What makes the Authorization Code Flow with PKCE more secure for OIDC SSO?

The Authorization Code Flow with PKCE adds an extra layer of security to OpenID Connect Single Sign-On (OIDC SSO). By doing so, it protects against authorization code interception attacks, ensuring that only the intended client application can use the authorization code. This method is especially helpful for public clients like single-page applications. It allows for secure token exchanges without revealing sensitive data, reducing the chances of token leakage or unauthorized access. This makes it a dependable approach to protecting user authentication.

How do I resolve common issues when setting up OIDC SSO in Adalo Blue?

To address common challenges during the OpenID Connect (OIDC) SSO setup in Adalo Blue, start by reviewing your configuration settings. Make sure the redirect URL is an exact match between your Identity Provider (IdP) and Adalo. Double-check that your client ID , client secret , and all endpoint URLs - such as authorization, token, and user info - are entered correctly. If you run into errors, carefully examine the error messages for helpful details. Issues like unrecognized logins might require you to whitelist your IdP URL or confirm that trusted domains are properly configured in your settings. Testing in an incognito browser can also be useful to rule out any interference from cached data or cookies. For more in-depth guidance, explore Adalo's support resources or consult your IdP documentation to verify your setup and address specific problems.

How can I keep my OpenID Connect Single Sign-On (SSO) setup secure and up-to-date?

To maintain the security and reliability of your OpenID Connect SSO setup, it’s crucial to periodically update client credentials like client IDs and secrets. This helps reduce the risk of unauthorized access. Additionally, ensure you have robust token validation and claim verification processes in place to confirm both user authenticity and their permissions. Keep yourself updated on security guidelines and updates provided by your identity provider. Regularly review their documentation and apply any recommended changes to address vulnerabilities and strengthen your system’s security.

Guia de Configuração do OpenID Connect SSO

Para configurar o OIDC SSO no Adalo Blue, você precisará de acesso administrativo a uma conta em um IdP compatível com OIDC e uma assinatura ativa do Adalo Blue. Adalo é um construtor de aplicativos sem código para aplicativos web baseados em banco de dados e aplicativos nativos iOS e Android—uma versão em todas as três plataformas, publicada na Apple App Store e Google Play.

O Que Você Precisa: Acesso administrativo a um IdP compatível com OIDC (por exemplo, Okta, Auth0) e um plano Adalo Blue Team ($250/mês) ou Business ($250/mês).
Visão Geral da Configuração:
1. Registre o Adalo Blue no seu IdP e colete o ID do Cliente, Segredo do Cliente e Ponto de Extremidade de Descoberta.
2. Configure o Adalo Blue com esses detalhes e mapeie as declarações de usuário (por exemplo, email, sub) para propriedades do aplicativo.
3. Teste a conexão usando as ferramentas integradas do Adalo Blue para garantir a autenticação adequada.
4. Ative o SSO e compartilhe a URL de login com sua equipe.

Dica profissional: Use o Fluxo de Código de Autorização para autenticação segura e garanta que os openid, email, e profile escopos estejam habilitados. Mantenha sua configuração atualizada rotacionando regularmente as chaves e monitorando as configurações do IdP.

Este guia o orienta em cada etapa, desde a configuração do seu IdP até o teste e ativação do SSO no Adalo Blue, garantindo uma integração suave e segura.

Pré-requisitos para Configurar OIDC SSO no Adalo Blue

Adalo Blue

Contas e Permissões Necessárias

Para configurar o OIDC SSO no Adalo Blue, você precisará de acesso administrativo a uma conta no plano Team ($250/mês) ou no plano Business ($250/mês). Esses planos incluem a funcionalidade de SSO necessária para integração. Observe que o plano Professional ($36/mês), embora ofereça integração avançada de API, não suporta recursos completos de SSO.

Além disso, você deve ter acesso administrativo a um Provedor de Identidade (IdP) compatível com OIDC, como Okta, Auth0 ou Azure AD. Este acesso permite que você crie integrações, configure URIs de redirecionamento e gere credenciais de cliente. Depois de confirmar suas permissões e contas, você pode começar a coletar os detalhes necessários do seu IdP.

Informações que Você Precisará do Seu IdP

Após registrar o Adalo Blue como um aplicativo dentro do seu IdP, colete estas informações críticas:

ID do Cliente: Este é o identificador público do seu aplicativo.
Segredo do Cliente: Uma chave privada usada para autenticar o Adalo Blue com seu IdP. Trate-a como uma senha e mantenha-a segura.
Ponto de Extremidade de Descoberta: Geralmente termina com /.well-known/openid-configuration e fornece detalhes de configuração automaticamente.

Para garantir que tudo esteja configurado corretamente, cole a URL do Ponto de Extremidade de Descoberta em um navegador. Ele deve retornar um objeto JSON com metadados de conexão. Confirme que seu IdP está configurado para compartilhar os openid, profile, e email escopos - estes são necessários para mapear as declarações de usuário adequadamente no Adalo Blue. Depois de coletar esses detalhes, você estará pronto para prosseguir para a configuração do Adalo Blue.

Acesso de Configuração do Adalo Blue

Com os detalhes do seu IdP em mãos, faça login no Adalo Blue para começar a configuração do SSO. Acesse a seção Configurações (procure pelo ícone de varinha mágica na barra lateral) para acessar as opções de configuração de SSO. Aqui você encontrará configurações de integração e segurança onde pode inserir suas credenciais de IdP e gerenciar protocolos de autenticação.

O Adalo Blue fornecerá uma URI de Redirecionamento em suas configurações. Copie essa URI e cole-a nas configurações do aplicativo do seu IdP para garantir que as respostas de autenticação sejam encaminhadas para o ponto de extremidade correto. Verifique novamente que todos os detalhes do seu IdP estão preparados antes de mergulhar no painel de configuração do Adalo Blue.

Como Configurar o OpenID Connect SSO

Configure Seu Provedor de Identidade (IdP)

Comece fazendo login na sua conta de Provedor de Identidade (IdP) com acesso administrativo. Se você estiver usando Okta, Auth0, Azure AD ou outro provedor compatível com OIDC, a configuração geralmente segue um processo semelhante. Primeiro, crie uma nova integração de aplicativo, selecione OIDC – OpenID Connect como o método de login e escolha Aplicativo Web para o tipo de aplicativo.

A seguir, selecione o tipo de concessão de Código de Autorização . Este fluxo é altamente recomendado para integrações baseadas na web, como o Adalo Blue, pois garante autenticação segura no lado do servidor. A partir do seu painel do Adalo Blue, copie a URL de retorno de chamada e cole-a no campo "URIs de redirecionamento de login" do seu IdP. Esta URL é crítica - ela direciona o IdP para enviar usuários de volta para seu aplicativo após autenticação bem-sucedida.

Você também precisará configurar os escopos necessários. No mínimo, inclua o openid escopo junto com profile e email para garantir que o IdP compartilhe informações essenciais do usuário. Depois de salvar o aplicativo, seu IdP gerará um ID do Cliente e Segredo do Cliente. Certifique-se de copiar esses valores imediatamente, pois você precisará deles na próxima etapa.

Digite os Detalhes do OIDC no Adalo Blue

Acesse a Configurações seção no Adalo Blue clicando no ícone de varinha mágica na barra lateral. Localize o painel de configuração de SSO, onde você encontrará campos para inserir seu ID do Cliente, Segredo do Cliente e URL do Emissor. Cole o ID do Cliente e o Segredo do Cliente do seu IdP nos campos respectivos. Lembre-se, o Segredo do Cliente é informação sensível - trate-o como uma senha e evite compartilhá-lo ou armazená-lo de forma insegura.

Para a URL do Emissor, use o ponto de extremidade de descoberta do seu IdP, que geralmente termina com /.well-known/openid-configuration. Esta URL permite que o Adalo Blue recupere automaticamente e configure pontos de extremidade principais, como Autorização, Token e UserInfo, reduzindo o risco de erros manuais. Verifique novamente que a URI de redirecionamento no Adalo Blue corresponde exatamente à que você inseriu no seu IdP - qualquer inconsistência, mesmo pequena, pode levar a problemas de autenticação. Depois que esses detalhes forem inseridos, prossiga para mapear declarações e funções de usuário para concluir a configuração.

Mapear Reivindicações e Funções de Usuário

A etapa final é mapear atributos de usuário do seu IdP para as propriedades de usuário do Adalo Blue. Quando um usuário faz login, o IdP envia um token de ID contendo reivindicações - informações verificadas sobre o usuário.

Nas configurações de SSO do Adalo Blue, localize o campo de chave de reivindicação de nome de usuário campo. Isso determina qual reivindicação do IdP servirá como identificador único do usuário. As opções comuns incluem sub ou email. Para confirmar qual reivindicação seu IdP envia, ative o recurso Visualizar reivindicações. Esta ferramenta permite que você inspecione as reivindicações sendo enviadas, garantindo que as informações se alinhem com os requisitos do seu sistema.


Reivindicação OIDC	Propriedade de Usuário do Adalo Blue	Descrição
`sub`	ID de Usuário / Identificador Único	O identificador único para o usuário
`email`	E-mail	O endereço de email verificado do usuário
`given_name`	Primeiro Nome	O primeiro nome ou nome dado do usuário
`family_name`	Sobrenome	O sobrenome ou nome de família do usuário
`groups`	Funções / Permissões	Reivindicação opcional para controle de acesso baseado em função

Se seu aplicativo requer controle de acesso baseado em função, configure seu IdP para incluir uma groups ou roles reivindicação no token de ID. O Adalo Blue pode usar esta reivindicação para atribuir automaticamente permissões aos usuários após o login. Mantenha o recurso Visualizar reivindicações ativado durante a configuração inicial para verificar que tudo está mapeado corretamente. Depois que você tiver certeza de que a configuração está precisa, você pode desativar o recurso de visualização para uso regular.

Testar e Ativar OIDC SSO no Adalo Blue

Use a Ferramenta de Teste de SSO do Adalo Blue

Antes de implementar o SSO, é crucial testar a conexão em um ambiente controlado. Vá para a guia Testar Conexão no painel de configuração de SSO do Adalo Blue e clique em Testar Login. Isso simulará um fluxo de SSO, abrindo uma nova janela que exibe o status da conexão, destaca quaisquer problemas e mostra a resposta completa do seu Provedor de Identidade (IdP).

A ferramenta de teste fornece informações detalhadas sobre as reivindicações enviadas pelo seu IdP. Estas incluem atributos padrão como sub, email, e name, bem como quaisquer funções personalizadas que você tenha configurado. Revise cuidadosamente esses dados para confirmar que todos os mapeamentos estão precisos. Tenha certeza de que o teste não afetará suas permissões.

Se o IdP enviar um "token fino" com informações de usuário incompletas, os resultados do teste sinalizarão este problema. Para resolver isso, configure um endpoint UserInfo (também chamado de URL de Token Gordo) para recuperar o perfil completo do usuário.

Certifique-se de resolver quaisquer problemas identificados durante o teste antes de prosseguir para a ativação.

Solucionar Problemas Comuns

Quando a conexão de teste falha, a ferramenta fornece avisos específicos para ajudá-lo a identificar o problema. Um problema frequente é um URI de Redirecionamento incompatível - até mesmo um pequeno erro de digitação ou caractere extra pode interromper a autenticação.


Problema Comum	Causa Provável	Etapa de Solução de Problemas
URI de Redirecionamento Inválido	Incompatibilidade entre IdP e Adalo Blue	Certifique-se de que o URI corresponde exatamente em ambos os painéis
Dados de Usuário Ausentes	Escopos incorretos ou ausentes	Verificar `openid`, `email`, e `profile` escopos solicitados
Perfil Incompleto	Tokens de ID finos do IdP	Configurar uma URL UserInfo (Token Gordo)
Falha na Sincronização de Funções	Sensibilidade de maiúsculas ou nomes de função inválidos	Corresponder exatamente as strings de função do IdP aos valores esperados
404 em Metadados	Ponto de descoberta incorreto	Certifique-se de que a URL termina com `/.well-known/openid-configuration`

Verifique se o aplicativo IdP inclui os escopos necessários openid, email, e profile Teste a URL de descoberta no seu navegador para confirmar se ela retorna metadados JSON. Preste atenção especial ao mapeamento de funções, pois é sensível a maiúsculas e minúsculas - os nomes das funções devem corresponder exatamente. Ao testar atribuições de funções, comece com uma conta não administrador para evitar se bloquear acidentalmente do acesso administrativo.

Após resolver todos os problemas, você está pronto para ativar o SSO.

Ativar SSO OIDC para sua equipe

Após passar em todos os testes, ative o SSO alternando o Permitir autenticação SSO interruptor no painel de configurações. Verifique novamente os mapeamentos de funções para garantir que não sobrescrevam nenhuma atribuição manual.

A seguir, faça logout e teste o fluxo do SSO para confirmar se tudo funciona conforme esperado. Após verificação, compartilhe o URL de login SSO exclusivo com sua equipe.

Para evitar ser bloqueado durante a implantação, mantenha um método de login administrativo secundário ativo até ter certeza de que vários membros da equipe podem se autenticar com sucesso via SSO. Essa precaução garante uma transição suave para sua equipe.

Como configurar logon único usando OIDC e OAuth2.0 dentro Entra ID com aplicativos de terceiros

Entra ID

Práticas recomendadas para OIDC SSO seguro e escalável

Após testar sua configuração de SSO OIDC, é hora de fortalecer e expandir sua integração com essas práticas essenciais.

Proteja sua configuração

Proteja seus segredos implementando rotação regular de chaves. Para rotacionar chaves, gere um novo segredo no seu Provedor de Identidade (IdP), atualize-o no Adalo Blue e desative o segredo antigo imediatamente.

Para aplicativos móveis e baseados em navegador, sempre use o Fluxo de código de autorização com PKCE. Isso ajuda a evitar interceptação de tokens durante o processo de autenticação. Além disso, limite seus URIs de redirecionamento para URLs absolutas exatas. Evite usar subdomínios com curinga, pois podem expor seu sistema a ataques de redirecionamento de token por agentes maliciosos.

Solicite apenas os escopos necessários, como openid, email, e profilePara aplicativos destinados ao uso interno, você pode aprimorar a segurança restringindo logins ao domínio de email da sua organização. Essa medida simples bloqueia acesso externo não autorizado.

Mantenha as configurações de SSO atualizadas

Provedores de identidade como Okta costumam rotacionar suas chaves de assinatura a cada 90 dias, embora esse cronograma possa variar. Para se manter atualizado, consulte periodicamente o /.well-known/jwks.json ponto de extremidade para atualizar chaves públicas. Use o /.well-known/openid-configuration ponto de extremidade de descoberta para automatizar atualizações de configurações como endpoints de autorização e token. Isso minimiza erros manuais e garante que sua configuração permaneça atual.

Crie uma rotina para rotacionar segredos do cliente e revisar suas configurações. Um cronograma trimestral funciona bem para a maioria das organizações, mas você pode precisar aumentar a frequência se houver sinais de exposição de credenciais. Durante o pico de uso, monitore os cabeçalhos de limite de taxa do seu IdP (por exemplo, X-Rate-Limit-Remaining) para evitar interrupções de serviço.

Com sua configuração segura e regularmente atualizada, você pode focar sua atenção em dimensionar o SSO para uso empresarial mais amplo.

Dimensionar SSO para uso empresarial

Aproveite o recurso groups reclamação para mapear funções de usuário no Adalo Blue, o que simplifica o controle de acesso conforme sua base de usuários se expande. Se um usuário pertence a vários grupos, considere implementar um sistema de prioridade em que funções de nível superior, como Org Admin, substituem automaticamente funções de nível inferior.

Para aplicativos B2B que atendem várias organizações, atribua credenciais únicas de cliente OIDC a cada cliente. Evite um sistema de credencial global único, pois pode complicar o gerenciamento e reduzir a segurança. Se estiver lidando com uma base de usuários diversa, implemente a Descoberta de Realm Inicial (HRD). Esse recurso roteia usuários para seu IdP corporativo específico com base em seu domínio de email, tornando o processo de login perfeito.


Recurso de Segurança	Quando usar	Benefício principal
PKCE	Aplicativos móveis e de página única	Previne ataques de interceptação de código de autorização
Reclamações de grupo	Dimensionamento empresarial	Automatiza controle de acesso baseado em funções
Filtragem de domínio	Aplicativos internos/B2B	Limita o acesso apenas aos usuários autorizados

Conclusão

Seguindo as etapas descritas anteriormente, o logon único (SSO) OpenID Connect (OIDC) garante acesso seguro e eficiente para seu aplicativo.

Integrar OIDC SSO com Adalo Blue simplifica a autenticação por meio de provedores como Azure AD, Okta ou Google. O processo de configuração inclui registrar seu aplicativo com um Provedor de Identidade (IdP), configurar URIs de redirecionamento e alinhar reclamações de usuário com suas propriedades de banco de dados. Quando tudo está em vigor, os usuários desfrutam de acesso com um clique, e o gerenciamento de identidade centralizado simplifica o provisionamento de usuários.

O OIDC emprega protocolos de segurança modernos, como autenticação multifator e PKCE, ajudando a mitigar riscos de segurança enquanto reduz a carga de TI.

Para equipes corporativas, uma única configuração oferece suporte a acesso perfeito em plataformas web, iOS e Android, oferecendo uma experiência consistente para os usuários. O mapeamento de funções automatizado e as configurações escaláveis facilitam o gerenciamento do crescimento sem complexidade adicional.

"O logon único representa uma tecnologia que oferece numerosos benefícios, incluindo economia de custos para TI, maior satisfação do funcionário e uma experiência aprimorada do cliente." - Explorance Blue

Com a configuração correta de OIDC SSO, seu aplicativo alcança acesso seguro e simplificado para usuários, controle centralizado para equipes de TI e segurança em nível corporativo - estabelecendo a base para crescimento sustentado.

Perguntas Frequentes

O que torna o Fluxo de código de autorização com PKCE mais seguro para OIDC SSO?

A Fluxo de código de autorização com PKCE adiciona uma camada extra de segurança ao OpenID Connect Single Sign-On (OIDC SSO). Ao fazer isso, protege contra ataques de interceptação de código de autorização, garantindo que apenas o aplicativo cliente pretendido possa usar o código de autorização.

Este método é especialmente útil para clientes públicos como aplicativos de página única. Permite trocas de token seguras sem revelar dados sensíveis, reduzindo as chances de vazamento de token ou acesso não autorizado. Isso o torna uma abordagem confiável para proteger a autenticação do usuário.

Como faço para resolver problemas comuns ao configurar OIDC SSO no Adalo Blue?

Para resolver desafios comuns durante a configuração do OpenID Connect (OIDC) SSO no Adalo Blue, comece revisando as configurações. Certifique-se de que a URL de redirecionamento é uma correspondência exata entre seu Provedor de Identidade (IdP) e Adalo. Verifique novamente se seu ID do cliente, segredo do clientee todas as URLs de endpoint - como autorização, token e informações do usuário - estão inseridas corretamente.

Se você encontrar erros, examine cuidadosamente as mensagens de erro para obter detalhes úteis. Problemas como logins não reconhecidos podem exigir que você adicione sua URL do IdP à lista de permissões ou confirme que os domínios confiáveis estão configurados corretamente nas suas configurações. O teste em um navegador incógnito também pode ser útil para descartar qualquer interferência de dados em cache ou cookies.

Para orientações mais detalhadas, explore os recursos de suporte do Adalo ou consulte a documentação do seu IdP para verificar sua configuração e resolver problemas específicos.

Como posso manter minha configuração de OpenID Connect Single Sign-On (SSO) segura e atualizada?

Para manter a segurança e a confiabilidade da sua configuração do OpenID Connect SSO, é crucial atualizar periodicamente as credenciais do cliente, como IDs do cliente e segredos. Isso ajuda a reduzir o risco de acesso não autorizado. Além disso, certifique-se de que você possui processos robustos de validação de token e verificação de declarações para confirmar tanto a autenticidade do usuário quanto suas permissões.

Mantenha-se atualizado sobre diretrizes de segurança e atualizações fornecidas pelo seu provedor de identidade. Revise regularmente a documentação deles e aplique as alterações recomendadas para resolver vulnerabilidades e fortalecer a segurança do seu sistema.

Guia de Configuração de SSO OpenID Connect