Logon Único (SSO) no Quire Permalink

Traduzido por IA
· Ver em inglês

O Logon Único (SSO) está disponível somente no plano Empresarial. Mais informações na nossa página de preços.

O Logon Único (SSO) no Quire permite que os membros se autentiquem por meio de um Provedor de Identidade (IdP) centralizado usando SAML 2.0. Os provedores suportados incluem Okta, OneLogin, Azure AD B2C e qualquer outro IdP compatível com SAML 2.0.

Visão Geral do SSO

O SSO permite que os usuários façam login no Quire com um único conjunto de credenciais por meio do seu Provedor de Identidade, sem precisar gerenciar uma senha separada do Quire.

Com o SSO ativado para a sua organização no Quire:

  • Os membros fazem login usando o provedor de identidade da empresa
  • Não é necessária uma senha separada do Quire
  • A autenticação é centralizada e mais segura
  • O gerenciamento de acessos fica simplificado para os administradores de TI


O Quire suporta autenticação SAML 2.0 e funciona com:

  • Okta
  • OneLogin
  • Azure AD B2C
  • Qualquer IdP que suporte SAML 2.0


Uma vez ativado o SSO, os membros da organização farão login pelo IdP em vez de usarem uma senha do Quire.

Configurar o Provedor de Identidade (IdP)

Antes de ativar o SSO no Quire, você deve primeiro configurar o seu Provedor de Identidade.

Passo 1: Criar um aplicativo SAML 2.0

  1. Faça login no console de administração do seu Provedor de Identidade.
  2. Crie um novo aplicativo SAML 2.0.
  3. Insira os seguintes detalhes de configuração SAML:
Atributo SAML Mapear para o seu provedor de identidade
https://quire.io/sso/login URL do Serviço de Consumidor de Asserções SAML (ACS) do aplicativo
https://quire.io/sso/metadata SP ID da Entidade do aplicativo
Endereço de e-mail do Membro Formato do Name ID

Passo 2: Coletar os detalhes SAML necessários

Após criar o aplicativo, copie as seguintes informações:

  • URL do Provedor de Identidade
  • ID da Entidade
  • Certificado X.509 em Base64

Passo 3: Atribuir usuários no seu Provedor de Identidade

  1. Adicione usuários ou grupos ao aplicativo SAML do Quire recém-criado.
  2. Garanta que as permissões de acesso adequadas estejam atribuídas.


Os usuários devem ser atribuídos no IdP antes de poderem se autenticar via SSO.

Configurar o SSO no Quire

Passo 1: Abrir as configurações da organização

  1. Clique no ícone do menu suspenso ao lado do nome da sua organização.
  2. Selecione Opções.

configurações da organização

Passo 2: Ativar autenticação SAML

  1. Vá até a aba Segurança.
  2. Ative a Autenticação SAML.

Ativar autenticação SAML nas configurações de segurança da organização do Quire

Passo 3: Inserir os detalhes de configuração SAML

  1. Cole a URL do Provedor de Identidade.
  2. Insira o ID da Entidade.
  3. Cole o certificado X.509 em Base64.
  4. Clique em Teste SSO para verificar a configuração.
  5. Se for bem-sucedido, clique em Salvar.

configuração SAML

SSO Obrigatório vs. Opcional

Você pode configurar o SSO como:

  • Obrigatório – Todos os membros precisam fazer login via SSO.
  • Opcional – Os membros podem fazer login usando senha ou SSO.

Observação: Os administradores da organização sempre devem fazer login com a sua senha do Quire.

Uma vez configurado com sucesso, os membros não precisarão mais de uma senha separada do Quire.

Integração com o Azure AD B2C

Passo 1: Configurar o Azure AD B2C

  1. Faça login no Portal do Azure.
  2. Crie políticas personalizadas.
  3. Registre um aplicativo SAML.
  4. Configure fluxos de usuário para autenticação.


Siga a documentação oficial da Microsoft para instruções detalhadas de configuração.

Passo 2: Configurar o formato NameID

O Quire exige que o formato NameID seja:

  • userPrincipalName ou
  • email


Não use objectId.

Se for usar userPrincipalName, modifique:

  • TrustFrameworkBase.xml
  • SignUpOrSigninSAML.xml


Exemplo de TrustFrameworkBase.xml:

<!-- The following technical profile is used to read data after user authenticates. -->
<TechnicalProfile Id="AAD-UserReadUsingObjectId">
  <Metadata>
    <Item Key="Operation">Read</Item>
    <Item Key="RaiseErrorIfClaimsPrincipalDoesNotExist">true</Item>
  </Metadata>
  <IncludeInSso>false</IncludeInSso>
  <InputClaims>
    <InputClaim ClaimTypeReferenceId="objectId" Required="true" />
  </InputClaims>
  <OutputClaims>

    <!-- Optional claims -->
    <OutputClaim ClaimTypeReferenceId="signInNames.emailAddress" />
    <OutputClaim ClaimTypeReferenceId="displayName" />
    <OutputClaim ClaimTypeReferenceId="otherMails" />
    <OutputClaim ClaimTypeReferenceId="givenName" />
    <OutputClaim ClaimTypeReferenceId="surname" />
    <OutputClaim ClaimTypeReferenceId="userPrincipalName" /> <!-- add -->
  </OutputClaims>
  <IncludeTechnicalProfile ReferenceId="AAD-Common" />
</TechnicalProfile>


Exemplo de SignUpOrSigninSAML.xml:

<RelyingParty>
  <DefaultUserJourney ReferenceId="SignUpOrSignIn" />
  <TechnicalProfile Id="PolicyProfile">
    <DisplayName>PolicyProfile</DisplayName>
    <Protocol Name="SAML2"/>
    <OutputClaims>
      <OutputClaim ClaimTypeReferenceId="displayName" />
      <OutputClaim ClaimTypeReferenceId="givenName" />
      <OutputClaim ClaimTypeReferenceId="surname" />
      <OutputClaim ClaimTypeReferenceId="email" DefaultValue="" />
      <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="" />
      <OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="objectId"/>
      <OutputClaim ClaimTypeReferenceId="userPrincipalName" PartnerClaimType="userPrincipalName"/> <!-- add -->
    </OutputClaims>
    <SubjectNamingInfo ClaimType="userPrincipalName" ExcludeAsClaim="true"/> <!-- modify -->
  </TechnicalProfile>
</RelyingParty>


Se você pretende alterar o formato para email, pode consultar este recurso para orientações adicionais.

Passo 3: Obter as informações necessárias do Azure

Após a configuração, colete:

  • URL de Metadados
  • URL do Provedor de Identidade
  • ID da Entidade
  • Certificado X.509 em Base64


Abaixo estão exemplos de como essas informações podem aparecer:

  • Metadados: https://your-tenant.b2clogin.com/your-tenant.onmicrosoft.com/B2C_1A_signup_signin_saml/samlp/metadata
  • URL do Provedor de Identidade: https://your-tenant.b2clogin.com/your-tenant.onmicrosoft.com/B2C_1A_signup_signin_saml/samlp/sso/login
  • ID da Entidade: Você definiu em TrustFrameworkExtensions.xml (<Item Key="IssuerUri">). Por exemplo, https://your-tenant.onmicrosoft.com/quire
  • Certificado X.509 em Base64: Extraia dos metadados <X509Certificate> MIIDizCCAnOgAwIBAgIUU9ndt…


Em seguida, siga os passos em Configurar o SSO no Quire.

Solução de problemas do SSO

Se um membro alterar o seu endereço de e-mail no Quire, ele não conseguirá fazer login via SSO até que o novo e-mail seja atualizado no Provedor de Identidade.

Para resolver isso:

  1. Atualize o endereço de e-mail do membro no Provedor de Identidade.
  2. Garanta que o NameID corresponda ao e-mail atualizado.
  3. Peça ao membro que tente fazer login novamente.

Leia mais no nosso blog sobre Logon Único com Quire.

Perguntas Frequentes

Quais provedores de identidade o SSO do Quire suporta?

Qualquer IdP compatível com SAML 2.0, incluindo Okta, OneLogin e Azure AD B2C. O SSO está disponível somente no plano Empresarial.

Como ativo o SSO no Quire?

Configure um aplicativo SAML 2.0 no seu IdP usando a URL ACS do Quire (https://quire.io/sso/login) e o ID da Entidade (https://quire.io/sso/metadata), colete a URL do IdP, o ID da Entidade e o certificado, depois vá em Opções da organização > aba Segurança, ative a Autenticação SAML, cole esses dados, clique em Teste SSO e salve.

Posso tornar o SSO obrigatório ou opcional para a minha organização no Quire?

Sim. Obrigatório força todos os membros a fazer login pelo IdP. Opcional permite que os membros escolham entre a sua senha do Quire ou SSO.

Os administradores da organização precisam usar SSO no Quire?

Não. Os administradores sempre fazem login com a sua senha do Quire, mesmo quando o SSO está definido como Obrigatório para os demais membros.

O que devo fazer se um membro não conseguir fazer login via SSO após alterar o e-mail?

Atualize o e-mail do membro no Provedor de Identidade para que o NameID corresponda ao novo endereço. O membro poderá então fazer login via SSO novamente.

Qual formato de NameID o Quire exige para o SSO do Azure AD B2C?

Use userPrincipalName ou email. Não use objectId — isso causa falhas de autenticação.

Os clientes podem fazer login no Quire usando contas de redes sociais como Facebook ou LinkedIn?

Sim, por meio da integração com o Azure AD B2C. Os provedores suportados incluem Facebook, X (antigo Twitter), LinkedIn, contas Microsoft e contas de identidade locais.

Última Atualização em:

Por favor, entre em contato conosco se precisar de mais assistência.