O SSO com SAML é uma solução que simplifica o acesso dos usuários a diversas plataformas utilizando uma única autenticação. Neste guia, vamos detalhar como configurar o SSO entre o Google Workspace e a Elven Platform, proporcionando segurança e eficiência no gerenciamento de identidades e acessos.
Configuração do SSO no Google Workspace
Para começar, acesse o painel do Google Workspace e navegue até Apps > Web and Mobile Apps. Aqui você pode adicionar novos aplicativos, então clique em Add App > Add Custom SAML App. Isso permitirá que você configure uma integração personalizada com a Elven Platform. Insira o nome sugerido “ElvenPlatform” e, se desejar, adicione uma descrição e o ícone da aplicação para facilitar a identificação visual pelos usuários. Após preencher essas informações, clique em CONTINUE.



No próximo passo, será gerado o Entity ID e o certificado necessário para autenticar a conexão. Faça o download do certificado e copie o Entity ID, pois serão usados mais adiante.

Integração com a Elven Platform
Com os dados do Google Workspace em mãos, acesse a Elven Platform e vá até Settings > Organization. Na aba Single Sign-On, insira o Sign In URL obtido no Workspace no campo correspondente e faça o upload do certificado baixado. Além disso, copie as informações como ACS URL e Entity ID da Elven Platform e cole nos campos do Google Workspace.



Em “Name ID”, manter o valor “Basic Information > Primary email”

Avance para a última etapa e configure o mapeamento desta forma:

Essa troca de informações é essencial para que ambas as plataformas confiem e validem as solicitações de autenticação, garantindo que o SSO funcione de forma fluida e segura.
Personalização de Acesso dos Usuários
No Google Workspace, você pode decidir quem terá acesso à aplicação. Acesse a app criada e clique em User Access. Aqui, habilite o acesso para todos os usuários, selecionando ON for everyone, ou configure um grupo específico. Isso garante que somente as pessoas autorizadas possam usar o SSO para acessar a Elven Platform. Depois de salvar as configurações, aguarde alguns minutos para que a integração fique ativa.




Sincronização de Usuários na Elven Platform
Para sincronizar usuários do Google Workspace com a Elven Platform, é necessário configurar uma conta de serviço no Google Cloud. No Google Cloud Console, vá até IAM & Admin > Service Accounts e clique em Create Service Account. Nomeie a conta como “OnePlatform SSO” e complete a criação.



Na conta criada, acesse a aba KEYS e clique em ADD KEY > Create New Key, selecionando o formato JSON. Isso criará um arquivo com as chaves necessárias para autenticar a sincronização. Lembre-se de armazenar este arquivo com segurança.


Depois, selecione a aba Details e clique em Advanced settings e anote o Client ID, pois será usado em passos futuros.


Delegação de Acessos no Google Workspace
Para que a conta de serviço funcione corretamente, é preciso autorizar a delegação de domínio. No painel do administrador do Google Workspace, vá em Security > Data and Access Control > API Controls e clique em MANAGE DOMAIN WIDE DELEGATION.


Adicione um novo cliente usando o Client ID gerado anteriormente e insira os escopos necessários para leitura de informações de usuários e grupos:
Esses escopos garantem que a Elven Platform possa sincronizar usuários e grupos do Google Workspace sem comprometer dados confidenciais.


Ativando a API Admin SDK
Ainda no Google Cloud Console, ative a Admin SDK API, pesquisando por ela na biblioteca de APIs. Isso é fundamental, pois a Elven Platform utiliza essa API para gerenciar e sincronizar informações de usuários e grupos.



Finalizando a Configuração
De volta à Elven Platform, acesse a configuração de SSO e insira as informações obtidas:
- O e-mail do administrador do workspace.
- O e-mail do grupo de usuários configurado no Workspace para sincronização.
Faça o upload do arquivo JSON com as chaves criadas anteriormente e clique em SAVE INTEGRATION. Com isso, a sincronização estará ativa, e os usuários do grupo definido no Google Workspace serão automaticamente adicionados à organização na Elven Platform com a role padrão de “member”. Caso precise alterar as permissões, é possível ajustar posteriormente.


Glossário de Termos Técnicos
ACS URL (Assertion Consumer Service URL): Um endpoint fornecido pela Elven Platform para receber as respostas de autenticação do provedor de identidade (IdP). É essencial para validar o login do usuário durante o processo SAML.
Admin SDK API: Uma API do Google que permite o gerenciamento de usuários, grupos e outras configurações de diretório no Google Workspace. É usada para sincronizar dados entre o Workspace e a Elven Platform.
API Controls: Configurações de segurança do Google Workspace que permitem gerenciar o acesso de APIs a informações de usuários e grupos. Fundamental para delegação de domínio.
Client ID: Identificador exclusivo de uma conta de serviço criada no Google Cloud. É usado para autorizar a delegação de domínio e vincular a conta ao SSO.
Delegação de Domínio (Domain-Wide Delegation): Permissão concedida a uma conta de serviço para acessar dados de usuários e grupos em nome do administrador do domínio. Essencial para sincronização de usuários.
Entity ID: Identificador exclusivo da aplicação SAML, usado para diferenciar o serviço em integrações de SSO. Tanto o Google Workspace quanto a Elven Platform possuem Entity IDs específicos.
Google Cloud Console: Interface do Google Cloud para gerenciar recursos, como contas de serviço, APIs e configurações relacionadas ao Google Workspace.
Google Workspace: Plataforma de produtividade do Google, que inclui ferramentas como Gmail, Google Drive e Google Calendar. Também serve como provedor de identidade (IdP) para integrações SAML.
IdP (Identity Provider): Provedor de identidade responsável por autenticar os usuários em um sistema de SSO. No caso desta integração, o Google Workspace atua como IdP.
JSON Key: Arquivo contendo as credenciais da conta de serviço no Google Cloud, utilizado para autenticação em serviços externos, como a sincronização de usuários na Elven Platform.
OAuth Scopes: Permissões que definem o nível de acesso que um aplicativo ou serviço pode ter aos dados do Google Workspace. Exemplos incluem leitura de informações de usuários e grupos.
Primary Email: O endereço de e-mail principal do usuário no Google Workspace, usado como identificador padrão em integrações de SSO.
Role (Papel): Permissão atribuída a um usuário em uma plataforma, como “member” (membro), que define os níveis de acesso e ações permitidas.
SAML (Security Assertion Markup Language): Um padrão aberto para troca de dados de autenticação e autorização entre um provedor de identidade (IdP) e um provedor de serviço (SP). É o protocolo usado no SSO configurado.
Service Account (Conta de Serviço): Uma conta no Google Cloud que permite que aplicações acessem recursos e APIs em nome do administrador ou de um domínio.