Pular para o conteúdo principal

Cosafe Support Center


informação

This translation has not been approved yet, read in English to be sure you get an accurate article.

Configuração SAML

Este guia orienta você na configuração do Single Sign-On (SSO) SAML 2.0 com a Cosafe.

Pré-requisitos

  • Os usuários precisam existir na Cosafe antes de poderem fazer login via SSO. Crie usuários manualmente ou configure o provisionamento SCIM primeiro.
  • Você precisa ter acesso ao console de administração do seu Identity Provider (IdP).
  • Você precisa ter acesso ao painel de administração da Cosafe.

Passo 1: Importar os metadados do SP da Cosafe para o seu IdP

A Cosafe fornece um endpoint de metadados do Service Provider (SP) que o seu IdP pode importar diretamente. Isso configura automaticamente o Entity ID, a ACS URL e o certificado de assinatura.

Use a URL de metadados para a sua região:

RegiãoURL de metadados do SP
Europahttps://api.se-sto.prod.cosafe.com/core/saml/sp
América do Sulhttps://api.sa-east-1.prod.cosafe.com/core/saml/sp

A maioria dos IdPs permite importar metadados via URL. Se o seu IdP exigir configuração manual, os valores principais são:

CampoEuropaAmérica do Sul
Entity IDhttps://api.se-sto.prod.cosafe.com/core/saml/sp (o mesmo que a URL de metadados)https://api.sa-east-1.prod.cosafe.com/core/saml/sp (o mesmo que a URL de metadados)
ACS URLhttps://api.se-sto.prod.cosafe.com/core/saml/acshttps://api.sa-east-1.prod.cosafe.com/core/saml/acs

Passo 2: Configurar o seu IdP

NameID

Configure o seu IdP para enviar um identificador persistente como NameID:

  • Formato do NameID: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
  • Valor do NameID: um identificador opaco e estável do seu IdP (por exemplo, o objectId / "Object identifier" do Entra ID). O nome exato do atributo varia conforme o IdP; o requisito é que o valor seja único por usuário, nunca reatribuído, e não mude quando o usuário for renomeado ou tiver o e-mail alterado.

Atributo SAML obrigatório

A Cosafe precisa do e-mail do usuário para correspondência de domínio, notificações e exibição da conta. Configure o seu IdP para enviá-lo como um atributo SAML:

Nome do atributoValor
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressO endereço de e-mail do usuário

Assinatura da asserção

O seu IdP precisa assinar a asserção SAML. Se o seu IdP tiver configurações separadas para assinar a resposta e a asserção, certifique-se de que a asserção seja assinada. A Cosafe exige SHA-256 como algoritmo de assinatura.

Passo 3: Configurar o painel de administração da Cosafe

  1. Acesse a sua página Account.
  2. Clique na aba Integration.
  3. Selecione Sign-On provider (SAML) no menu suspenso.
  4. Insira a IdP metadata URL — a Cosafe buscará automaticamente o certificado de assinatura do IdP, o endpoint de SSO e o Entity ID a partir dessa URL.
  5. Adicione domínios — especifique os domínios de e-mail dos usuários que utilizarão o SSO. O e-mail do usuário (do atributo SAML emailaddress) precisa corresponder a um domínio configurado.
    • Para adicionar vários domínios, clique em +Add domain e insira cada domínio.
  6. Salve suas configurações.

Passo 4: Testar a conexão

  1. Abra uma janela anônima/privada do navegador.
  2. Acesse a página de login da Cosafe.
  3. Insira o endereço de e-mail de um usuário de teste cujo domínio esteja configurado para SSO.
  4. Você deve ser redirecionado para o seu IdP para autenticação.
  5. Após autenticar, você deve ser redirecionado de volta para a Cosafe e ter sessão iniciada.

Se o teste falhar, verifique se:

  • O usuário existe na Cosafe com um e-mail correspondente a um domínio configurado.
  • O seu IdP está enviando o formato de NameID persistente e o atributo SAML emailaddress (veja o Passo 2 para o nome canônico do atributo).
  • A URL de metadados do IdP está acessível e correta.
Fortemente recomendado: Habilite MFA no seu Identity Provider

Ao usar SSO, a Cosafe delega toda a responsabilidade de autenticação ao seu Identity Provider. A Cosafe não aplica seu próprio 2FA para logins via SSO.

Certifique-se de que a Autenticação Multifator (MFA) esteja habilitada e obrigatória no seu IdP para todos os usuários que acessam a Cosafe. Esta é a medida isolada mais eficaz que você pode tomar para proteger as contas da sua organização.

Para mais detalhes, consulte nossa página de introdução ao SSO.