This translation has not been approved yet, read in English to be sure you get an accurate article.
Configuração SAML
Este guia orienta você na configuração do Single Sign-On (SSO) SAML 2.0 com o Cosafe.
Pré-requisitos
- Os usuários precisam existir no Cosafe antes de poder fazer login via SSO. Crie os usuários manualmente ou configure primeiro o provisionamento SCIM.
- Você precisa de acesso ao console de administração do seu Provedor de Identidade (IdP).
- Você precisa de acesso ao painel de administração do Cosafe.
Passo 1: Importe os metadados do SP do Cosafe para o seu IdP
O Cosafe fornece um endpoint de metadados do Service Provider (SP) que o seu IdP pode importar diretamente. Isso configura automaticamente o Entity ID, a ACS URL e o certificado de assinatura.
Use a URL de metadados correspondente à sua região:
| Região | SP Metadata URL |
|---|---|
| Europa | https://api.se-sto.prod.cosafe.com/core/saml/sp |
| América do Sul | https://api.sa-east-1.prod.cosafe.com/core/saml/sp |
A maioria dos IdPs permite importar metadados por URL. Se o seu IdP exigir configuração manual, os valores principais são:
| Campo | Europa | América do Sul |
|---|---|---|
| Entity ID | https://api.se-sto.prod.cosafe.com/core/saml/sp (igual à URL de metadados) | https://api.sa-east-1.prod.cosafe.com/core/saml/sp (igual à URL de metadados) |
| ACS URL | https://api.se-sto.prod.cosafe.com/core/saml/acs | https://api.sa-east-1.prod.cosafe.com/core/saml/acs |
Passo 2: Configure o seu IdP
NameID
Configure o seu IdP para enviar o endereço de e-mail do usuário como NameID:
- Formato do NameID:
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress - Valor do NameID: O endereço de e-mail do usuário
Este é o único atributo que o Cosafe exige. Nenhum atributo SAML adicional precisa ser configurado.
Assinatura da asserção
O seu IdP deve assinar a asserção SAML. Se o seu IdP tiver configurações separadas para assinar a resposta e a asserção, certifique-se de que a asserção esteja assinada. O Cosafe requer SHA-256 como algoritmo de assinatura.
Passo 3: Configure o painel de administração do Cosafe
- Acesse a sua página Account.
- Clique na aba Integration.
- Selecione Sign-On provider (SAML) no menu suspenso.
- Insira a sua IdP metadata URL — o Cosafe buscará automaticamente o certificado de assinatura do IdP, o endpoint SSO e o Entity ID a partir dessa URL.
- Adicione os domínios — especifique os domínios de e-mail dos usuários que utilizarão SSO. O domínio de e-mail no NameID SAML deve corresponder a um domínio configurado.
- Para adicionar vários domínios, clique em +Add domain e insira cada domínio.
- Salve as suas configurações.
Passo 4: Teste a conexão
- Abra uma janela anônima/privada do navegador.
- Acesse a página de login do Cosafe.
- Insira o endereço de e-mail de um usuário de teste cujo domínio esteja configurado para SSO.
- Você deverá ser redirecionado para o seu IdP para autenticação.
- Após a autenticação, você deverá ser redirecionado de volta ao Cosafe e ter o login realizado.
Se o teste falhar, verifique se:
- O usuário existe no Cosafe com um e-mail que corresponda a um domínio configurado.
- O seu IdP está enviando o endereço de e-mail como NameID.
- A URL de metadados do IdP está acessível e correta.
Ao usar SSO, o Cosafe delega toda a responsabilidade de autenticação ao seu Provedor de Identidade. O Cosafe não impõe sua própria 2FA para logins via SSO.
Certifique-se de que a Autenticação Multifator (MFA) esteja ativada e aplicada no seu IdP para todos os usuários que acessam o Cosafe. Esta é a medida mais eficaz que você pode tomar para proteger as contas da sua organização.
Para mais detalhes, consulte a nossa página de introdução ao SSO.