Configurar o Logon Único (SAML & OIDC)
O CalendarBridge permite que os administradores da organização habilitem o logon único para que seus usuários acessem o CalendarBridge com o mesmo provedor de identidade que já usam para tudo o mais. Este guia cobre ambos os protocolos suportados, os valores exatos do provedor de serviço a fornecer ao seu provedor de identidade, os mapeamentos de atributos, testes e solução de problemas.
O logon único em resumo
O logon único (SSO) permite que sua equipe se autentique no CalendarBridge por meio do provedor de identidade (IdP) da sua organização, em vez de uma senha separada do CalendarBridge. Quando o SSO é imposto, todo usuário do seu domínio verificado é redirecionado ao seu IdP para fazer login, e o acesso pode ser concedido ou revogado de forma centralizada.
- Protocolos suportados: SAML 2.0 (iniciado pelo SP) e OpenID Connect (OIDC) / fluxo de código de autorização OAuth 2.0.
- Edição do CalendarBridge: SSO e SCIM estão disponíveis nos planos de Grupo (Organização) do CalendarBridge. Eles são configurados no portal Gerenciar Organização por um administrador da organização. Consulte Tipos de licença de conta de grupo e Licenciamento abaixo.
- Arquitetura: o CalendarBridge é um aplicativo SaaS multilocatário. O SSO é configurado por domínio verificado, então cada cliente possui e controla sua própria conexão com o provedor de identidade. O CalendarBridge busca e confia apenas nos metadados/certificado do IdP que você fornecer para o seu domínio.
Provedores de identidade suportados
O CalendarBridge funciona com qualquer provedor de identidade SAML 2.0 ou OIDC compatível com os padrões. O portal Gerenciar Organização inclui guias de configuração passo a passo integrados para os seguintes:
| Provedor de identidade | SAML 2.0 | OpenID Connect | Documentação do provedor |
|---|---|---|---|
| Microsoft Entra ID (Azure AD) | Sim | Sim | Configurar SSO no Entra ID |
| Okta | Sim | Sim | Criar um app SAML/OIDC no Okta |
| Google Workspace | Sim | — | Configurar um app SAML personalizado |
| JumpCloud | Sim | — | SSO com um app SAML personalizado |
| Qualquer outro IdP SAML 2.0 / OIDC | Sim | Sim | Use os valores genéricos deste artigo. |
Licenciamento
O SSO e o provisionamento SCIM estão incluídos nas assinaturas de Grupo (Organização) do CalendarBridge. Não há cobrança de complemento separada do CalendarBridge para habilitar o SSO. Observe que alguns provedores de identidade restringem seus recursos de provisionamento/SCIM a edições específicas — por exemplo, o provisionamento automático do Google Workspace requer Enterprise Standard, Enterprise Plus ou Education Plus. O provisionamento automático de usuários do Microsoft Entra ID requer uma licença Microsoft Entra ID P1 ou P2 no seu locatário.
Quem pode configurar o SSO (acesso baseado em função)
Somente um administrador da organização do CalendarBridge pode ver ou alterar as configurações de SSO e SCIM. Membros comuns nunca veem esses controles. Para gerenciar o SSO, você precisa:
- Ser administrador da conta de grupo (consulte Visão geral do Portal de Administração de Grupo), e
- Ter pelo menos um domínio verificado na conta. O SSO está vinculado a um domínio verificado — consulte Conectar domínios autorizados.
Abra a aba Logon Único
-
Abra o portal Gerenciar Organização
No seu painel do CalendarBridge, clique em Gerenciar sua Organização ou acesse diretamente calendarbridge.com/dashboard/organization.
-
Selecione a aba Logon Único
Escolha a aba Logon Único. Se você ainda não configurou o SSO, verá um botão Configurar SSO.
-
Clique em Configurar SSO
Escolha seu protocolo (SAML ou OIDC), atribua o domínio verificado ao qual esta configuração se aplica e selecione seu provedor de identidade para revelar um guia de configuração inline específico do provedor.
Configurar SAML 2.0
A configuração do SAML é uma troca bidirecional: você fornece os valores do provedor de serviço (SP) do CalendarBridge ao seu IdP e, em troca, fornece ao CalendarBridge os metadados do seu IdP.
Valores do provedor de serviço para inserir no seu IdP
Estes são os valores que você cola no seu provedor de identidade ao criar o aplicativo do CalendarBridge. Os valores exatos, prontos para copiar, da sua conta são exibidos com botões Copiar na aba Logon Único — sempre copie-os do portal em vez de digitá-los manualmente.
| Campo (o rótulo varia por IdP) | Valor |
|---|---|
| Entity ID / Audience URI / SP Entity ID | urn:amazon:cognito:sp:<your-pool-id> — copie o valor exato da aba SSO. |
| ACS URL / Reply URL / Single sign-on URL | https://<your-CalendarBridge-auth-domain>/saml2/idpresponse — copie o valor exato da aba SSO. |
| Name ID format | EmailAddress (e-mail persistente) |
| Binding | HTTP-POST para a asserção; HTTP-Redirect para a solicitação. |
Mapeamentos de atributos obrigatórios
Mapeie estas declarações (claims) no seu IdP. Insira o nome do atributo do app exatamente como mostrado — eles também estão listados com botões de copiar no portal.
| Atributo do app (insira exatamente) | Mapeia de (no seu IdP) |
|---|---|
email | E-mail principal / Email / user.mail |
name | Nome / given name / user.givenname |
Microsoft Entra ID (Azure AD) — SAML
-
Crie o aplicativo
No centro de administração do Microsoft Entra, vá em Aplicativos empresariais → Novo aplicativo → Criar seu próprio aplicativo → "Integrar qualquer outro aplicativo que você não encontre na galeria."
-
Abra Logon único → SAML
Em Configuração básica de SAML, insira:
- Identificador (Entity ID): o Entity ID da aba SSO do CalendarBridge.
- URL de resposta (ACS): a ACS URL da aba SSO do CalendarBridge.
-
Configure atributos e declarações
Adicione as declarações
emailenamedos mapeamentos de atributos acima e defina o Name ID como o e-mail do usuário. -
Copie a App Federation Metadata URL
Em Certificado de assinatura SAML, copie a App Federation Metadata URL (ela termina em
/federationmetadata/2007-06/federationmetadata.xml). Usar a URL — em vez de carregar um arquivo XML estático — permite que o CalendarBridge detecte as rotações de certificado automaticamente. -
Atribua usuários e depois finalize no CalendarBridge
Atribua os usuários ou grupos que devem ter acesso, depois retorne à aba SSO do CalendarBridge, cole a URL de metadados e salve.
Okta, Google Workspace, JumpCloud e outros — SAML
O fluxo é o mesmo para todos os IdPs: crie um app SAML personalizado, cole os valores do provedor de serviço, adicione os mapeamentos de atributos e, em seguida, forneça ao CalendarBridge os metadados do IdP. O portal mostra os caminhos de menu precisos para Okta, Google Workspace e JumpCloud quando você seleciona esse provedor. Você pode fornecer os metadados do IdP de duas maneiras na aba SSO do CalendarBridge:
- URL de metadados (recomendado) — cole a URL de metadados de federação do IdP; o CalendarBridge a busca novamente para que as rotações de certificado sejam detectadas automaticamente.
- XML de metadados — carregue o arquivo
.xmlde metadados do IdP se o seu provedor não publicar uma URL.
Configurar OpenID Connect (OIDC)
Para IdPs que você prefere conectar por OIDC/OAuth 2.0, o CalendarBridge usa o fluxo de código de autorização. Você criará um aplicativo Web no seu IdP e fornecerá três valores ao CalendarBridge.
URI de redirecionamento para inserir no seu IdP
| Campo | Valor |
|---|---|
| Redirect URI / URI de redirecionamento de login (plataforma: Web) | https://<your-CalendarBridge-auth-domain>/oauth2/idpresponse — copie o valor exato da aba SSO. |
Valores para inserir no CalendarBridge
| Campo do CalendarBridge | Onde encontrá-lo no seu IdP |
|---|---|
| Discovery URL | O documento de configuração OpenID do seu IdP, por exemplo, https://<your-idp>/.well-known/openid-configuration. |
| Client ID | Do registro de app que você criou. |
| Client Secret | Um segredo que você gera no registro de app. |
Permissões (escopos) solicitadas e por quê
O CalendarBridge solicita apenas os escopos OIDC mínimos e padrão necessários para identificar o usuário que está fazendo login. Ele não solicita acesso a e-mail, arquivos ou dados de calendário por meio da conexão SSO.
| Escopo | Por que é solicitado (justificativa comercial) |
|---|---|
openid | Necessário para realizar a autenticação OpenID Connect e receber um token de ID. |
email | Usado como o identificador exclusivo do usuário para associá-lo à sua organização do CalendarBridge e ao domínio verificado. |
profile | Lê o perfil básico (nome) para preencher o nome de exibição do usuário no primeiro login. |
Microsoft Entra ID — OIDC
-
Registre o aplicativo
No centro de administração do Microsoft Entra, vá em Registros de aplicativo → Novo registro.
-
Adicione o URI de redirecionamento
Adicione um URI de redirecionamento de plataforma Web definido como o URI de redirecionamento OIDC do CalendarBridge exibido na aba SSO.
-
Crie um segredo do cliente
Em Certificados e segredos → Novo segredo do cliente, crie um segredo e copie seu valor imediatamente.
-
Copie a URL de descoberta (metadados)
Em Visão geral → Pontos de extremidade, copie a URL do documento de metadados OpenID Connect. Cole a URL de descoberta, o client ID e o client secret na aba SSO do CalendarBridge e salve.
Impor o SSO para o seu domínio
Por padrão, habilitar o SSO o torna disponível para os usuários do domínio. Marque Impor SSO no formulário de configuração para exigi-lo: cada usuário nesse domínio verificado deverá então fazer login por meio do seu IdP, e o login direto por senha é desabilitado para eles.
Testar com usuários piloto
-
Confirme que a configuração está Ativa
Após salvar, o cartão de configuração mostra um selo de status. Aguarde até que apareça Ativo. Um selo Pendente significa que o CalendarBridge ainda não validou os metadados do IdP; um selo Erro mostra o motivo inline.
-
Atribua um usuário piloto no seu IdP
Atribua um ou dois usuários de teste ao app do CalendarBridge no seu IdP, mas deixe a imposição desativada por enquanto.
-
Faça login por meio do SSO
Peça ao usuário piloto para fazer login no CalendarBridge usando o e-mail/domínio da sua organização. Ele deve ser redirecionado ao seu IdP e retornado ao CalendarBridge já conectado. Confirme se o nome e o e-mail foram preenchidos corretamente.
-
Implemente
Assim que o piloto for bem-sucedido, atribua o restante dos seus usuários e, se desejar, ative Impor SSO.
Solução de problemas
Se o cartão de configuração mostrar um status de Erro, a mensagem exibida no cartão explica a falha específica. Casos comuns:
| Sintoma / mensagem | Causa provável e correção |
|---|---|
| Status travado em Pendente ou "não foi possível buscar os metadados" | A URL de metadados está inacessível ou retornou algo que não é XML. Verifique se a URL carrega em um navegador ou mude para o carregamento do arquivo XML de metadados. |
| Erro de "assinatura inválida" / "certificado" | O certificado de assinatura do IdP foi rotacionado e os metadados armazenados estão desatualizados. Salve novamente usando a URL de metadados do IdP (recomendado) para que as rotações sejam detectadas automaticamente, ou recarregue o XML atual. |
| Incompatibilidade de "público" (Audience) / "emissor" (Issuer) | O Entity ID / Audience URI no seu IdP não corresponde exatamente ao valor da aba SSO. Copie-o novamente do portal. |
| O usuário faz login, mas o nome/e-mail fica em branco ou é rejeitado | Os mapeamentos de atributos email e name estão ausentes ou com nomes errados. Verifique novamente os mapeamentos de atributos obrigatórios — os nomes diferenciam maiúsculas de minúsculas. |
| "AADSTS50105" / usuário não atribuído (Entra ID) | O usuário não está atribuído ao app empresarial do CalendarBridge no Entra ID. Atribua o usuário ou o grupo dele. |
| Incompatibilidade de URL de Redirecionamento/Resposta | A ACS URL (SAML) ou o Redirect URI (OIDC) no seu IdP não corresponde ao valor na aba SSO. Copie o valor exato novamente. |
Obter ajuda
Se você ficar travado após verificar a mensagem de erro no cartão de configuração e a tabela de solução de problemas acima, entre em contato com o suporte do CalendarBridge. Inclua o domínio da sua organização, o protocolo (SAML/OIDC), seu provedor de identidade e a mensagem de status exata exibida no cartão.
- Entrar em contato com o suporte do CalendarBridge
- Configurar a sincronização de diretório SCIM (Provisionamento) — automatize a criação e a desativação de usuários assim que o SSO estiver ativo.