SSO corporativo na Nvoip: SAML, OIDC e SCIM

Como funciona o SSO corporativo da Nvoip

Este artigo explica como funciona o SSO corporativo da Nvoip, quando usar OIDC, SAML e SCIM, e quais regras podem ser configuradas para controlar o acesso dos usuários.
Antes de começar: o SSO corporativo está disponível para contas de cliente final no plano Pro. Para configurar, acesse Configurações > SSO corporativo. Administradores Nvoip também conseguem visualizar a configuração de um cliente final selecionado.

O que é SSO corporativo?

SSO corporativo, ou login federado, permite que usuários entrem na Nvoip usando o provedor de identidade da empresa, como Google Workspace, Microsoft Entra ID, Okta, ADFS ou outro provedor compatível com OIDC ou SAML.

Na prática, o usuário informa o e-mail corporativo na tela de login, clica em Entrar com SSO corporativo, autentica no provedor da empresa e volta para o painel da Nvoip já autenticado. A senha local da Nvoip não é usada nesse fluxo.

Quando usar cada formato

Formato Para que serve Quando escolher
OIDC Autenticação moderna baseada em OAuth 2.0 e OpenID Connect. Melhor opção para login simples com Google Workspace, Microsoft Entra ID, Okta ou provedor OIDC próprio.
SAML 2.0 Autenticação federada muito comum em ambientes corporativos grandes. Indicado quando a empresa já usa apps SAML, ADFS, ou precisa enviar grupos com facilidade.
SCIM Provisionamento de usuários: criar, atualizar e desativar acessos automaticamente. Use junto com SSO quando o diretório da empresa deve controlar ciclo de vida de usuários.

O que configurar na Nvoip

  1. Abra Configurações > SSO corporativo.
  2. Escolha o provedor: Google Workspace, Microsoft Entra ID, Okta, OIDC personalizado ou SAML 2.0 personalizado.
  3. Preencha os dados do aplicativo criado no provedor.
  4. Adicione e verifique o domínio corporativo usado nos e-mails dos usuários.
  5. Teste o fluxo antes de ativar.
  6. Depois do teste com sucesso, clique em Ativar SSO.

URLs usadas na integração

Sempre copie as URLs exibidas na tela da Nvoip. Em produção, os valores esperados são:

Campo Valor
Redirect URI OIDC https://painel.nvoip.com.br/api/sso/oidc/callback
ACS URL SAML https://painel.nvoip.com.br/api/sso/saml/acs
Base URL SCIM https://painel.nvoip.com.br/api/scim/v2

Domínio verificado

O domínio verificado define quais e-mails corporativos podem usar a configuração de SSO. Ao adicionar um domínio, a Nvoip mostra um registro TXT. Esse TXT deve ser criado no DNS público do domínio.

Depois que o DNS propagar, clique em Verificar. A ativação do SSO só fica disponível depois que pelo menos um domínio estiver verificado.

Regras de acesso

Regra O que faz
Restringir aos domínios verificados Só aceita usuários cujo e-mail pertence a um domínio verificado na configuração.
Criar usuários automaticamente no primeiro login Também chamado de JIT. Se o usuário existe no provedor e passa nas regras, a Nvoip cria um usuário secundário automaticamente.
Exigir grupo permitido vindo do IdP Permite login apenas para usuários que chegam com pelo menos um grupo permitido.
Forçar SSO e bloquear login local Depois de testado, bloqueia login por senha local, Google genérico ou passkey local para os domínios verificados.

O que é grupo vindo do IdP?

Grupo vindo do IdP é o valor que Google Workspace, Microsoft Entra ID, Okta ou outro provedor envia para a Nvoip durante o login. Esse valor pode ser o nome do grupo, o e-mail do grupo ou um ID/UUID.

Na Nvoip, use exatamente o valor que o provedor envia. O teste de SSO mostra os grupos recebidos, então o caminho mais seguro é testar com um usuário real e copiar os valores exibidos.

Mapeamento de grupos

O mapeamento de grupos é opcional. Nesta fase, usuários criados automaticamente entram como usuário secundário. Use o mapeamento para deixar explícito qual grupo do provedor deve gerar esse perfil.

Permissões detalhadas do painel, como relatórios, financeiro, webphone, chat e configurações, continuam sendo ajustadas nas permissões do usuário dentro da Nvoip depois que o usuário existir.

SCIM não é login

SCIM não autentica o usuário. Ele serve para sincronizar o cadastro e o status do usuário entre o diretório da empresa e a Nvoip. O login continua acontecendo por OIDC ou SAML.

Na implementação atual, o SCIM da Nvoip cria ou atualiza usuários secundários, desativa usuários quando recebe active=false ou uma remoção, e não apaga o usuário permanentemente.

Como saber se funcionou?

  1. Na tela de SSO corporativo, clique em Testar.
  2. Faça login no provedor com um usuário do domínio configurado.
  3. Ao voltar para a Nvoip, confira se a tela de callback mostra sucesso, e-mail e grupos recebidos.
  4. Depois do teste, clique em Ativar SSO.
  5. Saia do painel, informe o e-mail corporativo na tela de login e clique em Entrar com SSO corporativo.

Boas práticas

  • Comece com um usuário de teste antes de liberar para toda a empresa.
  • Mantenha Forçar SSO desativado até validar login, domínio e grupos.
  • Se usar grupos, crie grupos específicos para a Nvoip, como nvoip-usuarios e nvoip-admins.
  • Prefira valores estáveis para grupos. No Microsoft Entra ID, Object ID costuma ser mais estável que nome.
  • Guarde Client Secret e tokens SCIM apenas em locais seguros do provedor. Não envie segredos por e-mail ou chat.

Consulte também

  • Como configurar SSO com Google Workspace na Nvoip
  • Como configurar SSO com Microsoft Entra ID e Active Directory na Nvoip
  • Como configurar SSO com Okta na Nvoip
  • Como configurar SCIM na Nvoip

    • Related Articles

    • Como configurar SSO com Okta na Nvoip

      Este artigo mostra como configurar Okta com o SSO corporativo da Nvoip usando OIDC, SAML e SCIM. Recomendação: use OIDC para login moderno e rápido. Use SAML se a empresa já padronizou integrações SAML ou quer controlar grupos por Group Attribute ...

    • Como configurar SSO com Google Workspace na Nvoip

      Este artigo mostra como integrar o Google Workspace ao SSO corporativo da Nvoip usando OIDC ou SAML, e explica quando usar cada opção. Recomendação rápida: use OIDC para validar login corporativo com Google de forma simples. Use SAML quando precisar ...

    • Como configurar SCIM para provisionar usuários na Nvoip

      Este artigo explica como funciona o SCIM da Nvoip, quais URLs usar e o que acontece quando o provedor cria, atualiza ou desativa usuários. Resumo: SCIM não é login. SCIM é provisionamento de usuários. O login continua acontecendo por OIDC ou SAML. O ...

    • Como configurar SSO com Microsoft Entra ID e Active Directory na Nvoip

      Este artigo mostra como integrar Microsoft Entra ID, Azure AD ou Active Directory ao SSO corporativo da Nvoip usando OIDC, SAML e SCIM. Importante: Active Directory local não se conecta diretamente à Nvoip por LDAP. Em empresas com AD local, use ...

    • Como configurar o MCP Server da Nvoip

      Este artigo explica como configurar o MCP Server da Nvoip para conectar dados da sua conta a clientes compatíveis com MCP, como assistentes de IA e ferramentas internas autorizadas. Importante: o MCP Server está disponível para clientes no Plano Pro ...