Skip to content
Contracko Logo
Documentação

Configurar o início de sessão único (SSO)

O início de sessão único (SSO) permite que a sua equipa inicie sessão no Contracko através do seu fornecedor de identidade existente, para que as TI controlem o acesso num único local. O Contracko suporta SSO OIDC de autogestão no plano Big Business. Pode ligar o Microsoft Entra, Google Workspace, Okta, Auth0, JumpCloud, Keycloak ou qualquer fornecedor compatível com OIDC. O SAML 2.0 está disponível mediante pedido.

Este guia percorre toda a configuração: verificar o seu domínio, criar uma aplicação no seu fornecedor de identidade, ligá-la no Contracko, testá-la e ativar a obrigatoriedade do SSO.

Antes de começar

Vai precisar de:

  • O plano Big Business. As definições de SSO estão disponíveis apenas no Big Business.
  • Uma função de administrador, proprietário ou proprietário de faturação na sua área de trabalho do Contracko.
  • Autenticação de dois fatores (2FA) ativada na conta do proprietário de faturação. O proprietário de faturação é a única conta que ainda pode iniciar sessão com uma palavra-passe se o seu fornecedor de identidade ficar indisponível, por isso o Contracko exige que essa conta tenha 2FA antes de poder ligar um fornecedor ou ativar a obrigatoriedade do SSO. O proprietário de faturação pode configurar isto nas Definições, ou em /totp/setup.
  • Acesso de administrador ao seu fornecedor de identidade (para criar uma aplicação OIDC).
  • Acesso aos seus registos DNS (para verificar o seu domínio).

Configura tudo em Definições > Segurança (/account/security).

Passo 1: Verificar o seu domínio

Antes de poder ligar um fornecedor, verifique pelo menos um domínio da empresa. Um domínio verificado é o que lhe permite, mais tarde, exigir SSO para todos os utilizadores nesse domínio.

  1. Aceda a Definições > Segurança e localize o cartão Domínios verificados.
  2. Clique em Adicionar domínio e introduza o domínio simples da empresa, por exemplo suaempresa.com. Não inclua https://, www. nem uma barra final. Os subdomínios contam como domínios separados.
  3. O Contracko mostra um registo TXT de DNS para adicionar, com o formato contracko-domain-verification=.... Copie-o.
  4. Adicione esse registo TXT ao seu domínio no seu fornecedor de DNS.
  5. De volta ao Contracko, clique em Verificar junto ao domínio. As alterações de DNS podem demorar até 48 horas a propagar-se; assim que o registo estiver ativo, a verificação é bem-sucedida e o domínio apresenta um símbolo verde Verificado.

Verificar suaempresa.com também abrange os seus subdomínios, como [email protected] e [email protected].

Passo 2: Criar uma aplicação OIDC no seu fornecedor de identidade

No seu fornecedor de identidade, crie uma nova aplicação web OIDC (OpenID Connect). Vai necessitar do URI de redirecionamento que o Contracko lhe mostra durante o Passo 3:

https://app.contracko.com/api/auth/sso/callback/<your-provider-id>

Abra Definições > Segurança > Início de sessão único > Adicionar fornecedor, escolha o seu fornecedor e o Contracko apresenta o URI de redirecionamento exato para colar. (Para a opção genérica "Outro", o URI de redirecionamento aparece no passo de teste, depois de guardar, por isso adicione-o ao seu fornecedor antes de executar o teste.)

No seu fornecedor de identidade, irá recolher um ID de cliente e um segredo de cliente, mais um valor específico do fornecedor indicado abaixo.

Microsoft Entra

  1. No Portal do Azure, aceda a Microsoft Entra ID > Registos de aplicações > Novo registo.
  2. Em URI de redirecionamento, escolha a plataforma Web e cole o URI de redirecionamento do Contracko.
  3. Na página Descrição geral, copie o ID da aplicação (cliente) e o ID do diretório (inquilino).
  4. Aceda a Certificados e segredos > Novo segredo de cliente e copie o Valor do segredo (não o ID do segredo).
  5. No Contracko, introduza o ID do diretório (inquilino). Utilize o ID específico do seu inquilino, não common, para que o início de sessão fique restrito ao seu inquilino. O Contracko constrói o URL do emissor automaticamente.

Google Workspace

  1. Na Google Cloud Console, aceda a APIs e serviços > Credenciais > Criar credenciais > ID de cliente OAuth.
  2. Escolha o tipo de aplicação Aplicação web.
  3. Em URIs de redirecionamento autorizados, adicione o URI de redirecionamento do Contracko.
  4. Copie o ID de cliente e o Segredo de cliente gerados.
  5. No Contracko, introduza o seu Domínio alojado esperado, que é o domínio primário do seu Google Workspace (por exemplo, suaempresa.com). Apenas as contas desse domínio têm permissão para iniciar sessão. O Google utiliza sempre o mesmo emissor, por isso não há um URL de emissor a introduzir.

Okta

  1. Na Consola de Administração do Okta, aceda a Aplicações > Criar integração de aplicação.
  2. Escolha OIDC - OpenID Connect e o tipo de aplicação Aplicação web.
  3. Em URIs de redirecionamento de início de sessão, adicione o URI de redirecionamento do Contracko.
  4. Copie o ID de cliente e o Segredo de cliente no separador Geral da aplicação.
  5. No Contracko, introduza o seu domínio Okta (por exemplo, sua-empresa.okta.com). Sem https://, sem barra final, sem caminho. O Contracko constrói o URL do emissor automaticamente.

Auth0

  1. No Painel do Auth0, aceda a Aplicações > Criar aplicação.
  2. Escolha o tipo de aplicação Aplicação web regular.
  3. Em Definições > URLs de retorno permitidos, adicione o URI de redirecionamento do Contracko.
  4. Copie o ID de cliente e o Segredo de cliente no separador Definições.
  5. No Contracko, introduza o seu inquilino Auth0, que é a parte antes de .auth0.com no URL do seu inquilino. O Contracko constrói o URL do emissor automaticamente.

JumpCloud

  1. No Portal de Administração do JumpCloud, aceda a Aplicações SSO > Adicionar nova aplicação.
  2. Selecione Aplicação OIDC personalizada.
  3. Em URIs de redirecionamento, adicione o URI de redirecionamento do Contracko.
  4. Copie o ID de cliente e o Segredo de cliente no separador SSO da aplicação. O JumpCloud utiliza o mesmo emissor para todos os inquilinos, por isso não há um URL de emissor a introduzir.

Keycloak

  1. Na Consola de Administração do Keycloak, selecione o seu realm e aceda a Clientes > Criar cliente.
  2. Defina o tipo de cliente como OpenID Connect e ative a Autenticação de cliente.
  3. Em URIs de redirecionamento válidos, adicione o URI de redirecionamento do Contracko.
  4. No separador Credenciais, copie o Segredo de cliente. O ID de cliente é o nome que deu ao cliente.
  5. No Contracko, introduza o seu host do Keycloak e o Realm. O Contracko constrói o URL do emissor automaticamente.

Qualquer outro fornecedor OIDC

  1. No seu fornecedor de identidade, crie uma aplicação web OIDC (OpenID Connect).
  2. Adicione o URI de redirecionamento do Contracko aos URLs de redirecionamento permitidos da aplicação.
  3. Copie o ID de cliente e o Segredo de cliente.
  4. No Contracko, introduza o URL do emissor completo do seu fornecedor e um nome de fornecedor. O Contracko descobre automaticamente os pontos finais de autorização, token e chave a partir de /.well-known/openid-configuration.

Passo 3: Ligar o fornecedor no Contracko

  1. Aceda a Definições > Segurança > Início de sessão único (OIDC) e clique em Adicionar fornecedor.
  2. Escolha o seu fornecedor de identidade na lista.
  3. Configure a ligação: cole o ID de cliente e o Segredo de cliente, depois preencha o campo específico do fornecedor do Passo 2 (ID do inquilino, domínio alojado, domínio Okta, etc.).
  4. Defina a função predefinida que os novos utilizadores SSO recebem quando iniciam sessão pela primeira vez (member, manager ou admin). O valor predefinido é member.
  5. Clique em Guardar e testar.

Passo 4: Testar a ligação

O Contracko verifica a ligação com uma viagem real de ida e volta antes de poder aplicá-la obrigatoriamente.

  1. No passo Testar início de sessão, clique em Abrir teste de início de sessão. O Contracko abre o seu fornecedor de identidade numa janela de popup.
  2. Inicie sessão com uma conta de teste no seu inquilino.
  3. O Contracko deteta a viagem de ida e volta bem-sucedida, marca o fornecedor como Verificado e termina a sessão da conta de teste.
  4. Clique em Continuar.

Se o teste falhar, verifique se o URI de redirecionamento no seu fornecedor de identidade corresponde exatamente e clique em Repetir.

Passo 5: Ativar a obrigatoriedade do SSO

A obrigatoriedade do SSO torna-o o único método de início de sessão para os utilizadores nos seus domínios verificados.

  1. No passo Aplicar SSO (ou na lista de fornecedores), ative Aplicar SSO para esta organização.
  2. Quando ativa a obrigatoriedade do SSO, o Contracko termina as sessões de palavra-passe e redes sociais existentes dos utilizadores nos seus domínios verificados, para que todos iniciem sessão novamente através do seu fornecedor de identidade.

Um fornecedor tem de estar Verificado antes de poder ser aplicado obrigatoriamente, e o proprietário de faturação deve ter 2FA ativado. Pode desativar a obrigatoriedade do SSO em qualquer momento. Para remover um fornecedor, desative primeiro a obrigatoriedade do SSO.

Acesso de emergência

Se o seu fornecedor de identidade ficar indisponível, o proprietário de faturação ainda pode iniciar sessão com uma palavra-passe ou conta social, mesmo com a obrigatoriedade do SSO ativa. É por isso que o Contracko exige que o proprietário de faturação tenha 2FA ativado.

Quando o proprietário de faturação inicia sessão desta forma, o Contracko mostra um aviso breve, regista o evento e envia um e-mail ao proprietário de faturação com o endereço IP e o dispositivo utilizados. O proprietário de faturação pode optar por continuar com o acesso alternativo ou mudar para o início de sessão através do seu fornecedor de identidade.

Como funcionam as contas e as funções

  • Os novos utilizadores são criados automaticamente na primeira vez que iniciam sessão através de SSO e são adicionados à sua área de trabalho com a função predefinida definida no fornecedor.
  • Os utilizadores existentes com o mesmo endereço de e-mail são associados automaticamente, para que alguém que anteriormente utilizava uma palavra-passe mantenha a sua conta e histórico.
  • A atribuição de funções utiliza a função predefinida do fornecedor. O mapeamento de grupos do fornecedor de identidade para funções específicas do Contracko ainda não está disponível.

Perguntas frequentes

Qual plano inclui o SSO? O SSO de autogestão está incluído no plano Big Business.

Suportam SAML? A configuração de autogestão é OIDC atualmente. O SAML 2.0 está disponível mediante pedido; contacte-nos e ajudamo-lo a configurá-lo.

Quem pode configurar o SSO? Os administradores, proprietários e o proprietário de faturação. O proprietário de faturação deve ter primeiro o 2FA ativado.

Posso exigir SSO para todos? Sim. Verifique o seu domínio, ligue e teste um fornecedor e, em seguida, ative a obrigatoriedade do SSO. Os utilizadores nos seus domínios verificados passarão a iniciar sessão através do seu fornecedor de identidade.

E se o nosso fornecedor de identidade ficar indisponível? O proprietário de faturação pode iniciar sessão com uma palavra-passe mais 2FA como acesso alternativo de emergência e recebe um e-mail sempre que isso acontecer.

ennldefresitpt