Passar para o conteúdo principal

Integre com um provedor de identidade e faça login com SAML SSO

Configure o SAML SSO para permitir que sua equipe faça login no Intercom usando seu provedor de identidade como Okta ou OneLogin.

Escrito por Eric Fitzgerald

Integrar o Intercom com seu provedor de identidade (IdP) torna o login simples e seguro para sua equipe.

Siga os passos deste artigo para configurar seu provedor de identidade, para exigir SAML SSO (Single Sign On) de todos os seus teammates, ou para oferecê-lo como uma das opções de login. Uma vez configurado, o SAML SSO também funcionará com o app Intercom Conversations.

Antes de começar

Importante:

  • O SAML SSO está disponível apenas no plano Expert Intercom. Confira nossos planos e preços para saber mais sobre este plano.

  • Você deve ter permissões para acessar Configurações > Workspace > Segurança no Intercom, assim como acesso administrativo ao seu provedor de identidade.

Passo 1: Ative o SAML SSO no Intercom

Primeiro, você precisa ativar o SAML SSO no seu workspace do Intercom para obter as URLs para seu provedor de identidade.

  1. Vá para Configurações > Workspace > Segurança > Métodos de autenticação

  2. Ative o SAML SSO.

  3. Uma vez ativado, a seção de configuração do SAML SSO aparecerá.

  4. A primeira coisa que você verá é a URL SAML única para seu workspace. Mantenha esta página aberta; você precisará desta URL para o próximo passo.

Passo 2: Configure seu provedor de identidade

Nas configurações do seu provedor de identidade (como Okta ou OneLogin), você precisará adicionar o Intercom como uma aplicação. Você precisará da URL SAML do Passo 1.

Use os seguintes parâmetros na configuração do seu IdP:

  • URL de Single Sign-On: <URL SAML>/consume

  • URL do destinatário: <URL SAML>/consume

  • Restrição de audiência/ID da entidade: <URL SAML>

  • NameID: Endereço de email

  • Asserções assinadas: Sim

  • Atributos mapeados:

    • firstName (primeiro nome do User)

    • lastName (sobrenome do User)

  • Criptografia: AES256_CBC com este certificado:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Nota: Se seu provedor de identidade suportar, você pode definir a duração da sessão na configuração do seu IdP. Isso define o tempo antes da sessão de um teammate expirar e ele precisar fazer login no Intercom novamente. Se não definido, a duração padrão é 3,5 dias.

Passo 3: Configure o Intercom com os detalhes do seu IdP

Após configurar seu IdP, você deve adicionar seus detalhes de volta no Intercom.

  1. Volte para a página de configurações do SAML SSO do Intercom (Configurações > Workspace > Segurança).

  2. Adicione as seguintes informações do seu provedor de identidade:

    • URL de Single Sign-On do provedor de identidade: Esta é a URL usada para iniciar o processo de login.

    • Certificado público: Isso permite que o Intercom valide as requisições SAML do seu IdP. Deve ser um certificado X.509.

Passo 4: Adicione e verifique seus domains permitidos

Você deve especificar quais domains estão autorizados a autenticar com SAML SSO.

  1. Digite um domain em "Domains permitidos" e clique em Adicionar domain.

  2. Você deve verificar que é proprietário do domain adicionando um registro TXT nas configurações DNS com os valores fornecidos.

  3. Após adicionar o registro TXT, clique em Verificar registro DNS.

  4. Uma vez verificado, você verá uma mensagem de sucesso e o domain será adicionado. Repita este processo se precisar adicionar mais de um domain.

Nota: Se você acabou de criar o registro DNS, ele pode ainda estar propagando. Se você ver uma mensagem de aviso ("Não foi possível verificar o registro DNS. Por favor, tente novamente mais tarde."), aguarde alguns minutos (ou até algumas horas) e tente novamente.

Para desmarcar esta opção e impor o SAML SSO como o método de login obrigatório, você deve estar logado com SAML SSO. Você pode fazer isso após salvar suas configurações.

Passo 5: Teste e imponha o SAML SSO

Antes de impor o SAML para todos os teammates, você deve testar a configuração.

  1. Teste sua configuração: Para garantir que todos os teammates possam fazer login com sucesso usando o SAML SSO antes de desativar outros métodos, mantenha as opções Google Sign-On e Email e senha ativadas.

  2. Salve suas configurações no final da página.

  3. Faça logout e tente fazer login novamente usando a opção Entrar com SAML SSO para testar sua configuração.

  4. Impor SAML SSO (Opcional): Depois de fazer login com sucesso e confirmar que a configuração funciona, você pode voltar às configurações e desmarcar os outros métodos de login.

Nota:

  • Para desmarcar as outras opções de login e impor o SAML SSO como o único método de login, você deve estar logado com SAML SSO.

  • Uma vez que seu workspace tenha o SAML SSO ativado, os teammates não poderão editar seu próprio endereço de email na página Segurança da conta. O campo de email será somente leitura.

Como o SAML SSO funciona para sua equipe

Como os colegas de equipe fazem login

Uma vez que o SAML SSO está habilitado, os colegas de equipe verão um botão Entrar com SAML SSO na página de login. A experiência de login variará com base no endereço de e-mail deles:

  • E-mail não registrado: Se o e-mail inserido não corresponder a um colega de equipe em um workspace com SAML habilitado, eles verão uma mensagem de erro.

  • E-mail registrado para um workspace SAML: O colega de equipe é redirecionado para o provedor de identidade para fazer login.

  • E-mail registrado para múltiplos workspaces SAML: O colega de equipe verá o seletor de workspace. Após selecionar um workspace, ele será redirecionado para o provedor de identidade correto para aquele workspace.

Dependendo do provedor de identidade que o colega de equipe tem para cada workspace, ele é redirecionado para a experiência de login do provedor de identidade correto. Após realizar o login, o usuário é levado de volta ao workspace correto e autenticado.

Alternando entre workspaces

O SAML SSO é suportado ao alternar entre workspaces:

  • Se um colega de equipe estiver logado em dois workspaces que usam o mesmo provedor SAML SSO, ele pode alternar entre eles sem precisar se autenticar novamente.

  • Se o colega de equipe tiver acesso a um terceiro workspace que usa e-mail/senha, e não estiver logado, ele será redirecionado para o seletor de workspace para fazer login com sua senha.

Fazendo login no aplicativo móvel (app Intercom Conversations)

O SAML SSO é suportado nos apps iOS e Android Intercom Conversations.

  1. Navegue até a tela de login e toque no botão Entrar com SAML SSO.

  2. Digite seu e-mail de trabalho e toque em Continuar.

  3. Se você tiver acesso a múltiplos workspaces, verá uma lista para escolher. (Se tiver apenas um, esta tela será pulada).

  4. Selecionar um workspace abrirá uma visualização web para fazer login no seu provedor SAML.

  5. Uma vez que você entrar, estará logado no app.

Se você não tiver o SAML SSO configurado para sua conta e tentar fazer login com SAML SSO, verá uma mensagem de erro.

Convites para workspace

O SAML SSO é compatível com convites para workspace. Quando um colega de equipe aceita um convite, o e-mail do convite deve corresponder ao e-mail retornado pelo provedor de identidade, ou o convite falhará.

Como alterar os endereços de e-mail dos perfis de colega de equipe/admin se o Workspace tiver SAML SSO habilitado

1. O admin deve habilitar "E-mail e senha" como método de login, se ainda não estiver habilitado.

2. Todos os colegas de equipe devem definir/redefinir sua senha Intercom e confirmar que conseguem fazer login com seu e-mail antigo + senha.

3. O admin desabilita o SAML SSO no workspace (isso torna o campo de e-mail editável para os colegas de equipe).

4. Cada colega de equipe faz login com seu e-mail antigo + senha e atualiza individualmente seu próprio e-mail de login para o novo domain.

5. O admin atualiza os e-mails dos users no IdP para o novo domain.

6. O admin reabilita o SAML SSO no workspace.

7. O SSO agora funciona com os novos e-mails. O admin pode opcionalmente reforçar o login apenas via SSO.

Guias específicos do IdP e solução de problemas

Precisa de ajuda com seu provedor de identidade? O Suporte Intercom pode ajudar a configurar o SAML SSO dentro do Intercom. Para etapas específicas de configuração do IdP, configuração no console de administração do seu provedor (ex.: Microsoft Entra, Okta, JumpCloud) ou erros originados do seu IdP, recomendamos contatar diretamente o suporte do seu provedor de identidade — eles terão acesso ao seu ambiente e podem resolver problemas do lado deles. Nossa documentação SAML está disponível para compartilhar com eles como referência.

Solução de problemas do Google Workspace

Se você estiver usando o Google Workspace como seu provedor SSO e vir um erro de acesso, pode ativar "mensagens de remediação" no console de administração do Google para entender o motivo do erro. Uma vez ativado, você verá informações mais detalhadas na mensagem de erro (ex.: "o dispositivo... não é gerenciado pelo gerenciamento de endpoint do Google").

Uma vez ativado, você poderá ver informações mais detalhadas na mensagem de erro.

Por exemplo, o seguinte erro pode indicar que o dispositivo usado não é gerenciado pelo gerenciamento de endpoint do Google:

Escolha habilitar o provisionamento Just-in-Time (JIT)

O provisionamento Just-in-Time adicionará automaticamente colegas de equipe ao seu workspace Intercom na primeira vez que eles entrarem com SAML SSO, se ainda não tiverem uma conta Intercom.

Para habilitar isso, vá para Configurações > Workspace > Segurança, certifique-se de que o SAML SSO está ativado e clique em Provisionamento:

Então, defina quais permissões os novos colegas de equipe devem ter ao serem adicionados pelo provisionamento JIT:

Nota: Novos colegas de equipe só serão adicionados se você tiver seats disponíveis.

Por fim, salve suas configurações e teste sua configuração autenticando-se com seu provedor de identidade:

Uma vez que seu workspace tenha o SAML SSO habilitado com qualquer provedor, os colegas de equipe não poderão editar seu próprio endereço de e-mail na página Segurança da Conta. O campo de e-mail será somente leitura.

Configurando SAML com OneLogin

Você pode usar o app "Intercom SAML 2.0" na loja OneLogin.

  1. Na sua página de administração OneLogin, vá para Aplicações e clique em Adicionar App.

  2. Procure e adicione o app Intercom SAML 2.0.

  3. Abra a aba Configuração e insira o nome SAML para seu workspace.

  4. Na aba SSO, copie a URL "SAML 2.0 Endpoint" e cole nas configurações SAML do seu workspace Intercom.

  5. Clique em Ver Detalhes sob o certificado, copie o certificado e cole no campo Certificado público do Intercom.

  6. Salve suas configurações no Intercom e teste a conexão.

Nota: Se seu workspace estiver hospedado na UE ou AU, entre em contato com a equipe OneLogin para garantir que sua integração seja suportada.

Configurando SAML com Okta

Você pode usar o aplicativo "Intercom" da Okta App Store.

  1. No Okta:

    • Abra o painel de administração do Okta e adicione o aplicativo Intercom.

    • Prossiga para as Opções de Login.

    • Baixe o Certificado de Assinatura e copie a URL de Login fornecida pelo Okta.

  2. No Intercom:

    • Vá para Configurações > Workspace > Segurança e ative o SAML SSO.

    • Anote sua URL SAML (no topo das configurações SAML).

    • Insira os seguintes detalhes do Okta:

      • URL de Login do Provedor de Identidade: (A URL de Login do Okta)

      • Certificado Público: (Cole o certificado completo baixado do Okta)

    • Em "Domínios Permitidos", insira o domain da sua empresa (ex.: acme.com).

    • Não clique em Salvar ainda.

  3. De volta ao Okta:

    • Retorne às Opções de Login do seu aplicativo Intercom no Okta.

    • Em Certificado de Criptografia, faça upload do seguinte certificado como intercom.pem:

      -----BEGIN CERTIFICATE-----
      MIIDYzCCAkugAwIBAgIUS9LFUH5IWanIgQ78d/qyKOdojAYwDQYJKoZIhvcNAQEL
      BQAwQTERMA8GA1UECgwISW50ZXJjb20xETAPBgNVBAsMCFBsYXRmb3JtMRkwFwYD
      VQQDDBBTQU1MIENlcnRpZmljYXRlMB4XDTI2MDExMjE3NTIzN1oXDTM2MDExMDE3
      NTIzN1owQTERMA8GA1UECgwISW50ZXJjb20xETAPBgNVBAsMCFBsYXRmb3JtMRkw
      FwYDVQQDDBBTQU1MIENlcnRpZmljYXRlMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A
      MIIBCgKCAQEA2LVcYLNwR0t1Co/FBNSFUEdpOJTM87X0//NPisUgQJ71l11Dohg9
      Yg1aAraqOsQ9EPR9prdQjP50lhOmogjvPDClPlXtoHdRCJ81U/3duXoBdGS02NN3
      2DetudNnyjeUefkcnPWsQ+FNZasnP9ODU8dtPKxMcLP3AmcUYOAaKp1r3WBuFDcT
      woMtbrWUoxTfBeYx6nQ9TfzJOGQFZCYs30Sx1j5LVio5DoM3oynTTh0qOzJS+KpU
      iIIqby8szpqWMfdPNTdBd7XQK2SkHmBgkgSDfQIII93kkXCP1bCOuo4rC+lIeXlF
      gIi2Z4iMxuKceBeLBgFTovG7dVDeGmTucQIDAQABo1MwUTAdBgNVHQ4EFgQUgZdt
      wisFHetsCww03EXQGt8Oq24wHwYDVR0jBBgwFoAUgZdtwisFHetsCww03EXQGt8O
      q24wDwYDVR0TAQH/BAUwAwEB/zANBgkqhkiG9w0BAQsFAAOCAQEAiL3wXWof5x+k
      thOn2tAspFR/IH5NQHPLocV605FcRjt1JS1z0cBjtBroTKFarXo6T1NKQN5Lhjsu
      wrvu1J/YQcGnSmChar8OJSIbxPhHrbpA6Gg2mtkH4BTnnXY3LBgVFfCl5oiFxZqB
      ELkm6iBZmReot+MPWvE0Ypx7hQLI/3qLc5yYEw7ZNKWq/lRbbT4DLgKeHH89fSrm
      cpDa9ZHF2e6rlx95LCbZUWyEE6pPFeq+6CyQt+FkwLl1e+ZIJTknWgD/bzPsZ6CF
      XfF2fS2ObaUISKYEZMZx5o+JZnnYGr1U614lhniha+Rpykzoa+SsOdwvI0xl5ZRr
      aqD3fI3jqA==
      -----END CERTIFICATE-----

    • Em "Configurações Avançadas de Login", cole sua URL Base SAML do Intercom.

    • Clique em Salvar.

  4. Teste e Ative:

    • Volte para as configurações SAML do seu workspace Intercom e clique em Salvar.

    • Teste sua configuração SAML fazendo logout e login novamente com SAML.

    • Uma vez confirmado, você pode voltar às configurações e desmarcar as opções de login por email/senha ou Google para aplicar o SAML.

Artigos relacionados
Perguntas Frequentes para Iniciantes
Atribua funções de colegas automaticamente com grupos SCIM
Respondeu à sua pergunta?