SAML (Security Assertion Markup Language) fornece aos usuários acesso à monday.com por meio de um provedor de identidade de sua escolha. Ele funciona transferindo a identidade do usuário de um lugar (provedor de identidade) para outro (monday.com). A ativação do SAML através da monday.com pode ser feita em poucas etapas!
Configure seu provedor de identidade
Antes de configurar o SSO SAML na monday.com, é essencial primeiramente estabelecer uma conexão para o SSO da monday.com - também conhecido como conector - com seu IDP. No momento, trabalhamos com três provedores principais: OKTA, Entra ID (anteriormente conhecido como Azure AD) e OneLogin, mas você também tem a opção de usar seu próprio provedor.
- Para ativar o SAML usando o OKTA, clique aqui.
- Para ativar o SAML usando o OneLogin, clique aqui.
- Para ativar o Entra ID (anteriormente conhecido como Azure AD), clique aqui.
- Para ativar o SAML usando o SAML 2.0 personalizado, clique aqui.
Agora que você concluiu esta etapa, é hora de acessar sua conta da monday.com para continuar configurando o SSO SAML! Siga os passos abaixo para continuar. ⬇️
Etapa 1: configure o SSO SAML para a monday.com
Depois de configurar seu provedor de identidade, você só precisa ativar o SAML na monday.com. Para fazer isso, clique na sua foto de perfil no canto superior direito da tela e selecione “Administração”.
Na seção "Admin", selecione a opção “Segurança” no lado esquerdo da tela. Em seguida, clique em “Autenticação única (SSO)” na aba de políticas de autenticação. Em seguida, clique em "Adicionar política de SSO". Usaremos OKTA em nosso exemplo, mas você pode selecionar qualquer uma das outras opções.
Selecione seu IDP na lista:
Seu IDP não aparece na lista? Não se preocupe! Basta selecionar a opção SAML 2.0 personalizado e pegar os campos de URL SAML SSO e emissor de provedor de identidade do seu IDP.
Preencha os dados do seu IDP
Preencha os seguintes campos com dados do seu IDP:
- URL de SSO do SAML
- Emissor do provedor de identidade
- Certificado público
Etapa 2: teste sua conexão SSO
Assim que você preencher todos os dados necessários para seu provedor SSO, é hora de testar sua conexão! Note que esta etapa é obrigatória para prosseguir com a atividade do SAML em sua conta — ou antes de fazer quaisquer outras alterações.
Basta apenas clicar em “Testar conexão SSO”, conforme abaixo:
Etapa 3: ative o provedor SSO
Após seguir com sucesso as etapas indicadas acima, é hora de ativar seu provedor SSO! Clique no botão "Adicionar provedor SSO". Em seguida, todos os usuários da monday.com receberão um e-mail explicando como fazer login utilizando o provedor SSO escolhido! 🙌
Etapa 4: ajuste a política de e-mails e senhas
Os admin têm mais flexibilidade para gerir políticas de login com a capacidade de personalizar a política de e-mails e senhas. Essa configuração facilita para excluir usuários específicos do requisito de SSO, oferecendo uma solução flexível para adaptar preferências de login às necessidades únicas da sua equipe.
Ao clicar nos três pontos ao lado da seção "E-mail e senha" e selecionar "Editar", o admin pode escolher os membros da política, o que significa que pode definir a quem se aplica a política de e-mails e senhas — todos ou apenas algumas pessoas (ex.: convidados, um único usuário).
Antes de ativar o SSO, a política de e-mails e senhas não pode ser modificada. Por padrão, após a ativação do SSO, a política de e-mails e senhas será alterada de "Todos" para "Convidados".
Há duas opções na seção de política de e-mails e senhas:
Opção 1: todos os usuários (incluindo convidados) podem fazer login na monday.com usando a política de e-mails e senhas.
Opção 2: somente algumas pessoas (convidados, único usuário ou ambos) podem usar a política de e-mails e senhas para fazer login na monday.com.
Escolher a opção "Convidados" em "Somente algumas pessoas" significa que os convidados podem fazer login usando a política de e-mails e senhas (não apenas o SSO). Essa é a opção de política mais usada, pois muitas vezes os convidados são usuários externos e não são gerenciados pelo departamento interno de TI de uma organização.
Escolher a opção "Um único usuário" em "Somente algumas pessoas" significa que somente um membro da equipe escolhido pode fazer login usando a política de e-mails e senhas (e não apenas o SSO).
Se aplicável à política de segurança da sua empresa, recomendamos usar as opções "Convidados" ou "Convidados e um único usuário" em "Somente algumas pessoas". Isso significa que todos os usuários da conta, a não ser os convidados e o único usuário designado, precisam fazer login usando SSO. Os convidados podem ser chamados para quadros compartilháveis e fazer login usando um e-mail e senha normalmente. Nesse caso, os e-mails de convidados não precisam estar ativos no IDP da conta para poder fazer login. A opção de único usuário oferece flexibilidade adicional, permitindo que um membro da equipe faça login usando e-mail e senha para acesso de emergência, se necessário.
Provisionamento
Por padrão, a monday.com usa o provisionamento "Just In Time", o que significa que o usuário é criado na monday.com no primeiro login se ele não existir.
Se você deseja ativar o provisionamento do SCIM, gere o token e siga as instruções do IDP. A monday.com é compatível com o Fluxo Iniciado por IDP ou Fluxo Iniciado pelo SP. Temos um aplicativo oficial da monday.com no catálogo de aplicativos do OKTA. Para ativar, clique aqui.
Além disso, temos um aplicativo oficial da monday.com no catálogo de aplicativos OneLogin. Para ativar, clique aqui.
Por último, temos um aplicativo da monday.com oficial no catálogo de aplicativos do Entra ID. Para habilitar, clique aqui.
O que acontecerá quando o SSO estiver ativado?
Quando o SSO estiver habilitado na conta, cada admin receberá um e-mail informando que o SSO foi ativado.
Aqui está um exemplo do e-mail:
Erros comuns após fazer login em seu provedor de SSO
Alguns usuários podem ter dificuldades e não conseguir usar o SSO. Por exemplo, depois de inserir a credencial do usuário na página de login do provedor de SSO, ao invés de ser redirecionado de volta para a página da monday.com, o usuário recebe uma mensagem de erro dizendo que o usuário registrado "username@email.com" não está atribuído a uma função para o aplicativo (o texto pode ser um pouco diferente dependendo do provedor de SSO). Isso significa que os administradores da conta devem entrar no provedor de SSO que sua equipe está usando e atribuir/adicionar esse usuário à conta da monday.com.
Outro problema comum acontece quando um usuário muda de endereço de e-mail, o que leva a um erro ao tentar fazer login. Vamos falar sobre isso na seção a seguir!
O que acontece quando um usuário muda de endereço de e-mail?
Quando um usuário faz login na monday.com usando SSO, uma conexão back-end é feita entre o provedor de identidade (IDP) e o ID do usuário na monday.com. A conexão, chamada UID (ID do usuário), conecta a identidade de um indivíduo no IDP (seu nome, endereço de e-mail) ao endereço de e-mail associado ao usuário na monday.com.
Portanto, se um usuário mudar de endereço de e-mail, ele não poderá mais fazer login na monday.com até que seu UID (ID do usuário) seja redefinido. Isso ocorre porque o UID está conectado ao endereço de e-mail anterior do usuário e, quando o e-mail é atualizado, ele não é automaticamente conectado ao UID existente. Portanto, redefinir o UID permitirá a "quebra" da conexão anterior e criará um novo link entre o UID e o endereço de e-mail recém-alterado.
Etapas a serem executadas quando o e-mail de um usuário mudar
Se o endereço de e-mail de um usuário mudar, basta seguir as duas etapas abaixo e ele logo poderá fazer login novamente. ⬇️
1. Alterar o e-mail do usuário no IDP e dentro da monday.com
Em primeiro lugar, é importante que o endereço de e-mail do usuário seja alterado no provedor de identidade e também na monday.com. Para alterar seu endereço de e-mail na monday.com, o usuário pode seguir as etapas deste artigo.
Nota: quando um administrador muda o endereço de e-mail de um usuário, o usuário precisará confirmar seu novo endereço de e-mail.
2. Redefinindo o UID do usuário
Depois que o e-mail de um usuário for alterado no IDP e dentro da monday.com, é hora de redefinir o UID! Para fazer isso, acesse a aba Gerenciamento de usuários na seção admin da conta. Localize o usuário que mudou de endereço de e-mail, clique no menu de três pontos no lado direito e selecione "Redefinir o SSO UID" conforme imagem abaixo:
Com isso, o usuário poderá fazer login na sua conta da monday.com usando o novo endereço de e-mail!
Editar domínios de e-mail de vários usuários ao mesmo tempo
Como admin, você pode atualizar em lote somente o domínio de e-mail de vários usuários ao mesmo tempo e também redefinir instantaneamente o SSO UID desses usuários. Para isso, comece inserindo a seção de gerenciamento de usuários da sua conta. Em seguida, selecione os usuários relevantes marcando a caixa à esquerda de seus ícones e clique em "Alterar domínio de e-mail" no painel inferior.
Posteriormente, insira o novo domínio de e-mail e clique em "Alterar domínio de e-mail". Além da atualização do domínio de e-mail, o SSO UID desses usuários também será redefinido.
Então, assim que os usuários selecionados confirmarem a alteração de seu endereço de e-mail atual, estará tudo pronto!
Nota: esta ação não altera o prefixo dos e-mails (independentemente do que venha antes da @).
Se você tiver alguma dúvida, entre em contato com nossa equipe por aqui. Estamos disponíveis 24 horas e prontos para ajudar!
Comentários