Configuracao SAML SSO
O Batida suporta single sign-on com SAML 2.0 no plano Enterprise. Este guia explica como configurar o SAML com seu provedor de identidade (IdP).
Prerequisitos
- Plano Enterprise (ou periodo de teste)
- Acesso de administrador da organizacao
- URL de metadados e certificado do seu IdP
Passo 1 — Adicionar uma configuracao SAML
- Acesse Configuracoes > Seguranca.
- Na secao SSO, clique em Adicionar Provedor SAML.
- Preencha os campos:
| Campo | Descricao |
|---|---|
| Nome do provedor | Um nome de exibicao para o seu IdP (ex.: Okta, Azure AD) |
| IdP Entity ID | O entity ID dos metadados do seu IdP |
| SSO URL | A URL de Single Sign-On dos metadados do seu IdP |
| Certificado | O certificado X.509 do seu IdP |
- Clique em Salvar.
Passo 2 — Baixar metadados SP
Apos salvar, o Batida gera um XML de metadados do Service Provider (SP):
- Acesse Configuracoes > Seguranca.
- Na secao SSO, clique em Baixar Metadados SP.
- Envie este arquivo XML para o administrador do seu IdP.
Passo 3 — Testar a conexao
- Acesse Configuracoes > Seguranca.
- Clique em Testar Login SAML.
- Voce sera redirecionado para a pagina de login do seu IdP.
- Apos autenticar, voce sera redirecionado de volta ao Batida e fara login automaticamente.
Passo 4 — Obrigar autenticacao exclusiva por SSO (opcional)
Apos configurar o SAML, os administradores podem exigir que todos os membros usem SSO:
- Acesse Configuracoes > Seguranca.
- Ative a opcao Autenticacao exclusiva por SSO.
- Os membros nao poderao mais fazer login com email/senha.
WARNING
Ativar o modo exclusivo por SSO nao afeta sessoes existentes. Membros que ja estao logados permanecerao assim ate a expiracao da sessao.
Resolucao de problemas
| Problema | Solucao |
|---|---|
| "Resposta SAML invalida" | Verifique se o certificado do IdP corresponde ao configurado no Batida. |
| "Loop de redirecionamento" | Verifique se a URL de SSO do IdP e a ACS URL estao corretas. |
| "Certificado expirado" | Faca upload do certificado atualizado do seu IdP. |