IdP Okta

1. Pré-requisitos

Possuir perfil Administrador no Okta.
Estar devidamente autenticado e autorizado no ContractFlow.
Ter acesso ao Okta que suporte SAML 2.0.
Ter informações de configuração fornecidas pelo IdP (Certificado / Metadados).

No Admin Console do Okta (https://<sua-org>.okta.com/admin), vá em Applications → Applications.
Clique em Create App Integration.
Escolha SAML 2.0 e clique em Next.
Configure os campos básicos:
- App Name: ContractFlow.
- Single sign on URL (ACS URL): informe a Callback URL copiada do ContractFlow.
- Audience URI (SP Entity ID): informe o valor do ContractFlow.
Clique em Next e configure os atributos de usuário (opcional).
Clique em Finish.

Na aplicação criada, vá em Sign On → View SAML Setup Instructions.
Copie as seguintes informações do metadata:
- SingleSignOnService URL (HTTP-POST) → será usado como Entrypoint no ContractFlow.
- X.509 Certificate → será usado como Chave de Certificado (IdP) no ContractFlow.

No ContractFlow:
- No campo Single Sign ON (SSO, Entrypoint), cole a URL de SingleSignOnService copiada do metadata.
- No campo Chave de Certificado (IdP), cole o certificado X.509 copiado do metadata.

No menu lateral, clique em Provedor → Preferências Provedor.
Para definir a ordem de prioridade: arraste e solte na posição desejada.
Para restringir por domínio de e-mail:
- Clique no ícone de lápis para editar Regex de email do provedor cadastrado.
- Informe a Expressão Regular (Regex) que corresponde aos domínios de email que deseja permitir o acesso a este provedor.
- Clique em Salvar.

⚠️ Atenção:

Havendo mais de um provedor, não deixe o primeiro sem regex — ele será aplicado como padrão para todos os logins.

Na tela de login do ContractFlow, informe o e-mail de um usuário válido no Okta.
Clique em Entrar.
Você será redirecionado para o login do Okta.
Informe usuário e senha do Okta.
Se autenticado com sucesso → redirecionamento ao ContractFlow.
O usuário será cadastrado automaticamente no ContractFlow, mas precisará receber permissões para acesso autorizado.

Acesse a aplicação SAML criada no Okta.
Clique em Edit para editar as informações da aplicação.
Vá até a aba Configure SAML e localize a seção Group Attribute Statements.
Adicione um novo atributo:
- Defina um Name (ex.: groups).
- Escolha um Name format (pode ser Unspecified ou Basic, conforme necessário pelo SP).
- Configure o Filter utilizando uma das opções:
  - Matches regex → para retornar grupos conforme uma expressão regular (ex.: .* para todos).
  - Starts with, Equals ou Contains → para restringir a grupos específicos.
Clique em Save para aplicar as alterações.

Etapa	Ação	Onde Fazer
1	Cadastrar provedor	ContractFlow
2	Definir informações iniciais	ContractFlow
3	Criar aplicação SAML	Okta
4	Ajustar configurações da aplicação (ACS URL, SP Entity ID, atributos)	Okta
5	Obter metadata do IdP	Okta
6	Relacionar dados (Entrypoint, Certificado)	ContractFlow e Okta
7	Configurar preferências e regras de uso	ContractFlow
8	Validação	ContractFlow e Okta

Sempre valide o login após a configuração.
Mantenha um provedor LOCAL ativo para contingência.
Configure a regex de email para não bloquear o acesso a um provedor mal configurado.