> ## Documentation Index
> Fetch the complete documentation index at: https://documentation.onesignal.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Single Sign-On (SSO)

> Configure SSO (SAML 2.0 ou OIDC) para sua organização no OneSignal para que os membros da equipe se autentiquem por meio do seu provedor de identidade.

<Note>
  SSO está disponível apenas para clientes enterprise. Entre em contato com seu gerente de conta ou `support@onesignal.com` para começar. Ter um product owner de SSO da sua equipe nas chamadas de configuração ajuda a agilizar o processo.
</Note>

## O que é SSO?

O Single Sign-On permite que os membros da equipe façam login no OneSignal usando o provedor de identidade (IdP) da sua organização, em vez de um nome de usuário e senha separados. Após se autenticar uma vez por meio do seu IdP, o usuário recebe um token que concede acesso ao OneSignal e a outros aplicativos SaaS sem solicitações adicionais de login.

O OneSignal suporta os protocolos **SAML 2.0** e **OpenID Connect (OIDC)**. Escolha o que seu IdP suporta — ambos oferecem a mesma experiência SSO no OneSignal.

## Provedores de identidade suportados

|                                                                                                                     |                                                                                                                                                            |                                                                                                                                                |
| ------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------- |
| [ADP](https://marketplace.adp.com/downloads/setting-up-sso.pdf)                                                     | [Duo](https://duo.com/docs/sso)                                                                                                                            | [OneLogin](https://www.onelogin.com/blog/saml-configuration)                                                                                   |
| [Auth0](https://auth0.com/docs/get-started/applications/enable-sso-for-applications)                                | [Google Workspace](https://support.google.com/a/answer/12032922?hl=en)                                                                                     | [Oracle](https://docs.oracle.com/en/cloud/paas/content-cloud/administer/enable-single-sign-sso.html#GUID-8C87B98B-362E-4AD4-8AB9-BD7057935AFE) |
| [Microsoft Entra ID (Azure AD)](https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-sso) | [JumpCloud](https://support.jumpcloud.com/support/s/article/getting-started-applications-saml-sso2)                                                        | PingFederate                                                                                                                                   |
| CAS                                                                                                                 | Keycloak                                                                                                                                                   | PingOne                                                                                                                                        |
| ClassLink                                                                                                           | [LastPass](https://support.lastpass.com/s/document-item?language=en_US\&bundleId=lastpass\&topicId=LastPass/c_lastpass_admins_toolkit_sso.html&_LANG=enus) | [Rippling](https://developer.rippling.com/docs/rippling-api/dii48ovix1887-saml-sso-guide)                                                      |
| [Cloudflare](https://developers.cloudflare.com/cloudflare-one/identity/idp-integration/)                            | [Microsoft ADFS](https://learn.microsoft.com/en-us/microsoft-365/troubleshoot/active-directory/set-up-adfs-for-single-sign-on)                             | [Salesforce](https://help.salesforce.com/s/articleView?id=sf.sso_about.htm\&type=5)                                                            |
| Custom OpenID Connect                                                                                               | miniOrange                                                                                                                                                 | Shibboleth                                                                                                                                     |
| Custom SAML                                                                                                         | NetIQ                                                                                                                                                      | Shibboleth Unsolicited                                                                                                                         |
| [CyberArk](https://docs.cyberark.com/Idaptive/Latest/en/Content/Applications/AppsOvw/ConfigSSO.htm)                 | [Okta](https://developer.okta.com/docs/guides/build-sso-integration/openidconnect/main/)                                                                   | SimpleSAMLphp                                                                                                                                  |
|                                                                                                                     |                                                                                                                                                            | [VMware](https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.psc.doc/GUID-75D4E587-3F9B-4B50-96DA-D6DB6D1781D7.html)                      |

Se você está usando um IdP que não está listado aqui, entre em contato com `support@onesignal.com` para solicitá-lo.

***

## Configuração

Entre em contato com `support@onesignal.com` para iniciar a configuração. A equipe de suporte fornecerá um link de configuração e guiará você em cada etapa.

<Steps>
  <Step title="Entre em contato com o suporte e informe seu IdP">
    Envie um email ao suporte informando qual provedor de identidade você usa. A equipe enviará um link de configuração e configurará a conexão pelo lado do OneSignal.
  </Step>

  <Step title="Siga o guia específico do seu IdP">
    Cada provedor de identidade tem um processo de configuração diferente. Use a tabela de [provedores de identidade suportados](#provedores-de-identidade-suportados) acima para encontrar o guia do seu.
  </Step>

  <Step title="Teste sua conexão">
    Após conectar seu IdP, faça login com suas credenciais SSO para verificar se a conexão funciona.
  </Step>

  <Step title="Integre membros da equipe existentes">
    Usuários existentes do OneSignal podem clicar em **Continue with Single Sign-On** na página de login. O login com nome de usuário e senha permanece disponível durante os testes para que o envio de mensagens não seja interrompido durante a integração.

    Forneça ao suporte os endereços de email que deseja habilitar para teste de SSO.

    <Frame caption="Página de login do OneSignal com opção SSO">
      <img src="https://mintcdn.com/onesignal/KSCNwSpBCNSQ8xdF/images/docs/f7d3f9c-signin.png?fit=max&auto=format&n=KSCNwSpBCNSQ8xdF&q=85&s=4ff34c990fa5380e8f263c1414d19ff2" alt="Página de login do OneSignal mostrando o botão Continue with Single Sign-On ao lado dos campos de nome de usuário e senha" width="856" height="984" data-path="images/docs/f7d3f9c-signin.png" />
    </Frame>
  </Step>

  <Step title="Imponha o SSO">
    Quando estiver pronto para exigir SSO para todos os usuários, entre em contato com o suporte para impor o SSO na sua organização. Após a imposição, o login com nome de usuário e senha é desativado.
  </Step>
</Steps>

***

## Adicionar usuários à sua organização SSO

### Convidar pelo dashboard

Administradores da organização podem convidar usuários pela página **Membros da Equipe**. Consulte [Membros da Equipe](./manage-team-members) para opções de função e permissões.

<Steps>
  <Step title="Convide o usuário">
    Acesse **Membros da Equipe** e clique em **Invite to Organization**. Defina a função do usuário ao convidá-lo.

    <Frame caption="Página Membros da Equipe com o botão Invite to Organization">
      <img src="https://mintcdn.com/onesignal/Z6xkXGfmy814If53/images/docs/d930dcf883e3134f1a688d4b94bb9976d447e70c55da9f4efdea7182ee37bada-Screenshot_2024-12-04_at_3.25.08_PM.png?fit=max&auto=format&n=Z6xkXGfmy814If53&q=85&s=ee79b4a6896baa1487096cfcf6b753b1" alt="Página Membros da Equipe do OneSignal mostrando o botão Invite to Organization" width="2822" height="1026" data-path="images/docs/d930dcf883e3134f1a688d4b94bb9976d447e70c55da9f4efdea7182ee37bada-Screenshot_2024-12-04_at_3.25.08_PM.png" />
    </Frame>

    <Frame caption="Insira o endereço de email para convidar">
      <img src="https://mintcdn.com/onesignal/MUgio66t0sYhGEvj/images/docs/6f6bc0b-adding_person_to_app.png?fit=max&auto=format&n=MUgio66t0sYhGEvj&q=85&s=a081dd660c2ec2794a95f28e1f3ebff3" alt="Formulário de entrada de email para adicionar um membro da equipe à organização do OneSignal" width="660" height="350" data-path="images/docs/6f6bc0b-adding_person_to_app.png" />
    </Frame>
  </Step>

  <Step title="O usuário aceita o convite">
    O usuário convidado recebe um email com um link **Accept invitation**.

    <Frame caption="Email de convite enviado ao novo membro da equipe">
      <img src="https://mintcdn.com/onesignal/KSCNwSpBCNSQ8xdF/images/docs/f7c4d0c-invite-email.png?fit=max&auto=format&n=KSCNwSpBCNSQ8xdF&q=85&s=d9dd9c8bd0e6a2e8393cfcf5013ca3bb" alt="Email de convite do OneSignal com o botão Accept invitation" width="900" height="674" data-path="images/docs/f7c4d0c-invite-email.png" />
    </Frame>
  </Step>

  <Step title="O usuário faz login com SSO">
    Após aceitar, o usuário faz login pelo provedor SSO da sua organização.

    <Frame caption="Página de login SSO após aceitar o convite">
      <img src="https://mintcdn.com/onesignal/YOTSrtBSoqdrJ37A/images/docs/47c7434-login_to_sso.png?fit=max&auto=format&n=YOTSrtBSoqdrJ37A&q=85&s=8e6392b319a32ac40bbb6b18f01a6a99" alt="Página de login SSO do OneSignal solicitando que o usuário se autentique pelo seu provedor de identidade" width="700" height="544" data-path="images/docs/47c7434-login_to_sso.png" />
    </Frame>
  </Step>
</Steps>

### Restrições de domínio

O domínio de email do usuário convidado deve estar registrado na sua organização SSO. Se você convidar alguém cujo domínio de email não faz parte da organização, ocorrerá um erro.

<Frame caption="Erro ao convidar um usuário fora do domínio da sua organização SSO">
  <img src="https://mintcdn.com/onesignal/Z6xkXGfmy814If53/images/docs/d80d5d6-adding_person_to_app.png?fit=max&auto=format&n=Z6xkXGfmy814If53&q=85&s=437d5dbc5f292562f76aa9158b195785" alt="Mensagem de erro do OneSignal exibida ao convidar um usuário cujo domínio de email não está registrado na organização SSO" width="660" height="498" data-path="images/docs/d80d5d6-adding_person_to_app.png" />
</Frame>

***

## FAQ

### Quem pode usar SSO?

SSO está disponível apenas para clientes enterprise e requer um provedor de identidade existente. Se você não tiver um IdP, trabalhe com sua equipe interna de TI ou uma consultoria para configurá-lo primeiro. Consulte a [página de preços](https://onesignal.com/pricing) para detalhes sobre os planos, ou entre em contato com `support@onesignal.com` para começar.

### Há alguma restrição ao número de licenças SSO?

Não. Não há limite de licenças para usuários em uma organização SSO.

### Como posso testar SSO antes de impô-lo?

Sim — durante a [configuração](#configuração), apenas os endereços de email que você especificar serão habilitados para login via SSO. O login com nome de usuário e senha permanece ativo para todos os outros, garantindo que o envio de mensagens continue sem interrupções.

### Por que o SSO usa domínios de email? Quantos domínios uma organização pode ter?

O SSO mapeia domínios de email para sua organização — por exemplo, `onesignal.com` abrange todos os endereços de email `@onesignal.com`. Uma organização pode ter múltiplos domínios registrados para login SSO.

### Como faço para desprovisionar e provisionar usuários?

Você pode adicionar e remover usuários pelo dashboard do OneSignal. O desprovisionamento e provisionamento diretamente pelo seu IdP não é suportado atualmente.

### Preciso de ajuda para encontrar o administrador da minha organização ou os domínios de email

Entre em contato com `support@onesignal.com` — eles podem ajudá-lo a identificar o administrador da sua organização e fornecer uma lista de domínios de email registrados.

### O que acontece se meu IdP ficar fora do ar?

Usuários com uma sessão ativa podem continuar usando o OneSignal. Usuários que precisam fazer login não conseguirão fazê-lo até que o IdP seja restaurado.

### O modo misto (SSO e nome de usuário/senha simultaneamente) é suportado?

O modo misto não é oficialmente suportado. O SSO é destinado a ser o método de login principal. Uma alternativa é separar seus aplicativos em duas organizações — uma com imposição de SSO e outra sem. Observe que as organizações também são usadas para fins de faturamento, portanto, entre em contato com o suporte para discutir a melhor abordagem.

### Posso restringir o acesso SSO a usuários específicos ou impor SSO para um grupo limitado?

Sim. O acesso ao OneSignal via SSO é controlado em dois níveis:

1. **Provedor de identidade**: A maioria dos IdPs (ex.: Google Workspace, Okta, Microsoft Entra ID) permite habilitar ou desabilitar aplicativos por usuário, grupo ou unidade organizacional. Configure seu IdP para conceder o aplicativo OneSignal apenas aos usuários que precisam de acesso.
2. **Convite no OneSignal**: Os usuários também devem ser [convidados para sua organização no OneSignal](./manage-team-members) pelo dashboard. Mesmo que um usuário consiga se autenticar pelo seu IdP, ele não poderá acessar o OneSignal até que um administrador da organização o convide.

Ambas as camadas devem conceder acesso para que um usuário faça login. Para tornar o SSO o único método de login, [imponha o SSO](#configuração) (Etapa 5) — isso desativa o login com nome de usuário e senha para todos na organização.

### Posso conectar mais de um IdP a uma organização?

Não. Cada organização suporta um IdP. Entre em contato com o suporte se tiver requisitos adicionais.

***

<Columns cols={2}>
  <Card title="Membros da Equipe" icon="users" href="./manage-team-members">
    Convide usuários, atribua funções e gerencie permissões em toda a sua organização.
  </Card>

  <Card title="Preços" icon="credit-card" href="https://onesignal.com/pricing">
    Compare planos e veja quais recursos estão incluídos em cada nível.
  </Card>
</Columns>