Depois que sua conexão de SSO estiver configurada e testada, você pode exigir o SSO para que sua equipe faça login pelo seu provedor de identidade (IdP) em vez de uma senha do Zenovay. Este guia explica exatamente a quem a aplicação se aplica, por que proprietários e administradores sempre mantêm uma senha como backup e como membros com um endereço de e-mail pessoal fazem login.
Informação
Aplicar o SSO é o último passo, não o primeiro. Configure e verifique seu provedor primeiro usando a configuração SAML ou a configuração OAuth / OIDC, confirme que um login de teste funciona e só então ative a aplicação.
Como funciona o roteamento de SSO (a ideia principal)
O Zenovay decide se envia alguém para o seu IdP com base no domínio do endereço de e-mail digitado no login, comparado com os domínios que você verificou para o seu provedor de SSO.
- Se o domínio do e-mail corresponder ao seu domínio verificado (por exemplo
@acme.com), o Zenovay direciona essa pessoa para o seu IdP. - Se não corresponder (por exemplo um endereço pessoal
@gmail.com), o Zenovay não consegue direcioná-la para o seu IdP, porque o seu IdP não gerencia esse domínio.
Essa única regra explica todos os casos abaixo.
O que "Aplicar SSO" muda
| Aplicação DESLIGADA | Aplicação LIGADA | |
|---|---|---|
| Membro com um e-mail de domínio verificado | Pode escolher senha ou SSO | Deve fazer login pelo seu IdP |
| Proprietário ou administrador com um e-mail de domínio verificado | Pode escolher senha ou SSO | Mantém o acesso por senha (break-glass) e ainda pode usar SSO |
| Qualquer pessoa (qualquer e-mail) | Botão "Continue with SSO" sempre disponível | Botão "Continue with SSO" sempre disponível |
Com a aplicação ligada, um membro comum que digita um e-mail de domínio verificado é enviado direto para o seu IdP e não pode mais recorrer a uma senha do Zenovay.
Proprietários e administradores mantêm uma senha (break-glass)
Proprietários e administradores do espaço de trabalho são intencionalmente isentos da aplicação e sempre podem fazer login com a senha.
Informação
Isso é um mecanismo de segurança, não um descuido. Se o seu IdP tiver uma indisponibilidade ou uma configuração incorreta (um certificado expirado, um endpoint alterado), a aplicação estrita, de outra forma, bloquearia todos, inclusive justamente as pessoas que precisam fazer login para corrigir as configurações de SSO. Manter um caminho por senha para proprietários e administradores garante que você sempre conseguirá entrar novamente.
Proprietários e administradores ainda podem fazer login pelo SSO sempre que quiserem, usando a opção Continue with SSO na tela de login. A aplicação simplesmente não força isso para eles.
Aviso
Vale entender o compromisso: como um proprietário ou administrador pode fazer login com uma senha, essa senha é uma forma de entrar no espaço de trabalho que não passa pelo seu IdP. Mantenha as contas de proprietário e administrador protegidas com senhas fortes e exclusivas e com autenticação multifator, e mantenha o número de administradores reduzido.
Membros com um endereço de e-mail pessoal
Um colega de equipe que foi adicionado com um endereço que não está no seu domínio verificado, por exemplo um prestador de serviço usando um @gmail.com pessoal, não pode usar o SSO, porque esse e-mail não pertence ao seu provedor de identidade. Ele faz login com a senha do Zenovay normalmente.
Esse é o comportamento esperado, não uma falha a ser contornada. O SSO está vinculado aos domínios que você verifica, então qualquer pessoa fora desses domínios simplesmente não é um usuário de SSO. Se você quer que todos se autentiquem pelo seu IdP, certifique-se de que cada membro seja convidado com um e-mail em um domínio que você verificou para o SSO.
Qualquer pessoa ainda pode escolher o SSO manualmente
O botão Continue with SSO na tela de login de auth.zenovay.com está sempre disponível. Um usuário pode selecioná-lo, digitar o domínio da sua empresa e autenticar pelo seu IdP, independentemente da aplicação. A aplicação controla apenas se um membro de domínio verificado é obrigado a passar pelo SSO quando digita o e-mail.
Ativar a aplicação
Verifique seu domínio primeiro
Em Configurações → Segurança → SSO, adicione e verifique o domínio de e-mail na seção Verificação de domínio (você adiciona um registro TXT ao seu DNS e clica em Verificar DNS). A aplicação não tem efeito enquanto pelo menos um domínio não for verificado.
Confirme que um login de teste funciona
Use a opção Testar conexão do provedor, ou faça login a partir de uma janela anônima com um e-mail de domínio verificado, e confirme que você retorna ao painel. Nunca aplique uma conexão de SSO que você não tenha testado com sucesso.
Ative a aplicação
Certifique-se de que o provedor está habilitado, depois abra o menu Mais do provedor e selecione Aplicar SSO, e confirme na caixa de diálogo.
Antes de ativar a aplicação, certifique-se de que pelo menos um proprietário possa fazer login com e-mail e senha como backup, para que uma indisponibilidade do provedor de identidade nunca possa bloquear todo o seu espaço de trabalho.
Desativar a aplicação
Se você precisar que os membros voltem a usar uma senha (por exemplo, enquanto reconfigura o seu IdP), abra o menu Mais do provedor em Configurações → Segurança → SSO e desative Aplicar SSO. Os membros de domínio verificado podem então fazer login com uma senha novamente. A conexão de SSO em si permanece no lugar, então você pode reativar a aplicação a qualquer momento.
Novos usuários e o SSO
Quando o SSO é aplicado e uma nova pessoa do seu domínio verificado faz login pela primeira vez, sua conta é criada automaticamente (provisionamento Just-In-Time). Ela não é adicionada ao seu espaço de trabalho com uma função automaticamente, então um proprietário ou administrador ainda a adiciona à equipe e atribui uma função em Configurações → Espaço de trabalho → Membros. Veja configuração SAML para detalhes.
Solução de problemas
Um membro recebe a solicitação de senha em vez de ser enviado para o SSO
- Confirme que o domínio do e-mail dele está verificado em Configurações → Segurança → SSO (um domínio não verificado nunca é direcionado para o SSO).
- Confirme que ele está usando o e-mail da empresa, não um endereço pessoal.
- Lembre-se de que proprietários e administradores são intencionalmente isentos e verão a tela de senha por design. Eles podem usar Continue with SSO para fazer login pelo IdP.
Um administrador também quer ser forçado a passar pelo SSO
A aplicação isenta deliberadamente proprietários e administradores como um break-glass. Se você precisa que uma conta esteja sujeita à aplicação, dê a ela a função de membro em vez de administrador, ou faça login pelo Continue with SSO manualmente.
Todos ficam bloqueados após uma alteração no IdP
Um proprietário ainda pode fazer login com e-mail e senha (o caminho break-glass). Faça login como proprietário, vá para Configurações → Segurança → SSO, corrija ou desative temporariamente a aplicação e atualize a configuração do provedor. Depois teste novamente e reative.