DOCUMENTOS/SAML SSO~ 8 MIN DE LEITURA

ENTERPRISE · SAML 2.0

Deixe sua equipe entrar
com a conta que já têm.

O SSO SAML permite que seus agentes entrem no EasyLiveChat com o provedor de identidade que sua empresa já usa — Okta, Microsoft Entra, Google Workspace, JumpCloud, OneLogin. Sem senhas extras para lembrar ou revogar quando alguém sai.

§ 00O que é SAML SSO

O SAML SSO conecta o EasyLiveChat ao provedor de identidade que sua empresa já mantém — Okta, Microsoft Entra, Google Workspace ou qualquer outro IdP SAML 2.0. Quando um agente clica no tile do EasyLiveChat no painel do IdP (ou abre um marcador), ele é redirecionado para o IdP, faz login lá com a senha que já usa para todo o resto, e volta para a caixa de entrada do EasyLiveChat. Nenhuma senha do EasyLiveChat é digitada.

Se você já clicou em “Entrar com o Google” em um site, usou a versão para consumidores desse padrão. SAML é o equivalente corporativo — o site (nós) confia no que o provedor de identidade (seu Okta / Microsoft / Google) diz sobre quem é o usuário.

O EasyLiveChat nunca executa o provedor de identidade. Você traz o seu. Nós fornecemos o lado receptor.

§ 01Disponibilidade por plano

O SAML SSO é um recurso Enterprise. Também é liberado durante a avaliação gratuita de 14 dias para que você possa avaliar a configuração antes de decidir.

PlanoSAML SSO
Avaliação gratuitaLiberado durante a avaliação
StarterBloqueado
GrowthBloqueado
EnterpriseIncluído

§ 02Valores para seu admin de IdP

Estes são os identificadores do lado do EasyLiveChat que seu IdP precisa conhecer. Substitua <slug> pelo slug do seu workspace. A página /settings/sso exibe todos com botões de copiar.

URL de SSO / ACShttps://api.livechattools.com/api/saml/<slug>/callback
Audiência / ID de entidade SPhttps://api.livechattools.com/api/saml/<slug>/metadata
Formato do Name IDEndereço de e-mail
Atributo obrigatórioemail (ou NameID = email)
Asserção assinadaObrigatória (a response assinada é opcional)

A maioria dos IdPs também consegue importar um documento XML de metadata diretamente — a URL de metadata é a mesma do entity ID e retorna o XML construído pelo nosso backend.

§ 03Configurar o Okta

Estes passos pressupõem que você tem acesso de administrador ao seu workspace Okta. O tier Okta dev é gratuito e serve para avaliação.

  1. Entre no painel admin do Okta → Applications → Create App Integration → SAML 2.0.
  2. Dê um nome ao app (ex.: “EasyLiveChat”) e clique em Next.
  3. No passo Configure SAML, preencha estes campos com os valores da sua página /settings/sso:
    • Single sign-on URL → a URL de ACS que demos a você.
    • Marque “Use this for Recipient URL and Destination URL”.
    • Audience URI (SP Entity ID) → o entity ID que demos a você.
    • Name ID format → EmailAddress.
    • Application username → Email.
    • Attribute Statements → adicione uma linha: emailuser.email — Name format Basic.
  4. Clique em Next → “I'm an Okta customer adding an internal app” → Finish.
  5. Na aba Sign On do novo app → “View SAML setup instructions”. Copie a IdP Single Sign-On URL, o IdP Issuer e o X.509 Certificate (em formato PEM, com marcadores BEGIN/END).
  6. Atribua o app a usuários cujos e-mails correspondam aos agentes existentes em seu workspace EasyLiveChat (People → Assignments).

§ 04Configurar Microsoft Entra (Azure AD)

Estes passos pressupõem que você tenha a função Global Administrator ou Application Administrator no Microsoft Entra.

  1. Entra admin → Enterprise applications → New application → Create your own application → dê um nome (ex.: “EasyLiveChat”) → Non-gallery app.
  2. Abra o novo app → Single sign-on → SAML.
  3. Basic SAML Configuration → defina Identifier (Entity ID) e Reply URL (ACS) com os valores da sua página /settings/sso.
  4. Attributes & Claims → garanta que exista um claim com o e-mail do usuário. Use o claim emailaddress padrão e cole sua URI no campo “Email claim” do EasyLiveChat, ou adicione um novo claim chamado email com valor user.mail.
  5. SAML Signing Certificate → baixe o arquivo “Certificate (Base64)” .cer. Abra-o em um editor de texto e copie todo o conteúdo PEM (incluindo marcadores BEGIN/END) no campo de certificado de assinatura do EasyLiveChat.
  6. Em “Set up <app name>”, copie a Login URL (→ IdP entry URL no EasyLiveChat) e o Microsoft Entra Identifier (→ IdP issuer). Atribua usuários via Users and groups.

§ 05Configurar o Google Workspace

Estes passos pressupõem que você é Super Admin do Workspace.

  1. Google admin → Apps → Web and mobile apps → Add app → Add custom SAML app. Dê um nome como “EasyLiveChat”.
  2. No passo IdP details, baixe o certificado X.509 e copie a SSO URL e o Entity ID.
  3. No passo Service provider details, cole a ACS URL e o Entity ID da sua página /settings/sso. Defina Name ID format como EMAIL e Name ID como Basic Information > Primary email.
  4. Attribute mapping → mapeie Primary email → atributo email do app.
  5. Conclua, então ative o app para a unidade organizacional cujos usuários devem conseguir entrar. Salve o certificado + URLs no EasyLiveChat.

§ 06Configurar no EasyLiveChat

Abra https://app.livechattools.com/settings/sso. e cole os quatro valores que você acabou de coletar do seu IdP:

  • IdP entry URLA URL de single sign-on que o IdP forneceu (ex.: https://yourcompany.okta.com/app/exk.../sso/saml).
  • IdP issuerO identificador de entidade do IdP (às vezes chamado Issuer URL ou Entity ID no lado do IdP).
  • Certificado de assinatura do IdP (PEM)Cole o certificado X.509 incluindo os marcadores BEGIN CERTIFICATE / END CERTIFICATE.
  • Email claim (opcional)Deixe em branco para usar o NameID. Cole uma URI de claim se seu IdP envia o e-mail sob um nome de atributo específico.

Clique em Save. O badge de status muda para CONFIGURED e a URL de login SP-initiated aparece no final da página.

§ 07Como os agentes entram

Dois caminhos — ambos terminam no mesmo lugar (sua caixa de entrada), autenticados com um novo token de sessão.

  • SP-initiatedEnvie os agentes para https://api.livechattools.com/api/saml/<slug>/login. Esta URL amigável para marcadores os leva ao seu IdP e de volta.
  • IdP-initiatedAgentes clicam no tile EasyLiveChat no dashboard de apps do IdP (Okta dashboard, Microsoft 365 app launcher, Google Workspace app launcher). Eles caem direto na caixa de entrada do EasyLiveChat.

§ 08Correspondência de agentes

O EasyLiveChat associa o usuário SAML a uma linha Agent existente por e-mail — o usuário autenticado pelo IdP precisa já existir como agente no seu workspace. Não criamos agentes automaticamente no primeiro login SSO (sem provisionamento “just-in-time” ainda) para que o SSO não contorne a governança de convites da sua equipe.

Se o usuário SAML não tem um agente correspondente, o callback redireciona para a página de login do EasyLiveChat com reason=agent_not_found. Convide o usuário em Settings → Team com o e-mail exato enviado pelo IdP e tente novamente.

§ 09Solução de problemas

Se um login falhar, o EasyLiveChat redireciona para /login?saml_error=1&reason=<code>. O código diz o que deu errado:

reason=O que aconteceuSolução
missing_responseO IdP não enviou um SAMLResponse para o nosso callback.Verifique novamente a ACS / Single Sign-On URL no lado do IdP — deve ser exatamente a callback URL que mostramos, incluindo o slug do workspace.
validation_failedRecebemos um SAMLResponse mas a assinatura não validou.O certificado de assinatura colado em /settings/sso deve corresponder ao certificado real do IdP. Recopie o PEM (incluindo marcadores BEGIN/END) do IdP.
no_emailAssinatura OK mas sem e-mail na asserção.Garanta que o IdP envie o e-mail do usuário — como NameID (formato EmailAddress) ou como claim. Se for claim, cole sua URI no campo Email claim.
agent_not_foundO e-mail informado pelo IdP não está na sua lista de agentes.Convide o usuário em Settings → Team com esse e-mail exato e tente o login novamente.
Sugerir uma edição