A Security Assertion Markup Language (SAML) fornece à sua equipe acesso seguro ao monday.com (SP) através do provedor de identidade (IdP) de sua escolha. Funciona transferindo a identidade de um membro da equipe de um lugar, seu provedor de identidade, para outro, o monday.com. É possível habilitar o SAML no monday.com em apenas alguns passos.
Configure seu provedor de identidade
Antes de configurar o SAML SSO no monday.com, você deve primeiro configurar uma conexão SSO do monday.com, também conhecida como conector, com seu provedor de identidade. O monday.com atualmente suporta três provedores principais: Okta, Entra ID (anteriormente Azure AD) e OneLogin. Você também pode usar um provedor personalizado.
- Para habilitar o SAML com Okta, veja o artigo relevante.
- Para habilitar o SAML usando OneLogin, veja o artigo relevante.
- Entra ID (anteriormente Azure AD), veja o artigo relevante.
- Para habilitar o SAML usando SAML 2.0 personalizado, veja o artigo relevante.
Agora que você completou esta etapa, pode fazer login em sua conta do monday.com para continuar configurando o SAML SSO. Siga os passos abaixo para prosseguir.
Configurar SAML SSO para monday.com
Uma vez que você tenha configurado seu provedor de identidade, você só precisa habilitar o SAML no monday.com. Para fazer isso, clique na sua foto de perfil no canto superior direito da sua tela, e então selecione Administração.
Uma vez que você esteja na seção de administração, selecione a seção Segurança no lado esquerdo. Clique em Single Sign-On (SSO) na aba Políticas de autenticação. Em seguida, clique em Adicionar política de SSO. Usaremos Okta em nosso exemplo, mas você pode selecionar qualquer outra opção.
Selecione seu provedor de identidade na lista:
Preencha os seguintes campos com dados do seu provedor de identidade:
- URL do SSO SAML
- Emissor do provedor de identidade
- Certificado público
Teste sua conexão SSO
Uma vez que você tenha preenchido todos os detalhes necessários para seu provedor de SSO, é hora de testar sua conexão. Esta etapa é obrigatória antes de habilitar o SAML em sua conta ou antes de fazer quaisquer outras alterações. Clique em Testar conexão SSO.
Ativar provedor de SSO
Após seguir os passos acima, é hora de ativar seu provedor de SSO. Clique em Adicionar provedor de SSO, e então todos os membros da equipe do monday.com receberão um e-mail explicando como fazer login usando o provedor de SSO selecionado.
Ajustar política de e-mail e senha
Os administradores têm maior flexibilidade na gestão das políticas de login, incluindo a capacidade de personalizar as políticas de e-mail e senha. Esta configuração facilita a exclusão de membros específicos da equipe da exigência de SSO, oferecendo uma solução flexível para adaptar as preferências de login às necessidades únicas da sua equipe.
Ao clicar nos três pontos ao lado da seção Email e senha e selecionar Editar, o administrador pode selecionar membros da política para definir a quem a política de e-mail e senha se aplica—todos ou apenas algumas pessoas (por exemplo, convidados, um único usuário).
Antes de ativar o SSO, a política de e-mail e senha não pode ser modificada. Por padrão, após a ativação do SSO, a política de e-mail e senha muda de Todos para Convidados.
Existem duas opções na seção de política de e-mail e senha:
Opção 1: Todos os usuários (incluindo convidados) podem fazer login no monday.com usando a política de e-mail e senha.
Opção 2: Apenas algumas pessoas (convidados, um único usuário ou ambos) podem usar a política de e-mail e senha para fazer login no monday.com.
Escolher Convidados sob Apenas algumas pessoas permitiria que convidados fizessem login usando a política de e-mail e senha (não apenas SSO). Esta é a opção de política mais comumente usada, já que convidados são frequentemente usuários externos não gerenciados pela TI interna de uma organização.
Escolher Um único usuário sob Apenas algumas pessoas significaria que apenas um membro da equipe escolhido pode fazer login usando a opção de e-mail e senha (não apenas SSO).
Se aplicável à política de segurança da sua empresa, recomenda-se usar as opções Convidados ou Convidados e um único usuário sob os membros da política Apenas algumas pessoas. Isso significa que todos os usuários da conta, além de convidados e do único usuário designado, devem fazer login via SSO. Convidados podem ser convidados para quadros compartilháveis e fazer login usando um e-mail e senha normalmente. Nesse caso, os e-mails dos convidados não precisam estar ativos no IDP da conta para fazer login. A opção de único usuário fornece flexibilidade adicional, permitindo que um membro da equipe faça login com um endereço de e-mail e senha para acesso de emergência, se necessário.
Provisionamento
Por padrão, o monday.com usa provisionamento Just In Time, o que significa que um usuário é criado no monday.com ao fazer o primeiro login, caso não exista.
Se você deseja habilitar o provisionamento SCIM, gere o token e siga as instruções do seu IDP para habilitar isso. O monday.com suporta fluxo iniciado pelo IDP ou fluxo iniciado pelo SP. Temos um aplicativo oficial do monday.com no catálogo de aplicativos da Okta. Para habilitar, veja o artigo relevante.
Além disso, temos um aplicativo oficial do monday.com no catálogo de aplicativos da OneLogin. Para habilitá-lo, veja o artigo relevante.
Por fim, temos um aplicativo oficial do monday.com no catálogo de aplicativos da Entra ID. Para habilitá-lo, veja o artigo relevante.
O que acontecerá uma vez que seu SSO esteja habilitado?
Uma vez que o SSO esteja habilitado na conta, cada administrador receberá um e-mail notificando que o SSO foi ativado.
Aqui está um exemplo do e-mail:
Erros comuns após fazer login no seu provedor de SSO
Alguns membros da equipe podem ter dificuldades ao usar o SSO. Por exemplo, após inserir suas credenciais na página de login do provedor de SSO, em vez de serem redirecionados de volta para a página do monday.com, o membro da equipe pode ver uma mensagem de erro dizendo que o usuário logado ‘[email protected]’ não está atribuído a um papel para a aplicação (a redação pode ser ligeiramente diferente dependendo do provedor de SSO). Isso significa que os administradores da conta devem fazer login no provedor de SSO que sua equipe usa e adicionar esse usuário à conta do monday.com.
Outro problema comum ocorre quando um usuário altera seu endereço de e-mail, levando a um erro quando tentam fazer login. Vamos abordar isso na seção seguinte.
O que acontece quando o endereço de e-mail de um usuário muda?
Quando um usuário faz login no monday.com via SSO, uma conexão de back-end é estabelecida entre o provedor de identidade (IDP) e o ID do usuário no monday.com. A conexão, chamada de UID (ID do usuário), vincula a identidade de um indivíduo no IDP (seu nome e endereço de e-mail) ao endereço de e-mail associado ao usuário no monday.com.
Portanto, se um usuário mudar seu endereço de e-mail, ele não poderá fazer login no monday.com até que seu UID (ID do usuário) seja redefinido. O motivo é que o UID está vinculado ao endereço de e-mail anterior do usuário, e quando o e-mail é atualizado, ele não será automaticamente vinculado ao UID existente. Portanto, redefinir o UID permitirá a “quebra” da conexão anterior e criará um novo vínculo entre o UID e o endereço de e-mail recém-alterado.
Passos a serem seguidos quando o e-mail de um usuário muda
Se o endereço de e-mail de um usuário mudar, siga os dois passos abaixo, e ele deverá conseguir fazer login na conta novamente.
1Mudar o e-mail do usuário no provedor de identidade e no monday.com
É importante que o endereço de e-mail do usuário seja alterado no lado do provedor de identidade e no monday.com. Para mudar seu endereço de e-mail no monday.com, o usuário relevante pode seguir os passos descritos em este artigo.
Nota: Quando um administrador altera o endereço de e-mail de um usuário, o usuário precisará confirmar seu novo endereço de e-mail.
2 Redefinindo o UID do usuário
Uma vez que o e-mail de um usuário tenha sido atualizado no IDP e no monday.com, é hora de redefinir seu UID. Para fazer isso, entre na aba gerenciamento de usuários da seção de administração da conta. A partir daí, localize o usuário que alterou seu endereço de e-mail, clique no menu de três pontos à esquerda do nome dele e selecione Redefinir UID SSO:
Uma vez que isso tenha sido selecionado, o usuário deverá conseguir fazer login com sucesso em sua conta do monday.com usando seu novo endereço de e-mail.
Edição de domínios de e-mail de vários usuários ao mesmo tempo
Como administrador, você pode atualizar em massa o domínio de e-mail para vários usuários ao mesmo tempo e ter seus UIDs de SSO redefinidos instantaneamente.
Para fazer isso, comece acessando a seção de gerenciamento de usuários da sua conta. Em seguida, selecione os usuários relevantes marcando a caixa à esquerda dos ícones deles e clique em Mudar domínio de e-mail no painel inferior. Em seguida, insira o novo domínio de e-mail e clique em Mudar domínio de e-mail. Juntamente com a atualização do domínio de e-mail, o UID de SSO também será redefinido para esses usuários.
Uma vez que os usuários selecionados confirmem a alteração de seu endereço de e-mail atual, você estará pronto.
Nota: Realizar esta ação não altera o prefixo dos e-mails (o que vem antes do @).
Ficou com alguma dúvida? Acione o suporte oficial a qualquer momento.
Para soluções completas de implantação, treinamento e estruturação de workflows no Brasil, conte com a Audatia, parceira oficial da monday.com. Descubra como podemos ajudar →
