Pular para o conteúdo principal

Cosafe Support Center


informação

This translation has not been approved yet, read in English to be sure you get an accurate article.

Configuração de OpenID Connect (OIDC)

Este guia orienta você na configuração do Single Sign-On (SSO) via OpenID Connect com o Cosafe usando o Authorization Code Flow. O Cosafe usa PKCE como medida de segurança adicional, em conjunto com o client secret.

Pré-requisitos

  • Os usuários precisam existir no Cosafe antes de poderem fazer login via SSO. Crie os usuários manualmente ou configure primeiro o provisionamento via SCIM.
  • Você precisa de acesso ao console de administração do seu Identity Provider (IdP).
  • Você precisa de acesso ao painel de administração do Cosafe.

Passo 1: Criar uma aplicação OIDC no seu IdP

Crie um novo registro de aplicação no seu IdP com as seguintes configurações:

  • Tipo de aplicação: Aplicação web
  • Tipo de grant: Authorization Code Flow (o PKCE é tratado automaticamente pelo Cosafe)
  • Redirect URI: https://login.cosafe.com/login/sso
  • Escopos obrigatórios: openid, email, profile

Após criar a aplicação, anote os seguintes valores — você precisará deles no Passo 2:

  • Client ID
  • Client Secret
  • Authorization endpoint
  • Token endpoint
  • JWKS URI (endpoint do JSON Web Key Set)
  • Issuer
dica

A maioria dos IdPs publica essas URLs de endpoint em um documento de descoberta em https://<your-idp>/.well-known/openid-configuration.

Passo 2: Configurar o painel de administração do Cosafe

  1. Navegue até a página Account.
  2. Clique na aba Integration.
  3. Selecione Sign-On provider (OpenID) no menu suspenso.
  4. Insira os seguintes dados do seu IdP:
    • Client ID — o identificador único da aplicação que você criou.
    • Client Secret — o secret associado à sua aplicação.
    • Authorization endpoint — a URL para a qual os usuários são redirecionados para autenticação.
    • Token endpoint — a URL usada para trocar o código de autorização por tokens.
    • JWKS URI — a URL para obter o JSON Web Key Set utilizado na verificação dos tokens.
    • Issuer — o identificador do emissor (issuer) do seu IdP.
  5. Adicione os domínios — especifique os domínios de e-mail dos usuários que usarão SSO.
    • Para adicionar vários domínios, clique em +Add domain e informe cada domínio.
  6. Salve suas configurações.

Passo 3: Testar a conexão

  1. Abra uma janela anônima/privada do navegador.
  2. Acesse a página de login do Cosafe.
  3. Informe o endereço de e-mail de um usuário de teste cujo domínio esteja configurado para SSO.
  4. Você deverá ser redirecionado para o seu IdP para autenticação.
  5. Após autenticar, você deverá ser redirecionado de volta ao Cosafe e ter o login efetuado.

Se o teste falhar, verifique se:

  • O usuário existe no Cosafe com um e-mail correspondente a um domínio configurado.
  • A redirect URI no seu IdP corresponde exatamente a: https://login.cosafe.com/login/sso
  • Todas as URLs de endpoint estão corretas — use o documento de descoberta do seu IdP (/.well-known/openid-configuration) para confirmar.
  • O Client ID e o Client Secret estão corretos.
Fortemente recomendado: habilite MFA no seu Identity Provider

Ao usar SSO, o Cosafe delega toda a responsabilidade de autenticação ao seu Identity Provider. O Cosafe não aplica seu próprio 2FA para logins via SSO.

Garanta que a Multi-Factor Authentication (MFA) esteja habilitada e obrigatória no seu IdP para todos os usuários que acessam o Cosafe. Esta é a medida isolada mais eficaz que você pode adotar para proteger as contas da sua organização.

Para mais detalhes, consulte nossa página de introdução ao SSO.