Configurar o Logon Único (SAML & OIDC)

O CalendarBridge permite que os administradores da organização habilitem o logon único para que seus usuários acessem o CalendarBridge com o mesmo provedor de identidade que já usam para tudo o mais. Este guia cobre ambos os protocolos suportados, os valores exatos do provedor de serviço a fornecer ao seu provedor de identidade, os mapeamentos de atributos, testes e solução de problemas.

C Chad Atualizado em 16 de junho de 2026 8 min de leitura

O logon único em resumo

O logon único (SSO) permite que sua equipe se autentique no CalendarBridge por meio do provedor de identidade (IdP) da sua organização, em vez de uma senha separada do CalendarBridge. Quando o SSO é imposto, todo usuário do seu domínio verificado é redirecionado ao seu IdP para fazer login, e o acesso pode ser concedido ou revogado de forma centralizada.

Provedores de identidade suportados

O CalendarBridge funciona com qualquer provedor de identidade SAML 2.0 ou OIDC compatível com os padrões. O portal Gerenciar Organização inclui guias de configuração passo a passo integrados para os seguintes:

Provedor de identidadeSAML 2.0OpenID ConnectDocumentação do provedor
Microsoft Entra ID (Azure AD) Sim Sim Configurar SSO no Entra ID
Okta Sim Sim Criar um app SAML/OIDC no Okta
Google Workspace Sim Configurar um app SAML personalizado
JumpCloud Sim SSO com um app SAML personalizado
Qualquer outro IdP SAML 2.0 / OIDC Sim Sim Use os valores genéricos deste artigo.
info
Listagem na galeria do Microsoft Entra ID O CalendarBridge suporta SAML 2.0 iniciado pelo SP e iniciado pelo IdP e valida o certificado de assinatura, a janela de validade, o emissor e o público da asserção SAML. Para a configuração recomendada do Entra ID, aponte o CalendarBridge para a App Federation Metadata URL para que a rotação de certificados seja tratada automaticamente.

Licenciamento

O SSO e o provisionamento SCIM estão incluídos nas assinaturas de Grupo (Organização) do CalendarBridge. Não há cobrança de complemento separada do CalendarBridge para habilitar o SSO. Observe que alguns provedores de identidade restringem seus recursos de provisionamento/SCIM a edições específicas — por exemplo, o provisionamento automático do Google Workspace requer Enterprise Standard, Enterprise Plus ou Education Plus. O provisionamento automático de usuários do Microsoft Entra ID requer uma licença Microsoft Entra ID P1 ou P2 no seu locatário.

Quem pode configurar o SSO (acesso baseado em função)

Somente um administrador da organização do CalendarBridge pode ver ou alterar as configurações de SSO e SCIM. Membros comuns nunca veem esses controles. Para gerenciar o SSO, você precisa:

lightbulb
Mantenha um administrador de emergência Ao impor o SSO, certifique-se de que pelo menos um administrador da organização ainda possa acessar a conta se o IdP estiver indisponível. Os administradores do CalendarBridge mantêm um caminho de bypass para que você nunca fique bloqueado durante uma interrupção do IdP.

Abra a aba Logon Único

The Single Sign-On tab
  1. Abra o portal Gerenciar Organização

    No seu painel do CalendarBridge, clique em Gerenciar sua Organização ou acesse diretamente calendarbridge.com/dashboard/organization.

  2. Selecione a aba Logon Único

    Escolha a aba Logon Único. Se você ainda não configurou o SSO, verá um botão Configurar SSO.

  3. Clique em Configurar SSO

    Escolha seu protocolo (SAML ou OIDC), atribua o domínio verificado ao qual esta configuração se aplica e selecione seu provedor de identidade para revelar um guia de configuração inline específico do provedor.

Configurar SAML 2.0

Configure SAML SSO

A configuração do SAML é uma troca bidirecional: você fornece os valores do provedor de serviço (SP) do CalendarBridge ao seu IdP e, em troca, fornece ao CalendarBridge os metadados do seu IdP.

Valores do provedor de serviço para inserir no seu IdP

Estes são os valores que você cola no seu provedor de identidade ao criar o aplicativo do CalendarBridge. Os valores exatos, prontos para copiar, da sua conta são exibidos com botões Copiar na aba Logon Único — sempre copie-os do portal em vez de digitá-los manualmente.

Campo (o rótulo varia por IdP)Valor
Entity ID / Audience URI / SP Entity ID urn:amazon:cognito:sp:<your-pool-id> — copie o valor exato da aba SSO.
ACS URL / Reply URL / Single sign-on URL https://<your-CalendarBridge-auth-domain>/saml2/idpresponse — copie o valor exato da aba SSO.
Name ID format EmailAddress (e-mail persistente)
Binding HTTP-POST para a asserção; HTTP-Redirect para a solicitação.

Mapeamentos de atributos obrigatórios

Mapeie estas declarações (claims) no seu IdP. Insira o nome do atributo do app exatamente como mostrado — eles também estão listados com botões de copiar no portal.

Atributo do app (insira exatamente)Mapeia de (no seu IdP)
emailE-mail principal / Email / user.mail
nameNome / given name / user.givenname

Microsoft Entra ID (Azure AD) — SAML

  1. Crie o aplicativo

    No centro de administração do Microsoft Entra, vá em Aplicativos empresariais → Novo aplicativo → Criar seu próprio aplicativo → "Integrar qualquer outro aplicativo que você não encontre na galeria."

  2. Abra Logon único → SAML

    Em Configuração básica de SAML, insira:

    • Identificador (Entity ID): o Entity ID da aba SSO do CalendarBridge.
    • URL de resposta (ACS): a ACS URL da aba SSO do CalendarBridge.
  3. Configure atributos e declarações

    Adicione as declarações email e name dos mapeamentos de atributos acima e defina o Name ID como o e-mail do usuário.

  4. Copie a App Federation Metadata URL

    Em Certificado de assinatura SAML, copie a App Federation Metadata URL (ela termina em /federationmetadata/2007-06/federationmetadata.xml). Usar a URL — em vez de carregar um arquivo XML estático — permite que o CalendarBridge detecte as rotações de certificado automaticamente.

  5. Atribua usuários e depois finalize no CalendarBridge

    Atribua os usuários ou grupos que devem ter acesso, depois retorne à aba SSO do CalendarBridge, cole a URL de metadados e salve.

Okta, Google Workspace, JumpCloud e outros — SAML

O fluxo é o mesmo para todos os IdPs: crie um app SAML personalizado, cole os valores do provedor de serviço, adicione os mapeamentos de atributos e, em seguida, forneça ao CalendarBridge os metadados do IdP. O portal mostra os caminhos de menu precisos para Okta, Google Workspace e JumpCloud quando você seleciona esse provedor. Você pode fornecer os metadados do IdP de duas maneiras na aba SSO do CalendarBridge:

Configurar OpenID Connect (OIDC)

Configure OIDC SSO

Para IdPs que você prefere conectar por OIDC/OAuth 2.0, o CalendarBridge usa o fluxo de código de autorização. Você criará um aplicativo Web no seu IdP e fornecerá três valores ao CalendarBridge.

URI de redirecionamento para inserir no seu IdP

CampoValor
Redirect URI / URI de redirecionamento de login (plataforma: Web)https://<your-CalendarBridge-auth-domain>/oauth2/idpresponse — copie o valor exato da aba SSO.

Valores para inserir no CalendarBridge

Campo do CalendarBridgeOnde encontrá-lo no seu IdP
Discovery URLO documento de configuração OpenID do seu IdP, por exemplo, https://<your-idp>/.well-known/openid-configuration.
Client IDDo registro de app que você criou.
Client SecretUm segredo que você gera no registro de app.

Permissões (escopos) solicitadas e por quê

O CalendarBridge solicita apenas os escopos OIDC mínimos e padrão necessários para identificar o usuário que está fazendo login. Ele não solicita acesso a e-mail, arquivos ou dados de calendário por meio da conexão SSO.

EscopoPor que é solicitado (justificativa comercial)
openidNecessário para realizar a autenticação OpenID Connect e receber um token de ID.
emailUsado como o identificador exclusivo do usuário para associá-lo à sua organização do CalendarBridge e ao domínio verificado.
profileLê o perfil básico (nome) para preencher o nome de exibição do usuário no primeiro login.
info
Consentimento de menor privilégio Estes são escopos delegados, apenas para login. Um administrador (ou o usuário, conforme a política de consentimento do seu locatário) concede o consentimento uma vez no primeiro login. O CalendarBridge não solicita permissões de aplicativo nem permissões de e-mail/calendário do Microsoft Graph como parte do SSO.

Microsoft Entra ID — OIDC

  1. Registre o aplicativo

    No centro de administração do Microsoft Entra, vá em Registros de aplicativo → Novo registro.

  2. Adicione o URI de redirecionamento

    Adicione um URI de redirecionamento de plataforma Web definido como o URI de redirecionamento OIDC do CalendarBridge exibido na aba SSO.

  3. Crie um segredo do cliente

    Em Certificados e segredos → Novo segredo do cliente, crie um segredo e copie seu valor imediatamente.

  4. Copie a URL de descoberta (metadados)

    Em Visão geral → Pontos de extremidade, copie a URL do documento de metadados OpenID Connect. Cole a URL de descoberta, o client ID e o client secret na aba SSO do CalendarBridge e salve.

Impor o SSO para o seu domínio

Por padrão, habilitar o SSO o torna disponível para os usuários do domínio. Marque Impor SSO no formulário de configuração para exigi-lo: cada usuário nesse domínio verificado deverá então fazer login por meio do seu IdP, e o login direto por senha é desabilitado para eles.

warning
Teste antes de impor Confirme que um usuário piloto consegue fazer login via SSO (próxima seção) antes de habilitar a imposição, para que você não bloqueie os usuários devido a um erro de metadados ou de mapeamento de atributos. Os administradores do CalendarBridge mantêm um caminho de bypass para acesso de emergência.

Testar com usuários piloto

  1. Confirme que a configuração está Ativa

    Após salvar, o cartão de configuração mostra um selo de status. Aguarde até que apareça Ativo. Um selo Pendente significa que o CalendarBridge ainda não validou os metadados do IdP; um selo Erro mostra o motivo inline.

  2. Atribua um usuário piloto no seu IdP

    Atribua um ou dois usuários de teste ao app do CalendarBridge no seu IdP, mas deixe a imposição desativada por enquanto.

  3. Faça login por meio do SSO

    Peça ao usuário piloto para fazer login no CalendarBridge usando o e-mail/domínio da sua organização. Ele deve ser redirecionado ao seu IdP e retornado ao CalendarBridge já conectado. Confirme se o nome e o e-mail foram preenchidos corretamente.

  4. Implemente

    Assim que o piloto for bem-sucedido, atribua o restante dos seus usuários e, se desejar, ative Impor SSO.

Solução de problemas

Se o cartão de configuração mostrar um status de Erro, a mensagem exibida no cartão explica a falha específica. Casos comuns:

Sintoma / mensagemCausa provável e correção
Status travado em Pendente ou "não foi possível buscar os metadados" A URL de metadados está inacessível ou retornou algo que não é XML. Verifique se a URL carrega em um navegador ou mude para o carregamento do arquivo XML de metadados.
Erro de "assinatura inválida" / "certificado" O certificado de assinatura do IdP foi rotacionado e os metadados armazenados estão desatualizados. Salve novamente usando a URL de metadados do IdP (recomendado) para que as rotações sejam detectadas automaticamente, ou recarregue o XML atual.
Incompatibilidade de "público" (Audience) / "emissor" (Issuer) O Entity ID / Audience URI no seu IdP não corresponde exatamente ao valor da aba SSO. Copie-o novamente do portal.
O usuário faz login, mas o nome/e-mail fica em branco ou é rejeitado Os mapeamentos de atributos email e name estão ausentes ou com nomes errados. Verifique novamente os mapeamentos de atributos obrigatórios — os nomes diferenciam maiúsculas de minúsculas.
"AADSTS50105" / usuário não atribuído (Entra ID) O usuário não está atribuído ao app empresarial do CalendarBridge no Entra ID. Atribua o usuário ou o grupo dele.
Incompatibilidade de URL de Redirecionamento/Resposta A ACS URL (SAML) ou o Redirect URI (OIDC) no seu IdP não corresponde ao valor na aba SSO. Copie o valor exato novamente.

Obter ajuda

Se você ficar travado após verificar a mensagem de erro no cartão de configuração e a tabela de solução de problemas acima, entre em contato com o suporte do CalendarBridge. Inclua o domínio da sua organização, o protocolo (SAML/OIDC), seu provedor de identidade e a mensagem de status exata exibida no cartão.