Início de Sessão Único (SSO) no Quire Permalink

Traduzido por IA
· Ver em inglês

O Início de Sessão Único (SSO) está disponível apenas no plano Empresarial. Mais informações na nossa página de preços.

O Início de Sessão Único (SSO) no Quire permite aos membros autenticar-se através de um Fornecedor de Identidade (IdP) centralizado usando SAML 2.0. Os fornecedores suportados incluem Okta, OneLogin, Azure AD B2C e qualquer outro IdP compatível com SAML 2.0.

Visão Geral do SSO

O SSO permite que os utilizadores iniciem sessão no Quire com um único conjunto de credenciais através do seu Fornecedor de Identidade, sem necessidade de gerir uma palavra-passe separada do Quire.

Com o SSO ativado para a sua organização no Quire:

  • Os membros iniciam sessão através do fornecedor de identidade da empresa
  • Não é necessária uma palavra-passe separada do Quire
  • A autenticação é centralizada e mais segura
  • A gestão de acessos fica simplificada para os administradores de TI


O Quire suporta autenticação SAML 2.0 e funciona com:

  • Okta
  • OneLogin
  • Azure AD B2C
  • Qualquer IdP que suporte SAML 2.0


Uma vez ativado o SSO, os membros da organização iniciarão sessão via IdP em vez de usarem uma palavra-passe do Quire.

Configurar o Fornecedor de Identidade (IdP)

Antes de ativar o SSO no Quire, deve primeiro configurar o seu Fornecedor de Identidade.

Passo 1: Criar uma aplicação SAML 2.0

  1. Inicie sessão na consola de administração do seu Fornecedor de Identidade.
  2. Crie uma nova aplicação SAML 2.0.
  3. Introduza os detalhes de configuração SAML a seguir:
Atributo SAML Mapear para o seu fornecedor de identidade
https://quire.io/sso/login URL do Serviço de Consumo de Asserções SAML (ACS) da aplicação
https://quire.io/sso/metadata SP ID da Entidade da aplicação
Endereço de e-mail do membro Formato de Name ID

Passo 2: Recolher os detalhes SAML necessários

Após criar a aplicação, copie as informações a seguir:

  • URL do Provedor de Identidade
  • ID da Entidade
  • Certificado X.509 em Base64

Passo 3: Atribuir utilizadores no seu Fornecedor de Identidade

  1. Adicione utilizadores ou grupos à aplicação SAML do Quire recém-criada.
  2. Certifique-se de que as permissões de acesso adequadas estão atribuídas.


Os utilizadores devem ser atribuídos no IdP antes de poderem autenticar-se via SSO.

Configurar o SSO no Quire

Passo 1: Abrir as definições da organização

  1. Clique no ícone do menu pendente junto ao nome da sua organização.
  2. Selecione Opções.

definições da organização

Passo 2: Ativar autenticação SAML

  1. Vá ao separador Segurança.
  2. Ative a Autenticação SAML.

Ativar autenticação SAML nas definições de segurança da organização do Quire

Passo 3: Introduzir os detalhes de configuração SAML

  1. Cole o URL do Provedor de Identidade.
  2. Introduza o ID da Entidade.
  3. Cole o certificado X.509 em Base64.
  4. Clique em Teste SSO para verificar a configuração.
  5. Se for bem-sucedido, clique em Guardar.

configuração SAML

SSO obrigatório vs. opcional

Pode configurar o SSO como:

  • Obrigatório – Todos os membros devem iniciar sessão via SSO.
  • Opcional – Os membros podem iniciar sessão com palavra-passe ou via SSO.

Nota: Os administradores da organização devem sempre iniciar sessão com a sua palavra-passe do Quire.

Uma vez configurado com sucesso, os membros deixarão de precisar de uma palavra-passe separada do Quire.

Integração com Azure AD B2C

Passo 1: Configurar o Azure AD B2C

  1. Inicie sessão no Portal do Azure.
  2. Crie políticas personalizadas.
  3. Registe uma aplicação SAML.
  4. Configure fluxos de utilizador para autenticação.


Siga a documentação oficial da Microsoft para instruções detalhadas de configuração.

Passo 2: Configurar o formato NameID

O Quire requer que o formato NameID seja:

  • userPrincipalName ou
  • email


Não use objectId.

Se usar userPrincipalName, modifique:

  • TrustFrameworkBase.xml
  • SignUpOrSigninSAML.xml


Exemplo de TrustFrameworkBase.xml:

<!-- The following technical profile is used to read data after user authenticates. -->
<TechnicalProfile Id="AAD-UserReadUsingObjectId">
  <Metadata>
    <Item Key="Operation">Read</Item>
    <Item Key="RaiseErrorIfClaimsPrincipalDoesNotExist">true</Item>
  </Metadata>
  <IncludeInSso>false</IncludeInSso>
  <InputClaims>
    <InputClaim ClaimTypeReferenceId="objectId" Required="true" />
  </InputClaims>
  <OutputClaims>

    <!-- Optional claims -->
    <OutputClaim ClaimTypeReferenceId="signInNames.emailAddress" />
    <OutputClaim ClaimTypeReferenceId="displayName" />
    <OutputClaim ClaimTypeReferenceId="otherMails" />
    <OutputClaim ClaimTypeReferenceId="givenName" />
    <OutputClaim ClaimTypeReferenceId="surname" />
    <OutputClaim ClaimTypeReferenceId="userPrincipalName" /> <!-- add -->
  </OutputClaims>
  <IncludeTechnicalProfile ReferenceId="AAD-Common" />
</TechnicalProfile>


Exemplo de SignUpOrSigninSAML.xml:

<RelyingParty>
  <DefaultUserJourney ReferenceId="SignUpOrSignIn" />
  <TechnicalProfile Id="PolicyProfile">
    <DisplayName>PolicyProfile</DisplayName>
    <Protocol Name="SAML2"/>
    <OutputClaims>
      <OutputClaim ClaimTypeReferenceId="displayName" />
      <OutputClaim ClaimTypeReferenceId="givenName" />
      <OutputClaim ClaimTypeReferenceId="surname" />
      <OutputClaim ClaimTypeReferenceId="email" DefaultValue="" />
      <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="" />
      <OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="objectId"/>
      <OutputClaim ClaimTypeReferenceId="userPrincipalName" PartnerClaimType="userPrincipalName"/> <!-- add -->
    </OutputClaims>
    <SubjectNamingInfo ClaimType="userPrincipalName" ExcludeAsClaim="true"/> <!-- modify -->
  </TechnicalProfile>
</RelyingParty>


Se pretender alterar o formato para email, pode consultar este recurso para orientações adicionais.

Passo 3: Obter as informações necessárias do Azure

Após a configuração, recolha:

  • URL de Metadados
  • URL do Provedor de Identidade
  • ID da Entidade
  • Certificado X.509 em Base64


Abaixo estão exemplos do aspeto que estas informações podem ter:

  • Metadados: https://your-tenant.b2clogin.com/your-tenant.onmicrosoft.com/B2C_1A_signup_signin_saml/samlp/metadata
  • URL do Provedor de Identidade: https://your-tenant.b2clogin.com/your-tenant.onmicrosoft.com/B2C_1A_signup_signin_saml/samlp/sso/login
  • ID da Entidade: Definido em TrustFrameworkExtensions.xml (<Item Key="IssuerUri">). Por exemplo, https://your-tenant.onmicrosoft.com/quire
  • Certificado X.509 em Base64: Extraia dos metadados <X509Certificate> MIIDizCCAnOgAwIBAgIUU9ndt…


De seguida, siga os passos em Configurar o SSO no Quire.

Resolução de problemas do SSO

Se um membro alterar o seu endereço de e-mail no Quire, não conseguirá iniciar sessão via SSO até que o novo e-mail seja atualizado no Fornecedor de Identidade.

Para resolver este problema:

  1. Atualize o endereço de e-mail do membro no Fornecedor de Identidade.
  2. Certifique-se de que o NameID corresponde ao e-mail atualizado.
  3. Peça ao membro que tente iniciar sessão novamente.

Leia mais no nosso blogue sobre o Início de Sessão Único com Quire.

Perguntas Frequentes

Que fornecedores de identidade suporta o SSO do Quire?

Qualquer IdP compatível com SAML 2.0, incluindo Okta, OneLogin e Azure AD B2C. O SSO está disponível apenas no plano Empresarial.

Como ativo o SSO no Quire?

Configure uma aplicação SAML 2.0 no seu IdP usando o URL ACS do Quire (https://quire.io/sso/login) e o ID da Entidade (https://quire.io/sso/metadata), recolha o URL do IdP, o ID da Entidade e o certificado, depois vá a Opções da organização > separador Segurança, ative a Autenticação SAML, cole esses dados, clique em Teste SSO e guarde.

Posso tornar o SSO obrigatório ou opcional para a minha organização no Quire?

Sim. Obrigatório força todos os membros a iniciar sessão via IdP. Opcional permite que os membros escolham entre a sua palavra-passe do Quire ou SSO.

Os administradores da organização têm de usar SSO no Quire?

Não. Os administradores iniciam sempre sessão com a sua palavra-passe do Quire, mesmo quando o SSO está definido como Obrigatório para os outros membros.

O que devo fazer se um membro não conseguir iniciar sessão via SSO após mudar o e-mail?

Atualize o e-mail do membro no Fornecedor de Identidade para que o NameID corresponda ao novo endereço. O membro poderá então iniciar sessão via SSO novamente.

Que formato NameID o Quire requer para o SSO do Azure AD B2C?

Use userPrincipalName ou email. Não use objectId — causará falhas de autenticação.

Os clientes podem iniciar sessão no Quire com contas de redes sociais como o Facebook ou o LinkedIn?

Sim, através da integração com o Azure AD B2C. Os fornecedores suportados incluem Facebook, X (anteriormente Twitter), LinkedIn, contas Microsoft e contas de identidade locais.

Última Atualização:

Por favor, contacte-nos caso necessite de mais assistência.