> ## Documentation Index
> Fetch the complete documentation index at: https://docs.base44.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Configurando SSO para Okta

> Permita que sua equipe faça login no seu workspace empresarial da Base44 com suas credenciais do Okta.

O Okta permite que sua equipe faça login no seu workspace empresarial da Base44 com suas credenciais existentes do Okta. Você cria um aplicativo OIDC no Okta, permite que a Base44 o use, depois adiciona seus detalhes ao seu workspace. Para adicionar e atualizar membros automaticamente, configure o [provisionamento SCIM para Okta](/Enterprise/Okta-SCIM) separadamente.

<Warning>
  O single sign-on do workspace está disponível apenas em workspaces empresariais. Se você não vir esta opção, entre em contato com sua equipe de conta da Base44.
</Warning>

***

## Antes de começar

Certifique-se de ter:

* Acesso de proprietário ou administrador ao seu workspace empresarial da Base44.
* Acesso de administrador à sua organização Okta.
* Seu **workspace ID**, a string de caracteres após `/workspace/` na URL do seu workspace empresarial.
* Seu **domínio Okta**, a parte antes de `.okta.com` (por exemplo, `your-company`).

***

## Configurar single sign-on

Crie um aplicativo OIDC no Okta, permita que a Base44 o use, depois adicione seus detalhes ao seu workspace.

### Passo 1: Criar um aplicativo OIDC

Crie o aplicativo OIDC que representa o login da Base44.

**Para criar o aplicativo:**

1. No Okta Admin Console, vá para **Applications** > **Applications**, depois clique em **Create App Integration**.
2. Defina **Sign-in method** como **OIDC - OpenID Connect**.
3. Defina **Application type** como **Web Application**.
4. Clique em **Next**.

<Frame caption="Creating an OIDC app integration in Okta">
  <img src="https://mintcdn.com/base44/oUaRpzSyJvMVshj9/images/SSOOkta1.png?fit=max&auto=format&n=oUaRpzSyJvMVshj9&q=85&s=cae204f1199c671d22d0a00287a29b19" alt="Okta Create a new app integration dialog with OIDC and Web Application selected" width="1137" height="859" data-path="images/SSOOkta1.png" />
</Frame>

### Passo 2: Configurar o aplicativo

Defina o nome do aplicativo, URIs de redirecionamento e quem pode usá-lo.

**Para configurar o aplicativo:**

1. Digite um **App name**, por exemplo `Base44 - seu nome do workspace`.
2. Em **Sign-in redirect URIs**, adicione sua URL de callback do workspace, substituindo `{{WORKSPACE_ID}}` pelo seu workspace ID: `https://app.base44.com/api/workspaces/{{WORKSPACE_ID}}/auth/sso/callback`
3. Em **Sign-out redirect URIs**, adicione `https://app.base44.com`.
4. Em **Controlled access**, escolha quem pode usar o aplicativo, por exemplo **Allow everyone in your organization to access**.
5. Clique em **Save**.

<Frame caption="Setting the sign-in and sign-out redirect URIs in Okta">
  <img src="https://mintcdn.com/base44/oUaRpzSyJvMVshj9/images/SSOOkta2.png?fit=max&auto=format&n=oUaRpzSyJvMVshj9&q=85&s=1ed1a3069119d41f302243ee0a3bbfae" alt="Okta application sign-in and sign-out redirect URI settings" width="1266" height="441" data-path="images/SSOOkta2.png" />
</Frame>

### Passo 3: Obtenha suas credenciais

Na aba **General** do aplicativo, copie:

* **Client ID**
* **Client Secret**
* Seu **domínio Okta**, apenas o subdomínio (por exemplo, `your-company`, não `your-company.okta.com`).

### Passo 4: Permitir a Base44 no seu servidor de autorização

O Okta só emite tokens para aplicativos que uma política do servidor de autorização permite.

**Para adicionar uma regra de política de acesso:**

1. Vá para **Security** > **API** > **Authorization Servers**, depois abra o servidor **default**.
2. Na aba **Access Policies**, clique em **Add Rule**, ou edite uma regra existente.
3. Nomeie a regra (por exemplo, `Allow Base44`), defina o tipo de concessão como **Authorization Code** e aplique-a ao seu aplicativo Base44 (ou a todos os clientes), todos os usuários e qualquer escopo.
4. Clique em **Create Rule**.

<Note>
  Na aba **General** do seu aplicativo Base44 no Okta, desative **Federation Broker Mode**. Com ele ativado, o login pode falhar com "You are not allowed to access this app."
</Note>

### Passo 5: Adicione seus detalhes na Base44

Adicione as credenciais do aplicativo OIDC ao seu workspace.

**Para configurar o SSO na Base44:**

1. Clique no nome do seu workspace no canto superior esquerdo da sua conta.
2. Clique em **Settings**.
3. Clique em **Auth and security**.
4. Ative o botão ao lado de **Single Sign-On Configuration**.
5. Em **Select SSO Provider**, escolha **Okta**.
6. Insira seu **Client ID**, **Client Secret** e **Okta Domain** (apenas o subdomínio).
7. Mantenha **Scope** como `openid email profile`.
8. A **Discovery URL** é preenchida automaticamente a partir do seu domínio Okta.
9. Clique em **Enable SSO**.

<Frame caption="Okta SSO settings in your Base44 workspace">
  <img src="https://mintcdn.com/base44/oUaRpzSyJvMVshj9/images/SSOOkta4.png?fit=max&auto=format&n=oUaRpzSyJvMVshj9&q=85&s=f68bd5a8d3b1c57b8f8bd1f7581c0a61" alt="Base44 Auth and security panel configured with Okta as the SSO provider" width="950" height="473" data-path="images/SSOOkta4.png" />
</Frame>

<Warning>
  A Discovery URL gerada automaticamente está correta apenas para uma organização Okta padrão em seu domínio padrão `.okta.com`. Se qualquer um dos casos abaixo se aplicar, o padrão está errado e o login falha, então configure o Okta por meio de **Advanced / Manual configuration** e insira a Discovery URL manualmente:

  * **Use a Discovery URL `/oauth2/default`:** Aponte a Base44 para o servidor de autorização Okta para que o claim `email` seja retornado: `https://your-domain.okta.com/oauth2/default/.well-known/openid-configuration`. Se sua organização não tem um servidor de autorização personalizado, este endereço retorna um 404. Nesse caso, use `https://your-domain.okta.com/.well-known/openid-configuration` e mapeie o claim `email` no perfil do seu aplicativo Okta.
  * **Domínio Okta personalizado:** Se sua equipe faz login por meio de um domínio de marca personalizado (por exemplo, `login.your-company.com`), use esse domínio exato na Discovery URL, não o padrão `your-company.okta.com`. O Okta emite tokens do domínio pelo qual as pessoas fazem login, então uma incompatibilidade falha na validação do issuer (`iss`) e o login quebra.
</Warning>

### Passo 6: Atribuir usuários

As pessoas podem fazer login uma vez atribuídas ao seu aplicativo Okta.

**Para atribuir usuários:**

1. No seu aplicativo Okta, vá para a aba **Assignments**.
2. Clique em **Assign**, depois em **Assign to People** ou **Assign to Groups**.
3. Selecione os usuários ou grupos que devem poder fazer login e clique em **Assign** e **Save and Go Back**.

<Tip>
  Para adicionar e atualizar membros automaticamente em vez de atribuí-los manualmente, configure o [provisionamento SCIM para Okta](/Enterprise/Okta-SCIM).
</Tip>

***

## Perguntas frequentes

Selecione uma pergunta abaixo para saber mais sobre o SSO do Okta.

<AccordionGroup>
  <Accordion title="O login falha com 'You are not allowed to access this app'">
    Adicione uma regra de política de acesso no servidor de autorização padrão (Passo 4), desative **Federation Broker Mode** na aba **General** do aplicativo e confirme que o usuário está atribuído ao aplicativo.
  </Accordion>

  <Accordion title="O login falha com um erro de e-mail">
    O servidor de autorização padrão do Okta nem sempre retorna o claim `email`. Configure o Okta por meio de **Advanced / Manual configuration** e use a Discovery URL `/oauth2/default` para que o e-mail seja retornado. Veja a nota no Passo 5.
  </Accordion>

  <Accordion title="Preciso de aplicativos Okta separados para SSO e SCIM?">
    Sim. Os aplicativos OIDC do Okta não suportam SCIM, então o SSO usa um aplicativo OIDC e o SCIM usa um aplicativo SCIM 2.0 separado. Veja [Provisionamento SCIM para Okta](/Enterprise/Okta-SCIM).
  </Accordion>
</AccordionGroup>

<Note>Esta página foi traduzida usando IA. Para informações mais precisas e atualizadas, consulte a [versão em inglês](/). </Note>
