Tutorial: Integração do SSO (logon único) do Microsoft Entra ao Workplace by Meta

Nesse tutorial, você aprenderá a integrar o Workplace by Meta ao Microsoft Entra ID. Ao integrar o Workplace by Meta ao Microsoft Entra ID, você pode:

• Controlar quem tem acesso ao Workplace by Meta no Microsoft Entra ID.
• Permitir que os usuários entrem automaticamente no Workplace by Meta com suas contas do Microsoft Entra.
• Gerencie suas contas em um local central.

Pré-requisitos

Para começar, você precisará dos seguintes itens:

• Uma assinatura do Microsoft Entra. Caso você não tenha uma assinatura, obtenha uma conta gratuita.
• Assinatura do Workplace by Meta habilitada para SSO (logon único).

Observação

A Meta tem dois produtos, o Workplace Standard (gratuito) e o Workplace Premium (pago). Qualquer locatário do Workplace Premium pode configurar a integração de SCIM e SSO sem outras implicações para o custo ou as licenças necessárias. O SSO e o SCIM não estão disponíveis nas instâncias do Workplace Standard.

Descrição do cenário

Neste tutorial, você vai configurar e testar o SSO do Microsoft Entra em um ambiente de teste.

• O Workplace by Meta dá suporte ao SSO iniciado por SP .
• O Workplace by Meta dá suporte ao provisionamento just-in-time.
• O Workplace by Meta dá suporte ao Provisionamento de Usuário automático.
• O aplicativo móvel Workplace by Meta agora pode ser configurado com o Microsoft Entra ID para ativar o SSO. Neste tutorial, você vai configurar e testar o SSO do Microsoft Entra em um ambiente de teste.

Como adicionar o Workplace by Meta pela galeria

Para configurar a integração do Workplace by Meta ao Microsoft Entra ID, você precisa adicionar o Workplace by Meta pela galeria à lista de aplicativos SaaS gerenciados.

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.
3. Na seção Adicionar pela galeria, digite Workplace by Meta na caixa de pesquisa.
4. Selecione Workplace by Meta no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Opcionalmente, você também pode usar o Assistente de Configuração de Aplicativos do Enterprise. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o SSO do Microsoft Entra para o Workplace by Meta

Configure e teste o SSO do Microsoft Entra com o Workplace by Meta com um usuário de teste chamado B.Fernandes. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no Workplace by Meta.

Para configurar e testar o SSO do Microsoft Entra com o Workplace by Meta, execute as seguintes etapas:

1. Configurar o SSO do Microsoft Entra – Para permitir que os usuários usem esse recurso.
   1. Crie um usuário de teste do Microsoft Entra para testar o logon único do Microsoft Entra com B.Silva.
   2. Atribuir o usuário de teste do Microsoft Entra – para permitir que B.Fernandes use o logon único do Microsoft Entra.
2. Configurar o SSO do Workplace by Meta – Para definir as configurações de logon único no lado do aplicativo.
   1. Criar usuário de teste no Workplace by Meta – para ter um equivalente de B.Fernandes no Workplace by Meta que esteja vinculado à representação desse usuário no Microsoft Entra.
3. Testar o SSO – para verificar se a configuração funciona.

Configurar o SSO do Microsoft Entra

Siga estas etapas para habilitar o SSO do Microsoft Entra.

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

2. Acesse a página de integração de aplicativos Identidade>Aplicativos>Aplicativos empresariais>Workplace by Meta, encontre a seção Gerenciar e selecione Logon único.

3. Na página Escolher um método de logon único, escolha SAML.

4. Na página Configurar o Logon Único com o SAML, clique no ícone de caneta da Configuração Básica do SAML para editar as configurações.

   

5. Na seção Configuração Básica do SAML, insira os valores para os seguintes campos:

   a. Na caixa de texto URL de logon (encontrada no WorkPlace como a URL do destinatário), digite uma URL usando o seguinte padrão: https://.workplace.com/work/saml.php

   b. Na caixa de texto Identificador (ID da Entidade) (encontrada no WorkPlace como a URL do público-alvo), digite uma URL usando o seguinte padrão: https://www.workplace.com/company/

   c. Na caixa de texto URL de Resposta (encontrada no WorkPlace como o Serviço do Consumidor de Asserção), digite uma URL usando o seguinte padrão: https://.workplace.com/work/saml.php

   Observação

   Esses não são os valores reais. Você precisa atualizar esses valores com a URL de Logon, o Identificador e a URL de Resposta reais. Confira a página Autenticação do Workplace Company Dashboard a fim de obter os valores corretos para a comunidade do Workplace. Isso será explicado posteriormente no tutorial.

6. Na página Configurar o Logon Único com SAML, na seção Certificado de Autenticação SAML, localize Certificado (Base64) e escolha Baixar para fazer o download do certificado e salvá-lo no computador.

   

7. Na seção Configurar o Workplace by Meta, copie as URLs apropriadas de acordo com suas necessidades.

   

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste chamado B.Fernandes.

1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.
2. Navegue até Identidade>Usuários>Todos os usuários.
3. Na parte superior da tela, selecione Novo usuário>Criar novo usuário.
4. Nas propriedades do Usuário, siga estas etapas:
   1. No campo Nome de exibição, insira B.Simon.
   2. No campo Nome principal do usuário, insira o username@companydomain.extension. Por exemplo, B.Simon@contoso.com.
   3. Marque a caixa de seleção Mostrar senha e, em seguida, anote o valor exibido na caixa Senha.
   4. Selecione Examinar + criar.
5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você permitirá que B.Fernandes use o logon único concedendo a ele acesso ao Workplace by Meta.

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
2. Acesse Identidade>Aplicativos>Aplicativos empresariais>Workplace by Meta.
3. Na página de visão geral do aplicativo, selecione Usuários e grupos.
4. Selecione Adicionar usuário/grupo e, em seguida, Usuários e grupos na caixa de diálogo Adicionar atribuição.
   1. Na caixa de diálogo Usuários e grupos, selecione B.Fernandes na lista Usuários e clique no botão Selecionar na parte inferior da tela.
   2. Se você estiver esperando que uma função seja atribuída aos usuários, escolha-a na lista suspensa Selecionar uma função. Se nenhuma função tiver sido configurada para esse aplicativo, você verá a função "Acesso Padrão" selecionada.
   3. Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.

Configurar o SSO do Workplace by Meta

1. Em outra janela do navegador da Web, entre em seu site da empresa do Workplace by Meta como administrador

   Observação

   Como parte do processo de autenticação SAML, o Workplace poderá utilizar cadeias de consulta de até 2,5 kB para passar parâmetros para o Microsoft Entra ID.

2. Navegue até a guia Autenticação>de segurança>do painel de administração.

   

   a. Marque a opção SSO (logon único).

   b. Selecione SSO como padrão para novos usuários.

   c. Clique em +Adicionar novo Provedor de SSO.

   Observação

   Marque também a caixa de seleção Logon de senha. Os administradores podem precisar dessa opção para fazer logon enquanto fazem a sobreposição do certificado, a fim de impedir que fiquem sendo bloqueados.

3. Na janela pop-up Configurações de SSO (logon único) , realize as seguintes etapas:

   

   a. No Nome do Provedor de SSO, insira o nome da instância de SSO, como Azureadsso.

   b. Na caixa de texto URL do SAML, cole o valor da URL de logon.

   c. Na caixa de texto URL do Emissor SAML, cole o valor do Identificador do Microsoft Entra.

   d. Abra o Certificado (Base64) baixado no Bloco de notas, copie o conteúdo dele para a área de transferência e cole-o na caixa de texto Certificado SAML.

   e. Copie a URL do público-alvo da instância e cole-a na caixa de texto Identificador (ID da entidade) na seção Configuração básica do SAML.

   f. Copie a URL do destinatário da instância e cole-a na caixa de texto URL de logon na seção Configuração básica do SAML.

   g. Copie a URL do ACS (Serviço do Consumidor de Declaração) da instância e cole-a na caixa de texto URL de resposta na seção Configuração básica do SAML.

   h. Role até o final da seção e clique no botão Testar SSO. Isso resultará na exibição de uma janela pop-up com a página de logon do Microsoft Entra apresentada. Insira suas credenciais como de costume para se autenticar.

   Solução de problemas: verifique se o endereço de email retornado do Microsoft Entra ID é o mesmo da conta do Workplace com a qual você está conectado.

   i. Depois que o teste for concluído com êxito, role até a parte inferior da página e clique no botão Salvar.

   j. Agora, todos os usuários que usam o Workplace verão a página de logon do Microsoft Entra para autenticação.

4. Redirecionamento de Logoff SAML (opcional) -

   Você pode optar por configurar um URL de Logoff SAML, que pode ser usado para apontar para a página de logoff do Microsoft Entra ID. Quando essa configuração for habilitada e configurada, o usuário não será mais direcionado para a página de logoff do Workplace. Em vez disso, o usuário será redirecionado para a URL que foi adicionada à configuração Redirecionamento de Logoff SAML.

Configurando a frequência de reautenticação

É possível configurar o Workplace para solicitar uma verificação SAML todos os dias, a cada três dias, toda semana, a cada duas semanas, todos os meses ou nunca.

Observação

O valor mínimo para a verificação SAML em aplicativos móveis é definido como uma semana.

Você também pode forçar uma redefinição SAML para todos os usuários usando o botão Exigir autenticação SAML para todos os usuários agora.

Criar um usuário de teste do Workplace by Meta

Nesta seção, um usuário chamado B.Fernandes é criado no Workplace by Meta. O Workplace by Meta dá suporte ao provisionamento just-in-time, que é habilitado por padrão.

Não há nenhuma ação para você nesta seção. Se ainda não existir um usuário no Workplace by Meta, um novo será criado quando você tentar acessá-lo.

Observação

Se você precisar criar um usuário manualmente, entre em contato com a equipe de suporte ao cliente do Workplace by Meta.

Testar o SSO

Nesta seção, você vai testar a configuração de logon único do Microsoft Entra com as opções a seguir.

• Clique em Testar este aplicativo. Isso redirecionará você à URL de logon do Workplace by Meta, a fim de iniciar o fluxo de logon.

• Acesse a URL de entrada do Workplace by Meta diretamente e inicie o fluxo de logon.

• Você pode usar os Meus Aplicativos da Microsoft. Ao clicar no bloco do Workplace by Meta em Meus Aplicativos, você será redirecionado à URL de entrada do Workplace by Meta. Para obter mais informações sobre os Meus Aplicativos, confira Introdução aos Meus Aplicativos.

Testar o SSO do Workplace by Meta (móvel)

1. Abra o aplicativo móvel Workplace by Meta. Na página de entrada, clique em FAZER LOGON.

   

2. Insira seu email comercial e clique em CONTINUAR.

   

3. Clique em APENAS UMAS VEZ.

   

4. Clique em Permitir.

   

5. Por fim, após entrar com sucesso, a home page do aplicativo será exibida.

   

Próximas etapas

Depois de configurar o Workplace by Meta, você poderá impor o controle de sessão, o que protege os dados confidenciais da organização contra exfiltração e infiltração em tempo real. O controle da sessão é estendido do acesso condicional. Saiba como impor o controle de sessão com o Microsoft Defender for Cloud Apps.