Configurar SSO no Engage a partir do Azure AD (Office 365)

O Engage oferece suporte ao Single Sign-On com o Azure AD. Para configurar siga os passos abaixo:

1. Registrando a aplicação no Azure AD

Primeiramente, o cliente precisa registrar a aplicação do Engage no Azure AD. Para isso, basta seguir os passos abaixo:

1. Acesse o portal https://portal.azure.com/#home com suas credenciais da Microsoft. É necessário que você tenha perfil de administrador e na tela padrão, busque por "App Registrations" (em inglês) ou "Registro de Aplicativo" (em português);
2. Clique no botão "New registration" (Novo Registro) 
3. Informe o nome para a aplicação "Engage" e na opção "Tipos de Conta com Suporte" marque a opção "Contas somente neste diretório organizacional (somente XXX - único locatário)" e no campo "URL de redirecionamento" informe a URL do Engage e, por fim, clique no botão "Registrar", conforme imagem abaixo:
4. Importante: No passo anterior, se o cliente estiver usando um domínio próprio para acesso a plataforma (EX: https:{projeto}.dominiodocliente.com.br) será necessário adicionar esse domínio a lista "URI de redirecionamento (opcional);
5. Criado seu app, no menu lateral esquerdo, selecione a opção "Autenticação" e no campo "Em Concessão Implícita", marque as opções "tokens de acesso" e "tokens de ID" e clique em Salvar;
6. Clique na aba "Certificados e Segredos", no painel "Segredos" do "Cliente", clique no botão "Novo segredo do cliente". O popup "adicionar um segredo de cliente será exibido". Informe o nome da sua chave e marque a opção "nunca" e clique no botão "Adicionar", conforme imagem abaixo:
7. Envie para a Engage a chave gerada, o clientId e o tenant, conforme imagens abaixo

Segredos do cliente:

Informações do App

    8. No menu lateral esquerdo da tela do Portal do Azure, clique em API Permissions > + Add a Permission > Microsoft Graph > Delegated permissions e no painel OpenId permissions, selecione as opções email e profile e, por fim, clique no botão Add Permissions para salvar, conforme imagem abaixo:

Considerações Importantes:

• A etapa 7 deste documento é fundamental para que o LMS da Engage possa identificar o usuário e executar o SSO transparente de forma correta. A não configuração dessa etapa impedirá a integração de funcionar;
• Esta integração oferece apenas o método de autenticação sendo que o método de autorização não é suportado, ou seja, é possível logar no Engage a partir da conta do Azure AD, porém não é possível definir as roles de acesso através desta integração, sendo que para configurar as permissões, é necessário que o administrador crie um perfil no Engage, através da área administrativa da própria plataforma, e atribua, manualmente, este perfil ao usuário

2. Para configurar essa informação a partir do Engage

Feitas as devidas configurações, seguindo os passos anteriores, é necessário inserir estas informações no Engage. Para isso, basta seguintes os passos a seguir:

1. No menu da área administrativa da plataforma, acesse a opção "Outras Configurações" e clique na opção "Integrações"
2. Selecione a opção "microsoft"
3. Será exibida a tela abaixo. Habilite a opção "Habilitar a autenticação com conta da Microsoft". Será exibida a tela abaixo. Por fim, pegue as informações ID do aplicativo (cliente) e ID do diretório (locatário) geradas no Portal do Azure e insira nos campos Client Id e Tenant Id, respectivamente, na plataforma Engage:
4. Caso deseje que o sistema realize o auto provisionamento dos usuários, basta habilitar a opção "Cadastrar usuários automaticamente" informando em qual grupo e quais trilhas o usuário deverá ser vinculado após se autenticar com a sua conta do Azure AD. Vale ressaltar que se habilitada esta opção TODOS os usuários que se autenticarem na plataforma com a conta da Microsoft serão vinculados automaticamente nos mesmos grupos e trilhas informados na tela acima. Caso o usuário esteja vinculado em outros grupos e trilhas além dos informados nesta opção, estes vínculos serão preservados.