Como configurar SSO Google Workspace na Nvoip

Como configurar SSO com Google Workspace na Nvoip

Este artigo mostra como integrar o Google Workspace ao SSO corporativo da Nvoip usando OIDC ou SAML, e explica quando usar cada opção.
Recomendação rápida: use OIDC para validar login corporativo com Google de forma simples. Use SAML quando precisar enviar grupos do Google Workspace para regras de acesso na Nvoip.

Antes de começar

  • A conta Nvoip precisa ser cliente final no plano Pro.
  • Você precisa ser administrador da conta Nvoip.
  • Você precisa ter acesso administrativo ao Google Workspace ou ao Google Cloud do domínio.
  • O domínio do e-mail corporativo precisa ser verificado na Nvoip por registro TXT no DNS.

Opção 1: configurar Google Workspace por OIDC

OIDC é a forma mais simples para o usuário entrar na Nvoip com a conta Google corporativa. Esse caminho usa um OAuth Client do tipo Web application no Google Cloud.

No Google Cloud

  1. Acesse Google Cloud Console > APIs e serviços > Credenciais.
  2. Crie ou selecione um projeto usado pela empresa.
  3. Clique em Criar credenciais > ID do cliente OAuth.
  4. Escolha o tipo Aplicativo da Web.
  5. Em URIs de redirecionamento autorizados, adicione o Redirect URI exibido na Nvoip. Em produção, normalmente é https://painel.nvoip.com.br/api/sso/oidc/callback.
  6. Salve e copie o Client ID e o Client Secret.

Na Nvoip

  1. Acesse Configurações > SSO corporativo.
  2. Em Provedor, selecione Google Workspace.
  3. Mantenha o Issuer como https://accounts.google.com.
  4. Cole o Client ID e o Client Secret criados no Google Cloud.
  5. Os scopes padrão openid email profile são suficientes para identificar o usuário. Altere apenas se houver orientação técnica específica.
  6. Adicione o domínio corporativo, crie o TXT no DNS e clique em Verificar.
  7. Clique em Salvar e depois em Testar.
  8. Depois do teste com sucesso, clique em Ativar SSO.

Limitação importante do OIDC com Google

O OIDC do Google retorna e-mail, nome e verificação do e-mail, mas normalmente não envia grupos do Google Workspace no token padrão. Se a empresa quer permitir login apenas para membros de determinados grupos, use SAML com mapeamento de grupos.

Opção 2: configurar Google Workspace por SAML

Use SAML quando o Google Workspace deve enviar grupos para a Nvoip. Na Nvoip, selecione SAML 2.0 personalizado, porque a configuração SAML do Google é feita como um aplicativo SAML customizado.

Na Nvoip

  1. Acesse Configurações > SSO corporativo.
  2. Selecione SAML 2.0 personalizado.
  3. Copie o ACS URL.
  4. Preencha ou copie o Entity ID da Nvoip. Use o mesmo valor no Google como identificador do service provider.

No Google Admin

  1. Acesse o Admin Console com uma conta de superadministrador.
  2. Vá em Apps > Apps da Web e para dispositivos móveis.
  3. Clique em Adicionar app > Adicionar app SAML personalizado.
  4. Dê um nome para o aplicativo, como Nvoip.
  5. Copie a URL do SSO, o ID da entidade e o certificado do Google. Esses dados serão colados na Nvoip.
  6. No campo ACS URL, cole o ACS URL da Nvoip.
  7. No campo Entity ID ou ID da entidade, cole o Entity ID da Nvoip.
  8. Mantenha o Name ID como e-mail principal do usuário.
  9. Conclua a criação e ative o app para o grupo ou unidade organizacional que poderá usar a Nvoip.

Mapeamento de atributos no Google

Campo no Google Atributo na Nvoip Observação
E-mail principal NameID ou email O e-mail deve ser o e-mail corporativo usado na Nvoip.
Nome name Opcional, mas ajuda a criar o usuário com nome correto.
Group membership groups Use exatamente groups como atributo do app para a Nvoip receber os grupos.

No mapeamento de grupos, selecione apenas os grupos relevantes para a Nvoip. O Google limita a quantidade de grupos configurados para envio no SAML, então evite enviar grupos desnecessários.

Na Nvoip, finalize o SAML

  1. Cole a SSO URL do IdP fornecida pelo Google.
  2. Cole o Entity ID do IdP fornecido pelo Google.
  3. Cole o certificado X.509 do Google.
  4. Salve a configuração.
  5. Teste com um usuário que esteja no app SAML do Google.

Como restringir por grupos do Google

  1. No Google Admin, configure o atributo de grupos com o nome groups.
  2. Na Nvoip, abra a aba Regras.
  3. Ative Exigir grupo permitido vindo do IdP.
  4. Escolha o formato do grupo: nome do grupo, e-mail do grupo ou ID/UUID, conforme o Google enviar.
  5. Adicione o grupo permitido exatamente como apareceu no teste de SSO.
  6. Salve e teste novamente.

Posso usar SCIM com Google Workspace?

O Google Workspace tem recurso de provisionamento automático para vários aplicativos compatíveis. Porém, nem todo ambiente permite configurar um conector SCIM genérico para qualquer app customizado. Se o Google Admin não mostrar opção de provisionamento automático para a Nvoip ou para o app customizado, use SAML com JIT como alternativa.

Se o seu Google Workspace permitir configurar provisionamento para a Nvoip, use:

  • Base URL SCIM: https://painel.nvoip.com.br/api/scim/v2
  • Autenticação: Bearer Token
  • Token: gerado na aba SCIM da Nvoip

Erros comuns

Erro Como corrigir
Volta para o painel, mas continua em rascunho O teste pode ter funcionado, mas ainda falta clicar em Ativar SSO.
redirect_uri_mismatch O Redirect URI cadastrado no Google Cloud precisa ser igual ao exibido na Nvoip.
Usuário não pertence a grupo permitido Confira se o atributo SAML chama groups e se o valor adicionado na Nvoip é igual ao recebido no teste.
Domínio não verificado Crie o TXT no DNS público e aguarde a propagação antes de verificar novamente.

Fontes oficiais úteis

    • Related Articles

    • Como funciona o SSO corporativo da Nvoip

      Este artigo explica como funciona o SSO corporativo da Nvoip, quando usar OIDC, SAML e SCIM, e quais regras podem ser configuradas para controlar o acesso dos usuários. Antes de começar: o SSO corporativo está disponível para contas de cliente final ...

    • Como configurar SSO com Okta na Nvoip

      Este artigo mostra como configurar Okta com o SSO corporativo da Nvoip usando OIDC, SAML e SCIM. Recomendação: use OIDC para login moderno e rápido. Use SAML se a empresa já padronizou integrações SAML ou quer controlar grupos por Group Attribute ...

    • Como configurar SCIM para provisionar usuários na Nvoip

      Este artigo explica como funciona o SCIM da Nvoip, quais URLs usar e o que acontece quando o provedor cria, atualiza ou desativa usuários. Resumo: SCIM não é login. SCIM é provisionamento de usuários. O login continua acontecendo por OIDC ou SAML. O ...

    • Como configurar SSO com Microsoft Entra ID e Active Directory na Nvoip

      Este artigo mostra como integrar Microsoft Entra ID, Azure AD ou Active Directory ao SSO corporativo da Nvoip usando OIDC, SAML e SCIM. Importante: Active Directory local não se conecta diretamente à Nvoip por LDAP. Em empresas com AD local, use ...

    • Como integrar a Nvoip com Zapier pelo painel

      Este artigo explica como localizar a integração Zapier no painel da Nvoip e quais dados usar para conectar com seus Zaps. Antes de começar: você precisa ter uma conta no Zapier e permissão para acessar Integrações no painel da Nvoip. 1. Acesse ...