OIDC / SSO — login via provedor de identidade
PremiumO OpenID Connect (OIDC), construído sobre o OAuth2, permite que os seus utilizadores acedam ao Omniscol com a conta da organização em vez de uma senha dedicada do Omniscol. Três benefícios: uma única senha para memorizar, desativação centralizada na chegada / na saída de um colaborador, e aplicação automática da política de segurança (MFA, comprimento da senha, expiração…) gerida no lado do sistema de informação.
Esta página descreve o SSO de utilizador: o acesso das pessoas ao Omniscol via o seu provedor de identidade. O caso inverso — o Omniscol como servidor OAuth2 / OIDC ao qual serviços de terceiros se conectam, com o seu ecrã de gestão de clientes — é tratado em OAuth2 / OIDC (provedor).
Provedores suportados
O Omniscol é compatível com:
- Google Workspace,
- Microsoft Entra ID (anteriormente Azure AD),
- Keycloak,
- um provedor OIDC genérico via o seu issuer / discovery URL (qualquer provedor conforme com OIDC).
Configurar no lado do Omniscol
Em Administração → Configurações, na seção Segurança, o botão Configurar abre o ecrã de configuração OIDC, que permite declarar o provedor:
- Nome exibido — o rótulo que aparecerá no botão de
login (por exemplo
Continuar com o Google). - Tipo de provedor — Google, Microsoft Entra ID (Azure AD), Keycloak ou OIDC genérico.
- Tenant / issuer — tenant Microsoft para o Entra ID, ou URL issuer para o Keycloak e os provedores OIDC genéricos. Os metadados OIDC são em seguida descobertos pela aplicação.
- Client ID e Client secret — obtidos ao criar uma aplicação no lado do provedor (consulte a documentação do provedor).
- Scopes — por defeito
openid profile email. Adicione os scopes específicos do provedor, se necessário. - Domínios autorizados — lista opcional de domínios de e-mail aceites no login SSO; se deixada vazia, nenhuma filtragem por domínio é aplicada.
- URL de redirecionamento — o Omniscol dá-lhe o valor exato a copiar para a configuração no lado do provedor (bem como o URL de redirecionamento pós-logout se o provedor o solicitar).
- Login apenas por SSO — uma vez o SSO validado, esta opção recusa o login por senha do Omniscol, exceto para as contas de emergência descritas abaixo.
A configuração SSO atual é definida ao nível da conta da escola.
Acesso de emergência (break-glass)
No modo Login apenas por SSO, o login por senha do Omniscol é recusado: todos passam pelo provedor de identidade. Se esse provedor ficar indisponível — falha, segredo expirado, erro de configuração — o acesso ao Omniscol ficaria bloqueado para todos.
A conta de emergência (« break-glass ») é a salvaguarda contra esse bloqueio: uma conta de administrador autorizada a aceder por senha do Omniscol mesmo enquanto o modo SSO exclusivo está ativo.
- No registo de uma conta de administrador, quando a opção Login apenas por SSO está ativa, uma caixa Break-glass (SSO only) aparece. Marcá-la autoriza esta conta a aceder por senha se o provedor de identidade estiver indisponível. Apenas contas de administrador podem sê-lo.
- O suporte Omniscol mantém, além disso, um acesso de emergência independente.
Designe pelo menos uma conta de emergência antes de ativar o modo SSO exclusivo, e guarde a sua senha em local seguro: é a sua rede de proteção se o provedor de identidade ficar indisponível.
Configurar no lado do provedor (exemplos)
Google Workspace
- Consola Google Cloud > APIs & Services > Credentials.
- Criar um identificador OAuth 2.0, tipo Aplicação Web.
- Cole o URL de redirecionamento fornecido pelo Omniscol em Authorized redirect URIs.
- Recupere o Client ID e o Client secret para os colar no Omniscol.
Microsoft Entra ID
- Portal Azure > Entra ID > App registrations.
- New registration, tipo Web, URL de redirecionamento do Omniscol.
- Certificates & secrets > criar um client secret.
- API permissions > adicionar
openid,profile,email. - Recupere Application (client) ID e o segredo.
Keycloak
- Realm > Clients > Create client, tipo OpenID Connect.
- Valid redirect URIs: URL fornecido pelo Omniscol.
- Credentials > recuperar o client secret.
Fazer a ligação com as contas Omniscol
Quando um utilizador clica no botão SSO, o Omniscol:
- Redireciona-o para o provedor,
- Recupera o seu endereço de e-mail após a autenticação,
- Procura uma conta Omniscol com o mesmo endereço de e-mail.
Se a conta existir e estiver ativa, o utilizador é autenticado. Caso contrário, o acesso é recusado. Consequência: para que o SSO funcione, os utilizadores devem existir no Omniscol com o endereço de e-mail correto — a criação não é automática no lado do Omniscol por defeito.
Provisionamento automático das contas
A criação automática de contas no primeiro login SSO
(just-in-time provisioning) não é o comportamento por defeito do
ecrã de configuração. Se esse modo for necessário, deve ser definido
com o Omniscol.
Procedimento
Configurar um provedor OIDC / SSO
-
OIDC / SSO permite que os seus utilizadores acedam com a conta da organização (Google Workspace, Microsoft Entra ID, Keycloak, Okta…). A parte no lado do provedor depende do provedor.
-
No lado do provedor, crie primeiro uma aplicação OIDC Aplicação Web: recupere o Client ID e o Client secret, copie o URL de redirecionamento fornecido pelo Omniscol para os Authorized redirect URIs do provedor.
-
No lado do Omniscol, abra as configurações e depois a configuração OIDC. Preencha o nome exibido (rótulo do botão de login), o tipo de provedor, o issuer ou o tenant conforme o caso, o Client ID, o Client secret e os scopes (por defeito:
openid profile email). -
Clique em Testar. Verifique se a configuração funciona. O Omniscol faz uma ida e volta OIDC; em caso de erro de discovery, de segredo ou de redirecionamento, a mensagem de erro é explícita.
-
Guarde. O botão de login SSO aparece na página de login quando a configuração está ativa.
-
Importante: as contas devem existir no Omniscol com o endereço de e-mail correto. O login SSO corresponde por e-mail; sem provisionamento automático por defeito.