A Qulture.Rocks possui uma integração com os provedores de single sign-on (SSO) usando o protocolo SAML v2.0. Por meio dela, é possível fazer com que o login na Plataforma da Qulture fique sob responsabilidade do sistema de diretório da sua empresa (Identity Provider, ou IDP), como por exemplo ADFS, Azure AD ou Google.
Para integração funcionar, é necessária a participação de alguém da equipe de TI da sua empresa que tenha familiaridade com o sistema de diretório/SSO que vocês usam.
Se estiver com algum problema, não deixe de ler as seções FAQ e Erros Comuns abaixo. Ela ajuda na agilidade para resolver os problemas que mais aparecem.
Com essa integração, o login dos usuários fica sob responsabilidade do cliente e não da Qulture.
ATENǘÃO: essa integração por SSO não possui provisionamento de usuários, ou seja, ela não cria contas na Plataforma da Qulture automaticamente. Somente usuários cadastrados conseguirão logar. Leia sobre integração de base de usuários aqui.
O diagrama a seguir ilustra de maneira simplificada os fluxos de SSO e Sincronização de base de usuários.
📜 Como funciona a configuração?
ATENÇÃO: NÃO ATIVE A OBRIGATORIEDADE DE LOGIN POR SSO ANTES DE TESTAR O LOGIN.
Recomendamos transformar a pessoa de TI responsável admin de empresa enquanto ela está configurando, assim ela pode criar usuários na Qulture sem precisar ficar pedindo pra ninguém.
Para configurar o SSO, basta seguir os passos abaixo:
1. Com permissão de administrador, clique em Organização > Integrações
;
2. Na seção “Single Sign On
”, clique em “Habilitar SAML
”;
3. Clique em “Baixar metadata
”;
4. Configure sua aplicação no provedor.
⚠️ Importante: Garanta que definiu o email como identificador do usuário.
5. Gere o metadata do seu provedor e faça o upload para a nossa plataforma.
6. Faça todos os testes necessários, assim que tudo estiver funcionando como o esperado clique em “Ativar a obrigatoriedade de login por SSO”.
👤 Como fazer quando alguns colaboradores não possuírem email?
O caso mais comum na configuração de SSO é utilizar o email como identificador de usuário. Entretanto, em algumas empresas, há colaboradores que não possuem email. Nesse caso, a Plataforma comporta uma configuração de um campo alternativo chamado de external_uid. Um exemplo de uso seria utilizar o CPF das pessoas, ao invés de email para enviar como external_uid. Um ponto importante é que esse número precisa ser único na empresa, ou seja, cada usuário cadastrado na Plataforma da Qulture deve possuir um identificador único. Além disso, esse campo deve respeitar a lógica do CPF, não podendo utilizar outro tipo de documento (nacional ou internacional) no lugar.
Se você precisar utilizar outro campo identificador, siga esses passos:
Usuários na Qulture
No seu método de cadastro de usuários, adicione o campo identificador no atributo external_uid e garanta que todos os usuários possuem esse campo cadastrado.
Quem não possuir esse campo, não conseguirá logar. Não é possível identificar alguns usuários com email e outros com external_uid.
SSO
Feito o passo I, Antes de realizar a configuração de SSO na Plataforma, chame no chat e solicite a ativação da configuração de external_uid
Assim que receber a confirmação de que ela está ativa, siga os passos de configuração normalmente, lembrando de mandar seu campo identificador.
Lembre-se de só ativar a obrigatoriedade depois que tiver feito o teste de login!
📢 MUITA ATENÇÃO
É imprescindível que a configuração do SSO seja feita corretamente, com destaque ao envio do campo identificador do usuário ser o email ou ser um identificador único. Pelo protocolo do SAML, nosso sistema "confia" no identificador enviado pela resposta do IDP. Caso sejam enviados identificadores iguais para dois usuários diferentes, é possível que um deles acesse a conta do outro.
⚠️ Erros comuns
1. Usuário não consegue logar
Lembre-se de que o usuário com o mesmo identificador precisa estar cadastrado, ativo e desbloqueado na plataforma da Qulture E liberado pra acessar no lado de vocês.
É bem comum o caso de um usuário tentar logar com email diferente do cadastrado na Qulture
Verifique se seu metadata foi alterado, desde que foi adicionado na Plataforma. Se sim, suba o arquivo novamente.
Verifique se está enviando o campo de identificador do usuário corretamente (email ou outro)
Garanta que o usuário do IDP tem o mesmo email ou identificador do usuário cadastrado na Qulture. É bem comum recebermos chamados com tentativas falhas de login com emails diferentes entre as bases.
2. Usuário consegue se autenticar mas cai na tela de login da Qulture
Esse problema não é muito comum, mas já aconteceu: os clocks do provider e do nosso servidor podem estar dessincronizados e o retorno do IP no nosso servidor chega num horário e a condition chega no futuro. Um exemplo:
1. Request chegou em "2014-07-17T01:00:00Z"
2. Condition na resposta do SAML:
<saml:Conditions NotBefore="2014-07-17T01:01:18Z" NotOnOrAfter="2014-07-18T06:21:48Z">
É possível solicitar a Qulture uma tolerância maior, chamada de drift. Como essa tolerância aumenta riscos de segurança, recomendamos que o drift seja o menor possível, no máximo de 30 segundos e seja temporário até que o clock do IP esteja sincronizado.
🔎 Preciso de ajuda da Qulture para encontrar um problema
Se você já garantiu que não se trata de um dos problemas comuns descritos acima e mesmo assim um usuário não consegue logar, siga esse procedimento:
Você pode abrir um chamado de dúvidas no nosso canal de dúvidas tecnicas que pode ser acessado por este link.
(i) uma confirmação de que já verificou que não se trata de um dos erros comuns acima
(ii) email do usuário
(iii) print das telas do fluxo de login (para facilitar a identificação do ponto de quebra
(iv) SAMLRequest e SAMLResponse:
a. Abra o code inspector no navegador;
b. Realize uma tentativa de log in por SSO;
c. Na tab de Network do inspector, procure pelo request do SSO, como no exemplo abaixo;
d. Copie o SAMLRequest e cole num arquivo request.txt (envie no corpo do email o campo date, encontrado no header do request - ex: Sun, 22 Nov 2020 15:05:13 GMT, não mande print screen e sim o texto)
e. Procure o item com a resposta e copie o SAMLResponse e cole num arquivo response.txt
❓ FAQ
A Qulture possui uma aplicação no meu provider (Azure, Okta) para que eu não precise fazer a configuração manual?
Ainda não possuímos, mas a configuração é bem simples 😉Há suporte para outro protocolo além do SAML 2.0?
Não.É possível fazer integração com LDAP?
Não, somente via o processo descrito.É possível criar/ativar/inativar usuários por SSO?
Por enquanto a Plataforma não consegue realizar ações de provisionamento de usuário. Está nos nossos planos, mas não temos previsão de atacar esse ponto ainda. A boa notícia é que há diversas opções de integração de base de usuários que funcionam muito bem para contornar esse problema.É possível gerenciar usuários via grupos de AD, ou roles de permissionamento?
Não, somente temos integração de sign on, não de provisionamento. Não é possível alterar as permissões de usuários no SSO.É preciso alguma configuração diferente para o app mobile?
Não, o fluxo de login é o mesmo do web.É preciso criar um ambiente de homologação para configurar?
Não, não tem problema dessa configuração ocorrer paralelamente ao uso, já que só obrigamos o acesso por SSO depois de tudo testado e confirmado.Meu TI não sabe muito bem como fazer isso, a Qulture pode configurar pra mim?
Não realizamos a configuração do lado do cliente; é preciso que seja feito pela área responsável da sua empresa.Como o usuário irá logar?
Ele pode acessar nossa tela de login e clicar em SSO ou ir direto na tela de login que vocês definirem internamente.Usuários serão criados automaticamente com essa integração?
Não, nossa integração com SSO não cria novos usuários na plataforma, e para isso, temos algumas opções de integração de base de usuários.Basta incluir um novo usuário na Qulture.Rocks que ele conseguirá acessar via SSO automaticamente?
Não. É preciso incluir esse novo usuário (e-mail) no grupo de pessoas que podem acessar a QR via SSO, dentro da própria configuração do single-sign-on.Como funciona a restrição que força login por SSO?
Quando ativamos essa opção, bloqueamos a possibilidade de um usuário trocar senha na Qulture e trocamos todas as senhas para valores aleatórios. Isso faz com que um usuário da sua empresa somente consiga logar pelo SSO. Outra consequência dessa opção é que os links nos emails enviados pela Plataforma da Qulture passam a ir com o link para a tela de login do SSO de vocês.É possível ter mais de um provider por empresa?
Atualmente nossa plataforma não comporta mais de um provider.Ativei a obrigatoriedade de login por SSO e agora não consigo logar. O que faço?
Pode chamar no chat explicando o caso e pedindo para remover a obrigatoriedade de login por SSO na sua empresa. Após a pessoa que te atender validar a legitimidade do pedido, ela irá desabilitar essa opção e você poderá solicitar um email de redefinição de senha na plataforma.É possível alterar a URL que direciona para meu SSO?
Por padrão, quando criamos uma empresa "Minha empresa", definimos o campo que determina a URL (chamado de slug) como "minha-empresa". Se quiser mudar, desabilite a obrigatoriedade de login por SSO e mande um email para a gerente de contas com o novo nome. Será necessário refazer os passos de configuração de SSO.O que acontece quando um usuário clica em esqueci senha na tela de login da Qulture?
A Plataforma envia um email explicando que a empresa utiliza login por Single Sign On e direcionando para a tela de login do Identity Provider da empresa.
Exemplos
Essa seção traz exemplos de configuração em Identity Providers.
Microsoft Azure AD
Okta
Se tiver dúvidas, entre em contato pelo chat.
O que achou do artigo? Deixe seu feedback abaixo 👇