Como configurar corretamente o SAML Single Sign-On (SSO) no WordPress

Você está se perguntando como configurar o SAML single sign-on (SSO) em seu site WordPress?

O SAML SSO permite que os usuários façam login no seu site usando as credenciais existentes de outro serviço, como o Google Apps ou o Microsoft Azure AD. Isso economiza tempo e aborrecimento e facilita o gerenciamento do acesso do usuário, especialmente se você tiver uma equipe que usa vários logins.

Neste artigo, mostraremos a você como configurar o logon único SAML no WordPress, passo a passo.

O que é SAML Single Sign-On?

SAML significa Security Assertion Markup Language (Linguagem de marcação de asserção de segurança). É uma maneira segura de seu site WordPress se comunicar com outros serviços, como o Google e o Office 365.

Por outro lado, SSO significa logon único. Isso significa que os usuários podem usar uma senha para vários serviços.

Com o SAML SSO, os usuários podem fazer login no seu site usando as credenciais existentes desses serviços. Isso significa que não é mais necessário lembrar nomes de usuário e senhas adicionais – apenas um único login para tudo.

É especialmente útil para organizações e empresas em que as pessoas usam muitas plataformas on-line diferentes. Por exemplo, na WPBeginner, usamos o SSO para permitir que os membros da nossa equipe acessem facilmente suas ferramentas com apenas um único login.

Com tudo isso em mente, vamos ver como você pode configurar facilmente o SAML SSO no WordPress. Você pode usar esses links rápidos para navegar pelo tutorial:

Etapa 1: Instalar o logon único SAML do miniOrange

A maneira mais fácil de ativar o SAML SSO em seu site WordPress é com o plug-in miniOrange SAML Single Sign On.

Ele é gratuito e permite que você conecte seu site a vários provedores de identidade, como Google Apps, Okta, OneLogin, Salesforce, Azure B2C, Keycloak, ADFS, Shibboleth 2, Auth0 e Sharepoint.

Além disso, esse plug-in permite que os usuários acessem vários sites e aplicativos usando um único login. Dito isso, você pode repetir as mesmas etapas abaixo com o restante dos sites que sua equipe deve poder acessar.

Dito isso, se você tiver uma rede WordPress com vários sites, só precisará executar as etapas uma vez no site principal da rede, e o SSO funcionará automaticamente em todos os seus sites.

Primeiro, você precisará instalar o plug-in. Se você não tem experiência com plug-ins do WordPress, temos um guia prático que o orienta passo a passo na instalação de um plug-in do WordPress.

Depois que o plug-in estiver instalado, vá até o painel do WordPress e navegue até miniOrange SAML 2.0 SSO ” Plugin Configuration.

Em seguida, vá para a guia “Service Provider Metadata” (Metadados do provedor de serviços). Mantenha essa página aberta, pois precisaremos das informações aqui na próxima etapa.

Etapa 2: Conecte seu site a um provedor de identidade

Agora que o plug-in está instalado no WordPress, é hora de conectar seu site a um provedor de identidade SAML (SAML IdP).

Um IdP SAML é um serviço que gerencia contas de usuário e autentica usuários. Pense nele como um hub central no qual os usuários fazem login uma vez e esse login lhes concede acesso a vários aplicativos, inclusive ao seu site WordPress.

Para este exemplo, usaremos o Google Apps como nosso IdP SAML. No entanto, para usar o Google Apps como SAML IdP, você precisará de uma conta Google Admin, que é diferente da sua conta normal do Gmail.

Uma conta de administrador do Google gerencia usuários e configurações do Google Workspace da sua organização. Normalmente, ela também não termina com a extensão @gmail.com.

Primeiro, vá para a página do Google Admin Console.

No menu da barra lateral, navegue até a seção “Apps” e clique em “Web and mobile apps”.

A partir daí, abra o menu suspenso “Adicionar aplicativo”.

Em seguida, selecione “Adicionar aplicativo SAML personalizado”.

Agora, dê um nome ao seu aplicativo SAML personalizado (algo como “miniOrange Custom SAML”) e uma breve descrição (como “Um aplicativo SAML SSO para WordPress”).

Quando estiver satisfeito, clique em ‘Continue’.

Aqui, você verá duas opções para configurar o SSO do WordPress.

Vamos optar pela opção mais fácil (opção 1), que envolve o download dos metadados do IdP. Esse método é muito mais rápido, pois você não precisará inserir os metadados do IdP manualmente e copiar e colar o certificado x509 posteriormente.

Clique em “Download Metadata” para iniciar.

Em seguida, role a tela até o final.

Clique em “Continuar”.

Na próxima página, você verá um formulário com os detalhes do seu provedor de serviços.

Em nosso caso, esse é o nosso site WordPress com a ajuda do miniOrange.

Agora, volte para o painel do WordPress, onde você deixou a página do plug-in miniOrange aberta na guia “Service Provider Metadata” (Metadados do provedor de serviços).

Role para baixo para encontrar as informações de seu provedor de serviços (URL do ACS e ID da entidade). Mantenha essa página aberta, pois você precisará alternar entre essa página e o Google Admin Console.

Agora, volte ao Console de administração do Google e copie e cole essas informações nos campos correspondentes.

Certifique-se de marcar também a caixa “Signed response” (Resposta assinada).

Descendo a página, selecione “EMAIL” para o formato da ID do nome e escolha “Basic Information > Primary email” para a ID do nome.

Em seguida, clique em “Continuar”.

A próxima etapa envolve adicionar campos de usuário e mapeá-los entre o Google Directory e o seu site WordPress (plug-in miniOrange).

Basicamente, isso é como escolher quais informações das contas do Google serão transferidas para seu site WordPress.

Clique em “Add Mapping” (Adicionar mapeamento) para iniciar. Em seguida, vamos adicionar o campo “First Name” do Google e mapeá-lo para o atributo “firstname”.

Quando terminar de mapear os campos desejados, role a tela para baixo.

Em seguida, clique em “Finish” (Concluir).

Agora você chegará à página do aplicativo SAML personalizado no Console de administração do Google.

A última etapa é ativar o aplicativo para seus usuários. Portanto, vá em frente e clique em “OFF for everyone”.

Agora, basta mudar para “LIGADO para todos”.

Por fim, pressione “Salvar” para finalizar a configuração.

Etapa 3: Configurar as definições de SSO SAML do WordPress

Voltemos à página do plugin miniOrange SSO em sua área de administração do WordPress.

Agora, vá para a guia “Service Provider Setup” (Configuração do provedor de serviços) e selecione “Google Apps”.

Role a tela para baixo e navegue até a guia “Upload IDP Metadata”.

Aqui, você precisará inserir o nome do provedor de identidade (provavelmente algo como “GoogleApps”) e carregar o arquivo XML que você baixou anteriormente do Console de administração do Google.

Quando tudo estiver preenchido, clique em “Upload”.

Parabéns! Você conectou com êxito seu blog do WordPress ao IdP SAML do Google Apps. Agora, vamos definir algumas configurações adicionais.

Primeiro, vá para a guia “Attribute/Role Mapping” (Mapeamento de atributo/função).

Aqui, você pode definir como as informações do usuário do Google Apps são mapeadas para as contas de usuário no WordPress.

Role para baixo até a seção “Role Mapping” (Mapeamento de função) e selecione a função de usuário padrão que deseja atribuir aos novos usuários que fizerem login usando o SAML SSO.

Neste exemplo, selecionamos “Editor”. Vá em frente e clique em “Update” (Atualizar) depois de fazer sua escolha.

Em seguida, vá para a guia “Redirection & SSO Links”.

É aqui que você pode adicionar um prático botão de logon único à sua página de login do WordPress para conveniência do usuário.

Apenas certifique-se de que a opção intitulada “Add a Single Sign-On button on the WordPress login page” esteja ativada.

Essa pequena alteração adicionará um botão “Login With [nome do provedor de identidade]” à sua tela de login do WordPress, facilitando o login dos usuários com suas credenciais existentes do Google Apps.

Veja como é o nosso:

Logon único SAML do WordPress: perguntas frequentes

Abordamos as etapas para configurar o SAML SSO do WordPress, mas talvez você ainda tenha algumas dúvidas. Vamos dar uma olhada em algumas das mais comuns:

SAML e SSO são a mesma coisa?

Não, SAML e SSO não são a mesma coisa. SAML (Security Assertion Markup Language) é um protocolo específico usado para implementar o SSO.

Há outras maneiras de obter o SSO além do uso do SAML. No entanto, o SAML é uma opção popular e segura para implementar o SSO em uma variedade de aplicativos, incluindo o WordPress.

Qual é a diferença entre o SAML SSO e um login de um clique com um plug-in?

Sim, há plug-ins de login do WordPress que oferecem a funcionalidade de um clique, que é uma opção muito mais simples em comparação com o SAML SSO.

A principal diferença está na forma como eles funcionam. O SAML SSO requer a criação de um aplicativo personalizado no console do Google Admin para comunicação segura. Ele exige mais configuração, mas oferece mais segurança e gerenciamento centralizado de usuários.

Por outro lado, os plug-ins de login com um clique usam protocolos existentes, como o OAuth, para se conectar a serviços como o Google. Você não precisa de privilégios de administrador do Google, mas ele pode não oferecer o mesmo nível de segurança que o SAML SSO.

SSO e login social são a mesma coisa?

O login social é um tipo de SSO que permite que os usuários façam login no seu site WordPress usando suas credenciais de mídia social existentes (como o Facebook). O SAML SSO, por outro lado, é uma opção mais segura e flexível que pode ser usada com uma variedade maior de provedores de identidade, não apenas com plataformas de mídia social.

Para obter mais informações sobre como adicionar opções de login social ao seu site WordPress, consulte nosso guia sobre como adicionar login social no WordPress.

Dicas de segurança do WordPress para tornar o login mais seguro

Embora o login SAML SSO seja bastante seguro, aqui estão algumas dicas adicionais que você pode implementar para reforçar ainda mais a segurança do WordPress:

• Imponha senhas fortes para os usuários do WordPress.
• Ative a autenticação de dois fatores (2FA) para obter uma camada extra de proteção.
• Restringir o número de tentativas de login para evitar ataques de força bruta.
• Fique atento a tentativas suspeitas de login monitorando os registros de login.
• Restringir o acesso à área de administração do WordPress por endereço IP.
• Faça regularmente o backup de seu site WordPress em caso de violações de segurança.
• Mantenha o núcleo, os plug-ins e os temas do WordPress atualizados para solucionar quaisquer vulnerabilidades de segurança.
• Force o logout de todos os usuários e faça com que eles alterem as senhas no WordPress de tempos em tempos.

Esperamos que este artigo tenha ajudado você a aprender como configurar o SAML SSO no WordPress. Talvez você também queira conferir nosso guia sobre como obter um certificado SSL gratuito para o seu site e nossa seleção de especialistas dos plug-ins obrigatórios do WordPress para expandir seu site.

Se você gostou deste artigo, inscreva-se em nosso canal do YouTube para receber tutoriais em vídeo sobre o WordPress. Você também pode nos encontrar no Twitter e no Facebook.