Configurar logon único SAML personalizado

Linguagem de Marcação de Aserção de Segurança (SAML) é um padrão de comunicação entre Provedores de Identidade (IDP) e Provedores de Serviço como o ClickUp.

Você pode criar um logon único personalizado com qualquer IDP que suporte SAML 2.0.

Também temos integrações de logon único disponíveis para as seguintes plataformas:

O que você vai precisar

  • O SAML personalizado está disponível apenas no Plano Enterprise.
  • Para habilitar o SAML personalizado, você deve ser um proprietário ou um administrador com a permissão personalizada do espaço de trabalho. 

Ativar SAML personalizado

A configuração do SAML requer o uso de logon único (SSO). Cada pessoa no seu Espaço de trabalho deve vincular sua conta ClickUp com sua conta no Provedor de Identidade para fazer login usando SSO. 

Passo 1

Habilitar SAML substitui quaisquer configurações anteriores de SSO. 

Para habilitar SAML:

  1. Clique no avatar do seu Espaço de Trabalho, Configurações, depois Segurança & Permissões.
  2. Na seção de logon único (SSO), selecione SAML.
Imagem da página de segurança e permissões indicando a opção SAML

Passo 2

Para configurar a solução da sua organização, peça à sua equipe de TI que consulte a documentação do IDP.

Requisitos de asserção

Um NameID único em qualquer formato é necessário na declaração enviada do seu IDP para o ClickUp. Nenhum outro atributo é necessário.

Recomendamos que você não utilize um e-mail como NameID. As alterações de endereço de e-mail exigem que você vincule novamente os usuários.

Configure sua solução de IDP

  1. Na seção Configurar Logon Único SAML, forneça as seguintes informações à sua equipe de TI:
    • URI de audiência (ID da entidade provedora de serviço)
    • URL de logon único (URL do ACS)
    • O Certificado SP é necessário apenas quando se utiliza o modelo de confiança de certificado do Windows Active Directory Federation Services (AD FS) no local.

Essas informações informam à solução IDP como se comunicar de forma segura com o ClickUp.

Em seguida, você informará ao ClickUp como se comunicar de forma segura com sua solução de IDP.

Etapa 3

Após a configuração do IDP pela sua equipe de TI, solicite as seguintes informações:

  • URL de login (URL do serviço de logon único)
  • Certificado público do provedor de identidade

Você pode informar sua equipe de TI:

  • O URI do Emissor (IDP Entity ID) não é necessário.
  • O certificado deve ser assinado e criptografado.
  1. Na seção Configure SAML Single Sign On (Configurar logon único SAML ), insira as seguintes informações:
    • URL de login (URL do serviço de logon único)
    • Certificado público do IDP
      Você deve copiar todo o certificado público do IDP. Se o seu certificado os tiver, você não precisará incluir o cabeçalho BEGIN CERTIFICATE e o rodapé END CERTIFICATE .
      Você pode colar o certificado em um editor de texto. Por exemplo, Visual Studio Code ou Text Edit.
  2. Clique em Salvar Metadados.

Após salvar, você será solicitado a fazer login usando as novas configurações de SSO. 

O primeiro acesso cria uma conexão entre esta conta ClickUp e a conta de usuário do provedor de identidade com a qual você se conecta.

Em seguida, você verificará se sua conta foi vinculada com sucesso.

Etapa 4

Para verificar se sua conta foi vinculada com sucesso:

  1. No canto superior direito, clique no seu avatar de conta. 
  2. Selecione Minhas configurações.
  3. Role até o final da página.
  4. Se o link for bem-sucedido, você verá uma seção Single Sign On mostrando seu provedor e o ClickUp Workspace. 

Você pode clicar no botão Re-link para alterar qual conta do seu IDP está associada à sua conta ClickUp.

Há também um botão Desvincular. Se SAML estiver habilitado, SSO é necessário em seu Espaço de Trabalho. Apenas um proprietário ou um administrador com a permissão personalizada do Espaço de trabalho pode desvincular sua conta.

Faça o download e use o certificado público do IDP

Para usar o certificado público do seu IDP:

  1. Depois de gerar um certificado atual, faça o download dele.
  2. Abra sua pasta Downloads e clique com o botão direito no arquivo. 
  3. Selecione Abrir com.
  4. Clique em Outro ou Outro aplicativo para selecionar um aplicativo que não está listado.
  5. Encontre um aplicativo que abra o arquivo como texto sem formatação. Por exemplo, Visual Studio Code ou Text Edit.
  6. Siga as instruções das etapas 3 e 4 acima.

Atualize o certificado SP do ClickUp

Antes do certificado expirar, os proprietários do espaço de trabalho recebem um e-mail informando-os para atualizar o certificado.

Para atualizar o certificado do ClickUp SP, você precisa de um certificado de segurança:

  1. No canto superior esquerdo, clique no avatar do espaço de trabalho.
  2. Selecione Configurações, depois Segurança & Permissões.
  3. Na seção Configurar Logon Único SAML, clique em Regenerar

Exigir logon único

Cada pessoa em seu Espaço de Trabalho deve vincular sua conta ClickUp com sua conta no IDP para fazer login usando SSO. Configurar o SAML requer o uso de logon único.

Esse requisito é aplicado da seguinte maneira:

  • Após a ativação do SAML, na próxima vez que os membros e convidados do espaço de trabalho fizerem login, haverá um link para entrar com SAML.
Captura de tela mostrando o pop-up "Sign in with SAML".
  • Quando alguém é convidado a se juntar ao seu Espaço de trabalho, essa pessoa definirá uma senha para sua conta ClickUp antes de aceitar o convite do Espaço de trabalho. Uma vez concluído o acesso com SAML, a conta ClickUp deles será vinculada à conta de usuário do seu provedor de identidade (IDP).

SCIM e SAML personalizado

  • O Azure AD SSO, agora conhecido como Microsoft Entra ID, possui provisionamento automático limitado, incluindo a criação e remoção de usuários. Funções, Funções Personalizadas e Equipes não podem ser atribuídas.
  • Okta SCIM SSO possui provisionamento totalmente automático.
  • Para configurar o SCIM para um IDP compatível, o URL básico do SCIM e o token da API do SCIM serão apresentados após a integração bem-sucedida do SSO com o SAML personalizado. As etapas para inserir o URL básico e o token de API em seu IDP variam de acordo com o provedor.

Esse artigo foi útil?