Sumário
- O que é SSO baseado em SAML?
- Requisitos para habilitar o SSO baseado em SAML no Mailjet
- Acessar e habilitar o SSO baseado em SAML no Mailjet
- Desativar o SSO baseado em SAML
- Provedores de identidades
- Gerenciamento de usuários
- Iniciar sessão usando SSO
O que é SSO baseado em SAML?
Usando o protocolo SAML 2.0, o Mailjet permite a integração com seu provedor de identidades para autenticar usuários por login único, também conhecido como SSO. Teoricamente, desde que seu provedor de identidades atual suporte o protocolo SAML 2.0 (Okta, Auth0, Onelogin, Azure AD, etc.), você poderá usar seu provedor com o Mailjet.
Observação: SAML SSO está disponível no plano Premium 100.000 e contas personalizadas.
Atualmente, uma conta do Mailjet só pode utilizar a autenticação de dois fatores (2-FA) ou a autenticação única (SSO), mas não ambos simultaneamente.
Requisitos para habilitar o SSO baseado em SAML no Mailjet
Domínio verificado
Para configurar o SAML, você precisará verificar se é proprietário de seu domínio corporativo (o domínio que está sendo usado na configuração do SAML para fazer o login). Atualmente, a plataforma Mailjet utiliza registros TXT para verificação de domínio.
O Mailjet pode gerar um registro TXT único para você adicionar ao DNS do seu domínio corporativo, que nos permitirá verificar se você é o proprietário desse domínio. Para usar este método, vá para a página de Configuração de SAML (“Preferências de conta” no menu à direita, depois clique em Autenticação SAML), digite seu domínio corporativo no campo “Nome do domínio”, em “Geração do registro TXT do domínio”, e aperte “Gerar”. Copie o registro TXT do modal e adicione-o aos registros DNS de seu domínio.
Certifique-se de que todos os domínios de conta de usuários estejam verificados antes de tentar configurar o SAML no Mailjet. Por exemplo, se os domínios forem mailjet.com e mailgun.com, é preciso seguir essas etapas para cada um deles.
Informações do provedor de identidades
Você precisará fornecer os seguintes itens ao Mailjet a partir do seu provedor de identidades:
-
ID da entidade do IdP (também conhecida como emissor do provedor de identidades)
-
URL de login único
-
Certificado X.509
Informações do provedor de serviços
Você precisará fornecer os seguintes detalhes do provedor de SAML do Mailjet para o seu provedor de identidades:
-
ID da entidade
-
URL do serviço do consumidor de declaração
-
URL do serviço de logout único
Acessar e habilitar o SSO baseado em SAML no Mailjet
Observação: somente os usuários administradores têm acesso para ativar/desativar o SAML em uma conta.
Para acessar a configuração de SAML no Mailjet, clique em “Preferências de conta” > “Autenticação SAML (SSO)” na página “Informação da conta”:
Lá, você encontrará os detalhes pertinentes do provedor de serviços, bem como o formulário que você precisará preencher:
Para permitir sua configuração, todos os campos necessários devem ser preenchidos com os detalhes do provedor de identidades.
Desativar o SSO baseado em SAML
Observação: somente os usuários administradores têm acesso para ativar/desativar o SAML em uma conta.
Para desativar o SSO baseado em SAML na sua conta, clique em “Preferências de conta” > “Autenticação SAML (SSO)” na página “Informação da conta”. Lá, clique no ícone de engrenagem e, em seguida, clique em Desativar SAML.
Provedores de identidades
Você pode usar diferentes provedores de identidades: Okta, Auth0, Onelogin, Azure AD, etc. Este artigo explica como fazer isso com Okta e Azure.
Configurar o SSO baseado em SAML usando o Okta
Primeiro, você vai precisar de uma conta do Okta. Se já tem, ótimo! Caso contrário, você pode se registrar em https://developer.okta.com e seguir as instruções para obter uma conta de desenvolvedor gratuita.
Tendo a conta Okta, navegue até “Aplicativos”.
Dê um nome descritivo a seu aplicativo, e um logotipo, se desejar. Você pode ignorar as opções de visibilidade do aplicativo. Depois, clique em “Próximo”.
Digite as seguintes informações:
-
“URL de login único” (chamada de “URL do serviço do consumidor de declaração” no seu painel do Mailjet)
-
Marque a caixa de seleção “Usar para URL do destinatário e URL de destino”
-
-
“URI de público“ (ID da Entidade no seu painel do Mailjet)
-
Deixe “Estado de retransmissor padrão” em branco
-
“Formato de ID de nome” deve ser definido como “Endereço de E-mail”
-
“Nome de usuário do aplicativo” deve ser definido como “email”.
-
Deixe “Atualizar nome de usuário do aplicativo quando” na opção padrão.
Deixe a seção de “Declarações de atributos” vazia e clique em “Próximo”.
Na página seguinte, escolha “Sou cliente do Okta que está adicionando um aplicativo interno” e clique em “Terminar”.
Você vai passar para a aba “Login” do aplicativo que acabou de configurar.
Procure o botão “Ver instruções de configuração” e clique nele para exibir os dados reais que você precisa adicionar ao Mailjet. Deve ficar assim:
Copie os dados na página “Autenticação SAML (SSO)” no Mailjet e envie o formulário. Se tudo estiver certo, está tudo pronto.
Configurar o SSO baseado em SAML usando o Azure
Para configurar o SAML, você precisará primeiro conferir em ambas as plataformas (Mailjet e Azure) se o domínio corporativo (aquele que será usado na configuração do SAML para fazer login) é mesmo seu.
Verificar um domínio no Azure Active Directory
Vá até o seu “Azure Active Directory” e selecione “Nomes de Domínio Personalizados”.
Clique em “Adicionar domínio personalizado” e siga o procedimento.
Depois que o domínio tiver sido adicionado, ele aparecerá na sua página “Nomes de Domínio Personalizados”. O status do domínio deverá ser “Verificado” para que o SSO funcione.
Verificar um domínio no aplicativo Mailjet
Siga o procedimento descrito aqui.
Depois que o domínio tiver sido verificado em ambos os lados, começaremos a configurar a autenticação SSO entre o Azure e o Mailjet.
Configuração do SSO no Azure
Entre na sua conta Azure e vá até o “Azure Active Directory”.
Ali, clique em “Aplicativos Empresariais”.
Selecione “Novo aplicativo” na parte superior da tela.
Então, clique em “Criar seu próprio aplicativo” e siga as etapas de configuração.
Depois que você tiver criado o seu aplicativo, clique nele...
...e selecione a segunda opção “Configurar logon único”.
Escolha o método “SAML” para a configuração do SSO.
Na próxima página, você encontrará os detalhes do provedor de identidades relevante e os formulários que precisarão ser preenchidos.
Na primeira etapa, “Configuração Básica de SAML”, você precisará pegar as informações do provedor de serviço relevante do Mailjet e preencher as seções marcadas abaixo.
Fornecer informações do Mailjet ao Azure
Azure
|
Mailjet
|
| Identificador (ID da Entidade) | ID da entidade |
| URL de Resposta (URL do Serviço do Consumidor de Declaração) | URL do serviço do consumidor de declaração |
| URL de logoff (Opcional) | Serviço de logout único |
Pule para a terceira etapa, “Certificados SAML” e selecione “Assinar resposta SAML e declaração” no menu suspenso “Opção de Assinatura”. O campo “Algoritmo de Assinatura” deverá ser mantido inalterado (SHA-256).
Não se esqueça de fazer download do Certificado Base64, pois ele será necessário mais tarde para a configuração do Mailjet.
Depois que as etapas 1 e 3 tiverem sido concluídas, você precisará fazer o mesmo no Mailjet.
Para acessar a configuração do SAML no Mailjet, clique em “Preferências de conta” --> “Autenticação SAML (SSO)” na página “Informação da conta”.
Selecione “Configurar autenticação SAML”.
Então, você encontrará o formulário que precisará ser preenchido.
Para ativar a configuração SSO, todos os campos obrigatórios deverão ser preenchidos com as informações do provedor de identidades usadas no Azure.
Fornecer informações do Azure ao Mailjet
Mailjet |
Azure |
Comentário |
| Domínio(s) associado(s) | - | O nome de domínio personalizado deve ser adicionado e verificado no Azure e no Mailjet |
| ID da entidade do IdP |
Identificador do Azure AD |
|
| Solicitar preferência de autenticação | Seção Certificado de autenticação SAML > Editar > Opções de assinatura | Precisa ser Assinar resposta SAML e declaração |
| URL do SSO | URL de logon | |
| URL do serviço de logout único |
URL de logoff |
|
| Certificado X.509 | Certificado (Base 64) | Deve ser baixado como Base 64 e aberto primeiramente em um editor de texto para poder copiar o valor no formato exigido |
Gerenciamento de usuários
Mailjet
Com o nosso recurso de SSO baseado em SAML, os seus usuários finais poderão ter acesso ao aplicativo Mailjet por meio de um provedor de identidade (IdP). Todos os usuários a quem você deu acesso compartilhado à sua conta serão listados na seção “Usuários”.
Nota importante: Esteja ciente de que a funcionalidade de Single Sign-On (SSO) é limitada a usuários de acesso compartilhado. Este recurso não é aplicável ao seu endereço de login.
Observação: o recurso de login único será desativado por padrão para todos os usuários. Somente usuários ativos com um domínio associado na configuração de SAML poderão fazer login em sua conta por meio de SSO.
Você pode ativar a funcionalidade de SSO para todos os usuários ao mesmo tempo, clicando no botão “Ativar SAML para todos”...
...ou optar manualmente por ativar ou desativar o acesso para usuários individuais um por um pelo ícone de engrenagem.
Provedor de identidades (Okta)
Após ativar seus usuários finais dentro do aplicativo Mailjet, você também precisará adicioná-los ao seu provedor de identidades (IdP), neste caso, o Okta.
Abra sua conta do Okta, vá para “Diretório” --> “Pessoas” e clique em “Adicionar pessoa”.
Depois de ter inserido todas as informações necessárias, selecione “Salvar”.
Observação: se você quiser notificar imediatamente o novo usuário e enviar para ele um e-mail de ativação, marque a caixa “Enviar e-mail de ativação de usuário agora”. O usuário será solicitado a clicar em um link para ativar sua conta Okta.
O próximo passo será visitar a página “Aplicativos” e selecionar o aplicativo ao qual você deseja designar o usuário recém-adicionado.
Selecione “Assign to people” (Atribuir a pessoas) no menu suspenso “Assign” (Atribuir).
Clique em “Atribuir” no usuário que você adicionou anteriormente.
Observação: só serão exibidos usuários não atribuídos.
Você será redirecionado para a página “Pessoas”, e encontrará todos os usuários adicionados à sua conta Okta e o status atual deles.
Se todas as etapas mencionadas acima foram seguidas corretamente, os usuários finais com acesso ao seu aplicativo Mailjet não deverão ter problemas para efetuar o login por SSO.
Provedor de identidades (Azure)
Após ativar seus usuários finais dentro do aplicativo Mailjet, você também precisará adicioná-los ao seu provedor de identidades (IdP), neste caso, o Azure.
Abra a sua conta do Azure e vá para Azure Active Directory --> Usuários e clique em “Novo Usuário”.
Siga todas as etapas e adicione o novo usuário, que será exibido na página “Usuários”.
Observação: insira o endereço de e-mail em letras minúsculas, pois diferencia maiúsculas de minúsculas.
Agora, você precisa atribuir o usuário recém-criado ao aplicativo Mailjet criado anteriormente.
Vá até o aplicativo e selecione “Atribuir usuários e grupos”.
Então, clique em “Adicionar um usuário ou um grupo”...
...e selecione na lista o usuário a quem você deseja dar acesso SSO.
Depois que tiver sido selecionado e atribuído, o usuário será exibido na página “Usuários e Grupos”. Todos os usuários exibidos nessa página terão acesso SSO ao seu aplicativo.
Se todas as etapas mencionadas acima foram seguidas corretamente, os usuários finais com acesso ao seu aplicativo Mailjet não deverão ter problemas para efetuar login por SSO.
Iniciar sessão usando SSO
Para iniciar sessão, clique no botão “Iniciar sessão com SSO” na página de login do Mailjet.
Aparecerá uma janela nova com um único formulário para você digitar seu e-mail.
Após você digitar seu e-mail e clicar no botão “Iniciar sessão”, você será redirecionado para o painel da sua conta.
Observação: se um usuário compartilhado tiver habilitado o SSO, ele não poderá mais fazer login na conta da maneira normal. O usuário ainda precisará fazer o login pela opção de SSO.