Qualtrics Platform
Customer Journey Optimizer
XM Discover
Qualtrics Social Connect

Configuração das definições de SSO Organização

Sobre a configuração das definições de SSO Organização

Como administrador Marca, você pode criar e gerenciar suas conexões SAML e OAuth 2.0 Single Sign-On (SSO). Você poderá adicionar novas conexões, atualizar certificados em conexões existentes, modificar configurações como o provisionamento Just In Time e muito mais. Essas conexões podem ser usadas para gerenciar como os usuários da sua organização fazem login em suas contas Qualtrics e quais opções de autenticação pesquisa estão disponíveis. Para começar:

Acesse a página do Administrador.
Vá para Configurações Organização.
Selecione Authentication (Autenticação).
Qdica: as configurações de SSO foram movidas para a seção Autenticação das configurações organização.

Qdica: se estiver configurando o SSO SAML ou OAuth 2.0 pela primeira vez, você tem a opção de fazer a implementação por meio do portal de autoatendimento por conta própria ou pode adquirir a ajuda de um consultor experiente. Se estiver interessado em trabalhar com um consultor de implementação, contato o seu executivo Conta.

Qdica: Nesse caso, a Qualtrics atua como SP (provedor de serviços), mas você precisará configurar seu IdP (provedor de identidade) com sua equipe de TI.

Adição de uma conexão

Para obter uma descrição detalhada de todas as etapas e configurações, consulte Como adicionar uma conexão SSO para uma Organização.

Gerenciamento de conexões SSO para login Organização

Esta seção explica como ativar e desativar conexões SSO para controlar a experiência de login do usuário da organização.

Você verá uma conexão denominada Qualtrics Login for [Your Organização ID]. Desativar essa conexão exigirá que todos os usuários façam login por meio do SSO e removerá a opção de os usuários fazerem login com seu nome de usuário e senha do Qualtrics.

Qdica: se estiver trabalhando com um consultor externo que não tenha credenciais de SSO na sua organização, provavelmente será necessário ativar essa opção.

Aviso: A desativação de uma conexão desativará o login de toda a sua base de usuários. Quando a conexão SSO for desativada, os usuários precisarão fazer login usando um nome de usuário e uma senha Qualtrics separados. Ao desativar ou ativar uma conexão, lembre-se de como isso afetará a sua base de usuários.

Quando você adicionar uma conexão pela primeira vez, ela terá como padrão o status de desativada na coluna “Usar para login organização “. A ativação de uma conexão SSO para o login organização indica que o login SSO agora está ativo na sua licença para toda a sua base de usuários.

Aviso: Antes de ativar uma conexão, certifique-se de ter concluído a implementação da conexão e testou o login.

Qdica: você pode adicionar e ativar até 20 conexões por vez.

Depois de ativar e desativar as conexões desejadas, a experiência do usuário no URL da organização(https://OrganizationID.qualtrics.com) será um dos seguintes cenários:

EXPERIÊNCIA DO USUÁRIO QUANDO APENAS O LOGIN DO QUALTRICS ESTÁ ATIVADO

Quando a única conexão de login organização habilitada for “Qualtrics Login for [Your Organização ID]”, o URL da sua organização(https://OrganizationID.qualtrics.com) direcionará para a tela de login padrão do Qualtrics e todos os usuários serão autenticados com seu nome de usuário e senha do Qualtrics.

EXPERIÊNCIA DO USUÁRIO QUANDO APENAS UMA CONEXÃO SSO ESTÁ HABILITADA

Quando a conexão “Qualtrics Login for [Your Organização ID]” estiver desativada e apenas uma conexão SSO estiver ativada para o login organização, o usuário acessará o URL da organização e será redirecionado automaticamente pelo fluxo de autenticação SSO. Todos os usuários deverão fazer login via SSO.

Qdica: o usuário verá sua página de login de SSO se não tiver uma sessão de SSO ativa. O usuário pode ser automaticamente conectado à plataforma se tiver uma sessão SSO ativa no momento.

EXPERIÊNCIA DO USUÁRIO QUANDO MAIS DE UMA CONEXÃO SSO ESTÁ HABILITADA

Quando a conexão “Qualtrics Login for [Your Organização ID]” estiver desativada e mais de uma conexão SSO estiver ativada para o login organização, o usuário acessará o URL da organização e verá uma lista de todas as conexões SSO ativadas. O usuário terá de escolher com qual conexão SSO deseja se autenticar.

EXPERIÊNCIA DO USUÁRIO QUANDO UMA CONEXÃO SSO ESTÁ HABILITADA E O LOGIN DO QUALTRICS ESTÁ HABILITADO

Quando a conexão “Qualtrics Login for [Your Organização ID]” estiver habilitada e mais de uma conexão SSO estiver habilitada para o login organização, você terá a opção de redirecionar o usuário para uma página de destino com todas as opções disponíveis. Quando essa opção estiver ativada, o usuário acessará seu URL organizacional e verá uma lista de todas as conexões SSO ativadas, bem como a opção Qualtrics Login. O usuário terá que escolher o método de autenticação de sua preferência.

Para ativar essa página de destino:

Encontre a conexão chamada Qualtrics Login for [Your Organização ID].
Selecione Edit.
Selecione Habilitar conexão no URL organização.
Clique em Aplicar ) para salvar suas alterações.

Se você não selecionar essa opção, seu URL organizacional será redirecionado para o fluxo de autenticação de SSO. Os usuários que desejarem fazer login sem SSO podem usar um dos links a seguir:

Para usuários do FedRAMP: https://gov1.qualtrics.com
Para todos os outros usuários: https://qualtrics.com/login

Qdica: se você tiver um URL de vaidade configurado para sua organização, o URL de vaidade substituirá o URL de sua marca.

Gerenciamento de conexões SSO para autenticação Pesquisa

Quando você adicionar uma conexão pela primeira vez, ela terá como padrão o status de desativada na coluna Usar para autenticador pesquisa . A ativação de uma conexão SSO para um autenticador de pesquisa indica que o login SSO está disponível como uma opção para autenticadores pesquisa.

Qdica: você pode adicionar e ativar até 20 conexões para autenticadores pesquisa vez.

Aviso: Antes de ativar uma conexão, certifique-se de ter implementado completamente a conexão e testado o login.

Aviso: Se você desativar uma conexão SSO para autenticadores pesquisa quando houver um projeto usando essa conexão SSO no momento, os participantes pesquisa serão direcionados para uma página de erro.

Conexões padrão de SAML SSO

A conexão SAML padrão será usada sempre que o Qualtrics receber uma solicitação que não especifique qual conexão SAML específica deve ser usada. Isso é particularmente importante para solicitações de login iniciadas pelo IdP.

Conexão SAML de login padrão da Organização: A conexão de login padrão organização será usada no fluxo SAML iniciado pelo idp quando a resposta SAML do provedor de identidade não usar o novo formato de estado de retransmissão e usar o formato antigo.
Conexão SAML Autenticador padrão: Esse padrão é necessário para oferecer suporte a pesquisas configuradas com autenticadores SSO antes de 1º de dezembro de 2021. Os questionários criados antes desta atualização serão associados à conexão padrão autenticador.

Gerenciamento de conexões existentes

Na seção SSO da guia Configurações Organização, você verá um resumo de todas as conexões configuradas na sua licença. Você poderá adicionar novas conexões, excluir ou desativar conexões, editar conexões existentes e testar conexões durante a configuração.

Ativar ou desativar uma conexão

Em Use for organização login (Usar para login da organização), você pode alternar a conexão entre desativada e ativada. Consulte Gerenciar conexões SSO para login Organização para obter detalhes e avisos relevantes.

Em Use for pesquisa autenticador (Usar para autenticador de pesquisa ), você pode alternar a conexão entre desativada e ativada. Consulte Gerenciar conexões SSO para autenticação de Pesquisa para obter detalhes e avisos relevantes.

Edição, teste e exclusão de conexões

Ao clicar nos três pontos abaixo da coluna Ações, você verá as opções para excluir, editar ou testar uma conexão.

Editar: Modificar qualquer uma das configurações da conexão. Essa opção é particularmente útil para rotações de certificado.
Atenção: Ao editar uma conexão ativada, tenha cuidado ao editar campos que possam interromper os logins da sua base de usuários.
Teste: Teste a conexão para garantir que ela funcione como pretendido. Veja mais na seção vinculada.
Excluir: Clicar em Excluir excluirá permanentemente a conexão. Quando o botão for clicado, um modal será aberto com uma mensagem de aviso. Você precisará clicar em Excluir nesse modal para confirmar a ação.
Aviso: Ao excluir uma conexão, lembre-se de como isso afetará sua base de usuários. Quando uma conexão é excluída, isso não pode ser desfeito.

Qdica: não é possível excluir uma conexão até que seu status tenha sido alterado para Desativado. Não exclua uma conexão até que tenha verificado que seus usuários não serão afetados pela alteração.

Certificados de IdP rotativos

Os certificados expiram de tempos em tempos, portanto, contato a equipe de TI para certificar-se de que os certificados usados para os logins do Qualtrics estejam atualizados. Você pode trabalhar com sua equipe de TI para adicionar um novo certificado antes que o certificado antigo expire e testar a conexão para garantir que a atualização seja realizada com êxito.

Qdica: se você tiver um certificado de criptografia, não deverá seguir as etapas descritas abaixo na seção “Certificados”, mesmo que também tenha um certificado de assinatura. Em vez disso, você carregará uma cópia completa dos metadados do seu novo IdP e selecionará novamente uma associação.

Se você tiver apenas um certificado de assinatura, siga estas etapas:

Navegue até Configurações Organização no Admin.
Vá para Authentication (Autenticação).
Avançar da conexão SSO para a qual você está girando o certificado, clique no menu suspenso Ações e selecione Editar.
Role para baixo até a seção Certificados.
Clique em Adicionar certificado.
Cole seu novo certificado na caixa Certificado.
Clique em Adicionar.
Selecione Solicitação de assinatura como o tipo de certificado.

Qdica: Se você ativar essa opção, para garantir que a solicitação veio do Qualtrics e não de alguém que possa ter interceptado a mensagem, assinaremos a solicitação enviada ao provedor de identidade. Isso estará sempre ativado se você tiver selecionado uma associação de serviço HTTP Post Single sign-on.
Se desejar, selecione Forçar autenticação.
Qdica: se você ativar essa opção e se o seu provedor de identidade for compatível com ela, faremos com que o provedor de identidade force os usuários a se autenticarem, mesmo que eles já estejam conectados.
Se desejar, selecione Ativar prevenção de repetição de asserção.
Qdica: se você ativar essa opção, o Qualtrics não reutilizará uma asserção que já tenha sido vista. Essa é uma maneira de evitar ataques de repetição de SAML.
Role até a parte inferior da página e clique em Aplicar ) para salvar suas alterações.
Teste a conexão para garantir que o certificado foi girado corretamente.
Clique em Edit.
Role para baixo até a seção Certificados .
Clique no ícone lixeira lixeira avançar do seu certificado antigo para excluí-lo.
Qdica: se o teste falhou anteriormente, exclua o certificado recém-adicionado e verifique se ele está correto antes de repetir as etapas acima para adicioná-lo novamente.
Quando terminar, clique em Aplicar.

Testar uma conexão

Depois de configurar uma conexão SSO, você pode testá-la para ter certeza de que está funcionando da maneira pretendida. Clique em Testar em uma conexão para iniciar.

Uma nova guia será aberta em seu navegador e você será redirecionado para o IdP para autenticação. Após um login bem-sucedido, você será redirecionado para uma página que exibe os atributos e valores que capturamos com sucesso do seu IdP na troca de SSO.

Se o login falhar, você receberá uma mensagem de erro. Dê uma olhada na seção Solução de problemas para ver algumas etapas básicas a serem seguidas.

Qdica: você pode testar conexões ativadas e desativadas. Recomendamos testar todas as conexões antes de ativá-las.

Solução de problemas

Se você vir uma mensagem de erro ao testar uma conexão, clique no código ou consulte lista abaixo para saber mais sobre esse erro e as possíveis causas.

Se não for possível resolver o problema, faça login no Customer Success Hub para obter assistência. Nossa equipe de SSO solicitará o código de erro.

Códigos de erro gerais de SSO

SSO_UNKNOWN_ERROR: Ocorreu um erro desconhecido. Tente fazer login novamente ou contato o suporte e forneça o código de erro gerado.
SSO_SPS_CONNECTION_ERROR: Ocorreu um erro. Tente limpar os cookies e o cache e fazer login novamente.

Erros de SAML

SSO_MISSING_USERNAME: Um valor para o atributo de nome de usuário ou e-mail não foi encontrado na resposta de SSO do seu servidor. Como esse atributo é obrigatório, certifique-se de que a seção Atributo Statement (Declaração de atributo ) da sua resposta SAML contenha um atributo que corresponda ao campo Username (Nome de usuário) nas suas configurações de conexão SSO.
Qdica: por exemplo, isso pode acontecer porque o usuário que está tentando fazer login não tem um e-mail que corresponda aos domínios de e-mail válidos em User Provisioning Options.
SSO_SAML_MISSING_SSO_BINDING: Um URL de vinculação de logon único não foi encontrado em suas configurações de SAML. Como esse valor é necessário para logins iniciados pelo SP, verifique suas configurações de conexão SSO e tente novamente.
SSO_SAML_INVALID_DECRYPTION_CERT: houve um erro ao descriptografar a resposta SAML. Verifique se o certificado de criptografia em seu provedor de identidade corresponde ao certificado de criptografia no arquivo metadados do provedor de serviços gerado para sua conexão SSO.
SSO_SAML_INVALID_AUDIENCE_RESTRICTION: houve um erro na restrição de público na resposta SAML. Verifique se o valor correto está definido em seu provedor de identidade. Espera-se que isso corresponda ao Assertion Consumer Service Location fornecido no arquivo metadados do provedor de serviços gerado para sua conexão SSO.
SSO_SAML_INVALID_RECIPIENT: Houve um erro no URL Destinatário na resposta SAML. Verifique se o valor correto está definido em seu provedor de identidade. Espera-se que isso corresponda ao Assertion Consumer Service Location fornecido no arquivo metadados do provedor de serviços gerado para sua conexão SSO.
SSO_SAML_VALIDATION_ERROR: houve um erro durante a validação da resposta SAML. Verifique as configurações em seu provedor de identidade e na configuração da conexão SSO do Qualtrics e tente novamente.

Erros do OAuth 2.0

Para saber o significado de termos variados, consulte Criação de uma conexão OAuth 2.0.

SSO_OAUTH_INVALID_ID_TOKEN: houve um erro durante a validação do token de ID. Verifique o ponto de extremidade das chaves públicas, o emissor do token e o(s) algoritmo(s) usado(s) para assinar os campos do token de ID e tente novamente.
SSO_OAUTH_INVALID_OR_MISSING_EMAIL_DOMAIN: o usuário que está tentando fazer login não tem um e-mail que corresponda aos domínios de e-mail válidos. Verifique o campo Valid Email Domains (Domínios de e-mail válidos) em User Provisioning Options (Opções de provisionamento de usuários ) e tente novamente.
SSO_OAUTH_USER_INFO_ERROR: erro ao buscar informações do usuário com token. Verifique os campos User Information Endpoint e Authenticated Request Type Binding Type e tente novamente.
SSO_OAUTH_ACCESS_TOKEN_ERROR: erro na obtenção do token de acesso. Verifique os campos Client Secret, Token Endpoint e Token Endpoint Authorization Methods e tente novamente.
SSO_OAUTH_AUTHORIZATION_URI_ERROR: Falha ao gerar a solicitação do cliente OAuth. Verifique os campos Client ID, Authorization Endpoint e Scope e tente novamente.

Muitas das páginas neste site foram traduzidas do inglês original usando tradução automática. Embora na Qualtrics tenhamos feito nossa diligência prévia para obter as melhores traduções automáticas possíveis, a tradução automática nunca é perfeita. O texto original em inglês é considerado a versão oficial, e quaisquer discrepâncias entre o inglês original e as traduções automáticas não são juridicamente vinculativas.