Pular para o conteúdo principal

SSO corporativo (Enterprise SSO)

A autenticação única (SSO) permite que os usuários façam login em vários aplicativos com um único conjunto de credenciais. É um termo geral que se refere à capacidade do usuário de fazer login uma vez e acessar vários aplicativos ou recursos sem precisar fazer login novamente.

SSO corporativo (Enterprise SSO) é um tipo especializado de SSO projetado para organizações, simplificando a autenticação para funcionários em ferramentas de trabalho. Por exemplo: Um funcionário da Acme Company usa sua conta do Google Workspace (foo@client.com) para acessar Slack, Zoom, Trello, Office Suite e GitHub sem precisar inserir as credenciais novamente. Os administradores de TI gerenciam permissões de acesso centralmente e revogam o acesso instantaneamente se um funcionário sair.

Logto oferece:

  • Conectores pré-construídos: Integração fácil com provedores de identidade populares (por exemplo, Google Workspace, Microsoft Entra ID, Okta).
  • Conectores personalizados: Integre qualquer provedor de identidade compatível com SAML/OIDC para necessidades organizacionais exclusivas.
  • Roteamento baseado em domínio: Direcione automaticamente os usuários pelo domínio de e-mail (por exemplo, @client-a.com) para o IdP da empresa.
  • SSO iniciado pelo SP e pelo IdP: Os usuários podem iniciar o login a partir do seu aplicativo ou do painel do IdP para obter acesso.
  • Provisionamento Just-in-Time (JIT): Adicione automaticamente usuários corporativos às suas organizações no primeiro login via SSO corporativo—sem necessidade de convites manuais. Saiba mais sobre provisionamento JIT.
nota:

Usuários de SSO corporativo não suportam vinculação ou uso de login com passkey. Se você precisar de passkeys para esses usuários, a exigência de MFA deve ser feita no lado do IdP.

Eu preciso de SSO corporativo?

Principais benefícios do SSO corporativo:

  • Segurança centralizada: Organizações aplicam políticas de acesso rigorosas (por exemplo, autenticação multifatorial, permissões baseadas em papel) em todos os aplicativos integrados.
  • Acesso simplificado: Funcionários evitam fadiga de senhas e obtêm acesso contínuo às ferramentas.
  • Conformidade: Simplifica trilhas de auditoria e atende a requisitos regulatórios (por exemplo, GDPR, HIPAA).
  • Flexibilidade: Suporta integração com sistemas legados ou IdPs de nicho via SAML/OIDC.

O SSO corporativo é indispensável se você:

  • Oferece serviços B2B/B2C2B (por exemplo, SaaS) que precisam integrar com IdPs corporativos dos clientes.
  • Atua em indústrias reguladas (por exemplo, saúde, finanças) onde o gerenciamento centralizado de identidade e acesso é obrigatório.
  • Busca fechar contratos corporativos onde segurança e onboarding sem atrito são decisivos.

Você não precisa de SSO corporativo imediatamente se seu produto acabou de ser lançado. Considere habilitá-lo quando:

  • Um cliente de alto valor exigir isso para conformidade de segurança ou como parte do processo de compras. Sem isso, ele pode não prosseguir com a compra.
  • Seu produto tem como alvo clientes de nível corporativo, onde SSO é uma expectativa padrão para segurança e gerenciamento de usuários.

Com Logto, habilitar o SSO corporativo é simples—sem código, sem mudanças disruptivas, apenas um clique:

  1. Adicione um conector corporativo dedicado para o IdP do cliente.
  2. Vincule o domínio de e-mail deles (por exemplo, @client-a.com).
  3. Usuários existentes com esse domínio mudam automaticamente para o SSO corporativo, com vinculação de conta entre o endereço de e-mail e o identificador SSO—sem interrupção de acesso.

Componentes principais do SSO corporativo

  • Provedor de identidade (IdP) (Identity provider): Um serviço que verifica identidades de usuários e gerencia suas credenciais de login. Após confirmar a identidade do usuário, o IdP gera tokens de autenticação ou afirmações e permite que o usuário acesse vários aplicativos ou serviços sem precisar fazer login novamente. Essencialmente, é o sistema central para gerenciar identidades e permissões dos funcionários na sua empresa. Exemplos: Okta, Azure AD, Google Workspace, LastPass, OneLogin, Ping Identity, Cyberark, etc. Saiba mais sobre IdP.
  • Provedor de serviço (SP) (Service provider): Um sistema ou aplicativo que requer autenticação do usuário e depende do Provedor de Identidade (IdP) para autenticação. O SP recebe tokens de autenticação ou afirmações do IdP, concedendo acesso aos seus recursos sem exigir credenciais de login separadas. Exemplos: Slack, Shopify, Dropbox, Figma, Notion, etc… e seu serviço. Saiba mais sobre SP.
  • Identidade corporativa (Enterprise identity): Normalmente identificada pelo uso de um domínio de e-mail corporativo para login. Essa conta de e-mail corporativa pertence, em última instância, à empresa.

Fluxo de SSO suportado

  • SSO iniciado pelo IdP: No SSO iniciado pelo IdP, o Provedor de Identidade (IdP) controla principalmente o processo de autenticação única. Esse processo começa quando um usuário faz login na plataforma do IdP, como um portal corporativo ou painel de identidade centralizado. Uma vez autenticado, o IdP gera um token de autenticação ou afirmação, que é então usado para conceder acesso contínuo do usuário a vários serviços ou aplicativos conectados (SPs) sem exigir logins adicionais. IdP-initiated SSO
  • SSO iniciado pelo SP: No SSO iniciado pelo SP, o Provedor de Serviço (SP) lidera o processo de autenticação única, sendo frequentemente preferido em cenários B2B. Esse cenário ocorre quando um usuário tenta acessar um serviço ou aplicativo específico (o SP) e é redirecionado para seu IdP para autenticação. Após o login bem-sucedido no IdP, um token de autenticação é enviado de volta ao SP, concedendo acesso ao usuário. O Logto suporta SSO iniciado pelo SP para seus serviços B2B. SP-initiated SSO

Protocolos de SSO suportados

  • SAML: Security Assertion Markup Language (SAML) é um padrão aberto baseado em XML para troca de dados de autenticação e autorização entre um IdP e um SP. Este protocolo é especialmente adequado para lidar com requisitos complexos de segurança em nível corporativo.
  • OIDC: OpenID Connect (OIDC) é uma camada de identidade simples construída sobre o protocolo OAuth 2.0. Ele utiliza JSON/REST para comunicação, tornando-o mais leve e adequado para arquiteturas modernas de aplicativos, incluindo aplicativos móveis e single-page applications (SPAs).

Perguntas frequentes

Como adicionar botões de conector SSO e fazer login diretamente com o provedor SSO no meu site?

O Logto permite adicionar botões de login social ao seu site e iniciar o processo de login SSO diretamente sem exibir o formulário de login padrão. Confira nosso guia de Login direto para instruções detalhadas.

Quantos conectores de SSO corporativo eu preciso?

Cada cliente requer um conector exclusivo para garantir configurações isoladas, gerenciamento de funcionários e controle de permissões. Por exemplo:

  • Cliente A (Okta): “Conector Corporativo A” usando Okta para @client-a.com.
  • Cliente B (Okta): Outro “Conector Corporativo B” usando Okta para @client-b.com.
  • Cliente C (Azure AD): “Conector Corporativo C” usando Microsoft Azure AD para @client-c.com.

Se você precisar de acesso multi-cliente sem configuração por cliente, considere usar conectores sociais (por exemplo, Google, Facebook), pois eles não exigem configurações de IdP específicas por cliente.

Experiência SSO corporativo

SSO iniciado pelo IdP vs SSO iniciado pelo SP

SSO corporativo: O que é, como funciona e por que importa

 A arte da autenticação única