).

Específico do OAuth

• ❌ ID/Segredo do Cliente Inválido: Verifique as credenciais.
• 🌐 URLs Incorretas: Certifique-se de que todos os URLs são precisos e acessíveis.
• 🔍 Escopos em Falta: Confirme que os escopos obrigatórios estão incluídos.
• 🧩 Mapeamentos de Campos em Falta: Combine os nomes dos campos com a resposta de informação do usuário do seu fornecedor OAuth.### Problemas Gerais

• ⚠️ SSO apenas funciona através de link direto: Evite testar na visualização.
• 🔄 SSO não está a iniciar: Certifique-se de que está ativado e que o seu plano inclui esta funcionalidade.
• 🧭 Incompatibilidade de dados do utilizador: Verifique se o seu IdP ou fornecedor de OAuth devolve um identificador único e válido para o utilizador.

Actualizado em: 30/05/2025