Configurar o logon único SAML

Os administradores de segurança da organização podem seguir as etapas abaixo para configurar as configurações de logon único SAML para a organização. O logon único (SSO) baseado em SAML dá aos membros acesso à Workiva por meio de um provedor de identidade (IdP). Antes de definir as configurações, verifique se você revisou O que é o logon único SAML?.

Observação: Os administradores de segurança da organização devem ser adicionados a um espaço de trabalho para que você possa acessar o Organization Admin.

Etapa 1: Navegue até as configurações de SAML SSO

Vá para Organization Admin.
Clique em Segurança no menu à esquerda.
Clique na aba Single Sign-On.

Se você já possui uma configuração de SSO, a página terá esta aparência:

Etapa 2: Crie sua configuração de SSO SAML e selecione seu provedor de identidade.

Clique em Criar configuração SSO.
Insira um nome de configuração e selecione o provedor de identidade (IdP) na lista suspensa.
Clique em Criar configuração para prosseguir.

Etapa 3: Envie os metadados do Workiva para o administrador do seu provedor de identidade.

Na seção Metadados do Workiva , você verá o Identificador (ID da Entidade) e URL de Resposta.
Clique em Opções avançadas para ver o URL de login e URL de logout.
Estes URLs são exclusivos de cada organização e não podem ser modificados, e conterão app.wdesk.com, eu.wdesk.comou apac.wdesk.com.
Envie esses URLs de metadados da Workiva para o administrador do seu provedor de identidade.
Você também pode clicar em Baixar XML de metadados do Workiva para baixar e enviar o arquivo XML de metadados do Workiva para o administrador do seu provedor de identidade.
Você pode ajustar sua Tolerância de Desvio de Relógio. A tolerância de distorção de relógio é a diferença máxima de tempo permitida entre o seu provedor de identidade SAML e a Workiva. O valor padrão é de 300 segundos (5 minutos).

Dica: Um valor maior amplia a "janela de aceitação" para diferenças de tempo. Embora isso melhore a confiabilidade ao reduzir as solicitações rejeitadas, também introduz riscos de segurança e desempenho. Por outro lado, um valor menor aumenta a probabilidade de falhas de autenticação devido a tempos limite excedidos.
Se estiver usando o Microsoft Azure como seu provedor de identidade, o administrador do seu provedor de identidade pode consultar a Etapa 2 na guia Azure em Configurar SSO SAML com seu provedor de identidade.
Se estiver usando o Okta como seu provedor de identidade, o administrador do seu provedor de identidade pode consultar a Etapa 3 na guia Okta em Configurar SSO SAML com seu provedor de identidade.
Se você estiver usando um provedor de identidade diferente do Microsoft Azure ou Okta, entre em contato com o suporte ao cliente do seu provedor de identidade caso precise de ajuda.

Etapa 4: Insira os metadados do seu provedor de identidade no Workiva.

Pré-requisito: Você precisa obter as informações de metadados do provedor de identidade necessárias do administrador do seu provedor de identidade antes de prosseguir.

Se você estiver usando o Microsoft Azure como seu provedor de identidade, o administrador do seu provedor de identidade pode consultar a Etapa 4 na guia Azure em Configurar SSO SAML com seu provedor de identidade.
Se você estiver usando o Okta como seu provedor de identidade, o administrador do seu provedor de identidade pode consultar a Etapa 2 na guia Okta em Configurar SSO SAML com seu provedor de identidade.
Se estiver usando um provedor de identidade diferente do Microsoft Azure ou Okta, entre em contato com o suporte ao cliente do seu provedor de identidade para obter as informações.

Na seção de metadados do provedor de identidade (por exemplo, Metadados do Microsoft Azure), insira os metadados do provedor de identidade.

Primeiro, no menu suspenso Método de entrada preferido , selecione como você deseja inserir os metadados do provedor de identidade. Você pode inserir um URL de metadados de federação, carregar um arquivo XML de metadadosou inserir os metadados por meio de Entrada manual.
Na caixa de diálogo de seleção de arquivos, selecione o arquivo que contém as informações de metadados do provedor de identidade e clique em Importar.

Alternativamente, você pode inserir os valores manualmente:

Etapa 5: Configurar mapeamento de usuários

Na seção Mapeamento de usuários, clique no menu suspenso e selecione uma das seguintes opções:

Mapear usuários para seus nomes de usuário do Workiva (recomendado)
Mapear usuários manualmente

Nota: Se você inseriu manualmente as informações de metadados do provedor de identidade, você precisará ativar as Opções avançadas para esta seção.

Mapeamento de usuários para seus nomes de usuário do Workiva.

Se você selecionou Mapear usuários para seus nomes de usuário do Workiva no menu suspenso, o Workiva esperará que o atributo Primary NameID recebido corresponda ao nome de usuário do Workiva, ignorando qualquer distinção entre maiúsculas e minúsculas, quando o usuário fizer login. Por exemplo, isso permite que User.Name.Example faça a correspondência com user.name.example.

Você pode então clicar no menu suspenso Definir mapeamento e selecionar Definir todos os IDs SSO para o nome de usuário Workiva para preencher a tabela.

Clique em Criar configuração para prosseguir.

Mapeamento manual de usuários

Se você selecionou Mapear usuários manualmente no menu suspenso, verifique primeiro as opções avançadas. Em NameIdentifier location, a maioria das configurações terá a opção NameIdentifier is in Subject statement selecionada. Isso significa que o Workiva verificará a presença do elemento NameIdentifier na declaração Subject.

No entanto, você pode selecionar a opção NameIdentifier está em um atributo de elemento diferente e inserir o atributo de elemento NameIdentifier, para que o aplicativo procure o atributo na resposta SAML.

Nota: A maioria dos administradores de segurança da organização não alterará o local do NameIdentifier do padrão. Antes de efetuar alterações, entre em contato com o Suporte da Workiva para obter assistência

Mapear usuários por meio da importação de arquivos

Clique em Definir mapeamentoe selecione Importar IDs SSO via arquivo para mapear usuários aos IDs SSO em um arquivo de mapeamento .csv (consulte Requisitos do arquivo de mapeamento .csv de ID SAML).

Não são necessários cabeçalhos no arquivo de mapeamento.
Todas as linhas serão processadas e as linhas inválidas serão ignoradas.
Caso haja nomes de usuário duplicados, apenas a primeira linha com esse nome de usuário será utilizada.
Se um nome de usuário fornecido já tiver um mapeamento existente, seu mapeamento será atualizado para o que estiver fornecido no arquivo de mapeamento.
Se linhas forem ignoradas, as falhas serão registradas no log de atividades de logon único SAML.

Usuários do mapa individualmente

Se você precisar definir ou editar IDs SSO para usuários individualmente, pesquise o usuário e/ou use o filtro Status do ID SSO para encontrar o usuário mais facilmente. Em seguida, na tabela, clique duas vezes no campo ID SSO ao lado do usuário e insira o ID SSO correto.

Após configurar o mapeamento de usuários, clique em Criar configuração para prosseguir.

Requisitos do arquivo de mapeamento SAML ID .csv

Uma linha válida no arquivo de mapeamento SAML ID .csv segue o seguinte formato:

samlId, nome de usuário

Uma linha pode ser inválida se:

Há menos de dois itens na linha
A ID SAML e/ou o nome de usuário não são fornecidos
O nome de usuário fornecido não existe
O usuário com o nome de usuário fornecido não é um membro da organização
A organização principal do usuário com o nome de usuário fornecido não é a mesma que a organização que está sendo modificada no momento
A ID SAML fornecida já foi usada por um usuário diferente

Um exemplo de arquivo de mapeamento válido é o seguinte:

exemploSamlId, exemploNomeDeUsuário exemploSamlId2, exemploNomeDeUsuário2 exemploSamlId3, exemploNomeDeUsuário3

Etapa 6: Ative sua configuração de SSO SAML

Após criar sua configuração de SSO SAML, você precisará ativá-la explicitamente para que a configuração entre em vigor.

Clique em Ativar na configuração. Sua configuração será exibida como Ativa.

AzureID Activation x2 callout.png

Etapa 7: Atualize as opções de autenticação SSO SAML

A Workiva recomenda enfaticamente que você obrigue os usuários a fazer login usando SSO (Single Sign-On) como uma prática recomendada para simplificar o processo de login e proporcionar uma experiência geral melhor. Após criar e ativar sua configuração de SSO SAML:

Na aba Single sign-on, a seção Force SSO and exceptions apresenta duas opções de autenticação:
- Forçar usuários a fazer login usando SSO (Recomendado): Usuários sem privilégios de administrador são forçados a usar SSO, enquanto os administradores de segurança da organização podem continuar a fazer login usando seu nome de usuário e senha. Essa opção é ideal se sua empresa deseja impor o SSO, mas ainda permitir que os administradores de segurança da organização acessem a plataforma caso o SSO apresente algum problema.
  
  Nota: Certifique - se de realizar testes abrangentes e de ter total confiança na sua configuração de SSO SAML antes de ativar esta opção.
- Forçar administradores de segurança da organização a entrar usando SSO: Os administradores de segurança da organização são forçados a usar SSO. Essa opção é mais adequada se as políticas de segurança da empresa não isentarem os usuários da exigência de SSO (Single Sign-On). Para ativar esta opção, você também precisará marcar Forçar usuários a fazer login usando SSO.
Após selecionar suas opções, clique em Salvar.

Se desejar, você pode permitir que usuários específicos façam login sem SSO SAML adicionando-os à lista de exceções deSSO .

Nota: Antes de forçar o SSO SAML, certifique-se de adicionar os usuários necessários à lista de exceções de SSO para evitar o bloqueio de suas contas.

Configure o SSO SAML com seu provedor de identidade.

O administrador do seu provedor de identidade pode consultar as etapas abaixo para saber como configurar o SSO SAML com provedores de identidade comuns.

Okta
Azure

Recursos suportados

SSO iniciado pelo SP
SSO iniciado pelo IdP
SLO (Single Logout) iniciado pelo IdP
Lista de exceções de SSO
Criptografia de Asserção Opcional

Passo 1: Adicione a integração

Faça login no portal de administração do Okta e, em Aplicativos, selecione Procurar catálogo de aplicativos.
No Catálogo de Integração de Aplicativos , procure por Workiva e selecione-o. Em seguida, clique em Adicionar integração.
Defina as configurações gerais de acordo com suas políticas e procedimentos de TI. Em seguida, clique em Next.

Etapa 2: Insira os metadados do Okta no Workiva.

Na seção SAML 2.0, deixe o Default Relay State em branco. Baixe o arquivo XML de metadados para fazer o upload no Workiva conforme descrito em Etapa 4 em Workiva: Insira os metadados do seu provedor de identidade no Workiva.
Uma forma de baixar o arquivo XML é copiar a URL dos metadados, colá-la em um navegador e, em seguida, salvar a página como um arquivo XML.

Etapa 3: Insira os metadados do Workiva no Okta

Usando os URLs do Workiva encontrados em Etapa 3 no Workiva: Envie os metadados do Workiva para o administrador do seu provedor de identidade:

Copie e cole o URL do Workiva ACS no campo URL do Okta ACS.
Copie e cole o URL de audiência do Workiva no campo URL de audiência do Okta

Etapa 4: Edite os atributos e as declarações.

Nos atributos e declarações do Okta, recomenda-se que você faça a correspondência entre o nome de usuário da Workiva (sem distinção entre maiúsculas e minúsculas) e o atributo Primary NameID, para que a Workiva mapeie automaticamente o atributo para o nome de usuário da Workiva quando o usuário fizer login com o SSO pela primeira vez. No entanto, esse mapeamento depende das suas políticas de TI específicas.

Se esses atributos não corresponderem, você precisará mapear manualmente o atributo para o nome de usuário correspondente , conforme descrito na Etapa 5 do Workiva: Definir mapeamento de usuário antes que o usuário possa fazer login com SSO.

Processo SSO iniciado pelo SP

O processo de login é iniciado a partir do URL do SP app.wdesk.com, eu.wdesk.com ou apac.wdesk.com da sua organização principal.

A partir do seu navegador, acesse a página de login da Workiva.
Insira seu nome de usuário do Workiva.
Clique em "Entrar com autenticação única".
Você será redirecionado para a página de login da sua organização.
Insira suas credenciais e supere quaisquer desafios adicionais exigidos pelas políticas da sua organização.
Você será redirecionado para o Workiva e fará login na interface.

Etapa 1: Criar o aplicativo

Entre no portal de administração do Azure e acesse ID do Microsoft Enterprise > Aplicativos empresariais.
Clique em New application.
Procure por Workiva e selecione-o.
Tenha em mente que, se você planeja implementar o SCIM, precisará criar um aplicativo personalizado.
Dê um nome ao aplicativo e clique em Create.
Quando o aplicativo for criado, vá para Single sign-on > SAML.

Etapa 2: Insira os metadados do Workiva no Microsoft Azure.

Edite a Configuração SAML básica.
Usando os URLs do Workiva encontrados em Etapa 3 no Workiva: Envie os metadados do Workiva para o administrador do seu provedor de identidade:
1. Copie e cole o identificador Workiva (ID da entidade) no campo Identificador Azure (ID da entidade).
2. Copie e cole o URL de resposta do Workiva no campo URL de resposta do Azure (URL do serviço de consumidor de asserção).
3. (Opcional) Copie e cole o URL de login do Workiva no campo URL de login do Azure .
4. Deixe o campo Relay State em branco.
5. (Opcional) Copie e cole o URL de logout do Workiva no campo URL de logout do Azure .

Etapa 3: Edite os atributos e as declarações.

Depois de salvar a configuração, edite os Atributos e Reivindicações. Recomenda-se que o nome de usuário do Workiva (sem distinção entre maiúsculas e minúsculas) corresponda ao atributo NameID principal, para que o Workiva mapeie automaticamente o atributo para o nome de usuário do Workiva quando o usuário fizer login com SSO pela primeira vez. No entanto, esse mapeamento depende das suas políticas de TI específicas.

Se esses atributos não corresponderem, você precisará mapear manualmente o atributo para o nome de usuário correspondente , conforme descrito na Etapa 5 do Workiva: Definir mapeamento de usuário antes que o usuário possa fazer login com SSO.
A Workiva analisa apenas a reivindicação obrigatória Unique User Identifier (NameID) para os usuários e todas as reivindicações adicionais serão ignoradas.

Etapa 4: Insira os metadados do Microsoft Azure no Workiva.

Se você estiver inserindo os metadados do Microsoft Azure no Workiva por meio da URL de metadados de federação, poderá encontrar essa URL na configuração do SSO SAML do Azure.

Se você estiver inserindo os metadados do Microsoft Azure no Workiva por meio de um arquivo XML de metadados, na seção Certificados SAML, clique em Download ao lado de XML de metadados de federação. Em seguida, carregue o arquivo XML de metadados no Workiva.

Nota: Se você estiver usando o Microsoft Azure como seu provedor de identidade, certifique-se de que o campo URL de login do Workiva(em Opções avançadas) esteja em branco, caso contrário, ocorrerão erros de login.

Se você deseja uma URL de logout( nas opções avançadas), mas esse valor não é encontrado no arquivo de metadados XML que você carregou, você precisará colar esse valor manualmente.

O que vem a seguir?

Suporte

Comunidade

Centro de suporte da Workiva