Guia de integração de SSO corporativo
Integrando a tracio.ai com SAML, OIDC e provedores de identidade customizados. Passo a passo para Okta, Auth0 e Azure AD com exemplos de código.
Clientes corporativos exigem integração de Single Sign-On (SSO) para o dashboard da tracio.ai. Este guia cobre como conectar a tracio.ai ao seu provedor de identidade usando SAML 2.0 ou OpenID Connect (OIDC), com instruções específicas para os três provedores mais comuns: Okta, Auth0 e Azure AD.
Protocolos suportados
A tracio.ai suporta dois protocolos de SSO: SAML 2.0 e OpenID Connect. O SAML é o padrão corporativo tradicional, amplamente suportado por provedores de identidade legados. O OIDC é o padrão moderno construído sobre o OAuth 2.0, com implementação mais simples e melhor suporte a dispositivos móveis. Recomendamos o OIDC para novas integrações e o SAML para organizações que já o padronizaram.
Ambos os protocolos seguem o mesmo fluxo: o usuário tenta acessar o dashboard da tracio.ai, é redirecionado ao seu provedor de identidade para autenticação e é redirecionado de volta à tracio.ai com uma asserção ou token assinado. A tracio.ai valida a asserção, cria ou atualiza a sessão do usuário e concede o acesso com base no papel mapeado.
Integração com Okta
Para o Okta, crie uma nova integração de aplicação no seu console de administração do Okta. Selecione OIDC como o método de login e Web Application como o tipo de aplicação. Defina a URI de redirecionamento de login como https://dashboard.tracio.ai/auth/callback/oidc. Defina a URI de redirecionamento de logout como https://dashboard.tracio.ai/auth/logout.
No dashboard da tracio.ai, em Settings > Authentication, insira seu domínio do Okta, client ID e client secret. A tracio.ai descobrirá automaticamente os endpoints OIDC a partir da URL de metadados do seu Okta. Configure o mapeamento de grupo para papel para atribuir papéis da tracio.ai (Admin, Analyst, Viewer) com base na associação a grupos do Okta.
Integração com Auth0
Crie uma nova Regular Web Application no seu dashboard do Auth0. Adicione https://dashboard.tracio.ai/auth/callback/oidc às Allowed Callback URLs. Adicione https://dashboard.tracio.ai às Allowed Logout URLs. Habilite as conexões apropriadas (database, social, enterprise) na aba Connections da aplicação.
Na tracio.ai, insira seu domínio do Auth0, client ID e client secret. O endpoint de descoberta OIDC do Auth0, em https://your-domain.auth0.com/.well-known/openid-configuration, fornece todos os metadados necessários. Use Auth0 Rules ou Actions para incluir claims customizadas no ID token para o mapeamento de papéis.
Integração com Azure AD
No portal do Azure, navegue até Azure Active Directory > App registrations > New registration. Defina a URI de redirecionamento como https://dashboard.tracio.ai/auth/callback/oidc. Em Certificates & secrets, crie um novo client secret. Em API permissions, garanta que as permissões openid, profile e email estejam concedidas.
Na tracio.ai, insira seu tenant ID, client ID e client secret do Azure AD. A URL de metadados OIDC segue o padrão https://login.microsoftonline.com/{tenant-id}/v2.0/.well-known/openid-configuration. Mapeie grupos ou app roles do Azure AD para papéis da tracio.ai na configuração de mapeamento de papéis.
Mapeamento de papéis e provisionamento
A tracio.ai suporta três papéis: Admin (acesso total, incluindo gerenciamento de chaves de API e faturamento), Analyst (acesso de leitura/escrita a eventos, sinais e regras) e Viewer (acesso somente leitura ao dashboard). Os papéis são mapeados a partir dos grupos ou claims do seu provedor de identidade.
Também suportamos SCIM 2.0 para provisionamento e desprovisionamento automatizados de usuários. Quando um funcionário é adicionado ao grupo apropriado no seu provedor de identidade, ele é automaticamente provisionado na tracio.ai com o papel correto. Quando é removido, seu acesso é revogado em questão de minutos. O SCIM garante que o gerenciamento do ciclo de vida do usuário permaneça centralizado no seu provedor de identidade.