Configuração SSO com SAML (Single Sing-On)
1 – No Google workspace, acesse Apps > Web and mobile apps
2 – Selecione Add app > Add custom SAML app
3 – Preencha com os dados:
- App name: OnePlatform (Nome sugerido)
- Description: (Opcional)
- App Icon: (Opcional) Logo da OnePlatform
Clique em CONTINUE
4 – Copie o Entity ID e baixe o Certificate. Clique em CONTINUE
5 – Abra a OnePlatform em uma nova aba, clique em Settings Organization
6 – Selecione a aba Single Sign-On
7 – Preencha o campo Sign In URL com o Entity ID copiado no passo “4” e selecione o arquivo do Certificate baixado
8 – Copie os dados obtidos na OnePlatform:
- ACS URL
- Entity ID
9 – Cole no Workspace, nos campos da imagem abaixo
10 – Escolher formato que deseje o nome da app (First name, Last name ou Primary e-mail) e clique em CONTINUE
11 – Abra a app criada e clique em User Access
12 – Habilite o acesso dos usuários do Workspace para usar essa app, os usuários que poderão logar na OnePlatform.
- Caso queira liberar para todos os usuários do workspace, selecione ON for everyone e clique em SAVE
- Caso queira, configure um grupo específico no seu workspace e, clicando em Group, selecione o grupo desejado, em seguida ative a chave ON e clique em SAVE
13 – Aguarde até aparecer a App criada para acessar a OnePlatform. Isso pode demorar alguns minutos
Configuração para sincronização de usuários na OnePlatform
1 – Entre no Console do Google Cloud, selecione o menu através das 3 barras localizadas no canto superior esquerdo, selecione IAM & Admin > Service Accounts
2 – Clicar em Create Service Account
3 – Preencha os campos com os dados, clique em Create and Continue em seguida em Done
- Service Account Name: Oneplatform SSO (Nome sugerido)
- Description: (Opcional)
4 – Abra a conta de serviço criada e selecione a aba KEYS, clique em ADD KEY e Create new key
4 – Abra a conta de serviço criada e selecione a aba KEYS, clique em ADD KEY e Create new key
5 – Selecione o tipo de chave como JSON, clique em CREATE.
***Guarde em um local seguro
6 – Selecione a aba Details e clique em Advanced settings
6 – Selecione a aba Details e clique em Advanced settings
7 – Anote o Client ID, pois será usado em passos futuros
7 – Anote o Client ID, pois será usado em passos futuros
8 – No painel de Administrador seu Workspace, no menu esquerdo, selecione Security> Data and access control > API Controls
8 – No painel de Administrador seu Workspace, no menu esquerdo, selecione Security> Data and access control > API Controls
9 – Clique em MANAGE DOMAIN WIDE DELEGATION
9 – Clique em MANAGE DOMAIN WIDE DELEGATION
10 – Clique em Add new
10 – Clique em Add new
11 – No campo Client ID, preencha com o valor anotado no passo “7”
11 – No campo Client ID, preencha com o valor anotado no passo “7”
12 – No campo OAuth scopes, preencha com esses valores em cada linha (colocar cada link separadamente, para cada um adicionado, aparecerá o campo para adicionar o próximo):
- https://www.googleapis.com/auth/admin.directory.group.readonly -> Visualize grupos em seu domínio
- https://www.googleapis.com/auth/admin.directory.group.member.readonly –> Visualize assinaturas de grupos em seu domínio
- https://www.googleapis.com/auth/admin.directory.user.readonly –> Ver informações sobre os usuários no seu domínio
***Caso queira checar o nível de acessos que está liberando, acesse o link
13 – Clique em AUTHORIZE
14 – Acesse o Console do Google Cloud, no menu esquerdo, acessar APIs & Sesvices > Library
12 – No campo OAuth scopes, preencha com esses valores em cada linha (colocar cada link separadamente, para cada um adicionado, aparecerá o campo para adicionar o próximo):
- https://www.googleapis.com/auth/admin.directory.group.readonly -> Visualize grupos em seu domínio
- https://www.googleapis.com/auth/admin.directory.group.member.readonly –> Visualize assinaturas de grupos em seu domínio
- https://www.googleapis.com/auth/admin.directory.user.readonly –> Ver informações sobre os usuários no seu domínio
***Caso queira checar o nível de acessos que está liberando, acesse o link
13 – Clique em AUTHORIZE
14 – Acesse o Console do Google Cloud, no menu esquerdo, acessar APIs & Sesvices > Library
15 – Pesquisar por Admin SDK API
15 – Pesquisar por Admin SDK API
16 – Clique em Enable
16 – Clique em Enable
17 – Volte para a tela de configurações do SSO na OnePlatform e preencha os campos:
- Workspace admin e-mail -> e-mail com acesso admin ao workspace
- E-mail of group to sync users ->
e-mail do grupo configurado para sincronizar os user com a OnePlatform
(caso tenha selecionado ativer para todo o workspace, use um grupo que
contenha todos os usuários)
18 – Mais abaixo em Credentials File, selecione o JSON salvo com as chaves criadas no passo “5”, clicando em SELECT FILE
18 – Mais abaixo em Credentials File, selecione o JSON salvo com as chaves criadas no passo “5”, clicando em SELECT FILE
19 – Clique em SAVE INTEGRATION e está configurado.
A partir de agora os usuários na sua organização serão sincronizados com os do grupo do workspace configurado (os novos usuários adicionados ao grupo, serão adicionados na organização com a role “member”. caso queira alterar, siga a documentação.