Login iniciado pelo prestador de serviço (SP)
Este artigo mostra como ativar o login único SAML para a sua conta da Braze e como obter um rastreamento SAML.
Requisitos
Durante a configuração, será solicitado que você forneça uma URL de login e uma URL do Assertion Consumer Service (ACS).
| Requisito | Informações |
|---|---|
| URL do Assertion Consumer Service (ACS) | https://<SUBDOMAIN>.braze.com/auth/saml/callback Para domínios da União Europeia, a URL do ACS é https://<SUBDOMAIN>.braze.eu/auth/saml/callback. Em alguns IdPs, isso também pode ser chamado de URL de resposta, URL de login, URL de público ou URI de público. |
| Entity ID | braze_dashboard |
| Chave de API do RelayState | Acesse Configurações > Chaves de API e crie uma chave de API com permissões sso.saml.login. Em seguida, insira a chave de API gerada como o parâmetro RelayState no seu IdP. Para etapas detalhadas, consulte Configurando seu RelayState. |
Configurando o SAML SSO
Etapa 1: Configure seu provedor de identidade
Configure a Braze como prestador de serviço (SP) no seu provedor de identidade (IdP) com as seguintes informações. Além disso, configure o mapeamento de atributos SAML.
Se você planeja usar o Okta como seu provedor de identidade, certifique-se de usar a integração pré-construída encontrada no site do Okta.
| Atributo SAML | Obrigatório? | Atributos SAML aceitos |
|---|---|---|
email |
Obrigatória | email mail http://schemas.xmlsoap.org/ws/2005/05/identity/claims/email |
first_name |
Opcional | first_name firstname firstNamehttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/first_name |
last_name |
Opcional | last_name lastname lastName http://schemas.xmlsoap.org/ws/2005/05/identity/claims/last_name |
A Braze exige apenas email na asserção SAML.
Etapa 2: Configure a Braze
Quando você terminar de configurar a Braze no seu provedor de identidade, ele fornecerá uma URL de destino e um certificado x.509 para inserir na sua conta da Braze.
Depois que o gerente da sua conta ativar o SAML SSO para a sua conta, acesse Configurações > Configurações de administrador > Configurações de segurança e alterne a seção SAML SSO para ATIVADO.
Na mesma página, insira o seguinte:
| Requisito | Informações |
|---|---|
| Nome SAML | Isso aparecerá como o texto do botão na tela de login. Normalmente é o nome do seu provedor de identidade, como “Okta”. |
| URL de destino | Isso é fornecido após configurar a Braze no seu IdP. Alguns IdPs chamam isso de URL de SSO ou endpoint SAML 2.0. |
| Certificado | O certificado x.509 fornecido pelo seu provedor de identidade. |
Certifique-se de que o seu certificado x.509 siga este formato ao adicioná-lo ao dashboard:
1
2
3
-----BEGIN CERTIFICATE-----
<certificate>
-----END CERTIFICATE-----
Etapa 3: Faça login na Braze
Salve suas configurações de segurança e faça logout. Em seguida, faça login novamente com o seu provedor de identidade.
Configurando seu RelayState
- Na Braze, acesse Configurações > APIs e identificadores.
- Na guia Chaves de API, selecione o botão Criar chave de API.
- No campo Nome da chave de API, insira um nome para a sua chave.
- Expanda o menu suspenso SSO em Permissões e marque sso.saml.login.
- Selecione Criar chave de API.
- Na guia Chaves de API, copie o identificador ao lado da chave de API que você criou.
- Cole a chave de API do RelayState no RelayState do seu IdP (também pode aparecer como “Relay State” ou “Default Relay State” dependendo do seu IdP).
Comportamento do SSO
Os membros que optarem por usar SSO não poderão mais usar suas senhas como faziam antes. Os usuários que continuarem usando suas senhas poderão fazê-lo, a menos que sejam restringidos pelas configurações a seguir.
Restrição
Você pode restringir os membros da sua organização para que façam login apenas com Google SSO ou SAML SSO. Para ativar as restrições, acesse Configurações de segurança e selecione Exigir login apenas com Google SSO ou Exigir login apenas com SAML SSO personalizado.
Ao ativar as restrições, os usuários da Braze da sua empresa não poderão mais fazer login usando uma senha, mesmo que tenham feito login com uma senha anteriormente.
Obtendo um rastreamento SAML
Se você tiver problemas de login relacionados ao SSO, obter um rastreamento SAML pode ajudar a solucionar problemas na sua conexão SSO, identificando o que é enviado nas solicitações SAML.
Pré-requisitos
Para executar um rastreamento SAML, você precisará de um rastreador SAML. Aqui estão duas opções possíveis com base no seu navegador:
Etapa 1: Abra o rastreador SAML
Selecione o rastreador SAML na barra de navegação do seu navegador. Certifique-se de que Pausar não esteja selecionado, pois isso impedirá que o rastreador SAML capture o que é enviado nas solicitações SAML. Quando o rastreador SAML estiver aberto, você verá o rastreamento sendo preenchido.
Etapa 2: Faça login na Braze usando SSO
Acesse o dashboard da Braze e tente fazer login usando SSO. Se você encontrar um erro, abra o rastreador SAML e tente novamente. Um rastreamento SAML foi coletado com sucesso se houver uma linha com uma URL como https://dashboard-XX.braze.com/auth/saml/callback e uma tag SAML laranja.
Etapa 3: Exporte e envie para a Braze
Selecione Exportar. Em Selecionar perfil de filtro de cookies, selecione Nenhum. Em seguida, selecione Exportar. Isso gerará um arquivo JSON que você pode enviar ao suporte da Braze para solução de problemas adicional.
Solução de problemas
O endereço de e-mail do usuário está configurado corretamente?
Se você está recebendo o erro ERROR_CODE_SSO_INVALID_EMAIL, o endereço de e-mail do usuário não é válido. Confirme no rastreamento SAML que o campo saml2:Attribute Name="email" corresponde ao endereço de e-mail que o usuário está usando para fazer login. Se você usa o Microsoft Entra ID (anteriormente Azure Active Directory), o mapeamento de atributo é email = user.userprincipalname.
O endereço de e-mail diferencia maiúsculas de minúsculas e deve corresponder exatamente ao que foi configurado na Braze, incluindo o configurado no seu provedor de identidade (como Okta, OneLogin, Microsoft Entra ID e outros).
Outros erros que indicam problemas com o endereço de e-mail do usuário incluem:
ERROR_CODE_SSO_EMAIL_DOES_NOT_EXIST: O endereço de e-mail do usuário não existe no dashboard.ERROR_CODE_SSO_SESSION_SIGN_IN_EMAIL_MISSING: O endereço de e-mail do usuário está em branco ou configurado incorretamente.ERROR_CODE_SSO_SESSION_SIGN_IN_EMAIL_MISMATCHouERROR_CODE_SSO_SIGN_IN_EMAIL_MISMATCH: O endereço de e-mail do usuário não corresponde ao usado para configurar o SSO.
Você tem um certificado SAML válido (certificado x.509)?
Você pode validar seu certificado SAML usando esta ferramenta de validação SAML. Observe que um certificado SAML expirado também é um certificado SAML inválido.
Você fez upload do certificado SAML correto (certificado x.509)?
Confirme que o certificado na seção ds:X509Certificate do rastreamento SAML corresponde ao que você fez upload na Braze. Isso não inclui o cabeçalho -----BEGIN CERTIFICATE----- e o rodapé -----END CERTIFICATE-----.
Você digitou incorretamente ou formatou mal o seu certificado SAML (certificado x.509)?
Confirme que não há espaços em branco ou caracteres extras no certificado que você enviou no dashboard da Braze.
Ao inserir seu certificado na Braze, ele precisa estar codificado em Privacy Enhanced Mail (PEM) e formatado corretamente (incluindo o cabeçalho -----BEGIN CERTIFICATE----- e o rodapé -----END CERTIFICATE-----).
Aqui está um exemplo de certificado formatado corretamente:
1
2
3
-----BEGIN CERTIFICATE-----
THIS_IS_A_MOCKED_CERTIFICATE_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
-----END CERTIFICATE-----
O token de sessão do usuário é válido?
Peça ao usuário afetado para limpar o cache e os cookies do navegador e, em seguida, tente fazer login com SAML SSO novamente.
Você configurou seu RelayState?
Se você está recebendo o erro ERROR_CODE_SSO_INVALID_RELAY_STATE, seu RelayState pode estar configurado incorretamente ou não existir. Se ainda não fez isso, você precisa configurar seu RelayState no sistema de gerenciamento do seu IdP. Para as etapas, consulte Configurando seu RelayState.
O usuário está preso em um loop de login entre o Okta e a Braze?
Se um usuário não consegue fazer login porque está preso em um ciclo entre o SSO do Okta e o dashboard da Braze, você precisa acessar o Okta e definir a URL de destino do SSO para a sua instância da Braze (por exemplo, https://dashboard-07.braze.com).
Se você está usando outro IdP, verifique se a sua empresa fez upload do certificado SAML ou x.509 correto na Braze.
Você está usando uma integração manual?
Se a sua empresa não baixou o app da Braze na loja de apps do seu IdP, você precisa baixar a integração pré-construída. Por exemplo, se o Okta é o seu IdP, você baixaria o app da Braze na página de integração deles.
Próximas etapas
Após configurar o SAML SSO, você pode:
- Exigir login apenas por SSO nas suas configurações de segurança para restringir os usuários de fazerem login com uma senha.
- Configurar o provisionamento just-in-time SAML para que novos usuários criem automaticamente contas na Braze no primeiro login por SSO.