Sumário
- O que é SSO baseado em SAML?
- Requisitos para habilitar o SSO baseado em SAML no Mailjet
- Acessar e habilitar o SSO baseado em SAML no Mailjet
- Desativar o SSO baseado em SAML
- Provedores de identidades
- Gerenciamento de usuários
- Iniciar sessão usando SSO
O que é SSO baseado em SAML?
Usando o protocolo SAML 2.0, o Mailjet permite a integração com seu provedor de identidades para autenticar usuários por login único, também conhecido como SSO. Teoricamente, desde que seu provedor de identidades atual suporte o protocolo SAML 2.0 (Okta, Auth0, Onelogin, Azure AD, etc.), você poderá usar seu provedor com o Mailjet.
Observação: o SSO baseado em SAML está disponível apenas para contas personalizadas.
Requisitos para habilitar o SSO baseado em SAML no Mailjet
Domínio verificado
Para configurar o SAML, você precisará verificar se é proprietário de seu domínio corporativo (o domínio que está sendo usado na configuração do SAML para fazer o login). Atualmente, a plataforma Mailjet utiliza registros TXT para verificação de domínio.
O Mailjet pode gerar um registro TXT único para você adicionar ao DNS do seu domínio corporativo, que nos permitirá verificar se você é o proprietário desse domínio. Para usar este método, vá para a página de Configuração de SAML (“Preferências de conta” no menu à direita, depois clique em Autenticação SAML), digite seu domínio corporativo no campo “Nome do domínio”, em “Geração do registro TXT do domínio”, e aperte “Gerar”. Copie o registro TXT do modal e adicione-o aos registros DNS de seu domínio.
Certifique-se de que todos os domínios de conta de usuários estejam verificados antes de tentar configurar o SAML no Mailjet. Por exemplo, se os domínios forem mailjet.com e mailgun.com, é preciso seguir essas etapas para cada um deles.
Informações do provedor de identidades
Você precisará fornecer os seguintes itens ao Mailjet a partir do seu provedor de identidades:
-
ID da entidade do IdP (também conhecida como emissor do provedor de identidades)
-
URL de login único
-
Certificado X.509
Informações do provedor de serviços
Você precisará fornecer os seguintes detalhes do provedor de SAML do Mailjet para o seu provedor de identidades:
-
ID da entidade
-
URL do serviço do consumidor de declaração
-
URL do serviço de logout único
Acessar e habilitar o SSO baseado em SAML no Mailjet
Observação: somente os usuários administradores têm acesso para ativar/desativar o SAML em uma conta.
Para acessar a configuração de SAML no Mailjet, clique em “Preferências de conta” > “Autenticação SAML (SSO)” na página “Informação da conta”:
Lá, você encontrará os detalhes pertinentes do provedor de serviços, bem como o formulário que você precisará preencher:
Para permitir sua configuração, todos os campos necessários devem ser preenchidos com os detalhes do provedor de identidades.
Desativar o SSO baseado em SAML
Observação: somente os usuários administradores têm acesso para ativar/desativar o SAML em uma conta.
Para desativar o SSO baseado em SAML na sua conta, clique em “Preferências de conta” > “Autenticação SAML (SSO)” na página “Informação da conta”. Lá, clique no ícone de engrenagem e, em seguida, clique em Desativar SAML.
Provedores de identidades
Você pode usar diferentes provedores de identidades: Okta, Auth0, Onelogin, Azure AD, etc. Este artigo explica como fazer isso com Okta e Azure.
Configurar o SSO baseado em SAML usando o Okta
Primeiro, você vai precisar de uma conta do Okta. Se já tem, ótimo! Caso contrário, você pode se registrar em https://developer.okta.com e seguir as instruções para obter uma conta de desenvolvedor gratuita.
Tendo a conta Okta, navegue até “Aplicativos”.
Dê um nome descritivo a seu aplicativo, e um logotipo, se desejar. Você pode ignorar as opções de visibilidade do aplicativo. Depois, clique em “Próximo”.
Digite as seguintes informações:
-
“URL de login único” (chamada de “URL do serviço do consumidor de declaração” no seu painel do Mailjet)
-
Marque a caixa de seleção “Usar para URL do destinatário e URL de destino”
-
-
“URI de público“ (ID da Entidade no seu painel do Mailjet)
-
Deixe “Estado de retransmissor padrão” em branco
-
“Formato de ID de nome” deve ser definido como “Endereço de E-mail”
-
“Nome de usuário do aplicativo” deve ser definido como “email”.
-
Deixe “Atualizar nome de usuário do aplicativo quando” na opção padrão.
Deixe a seção de “Declarações de atributos” vazia e clique em “Próximo”.
Na página seguinte, escolha “Sou cliente do Okta que está adicionando um aplicativo interno” e clique em “Terminar”.
Você vai passar para a aba “Login” do aplicativo que acabou de configurar.
Procure o botão “Ver instruções de configuração” e clique nele para exibir os dados reais que você precisa adicionar ao Mailjet. Deve ficar assim:
Copie os dados na página “Autenticação SAML (SSO)” no Mailjet e envie o formulário. Se tudo estiver certo, está tudo pronto.
Configurar o SSO baseado em SAML usando o Azure
Para habilitar o SSO baseado em SAML para seu aplicativo Azure, siga a documentação oficial do Azure. É importante fornecer os dados necessários, seguindo as correspondências abaixo.
Fornecer informações do Mailjet ao Azure
Azure
|
Mailjet
|
Identificador (ID da Entidade) | ID da entidade |
URL de Resposta (URL do Serviço do Consumidor de Declaração) | URL do serviço do consumidor de declaração |
URL de logoff (Opcional) | Serviço de logout único |
Fornecer informações do Azure ao Mailjet
Mailjet |
Azure |
Comentário |
Domínio(s) associado(s) | - | O nome de domínio personalizado deve ser adicionado e verificado no Azure e no Mailjet |
ID da entidade do IdP |
Identificador do Azure AD |
|
Solicitar preferência de autenticação | Seção Certificado de autenticação SAML > Editar > Opções de assinatura | Precisa ser Assinar resposta SAML e declaração |
URL do SSO | URL de logon | |
URL do serviço de logout único |
URL de logoff |
|
Certificado X.509 | Certificado (Base 64) | Deve ser baixado como Base 64 e aberto primeiramente em um editor de texto para poder copiar o valor no formato exigido |
Observação: é necessário atribuir acesso ao Mailjet no Azure AD para fazer login.
Gerenciamento de usuários
Mailjet
Com o nosso recurso de SSO baseado em SAML, os seus usuários finais poderão ter acesso ao aplicativo Mailjet por meio de um provedor de identidade (IdP). Todos os usuários a quem você deu acesso compartilhado à sua conta serão listados na seção “Usuários”.
Observação: o recurso de login único será desativado por padrão para todos os usuários. Somente usuários ativos com um domínio associado na configuração de SAML poderão fazer login em sua conta por meio de SSO.
Você pode ativar a funcionalidade de SSO para todos os usuários ao mesmo tempo, clicando no botão “Ativar SAML para todos”...
...ou optar manualmente por ativar ou desativar o acesso para usuários individuais um por um pelo ícone de engrenagem.
Provedor de identidades (Okta)
Após ativar seus usuários finais dentro do aplicativo Mailjet, você também precisará adicioná-los ao seu provedor de identidades (IdP), neste caso, o Okta.
Abra sua conta do Okta, vá para “Diretório” --> “Pessoas” e clique em “Adicionar pessoa”.
Depois de ter inserido todas as informações necessárias, selecione “Salvar”.
Observação: se você quiser notificar imediatamente o novo usuário e enviar para ele um e-mail de ativação, marque a caixa “Enviar e-mail de ativação de usuário agora”. O usuário será solicitado a clicar em um link para ativar sua conta Okta.
O próximo passo será visitar a página “Aplicativos” e selecionar o aplicativo ao qual você deseja designar o usuário recém-adicionado.
Selecione “Assign to people” (Atribuir a pessoas) no menu suspenso “Assign” (Atribuir).
Clique em “Atribuir” no usuário que você adicionou anteriormente.
Observação: só serão exibidos usuários não atribuídos.
Você será redirecionado para a página “Pessoas”, e encontrará todos os usuários adicionados à sua conta Okta e o status atual deles.
Se todas as etapas mencionadas acima foram seguidas corretamente, os usuários finais com acesso ao seu aplicativo Mailjet não deverão ter problemas para efetuar o login por SSO.
Iniciar sessão usando SSO
Para iniciar sessão, clique no botão “Iniciar sessão com SSO” na página de login do Mailjet.
Aparecerá uma janela nova com um único formulário para você digitar seu e-mail.
Após você digitar seu e-mail e clicar no botão “Iniciar sessão”, você será redirecionado para o painel da sua conta.
Observação: se um usuário compartilhado tiver habilitado o SSO, ele não poderá mais fazer login na conta da maneira normal. O usuário ainda precisará fazer o login pela opção de SSO.