archi bot Documentação do produto

Esta tradução é gerada por máquina (beta). O guia em inglês é a fonte oficial.

Acesso

Acesso ao ArchibotChat e SSO

Envie os dados do seu provedor de identidade na etapa de Logon único para que a ISM possa configurar o login da organização.

Administradores de clientesOperadores de plataforma

Última atualização

Etapa de Logon único da Console com tipo de IdP, domínios de login, URL de metadados de descoberta, mapeamento de claims, grupos de funções e um painel de prontidão de SSO.
Exemplo renderizado pela Console com dados seguros: a etapa de Logon único coleta detalhes não secretos de OIDC ou SAML para que a ISM possa mapear o acesso da organização. Nunca cole segredos de cliente nem chaves de assinatura.

A etapa de Logon único é onde um administrador de cliente entrega à ISM os detalhes não secretos necessários para conectar seu provedor de identidade (IdP) ao ArchibotChat e à Console. Você envia metadados, mapeamentos de claims e grupos de funções; a ISM conclui a troca de segredos por um canal aprovado e confirma quando o login está pronto para ser testado.

Este guia cobre o formulário na rota /account/sso. Ele não concede nem altera o acesso individual a produtos. Para saber como as restrições de produto e a cobrança decidem o que um usuário conectado pode abrir, consulte Configuração do ArchibotChat e Cobrança e créditos do ArchibotChat.

Antes de começar

  • Você precisa ser administrador de cliente para enviar a configuração de SSO.
  • Tenha seu administrador de IdP disponível, ou seja você mesmo o administrador de IdP, para poder ler os metadados do aplicativo.
  • Saiba com quais domínios de e-mail seus usuários fazem login.
  • Decida o protocolo que você usará: OIDC ou SAML.

Equipes pequenas não precisam usar SSO. A etapa é opcional e você pode continuar usando convites por e-mail até estar pronto para conectar um IdP. Envie os detalhes de SSO somente quando pretender conectar um provedor.

Abrir a etapa de Logon único

  1. Abra a Console e vá para Configuração da conta.
  2. Na navegação de Configuração da conta, selecione Logon único.
  3. Leia o banner de envio seguro no topo da etapa. Ele é um lembrete de que este formulário aceita apenas metadados não secretos.

Cabeçalho da etapa de Logon único da Console com o seletor de tipo de IdP, os domínios de login e a linha da URL de metadados de descoberta.

O cabeçalho da etapa mostra seu status (Não iniciado, Em andamento, Precisa de revisão ou Pronto) e, para contas de autoatendimento, um marcador Opcional.

Escolher o tipo de IdP e os domínios de login

  1. Defina o Tipo de IdP como uma destas opções:
    • OIDC para provedores OpenID Connect.
    • SAML para provedores SAML 2.0.
    • Ainda sem SSO (usar e-mails de convite) se você não estiver pronto para conectar um provedor.
  2. Em Domínios de login, insira uma lista separada por vírgulas dos domínios de e-mail com os quais seus usuários fazem login, por exemplo example.com, example.co. Se a Console já conhece domínios para sua conta, você pode escolher um na busca para adicioná-lo.

Alterar o tipo de IdP ou os domínios limpa qualquer resultado anterior de verificação de metadados, então verifique novamente após ajustá-los.

Apontar a Console para os metadados do seu provedor

A linha URL de descoberta / metadados ajuda você a encontrar e confirmar a URL de metadados correta.

  1. Escolha seu provedor na lista de predefinições. As predefinições incluem Microsoft Entra ID, Okta, Google Workspace, Auth0, OneLogin e Outro provedor. Cada predefinição mostra a dica de host que espera, como um ID de locatário ou company.okta.com.
  2. Selecione Usar URL do provedor para preencher o campo de metadados com uma URL de descoberta sugerida, construída a partir do seu provedor e domínios. Se a sugestão ainda não puder ser construída, a Console informa o que você deve inserir primeiro (um domínio de login ou um valor de locatário).
  3. Selecione Abrir console do provedor para abrir o console de administração do provedor em uma nova aba.
  4. Algumas predefinições adicionam botões de transferência de configuração específicos do provedor (por exemplo, abrir o registro do aplicativo ou a tela de claims). Use-os para ir direto à tela onde você cria ou inspeciona o aplicativo do IdP.
  5. Se você já tiver a URL exata de metadados, digite-a ou cole-a no campo de metadados, por exemplo https://idp.example.com/.well-known/openid-configuration.

A Console constrói sugestões e links apenas a partir de suas seleções. Ela não lê nem armazena segredos.

Verificar os metadados

  1. Selecione Verificar metadados. A Console acessa a URL de metadados do provedor e verifica os campos esperados. O botão mostra Verificando… enquanto é executado.
  2. Leia o painel de resultado abaixo do campo:
    • Metadados verificados significa que a Console alcançou o provedor e encontrou os campos esperados. Ele mostra o emissor ou o ID de entidade descoberto para que você possa confirmar que corresponde ao seu provedor.
    • Metadados precisam de atenção significa que a Console não conseguiu verificar os metadados. Verifique novamente a URL, o domínio e o protocolo, e tente de novo.

A verificação é somente leitura. Ela confirma que a URL é acessível e bem formada; ela não conclui a conexão.

Mapear claims e grupos de funções

A ISM usa esses valores para mapear os usuários conectados à identidade e às funções corretas. Cada campo aceita valores comuns de uma lista de seleção rápida ou sua própria entrada.

CampoO que éExemplo
Referência do aplicativo do provedorID não secreto de aplicativo, cliente ou aplicativo empresarial do seu provedor00000000-0000-0000-0000-000000000000
Claim de nome de usuárioClaim que carrega o nome de usuáriopreferred_username
Claim de e-mailClaim que carrega o endereço de e-mailemail
Claim de gruposClaim que carrega a associação a grupos ou funçõesgroups
Nome do grupo de administradoresGrupo cujos membros se tornam administradores do Archibotarchibot-admins
Nome do grupo de membrosGrupo cujos membros se tornam membros padrãoarchibot-users
E-mail de administrador de testeUma conta de administrador que a ISM pode usar para testar o loginadmin-test@example.com
E-mail de membro de testeUma conta de membro que a ISM pode usar para testar o loginmember-test@example.com

A referência do aplicativo do provedor é apenas um identificador não secreto. Ela permite que a ISM vincule as notas de transferência da Console ao aplicativo exato do IdP. Não insira um segredo de cliente aqui.

Ler o painel de prontidão de SSO

Abaixo dos campos, o painel Prontidão de SSO resume o quão completa está sua submissão, com um selo de prontos/total. Cada bloco fica pronto à medida que você preenche o detalhe correspondente:

  • Domínios de login — pelo menos um domínio de login está definido.
  • Verificação de metadados — uma URL de metadados está presente e verificada.
  • Aplicativo do provedor — uma referência do aplicativo do provedor é fornecida.
  • Mapeamento de claims — os claims de nome de usuário e de e-mail estão mapeados.
  • Grupos de funções — os grupos de administradores e membros estão nomeados.
  • Callbacks — a configuração de callback do lado do provedor está contabilizada.
  • Usuários de teste — pelo menos uma conta de teste é fornecida.

Você não precisa atingir todos os itens antes de enviar, mas um resumo de prontidão mais completo permite que a ISM termine mais rápido.

Enviar sua configuração de SSO

  1. Se você precisar de uma alternativa temporária de senha para um usuário aprovado que ainda não consegue concluir a MFA por dispositivo, defina a opção Alternativa de senha para solicitá-la. Isso só está disponível quando a alternativa de senha está habilitada para sua conta, e a ISM deve aprovar e habilitar a política antes de ela alterar o comportamento de login.
  2. Adicione qualquer coisa que a ISM deva saber em Notas de SSO, como uma janela de manutenção ou uma peculiaridade do provedor.
  3. Selecione Enviar configuração de SSO.

A Console confirma o envio e informa que a ISM entrará em contato assim que a configuração estiver pronta para ser testada. A ISM conclui a conexão e troca quaisquer segredos por um canal aprovado, nunca por meio deste formulário.

O que não colocar neste formulário

A etapa de Logon único aceita apenas metadados não secretos de OIDC ou SAML. Não cole:

  • Segredos de cliente nem chaves de assinatura.
  • Chaves privadas ou certificados que contenham material privado.
  • Cookies, tokens de sessão ou tokens de convite.
  • Senhas.

Se a ISM precisar de um segredo para concluir a conexão, ela o solicita por um canal aprovado.

Depois de enviar

  • A ISM revisa seu envio e entra em contato para confirmar ou fazer perguntas de acompanhamento.
  • Quando a conexão estiver ativa, seus usuários fazem login por meio da sua organização na URL do ArchibotChat.
  • Fazer login com sucesso não é o mesmo que ter um produto habilitado. As restrições de produto e a cobrança ainda decidem o que cada usuário pode abrir. Consulte Configuração do ArchibotChat.

Guias relacionados

Concluído quando

  • Você consegue abrir a etapa de Logon único em Configuração da conta.
  • A verificação de metadados retorna um resultado verificado.
  • A prontidão de SSO mostra como prontos os itens que importam para você.
  • Sua configuração de SSO é enviada à ISM sem nenhum segredo.