Single Sign-On (SSO) - Configuração Principal
Ativação do Single Sign-On (SSO)
Para ativar o Single Sign-On (SSO), siga estas etapas:
- Localize o interruptor de alternância do SSO nas suas configurações de autenticação.
- Alterne o interruptor para ativar o SSO.
Opções de Configuração do LOGIN SSO
1. Configurar LOGIN SSO baseado em SAML
Se optar por usar o SAML, será necessário configurar tanto os detalhes do fornecedor de serviços da Drimify quanto os detalhes do seu fornecedor de identidade.
Detalhes do Fornecedor de Serviços (fornecido pela Drimify):
- ID da Entidade – identificador único para a sua configuração.
- URL ACS (Assertion Consumer Service) – Para onde o IdP envia as asserções SAML.
- URL SLS (Single Logout Service) – Lida com pedidos de logout.
Detalhes do Fornecedor de Identidade (fornecido por você):
- ID da Entidade (Emissor) – ex.:
https://idp.example.com/
- URL de Serviço de Single Sign-On – ex.:
https://idp.example.com/sso/saml
- URL de Serviço de Single Logout – ex.:
https://idp.example.com/slo/saml
- Certificado X.509 – Necessário para validar respostas SAML.
- Certificado de Criptografia (opcional) – Para encriptar asserções.
2. Método de Autenticação (Opcional)
Pode definir opcionalmente um authenticationMethod
para impor um nível específico de autenticação quando os usuários fizerem login via LOGIN SSO.
Métodos disponíveis:
- Nenhum (Deixe o IdP decidir)
- Senha / Senha sobre TLS
- Certificado X.509
- Autenticação PKI
- Kerberos
- Cartão Inteligente / PKI de Cartão Inteligente
- Token síncrono no tempo (OTP)
- Móvel (1FA / 2FA)
- Apenas Endereço IP / IP + Senha
- Sessão anterior
- Indeterminado
3. Configurar LOGIN SSO baseado em OAuth
Também pode configurar o LOGIN SSO utilizando um fornecedor oauth.
Opções de OAuth suportadas:
- Keycloak
- Fornecedor personalizado
Para Keycloak:
- id do cliente
- Segredo do Cliente
- url do servidor keycloak
- Realm
- Versão
Para OAuth Personalizado:
- id do cliente
- Segredo do Cliente
- url de autorização
- url do token de acesso
- URL do Proprietário do Recurso (Informações do Usuário)
- Escopos (ex.:
openid
,profile
,email
) - campo de id (ex.:
sub
) - Campo de E-Mail (ex.:
email
) - Campo do Primeiro Nome (ex.:
given_name
) - Campo de Sobrenome (ex.:
family_name
)
Resumo Passo a Passo
- Ative o SSO usando o interruptor.
- Escolha um método de configuração:
- Configure manualmente SAML ou OAuth.
- Insira os detalhes obrigatórios (dependendo do método).
- Salve e teste utilizando o link direto da aplicação.
Notas Importantes
- 🔐 Requisito do Plano: A sua assinatura deve incluir a opção Premium LOGIN SSO.
- 🔗 Teste usando link direto: O modo de visualização não suporta o LOGIN SSO.
- 🛠️ Verifique a sua plataforma LOGIN SSO: Certifique-se de que o seu IdP ou fornecedor oauth permite pedidos da Drimify.
Dicas de Resolução de Problemas
Específico do SAML
- ✅ Desacordo entre URL ACS / ID da Entidade: Verifique estes valores no seu IdP.
- 📅 Certificado Expirado: Atualize o certificado X.509 se estiver expirado ou alterado.
- 🚫 Método de Autenticação não Suportado: Tente definir para "Nenhum" se o login falhar.
- 📥 Asserção SAML não aceita: Certifique-se de que está no formato correto e inclui campos obrigatórios (como o email).
Específico do OAuth
- ❌ ID/Segredo do Cliente Inválido: Verifique as credenciais.
- 🌐 URLs Incorretas: Certifique-se de que todos os URLs são precisos e acessíveis.
- 🔍 Escopos em Falta: Confirme que os escopos obrigatórios estão incluídos.
- 🧩 Mapeamentos de Campos em Falta: Combine os nomes dos campos com a resposta de informação do usuário do seu fornecedor OAuth.### Problemas Gerais
- ⚠️ SSO apenas funciona através de link direto: Evite testar na visualização.
- 🔄 SSO não está a iniciar: Certifique-se de que está ativado e que o seu plano inclui esta funcionalidade.
- 🧭 Incompatibilidade de dados do utilizador: Verifique se o seu IdP ou fornecedor de OAuth devolve um identificador único e válido para o utilizador.
Actualizado em: 30/05/2025
Obrigado!