Gerenciamento de usuários e marcas com SSO
Sobre o gerenciamento de usuários & marcas com SSO
Com o logon único (SSO), os usuários podem autenticar no Qualtrics usando o sistema de login interno da organização. As três maiores vantagens disso são segurança aprimorada, uma experiência de login perfeita para os usuários e uma administração de usuários simplificada para administradores de marca.
- Segurança aprimorada: os usuários não podem acessar sua conta Qualtrics a menos que possam autenticar com êxito por meio de SSO primeiro.
- Experiência de login perfeita: os usuários não precisarão mais se lembrar de vários conjuntos de credenciais de login para entrar na plataforma Qualtrics. Em vez disso, é possível usar um portal e credenciais de login para acessar o portal principal da organização, a Qualtrics e qualquer outro software que sua equipe de TI tenha integrado ao seu SSO.
- Gerenciamento simplificado de usuários: o SSO facilita a administração de licenças maiores, pois você pode usar as informações armazenadas nos sistemas de TI da sua organização para gerenciar os usuários do Qualtrics. Por exemplo, a Qualtrics pode consumir atributos de usuário que são transmitidos do sistema para uso na atribuição de nome de usuário, nome, sobrenome e valores de e-mail a contas de usuário. Ele também pode ser usado para atribuir e atualizar automaticamente permissões de conta de usuário por meio do mapeamento de Tipo de usuário, Divisão e Grupo. Esses recursos ajudam a garantir que as contas sempre tenham as permissões corretas e estejam sob a jurisdição correta. Juntos, isso reduz a quantidade de trabalho administrativo que precisa ser feito por um Administrador da marca, que, de outra forma, teria que gerenciar manualmente as informações e permissões da conta de usuário.
Inscrição automática de usuários
A Qualtrics pode criar contas de usuário quando os usuários se autenticam com sucesso, mas ainda não têm uma conta na sua marca Qualtrics. Quando um usuário faz login no Qualtrics via SSO, o sistema assume o valor de nome de usuário transferido para o usuário de seu sistema e o procura em sua marca Qualtrics. Se não existir uma conta com o valor de nome de usuário, o sistema Qualtrics criará uma conta para o usuário. Este processo é normalmente chamado de “Provisionamento de usuário Just-in-Time”.
Quando os usuários são criados por meio de autoinscrição, um sufixo é anexado na forma de #brandID ao final do nome de usuário da Qualtrics para evitar problemas com nomes de usuário duplicados no sistema Qualtrics. O sufixo varia com base na marca e é formado usando o ID da marca da instância Qualtrics em que o usuário está. Por exemplo, se o ID da marca for “fakeenvironment”, o sufixo será “#fakeenvironment”.
Recomendamos que as marcas habilitadas para SSO garantam que todos os usuários, SSO ou não SSO, tenham o sufixo #brandID.
Exemplo: Se o John Doe tentar fazer login no “fakeenvironment” da marca Qualtrics via SSO, ocorrerá o seguinte:
- Assim que o usuário se autentica com êxito via SSO, seu sistema transfere vários atributos de usuário. O valor de nome de usuário transmitido é “johndoe@email.com”.
- O sistema Qualtrics verifica então se já existe uma conta com o nome de usuário “johndoe@email.com#fakeenvironment” na marca fakeenvironment.
- Se existir uma conta com um dos seguintes nomes de usuário (verificados na ordem listada) na marca fakeenvironment, o usuário será conectado a essa conta:
- “johndoe@email.com#fakeenvironment”
- “johndoe@email.com”
- Se não houver uma conta com o valor de nome de usuário listado na Etapa 3 e a autoinscrição estiver ativada para a marca, o sistema Qualtrics procurará o valor transmitido pelo e-mail do usuário para verificar se o domínio do e-mail é contabilizado na lista de Domínios de e-mail válidos. Se o e-mail do usuário tiver um domínio válido, o sistema Qualtrics criará uma conta com o nome de usuário “johndoe@email.com#fakeenvironment”.
Se você passar os valores de nome e sobrenome dos usuários, o sistema Qualtrics usará esses valores para preencher o nome e o sobrenome associados às contas de usuário. Caso contrário, o valor de nome de usuário será usado para preencher os campos de nome e sobrenome.
Personalização do portal de login
A Qualtrics exibe uma descrição da página de login quando os usuários fazem login via SSO LDAP. Os Administradores da marca podem editar o texto exibido na guia Configurações da organização da página Admin.
Atribuição de permissões de usuário
TIPO DE USUÁRIO, DIVISÃO, & MAPEAMENTO DE GRUPO
Quando um usuário faz login no Qualtrics via SSO, informações adicionais sobre o usuário podem ser transmitidas do sistema da organização por meio de atributos de usuário. A Qualtrics pode usar essas informações para atribuir e atualizar um tipo de usuário, divisão e grupo. Isso é comumente chamado de mapeamento. Se você adquiriu implementações SSO, esse mapeamento de tipo de usuário, divisão e grupo é implementado pela equipe de SSO da Qualtrics enquanto trabalha em estreita colaboração com você e sua equipe de TI para garantir que os atributos desejados sejam incluídos. Se você estiver configurando o SSO por conta própria, poderá configurar o mapeamento para esses atributos ao configurar a conexão.
Dependendo das suas configurações de SSO, os atributos do usuário podem ser atualizados em cada login, o que significa que qualquer alteração no tipo de usuário ou divisão feita pelos administradores da marca será substituída no próximo login do usuário. Isso pode ser evitado por uma das seguintes opções:
- A equipe de TI da organização atualiza o valor transferido para o usuário no atributo Tipo de usuário ou Divisão.
- Um Administrador da marca gerencia as permissões dos usuários no nível do usuário, em vez de alterar o tipo de usuário ou a divisão deles.
- Desative a configuração Atualizar atributos do usuário em cada SSO de login.
Ao contrário do mapeamento de tipos de usuários e divisões, os grupos de mapeamento não sobregravarão as alterações feitas pelos administradores de marca nos grupos de usuários, já que os usuários podem fazer parte de vários grupos de uma só vez.
A Qualtrics só pode referenciar um atributo para cada mapeamento de Tipo de usuário, Divisão e Grupo. Os valores que indicam a qual tipo de usuário ou divisão os usuários devem ser atribuídos devem ser transferidos dentro do mesmo atributo para todos os usuários. No entanto, há alguma flexibilidade, pois a Qualtrics pode configurar até cinquenta condições de mapeamento de grupo, cada uma das quais pode usar o RegEx.
Exemplo: abaixo estão alguns exemplos de condições de mapeamento de tipo de usuário com base em um atributo “departamento”:
- Se o departamento for igual a HR, o Tipo de usuário é Tipo de usuário padrão.
- Se o departamento for igual a RH ou Contabilidade, o Tipo de usuário será Tipo de usuário padrão.
- Se o departamento contiver HR, o tipo de usuário é Tipo de usuário padrão.
- Se o departamento não for RH, o Tipo de usuário será Tipo de usuário limitado.
- Se o departamento não for RH ou Contabilidade, então o Tipo de usuário é Tipo de usuário limitado.
O Qualtrics aplica o mapeamento de Tipo de usuário e Divisão para que se baseie nas condições de mapeamento de Tipo de usuário e Divisão na Qualtrics. Isso significa que se configurarmos várias condições para o sistema considerar ao atribuir usuários a um determinado tipo de usuário ou divisão, a Qualtrics começará com a condição mais alta e diminuirá o caminho.
Exemplo: Imagine que temos mapeamento de tipo de usuário configurado para atribuir todos os usuários no departamento de Psicologia ao tipo de usuário padrão e todos os usuários no departamento empresarial ao tipo de usuário limitado. Se um novo usuário fizer login no Qualtrics via SSO e transferir “Psicologia” e “Negócio” para seu departamento, talvez por ensinar cursos em ambas as áreas, o sistema o atribuirá a qualquer tipo de usuário que estiver descrito primeiro no mapeamento. A seguinte configuração resultaria na atribuição automática do tipo de usuário padrão ao usuário:
- Se o departamento for igual a psicologia, o tipo de usuário é o tipo de usuário padrão
- Se o departamento for igual a Negócio, o Tipo de usuário é Tipo de usuário limitado
O Qualtrics aplica o mapeamento de grupo em ordem com base nos valores de atributo de usuário na resposta SAML. Isso significa que se configurarmos várias condições para o sistema considerar ao atribuir usuários a um determinado grupo, o sistema começará com a condição mais alta e diminuirá seu caminho.
Exemplo: Imagine que temos mapeamento em grupo configurado para atribuir todos os usuários no departamento de Psicologia ao Grupo de Psicologia e todos os usuários do departamento de Negócios ao Grupo Empresarial. Se um novo usuário fizer login no Qualtrics via SSO e transferir “Psicologia” e “Negócios” para seu departamento, talvez por ensinar cursos em ambas as áreas, o sistema o atribuirá a qualquer grupo que estiver descrito em sua resposta SAML primeiro. Se a resposta SAML tiver passado pelo seguinte, o usuário será atribuído automaticamente ao grupo de psicologia:
<AttributeStatement>
<Nome do atributo="departamento">
<AttributeValue>Psicologia</AttributeValue>
</Attribute>
<
<AttributeValue>AttributeBusiness</AttributeValue>
</Attribute>
</AttributeStatement>
Se os usuários transferirem um valor que não está descrito nas condições de mapeamento de tipo de usuário, eles serão atribuídos automaticamente ao tipo de usuário de autoinscrição (padrão) da marca que foi configurado para a marca por um administrador da marca.
Se os usuários transferirem um valor que não está descrito nas condições de mapeamento de Divisão ou Grupo, eles não serão atribuídos a uma Divisão ou Grupo. Os usuários deverão ser adicionados a uma Divisão ou a um Grupo por um Administrador da Marca.
ENROLAMENTO AUTOMÁTICO DE FUNÇÃO AUTOMÁTICA DE CAIXA
Quando um usuário faz login no Qualtrics via SSO, ele pode enviar mais informações sobre a conta dele a partir do seu sistema. A Qualtrics pode usar essas informações para atribuir e atualizar a função dos Dashboards CX de uma conta por meio de Inscrição automática de função.
Salvando informações do usuário como Metadados de painéis CX
Quando um usuário faz login no Qualtrics via SSO, ele pode enviar mais informações sobre a conta Qualtrics a partir do seu sistema. A Qualtrics tem a capacidade de transmitir e atualizar essas informações para Painéis CX para ser armazenado como metadados . Certifique-se de coordenar entre sua equipe de TI e a equipe de SSO da Qualtrics para determinar os atributos que deseja transferir para o Qualtrics.
Restringindo o acesso do usuário
DOMÍNIOS DE E-MAIL VÁLIDOS
Se o Provisionamento de usuário Just-in-Time estiver ativado ou se o SSO do Google OAuth 2.0 for usado, a Qualtrics referenciará os Domínios válidos de e-mail listados para sua marca Qualtrics ao autenticar usuários. Depois que os usuários se autenticarem com sucesso via SSO e antes da Qualtrics criar uma nova conta para o usuário, ele verificará o endereço de e-mail do usuário para verificar se o domínio do e-mail está na lista da marca de Domínios de e-mail válidos. Se o e-mail do usuário tiver um domínio válido, o sistema Qualtrics criará uma conta para o usuário em sua marca. Se o e-mail do usuário não tiver um domínio válido, o sistema Qualtrics negará o acesso do usuário à plataforma.
Ao solicitar que um representante do Suporte Qualtrics configure a lista de Domínios de e-mail válidos da sua marca, você pode usar um curinga (*) ou especificar determinados domínios de e-mail. O curinga permite que qualquer pessoa que autentique com sucesso por meio de seu SSO crie uma conta na sua marca Qualtrics, enquanto especificar determinados domínios de e-mail restringe quem pode criar uma conta na sua marca Qualtrics. Os usuários devem ambos se autenticar com sucesso via SSO e transferir um domínio de e-mail válido para criar uma conta na sua marca Qualtrics.
Se você tiver alguns usuários com um determinado domínio de e-mail que devem ter acesso à Qualtrics, mas não querem permitir que todos os usuários com esse domínio possam se auto-inscrever, um Administrador da marca pode, em vez disso, criar manualmente as contas desses usuários.
A validação em relação à lista de domínios de e-mail válidos da sua marca só ocorre na criação da conta, não em cada login.
VALIDAR TIPO DE USUÁRIO
A Qualtrics tem a capacidade de validar valores transferidos para o atributo de mapeamento Tipo de usuário. Isso significa que cada vez que um usuário tenta efetuar login no Qualtrics via SSO, o sistema avalia os valores transferidos para o atributo para garantir que pelo menos um valor seja contabilizado nas condições de mapeamento Tipo de usuário.
Exemplo: imagine que temos as seguintes condições de mapeamento de tipo de usuário configuradas:
- Se o departamento for igual a Psicologia, o Tipo de usuário é Psicologia.
- Se o departamento for igual a Negócio, o Tipo de usuário é Negócio.
Se um usuário tentar fazer login no Qualtrics via SSO, mas não for aprovado nem “Psicologia” nem “Negócio” para seu departamento, a Qualtrics negará o acesso do usuário.