OIDC / SSO — login via provedor de identidade

Premium

Login SSO (OIDC / OAuth2): os seus utilizadores acedem ao Omniscol com a conta da organização em vez de uma senha dedicada — um único login para memorizar, ativação e desativação centralizadas à medida que as pessoas chegam e saem, e a sua política de segurança (MFA, expiração…) aplicada a partir do seu sistema de informação. O Omniscol é compatível com Google Workspace, Microsoft Entra ID, Keycloak e qualquer provedor conforme com OIDC.

O OpenID Connect (OIDC), construído sobre o OAuth2, permite que os seus utilizadores acedam ao Omniscol com a conta da organização em vez de uma senha dedicada do Omniscol. Três benefícios: uma única senha para memorizar, desativação centralizada na chegada / na saída de um colaborador, e aplicação automática da política de segurança (MFA, comprimento da senha, expiração…) gerida no lado do sistema de informação.

Esta página descreve o SSO de utilizador: o acesso das pessoas ao Omniscol via o seu provedor de identidade. O caso inverso — o Omniscol como servidor OAuth2 / OIDC ao qual serviços de terceiros se conectam, com o seu ecrã de gestão de clientes — é tratado em OAuth2 / OIDC (provedor).

Provedores suportados

O Omniscol é compatível com:

  • Google Workspace,
  • Microsoft Entra ID (anteriormente Azure AD),
  • Keycloak,
  • um provedor OIDC genérico via o seu issuer / discovery URL (qualquer provedor conforme com OIDC).

Configurar no lado do Omniscol

Em AdministraçãoConfigurações, na seção Segurança, o botão Configurar abre o ecrã de configuração OIDC, que permite declarar o provedor:

  • Nome exibido — o rótulo que aparecerá no botão de login (por exemplo Continuar com o Google).
  • Tipo de provedor — Google, Microsoft Entra ID (Azure AD), Keycloak ou OIDC genérico.
  • Tenant / issuer — tenant Microsoft para o Entra ID, ou URL issuer para o Keycloak e os provedores OIDC genéricos. Os metadados OIDC são em seguida descobertos pela aplicação.
  • Client ID e Client secret — obtidos ao criar uma aplicação no lado do provedor (consulte a documentação do provedor).
  • Scopes — por defeito openid profile email. Adicione os scopes específicos do provedor, se necessário.
  • Domínios autorizados — lista opcional de domínios de e-mail aceites no login SSO; se deixada vazia, nenhuma filtragem por domínio é aplicada.
  • URL de redirecionamento — o Omniscol dá-lhe o valor exato a copiar para a configuração no lado do provedor (bem como o URL de redirecionamento pós-logout se o provedor o solicitar).
  • Login apenas por SSO — uma vez o SSO validado, esta opção recusa o login por senha do Omniscol, exceto para as contas de emergência descritas abaixo.

A configuração SSO atual é definida ao nível da conta da escola.

Acesso de emergência (break-glass)

No modo Login apenas por SSO, o login por senha do Omniscol é recusado: todos passam pelo provedor de identidade. Se esse provedor ficar indisponível — falha, segredo expirado, erro de configuração — o acesso ao Omniscol ficaria bloqueado para todos.

A conta de emergência (« break-glass ») é a salvaguarda contra esse bloqueio: uma conta de administrador autorizada a aceder por senha do Omniscol mesmo enquanto o modo SSO exclusivo está ativo.

  • No registo de uma conta de administrador, quando a opção Login apenas por SSO está ativa, uma caixa Break-glass (SSO only) aparece. Marcá-la autoriza esta conta a aceder por senha se o provedor de identidade estiver indisponível. Apenas contas de administrador podem sê-lo.
  • O suporte Omniscol mantém, além disso, um acesso de emergência independente.

Designe pelo menos uma conta de emergência antes de ativar o modo SSO exclusivo, e guarde a sua senha em local seguro: é a sua rede de proteção se o provedor de identidade ficar indisponível.

Configurar no lado do provedor (exemplos)

Google Workspace

  1. Consola Google Cloud > APIs & Services > Credentials.
  2. Criar um identificador OAuth 2.0, tipo Aplicação Web.
  3. Cole o URL de redirecionamento fornecido pelo Omniscol em Authorized redirect URIs.
  4. Recupere o Client ID e o Client secret para os colar no Omniscol.

Microsoft Entra ID

  1. Portal Azure > Entra ID > App registrations.
  2. New registration, tipo Web, URL de redirecionamento do Omniscol.
  3. Certificates & secrets > criar um client secret.
  4. API permissions > adicionar openid, profile, email.
  5. Recupere Application (client) ID e o segredo.

Keycloak

  1. Realm > Clients > Create client, tipo OpenID Connect.
  2. Valid redirect URIs: URL fornecido pelo Omniscol.
  3. Credentials > recuperar o client secret.

Fazer a ligação com as contas Omniscol

Quando um utilizador clica no botão SSO, o Omniscol:

  1. Redireciona-o para o provedor,
  2. Recupera o seu endereço de e-mail após a autenticação,
  3. Procura uma conta Omniscol com o mesmo endereço de e-mail.

Se a conta existir e estiver ativa, o utilizador é autenticado. Caso contrário, o acesso é recusado. Consequência: para que o SSO funcione, os utilizadores devem existir no Omniscol com o endereço de e-mail correto — a criação não é automática no lado do Omniscol por defeito.

Provisionamento automático das contas

A criação automática de contas no primeiro login SSO (just-in-time provisioning) não é o comportamento por defeito do ecrã de configuração. Se esse modo for necessário, deve ser definido com o Omniscol.

Procedimento

Configurar um provedor OIDC / SSO

  1. OIDC / SSO permite que os seus utilizadores acedam com a conta da organização (Google Workspace, Microsoft Entra ID, Keycloak, Okta…). A parte no lado do provedor depende do provedor.

  2. No lado do provedor, crie primeiro uma aplicação OIDC Aplicação Web: recupere o Client ID e o Client secret, copie o URL de redirecionamento fornecido pelo Omniscol para os Authorized redirect URIs do provedor.

  3. No lado do Omniscol, abra as configurações e depois a configuração OIDC. Preencha o nome exibido (rótulo do botão de login), o tipo de provedor, o issuer ou o tenant conforme o caso, o Client ID, o Client secret e os scopes (por defeito: openid profile email).

  4. Clique em Testar. Verifique se a configuração funciona. O Omniscol faz uma ida e volta OIDC; em caso de erro de discovery, de segredo ou de redirecionamento, a mensagem de erro é explícita.

  5. Guarde. O botão de login SSO aparece na página de login quando a configuração está ativa.

  6. Importante: as contas devem existir no Omniscol com o endereço de e-mail correto. O login SSO corresponde por e-mail; sem provisionamento automático por defeito.

Ver também