Como configurar SSO Microsoft Entra ID na Nvoip

Como configurar SSO com Microsoft Entra ID e Active Directory na Nvoip

Este artigo mostra como integrar Microsoft Entra ID, Azure AD ou Active Directory ao SSO corporativo da Nvoip usando OIDC, SAML e SCIM.
Importante: Active Directory local não se conecta diretamente à Nvoip por LDAP. Em empresas com AD local, use Microsoft Entra ID sincronizado pelo Entra Connect ou use ADFS como provedor SAML.

Qual caminho escolher?

Cenário Recomendação
Empresa usa Microsoft 365 ou Entra ID Use OIDC para login e SCIM para provisionamento, se precisar controlar ciclo de vida dos usuários.
Empresa precisa enviar grupos no login Use SAML ou configure group claims no OIDC. No Entra, grupos podem chegar como Object ID.
Empresa usa Active Directory local Sincronize usuários e grupos para Entra ID ou configure ADFS como SAML 2.0 personalizado.

Opção 1: Microsoft Entra ID por OIDC

OIDC é indicado quando a empresa quer login federado moderno com Microsoft Entra ID.

No Microsoft Entra

  1. Acesse Microsoft Entra admin center.
  2. Vá em App registrations > New registration.
  3. Crie um app para a Nvoip.
  4. Em Redirect URI, escolha Web e informe o Redirect URI exibido na Nvoip. Em produção, normalmente é https://painel.nvoip.com.br/api/sso/oidc/callback.
  5. Copie o Application (client) ID.
  6. Em Certificates & secrets, crie um Client Secret e copie o valor gerado.
  7. Identifique o tenant ID ou o domínio do tenant.

Na Nvoip

  1. Acesse Configurações > SSO corporativo.
  2. Selecione Microsoft Entra ID.
  3. No campo Issuer, prefira usar o tenant específico: https://login.microsoftonline.com/SEU_TENANT_ID/v2.0.
  4. Cole o Client ID e o Client Secret.
  5. Mantenha os scopes padrão openid email profile, salvo orientação técnica diferente.
  6. Adicione e verifique o domínio corporativo.
  7. Salve, teste e ative.

Grupos no OIDC do Microsoft Entra

Se a Nvoip precisar restringir acesso por grupos no OIDC, configure group claims no app registration. O Entra pode enviar grupos como Object ID, nome ou outro formato dependendo da configuração.

  1. No app registration, acesse Token configuration.
  2. Adicione uma claim de grupos.
  3. Escolha quais grupos serão emitidos.
  4. Teste o login na Nvoip.
  5. Copie o valor exato recebido no teste e adicione em Regras > Grupos permitidos.

Para ambientes grandes, usar o Object ID do grupo costuma ser mais estável que usar o nome do grupo, porque nomes podem ser alterados.

Opção 2: Microsoft Entra ID por SAML

SAML é comum em empresas que já mantêm integrações corporativas no menu Enterprise Applications.

No Microsoft Entra

  1. Acesse Enterprise applications.
  2. Crie uma aplicação não listada na galeria, por exemplo Nvoip.
  3. Abra Single sign-on e selecione SAML.
  4. Em Basic SAML Configuration, informe:
    • Identifier (Entity ID): Entity ID da Nvoip.
    • Reply URL (ACS URL): ACS URL da Nvoip, normalmente https://painel.nvoip.com.br/api/sso/saml/acs.
  5. Baixe o certificado SAML público.
  6. Copie a Login URL e o Microsoft Entra Identifier.

Na Nvoip

  1. Selecione SAML 2.0 personalizado.
  2. Cole a SSO URL do IdP com a Login URL do Entra.
  3. Cole o Entity ID do IdP com o identificador do Entra.
  4. Cole o certificado X.509.
  5. Salve, teste e ative.

Claims recomendadas no SAML

Claim Valor recomendado
NameID E-mail principal ou userPrincipalName corporativo.
email E-mail do usuário.
name Nome completo.
groups Grupos permitidos para uso nas regras da Nvoip. A Nvoip também reconhece a claim padrão Microsoft http://schemas.microsoft.com/ws/2008/06/identity/claims/groups.

Opção 3: Active Directory local com ADFS

Se a empresa não usa Entra ID e autentica via ADFS, configure a Nvoip como relying party trust SAML 2.0 no ADFS.

  1. Na Nvoip, selecione SAML 2.0 personalizado.
  2. Copie o ACS URL e o Entity ID da Nvoip.
  3. No ADFS, crie uma relying party trust para a Nvoip.
  4. Configure NameID e e-mail para identificar o usuário.
  5. Se quiser restringir por grupos, emita uma claim chamada groups com os grupos relevantes.
  6. Na Nvoip, cadastre SSO URL, Entity ID e certificado do ADFS.
  7. Teste antes de ativar.

Configurar SCIM no Microsoft Entra

SCIM permite que o Entra crie, atualize e desative usuários automaticamente na Nvoip. Use SCIM depois que o SSO estiver configurado.

Na Nvoip

  1. Abra a aba SCIM.
  2. Crie um token com um nome claro, como Microsoft Entra ID.
  3. Copie o token no momento da criação. Ele só é exibido uma vez.

No Microsoft Entra

  1. Abra a aplicação da Nvoip em Enterprise applications.
  2. Vá em Provisioning.
  3. Selecione modo Automatic.
  4. Em Tenant URL, informe https://painel.nvoip.com.br/api/scim/v2.
  5. Em Secret Token, cole o token SCIM gerado na Nvoip.
  6. Clique em Test Connection.
  7. Revise o mapeamento de atributos. O e-mail deve chegar como userName ou e-mail principal.
  8. Atribua usuários ou grupos ao app.
  9. Teste com poucos usuários antes de iniciar provisionamento para todos.

O que o SCIM faz na Nvoip

  • Cria usuários secundários quando o usuário ainda não existe.
  • Atualiza dados básicos de usuários existentes pelo e-mail.
  • Desativa o usuário quando recebe active=false ou remoção pelo provedor.
  • Não apaga o usuário permanentemente.
  • Não substitui o login SSO. O usuário ainda entra por OIDC ou SAML.

Fontes oficiais úteis

    • Related Articles

    • Como configurar SCIM para provisionar usuários na Nvoip

      Este artigo explica como funciona o SCIM da Nvoip, quais URLs usar e o que acontece quando o provedor cria, atualiza ou desativa usuários. Resumo: SCIM não é login. SCIM é provisionamento de usuários. O login continua acontecendo por OIDC ou SAML. O ...

    • Como funciona o SSO corporativo da Nvoip

      Este artigo explica como funciona o SSO corporativo da Nvoip, quando usar OIDC, SAML e SCIM, e quais regras podem ser configuradas para controlar o acesso dos usuários. Antes de começar: o SSO corporativo está disponível para contas de cliente final ...

    • Como configurar SSO com Okta na Nvoip

      Este artigo mostra como configurar Okta com o SSO corporativo da Nvoip usando OIDC, SAML e SCIM. Recomendação: use OIDC para login moderno e rápido. Use SAML se a empresa já padronizou integrações SAML ou quer controlar grupos por Group Attribute ...

    • Como configurar SSO com Google Workspace na Nvoip

      Este artigo mostra como integrar o Google Workspace ao SSO corporativo da Nvoip usando OIDC ou SAML, e explica quando usar cada opção. Recomendação rápida: use OIDC para validar login corporativo com Google de forma simples. Use SAML quando precisar ...

    • Como integrar a Nvoip com Zapier pelo painel

      Este artigo explica como localizar a integração Zapier no painel da Nvoip e quais dados usar para conectar com seus Zaps. Antes de começar: você precisa ter uma conta no Zapier e permissão para acessar Integrações no painel da Nvoip. 1. Acesse ...