Ir para o conteúdo

SSO (Single Sign-On)

O SSO (Single Sign-On) é um mecanismo de autenticação que permite aos usuários acessar a plataforma utilizando as credenciais já existentes em seu provedor de identidade corporativo (como Google Workspace, Microsoft Azure AD, entre outros), sem a necessidade de criar ou gerenciar uma senha separada.

Com o SSO habilitado, o processo de login é centralizado e controlado pela organização, o que traz benefícios tanto para usuários quanto para administradores.

  • Usuários: acessam a plataforma com as mesmas credenciais que já utilizam no dia a dia.
  • Administradores: têm controle centralizado sobre acessos, podendo revogar permissões de forma imediata a partir do provedor de identidade.

Quem tem acesso?

Somente usuários com papel de Administrador tem acesso às configurações dessa funcionalidade.

Captura de tela da Central de Segurança da BotCity, no menu SSO, na aba Configuração de provedor, apresentando a lista de provedores configurados com as informações em colunas: Ativo, Provedor, URL de redirecionamento e Ações (Editar e Excluir). Acima da lista, o botão de ativar e desativar o SSO e o botão de adicionar provedor.

Configuração de provedor

Para ativar o SSO/SAML, acesse:

  • Central de Segurança no menu global
  • Menu SSO
  • Aba Configuração de provedor
  • Faça as configurações dos provedores

Você pode configurar um ou mais provedores de identidade (IdPs).

Cada provedor possui suas configurações, veja a seguir cada uma delas. Os provedores disponíveis são:

  • IdPs Sociais
    • Microsoft
    • Google
  • IdPs Definidos pelo Usuário
    • SAML v2.0
    • OpenID Connect v1.0

Atenção!

Ao desabilitar o SSO, usuários que acessavam exclusivamente via SSO perderão o acesso à plataforma.

GIF demonstrando o caminho partindo da Home da BotCity, clicando no menu global no canto superior esquerdo da página, selecionando a opção Central de Segurança dentro de Administração, redirecionando para a plataforma da Central de Segurança, no menu lateral, seleciona a opção SSO e a aba Configuração de Provedor.

IdPs Sociais (Microsoft e Google)

Para configurar IdPs Sociais, você precisa das seguintes informações:

  • ID do Cliente
  • Segredo do Cliente

Onde encontrar essas informações?

Microsoft

Google

Atenção!

A Redirect URL deve ser copiada e configurada no ambiente do IdP para concluir a integração. Utilize o botão de cópia disponível na tabela.

GIF demonstrando como adicionar um provedor social. Clica no botão Adicionar Provedor, no canto superior direito da página, uma janela modal abre com o fomulário, seleciona o provedor e clica em próximo, preenche os campos de ID do Cliente e Segredo do Cliente e clica em Confirmar. O novo provedor fica disponivel na lista para gerenciamento.

SAML v2.0

Para configurar SAML v2.0, você precisa das seguintes informações:

  • Display Name
  • Service Provider Entity ID
  • Arquivo de configuração do IdP

Onde encontrar essas informações?

Normalmente você baixa esse arquivo de configuração .xml diretamente no painel do seu IdP (ex.: Okta, Azure AD, Google Workspace).

Atenção!

A Redirect URL deve ser copiada e configurada no ambiente do IdP para concluir a integração. Utilize o botão de cópia disponível na tabela.

Exemplo Arquivo de configuração do IdP 
<?xml version="1.0" encoding="UTF-8"?>
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://your-idp.example.com/auth/realms/your-realm">
    <md:IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
        <md:KeyDescriptor use="signing">
            <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
                <ds:X509Data>
                    <ds:X509Certificate>YOUR_BASE64_ENCODED_X509_CERTIFICATE_HERE</ds:X509Certificate>
                </ds:X509Data>
            </ds:KeyInfo>
        </md:KeyDescriptor>
        <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://your-idp.example.com/auth/realms/your-realm/protocol/saml"/>
    </md:IDPSSODescriptor>
</md:EntityDescriptor>

GIF demonstrando como adicionar um provedor SAML. Clica no botão Adicionar Provedor, no canto superior direito da página, uma janela modal abre com o fomulário, seleciona o provedor e clica em próximo, preenche os campos de Nome de Display e carrega o arquivo XML com as configurações do IdP, e clica em Confirmar. O novo provedor fica disponivel na lista para gerenciamento.

OpenID Connect v1.0

Para configurar OpenID Connect v1.0, você precisa das seguintes informações:

  • Display Name
  • Service Provider Entity ID
  • Discovery Endpoint URL
  • Arquivo de configuração do IdP

Onde encontrar essas informações?

Normalmente você baixa esse arquivo de configuração .json diretamente no painel do seu IdP (ex.: Okta, Azure AD, Google Workspace).

Atenção!

A Redirect URL deve ser copiada e configurada no ambiente do IdP para concluir a integração. Utilize o botão de cópia disponível na tabela.

Exemplo Arquivo de configuração do IdP 
{
  "alias": "oidc-manual",
  "providerId": "oidc",
  "enabled": true,
  "config": {
    "authorizationUrl": "https://idp.example.com/oauth2/authorize",
    "tokenUrl": "https://idp.example.com/oauth2/token",
    "userInfoUrl": "https://idp.example.com/oauth2/userinfo",
    "jwksUrl": "https://idp.example.com/oauth2/jwks",
    "issuer": "https://idp.example.com",
    "clientId": "YOUR_CLIENT_ID",
    "clientSecret": "YOUR_CLIENT_SECRET"
  }
}

GIF demonstrando como adicionar um provedor SAML. Clica no botão Adicionar Provedor, no canto superior direito da página, uma janela modal abre com o fomulário, seleciona o provedor e clica em próximo, preenche os campos de Nome de Display e carrega o arquivo JSON com as configurações do IdP, e clica em Confirmar. O novo provedor fica disponivel na lista para gerenciamento.

Ativação

Com as configurações feitas, você pode habilitar e desabilitar o login com SSO/SAML.

Você também pode gerenciar cada um dos provedores diretamente no painel de controle, com as ações:

  • Ativar: Botão de ativar ou desativar um provedor específico.
  • Editar: Editar as informações configuradas de um provedor.
  • Excluir: Excluir as configurações de um provedor.

Contas locais

As contas locais são todas as contas cadastradas em Organização.

Aqui você pode visualizar a lista de contas cadastradas em cada workspace e possibilitar que esses usuários continuem acessando a plataforma via E-mail e Senha.

Para ativar contas locais, acesse:

  • Central de Segurança no menu global
  • Menu SSO
  • Aba Contas locais
  • Clique em Habilitar contas locais.

Dica

Você pode habilitar e desabilitar essa funcionalidade sempre que necessário.

Atenção!

Ao desabilitar as contas locais, usuários que acessavam exclusivamente via E-mail e Senha perderão o acesso à plataforma.

Captura de tela da Central de Segurança da BotCity, no menu SSO, na aba Contas Locais, apresentando a lista de usuários configurados com as informações em colunas: Nome, E-mail, Workspace. Acima da lista, o botão de ativar e desativar contas locais.

Impacto em outras funcionalidades

A configuração do SSO afeta as seguintes áreas da plataforma:

Convite de Usuários

  • A opção de marcar um usuário como local e não-SSO é exibida somente se contas locais estiverem habilitadas no workspace.
  • Usuários SSO não recebem senha temporária no convite.
  • Usuários locais recebem senha temporária no convite.

Tela de Login

  • As opções de login federado são exibidas conforme os provedores configurados.

Atualização e Recuperação de Senha

  • Não permitida para usuários SSO. Nesses casos, a senha deve ser atualizada diretamente no provedor de acesso.