Instalar seu app SAML personalizado

Usar o SSO baseado em SAML

Com o Logon único (SSO), é possível usar as credenciais da Conta do Google gerenciada para fazer login em todos os apps corporativos na nuvem. O Google oferece SSO pré-integrado com mais de 200 apps na nuvem muito conhecidos.

Siga estas etapas para configurar o SSO baseado em SAML em um app personalizado que não esteja no catálogo pré-integrado.

Instalar seu app SAML personalizado

Etapa 1: adicionar o app SAML personalizado

  1. No Google Admin Console, acesse Menu e depois Appse depoisApps da Web e para dispositivos móveis.

    Para realizar essa tarefa, você precisa fazer login como superadministrador.

  2. Clique em Adicionar appe depoisAdicionar app SAML personalizado.
    Digite o nome do app e, se quiser, faça upload de um ícone para ele. O ícone do app aparece na lista de apps da Web e para dispositivos móveis, na página de configurações do app e no Acesso rápido aos apps. Se você não fizer upload de um ícone, ele será criado usando as duas primeiras letras do nome do app.
  3. Clique em Continuar.
  4. Na página Detalhes do provedor de identidade do Google, acesse as informações de configuração exigidas pelo provedor de serviços usando uma destas opções:
    1. Faça o download dos metadados do IdP.
    2. Copie o URL do SSO e o ID da entidade e faça o download do certificado (ou da impressão digital SHA-256 se necessário).
  5. (Opcional) Para digitar as informações na página de configuração do SSO, em uma guia ou janela separada do navegador, faça login no provedor de serviços, digite as informações copiadas na Etapa 5 e volte ao Admin Console.
  6. Clique em Continuar.
  7. Entre em contato com seu provedor de serviços para receber esses valores de campo. Na janela Detalhes do provedor de serviços, digite:
    1. URL do ACS: o URL do serviço de declaração de consumidor do provedor de serviços recebe a resposta SAML. Ele precisa começar com https://.
    2. ID da entidade: o nome exclusivo globalmente.
    3. URL de início: (opcional) define o parâmetro RelayState em uma solicitação SAML, que pode ser um URL para redirecionamento após a autenticação.
  8. (Opcional) Para indicar que seu provedor de serviços exige que toda a resposta de autenticação SAML seja assinada, marque a caixa Resposta assinada. Se esta opção estiver desmarcada (o padrão), apenas a declaração na resposta será assinada.
  9. (Opcional) Defina o formato do ID de nome e o valor do ID de nome do app SAML personalizado. O ID de nome padrão é o e-mail principal.
    Dica: leia os artigos sobre configuração no nosso catálogo de apps SAML e veja os mapeamentos de ID de nome necessários para os apps no catálogo. Também é possível criar atributos personalizados no Admin Console ou nas APIs do Google Admin SDK e mapear para esses atributos.
  10. Clique em Continuar.
  11. Se necessário, clique em Adicionar mapeamento para mapear os atributos do usuário com base nos requisitos do provedor de serviços.
    Observação: você pode definir no máximo 10.000 atributos para todos os apps. Como cada app tem um atributo padrão, ele será contabilizado com os outros atributos personalizados que você adicionar.
    1. Em Atributos do diretório do Google, clique no menu Selecionar campo e escolha um nome de campo. Nem todos os atributos do diretório do Google estão disponíveis na lista suspensa. Se um atributo que você quer mapear (por exemplo, o e-mail do gerente) não estiver disponível, você pode adicionar esse atributo como um atributo personalizado. Com isso, ele ficará disponível para seleção.
    2. Em Atributos do app, digite o atributo correspondente do app SAML personalizado.
  12. (Opcional) Para inserir nomes de grupos relevantes para este app:
    1. Em Associação ao grupo (opcional), clique em Pesquisar um grupo, digite uma ou mais letras do nome do grupo e selecione o nome.
    2. Adicione outros grupos conforme necessário (máximo de 75 grupos).
    3. Em Atributo do app, digite o nome do atributo de grupo correspondente do provedor de serviços.

    Independentemente do total de nomes de grupo informados, a resposta SAML inclui apenas grupos de que o usuário faz parte (direta ou indiretamente). Para mais informações, acesse Sobre o mapeamento de associações a grupos.

  13. Clique em Concluir.

Etapa 2: ativar o app SAML

  1. No Google Admin Console, acesse Menu e depois Appse depoisApps da Web e para dispositivos móveis.

    Para realizar essa tarefa, você precisa fazer login como superadministrador.

  2. Selecione o app SAML.
  3. Clique em Acesso de usuário.

  4. Para ativar ou desativar um serviço para todos na organização, clique em Ativar para todos ou Desativar para todos e depois em Salvar.

  5. (Opcional) Para ativar ou desativar um serviço em uma unidade organizacional:
    1. Selecione a unidade organizacional à esquerda.
    2. Para mudar o status do serviço, selecione Ativado ou Desativado.
    3. Escolha uma opção:
      • Se o status do serviço estiver definido como Herdado e você quiser manter a configuração atualizada, mesmo que a configuração mãe seja alterada, clique em Substituir.
      • Caso o status do serviço esteja definido como Substituído, clique em Herdar para reverter e usar a configuração mãe ou clique em Salvar para manter a nova configuração, mesmo que a configuração mãe seja alterada.
        Saiba mais sobre estrutura organizacional.
  6. (Opcional) Se você quiser ativar um serviço para alguns usuários em uma ou várias unidades organizacionais, selecione um grupo de acesso. Saiba mais em Personalizar o acesso ao serviço usando grupos de acesso.
  7. Verifique se os endereços de e-mail que os usuários utilizam para fazer login no app SAML correspondem aos que eles utilizam para fazer login no domínio do Google.
As mudanças podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais

Etapa 3: verificar se o SSO está funcionando no app personalizado

É possível testar o SSO iniciado pelo provedor de identidade (IdP) e pelo provedor de serviços (SP).

Iniciado pelo IdP

  1. No Google Admin Console, acesse Menu e depois Appse depoisApps da Web e para dispositivos móveis.

    Para realizar essa tarefa, você precisa fazer login como superadministrador.

  2. Selecione o app SAML personalizado.
  3. No canto superior esquerdo, clique em Testar login SAML.

    O app vai abrir em uma guia separada. Se isso não acontecer, use as informações nas mensagens de erro do app SAML para atualizar as configurações do IdP e do SP conforme necessário e teste o login SAML novamente.

Iniciado pelo SP

  1. Abra o URL do SSO do novo app SAML. A página de login do Google será aberta.
  2. Digite seu nome de usuário e senha.

    Depois da autenticação das credenciais de login, você voltará para o novo app SAML.