SSO SAML: guia de implementação
Proprietários e administradores de contas com a permissão Definir configurações avançadas de segurança podem ativar o SSO para a conta.
Usuários de contas Enterprise podem acessar o Wrike com credenciais corporativas se o SSO baseado em SAML (integração SSO/SAML) estiver ativado para a conta. O single sign-on (SSO) é o termo geral para as diversas técnicas que permitem que os usuários acessem vários aplicativos a partir de um só ponto de autorização, que é gerenciado por um provedor de identidade (identity provider, IDP). O padrão Security Assertion Markup Language (SAML 2.0) é um dos padrões líderes do setor para a troca de dados de autenticação e autorização, e compatível com o Wrike para uso como provedor de serviço (Service provider, SP). Durante a autorização, nenhuma senha é efetivamente transferida para ou do Wrike. Em vez disso, o Wrike recebe uma declaração SAML da identidade do usuário, que é válida por tempo limitado e tem assinatura digital.
Dica
Será possível ativar as declarações de SSO com SAML criptografadas se o IDP permitir isso. Entre em contato com nossa equipe de suporte se quiser ativar essa opção ao configurar o SSO SAML.
Para obter mais detalhes sobre o funcionamento do SSO após a habilitação, consulte nossa página: SSO SAML: guia do usuário.
-
Gerenciamento dimensionável de usuários para organizações de grande porte. Com o provisionamento just-in-time de usuário, você pode economizar o tempo normalmente gasto configurando sua conta Enterprise e seus métodos de gerenciamento. O Wrike pode criar um perfil de usuário em sua conta sempre que um novo usuário de seu diretório acessar o Wrike com SSO, tudo sem exigir novos convites. Os funcionários que forem removidos de seu diretório corporativo perderão automaticamente o acesso à assinatura Wrike da empresa, mas as tarefas e atividades históricas deles permanecerão intactos.
-
Formato unificado de nome de usuário. A identidade do usuário é gerenciada de um ponto central, o que significa que os nomes de usuário no Wrike correspondem aos nomes em seu diretório.
-
Conformidade com diretrizes internas de segurança. Seus administradores de TI obtêm mais controle sobre a autenticação. Os usuários não podem alterar os próprios nomes ou endereços de e-mail. Qualquer política de segurança vigente internamente também estará vigente para o Wrike.
-
Redução da fadiga que as senhas causam aos usuários. Depois que um usuário acessar a rede corporativa, ele pode abrir o Wrike sem precisar de outro conjunto de credenciais de login.
-
A facilidade de acesso que o SSO oferece é um impulsionador para uma adoção perfeita do Wrike. Você também pode monitorar a atividade de acesso e usar as métricas de SSO coletadas para acompanhar a adoção do Wrike.
Após a ativação da integração SSO/SAML, os usuários incluídos no SSO não poderão:
-
Editar os próprios nomes no Wrike. Nome e sobrenome são atribuídos por seu provedor de identidade.
-
Alterar os próprios endereços de e-mail do Wrike. Isso inclui acrescentar outros endereços. No entanto, um administrador do Wrike pode fazer isso para eles, desde que um usuário possa confirmar o novo endereço. Para isso, o usuário precisa estar conectado ao Wrike usando o endereço de e-mail original e ter acesso à caixa de entrada do e-mail original para clicar no link de confirmação. Em outros casos, os administradores ainda precisarão entrar em contato com o suporte para alterar os e-mails dos usuários. Só é possível alterar os e-mails do proprietário da conta mediante contato com o suporte.
-
Ativar a verificação em duas etapas por meio do Wrike. Se quiser proteger sua conta com esse recurso de segurança, será necessário configurá-lo com seu provedor de identidade.
-
Acessar o Wrike usando uma senha do Wrike. Como regra geral, eles serão redirecionados para a página de acesso gerenciada por seu provedor de identidade ao tentar acessar o Wrike no navegador. Algumas ferramentas integradas não têm suporte nativo para SSO (p. ex., a Ferramenta de backup e aplicativos API-v2 antigos). Os usuários de SSO precisarão gerar senhas descartáveis para autorizar essas ferramentas.
O modo de configurar seu SSO depende de como você utiliza (ou planeja utilizar o Wrike):
-
O modo opcional: isso significa que todos na conta precisarão fazer login usando senha ou login baseado em IDP. Essa opção é configurada por padrão e é útil para testar a nova integração de SSO. Recomendamos começar com esta opção para garantir que tudo funcione corretamente antes de aplicar o SSO para toda a conta.
Observação
No modo opcional, a página login.wrike.com/login leva os usuários para o login comum, como se o SSO SAML não estivesse configurado para a conta.
Para percorrer o fluxo de SSO SAML, use a página login.wrike.com/sso.
-
Se o Wrike for usado apenas por funcionários da empresa:é possível ativar o SSO para todos os usuários na conta.
-
Se o Wrike é usado por funcionários e por terceiros: é possivel ativar o SSO para os usuários com base no domínio de e-mail deles.
Observação
Nesse caso, antes de ativar o SSO SAML é necessário adicionar e aprovar domínios de e-mail na guia Segurança da seção Gerenciamento de contas. Para que possam ser aprovados, os domínios de e-mail precisam pertencer à empresa.
Usuários com e-mails de domínios de e-mail aprovados podem acessar o Wrike usando SSO, enquanto usuários com e-mail de domínios de e-mail sem aprovação realizarão o acesso com um nome de usuário e senha do Wrike. É possível ativar a verificação em duas etapas para fornecer uma opção de login mais segura para usuários sem domínios aprovados.
Caso deseje adicionar outros domínios aprovados após a ativação do SSO, um administrador precisa seguir o mesmo processo acima.
Na maioria dos casos, o processo de aprovação requer ajuda de sua equipe de operações de sistema, pois é necessário atualizar os registros de Domain Name System (DNS) dos domínios. Recomendamos adicionar domínios aprovados antes de ativar o SAML, de modo que eles sejam aplicados assim que o SAML for ativado.
Antes de ativar o SSO, é importante confirmar que:
-
O endereço de e-mail associado à conta do Wrike de cada usuário corresponda ao e-mail no diretório da empresa.
-
O SSO ainda não esteja ativado na conta. Para ver isso:
-
Clique em sua imagem de perfil.
-
Selecione Configurações no menu suspenso.
-
Clique em Segurança no painel esquerdo.
-
Na página Segurança, acesse a seção SSO SAML.
-
Verifique se o rótulo Desativado é exibido ao lado do cabeçalho SSO SAML.
-
Além disso, é necessário confirmar a compatibilidade:
-
Confirme se seu provedor de identidade ou SSO é compatível com a autenticação federada usando SAML 2.0. A lista de soluções de SSO compatíveis inclui, entre outros: Okta, OneLogin, PingFederate, Microsoft AD FS e Google Apps identity service. Se você usar os serviços de gerenciamento de identidade fornecidos pela Okta, será possível adicionar o Wrike à sua lista de aplicativos seguindo estas instruções.
-
Para configurar um SSO baseado em SAML para sua conta, consulte nosso arquivo de metadados para os parâmetros e opções padrão usados pelo Wrike. É necessário incluir os seguintes atributos de usuário: firstName; lastName; NameID (precisa ser um endereço de e-mail).
-
Clique em sua imagem de perfil.
-
Selecione Configurações no menu suspenso.
-
Clique em Segurança no painel esquerdo.
-
Na página Segurança, acesse a seção SSO SAML.
-
Clique no botão Configurar SSO SAML.
-
Na janela exibida, configure seu provedor de identidade com os metadados do Wrike e clique em Prosseguir.
-
Em seguida, você será solicitado a especificar os metadados do seu provedor. É possível selecionar entre as duas seguintes opções:
-
Inserir um link para fornecer o XML
-
Inserir o XML como texto
-
-
Clique em Avançar.
-
Verifique se escolheu os parâmetros corretos e confirme a decisão clicando no botão Prosseguir e ativar SAML.
-
Você receberá um e-mail com o código para confirmar a implementação do SSO.
-
Insira o código do e-mail na janela pop-up exibida.
-
Clique em Confirmar.
-
(Opcional) Teste as novas configurações de conta.
-
Clique no botão Salvar configurações de SAML.
Recomendamos a realização de testes de aceitação de usuário e testes de diferentes casos de uso imediatamente após a ativação do SSO. Você encontrará mais informações sobre como usar o SSO após habilitá-lo em nossa página Single sign-on usando SAML.
Observação
Tarefas, pastas e projetos não são compartilhados automaticamente entre usuários de SSO. Leia mais sobre o compartilhamento de tarefas, pastas e projetos em nossas páginas de ajuda. Além disso, grupos de usuários internos não são transferidos automaticamente para o Wrike, mas é fácil criar um grupo de usuários no Wrike.
Observação
Talvez a adição de domínios de e-mail aprovados exija auxílio de sua equipe de operações de sistema.
-
Clique na sua imagem de perfil, no canto superior direito do espaço de trabalho do Wrike.
-
Selecione Configurações no menu suspenso.
-
Clique em Segurança no painel esquerdo.
-
Localize a seção Domínios aprovados.
-
Clique em Adicionar domínio e insira o domínio de e-mail adequado.
-
Clique em Adicionar.
-
Uma janela pop-up é exibida com as instruções sobre a aprovação de domínios.
-
Siga as instruções exibidas. A aprovação de domínios pode levar até 24 horas e pode exigir o auxílio de sua equipe de operações de sistema.
-
Clique em Salvar alterações.
-
O e-mail com o código de confirmação será enviado para seu endereço de e-mail principal.
-
Copie o código do seu e-mail e cole na janela pop-up exibida.
-
Clique em Confirmar.
Grandes equipes empresariais que têm várias contas do Wrike com o SSO baseado em SAML ativado por meio do mesmo IDP podem integrar todas as contas em uma só rede. Como resultado, é possível convidar usuários para ou entrar em todas as contas Wrike conectadas usando as credenciais corporativas por meio do IDP.
Observação: a implementação desse esquema tem vários pré-requisitos e só pode ser ativada pelo suporte ao cliente Wrike. Para obter mais informações, entre em contato com o suporte ao cliente do Wrike.