Pular para o conteúdo principal

Configurar Single Sign-On com Google Workspace

Com um esforço mínimo de configuração, este conector permite a integração com o Microsoft Entra ID para SSO corporativo (Enterprise SSO).

dica:

Para mais informações sobre SSO e como configurar SSO no Logto, por favor, confira a documentação de SSO corporativo (SAML & OIDC) para começar.

Passo 1: Crie um novo projeto no Google Cloud Platform

Antes de poder usar o Google Workspace como um provedor de autenticação, você deve configurar um projeto no Google API Console para obter credenciais OAuth 2.0. Se você já tiver um projeto, pode pular esta etapa. Caso contrário, crie um novo projeto sob sua organização do Google.

Para criar uma nova credencial OIDC, você precisa configurar a tela de consentimento para o seu aplicativo.

  1. Navegue até a página Tela de consentimento OAuth e selecione o tipo de usuário Interno. Isso tornará o aplicativo OAuth disponível apenas para usuários dentro da sua organização.
Tipo de usuário da tela de consentimento do Google Workspace
  1. Preencha as configurações da Tela de Consentimento seguindo as instruções na página. Você precisa fornecer as seguintes informações mínimas:
  • Nome do aplicativo: O nome do seu aplicativo. Ele será exibido na tela de consentimento.
  • Email de suporte: O email de suporte do seu aplicativo. Ele será exibido na tela de consentimento.
Configurações da tela de consentimento do Google Workspace
  1. Defina os Escopos para o seu aplicativo. Para recuperar corretamente as informações de identidade do usuário e o endereço de email do IdP, os conectores SSO do Logto precisam conceder os seguintes escopos do IdP:
Escopos da tela de consentimento do Google Workspace
  • openid: Este escopo é necessário para a autenticação OIDC. Ele é usado para recuperar o Token de ID e obter acesso ao endpoint userInfo do IdP.
  • profile: Este escopo é necessário para acessar as informações básicas do perfil do usuário.
  • email: Este escopo é necessário para acessar o endereço de email do usuário.

Clique no botão Salvar para salvar as configurações da tela de consentimento.

Passo 3: Crie uma nova credencial OAuth

Navegue até a página de Credenciais e clique no botão Create Credentials. Selecione a opção OAuth client ID no menu suspenso para criar uma nova credencial OAuth para seu aplicativo.

Google Workspace criar credenciais

Continue configurando a credencial OAuth preenchendo as seguintes informações:

Configuração de credenciais do Google Workspace
  1. Selecione Web application como o tipo de aplicativo.
  2. Preencha o Name do seu aplicativo cliente, Logto SSO Connector, por exemplo. Isso ajudará você a identificar as credenciais no futuro.
  3. Preencha os Authorized redirect URIs com o URI de callback do Logto. Este é o URI para o qual o Google redirecionará o navegador do usuário após a autenticação bem-sucedida. Após um usuário autenticar-se com sucesso com o IdP, o IdP redireciona o navegador do usuário de volta para este URI designado junto com um código de autorização. O Logto completará o processo de autenticação com base no código de autorização recebido deste URI.
  4. Preencha os Authorized JavaScript origins com a origem do URI de callback do Logto. Isso garante que apenas seu aplicativo Logto possa enviar solicitações para o servidor OAuth do Google.
  5. Clique no botão Create para criar a credencial OAuth.

Passo 4: Configure o conector Logto com as credenciais do cliente

Após criar com sucesso a credencial OAuth, você receberá um modal de prompt com o client ID e o client secret.

Google Workspace criar credenciais

Copie o Client ID e o Client secret e preencha os campos correspondentes na aba Connection do conector SSO do Logto.

Agora você configurou com sucesso um conector SSO do Google Workspace no Logto.

Passo 5: Escopos adicionais (Opcional)

Escopos definem as permissões que seu aplicativo solicita dos usuários e controlam quais dados seu aplicativo pode acessar nas contas Google Workspace deles. Solicitar permissões do Google requer configuração em ambos os lados:

No Google Cloud Console:

  1. Navegue até APIs & Services > OAuth consent screen > Scopes.
  2. Clique em Add or Remove Scopes e selecione apenas os escopos que seu aplicativo necessita:
    • Autenticação (Authentication) (Obrigatório):
      • https://www.googleapis.com/auth/userinfo.email
      • https://www.googleapis.com/auth/userinfo.profile
      • openid
    • Acesso à API (Opcional): Adicione quaisquer escopos adicionais necessários para seu aplicativo (por exemplo, Drive, Calendar, YouTube). Navegue pela Google API Library para encontrar os serviços disponíveis. Se seu aplicativo precisar de acesso às APIs do Google além das permissões básicas, primeiro ative as APIs específicas que seu aplicativo usará (por exemplo, Google Drive API, Gmail API, Calendar API) na Google API Library.
  3. Clique em Update para confirmar a seleção.
  4. Clique em Save and Continue para aplicar as alterações.

No conector Google Workspace do Logto:

  1. O Logto inclui automaticamente os escopos openid, profile e email para recuperar informações básicas de identidade do usuário. Você pode deixar o campo Scopes em branco se precisar apenas das informações básicas do usuário.
  2. Adicione escopos adicionais (separados por espaços) no campo Scopes para solicitar mais dados do Google. Use URLs completas dos escopos, por exemplo: https://www.googleapis.com/auth/calendar.readonly
dica:

Se seu aplicativo solicitar esses escopos para acessar a API do Google e realizar ações, certifique-se de habilitar Store tokens for persistent API access no conector Google do Logto. Veja a próxima seção para detalhes.

Passo 6: Armazene tokens para acessar APIs do Google (Opcional)

Se você deseja acessar as APIs do Google e realizar ações com autorização do usuário, o Logto precisa obter escopos de API específicos e armazenar tokens.

  1. Adicione os escopos necessários na configuração da tela de consentimento OAuth do Google Cloud Console e no conector Google do Logto.
  2. Ative Armazenar tokens para acesso persistente à API no conector Google do Logto. O Logto armazenará com segurança os tokens de acesso e atualização do Google no Cofre de Segredos (Secret Vault).
  3. Para garantir que os tokens de atualização sejam retornados, configure seu conector Google do Logto para habilitar o Acesso offline (Offline Access).
atenção:

Você não precisa adicionar offline_access no campo Scope do Logto — fazer isso pode causar um erro. O Google usa access_type=offline automaticamente quando o acesso offline está habilitado.

Passo 7: Defina domínios de e-mail e habilite o conector SSO

Forneça os domínios de email da sua organização na guia Experiência SSO (SSO experience) do conector do Logto. Isso habilitará o conector SSO como um método de autenticação para esses usuários.

Usuários com endereços de email nos domínios especificados serão redirecionados para usar seu conector SSO como seu único método de autenticação.

Para mais informações sobre o conector SSO do Google Workspace, consulte Google OpenID Connector.