SSO com OIDC
Com SSO (Single Sign-On), seus usuários entram no RuleForge usando as mesmas credenciais que já usam para o resto do trabalho — Google Workspace, Microsoft Entra ID (antigo Azure AD), Okta, ou qualquer provedor que fale o padrão OIDC.
Por que usar
- Menos senhas: o time entra com o login que já conhece.
- Desligamento mais simples: quando um usuário sai da empresa, o acesso ao RuleForge é cortado junto com o acesso corporativo.
- Auditoria corporativa: o provedor de identidade mantém o rastro consolidado de quem entrou onde e quando.
- Políticas centrais: MFA, condições de acesso, restrições por geografia e outras políticas da sua empresa passam a valer para o RuleForge.
Antes de começar
Para ativar o SSO, você vai precisar, do lado do seu provedor de identidade:
- criar uma aplicação ou integração do tipo OIDC para o RuleForge;
- a URL de retorno (callback) que o RuleForge vai informar na tela de configuração;
- um Client ID e um Client Secret gerados pelo provedor.
Se você não tem acesso para criar essa aplicação no provedor, fale com o responsável por identidade da sua empresa.
Cadastrar um provedor
- Abra Configurações → Identidade → Provedores.
- Clique em Novo provedor.
- Escolha OIDC.
- Informe um nome (por exemplo, "Google Workspace" ou "Okta corporativo").
- Preencha os campos pedidos na tela usando os valores gerados no seu provedor.
- Escolha quais domínios de e-mail podem usar esse provedor (por exemplo,
@minhaempresa.com). - Se quiser, configure o mapeamento de grupos para papéis do RuleForge — assim um usuário em um grupo específico do seu IdP ganha, automaticamente, um papel determinado na organização.
- Salve como rascunho.
Validar e testar antes de ativar
O RuleForge separa três estados: rascunho, validado e ativo. Antes de ativar:
- Clique em Validar configuração — o produto verifica se o provedor está respondendo corretamente, sem iniciar login real.
- Se passar, clique em Testar fluxo de login — aqui um usuário real (você) faz o login pelo provedor. Isso confirma que todo o caminho funciona.
- Quando estiver tudo certo, clique em Ativar.
Esses passos evitam que uma configuração errada quebre o login de todo mundo.
Como o usuário entra
Depois de ativo:
- Na tela de login, o usuário informa o e-mail corporativo.
- O RuleForge identifica automaticamente que aquele domínio usa SSO.
- O usuário é redirecionado ao provedor.
- Após o login, ele volta para o RuleForge — e, se estava tentando abrir uma página específica, retorna direto para ela.
Criação automática de contas
Se a sua organização permite, usuários que entram pela primeira vez via SSO têm a conta criada automaticamente no RuleForge, com o papel que você configurou. Isso elimina o passo manual de "criar usuário, mandar convite".
Para automatizar também a desativação quando alguém sai da empresa, veja SCIM.
Observações importantes
- A configuração só pode ser ativada depois de passar pela validação — isso é intencional.
- Você pode desativar o provedor a qualquer momento sem apagar a configuração.
- SAML está disponível na interface como preview — não use em produção ainda. Para produção, use OIDC.
- Em cenários corporativos mais complexos (múltiplos provedores, mapeamento avançado de claims), pode ser necessário apoio adicional do time de identidade.
Erros comuns
A validação da configuração falha
Revise, no seu provedor, se a aplicação OIDC está publicada, se o Client ID e Client Secret estão corretos e se a URL de callback bate com a que o RuleForge mostra na tela.
O login inicia, mas o usuário não consegue entrar
O provedor provavelmente não está enviando as informações esperadas (por exemplo, o grupo do usuário, ou o e-mail). Revise as permissões da aplicação no provedor e o mapeamento configurado no RuleForge.
"Meu e-mail não é reconhecido para SSO"
Confirme se o domínio do e-mail foi adicionado ao provedor OIDC e se o provedor está ativo.