SSO (login federado)
O AgentHub permite que seus usuários entrem com a identidade corporativa via SSO, usando qualquer provedor compatível com o padrão OIDC. Os usuários são provisionados automaticamente no primeiro acesso.
Provedores suportados
| Provedor | Compatível |
|---|---|
| Microsoft Entra ID | ✅ |
| Okta | ✅ |
| Ping Identity | ✅ |
| Qualquer provedor compatível com OIDC | ✅ |
Registrar um provedor de identidade
Em Administração → Provedores de identidade (ação de super admin), informe:
| Campo | Descrição |
|---|---|
| Nome | Como aparece no botão de login (ex.: "Entrar com Entra ID"). |
| URL de descoberta (discovery) | O endpoint de configuração OIDC do provedor. |
| Client ID / Client Secret | As credenciais da aplicação registrada no seu provedor. |
| Mapeamento de grupos | Associa grupos do provedor a papéis do AgentHub. |
Mapeamento de grupos para papéis
O mapeamento de grupos define o papel de cada usuário a partir dos grupos a que ele pertence no provedor:
{
"AgentHub-Admins": "admin",
"AgentHub-Reviewers": "reviewer",
"AgentHub-Viewers": "viewer"
}
- Usuários em grupos não mapeados são, por padrão, bloqueados.
- Para permitir qualquer usuário como leitor, inclua
"_default": "viewer"no mapeamento.
Como o login federado funciona
Provisionamento automático
- Primeiro login — cria a conta do usuário vinculada ao provedor.
- Logins seguintes — atualizam o último acesso e reavaliam o papel conforme os grupos atuais no provedor.
- Usuário desativado localmente — tem o login bloqueado mesmo com credenciais válidas no provedor.
Recomendações
- Habilite SSO para todos os usuários humanos e centralize o controle de acesso no seu provedor de identidade.
- Mantenha os grupos do provedor como a fonte de verdade dos papéis — assim, remover alguém de um grupo ajusta o acesso no próximo login.