Este é um guia sobre como configurar a autenticação SAML para sua conta. O guia assume que você já possui um IdP corporativo.

Antes de começar, há alguns pontos a serem observados

* Uma vez que o SAML esteja habilitado, seus usuários não poderão acessar o Chatwoot com a senha. Ao desabilitar o SAML, este comportamento será revertido.

* Se um usuário fizer parte de várias contas, e qualquer uma delas tiver SAML configurado, ele terá que acessar apenas via o IdP SAML. É recomendável restringir os usuários apenas ao seu domínio.

## Configurando o SAML

Você pode encontrar as configurações de SAML em Configurações > Segurança. Aqui estão as configurações que você precisa conhecer.

* **SSO URL:** O endereço HTTPS específico no Provedor de Identidade onde se inicia o login SAML; seu aplicativo redireciona os usuários para cá para autenticação. Pense nisso como o “endpoint de login” do IdP, que aceita AuthnRequests SAML e inicia o fluxo de SSO.

* **Identity Provider Entity ID:** Um identificador globalmente único (geralmente uma string parecida com URI) que nomeia o Provedor de Identidade nos metadados SAML. Seu Provedor de Serviço usa isso para selecionar a configuração certa do IdP e validar que as mensagens SAML recebidas realmente vêm daquele IdP.

* **Signing Certificate:** O certificado público X.509 do IdP usado para assinar respostas/asserções SAML. Seu Provedor de Serviço armazena este certificado e verifica as assinaturas, garantindo que a mensagem não foi alterada e realmente veio do IdP.

![](https://app.chatwoot.com/rails/active_storage/blobs/redirect/eyJfcmFpbHMiOnsibWVzc2FnZSI6IkJBaHBCSHdGVlFJPSIsImV4cCI6bnVsbCwicHVyIjoiYmxvYl9pZCJ9fQ==--4aeda8a3edb4e96e36bf70a0d1745c120824e7b0/image.png)Uma vez configurado, você encontrará os detalhes necessários para registrar o Chatwoot como um Provedor de Serviço (SP) no seu provedor SAML. Aqui estão as informações que você irá obter

* **ACS URL:** O endpoint Assertion Consumer Service do Provedor de Serviço que recebe a Resposta SAML do IdP. Após a autenticação do usuário, o IdP envia a asserção assinada para este URL HTTPS, onde seu aplicativo valida e cria uma sessão.

* **SP Entity ID:** O identificador único (frequentemente uma URI) do Provedor de Serviço nos metadados SAML. O IdP usa este valor para garantir que está emitindo uma resposta para o aplicativo correto e para selecionar o ACS URL e configurações certos.

> Caso você precise dessas informações antecipadamente, aqui está o formato
>
> * ACS URL: `<your-chatwoot-installation>/omniauth/saml/callback?account_id=<your-account-id>`
>
> * SP Entity ID: `<your-chatwoot-installation>/saml/sp/<your-account-id>`

## Mapeamento de Dados

Os seguintes mapeamentos de atributos devem ser configurados no seu provedor de identidade

* `email`

* `first_name`

* `last_name`

Assim que o usuário fizer login pela primeira vez, essas informações serão usadas para criar um usuário para ele. Não atualiza as informações

## Autenticação

Você pode acessar este link `https://app.chatwoot.com/app/login/sso` para visualizar o formulário de login SAML. Basta inserir o endereço de e-mail e o aplicativo irá redirecioná-lo para o provedor SAML configurado.

![](https://app.chatwoot.com/rails/active_storage/blobs/redirect/eyJfcmFpbHMiOnsibWVzc2FnZSI6IkJBaHBCR2tkVlFJPSIsImV4cCI6bnVsbCwicHVyIjoiYmxvYl9pZCJ9fQ==--ec2bfa6daaf423fa1fed8ef63f7ac0974becaaf7/image.png)