O Single Sign-on (SSO) permite que você autentique seus alunos com seus próprios sistemas sem obrigá-los a inserir credenciais adicionais de login do Reach 360. Portanto, se um aluno já estiver autenticado pelo seu provedor de identidade (IDP), ele também será autenticado no Reach 360.

Somente proprietários de contas do Reach 360 podem ativar ou desativar o SSO na interface do aplicativo.

1. Obtenha informações do IDP
2. Habilite o SSO no Reach 360
3. Adicione informações do Reach 360 ao seu IDP
4. Adicionar atributos obrigatórios para alunos
5. Desativar SSO

Etapa 1: Obter informações do IDP

Precisamos saber sobre seu IDP e eles precisam saber sobre nós. Para habilitar o SSO, você precisará inserir informações sobre seu provedor no Reach 360 e, por sua vez, forneceremos o que você precisa inserir em sua conta do IDP.

Você precisará de três coisas:

1. URL DO IDP SSO
2. URI do emissor do IDP
3. Certificado de assinatura IDP

Todos eles devem estar disponíveis/configuráveis em sua conta do IDP.

Etapa 2: habilitar o SSO no Reach 360

A opção de configurar o SSO está disponível somente para proprietários. Se você não tiver certeza do que precisa inserir em uma determinada etapa, clique em Saiba mais para obter detalhes adicionais.

1. No Reach 360, selecione a guia Gerenciar e clique em Configurações.
2. Em Autenticação de login único (SSO), clique em Configurar SSO.
3. Na página Configurar autenticação de login único (SSO), no campo URL do IDP SSO, insira o URL do IDP SSO obtido na etapa 1. Esse é o endereço em que seus alunos fazem login.
4. Insira o ID da entidade do IDP para seu SSO no campo URI do emissor do IDP.
5. Abra o certificado de assinatura do IDP que você baixou na etapa 1. Copie e cole todo o certificado X.509 no espaço fornecido.
6. Selecione como a resposta SAML do seu IDP é assinada. Você deve escolher entre Resposta ou Afirmação.
7. Selecione se você deseja assinar solicitações de autenticação SAML e se usará o SCIM para provisionar automaticamente alunos e grupos.
8. Depois de verificar suas entradas, clique em Salvar e continuar.

Etapa 3: Adicionar informações do Reach 360 ao seu IDP

Depois de inserir as informações na etapa anterior, teremos tudo o que precisamos para gerar os certificados e tokens para sua conta IDP.

Depois de clicar em Salvar e continuar, você notará que a página de SSO é um pouco diferente. Esses itens são o que você precisa para conectar sua solução de SSO ao Reach 360:

• URL do Assertion Consumer Service (ACS)
• URL do público
• Certificado de assinatura

Se você selecionou a opção de usar o SCIM na Etapa 2, você também receberá:

• URL DO SCIM
• Token de autenticação SCIM

Adicione esses valores ao local apropriado na página de configuração do seu IDP. Certifique-se de configurar seu IDP com os atributos SCIM necessários, vistos abaixo. Depois de concluir essas informações, clique em Concluído.

Depois de configurado, você pode visualizar suas configurações de SSO a qualquer momento clicando em Configurar SSO na guia Configurações do desenvolvedor. Se você tiver o SCIM ativado, poderá gerar um novo token do SCIM clicando no botão na seção URL do SCIM. Isso invalida seu token atual e emite um novo que você precisará fornecer ao seu IDP.

Observação: Se você tiver problemas para adicionar essas informações à sua conta do IDP, entre em contato com a equipe de suporte.

Se você ativou o SCIM na Etapa 2, esses serão os atributos necessários para criar alunos:

• name.givenName= primeiro nome
• name.familyName= sobrenome
• userName= endereço de e-mail
• externalId= qualquer ID exclusivo do seu IdP

Você também pode enviar atributos opcionais:

• avatar= substitui a foto de perfil definida pelo aluno (deve ser passada como uma URL e deve ser enviada como um atributo que faz parte do esquema urn:scim:schemas:extension:metadata:2.0:user)

Etapa 4: Adicionar atributos obrigatórios para alunos

Para que um aluno seja criado no Reach 360, seu registro em seu IDP deve conter os seguintes atributos:

• firstName= primeiro nome
• lastName= sobrenome
• email= endereço de e-mail
• subjectNameIdou Unique Learner Identifier = o externalId ou do objeto guid (deve ser permanentemente imutável, exclusivo e não deve expor nenhum detalhe interno, como e-mail, nome etc.)

Você também pode enviar esses atributos opcionais:

• avatar= substitui a foto de perfil definida pelo aluno (deve ser passada como URL)
• groups= uma lista de grupos aos quais o aluno está atribuído no IdP que você gostaria de sincronizar com o Reach 360.

Clique para obter mais informações sobre como gerenciar alunos e grupos quando o SSO está ativado.

Etapa 5: desativar o SSO

Desativar o SSO é rápido e fácil. Lembre-se de que, ao desativar o SSO, você precisará repetir todo o processo descrito nas etapas 1 a 3 se quiser ativá-lo novamente.

1. Na guia Gerenciar, clique em Configurações.
2. Na guia Conta, na seção Configurações de SAML, clique em Desativar SSO.
3. Clique em Desativar para confirmar que você deseja desativar o SSO.

Um e-mail é enviado aos membros da equipe vinculados ao SSO, informando que o SSO foi desativado. Para reativar o login, eles devem clicar no botão Definir senha nesse e-mail.