Configurar a autenticação SSO com o seu fornecedor de identidade (IdP)

A primeira fase é a configuração da parte do IdP. 

Procedimentos de configuração para os principais IdP

Consulte os procedimentos detalhados para configurar a autenticação SSO em qualquer um dos seguintes IdPs:

• JumpCloud
• Okta
• OneLogin
• Ping Identity

Visão geral da configuração para outras plataformas IdP

Visão geral do processo de configuração noutras plataformas IdP:

• Um aplicativo da AppsFlyer é criada na plataforma IdP, com base no protocolo SAML 2.0, e o certificado de autenticação da AppsFlyer é implementado na plataforma IdP
• Os usuários são atribuídos ao novo aplicativo AppsFlyer
• O certificado IdP ou os metadados são recuperados para uso na AppsFlyer (na Etapa 2)

Configurar o URL do callback  

O método padrão para autenticar usuários que entram na AppsFlyer é a partir do IdP. Isto significa que os usuários são direcionados para a AppsFlyer a partir do plugin de autenticação IdP ou da página web.

Use o seguinte link para autenticar usuários a partir do IdP: https://hq1.appsflyer.com/auth/sso-callback/

Exemplo de ID de conta da AppsFlyer: acc-xxxxxx. Para obter o seu ID de conta, entre em contato com o seu CSM.

Depois de configurar a plataforma IdP, volte para a AppsFlyer para concluir a configuração. 

1. Na barra superior, abra o menu da conta (menu dropdown de endereço de e-mail) > Central de segurança.
2. Em Segurança de login melhorado, selecione Configurar método de início de sessão.
3. Na seção Single sign-on (SSO), ao lado de Carregar o certificado IdP SSO, clique em Adicionar. 
   
4. Adicione os metadados IdP SSO de uma das seguintes formas:
   • Endereço URL: Cole o URL que você copiou da plataforma IdP na Etapa 1
     
   • Fazer upload do arquivo: Carregue o arquivo que você baixou da plataforma IdP na Etapa 1
     

     

5. Clique em Importar e depois em Salvar.
6. [Opcional] Forçar o login SSO: Marcar esta caixa garante que os usuários iniciam sessão através de SSO e não com o seu nome de usuário e senha.
   Observação:
   • Manter Forçar login SSO selecionado é o método recomendado para impor um login mais seguro. Isto significa que os usuários que tentam iniciar sessão são autenticados pelo IdP e não podem iniciar sessão apenas com o seu nome de usuário e senha.
   • A opção Forçar início de sessão SSO fica desativada depois de ativar e salvar a opção Início de sessão único. Isto significa que, quer Forçar login SSO esteja selecionado ou não, isso não pode ser alterado. Ver como reverter esta situação
7. Ative Início de sessão único e clique em Salvar.

Depois de concluir a configuração do SSO em ambas as plataformas - o IdP e a AppsFlyer, verifique se os usuários podem fazer login na AppsFlyer em qualquer um dos métodos de retorno de chamada de URL: seu IdP ou o provedor de serviços (AppsFlyer), mas não ambos.

Teste a autenticação através do seu IdP

Se você tiver configurado a autenticação para fazer login através do seu IdP, verifique se os usuários podem entrar na AppsFlyer a partir do plugin IdP ou da página web:

1. Se você estiver conectado à AppsFlyer e ao IdP, desconecte-se de ambos.
2. Abrir uma página web no modo incógnito.
3. Acesse a página web do seu IdP. Quando você não estiver conectado ao IdP, você passará por um processo de autenticação. Inicie a sessão com o usuário relevante.
4. Pesquise e selecione a AppsFlyer. Você é direcionado para a página inicial da AppsFlyer. Isto indica que o processo foi bem sucedido.

Testar a autenticação através do seu provedor de serviços (AppsFlyer)

Se você tiver configurado o fluxo de autenticação para fazer login através do seu provedor de serviço (AppsFlyer), verifique se os usuários podem entrar na AppsFlyer usando o email:

1. Se você estiver conectado à AppsFlyer e ao IdP, desconecte-se de ambos.
2. Abrir uma página web no modo incógnito.
3. Vá para a página de login da AppsFlyer e clique em Login com SSO.
4. Insira o e-mail relevante e clique em Continuar. Agora você é direcionado para o IdP para autenticação.
5. Após a autenticação do IdP, você é direcionado de volta para a AppsFlyer como um usuário conectado. Isto indica que o processo foi bem sucedido.

O SSO é um método de autenticação que permite aos usuários acessar vários aplicativos, sistemas ou plataformas independentes, iniciando sessão uma vez através do seu fornecedor de identidade (por exemplo, Okta, Azure AD ou OneLogin). Adicionar a AppsFlyer ao seu IdP permite que seus usuários façam login na AppsFlyer diretamente do seu IdP através de um processo de login único (SSO). Isto permite que os seus usuários iniciem sessão automaticamente com uma autenticação mais segura usando apenas um conjunto de credenciais.

A plataforma da AppsFlyer é compatível com a verificação SSO usando o protocolo SAML2.0. Ao implementar o certificado de autenticação da AppsFlyer em seu IdP SAML 2.0, seu IdP gera um token com dados de usuário autenticados. O mesmo processo é feito do seu IdP para a AppsFlyer - seu token é implementado na AppsFlyer.

A AppsFlyer fornece um certificado de criptografia para criptografar dados e assinar o pedido de SSO. Você pode escolher qual certificado usar:

• Certificado assinado pela AppsFlyer: Um certificado da AppsFlyer (documento .crt). Pode obter este certificado a partir do URL de metadados da AppsFlyer (ver abaixo).
• Certificado assinado pela CA: Um certificado da AppsFlyer assinado pela Amazon. Para obter este certificado, entre em contato com seu CSM.

Criando o arquivo de certificado da AppsFlyer

Para criar um arquivo de certificado, é necessário criar um arquivo que contenha a chave de criptografia. Isto é feito em duas etapas:

1. Obtenha os dados necessários.
2. Crie um arquivo de texto e insira os dados.

1. Obtenção dos dados

É possível obter os dados para o ficheiro de certificado a partir da Central de Segurança ou através do URL de metadados:

Na Central de Segurança da AppsFlyer:

1. Na barra superior, abra o menu da conta (menu dropdown de endereço de e-mail) > Central de segurança.
2. Em Segurança de login melhorada, selecione Configurar método de login.
3. Na secção Login único (SSO) , perto de Copiar o certificado mais recente, clique em Visualizar.
4. Copie a chave de criptografia.

A partir do URL de metadados:

1. Abra o URL de metadados da AppsFlyer e encontre use="encryption".
2. Copie os dados a partir do elemento X509Certificate do elemento use="encryption" (veja os dados do elemento destacados na imagem abaixo. 

2. Crie o arquivo de texto do certificado:

Depois de obter os dados necessários, crie um arquivo de texto com os dados, conforme descrito abaixo:

1. Cole os dados que você copiou num novo arquivo de texto.
2. Insira "-----BEGIN CERTIFICATE-----" no início do arquivo.
3. Acrescente "-----END CERTIFICATE-----" no final do arquivo.
4. Salve o arquivo de texto com uma extensão .CRT ou .PEM.

• Pré-requisito: Os usuários devem ser configurados em ambos os sistemas (AppsFlyer e IdP) utilizando o mesmo e-mail
• Apenas um administrador pode ativar ou desativar o SSO
• Se a funcionalidade estiver definida para o modo apenas SSO, todos os usuários têm de iniciar sessão utilizando apenas o SSO e não é possível excluir usuários específicos
• Não é recomendável ativar o SSO com outro método de autenticação (como o nome de usuário e a senha)

Ao desativar a autenticação SSO, os usuários poderão fazer login usando outros métodos, como os seus nomes de usuário e senha da AppsFlyer e o método 2FA.

1. Na barra superior, abra o menu da conta (menu dropdown de endereço de e-mail) > Central de segurança.
2. Em Segurança de login melhorada, selecione Configurar método de login.
3. Na seção Login único (SSO), desative a opção Login único.

Só pode ser usado um método de login de segurança de cada vez, SSO ou 2FA.

• Para ativar o método 2FA quando o SSO está ativo: Primeiro desative o SSO e depois ative o 2FA
• Para ativar o método SSO quando o 2FA está ativo: Primeiro desative o 2FA e depois ative o SSO

Certifique-se de que todos os e-mails do usuário estejam configurados em ambos os sistemas - no seu IdP e na plataforma da AppsFlyer. Se não for esse o motivo, entre em contato com o seu CSM para descobrir o motivo e a forma de resolvê-lo. Entretanto, o CSM pode desativar temporariamente a opção Forçar login SSO para que os usuários possam iniciar sessão usando o seu e-mail e senha. 

Não é necessário um ambiente de teste. Siga as etapas na Etapa 3 para testar o login SSO, seja no IdP ou no provedor de serviços (AppsFlyer).

A AppsFlyer avisará você através da plataforma quando seu certificado SSO da AppsFlyer estiver prestes a expirar. Siga estas etapas para implementar o novo certificado da AppsFlyer:

1. Crie um novo arquivo de certificado com a chave de encriptação atualizada.
2. Acesse seu IdP e implemente o novo certificado da AppsFlyer:
3. Após a implementação, volte à seção Login único (SSO) , clique em Confirmar implementação do certificado e confirme que atualizou o certificado mais recente da AppsFlyer.

Quando a opção Forçar login SSO é selecionada e a configuração é salva, esta opção fica desativada. Para reverter e ativar Forçar login SSO, reconfigure a Etapa 2 do processo SSO a partir do zero.

A implementação do certificado da AppsFlyer no seu IdP é fortemente recomendada, mas não é obrigatória. Alguns IdPs, como o Google Workspace e o Microsoft Entra ID, não requerem, por padrão, um certificado de provedor de serviços.

O SSO é um método de autenticação que permite aos usuários acessar vários aplicativos, sistemas ou plataformas independentes, iniciando sessão uma vez através do seu fornecedor de identidade (por exemplo, Okta, Azure AD ou OneLogin). Adicionar a AppsFlyer ao seu IdP permite que seus usuários façam login na AppsFlyer diretamente do seu IdP através de um processo de login único (SSO). Isto permite que os seus usuários iniciem sessão automaticamente com uma autenticação mais segura usando apenas um conjunto de credenciais.

A plataforma da AppsFlyer é compatível com a verificação SSO usando o protocolo SAML2.0. Ao implementar o certificado de autenticação da AppsFlyer em seu IdP SAML 2.0, seu IdP gera um token com dados de usuário autenticados. O mesmo processo é feito do seu IdP para a AppsFlyer - seu token é implementado na AppsFlyer.

A AppsFlyer fornece um certificado de criptografia para criptografar dados e assinar o pedido de SSO. Você pode escolher qual certificado usar:

• Certificado assinado pela AppsFlyer: Um certificado da AppsFlyer (documento .crt). Pode obter este certificado a partir do URL de metadados da AppsFlyer (ver abaixo).
• Certificado assinado pela CA: Um certificado da AppsFlyer assinado pela Amazon. Para obter este certificado, entre em contato com seu CSM.

Criando o arquivo de certificado da AppsFlyer

Para criar um arquivo de certificado, é necessário criar um arquivo que contenha a chave de criptografia. Isto é feito em duas etapas:

1. Obtenha os dados necessários.
2. Crie um arquivo de texto e insira os dados.

1. Obtenção dos dados

É possível obter os dados para o ficheiro de certificado a partir da Central de Segurança ou através do URL de metadados:

Na Central de Segurança da AppsFlyer:

1. Na barra superior, abra o menu da conta (menu dropdown de endereço de e-mail) > Central de segurança.
2. Em Segurança de login melhorada, selecione Configurar método de login.
3. Na secção Login único (SSO), perto de Copiar o certificado mais recente, clique em Visualizar.
4. Copie a chave de criptografia.

A partir do URL de metadados:

1. Abra o URL de metadados da AppsFlyer e encontre use="encryption".
2. Copie os dados a partir do elemento X509Certificate do elemento use="encryption" (veja os dados do elemento destacados na imagem abaixo. 

2. Crie o arquivo de texto do certificado:

Depois de obter os dados necessários, crie um arquivo de texto com os dados, conforme descrito abaixo:

1. Cole os dados que você copiou num novo arquivo de texto.
2. Insira "-----BEGIN CERTIFICATE-----" no início do arquivo.
3. Acrescente "-----END CERTIFICATE-----" no final do arquivo.
4. Salve o arquivo de texto com uma extensão .CRT ou .PEM.

• Pré-requisito: Os usuários devem ser configurados em ambos os sistemas (AppsFlyer e IdP) utilizando o mesmo e-mail
• Apenas um administrador pode ativar ou desativar o SSO
• Se a funcionalidade estiver definida para o modo apenas SSO, todos os usuários têm de iniciar sessão utilizando apenas o SSO e não é possível excluir usuários específicos
• Não é recomendável ativar o SSO com outro método de autenticação (como o nome de usuário e a senha)

Ao desativar a autenticação SSO, os usuários poderão fazer login usando outros métodos, como os seus nomes de usuário e senha da AppsFlyer e o método 2FA.

1. Na barra superior, abra o menu da conta (menu dropdown de endereço de e-mail) > Central de segurança.
2. Em Segurança de login melhorada, selecione Configurar método de login.
3. Na seção Login único (SSO), desative a opção Login único.

Só pode ser usado um método de login de segurança de cada vez, SSO ou 2FA.

• Para ativar o método 2FA quando o SSO está ativo: Primeiro desative o SSO e depois ative o 2FA
• Para ativar o método SSO quando o 2FA está ativo: Primeiro desative o 2FA e depois ative o SSO

Certifique-se de que todos os e-mails do usuário estejam configurados em ambos os sistemas - no seu IdP e na plataforma da AppsFlyer. Se não for esse o motivo, entre em contato com o seu CSM para descobrir o motivo e a forma de resolvê-lo. Entretanto, o CSM pode desativar temporariamente a opção Forçar login SSO para que os usuários possam iniciar sessão usando o seu e-mail e senha. 

Não é necessário um ambiente de teste. Siga as etapas na Etapa 3 para testar o login SSO, seja no IdP ou no provedor de serviços (AppsFlyer).

A AppsFlyer avisará você através da plataforma quando seu certificado SSO da AppsFlyer estiver prestes a expirar. Siga estas etapas para implementar o novo certificado da AppsFlyer:

1. Crie um novo arquivo de certificado com a chave de encriptação atualizada.
2. Acesse seu IdP e implemente o novo certificado da AppsFlyer:
3. Após a implementação, volte à seção Login único (SSO) , clique em Confirmar implementação do certificado e confirme que atualizou o certificado mais recente da AppsFlyer.

Quando a opção Forçar login SSO é selecionada e a configuração é salva, esta opção fica desativada. Para reverter e ativar Forçar login SSO, reconfigure a Etapa 2 do processo SSO a partir do zero.

A implementação do certificado da AppsFlyer no seu IdP é fortemente recomendada, mas não é obrigatória. Alguns IdPs, como o Google Workspace e o Microsoft Entra ID, não requerem, por padrão, um certificado de provedor de serviços.