Passar para o conteúdo principal

Integre com um provedor de identidade e faça login com SAML SSO

Faça login no seu workspace Fin com SAML SSO usando Okta, OneLogin ou outro provedor de identidade.

Integrar seu workspace Fin com seu provedor de identidade torna o login simples e seguro para sua equipe.

Siga os passos deste artigo para configurar seu provedor de identidade, para exigir SAML SSO (Single Sign On) de todos os seus colegas, ou oferecê-lo como uma das opções de login.

Configurando seu provedor de identidade

Para ativar o SAML SSO, vá para Configurações > Segurança e ative SAML SSO em “Métodos de autenticação”:

Captura de tela da página Configurações > Segurança mostrando a seção Métodos de autenticação com o botão de alternância do SAML SSO ativado

Depois de ativar, você verá a seção SAML SSO aparecer 👇

Captura de tela mostrando a seção de configuração do SAML SSO que aparece após ativar o botão, com campos de configuração do provedor de identidade

A primeira coisa que você verá é a URL SAML única para seu workspace:

Captura de tela mostrando a URL SAML única para o workspace exibida no topo da seção de configuração do SAML SSO

Você precisará incluir isso para configurar o SAML SSO com seu provedor de identidade. Se configurar o SAML com o Intercom Okta App ou OneLogin, você precisa apenas de <SAML URL>.

  • Single Sign-On URL: <SAML URL>/consume

  • Recipient URL: <SAML URL>/consume

  • Audience restriction/Entity ID: <SAML URL>

  • NameID: Endereço de email

  • Signed Assertions: Sim

  • Mapped Attributes

    • firstName (Primeiro nome do usuário)

    • lastName (Último nome do usuário)

  • Encryption: AES256_CBC com este certificado:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Para integrar, você também precisará adicionar as seguintes informações no seu workspace Fin do seu provedor de identidade:

  • Identity provider Single Sign-On URL — Esta é a URL usada para iniciar o processo de login.

  • Public certificate — Isso permite que seu workspace Fin valide as solicitações SAML do seu provedor de identidade. Deve ser um certificado X.509.

    Captura de tela das configurações SAML SSO no Intercom mostrando o campo Identity provider Single Sign-On URL e o campo Public certificate onde o certificado X.509 é colado

Se seu provedor de identidade suportar, você também pode definir uma duração de sessão na configuração do seu provedor de identidade, que define o tempo antes da sessão de um colega expirar e ele precisar fazer login novamente no workspace Fin. Se não definido, a duração padrão é 3,5 dias.

Em seguida, especifique os domains que estão autorizados a autenticar com SAML SSO. Insira um domain em “Allowed domains” e clique em Add domain. Ao configurar domains, certifique-se de que eles estejam alinhados com a região selecionada do seu workspace (ex.: EU ou outras regiões geográficas) na página de login do SP para evitar erros de autenticação.

Captura de tela da seção Allowed domains mostrando um campo para inserir domain e o botão Add domain

Para garantir que toda sua equipe consiga fazer login com sucesso usando SAML SSO antes de desativar outros métodos de login, você deve deixar essas opções ativadas:

Captura de tela da seção Métodos de autenticação mostrando os botões de alternância do Google Sign-On e Email e senha que devem permanecer ativados durante o teste do SAML SSO

Importante: Para desmarcar esta opção e impor o SAML SSO como o método de login obrigatório, você deve estar logado com SAML SSO. Isso pode ser feito após salvar suas configurações.

Então, você deve verificar que é proprietário do domain adicionando um registro TXT nas configurações DNS com os valores mostrados aqui:

Captura de tela mostrando a seção de verificação DNS com o nome e valor do registro TXT a ser adicionado nas configurações DNS do domain

Se você não tiver acesso ao seu provedor DNS, pode precisar de ajuda de alguém da sua equipe.

Após adicionar o registro TXT nas configurações DNS, clique em “Verify DNS record”:

Captura de tela mostrando o botão Verify DNS record ao lado do domain pendente de verificação

Nota: Se você acabou de criar o registro DNS, ele pode ainda estar propagando, nesse caso você verá a seguinte mensagem de aviso: “Não foi possível verificar o registro DNS. Por favor, tente novamente mais tarde.”

Uma vez que o registro DNS seja verificado, você verá uma mensagem de sucesso e o domain aparecerá aqui:

Captura de tela da seção Allowed domains mostrando um domain verificado com sucesso com uma mensagem de confirmação

Se precisar adicionar mais de um domain, repita esse processo para os demais. 👌

Faça login com SAML SSO

Uma vez que o SAML SSO esteja ativado, os colegas podem fazer login usando-o.

Email não registrado para uma conta SAML

Se o email inserido na página de login SAML não corresponder a nenhum colega que pertença a um workspace com SAML SSO ativado, o colega verá uma mensagem de erro.

Email registrado para uma conta SAML

Se o email corresponder a um workspace com SAML SSO, o usuário será redirecionado diretamente para o provedor de identidade que ele usa e solicitado a fazer login.

Email registrado para múltiplas contas SAML

Se o email corresponder a múltiplos workspaces com SAML SSO, você verá o seletor de workspace onde poderá escolher o workspace para o qual deseja fazer login.

Captura de tela da tela do seletor de workspace exibida quando o email de um colega está registrado em múltiplos workspaces com SAML SSO ativado, listando os workspaces disponíveis para escolha

Dependendo do provedor de identidade que o colega tem para cada workspace, ele será redirecionado para a experiência de login do provedor correto. Após o login, o usuário será levado de volta ao workspace correto e estará logado.

Suporte SAML ao alternar contas

O SAML SSO é suportado ao alternar entre workspaces.

Quando o colega de equipe deseja mudar para um workspace onde já está logado, a troca ocorre sem atrito. Caso contrário, o colega é redirecionado para o seletor de workspace e solicitado a fazer login uma vez.

Cenário:

  • Quando um colega de equipe está logado em dois workspaces usando provedores SAML SSO semelhantes, não é necessário autenticar novamente para alternar entre workspaces.

  • Se o colega de equipe tem acesso a um terceiro workspace com senha como método de autenticação, e ainda não fez login, então o redirecionamos para o alternador de workspace para fazer login uma vez com senha.

Solução de problemas do Google Workspace SSO

Se você estiver usando Google Workspace como seu provedor SSO e vir uma mensagem de erro indicando que você não tem acesso (semelhante à imagem abaixo), você pode ativar mensagens de remediação para entender melhor a razão do erro.

Captura de tela de uma mensagem de erro de acesso do Google Workspace SSO indicando que o usuário não tem acesso

Uma vez ativado, você poderá ver informações mais detalhadas na mensagem de erro.

Por exemplo, o seguinte erro pode indicar que o dispositivo usado não é gerenciado pelo gerenciamento de endpoint do Google:

Captura de tela de uma mensagem de erro detalhada do Google Workspace SSO indicando que o dispositivo não é gerenciado pelo gerenciamento de endpoint do Google

Convites para workspace

O SAML SSO também é compatível com convites para workspace. Ao resgatar o convite, ele falha se o e-mail do convite não corresponder ao e-mail retornado pelos provedores de identidade. Caso contrário, o convite pode ser resgatado.

Escolha habilitar o provisionamento Just-in-Time (JIT)

O provisionamento Just-in-Time adicionará automaticamente colegas de equipe ao seu workspace Fin na primeira vez que fizerem login com SAML SSO, se ainda não tiverem uma conta Fin.

Para habilitar isso, vá para Configurações > Segurança, certifique-se de que o SAML SSO está ativado e clique em Provisionamento.

Captura de tela da página de configurações do SAML SSO mostrando a seção de Provisionamento com opções de provisionamento Just-in-Time

Então, habilite o provisionamento Just-in-Time.

Captura de tela mostrando o botão de provisionamento Just-in-Time no estado ativado

Você também pode configurar permissões para novos colegas de equipe adicionados via provisionamento JIT ou quando o provisionamento de função baseado em SCIM está desativado. Para definir permissões padrão para colegas de equipe, clique em Editar.

Captura de tela das configurações de permissões padrão para novos colegas de equipe adicionados via provisionamento Just-in-Time

Por fim, salve suas configurações e teste sua configuração autenticando-se com seu provedor de identidade.

Uma vez que seu workspace tenha o SAML SSO ativado com qualquer provedor, os colegas de equipe não poderão editar seu próprio endereço de e-mail na página Segurança da conta. O campo de e-mail será somente leitura.

Configurando SAML com OneLogin

É fácil configurar o SAML SSO com OneLogin. Basta usar o aplicativo Intercom na loja OneLogin.

Vá para “Aplicações” na sua página de administrador e clique em “Adicionar App”:

Captura de tela do painel de administração OneLogin na página Aplicações com o botão Adicionar App

Então, pesquise pelo app “Intercom SAML 2.0” e adicione-o:

Captura de tela dos resultados da pesquisa do app OneLogin mostrando o aplicativo Intercom SAML 2.0

Após adicionar o app Intercom, abra a aba Configuração e insira o nome SAML do seu workspace:

Captura de tela da aba Configuração do app Intercom OneLogin mostrando o campo nome SAML onde o nome SAML do workspace é inserido

Na aba SSO, copie a URL "SAML 2.0 Endpoint" e cole nas configurações SAML do seu workspace:

Captura de tela da aba SSO do app Intercom OneLogin mostrando a URL do endpoint SAML 2.0 para ser copiada nas configurações SAML do Intercom

Por fim, clique em “Ver Detalhes” sob o certificado e copie isso também para seu workspace Fin:

Captura de tela da visualização dos detalhes do certificado OneLogin mostrando o certificado a ser copiado e colado no campo Certificado Público do Intercom

Agora você pode autenticar com OneLogin e salvar suas configurações no seu workspace Fin, e está pronto para começar. 👌

Nota: Se seu workspace estiver hospedado na UE ou AU, entre em contato com a equipe OneLogin para garantir que sua integração seja suportada.

Configurando SAML SSO com Okta

Configure facilmente o SAML SSO com o aplicativo Intercom na loja de apps Okta.

Vá para “Adicionar Aplicação” na sua página de administrador e pesquise por Intercom. Clique em “Adicionar”:

Captura de tela da loja de apps Okta mostrando o resultado da pesquisa do aplicativo Intercom com um botão Adicionar


Prossiga para o passo 2 e veja as instruções de configuração:

Captura de tela das instruções de configuração do app Okta Intercom mostrando a URL do emissor do provedor de identidade e os campos de certificado público


Essas instruções são personalizadas para sua conta Okta e contêm o seguinte:

  • URL do emissor do provedor de identidade.

  • Certificado público.

Você deve copiar e colar esses valores nas configurações SAML do seu workspace.

Após adicionar a URL e o certificado, volte para Okta e insira o nome SAML do seu workspace em “Configurações avançadas de login”:

Captura de tela do campo Configurações avançadas de login do app Okta Intercom onde o nome SAML do workspace é inserido

Veja acima as instruções sobre como encontrar seu nome SAML.


Em seguida, salve o Certificado de Criptografia fornecido pela Okta como intercom.pem e faça o upload aqui:

Captura de tela do campo de upload do Certificado de Criptografia Okta onde o arquivo de certificado intercom.pem é enviado

Agora você pode salvar suas configurações na Okta e depois confirmar a autenticação no seu workspace Fin, e está tudo pronto. 👌

Artigos relacionados
Implantar Copilot no Zendesk
Proteja sua conta com 2FA, Google Sign-On ou SAML SSO
Implantar Copilot no Salesforce
Respondeu à sua pergunta?