Todos os artigos

SSO SAML: guia de implementação

Tabela 39. Disponibilidade - planos obsoletos


Visão geral

Administradores e proprietários de conta com a permissão Definir configurações avançadas de segurança podem ativar o Single sign-on (SSO) para a conta.

Usuários de contas Enterprise podem acessar o Wrike com credenciais corporativas se o SSO baseado em SAML (integração SSO/SAML) estiver ativado para a conta. O SSO é o termo geral para as diversas técnicas que permitem que um usuário acesse vários aplicativos a partir de um só ponto de autorização, que é gerenciado por um provedor de identidade (Identity provider, IDP). O padrão Security Assertion Markup Language (SAML 2.0) é um dos padrões líderes do setor para a troca de dados de autenticação e autorização, e compatível com o Wrike para uso como provedor de serviço (Service provider, SP). Durante a autorização, nenhuma senha é efetivamente transferida para ou do Wrike. Em vez disso, o Wrike recebe uma declaração SAML da identidade do usuário, que é válida por tempo limitado e tem assinatura digital.

Para obter mais detalhes sobre o funcionamento do SSO após ativado, consulte nossa página: SSO SAML: guia do usuário.

Benefícios do uso do single sign-on

  • Gerenciamento dimensionável de usuários para organizações de grande porte. Com provisionamento de usuário just-in-time, você pode poupar o tempo que normalmente é gasto ao configurar sua conta Enterprise e os métodos de gerenciamento. O Wrike pode criar um perfil de usuário em sua conta sempre que um novo usuário de seu diretório acessar o Wrike com SSO, tudo sem exigir novos convites. Os funcionários que forem removidos de seu diretório corporativo perderão automaticamente o acesso à assinatura Wrike da empresa, mas as tarefas e atividades históricas deles permanecerão intactos.

  • Formato unificado de nome de usuário. A identidade do usuário é gerenciada de um ponto central, o que significa que os nomes de usuário no Wrike correspondem aos nomes em seu diretório.

  • Conformidade com diretrizes internas de segurança. Seus administradores de TI obtêm mais controle sobre a autenticação. Os usuários não podem alterar os próprios nomes ou endereços de e-mail. Qualquer política de segurança vigente internamente também estará vigente para o Wrike.

  • Redução da fadiga que as senhas causam aos usuários. Depois que um usuário acessar a rede corporativa, ele pode abrir o Wrike sem precisar de outro conjunto de credenciais de login.

  • A facilidade de acesso que o SSO oferece é um impulsionador para uma adoção perfeita do Wrike. Você também pode monitorar a atividade de acesso e usar as métricas de SSO coletadas para acompanhar a adoção do Wrike.

Limitações do single sign-on

Após a ativação da integração SSO/SAML, os usuários incluídos no SSO não poderão:

  • Editar os próprios nomes no Wrike. Nome e sobrenome são atribuídos por seu provedor de identidade.

  • Alterar os próprios endereços de e-mail do Wrike. Isso inclui acrescentar outros endereços. No entanto, um administrador do Wrike pode fazer isso para os usuários.

  • Ativar a verificação em duas etapas por meio do Wrike. Caso deseje proteger sua conta com esse recurso de segurança, é necessário configurá-lo com seu provedor de identidade.

  • Acessar o Wrike usando uma senha do Wrike. Como regra geral, eles serão redirecionados para a página de acesso gerenciada por seu provedor de identidade ao tentar acessar o Wrike no navegador. Algumas ferramentas integradas não têm suporte nativo para SSO (p. ex. a Ferramenta de backup e aplicativos legados da API-v2). Usuários de SSO precisarão gerar senhas de uso único para autorizar essas ferramentas. Observe que também não será possível acessar usando credenciais Microsoft ou credenciais Google.

Decidir o escopo do single sign-on

O modo de configurar seu SSO depende de como você utiliza ou planeja utilizar o Wrike. Se:

  • O Wrike for usado apenas por funcionários da empresa: é possível ativar o SSO para todos os usuários na conta.

  • O Wrike é usado por funcionários e por terceiros: é possível ativar o SSO para os usuários com base no domínio de e-mail deles.

    Observação

    Nesse caso, antes de ativar o SSO SAML é necessário adicionar e aprovar domínios de e-mail na guia Segurança da seção Gerenciamento de contas. Usuários com e-mails de domínios de e-mail aprovados podem acessar o Wrike usando SSO, enquanto usuários com e-mail de domínios de e-mail sem aprovação realizarão o acesso com um nome de usuário e senha do Wrike. Para que possam ser aprovados, os domínios de e-mail precisam pertencer à empresa.

    Caso deseje adicionar outros domínios aprovados após a ativação do SSO, um administrador precisa seguir o mesmo processo acima.

    Na maioria dos casos, o processo de aprovação requer ajuda de sua equipe de operações de sistema, pois é necessário atualizar os registros de Domain Name System (DNS) dos domínios. Recomendamos adicionar domínios aprovados antes de ativar o SAML, de modo que eles sejam aplicados assim que o SAML for ativado.

  • Além disso, há uma alternativa opcional. Isso significa que todos na conta precisarão fazer login usando senha ou login baseado em IDP. Essa opção é configurada por padrão e é útil para testar a nova integração de SSO.

    Observação

    No modo opcional, a página login.wrike.com/login leva os usuários para o login comum, como se o SSO SAML não estivesse configurado para a conta.

    Para acessar com o fluxo de SSO SAML, use a página login.wrike.com/sso.

Precondições: antes de ativar o single sign-on

Antes de ativar o SSO, é importante confirmar que:

  • O endereço de e-mail associado à conta do Wrike de cada usuário corresponda ao e-mail no diretório da empresa.

  • O SSO ainda não esteja ativado na conta. Para ver isso:

    • Clique em sua imagem de perfil.

    • Selecione Configurações na lista suspensa.

    • Clique em Segurança no painel esquerdo.

    • Na página Segurança, localize a seção SSO SAML.

    • Verifique se o rótulo Desativado é exibido ao lado do cabeçalho SSO SAML.

Além disso, é necessário confirmar a compatibilidade:

  • Confirme que seu provedor de identidade ou SSO seja compatível com autenticação federada usando SAML 2.0. A lista de soluções de SSO compatíveis inclui, entre outras: Okta, OneLogin, PingFederate, Microsoft AD FS e Google Apps identity service. Caso use um serviço de gerenciamento de identidade fornecidos pela Okta, é possível adicionar o Wrike à sua lista de aplicativos seguindo estas instruções.

  • Para configurar um SSO baseado em SAML para sua conta, consulte nosso arquivo de metadados para os parâmetros e opções padrão usados pelo Wrike. É necessário incluir os seguintes atributos de usuário: firstName; lastName; NameID (precisa ser um endereço de e-mail).

Ativar o single sign-on

  1. Clique em sua imagem de perfil.

  2. Selecione Configurações na lista suspensa.

  3. Clique em Segurança no painel esquerdo.

  4. Na página Segurança, localize a seção SSO SAML.

  5. Clique no botão Configurar SSO SAML.

  6. Na janela exibida, configure seu provedor de identidade com os metadados do Wrike e clique em Prosseguir.

  7. Em seguida, você será solicitado a especificar os metadados do seu provedor. É possível selecionar entre as duas seguintes opções:

    • Inserir um link para fornecer o XML

    • Inserir o XML como texto

  8. Clique em Avançar.

  9. Verifique se escolheu os parâmetros corretos e confirme a decisão clicando no botão Prosseguir e ativar SAML.

  10. Você receberá um e-mail com o código para confirmar a implementação do SSO.

  11. Insira o código do e-mail na janela pop-up exibida.

  12. Clique em Confirmar.

  13. (Opcional) Teste as novas configurações de conta.

  14. Clique no botão Salvar configurações de SAML.

Recomendamos a realização de testes de aceitação de usuário e testes de diferentes casos de uso imediatamente após a ativação do SSO. A página Single sign-on com SAML disponibiliza mais informações sobre o uso do SSO após sua ativação.

Observação

Tarefas, pastas e projetos não são compartilhados automaticamente entre usuários de SSO. Leia mais sobre o compartilhamento de tarefas, pastas e projetos em nossas páginas de ajuda. Além disso, grupos de usuários internos não são transferidos automaticamente para o Wrike, mas é fácil criar um grupo de usuários no Wrike.

Adicionar domínios de e-mail aprovados

Observação

Talvez a adição de domínios de e-mail aprovados exija auxílio de sua equipe de operações de sistema.

  1. Clique na sua imagem de perfil, no canto superior direito do espaço de trabalho do Wrike.

  2. Selecione Configurações na lista suspensa.

  3. Clique em Segurança no painel esquerdo.

  4. Localize a seção Domínios aprovados.

  5. Clique em Adicionar domínio e insira o domínio de e-mail adequado.

  6. Clique em Adicionar.

  7. Uma janela pop-up é exibida com as instruções sobre a aprovação de domínios.

  8. Siga as instruções exibidas. A aprovação de domínios pode levar até 24 horas e pode exigir o auxílio de sua equipe de operações de sistema.

  9. Clique em Salvar alterações.

  10. O e-mail com o código de confirmação será enviado para seu endereço de e-mail principal.

  11. Copie o código do seu e-mail e cole na janela pop-up exibida.

  12. Clique em Confirmar.

Permitir que usuários unam várias contas integradas ao SAML

Grandes equipes empresariais que têm várias contas do Wrike com o SSO baseado em SAML ativado por meio do mesmo IDP podem integrar todas as contas em uma só rede. Como resultado, é possível convidar usuários para ou entrar em todas as contas Wrike conectadas usando as credenciais corporativas por meio do IDP.

Observação: a implementação desse esquema tem vários pré-requisitos e só pode ser ativada pelo suporte ao cliente Wrike. Entre em contato com o suporte ao cliente Wrike para mais informações.

O que ver em seguida?

Alto