# Ative o SSO com SAML
Administradores da conta podem habilitar [Login único SAML (SSO)](https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language) para que os usuários da conta acessem a conta da impact.com da sua marca por meio de um provedor de identidade (IDP) compatível ou por meio de um link de login exclusivo. Escolha o método de sua preferência.
O SSO SAML usa uma conexão da impact.com com o seu provedor de identidade. Atualmente, a impact.com oferece suporte aos seguintes provedores:
* AD FS
* Okta
* OneLogin
* Microsoft Entra ID
#### Habilitar SSO SAML
{% hint style="warning" %}
**Aviso:** Se você já tiver o SSO SAML habilitado e quiser trocar de provedor, precisará da ajuda da nossa equipe de Serviços Técnicos. Antes de [abrir um chamado](https://impact.atlassian.net/servicedesk/customer/portal/6/group/1088), certifique-se de salvar o arquivo de metadados do IDP existente no seu dispositivo local e prepare uma lista de nomes de usuário que precisam ser migrados.
{% endhint %}
{% stepper %}
{% step %}
#### **Etapa 1: Fazer upload do arquivo de metadados do IDP**
Antes de começar, certifique-se de ter o seu **arquivo de metadados do IDP** em formato .XML à mão — este arquivo precisa ser enviado para a impact.com.
1. Na barra de navegação superior, selecione  **\[Perfil do usuário] → Configurações**.
2. Na coluna da esquerda, em *Geral,* selecione **Autenticação de usuários da conta**.
3. Ao lado do item *Tipo de autenticação* selecione  **\[Caixa de seleção] SAML** e use o  **\[Menu suspenso]** para selecionar seu provedor de identidade.
4. Use o seletor de arquivos para localizar e **enviar seu arquivo de metadados .XML**.
5. Na parte inferior da tela, selecione **Salvar**.
{% endstep %}
{% step %}
#### **Etapa 2: Habilitar o SSO SAML para usuários da conta**
As instruções a seguir precisam ser concluídas para cada usuário individual que usará o SSO SAML:
1. Na barra de navegação superior, selecione  **\[Perfil do usuário] → Configurações**.
2. Na coluna da esquerda, vá para *Geral* e selecione **Usuários da conta**.
3. Passe o cursor sobre um usuário e selecione **\[Mais] → Editar direitos de acesso**
4. Na seção *Método de cadastro do usuário* selecione **SAML**.
5. Na parte inferior do painel deslizante, selecione **Salvar**.
{% endstep %}
{% step %}
#### **Etapa 3: Configurar o login do usuário via SSO SAML**
Há 2 maneiras de os usuários acessarem a impact.com com SSO SAML:
* **Por meio do seu provedor de identidade (IDP)** — Configure uma conexão/conector no seu IDP e use-o para autenticar os usuários.
* **Por meio do link de login exclusivo da sua marca** — Para usuários que não entram via conexão do IDP.
**Opção A: Login pelo provedor de identidade**
* **OneLogin** — No OneLogin, encontre a *Impact Partnership Cloud* conexão no *OneLogin App Catalog* e siga as instruções na tela para habilitar e configurar o aplicativo.
* **ADFS, Okta e Microsoft Entra ID** — Crie uma nova conexão personalizada com estes valores exatos:
| Campo | Valor a inserir |
| ---------------------------------------------- | --------------------------------- |
| URL de Login Único / URL de Resposta / URL ACS | |
| URL do destinatário | |
| URL de destino | |
| Restrição de público | |
| Formato do Name ID | EmailAddress |
| Resposta | Assinada |
| Assinatura da asserção | Assinada |
| Algoritmo de assinatura | RSA\_SHA1 |
| Assinatura de resumo | SHA1 |
| Criptografia da asserção | Sem criptografia |
| Logout único SAML | Desativado |
| AuthnContextClassRef | PasswordProtectedTransport |
* **Microsoft Entra ID** — Crie uma nova conexão personalizada com estes valores exatos:
| Campo | Valor a inserir |
| ----------------------------------------------------------------------------------------------- | --------------------------------- |
| URL de resposta (URL do Serviço do Consumidor de Asserção) | |
| URL de resposta (implicitamente) | |
| Identificador (ID da entidade) | |
| Formato do identificador de nome (Configurações avançadas → “Formato do identificador de nome”) | EmailAddress |
| Opção de assinatura da resposta (Assinar resposta SAML) | Assinada |
| Assinar asserção SAML (opção) | Assinada |
| Algoritmo de assinatura | RSA\_SHA1 |
| Algoritmo de resumo | SHA1 |
| Certificado de criptografia (opcional) | Sem criptografia |
| URL de logout único | Desativado |
| AuthnContextClassRef padrão (não exposto diretamente) | PasswordProtectedTransport |
Os valores inseridos devem corresponder exatamente aos valores fornecidos acima. Por exemplo, não adicione uma barra no final do *URL de Login Único / URL de Resposta / URL ACS* campo assim: `https://app.impact.com/saml/SSO`**`/`**, e não insira vários valores de URL. Certifique-se também de que o endereço de e-mail do usuário no seu IDP corresponda exatamente ao endereço de e-mail do usuário na impact.com.
**Opção B: Login por link com a marca**
Se um usuário não estiver entrando pelo seu IDP, ele pode usar um link de login exclusivo com a marca para acessar sua conta na impact.com. Para obter este link de login:
1. Na barra de navegação superior, selecione  **\[Perfil do usuário] → Configurações**.
2. Na coluna da esquerda, em *Branding*, selecione **Branding de login do anunciante**.
* Seu link com a marca terá uma aparência semelhante a esta: `https://app.impact.com/abe/Stark-Industries12345678912345/login.user?preview=t`
3. Do campo *Link de login* copie e salve o *Link de login* para distribuir aos membros da sua conta impact.com.
{% hint style="warning" %}
**Importante:** A única finalidade deste link de login com a marca é permitir que os usuários façam login diretamente na impact.com quando não estiverem usando seu IDP. Não insira este link no *URL de Login Único / URL de Resposta / URL ACS* do seu IDP.
{% endhint %}
{% endstep %}
{% endstepper %}
