Guia de Configuração de SSO OpenID Connect

Para configurar o OIDC SSO no Adalo Blue, você precisará de acesso administrativo a uma conta em um IdP compatível com OIDC e uma assinatura ativa do Adalo Blue. Adalo é um construtor de aplicativos sem código para aplicativos web orientados a banco de dados e aplicativos nativos iOS e Android—uma versão em todas as três plataformas, publicada na Apple App Store e Google Play.

• O Que Você Precisa: Acesso administrativo a um IdP compatível com OIDC (por exemplo, Okta, Auth0) e um plano Adalo Blue Team ($250/mês) ou Business ($250/mês).
• Visão Geral da Configuração:
  1. Registre o Adalo Blue em seu IdP e colete o ID do Cliente, Segredo do Cliente e Ponto de Extremidade de Descoberta.
  2. Configure o Adalo Blue com esses detalhes e mapeie as declarações de usuário (por exemplo, email, sub) para propriedades do aplicativo.
  3. Teste a conexão usando as ferramentas integradas do Adalo Blue para garantir a autenticação adequada.
  4. Ative o SSO e compartilhe a URL de login com sua equipe.

Dica Profissional: Use o Fluxo de Código de Autorização para autenticação segura e garanta que os escopos openid, email, e profile estejam ativados. Mantenha sua configuração atualizada rotacionando chaves regularmente e monitorando as configurações do IdP.

Este guia orienta você em cada etapa, desde a configuração de seu IdP até o teste e ativação do SSO no Adalo Blue, garantindo uma integração tranquila e segura.

Pré-requisitos para Configurar OIDC SSO no Adalo Blue

Contas e Permissões Necessárias

Para configurar o OIDC SSO no Adalo Blue, você precisará de acesso administrativo a uma conta em um plano Team ($250/mês) ou Business ($250/mês). Esses planos incluem a funcionalidade de SSO necessária para integração. Observe que o plano Professional ($36/mês), embora ofereça integração avançada de API, não oferece suporte completo aos recursos de SSO.

Além disso, você deve ter acesso administrativo a um Provedor de Identidade (IdP) compatível com OIDC, como Okta, Auth0 ou Azure AD. Este acesso permite que você crie integrações, configure URIs de redirecionamento e gere credenciais do cliente. Depois de confirmar suas permissões e contas, você pode começar a reunir os detalhes necessários do seu IdP.

Informações que Você Precisará do Seu IdP

Após registrar o Adalo Blue como uma aplicação em seu IdP, colete estas partes críticas de informação:

• Client ID: Este é o identificador público de sua aplicação.
• Client Secret: Uma chave privada usada para autenticar o Adalo Blue com seu IdP. Trate isso como uma senha e mantenha-a segura.
• Ponto de Extremidade de Descoberta: Geralmente termina com /.well-known/openid-configuration e fornece detalhes de configuração automaticamente.

Para garantir que tudo esteja configurado corretamente, cole a URL do Ponto de Extremidade de Descoberta em um navegador. Ele deve retornar um objeto JSON com metadados de conexão. Confirme que seu IdP está configurado para compartilhar os escopos openid, profile, e email - esses são necessários para mapear as declarações de usuário corretamente no Adalo Blue. Depois de reunir esses detalhes, você estará pronto para passar para a configuração do Adalo Blue.

Acesso à Configuração do Adalo Blue

Com seus detalhes de IdP em mãos, faça login no Adalo Blue para começar a configuração de SSO. Vá para a seção Configurações (procure pelo ícone de varinha mágica na barra lateral) para acessar as opções de configuração de SSO. Aqui, você encontrará configurações de integração e segurança onde poderá inserir suas credenciais de IdP e gerenciar protocolos de autenticação.

O Adalo Blue fornecerá uma URI de Redirecionamento em suas configurações. Copie esta URI e cole-a nas configurações de aplicativo do seu IdP para garantir que as respostas de autenticação sejam direcionadas para o ponto de extremidade correto. Verifique novamente se todos os seus detalhes de IdP estão preparados antes de entrar no painel de configuração do Adalo Blue.

Como Configurar o OpenID Connect SSO

Configure Seu Provedor de Identidade (IdP)

Comece fazendo login em sua conta de Provedor de Identidade (IdP) com acesso administrativo. Se você está usando Okta, Auth0, Azure AD ou outro provedor compatível com OIDC, a configuração geralmente segue um processo similar. Primeiro, crie uma nova integração de aplicativo, selecione OIDC – OpenID Connect como o método de login e escolha Aplicativo Web para o tipo de aplicativo.

Em seguida, selecione o tipo de concessão Código de Autorização . Este fluxo é altamente recomendado para integrações baseadas em web como Adalo Blue, pois garante autenticação segura no lado do servidor. Do seu painel do Adalo Blue, copie a URL de retorno de chamada e cole-a no campo "URIs de redirecionamento de login" do seu IdP. Esta URL é crítica - ela instrui o IdP a enviar usuários de volta para seu aplicativo após autenticação bem-sucedida.

Você também precisará configurar os escopos necessários. No mínimo, inclua o escopo openid junto com profile e email para garantir que o IdP compartilhe informações essenciais do usuário. Depois de salvar a aplicação, seu IdP gerará um Client ID e Client Secret. Certifique-se de copiar esses valores imediatamente, pois você precisará deles para a próxima etapa.

Insira Detalhes de OIDC no Adalo Blue

Acesse a Configurações seção no Adalo Blue clicando no ícone de varinha mágica na barra lateral. Localize o painel de configuração de SSO, onde você encontrará campos para inserir seu ID do Cliente, Segredo do Cliente e URL do Emissor. Cole o ID do Cliente e Segredo do Cliente do seu IdP nos campos respectivos. Lembre-se, o Segredo do Cliente é informação sensível - trate-o como uma senha e evite compartilhá-lo ou armazená-lo de forma insegura.

Para a URL do Emissor, use o ponto de extremidade de descoberta do seu IdP, que geralmente termina com /.well-known/openid-configuration. Esta URL permite que o Adalo Blue recupere e configure automaticamente pontos de extremidade principais, como Autorização, Token e UserInfo, reduzindo o risco de erros manuais. Verifique novamente que o URI de redirecionamento no Adalo Blue corresponde exatamente àquele que você inseriu em seu IdP - qualquer inconsistência, mesmo menor, pode levar a problemas de autenticação. Depois que esses detalhes forem inseridos, prossiga para mapear declarações e funções de usuário para concluir a configuração.

Mapear Reivindicações e Funções de Usuário

A etapa final é mapear os atributos do usuário do seu IdP para as propriedades de usuário do Adalo Blue. Quando um usuário faz login, o IdP envia um token de ID contendo reivindicações - pedaços de informações verificadas sobre o usuário.

Nas configurações de SSO do Adalo Blue, localize o campo de chave de reivindicação de nome de usuário campo. Isso determina qual reivindicação do IdP servirá como o identificador único do usuário. As opções comuns incluem sub ou email. Para confirmar qual reivindicação seu IdP envia, ative o recurso Visualizar reivindicações. Esta ferramenta permite que você inspecione as reivindicações sendo enviadas, garantindo que as informações se alinhem com os requisitos do seu sistema.

Reivindicação OIDC	Propriedade de Usuário do Adalo Blue	Descrição
sub	ID do Usuário / Identificador Único	O identificador único para o usuário
email	Email	O endereço de e-mail verificado do usuário
given_name	Primeiro Nome	O nome ou nome próprio do usuário
family_name	Sobrenome	O sobrenome ou nome de família do usuário
groups	Funções / Permissões	Reivindicação opcional para controle de acesso baseado em funções

Se seu aplicativo exigir controle de acesso baseado em funções, configure seu IdP para incluir uma groups ou roles reivindicação no token de ID. O Adalo Blue pode usar esta reivindicação para atribuir automaticamente permissões aos usuários no login. Mantenha o recurso Visualizar reivindicações ativado durante a configuração inicial para verificar se tudo foi mapeado corretamente. Quando estiver confiante de que a configuração está precisa, você pode desabilitar o recurso de visualização para uso regular.

Testar e Ativar SSO OIDC no Adalo Blue

Use a Ferramenta de Teste de SSO do Adalo Blue

Antes de implementar o SSO, é crucial testar a conexão em um ambiente controlado. Acesse a guia Testar Conexão no painel de configuração de SSO do Adalo Blue e clique em Testar Login. Isso simulará um fluxo de SSO, abrindo uma nova janela que exibe o status da conexão, destaca quaisquer problemas e mostra a resposta completa do seu Provedor de Identidade (IdP).

A ferramenta de teste fornece informações detalhadas sobre as reivindicações enviadas pelo seu IdP. Estas incluem atributos padrão como sub, email, e name, bem como quaisquer funções personalizadas que você tenha configurado. Revise cuidadosamente esses dados para confirmar que todos os mapeamentos estão precisos. Fique tranquilo, o teste não afetará suas permissões.

Se o IdP enviar um "token fino" com informações de usuário incompletas, os resultados do teste sinalizarão este problema. Para resolvê-lo, configure um ponto de extremidade UserInfo (também chamado de URL de Token Fat) para recuperar o perfil de usuário completo.

Certifique-se de resolver quaisquer problemas identificados durante o teste antes de prosseguir para a ativação.

Solucionar Problemas Comuns

Quando a conexão de teste falha, a ferramenta fornece avisos específicos para ajudá-lo a identificar o problema. Um problema frequente é um URI de Redirecionamento incompatível - até um pequeno erro de digitação ou caractere extra pode interromper a autenticação.

Problema Comum	Causa Provável	Etapa de Solução de Problemas
URI de Redirecionamento Inválido	Incompatibilidade entre IdP e Adalo Blue	Certifique-se de que o URI corresponda exatamente em ambos os painéis
Dados de Usuário Ausentes	Escopos incorretos ou ausentes	Verifique se openid, email, e profile escopos são solicitados
Perfil Incompleto	Tokens de ID finos do IdP	Configure uma URL UserInfo (Fat Token)
Falha na Sincronização de Funções	Sensibilidade a maiúsculas/minúsculas ou nomes de função inválidos	Corresponda as strings de função do IdP exatamente aos valores esperados
404 em Metadados	Ponto de extremidade de descoberta incorreto	Certifique-se de que a URL termina com /.well-known/openid-configuration

Verifique novamente se o aplicativo do IdP inclui os escopos necessários openid, email, e profile Teste a URL de descoberta no seu navegador para confirmar se ela retorna metadados JSON. Preste muita atenção ao mapeamento de funções, pois é sensível a maiúsculas e minúsculas - os nomes das funções devem corresponder exatamente. Ao testar atribuições de funções, comece com uma conta de não-administrador para evitar se bloquear acidentalmente do acesso administrativo.

Depois que todos os problemas forem resolvidos, você estará pronto para ativar o SSO.

Ativar SSO OIDC para Sua Equipe

Depois de passar em todos os testes, ative o SSO alternando o Permitir autenticação SSO alternador no painel de configurações. Verifique novamente o mapeamento de funções para garantir que não sobrescrevam nenhuma atribuição manual.

A seguir, faça logout e teste o fluxo de SSO para confirmar que tudo funciona conforme esperado. Depois de verificado, compartilhe a URL de login de SSO exclusiva com sua equipe.

Para evitar ser bloqueado durante a implantação, mantenha um método de login administrativo secundário ativo até que você tenha certeza de que vários membros da equipe possam se autenticar com sucesso via SSO. Essa precaução garante uma transição tranquila para sua equipe.

Como Configurar Single Sign-On usando OIDC e OAuth2.0 no Entra ID com aplicativos de terceiros

Melhores Práticas para SSO OIDC Seguro e Escalável

Depois que sua configuração de SSO OIDC for testada, é hora de fortalecer e expandir sua integração com essas práticas essenciais.

Proteja Sua Configuração

Proteja seus segredos implementando rotação regular de chaves. Para fazer a rotação de chaves, gere um novo segredo no seu Provedor de Identidade (IdP), atualize-o no Adalo Blue e desative o segredo antigo imediatamente.

Para aplicativos móveis e baseados em navegador, sempre use o Authorization Code Flow com PKCE. Isso ajuda a evitar a interceptação de tokens durante o processo de autenticação. Além disso, limite seus URIs de redirecionamento a URLs absolutos exatos. Evite usar subdomínios com caracteres curinga, pois podem expor seu sistema a ataques de redirecionamento de tokens por atores maliciosos.

Solicite apenas os escopos necessários, como openid, email, e profile. Para aplicativos destinados ao uso interno, você pode aprimorar a segurança restringindo logins ao domínio de email da sua organização. Esta medida simples bloqueia o acesso externo não autorizado.

Mantenha as Configurações de SSO Atualizadas

Provedores de Identidade como Okta frequentemente giram suas chaves de assinatura a cada 90 dias, embora este cronograma possa variar. Para se manter à frente, consulte periodicamente o /.well-known/jwks.json ponto final para atualizar chaves públicas. Use o /.well-known/openid-configuration ponto final de descoberta para automatizar atualizações para configurações como autorização e pontos finais de token. Isso minimiza erros manuais e garante que sua configuração permaneça atual.

Crie uma rotina para girar segredos do cliente e revisar suas configurações. Um cronograma trimestral funciona bem para a maioria das organizações, mas você pode precisar aumentar a frequência se houver sinais de exposição de credenciais. Durante o pico de uso, monitore os cabeçalhos de limite de taxa do seu IdP (por exemplo, X-Rate-Limit-Remaining) para evitar interrupções de serviço.

Com sua configuração segura e regularmente atualizada, você pode direcionar sua atenção para dimensionar o SSO para uso empresarial mais amplo.

Dimensionar SSO para Uso Empresarial

Aproveite o recurso groups reivindicação para mapear funções de usuário no Adalo Blue, o que simplifica o controle de acesso conforme sua base de usuários expande. Se um usuário pertencer a vários grupos, considere implementar um sistema de prioridade onde funções de nível superior, como Admin da Organização, substituem automaticamente as funções de nível inferior.

Para aplicativos B2B que servem múltiplas organizações, atribua credenciais de cliente OIDC exclusivas para cada cliente. Evite um sistema de credencial global único, pois pode complicar o gerenciamento e reduzir a segurança. Se você está lidando com uma base de usuários diversa, implemente a Descoberta de Realm Inicial (HRD). Este recurso roteia usuários para seu IdP empresarial específico com base no seu domínio de email, tornando o processo de login tranquilo.

Recurso de Segurança	Quando Usar	Benefício Principal
PKCE	Aplicativos móveis e de página única	Evita ataques de interceptação de código de autorização
Reivindicações de Grupo	Dimensionamento empresarial	Automatiza controle de acesso baseado em função
Filtragem de Domínio	Aplicativos internos/B2B	Limita o acesso apenas a usuários autorizados

Conclusão

Seguindo as etapas descritas anteriormente, OpenID Connect (OIDC) Single Sign-On (SSO) garante acesso seguro e eficiente para seu aplicativo.

Integrar SSO OIDC com Adalo Blue simplifica a autenticação por meio de provedores como Azure AD, Okta ou Google. O processo de configuração inclui registrar seu aplicativo com um Provedor de Identidade (IdP), configurar URIs de redirecionamento e alinhar reivindicações de usuário com suas propriedades de banco de dados. Depois que tudo estiver pronto, os usuários desfrutam de acesso com um clique e o gerenciamento de identidade centralizado simplifica o provisionamento de usuários.

OIDC emprega protocolos de segurança modernos como autenticação multifatorial e PKCE, ajudando a mitigar riscos de segurança enquanto reduz a carga de trabalho de TI.

Para equipes empresariais, uma única configuração oferece suporte a acesso tranquilo nas plataformas web, iOS e Android, proporcionando uma experiência consistente para os usuários. O mapeamento automático de funções e as configurações escaláveis facilitam o gerenciamento do crescimento sem complexidade adicional.

"O logon único representa uma tecnologia que oferece inúmeros benefícios, incluindo economia de custos para TI, maior satisfação dos funcionários e melhor experiência do cliente." - Explorance Blue

Com a configuração correta de SSO OIDC, seu aplicativo oferece acesso seguro e simplificado para usuários, controle centralizado para equipes de TI e segurança em nível empresarial - estabelecendo a base para crescimento sustentado.

Postagens de Blog Relacionadas

• Como Lançar Seu Primeiro App Móvel Sem Codificação
• Integrando Bancos de Dados SQL com Ferramentas Sem Código
• Permissões Baseadas em Funções para Ferramentas Internas
• Como Criar um App de Integração de Funcionários Sem Codificação

Perguntas Frequentes

O que torna o Authorization Code Flow com PKCE mais seguro para SSO OIDC?

O Authorization Code Flow com PKCE adiciona uma camada extra de segurança ao OpenID Connect Single Sign-On (SSO OIDC). Ao fazer isso, protege contra ataques de interceptação de código de autorização, garantindo que apenas o aplicativo cliente pretendido possa usar o código de autorização.

Este método é especialmente útil para clientes públicos como aplicativos de página única. Permite trocas de token seguras sem revelar dados confidenciais, reduzindo as chances de vazamento de token ou acesso não autorizado. Isso o torna uma abordagem confiável para proteger a autenticação do usuário.

Como resolver problemas comuns ao configurar OIDC SSO no Adalo Blue?

Para resolver desafios comuns durante a configuração do OpenID Connect (OIDC) SSO no Adalo Blue, comece revisando suas configurações. Certifique-se de que a URL de redirecionamento seja uma correspondência exata entre seu Provedor de Identidade (IdP) e Adalo. Verifique novamente se seu ID do cliente, segredo do clientee todas as URLs de endpoint - como autorização, token e informações do usuário - estão inseridos corretamente.

Se encontrar erros, examine cuidadosamente as mensagens de erro para obter detalhes úteis. Problemas como logins não reconhecidos podem exigir que você coloque sua URL de IdP na lista de permissões ou confirme que os domínios confiáveis estão configurados adequadamente em suas configurações. Testar em um navegador anônimo também pode ser útil para descartar qualquer interferência de dados em cache ou cookies.

Para orientações mais detalhadas, explore os recursos de suporte do Adalo ou consulte a documentação do seu IdP para verificar sua configuração e resolver problemas específicos.

Como manter minha configuração de OpenID Connect Single Sign-On (SSO) segura e atualizada?

Para manter a segurança e confiabilidade da sua configuração OpenID Connect SSO, é crucial atualizar periodicamente as credenciais do cliente, como IDs e segredos do cliente. Isso ajuda a reduzir o risco de acesso não autorizado. Além disso, certifique-se de ter processos robustos de validação de token e verificação de declarações em vigor para confirmar tanto a autenticidade do usuário quanto suas permissões.

Mantenha-se atualizado sobre diretrizes de segurança e atualizações fornecidas pelo seu provedor de identidade. Revise regularmente sua documentação e aplique as alterações recomendadas para resolver vulnerabilidades e fortalecer a segurança do seu sistema.