SAML (Security Assertion Markup Language) fornece aos usuários acesso à monday.com por meio de um provedor de identidade de sua escolha. Ele funciona transferindo a identidade do usuário de um lugar (provedor de identidade) para outro (monday.com). A ativação do SAML através da monday.com pode ser feita em poucas etapas!
Configure seu provedor de identidade
Antes de configurar o SSO SAML na monday.com, é essencial primeiramente estabelecer uma conexão para o SSO da monday.com - também conhecido como conector - com seu IDP. No momento, trabalhamos com três provedores principais: OKTA, Entra ID (anteriormente conhecido como Azure AD) e OneLogin, mas você também tem a opção de usar seu próprio provedor.
- Para ativar o SAML usando o OKTA, clique aqui.
- Para ativar o SAML usando o OneLogin, clique aqui.
- Para ativar o Entra ID (anteriormente conhecido como Azure AD), clique aqui.
- Para ativar o SAML usando o SAML 2.0 personalizado, clique aqui.
Agora que você concluiu esta etapa, é hora de acessar sua conta da monday.com para continuar configurando o SSO SAML! Siga os passos abaixo para continuar. ⬇️
Etapa 1: configure o SSO SAML para a monday.com
Depois de configurar seu provedor de identidade, você só precisa ativar o SAML na monday.com. Para fazer isso, clique na sua foto de perfil no canto superior direito da tela e selecione “Administração”.
Na seção "Admin", selecione a opção “Segurança” no lado esquerdo da tela. Em seguida, clique em “Login único (SSO” que aparece na aba Login. Clique em "Adicionar provedor de SSO". Usaremos OKTA no nosso exemplo, mas você pode selecionar qualquer uma das outras opções.
Selecione seu IDP na lista:
Seu IDP não aparece na lista? Não se preocupe! Basta selecionar a opção SAML 2.0 personalizado e pegar os campos de URL SAML SSO e emissor de provedor de identidade do seu IDP.
Preencha os dados do seu IDP
Preencha os seguintes campos com dados do seu IDP:
- URL de SSO do SAML
- Emissor do provedor de identidade
- Certificado público
Etapa 2: teste sua conexão SSO
Assim que você preencher todos os dados necessários para seu provedor SSO, é hora de testar sua conexão! Note que esta etapa é obrigatória para prosseguir com a atividade do SAML em sua conta — ou antes de fazer quaisquer outras alterações.
Basta apenas clicar em “Testar conexão SSO”, conforme abaixo:
Etapa 3: selecione a política de restrições e senha
Ao configurar o SSO, o admin precisará selecionar o nível da política de restrições de login, o que significa que ele precisará definir quem deve usar a autenticação SSO para fazer login, ou se isso é opcional.
Existem três opções nesta seção:
- Opção 1: todos os usuários (inclusive convidados) devem usar a autenticação SSO para fazer login na monday.com. Essa opção significa que todos os usuários devem ter acesso à monday.com de dentro do provedor de identidade para que eles possam fazer login.
-
Opção 2: todos os usuários, exceto convidados, devem usar a autenticação SSO para fazer login na monday.com. Os convidados, por outro lado, poderão usar um e-mail e senha para fazer login.
- Essa é a opção de política mais usada, pois muitas vezes os convidados são usuários externos e não são gerenciados pelo departamento interno de TI de uma organização.
- Opção 3: usar a autenticação SSO é opcional para todos. Todos os usuários e convidados podem fazer login por meio de SSO ou e-mail e senha.
Se aplicável à política de segurança da sua empresa, recomendamos usar a opção de restrição "Todos os usuários, exceto convidados, devem usar a autenticação SAML", ou seja, todos os usuários da conta, a não ser os convidados, precisam fazer login usando SSO. Os convidados podem ser chamados para quadros compartilháveis e fazer login usando um e-mail e senha normalmente. Nesse caso, os e-mails de convidados não precisam estar ativos no IDP da conta para poder fazer login.
Nota: a configuração da senha na tela de SSO não é apenas para convidados. Ela se destina a todos os membros da conta que fazem login via e-mail e senha, incluindo membros e visualizadores (caso o SSO esteja definido como opcional).
As alterações na política de senhas somente se aplicam a novas senhas e afetam os usuários que estejam se cadastrando ou usuários atuais que alteraram suas senhas.
Etapa 4: ative o provedor SSO
Após seguir com sucesso as etapas 1-3 conforme acima, é hora de ativar seu provedor SSO! Agora, basta clicar no botão "Adicionar provedor SSO". Em seguida, todos os usuários da monday.com receberão um e-mail explicando como fazer login utilizando o provedor de SSO escolhido, e pronto! 🙌
Provisionamento
Por padrão, a monday.com usa o provisionamento "Just In Time", o que significa que o usuário é criado na monday.com no primeiro login se ele não existir.
Se você deseja ativar o provisionamento do SCIM, gere o token e siga as instruções do IDP. A monday.com é compatível com o Fluxo Iniciado por IDP ou Fluxo Iniciado pelo SP. Temos um aplicativo oficial da monday.com no catálogo de aplicativos do OKTA. Para ativar, clique aqui.
Além disso, temos um aplicativo oficial da monday.com no catálogo de aplicativos OneLogin. Para ativar, clique aqui.
Por último, temos um aplicativo da monday.com oficial no catálogo de aplicativos do Entra ID. Para habilitar, clique aqui.
O que acontecerá quando o SSO estiver ativado?
Quando você terminar de configurar seu SSO, cada membro receberá um e-mail informando sobre a alteração (também se a política de restrição de SSO estiver definida como opcional).
Aqui está um exemplo do e-mail:
O e-mail solicitará que os membros conectem suas contas da monday.com com seu provedor de identidade. De agora em diante, todos os membros podem fazer login na monday.com com sua conta de provedor de identidade.
Erros comuns após fazer login em seu provedor de SSO
Alguns usuários podem ter dificuldades e não conseguir usar o SSO. Por exemplo, depois de inserir a credencial do usuário na página de login do provedor de SSO, ao invés de ser redirecionado de volta para a página da monday.com, o usuário recebe uma mensagem de erro dizendo que o usuário registrado "username@email.com" não está atribuído a uma função para o aplicativo (o texto pode ser um pouco diferente dependendo do provedor de SSO). Isso significa que os administradores da conta devem entrar no provedor de SSO que sua equipe está usando e atribuir/adicionar esse usuário à conta da monday.com.
Outro problema comum acontece quando um usuário muda de endereço de e-mail, o que leva a um erro ao tentar fazer login. Vamos falar sobre isso na seção a seguir!
O que acontece quando um usuário muda de endereço de e-mail?
Quando um usuário faz login na monday.com usando SSO, uma conexão back-end é feita entre o provedor de identidade (IDP) e o ID do usuário na monday.com. A conexão, chamada UID (ID do usuário), conecta a identidade de um indivíduo no IDP (seu nome, endereço de e-mail) ao endereço de e-mail associado ao usuário na monday.com.
Portanto, se um usuário mudar de endereço de e-mail, ele não poderá mais fazer login na monday.com até que seu UID (ID do usuário) seja redefinido. Isso ocorre porque o UID está conectado ao endereço de e-mail anterior do usuário e, quando o e-mail é atualizado, ele não é automaticamente conectado ao UID existente. Portanto, redefinir o UID permitirá a "quebra" da conexão anterior e criará um novo link entre o UID e o endereço de e-mail recém-alterado.
Etapas a serem executadas quando o e-mail de um usuário mudar
Se o endereço de e-mail de um usuário mudar, basta seguir as duas etapas abaixo e ele logo poderá fazer login novamente. ⬇️
1. Alterar o e-mail do usuário no IDP e dentro da monday.com
Em primeiro lugar, é importante que o endereço de e-mail do usuário seja alterado no provedor de identidade e também na monday.com. Para alterar seu endereço de e-mail na monday.com, o usuário pode seguir as etapas deste artigo.
Nota: quando um administrador muda o endereço de e-mail de um usuário, o usuário precisará confirmar seu novo endereço de e-mail.
2. Redefinindo o UID do usuário
Depois que o e-mail de um usuário for alterado no IDP e dentro da monday.com, é hora de redefinir o UID! Para fazer isso, acesse a aba Gerenciamento de usuários na seção admin da conta. Localize o usuário que mudou de endereço de e-mail, clique no menu de três pontos no lado direito e selecione "Redefinir o SSO UID" conforme imagem abaixo:
Com isso, o usuário poderá fazer login na sua conta da monday.com usando o novo endereço de e-mail!
Editar domínios de e-mail de vários usuários ao mesmo tempo
Como admin, você pode atualizar em lote somente o domínio de e-mail de vários usuários ao mesmo tempo e também redefinir instantaneamente o SSO UID desses usuários. Para isso, comece inserindo a seção de gerenciamento de usuários da sua conta. Em seguida, selecione os usuários relevantes marcando a caixa à esquerda de seus ícones e clique em "Alterar domínio de e-mail" no painel inferior.
Posteriormente, insira o novo domínio de e-mail e clique em "Alterar domínio de e-mail". Além da atualização do domínio de e-mail, o SSO UID desses usuários também será redefinido.
Então, assim que os usuários selecionados confirmarem a alteração de seu endereço de e-mail atual, estará tudo pronto!
Nota: esta ação não altera o prefixo dos e-mails (independentemente do que venha antes da @).
Se você tiver alguma dúvida, entre em contato com nossa equipe por aqui. Estamos disponíveis 24 horas e prontos para ajudar!
Comentários