Todos os artigos

SSO SAML: guia de implementação

Tabela 1. Disponibilidade - Planos obsoletos

Indisponibilidade: Legacy Free, Legacy Professional, Legacy Business; Disponibilidade: Legacy Enterprise.


Tabela 2. Disponibilidade

Indisponibilidade: Free, Professional, Team, Business Plus; Disponibilidade: Enterprise Standard, Enterprise Pinnacle.


Visão geral

Proprietários e administradores de contas com a permissão Definir configurações avançadas de segurança podem ativar o SSO para a conta.

Usuários de contas Enterprise podem acessar o Wrike com credenciais corporativas se o SSO baseado em SAML (integração SSO/SAML) estiver ativado para a conta. O single sign-on (SSO) é o termo geral para as diversas técnicas que permitem que os usuários acessem vários aplicativos a partir de um só ponto de autorização, que é gerenciado por um provedor de identidade (identity provider, IDP). O padrão Security Assertion Markup Language (SAML 2.0) é um dos padrões líderes do setor para a troca de dados de autenticação e autorização, e compatível com o Wrike para uso como provedor de serviço (Service provider, SP). Durante a autorização, nenhuma senha é efetivamente transferida para ou do Wrike. Em vez disso, o Wrike recebe uma declaração SAML da identidade do usuário, que é válida por tempo limitado e tem assinatura digital.

Dica

Será possível ativar as declarações de SSO com SAML criptografadas se o IDP permitir isso. Entre em contato com nossa equipe de suporte se quiser ativar essa opção ao configurar o SSO SAML.

Para obter mais detalhes sobre o funcionamento do SSO após a habilitação, consulte nossa página: SSO SAML: guia do usuário.

Benefícios do uso do single sign-on

  • Gerenciamento dimensionável de usuários para organizações de grande porte. Com o provisionamento just-in-time de usuário, você pode economizar o tempo normalmente gasto configurando sua conta Enterprise e seus métodos de gerenciamento. O Wrike pode criar um perfil de usuário em sua conta sempre que um novo usuário de seu diretório acessar o Wrike com SSO, tudo sem exigir novos convites. Os funcionários que forem removidos de seu diretório corporativo perderão automaticamente o acesso à assinatura Wrike da empresa, mas as tarefas e atividades históricas deles permanecerão intactos.

  • Formato unificado de nome de usuário. A identidade do usuário é gerenciada de um ponto central, o que significa que os nomes de usuário no Wrike correspondem aos nomes em seu diretório.

  • Conformidade com diretrizes internas de segurança. Seus administradores de TI obtêm mais controle sobre a autenticação. Os usuários não podem alterar os próprios nomes ou endereços de e-mail. Qualquer política de segurança vigente internamente também estará vigente para o Wrike.

  • Redução da fadiga que as senhas causam aos usuários. Depois que um usuário acessar a rede corporativa, ele pode abrir o Wrike sem precisar de outro conjunto de credenciais de login.

  • A facilidade de acesso que o SSO oferece é um impulsionador para uma adoção perfeita do Wrike. Você também pode monitorar a atividade de acesso e usar as métricas de SSO coletadas para acompanhar a adoção do Wrike.

Limitações do single sign-on

Após a ativação da integração SSO/SAML, os usuários incluídos no SSO não poderão:

  • Editar os próprios nomes no Wrike. Nome e sobrenome são atribuídos por seu provedor de identidade.

  • Alterar os próprios endereços de e-mail do Wrike. Isso inclui acrescentar outros endereços. No entanto, um administrador do Wrike pode fazer isso para eles, desde que um usuário possa confirmar o novo endereço. Para isso, o usuário precisa estar conectado ao Wrike usando o endereço de e-mail original e ter acesso à caixa de entrada do e-mail original para clicar no link de confirmação. Em outros casos, os administradores ainda precisarão entrar em contato com o suporte para alterar os e-mails dos usuários. Só é possível alterar os e-mails do proprietário da conta mediante contato com o suporte.

  • Ativar a verificação em duas etapas por meio do Wrike. Se quiser proteger sua conta com esse recurso de segurança, será necessário configurá-lo com seu provedor de identidade.

  • Acessar o Wrike usando uma senha do Wrike. Como regra geral, eles serão redirecionados para a página de acesso gerenciada por seu provedor de identidade ao tentar acessar o Wrike no navegador. Algumas ferramentas integradas não têm suporte nativo para SSO (p. ex., a Ferramenta de backup e aplicativos API-v2 antigos). Os usuários de SSO precisarão gerar senhas descartáveis para autorizar essas ferramentas.

Decidir o escopo do single sign-on

O modo de configurar seu SSO depende de como você utiliza (ou planeja utilizar o Wrike):

  • O modo opcional: isso significa que todos na conta precisarão fazer login usando senha ou login baseado em IDP. Essa opção é configurada por padrão e é útil para testar a nova integração de SSO. Recomendamos começar com esta opção para garantir que tudo funcione corretamente antes de aplicar o SSO para toda a conta.

    Observação

    No modo opcional, a página login.wrike.com/login leva os usuários para o login comum, como se o SSO SAML não estivesse configurado para a conta.

    Para percorrer o fluxo de SSO SAML, use a página login.wrike.com/sso.

  • Se o Wrike for usado apenas por funcionários da empresa:é possível ativar o SSO para todos os usuários na conta.

  • Se o Wrike é usado por funcionários e por terceiros: é possivel ativar o SSO para os usuários com base no domínio de e-mail deles.

    Observação

    Nesse caso, antes de ativar o SSO SAML é necessário adicionar e aprovar domínios de e-mail na guia Segurança da seção Gerenciamento de contas. Para que possam ser aprovados, os domínios de e-mail precisam pertencer à empresa.

    Usuários com e-mails de domínios de e-mail aprovados podem acessar o Wrike usando SSO, enquanto usuários com e-mail de domínios de e-mail sem aprovação realizarão o acesso com um nome de usuário e senha do Wrike. É possível ativar a verificação em duas etapas para fornecer uma opção de login mais segura para usuários sem domínios aprovados.

    Caso deseje adicionar outros domínios aprovados após a ativação do SSO, um administrador precisa seguir o mesmo processo acima.

    Na maioria dos casos, o processo de aprovação requer ajuda de sua equipe de operações de sistema, pois é necessário atualizar os registros de Domain Name System (DNS) dos domínios. Recomendamos adicionar domínios aprovados antes de ativar o SAML, de modo que eles sejam aplicados assim que o SAML for ativado.

Precondições: antes de ativar o single sign-on

Antes de ativar o SSO, é importante confirmar que:

  • O endereço de e-mail associado à conta do Wrike de cada usuário corresponda ao e-mail no diretório da empresa.

  • O SSO ainda não esteja ativado na conta. Para ver isso:

    • Clique em sua imagem de perfil.

    • Selecione Configurações no menu suspenso.

    • Clique em Segurança no painel esquerdo.

    • Na página Segurança, acesse a seção SSO SAML.

    • Verifique se o rótulo Desativado é exibido ao lado do cabeçalho SSO SAML.

Além disso, é necessário confirmar a compatibilidade:

  • Confirme se seu provedor de identidade ou SSO é compatível com a autenticação federada usando SAML 2.0. A lista de soluções de SSO compatíveis inclui, entre outros: Okta, OneLogin, PingFederate, Microsoft AD FS e Google Apps identity service. Se você usar os serviços de gerenciamento de identidade fornecidos pela Okta, será possível adicionar o Wrike à sua lista de aplicativos seguindo estas instruções.

  • Para configurar um SSO baseado em SAML para sua conta, consulte nosso arquivo de metadados para os parâmetros e opções padrão usados pelo Wrike. É necessário incluir os seguintes atributos de usuário: firstName; lastName; NameID (precisa ser um endereço de e-mail).

Ativar o single sign-on

  1. Clique em sua imagem de perfil.

  2. Selecione Configurações no menu suspenso.

  3. Clique em Segurança no painel esquerdo.

  4. Na página Segurança, acesse a seção SSO SAML.

  5. Clique no botão Configurar SSO SAML.

  6. Na janela exibida, configure seu provedor de identidade com os metadados do Wrike e clique em Prosseguir.

  7. Em seguida, você será solicitado a especificar os metadados do seu provedor. É possível selecionar entre as duas seguintes opções:

    • Inserir um link para fornecer o XML

    • Inserir o XML como texto

  8. Clique em Avançar.

  9. Verifique se escolheu os parâmetros corretos e confirme a decisão clicando no botão Prosseguir e ativar SAML.

  10. Você receberá um e-mail com o código para confirmar a implementação do SSO.

  11. Insira o código do e-mail na janela pop-up exibida.

  12. Clique em Confirmar.

  13. (Opcional) Teste as novas configurações de conta.

  14. Clique no botão Salvar configurações de SAML.

Recomendamos a realização de testes de aceitação de usuário e testes de diferentes casos de uso imediatamente após a ativação do SSO. Você encontrará mais informações sobre como usar o SSO após habilitá-lo em nossa página Single sign-on usando SAML.

Observação

Tarefas, pastas e projetos não são compartilhados automaticamente entre usuários de SSO. Leia mais sobre o compartilhamento de tarefas, pastas e projetos em nossas páginas de ajuda. Além disso, grupos de usuários internos não são transferidos automaticamente para o Wrike, mas é fácil criar um grupo de usuários no Wrike.

Adicionar domínios de e-mail aprovados

Observação

Talvez a adição de domínios de e-mail aprovados exija auxílio de sua equipe de operações de sistema.

  1. Clique na sua imagem de perfil, no canto superior direito do espaço de trabalho do Wrike.

  2. Selecione Configurações no menu suspenso.

  3. Clique em Segurança no painel esquerdo.

  4. Localize a seção Domínios aprovados.

  5. Clique em Adicionar domínio e insira o domínio de e-mail adequado.

  6. Clique em Adicionar.

  7. Uma janela pop-up é exibida com as instruções sobre a aprovação de domínios.

  8. Siga as instruções exibidas. A aprovação de domínios pode levar até 24 horas e pode exigir o auxílio de sua equipe de operações de sistema.

  9. Clique em Salvar alterações.

  10. O e-mail com o código de confirmação será enviado para seu endereço de e-mail principal.

  11. Copie o código do seu e-mail e cole na janela pop-up exibida.

  12. Clique em Confirmar.

Permitir que usuários unam várias contas integradas ao SAML

Grandes equipes empresariais que têm várias contas do Wrike com o SSO baseado em SAML ativado por meio do mesmo IDP podem integrar todas as contas em uma só rede. Como resultado, é possível convidar usuários para ou entrar em todas as contas Wrike conectadas usando as credenciais corporativas por meio do IDP.

Observação: a implementação desse esquema tem vários pré-requisitos e só pode ser ativada pelo suporte ao cliente Wrike. Para obter mais informações, entre em contato com o suporte ao cliente do Wrike.

O que ver em seguida?

Alto