> ## Documentation Index
> Fetch the complete documentation index at: https://docs.flexxible.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Acesso e autenticação

Para acessar a plataforma da Flexxible, os usuários podem se autenticar por meio dos seguintes métodos:

* Autenticação com uma conta Microsoft Entra ID ou Google
* Autenticação com e-mail e senha
* Autenticação com SAML

## Autenticação com uma conta Microsoft Entra ID ou Google

Para que o sistema de logon único (SSO) da Flexxible possa validar as contas da Microsoft ou do Google e autorizar o acesso à plataforma, é necessário que um administrador conceda as seguintes permissões:

* **Microsoft Entra ID.** Habilitar o uso de uma Aplicação Empresarial (Enterprise Application) da Flexxible em seu inquilino.
* **Google.** Habilitar o uso de um OAuth Client ID da Flexxible em seu inquilino.

Esse procedimento é habitual em aplicações de terceiros que delegam a autenticação ao Microsoft Entra ID ou Google. O administrador do inquilino pode consultar a qualquer momento os dados aos quais a aplicação tem acesso, revisar quais usuários a utilizaram ou revogar o consentimento. Se o consentimento for revogado, os usuários não poderão mais iniciar sessão na Flexxible.

De acordo com a configuração e as políticas de segurança da organização, pode ser necessário que um administrador autorize essas contas na primeira vez em que forem utilizadas.

### Consentimento e permissões da Aplicação Empresarial no Entra ID

O acesso pode ser concedido a usuários individuais ou a grupos. No entanto, como explicado antes, existe uma opção para simplificar o processo: que um administrador conceda consentimento organizacional para o uso da Aplicação Empresarial.

Esse consentimento registrará automaticamente a Aplicação Empresarial no inquilino do Azure e permitirá que os usuários da organização iniciem sessão na Flexxible com suas credenciais corporativas. Basta que o administrador tente iniciar sessão na plataforma da Flexxible pela primeira vez para que seja lançada a solicitação de consentimento.

<img src="https://mintcdn.com/flexxible/bM882aw8U2s-CYPO/images/platform/adminapob.png?fit=max&auto=format&n=bM882aw8U2s-CYPO&q=85&s=09fe2b3fa8a2f6d0a1e4e44d96bc9d2d" alt="adminapob" width="337" height="450" data-path="images/platform/adminapob.png" />

Se o consentimento for configurado manualmente, a Aplicação Empresarial deve incluir as seguintes permissões:

| Permissão          | Descrição                                                  |
| ------------------ | ---------------------------------------------------------- |
| Directory.Read.All | Ler dados do diretório                                     |
| email              | Ver os endereços de e-mail dos usuários                    |
| offline\_access    | Manter o acesso aos dados aos quais o acesso foi concedido |
| openid             | Iniciar sessão                                             |
| profile            | Ver o perfil básico dos usuários                           |
| User.Read          | Iniciar sessão e ler o perfil dos usuários                 |

## Autenticação com e-mail e senha

Por padrão, todos os usuários da plataforma da Flexxible têm habilitada a opção de iniciar sessão com uma conta Microsoft Entra ID ou Google.

De forma opcional, os usuários com a permissão de *Administrador de organização* podem habilitar o login por e-mail e senha para outros membros da organização. Assim, os usuários poderão escolher de que maneira iniciar sessão.

<img src="https://mintcdn.com/flexxible/bM882aw8U2s-CYPO/images/platform/login.png?fit=max&auto=format&n=bM882aw8U2s-CYPO&q=85&s=fbc390e7d0f77d93cec213ce1cae9eb7" alt="login" width="325" height="400" data-path="images/platform/login.png" />

### Processo de login

Para iniciar sessão na plataforma da Flexxible utilizando e-mail e senha pela primeira vez, devem-se seguir os seguintes passos:

1. Habilitar o **acesso à autenticação por e-mail e senha** ao usuário. Esse passo deve ser realizado por um Administrador de organização.

2. Quando habilitado, o usuário receberá um e-mail de boas-vindas com um link para criar sua senha. O link é de uso único. Se ele não puder iniciar sessão com esse link, sempre poderá se autenticar com Microsoft Entra ID ou Google.

3. Criar uma senha; sem ela, não poderá iniciar sessão.

4. Configurar a autenticação de dois fatores por meio de uma **aplicação de autenticação**. Na primeira vez que o usuário tentar iniciar sessão com e-mail e senha, a plataforma solicitará que ele o faça.

5. Iniciar sessão.

### Acesso à autenticação por e-mail e senha

Para ativar esse método nos usuários, um Administrador de organização deve ter habilitado primeiro a opção de autenticação por e-mail e senha em nível de organização.

Em seguida, o Administrador de organização poderá habilitar o acesso aos usuários que compõem a organização. Para isso, a Flexxible oferece as seguintes opções:

* Habilitar o acesso para um novo usuário
* Habilitar o acesso para um lote de usuários
* Habilitar o acesso a partir da tabela de usuários

### Habilitar o acesso para um novo usuário

1. Acessar **Configuração** → **Usuários**.
2. Clicar em **Novo**. Será aberto um formulário que solicitará as informações do usuário.
3. Marcar a opção **Habilitar login com e-mail/senha**.
4. No formulário, clicar em **Novo**.

<Tip>
  Você pode encontrar mais informações sobre como criar um usuário em [Usuários](../features/administration/users).
</Tip>

<img src="https://mintcdn.com/flexxible/bM882aw8U2s-CYPO/images/platform/enabled-login-password.png?fit=max&auto=format&n=bM882aw8U2s-CYPO&q=85&s=02fe4d0e9844bb8ae5aaec5a39e498a9" alt="enabled-login-password" width="999" height="449" data-path="images/platform/enabled-login-password.png" />

### Habilitar o acesso para um lote de usuários

Para realizar essa ação, recomenda-se primeiro exportar a listagem de usuários para obter o arquivo Excel com o formato adequado:

1. Acessar **Configuração** → **Usuários** → **Exportar usuários**.

2. Abrir o arquivo Excel. Na coluna **Email login enabled** deve-se indicar a quais usuários será habilitado o acesso: **Y** (habilita) e **N** (desabilita).

   <img src="https://mintcdn.com/flexxible/bM882aw8U2s-CYPO/images/platform/login-excel.png?fit=max&auto=format&n=bM882aw8U2s-CYPO&q=85&s=3ed53a84974defdd63412186329da108" alt="login-excel" width="701" height="173" data-path="images/platform/login-excel.png" />

3. Salvar o novo arquivo e voltar à tabela com a listagem de usuários:

   **Configuração** → **Usuários**.

4. Clicar em **Importar usuários**. Selecionar o arquivo salvo.

5. Clicar em **Importar**.

   <img src="https://mintcdn.com/flexxible/bM882aw8U2s-CYPO/images/platform/import-users-login.png?fit=max&auto=format&n=bM882aw8U2s-CYPO&q=85&s=be94d84dca19580f9602835f1021d573" alt="import-users-login" width="415" height="149" data-path="images/platform/import-users-login.png" />

### Habilitar o acesso a partir da tabela de usuários

1. Acessar **Configuração** → **Usuários**.

2. Selecionar os usuários aos quais se deseja habilitar o acesso.

3. No menu superior, clicar em **Ações de login por e-mail** → **Habilitar login por e-mail** ou **Desabilitar login por e-mail**, conforme o caso.

   <img src="https://mintcdn.com/flexxible/bM882aw8U2s-CYPO/images/platform/login-passw-user-table.png?fit=max&auto=format&n=bM882aw8U2s-CYPO&q=85&s=6258674875419067dc9054d56c812e9c" alt="login-passw-user-table" width="1000" height="423" data-path="images/platform/login-passw-user-table.png" />

#### Redefinir a senha a partir da tabela de usuários

1. Acessar **Configuração** → **Usuários**.

2. Selecionar os usuários aos quais será enviado um e-mail com o link para gerar novamente a senha.

3. Selecionar **Ações de login por e-mail`→`Reenviar e-mail de redefinição de senha**.

   <img src="https://mintcdn.com/flexxible/bM882aw8U2s-CYPO/images/platform/resend-passw.png?fit=max&auto=format&n=bM882aw8U2s-CYPO&q=85&s=58eed4a6e464f0de4f1a3febc7463b18" alt="resend-passw" width="809" height="460" data-path="images/platform/resend-passw.png" />

>

<img src="https://mintcdn.com/flexxible/bM882aw8U2s-CYPO/images/platform/resend-message.png?fit=max&auto=format&n=bM882aw8U2s-CYPO&q=85&s=33a34c9bfe759486f16af7669d13ab49" alt="resend-message" width="279" height="186" data-path="images/platform/resend-message.png" />

<Info>
  Essa opção só está disponível para os usuários que têm habilitada a autenticação por e-mail e senha.
</Info>

### Configuração de segurança de autenticação

A Flexxible permite gerenciar os níveis de segurança para a autenticação por e-mail e senha, tanto em nível de usuário quanto de organização.

### Configuração de segurança de autenticação em nível de usuário

A partir de **Perfil de usuário** → **Configuração** → **Configuração de segurança de autenticação**, os usuários podem estabelecer três métodos de autenticação de duplo fator e configurar sua senha.

#### Autenticação de dois fatores

Essa medida de segurança está disponível para usuários que iniciam sessão por meio de e-mail e senha, adicionando uma camada extra de proteção à conta.

**Métodos de autenticação**

Para a autenticação em dois fatores, a plataforma permite habilitar três métodos:

* Aplicação de autenticação
* Código de recuperação
* Verificação de e-mail

#### Aplicação de autenticação

Uma aplicação de autenticação permite criar códigos de verificação de uso único. Quando esse método de autenticação está habilitado, ao iniciar sessão na plataforma, será solicitado ao usuário inserir esse código de verificação junto com sua senha habitual. Para isso, ele deve primeiro baixar uma aplicação de autenticação, como Microsoft Authenticator, Google Authenticator ou a que preferir.

Para adicionar esse método, o usuário deve clicar em **Habilitar** no painel de configuração de segurança de autenticação. Uma janela modal exibirá um código QR. Quando o mesmo for escaneado, o usuário deverá inserir, no campo reservado para tal, o código de verificação de seis dígitos concedido pela aplicação de autenticação.

Em seguida, será exibido um código de recuperação, que o usuário deverá guardar para usá-lo se algum dia precisar iniciar sessão e não tiver acesso ao dispositivo onde tem a aplicação de autenticação instalada.

Dessa forma, a partir daí, ao iniciar sessão, será solicitado o código de verificação ao usuário além da senha.

Quando um usuário entrar pela primeira vez na plataforma usando seu e-mail e senha, será solicitado a ele que estabeleça esse método de autenticação para elevar o nível de segurança de sua conta.

<Info>
  **Código de verificação** e **Código de recuperação** não são a mesma coisa. O primeiro é gerado pela aplicação de autenticação, o segundo é concedido pela Flexxible como medida de previsão.
</Info>

A partir do painel de configuração de segurança de autenticação, o usuário poderá ver a data e a hora em que a sessão foi iniciada utilizando esse método, bem como a data em que foi adicionado como método de segurança de duplo fator.

#### Código de recuperação

Quando o uso da aplicação de autenticação é habilitado, a Flexxible gera um código de recuperação para que o usuário o guarde e o utilize quando não tiver acesso ao dispositivo em que tem a aplicação de autenticação baixada. A opção **Código de recuperação** permite gerar novamente esse código se ele for perdido, para verificar a identidade do usuário quando desejar iniciar sessão.

#### Verificação de e-mail

Se estiver habilitada, permite verificar a identidade do usuário por meio de um e-mail se ele esquecer sua senha ou não dispuser dos outros métodos para se identificar.

Para habilitar essa opção, o usuário deve clicar em **Habilitar** no painel de configuração de segurança de autenticação. A partir daí, o usuário também poderá ver a data e hora da última vez em que o método foi utilizado, bem como a última vez em que foi adicionado como método de segurança de duplo fator.

**Redefinir a autenticação em dois fatores**

Permite redefinir os métodos de autenticação de duplo fator quando um usuário perde acesso aos dispositivos que lhe permitiam se identificar. Ao pressionar **Regenerar**, os métodos de autenticação de duplo fator são desabilitados.

O usuário poderá habilitá-los diretamente a partir do mesmo painel de configuração de segurança. Ou fechando e iniciando sessão novamente na plataforma.

Também é informada a data e a hora da última vez em que a autenticação de dois fatores foi redefinida.

#### Senha

A partir do mesmo painel, o usuário pode solicitar a redefinição de sua senha.  Deve pressionar o botão **Reenviar e-mail de redefinição de senha** para receber um e-mail com as instruções.

Também é informada a última vez em que a senha foi alterada, a última vez em que a sessão foi iniciada e o último endereço IP a partir do qual se conectou.

### Configuração de segurança de autenticação em nível de organização

Um Administrador de organização pode habilitar ou desabilitar a opção de iniciar sessão por meio de e-mail e senha para os usuários da organização e suas sub-organizações. A funcionalidade só pode ser habilitada ou desabilitada a partir da organização principal, caso disponha de sub-organizações.

Para isso, acessar **Configuração** → **Organização.** E no menu lateral esquerdo deve clicar sobre a aba **Autenticação**.

#### Habilitar ou desabilitar a opção de autenticação por e-mail e senha em nível de organização

O botão **Habilitar autenticação por e-mail/senha** ou **Desabilitar autenticação por e-mail/senha**, conforme o caso, permite habilitar ou desabilitar a possibilidade de que aos usuários membros de uma organização ou sub-organização possa ser ativado o login com e-mail e senha.

<Warning>
  Se essa opção for desabilitada, os usuários não poderão iniciar sessão com e-mail e senha nem gerenciar sua conta. Todas as credenciais de usuário serão eliminadas. Se essa função for novamente habilitada, os usuários deverão redefinir novamente sua senha e autenticação de duplo fator.
</Warning>

### Tabela de usuários

A tabela de usuários da aba **Autenticação** mostra a listagem dos membros da organização. À primeira vista, a partir daqui é possível saber quais membros têm habilitada a opção de iniciar sessão por meio de e-mail e senha.

### Detalhe de autenticação de um usuário

Se se clicar sobre o nome de um usuário da tabela, é possível acessar cartões com informações específicas sobre o método de autenticação que ele tem habilitado:

* **Microsoft Entra ID.** *Cargo*, *Telefone*, *Último login*, *Contagem de logins* e *Último endereço IP*

* **Google.** *Último login*, *Contagem de logins* e *Último endereço IP*

* **Autenticação com e-mail e senha.** *Último login*, *Contagem de logins* e *Último endereço IP*. Além disso, a partir daqui, o administrador pode gerenciar a **Configuração de segurança de autenticação** para esse usuário específico, que inclui a **Autenticação em dois fatores** e a **Senha**.

## Autenticação com SAML

A linguagem de marcação para confirmações de segurança (SAML) é uma tecnologia de logon único (SSO) que permite às organizações conectar seus gerenciadores de identidade (Okta, Entra ID, entre outros) com a plataforma da Flexxible, delegando a ela o processo de autenticação.

Para configurar o login com esse método, devem-se realizar ajustes relacionados ao reconhecimento do domínio da organização e à integração com o gerenciador de identidades utilizado.

### Domínios

A partir dessa aba, um Administrador de organização pode registrar e verificar os domínios que serão utilizados. Também pode acessar a tabela com a listagem de domínios e consultar sua visão de detalhe.

A tabela mostra as seguintes informações:

* **Nome do domínio.** Endereço web registrado pela organização.
* **Estado.** **Verificado** ou **Não verificado**.
* **Criado em.** Data e hora de criação do domínio.
* **Criado por.** Usuário que registrou o domínio.

### Criar um domínio

Para configurar um domínio, primeiro deve ser registrado e posteriormente verificado.

1. Acessar **Organização** → **Domínios**.
2. Clicar em **Criar domínio**.
3. Inserir o domínio da organização (correspondente ao e-mail dos usuários que iniciarão sessão com SAML).
4. Clicar em **Novo**.

O domínio será adicionado à tabela com o estado **Não verificado**.

### Verificar o domínio

1. Na tabela de Domínios, selecionar o domínio registrado.
2. Será exibida uma janela com as instruções para adicionar um registro TXT no DNS, necessário para verificar a propriedade.
3. Pressionar **Verificar agora** para concluir o processo.

### Criar uma conexão SSO

A criação de uma conexão SSO permite que os usuários com endereços de e-mail de domínios específicos se autentiquem por meio do provedor de identidades da organização.

1. Acessar  **Organização** → **Integrações SSO**.
2. Clicar em **Criar conexão** e seguir as instruções do assistente, que guiará o Administrador de organização na configuração e teste de acordo com o gerenciador de identidades utilizado.

Os gerenciadores de identidade disponíveis são:

* Okta
* Entra ID
* Custom SAML

Para cada caso, haverá um assistente que guiará passo a passo na configuração específica dentro do gerenciador de identidades selecionado.

<Tip>
  Alguns dos dados solicitados durante a configuração podem ter nomes diferentes conforme o gerenciador de identidades. Por exemplo, no Custom SAML:

  * O campo `Single Sign-On URL` pode aparecer no gerenciador de identidades como `Reply URL (Assertion Consumer Service URL)`.
  * O campo `Service Provider Entity ID` pode ser denominado `Identifier (Entity ID)`.
</Tip>

<Note>
  Se surgir alguma dúvida durante o processo de configuração, por favor consulte com sua pessoa de contato na Flexxible.
</Note>

Uma vez concluído o processo, os usuários dos domínios associados poderão iniciar sessão inserindo seu e-mail no campo correspondente e clicando em **Continuar com e-mail**.

Se o sistema reconhecer o domínio como habilitado para SSO, redirecionará o usuário ao gerenciador de identidades da organização para se autenticar.

### Editar uma conexão SSO

A plataforma permite editar uma conexão SSO existente, seja para atualizar a configuração ou renovar o certificado em caso de expiração.

1. Acessar **Organização** → **Integrações SSO**.
2. Selecionar um registro na tabela.
3. Clicar em **Editar conexão**.

Marcar o checkbox **Habilitar provisionamento de usuários SCIM** é opcional. Mais informações em **Provisionamento de usuários com SCIM**.

### Excluir um domínio

1. Acessar **Organização** → **Domínios**.
2. Selecionar na tabela o domínio que se deseja excluir.
3. Na janela de detalhe, clicar em **Excluir**.

Ao excluir um domínio, os usuários associados a ele não poderão mais se autenticar por meio de SAML, até que seja registrado novamente.

### Excluir uma conexão SSO

1. Acessar **Organização** → **Integrações SSO**.
2. Selecionar o registro correspondente na tabela.

## Provisionamento SCIM

O sistema de administração de identidades entre domínios (SCIM) é um padrão de provisionamento e gerenciamento de usuários que complementa a autenticação com SAML. É opcional e sua função é automatizar a criação, atualização e exclusão de contas de usuário na plataforma da Flexxible, mantendo sincronizadas as informações entre o gerenciador de identidades da organização (Okta, Entra ID, etc.) e a plataforma.

Quando o SCIM está habilitado, o gerenciador de identidades pode enviar à plataforma as informações básicas dos usuários (nome, e-mail, grupo), o que facilita o gerenciamento de admissões e desligamentos. Dessa forma, o ciclo de vida do usuário fica controlado de forma centralizada a partir do gerenciador de identidades.

### Habilitar SCIM

Para utilizar o SCIM é indispensável ter configurado previamente a autenticação com SAML:

1. Acessar **Organização** → **Integrações SSO**.
2. Na tabela, selecionar a conexão SSO correspondente.
3. Marcar a opção **Habilitar provisionamento de usuários SCIM**.

Ao ativar a opção, na parte inferior da janela de configuração aparecerão:

* Ponto de conexão SCIM (endpoint)
* Token de autenticação

<Warning>
  Esses dados são confidenciais e devem ser armazenados de forma segura.
</Warning>

<Info>
  Em ambientes com sub-organizações, a integração SCIM deve ser definida no inquilino pai.
</Info>

### Configurar SCIM no gerenciador de identidades

No gerenciador de identidades da organização, devem-se inserir o ponto de conexão SCIM e o token de autenticação fornecidos.

Exemplo com Entra ID:

1. Ir a **Provisionamento**.
2. Inserir o ponto de conexão SCIM e o token de autenticação.
3. Selecionar o método de autenticação: **Bearer token** ou **Bearer Authentication**.
4. Clicar em **Test connection** para validar a sincronização.
5. Ativar o provisionamento.

A partir desse momento, o gerenciador de identidades começará a sincronizar grupos e usuários em direção à plataforma.

<Info>
  * Se **Okta** for usado como provedor de identidades:
    * A funcionalidade de SCIM deve ser configurada usando a opção de Custom SAML, dado que o Okta não suporta SCIM se a conexão for com OIDC.
    * Ao configurar a conexão Custom SAML, é necessário indicar que o **Application username format** seja **Email**, caso contrário os usuários não poderão se autenticar.
</Info>

### Criar grupos de usuários no gerenciador de identidades

Para integrar usuários por meio de SCIM é indispensável criar grupos no gerenciador de identidades.

#### Considerações

* Criar grupos especialmente dedicados com nomes claros e exclusivos (ex. `MinhaOrg-Portal-L2`).
* Quando forem criados ou excluídos grupos de usuários no gerenciador de identidades, também serão criados ou excluídos automaticamente na plataforma.
* Não criar grupos aninhados.
* **Um usuário só deve pertencer a um grupo**; caso contrário, poderiam surgir comportamentos imprevistos: na plataforma, um usuário não pode ter mais de um papel.
* Não pode haver usuários sem grupo atribuído.
* Os usuários que pertençam a um grupo que não tem um papel vinculado não serão visíveis na listagem de [Usuários](../features/administration/roles).

Ao serem criados grupos de usuários no gerenciador de identidades, aparecerá automaticamente a aba **Provisionamento SCIM** no menu **Organização**.

### Mapeamento de papéis

Na tabela da aba **Provisionamento SCIM** é possível ver os grupos criados no gerenciador de identidades. Isso acontece porque foi estabelecida uma sincronização unidirecional, do gerenciador de identidades em direção à plataforma.

Para mapear papéis:

1. Acessar **Organização** → **Provisionamento SCIM**.
2. Selecionar um grupo sincronizado da tabela.
3. Na janela modal, atribuir o papel correspondente.
4. Se uma organização (inquilino) tiver sub-organizações, escolher a qual sub-organização esse grupo pertence antes de atribuir-lhe um papel.

A partir do momento em que todos os grupos estiverem vinculados a um papel, não será necessário realizar mais configurações. Os novos usuários que forem adicionados ou excluídos dos grupos no gerenciador de identidades serão sincronizados automaticamente na plataforma.

#### Considerações sobre os papéis

* Todo grupo sincronizado deve ter um papel atribuído para que seus usuários sejam visíveis e funcionais.
* É possível atribuir o mesmo papel a diferentes grupos.
* O papel atribuído a um grupo pode ser modificado a qualquer momento seguindo os mesmos passos usados para atribuir o papel.
* Na listagem de [Usuários](../features/administration/users), serão vistas as colunas *Criado por* e *Atualizado por* para identificar os usuários gerenciados pelo SCIM.

### Sincronização de papéis

A frequência de sincronização depende do gerenciador de identidades utilizado (por exemplo, o Entra ID sincroniza a cada 40 minutos), embora seja possível forçar uma sincronização manual a partir do próprio gerenciador de identidades para fazer testes ou alterações urgentes sem esperar pelo ciclo automático.

Para evitar depender desses intervalos, a plataforma incorpora o botão **Sincronizar papéis atribuídos**, que permite alinhar os papéis dos usuários pertencentes aos grupos criados com SCIM.

Essa ação realiza as seguintes operações:

* Revisa todos os usuários pertencentes a grupos criados via SCIM.
* Verifica se o papel atribuído a cada usuário coincide com o papel mapeado para seu grupo.
* Se detectar discrepâncias, atualiza automaticamente o papel do usuário.

Se o papel pertencer a outra sub-organização, o usuário será movido automaticamente para a sub-organização correspondente.

Ao finalizar o processo, é exibido um resumo detalhado dos dados modificados.
