ContractFlow DocsGuide

IdP Keycloak

1. Pré-requisitos

  • Possuir perfil Administrador.

  • Estar devidamente autenticado e autorizado no ContractFlow.

  • Ter acesso ao Provedor de identidade (IdP) que suporte SAML 2.0.

  • Ter informações de configuração fornecidas pelo IdP (Certificado / Metadados).

2. Adicionar Provedor SAML

Passo 1 – Cadastrar provedor no ContractFlow

  1. Clique no avatar no canto superior direito da sua área de trabalho.

  2. Selecione a opção Gestão de Acesso.

  3. No menu lateral, clique em Provedor.

  4. Clique em Novo Provedor.

Passo 2 – Definir informações iniciais

  1. Título: Nome descritivo do provedor.

  2. Tipo: Selecione SAML.

  3. Issuer (SP Entity ID): ContractFlow.

  4. Callback URL (ACS): copie e guarde para uso no Keycloak.

Passo 3 – Habilitando Single Logout (opcional)

  1. Siga até a sessão Configurações - SLO

  2. Habilitar Sigle Logout: Ative esta opção.

  3. Callback URL (Logout do Provedor de Serviço): copie e guarde para uso no Keycloak.

3. Configuração no IdP Keycloak

Passo 4 – Criar client no Keycloak

  1. No menu lateral → Manage.

  2. Clique no submenu Clients.

  3. Na aba Clients list, clique no botão Create client.

  4. Client type: Selecione a opção  SAML.

  5. Client ID: Preencha com ContractFlow.

  6. Clique em Next.

  7. Preencha:

    • Valid redirect URIs: informe a Callback URL copiada no ContractFlow.

    • Master SAML Processing URL: informe a Callback URL copiada no ContractFlow.

  8. Clique em Save.

Passo 5 – Ajustar configurações

  1. Após salvar, a tela é atualizada exibindo a aba Settings.

  2. Siga até a sessão SAML capabilities.

  3. Name ID Format: Selecione a opção email.

  4. Siga até a sessão Signature and Encryption.

  5. Signature assertion: Ative esta opção.

  6. Signature algorithm: Selecione RSA_SHA256.

  7. SAML signature key name: Selecione KEY_ID.

  8. Canonicalization method: Selecione KEY_ID.

  9. Clique em Save.

Passo 6 – Configurando Single Logout (opcional)

  1. Siga até a sessão Advanced.

  2. Logout Service Redirect Binding URL: informe a Callback URL copiada no ContractFlow em Configurações - SLO

  3. Clique em Save.

Passo 7 – Obter metadata do Keycloak

  1. No menu lateral → Configure.

  2. Clique no submenu Realm settings.

  3. Navegue até a opção Endpoints no final da tela

  4. Visualize o metadata clicando em SAML 2.0 Identity Provider Metadata

4. Finalizar configuração no ContractFlow

Passo 8 – Relacionar dados

  1. No metadata do Keycloak:

    • copie a URL de SingleSignOnService do método HTTP-POST.

  2. No ContractFlow:

    • no campo Single Sign ON (SSO, Entrypoint) cole a url copiada no metadata.

  3. No metadata do Keycloak:

    • copie o conteúdo do certificado entre <ds:X509Certificate> e </ds:X509Data>.

  4. No ContractFlow:

    • no campo Chave de Certificado (IdP) cole o certificado copiado no metadata.

  5. No metadata do Keycloak:

    1. copie a URL de SingleLogoutService do método HTTP-POST.

  6. No ContractFlow:

    1. no campo URL (Logout do Provedor de Identidade) cole a url copiada no metadata.

  7. Clique em Salvar no ContractFlow.

ℹ️ Nota:

O recurso Single Logout é opcional, quando configurado, ao realizar logout no ContractFlow a sessão do ContractFlow no IdP também é encerrada. Caso não tenha sido realizada a configuração, o logout ocorre somente na aplicação do ContractFlow, mantendo a sessão no IdP.

5. Preferências e regras de uso

Passo 9 – Configurar preferências e regras de uso no ContractFlow

  1. No menu lateral, clique em Provedor Preferências Provedor.

  2. Para definir a ordem de prioridade: arraste e solte na posição desejada.

  3. Para restringir por domínio de e-mail:

    • Clique no ícone de lápis para editar Regex de email do provedor cadastrado.

    • Informe a Expressão Regular (Regex) que corresponde aos domínios de email que deseja permitir o acesso a este provedor.

    • Clique em Salvar.

⚠️ Atenção:

Havendo mais de um provedor, não deixe o primeiro sem regex — ele será aplicado como padrão para todos os logins.

Passo 10 – Validação

  1. Na tela de login do ContractFlow, informe o e-mail de um usuário válido no Keycloak.

  2. Clique em Entrar.

  3. Você será redirecionado para o login do Keycloak.

  4. Informe usuário e senha do Keycloak.

  5. Se autenticado com sucesso → redirecionamento ao ContractFlow.

  6. O usuário será cadastrado automaticamente no ContractFlow, mas precisará receber permissões para acesso autorizado.

6. Resumo Visual

Etapa

Ação

Onde Fazer

1

Cadastrar provedor

ContractFlow

2

Definir informações iniciais

ContractFlow

3

Habilitando Single Logout (opcional)

ContractFlow

4

Criar client

Keycloak

5

Ajustar configurações

Keycloak

6

Configurando Single Logout (opcional)

Keycloak

7

Obter metadata do Keycloak

Keycloak

8

Relacionar dados

ContractFlow e Keycloak

9

Configurar preferências e regras de uso

ContractFlow

10

Validação

ContractFlow e Keycloak

7. Dicas Finais

  • Sempre valide o login após a configuração.

  • Mantenha um provedor LOCAL ativo para contingência.

  • Configure a regex de email para não bloquear o acesso a um provedor mal configurado.

© 2026 ContractLabs. Todos os direitos reservados.