Adição de uma conexão SSO para uma organização
Sobre a adição de uma conexão
Esta página mostrará como conectar sua organização da Qualtrics ao SSO SAML ou OAuth 2.0. Para começar, acesse a guia Authentication (Autenticação) nas Configurações Organização e selecione Add a connection (Adicionar uma conexão).
Somente os administradores Marca podem concluir essas etapas.
Informações gerais
- Nome: nomeie a conexão. Este é um campo obrigatório.
Qdica: esse nome é exibido na guia SSO da configuração da organização para que você possa distinguir as diferentes conexões adicionadas. Isso não será exibido na sua página de logon.
- Contato técnico: adicione o endereço de e-mail de um contato técnico que provavelmente será alguém de sua equipe de TI. Esta é a pessoa que a Qualtrics pode contatar se houver dúvidas técnicas ou atualizações relacionadas a essa conexão SSO. Este campo é opcional, mas recomendado expressamente.
- Nome de exibição: o nome de exibição é o que será exibido na página de login da sua organização quando os usuários forem solicitados a selecionar uma conexão SSO. Os nomes de exibição podem ter até 120 caracteres de comprimento. Veja mais sobre isso em Ativação e desativação de conexões SSO.
Qdica: Isso só pode ser aplicado a conexões SSO. O nome de exibição não pode ser alterado para o login padrão da Qualtrics.
Configurando uma conexão com o Google
Um tipo de OAuth 2.0 que você pode adicionar é uma conexão com o Google. A conexão da sua organização ao SSO do Google permitirá que seus usuários se inscrevam ou façam login usando suas contas do Google.
- Em Informações de protocolo, selecione OAuth 2.0.
- Em Selecionar tipo OAUth, selecione Google.
- Configure as opções de provisionamento de usuário que deseja incluir.
- Em Domínios válidos de email, insira os domínios de email que podem ser usados para se inscrever em uma conta Qualtrics sob sua licença. Se você adicionar um asterisco ( * ), qualquer domínio da sua organização poderá ser usado para se registrar.
Exemplo: Barnaby trabalha na Tread, onde todos os funcionários têm um e-mail personalizado, por exemplo, barnabys@treadmade.org. Seus domínios de e-mail válidos seriam em esteira rolante.Qdica: por padrão, este campo está vazio. Portanto, certifique-se de adicionar um asterisco (*) ou os domínios do Gmail da sua empresa. Separe vários domínios com vírgulas.
- Configurar opções de migração de usuário.
- Aplique suas modificações.
Configurando uma conexão OAuth 2.0
Depois de definir as Informações do protocolo como OAuth 2.0, vários campos serão exibidos. Todos esses campos são necessários para configurar sua conexão OAuth 2.0, exceto o nome.
- Em Informações de protocolo, selecione OAuth 2.0.
- Em Selecionar tipo OAuth, selecione Personalizado.
- Escreva um nome para sua conexão. (Opcional.)
- Forneça um ID de mandante.
Qdica: Os IDs de cliente identificam e autenticam o cliente (neste caso, Qualtrics). O ID do cliente pode ser adquirido do servidor de autorização (ou seja, seu provedor OAuth).
- Forneça uma chave secreta do cliente.
Qdica: O segredo do cliente identifica e autentica o cliente. Ele é adquirido do servidor de autorização.Qdica: Clique no ícone de olho para mostrar o segredo do cliente.
- Cole o URL correto no campo Ponto de acesso de autorização.
Qdica: um ponto de extremidade de autorização lida com a autenticação e o consentimento do usuário. Após o usuário autenticar e consentir o acesso de seus recursos, um código de autorização é enviado de volta ao cliente.
- Cole o URL correto no campo Ponto de acesso de token.
Qdica: o ponto de acesso do token é um ponto de acesso no servidor de autorização que lida com a troca de códigos de autorização para tokens de acesso. - Selecione um ou os dois Métodos de autorização de ponto de acesso de token. Isso é utilizado para o ponto de acesso de token.
- Chave secreta do cliente básica: a chave secreta do cliente está codificada no cabeçalho da autorização.
- Post secreto do cliente: a chave secreta do cliente é incluída no corpo da solicitação como um parâmetro de formulário.
- Cole o URL correto no campo Ponto de extremidade de informações do usuário.
Qdica: o ponto de acesso de informações do usuário no servidor de recursos aceita e valida um token de acesso do cliente e retorna as informações do usuário de volta ao cliente.
- Cole o URL correto no campo Ponto de acesso de chaves públicas.
Qdica: este ponto de extremidade de chaves públicas é usado durante a validação do token de ID. O cliente (Qualtrics) vai até este ponto de extremidade para recuperar as chaves públicas e tentar fazer a correspondência entre o id de chave encontrado no token de ID e uma das chaves públicas. Este campo não é necessário se o token id for assinado com um algoritmo baseado em MAC (por exemplo, HMAC256, HMAC512).
- Cole o URL correto no campo Emissor do token.
Qdica: o campo Emissor do token é usado durante a validação do token de identificação.
- Adicione o(s) algoritmo(s) usado(s) para assinar o token de ID.
Qdica: este campo é usado para validação do token de ID quando o escopo openid é especificado no campo Escopo (Etapa 14). Você pode adicionar vários algoritmos que podem ser usados para assinar o token de ID. O padrão é RS256. Você não precisa adicionar algoritmos se o token de id é assinado com um algoritmo baseado em MAC.
- Selecione um Tipo de vinculação do tipo de solicitação autenticado. Isso é usado para o ponto de acesso de informações do usuário.
- Cabeçalho: o token de acesso está incluído no cabeçalho de autorização.
- Corpo: o token de acesso é incluído no corpo da resposta como um parâmetro de formulário.
- Consulta: o token de acesso é incluído no corpo da resposta como um parâmetro de consulta.
- Insira um Escopo.
Qdica: o escopo é usado para especificar quais recursos são solicitados do ponto de acesso de informações do usuário (ou seja, a lista de recursos que o proprietário do recurso está enviando ao cliente). Exemplos de escopos incluem openid, e-mail e perfil.
- O campo Tipo de resposta está definido como “código” e não pode ser editado. Atualmente, a Qualtrics suporta apenas o fluxo de código de autorização.
- O campo Tipo de concessão está definido como “Authorization_code” e não pode ser editado. Atualmente, a Qualtrics só suporta o fluxo de código de autorização por enquanto.
- Você receberá um ponto de acesso de redirecionamento OAuth. Este é o ponto de acesso para o qual o provedor de identidade redireciona de volta com um código de autorização. A troca de informações de token e usuário ocorre neste ponto de acesso.
Qdica: você e sua equipe de TI precisam configurar seu provedor de identidade por conta própria. Os representantes da Qualtrics não podem executar esta etapa para você.
- Adicionar campos de atributo de usuário.
- Configure as opções de mapeamento.
- Configure as opções de provisionamento de usuário.
- Configurar opções de migração de usuário.
- Configure os atributos do dashboard.
- Aplique suas modificações.
Configurando uma conexão SAML
- Em Informações de protocolo, selecione SAML.
- Carregar configurações do provedor de identidade.
- Configure opções adicionais.
- Defina as configurações do provedor de serviços.
- Adicionar campos de atributo de usuário.
- Configure as opções de mapeamento.
- Configure as opções de provisionamento de usuário.
- Configurar opções de migração de usuário.
- Configure os atributos do dashboard.
- Aplique suas modificações.
Carregar configurações do provedor de identidade (SAML)
Se você tiver as informações de metadados do IdP disponíveis no formato XML, clique em Carregar metadados do IdP e cole-os na janela aberta. Isso preencherá os campos nas etapas seguintes (ID da entidade, ligações de serviço Single Sign-On, Certificados) com as informações que você fornece.
ID da entidade
A ID da entidade é o identificador exclusivo do provedor de identidade e pode ser encontrada nos metadados do seu provedor de identidade. Este campo será preenchido automaticamente a partir do upload de metadados ou você pode adicioná-lo manualmente.
Ligações de serviço Single Sign-On
Vinculações de serviço de Single Sign-On são pontos de acesso usados para se conectar ao provedor de identidade e podem ser encontradas nos metadados do seu provedor de identidade.
Para adicionar uma nova ligação manualmente,
- Selecione um Tipo de vinculação. Atualmente, a Qualtrics suporta HTTP POST e HTTP Redirect.
Qdica: Se HTTP POST estiver ativado, a solicitação SAML será assinada.
- Em Local da vinculação, insira o URL.
- Clique em Adicionar vinculação.
- Assim que você adicionar uma vinculação, ela será listada na parte superior. Se você tiver adicionado várias ligações, só pode selecionar 1 para ativar.
Você pode excluir vinculações usando o ícone da lixeira à direita de uma vinculação.
Certificados
O certificado é a chave usada para autenticar a conexão SAML. A Qualtrics exige um certificado de assinatura para logons iniciados pelo SP, que pode ser encontrado nos metadados do seu provedor de identidade. Se você planeja usar apenas logins iniciados por IdP, não é necessário um certificado de assinatura.
Para adicionar um novo certificado,
- Defina o Tipo de certificado como Assinatura.
- Em Certificado, cole a chave.
- Clique em Adicionar certificado.
Você pode adicionar vários certificados de assinatura.
Você pode excluir certificados utilizando o ícone de lixeira à direita de um certificado.
Opções adicionais (SAML)
As seguintes configurações são todas opcionais. Leia atentamente o que cada um faz antes de ativá-los ou desativá-los.
- Assinar solicitação: se você tiver uma vinculação que é uma solicitação de autenticação e precisar que a assinemos, ative esta configuração. Para garantir que a solicitação veio da Qualtrics e não de alguém que possa ter interceptado a mensagem, assinaremos a solicitação enviada ao provedor de identidade.
- Forçar autenticação: quando habilitada, a Qualtrics forçará os usuários a se autenticarem, mesmo que haja uma sessão ativa. Só funcionará se seu IdP suportar esse tipo de configuração.
- Ativar prevenção de replay de asserção: quando ativado, a Qualtrics não reutilizará uma asserção que já vimos, que é uma maneira de evitar ataques de replay SAML. Recomendamos que você ative esta opção.
Configurações do provedor de serviços (SAML)
Depois de definir as informações de protocolo como SAML, você precisará inserir as configurações do provedor de identidade e poderá baixar os metadados do provedor de serviços clicando em Baixar metadados do provedor de serviços. Isso só estará disponível depois que você salvar suas configurações de conexão pela primeira vez.
Ao configurar os metadados do provedor de serviços (SP) em seu portal IdP, confira nosso guia para provedores de identidade comuns. Se você planeja usar logins iniciados por IdP, aplique o Estado de retransmissão padrão à configuração do IdP.
Campos de atributo de usuário (ambos)
Nesta seção, você inserirá os nomes dos atributos que planeja enviar no intercâmbio SSO. O único campo obrigatório é o endereço de e-mail, mas recomendamos a inclusão de um campo de nome, sobrenome e nome de usuário para preencher o perfil do usuário na Qualtrics. Os campos Tipo de usuário, Divisão e Grupo são campos opcionais que podem ser usados para mapeamento de funções.
Para uma resposta SAML, todos os nomes de atributo diferenciam maiúsculas de minúsculas e devem ser escritos exatamente como aparecem na seção Instrução de atributo da sua resposta SAML. O Qualtrics não pode se autenticar fora do campo “NameID” na sua resposta SAML.
- Campo E-mail: o nome do campo que contém os e-mails dos usuários. Esse campo é obrigatório.
- Campo Nome de usuário: o campo que contém os nomes de usuário, se você quiser que eles sejam diferentes dos endereços de e-mail. Este campo é opcional e será predefinido para o campo de e-mail se nada for fornecido.
Atenção: se você estiver usando o provisionamento just-in-time e quiser alterar o atributo mapeado para o campo de nome de usuário, entre em contato com o Suporte da Qualtrics. A alteração desse valor de atributo depois de configurado pode afetar potencialmente os logons SSO.Aviso: se várias conexões SSO estiverem ativadas, será possível duplicar nomes de usuário entre os provedores de SSO. Nessa situação, a Qualtrics os considerará o mesmo usuário e concederá acesso à conta mapeada para o nome de usuário mencionado. Para evitar esta situação, utilize um campo único sem modificações em todos os provedores de SSO.Qdica: A melhor prática é usar um campo exclusivo e imutável para o nome de usuário. Pode ser um endereço de e-mail ou um identificador exclusivo, como um ID do empregado.
- Campo Primeiro nome: primeiros nomes dos usuários. Predefinido para o e-mail se nada for fornecido.
- Campo Sobrenome: sobrenomes dos usuários. Predefinido para o e-mail se nada for fornecido.
- Campo Tipo de usuário: você pode querer que os usuários sejam atribuídos a um determinado tipo de usuário assim que eles fizerem login na Qualtrics pela primeira vez. Consulte Atribuindo permissões de usuário para obter mais informações.
Qdica: Se nada estiver definido, todos os usuários usarão como padrão o tipo de usuário da sua marca.
- Campo Divisão: você pode querer que os usuários sejam atribuídos a uma determinada divisão assim que eles fizerem login na Qualtrics pela primeira vez. Consulte Atribuindo permissões de usuário para obter mais informações.
- Campo Grupo: você pode querer que os usuários sejam atribuídos a um determinado grupo assim que eles fizerem login na Qualtrics pela primeira vez. Se este campo for deixado em branco, os usuários não serão atribuídos a grupos. Consulte Atribuindo permissões de usuário para obter mais informações.
- Ative Atualizar atributos do usuário em cada alternância de login se você quiser que os atributos do seu usuário sejam atualizados cada vez que ele acessar. A Qualtrics atualizará seus atributos de usuário para o valor fornecido pelo provedor de identidade após o login.
Depois de inserir esses nomes de atributo, você pode configurar o resto do mapeamento na seção seguinte, Opções de mapeamento.
Qdica: O nome do atributo pode até aparecer como URL. Isso ocorre comumente com ADFS e IdPs Azure e pode ter o seguinte aspecto:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
Verifique a resposta SAML para confirmar como o atributo está listado.
Opções de mapeamento (ambas)
Se você tiver optado por definir tipos de usuário, grupos ou divisões, precisará mapear os valores de atributo com os campos existentes no Qualtrics. Você especificará quais valores correspondem a quais tipos de usuários, grupos ou divisões na Qualtrics.
Em Valor do provedor de identidade, insira o valor conforme configurado em seu provedor de identidade. Em Valor Qualtrics, selecione o tipo, grupo ou divisão correspondente. Em seguida, clique em Adicionar mapeamento. Você precisará concluir essas etapas para cada valor que o provedor de identidade definiu.
Para restringir o acesso à plataforma somente aos tipos de usuário mapeados, você pode ativar a validação do tipo de usuário. Isso significa que cada vez que um usuário tentar fazer login na Qualtrics via SSO, o sistema exigirá que ele tenha um tipo de usuário que corresponda a 1 dos mapeamentos que você criou. Isso é útil se o valor associado ao campo de tipo de usuário for alterado no provedor de identidade e permitir que os administradores modifiquem rapidamente as permissões do usuário.É possível efetuar mapeamentos
semelhantes para grupos e setores de atividade, desde que você tenha definido esses campos em Campos de atributo do usuário.
Se você optar por não mapear tipos de usuário, divisões ou grupos, todos os usuários serão atribuídos ao tipo de usuário de autoinscrição padrão selecionado na sua ficha de registro Admin em Tipos de usuário.
Opções de Provisionamento do Usuário (Ambos)
- Provisionamento just in time: se um usuário não existir no Qualtrics e fizer login com sucesso via SSO com um domínio de e-mail aprovado, crie um usuário.
- Notificar administradores sobre criação de usuário: notificar administradores específicos quando um usuário for criado em sua marca Qualtrics. Você pode especificar quem recebe essa notificação em Notificação por e-mail de autoinscrição.
- Domínios de e-mail válidos: insira os domínios de e-mail que podem ser usados para se registrar em uma conta da Qualtrics sob sua licença. Isso será predefinido com um asterisco ( * ), indicando que qualquer domínio pode ser usado para se inscrever. Separe vários domínios com vírgulas.
Qdica: Esta lista afeta o registro de SSO e a autenticação subsequente no produto.
Opções de migração de usuário (ambas)
Depois de testar e ativar sua nova conexão SSO, talvez seja necessário atualizar os nomes de usuário de qualquer usuário existente em sua licença. Quando os usuários fazem login por meio de SSO, a Qualtrics verifica se eles têm uma conta usando o atributo que você especificou como o campo Nome de usuário. Para garantir que o login SSO corresponda à conta de usuário existente apropriada, o nome de usuário do usuário, conforme listado na guia Admin, precisa estar no seguinte formato.
Value_of_Username_field_attribute#brandID
Você pode atualizar os nomes de usuário para esse formato usando qualquer um dos cinco seguintes métodos:
Método 1: Adicionando #BrandID a nomes de usuário existentes
Se você só precisar adicionar o #brandID ao final dos nomes de usuário dos usuários existentes, pode ativar a opção Alterar nome de usuário existente no login. Quando o usuário fizer login via SSO pela primeira vez, o #brandID será automaticamente anexado ao final do nome de usuário.
Método 2: provisionamento Just-in-Time
Se o provisionamento Just-In-Time estiver ativado em Opções de provisionamento de usuário, você poderá selecionar Mesclar com usuário existente na opção de login. Se o seguinte for verdadeiro, o usuário será solicitado com a seguinte tela:
- Ainda não existe uma conta na marca que tenha um nome de usuário que corresponda ao valor de nome de usuário de SSO para o usuário.
- O usuário faz login pela primeira vez depois que o SSO é habilitado para a marca.
- O usuário deve selecionar Sim, tenho uma conta preexistente aqui se ele já tiver uma conta Qualtrics na marca. Em seguida, o usuário deve inserir as credenciais da conta Qualtrics e clicar em Verificar conta. Isso atualizará o nome de usuário da conta Qualtrics existente para que ele corresponda ao valor de nome de usuário de SSO transmitido ao efetuar login. O usuário não verá esta tela mais adiante:
- O usuário deve selecionar Não, não tenho uma conta preexistente aqui se ainda não tiver uma conta Qualtrics na marca. Em seguida, o usuário deve clicar em Acessar quando solicitado. Isso criará uma conta Qualtrics com o valor de nome de usuário SSO do usuário transmitido no login. O usuário não verá essa tela mais adiante.
Método 3: número pequeno de usuários
Se você tiver uma pequena quantidade de usuários existentes, poderá atualizar os nomes de usuário manualmente em sua página Admin.
Método 4: grande número de usuários
Se você tiver uma grande quantidade de usuários existentes e tiver a API ativada para sua licença, poderá usar nossa API pública para atualizar nomes de usuário.
Método 5: Licença de experiência do colaborador
Se você estiver usando a plataforma Employee Experience, poderá atualizar os nomes de usuário por meio do recurso de upload de arquivo.
Atributos do dashboard (ambos)
Se sua licença incluir CX Dashboards ou qualquer um dos nossos produtos de Employee Experience, você poderá passar atributos adicionais do que os definidos na seção “Atributos do usuário”. Para CX Dashboards, esses atributos adicionais podem ser usados para atribuir funções automaticamente a usuários na autenticação SSO. Para nossos produtos de Experiência do funcionário, você só poderá capturar 1 atributo adicional chamado ID exclusivo. Esse campo é obrigatório para todos os participantes e pode ser atribuído por meio da autenticação SSO ou por meio do recurso de upload de arquivo.
Para adicionar atributos adicionais, ative Capturar atributos adicionais para dashboards.
Assim que essa opção for ativada, você inserirá os nomes de atributo que deseja capturar exatamente como são exibidos na seção “Instrução de atributo” da resposta SAML.
Aplicação e anulação de modificações (ambos)
Para salvar suas alterações, clique em Aplicar.
Se você desejar reverter as alterações feitas na tela para a última versão salva em vez de aplicá-las, clique em Reverter.