Guia para SAML SSO
Quem pode usar este recurso
Disponível nos planos Organization e Enterprise
Somente admins da organização
O Single Sign-On (SSO) permite que os usuários façam login em vários apps ou sites usando um provedor de identidade. O Security Assertion Markup Language (SAML) é um padrão de segurança para gerenciar a autenticação e o acesso.
Em uma configuração de SAML SSO, o provedor de identidade gerencia as contas de usuário e as credenciais da organização. O provedor de serviços (Figma) é o app ou site que fornece serviços ao usuário ou à organização.
Quando o SAML SSO é utilizado, os membros fazem login na sua organização Figma usando o provedor de identidade da organização.
Como funciona o SAML SSO:
- O membro tenta fazer login no Figma via SAML SSO
- O Figma envia uma solicitação SAML para o provedor de identidade
- O provedor de identidade verifica as credenciais desse membro
- O provedor de identidade envia uma resposta ao Figma para verificar a identidade do membro
- O Figma aceita a resposta e registra o membro na sua conta Figma
Observação: o Figma usa o SAML 2.0 em todas as configurações de SAML SSO. Isso inclui configurações com provedores de identidade compatíveis e quaisquer configurações personalizadas.
Configurar o SAML SSO
O processo de configuração do SAML depende do seu provedor de identidade específico. A seguir, descrevemos o processo geral de implementação do SAML SSO.
O SAML SSO se aplica apenas a membros de uma organização Figma. Convidados podem fazer login por meio do Google SSO ou do seu e-mail e senha exclusiva, independentemente das configurações de SAML SSO da organização.
Para usuários do Figma for Government: todos os usuários que utilizam a solução Figma for Government devem usar o SAML SSO. Os apps de provedores de identidade do marketplace da Figma, como Microsoft ou Okta, não são compatíveis com o Figma for Government. Use o fluxo de configuração do SAML SSO do app personalizado, conforme descrito a seguir, para seu provedor de identidade.
1. Confirmar os domínios
Adicionar e verificar domínios por meio da captura de domínio nos permite saber quem tratar como membro e quem tratar como convidado.
Por exemplo: a ACME Corp tem três domínios registrados na sua organização: acme.org
, acmecorp.org
e dev.acme.org
.
Qualquer pessoa com um endereço de e-mail acme.org
, acmecorp.org
ou dev.acme.org
é um membro. Os membros podem fazer login via SAML SSO.
Qualquer pessoa com um endereço de e-mail que não corresponda a esses domínios é convidada e não pode fazer login via SAML. Por exemplo: name@gmail.com
ou name@notyourdomain.com
Observação: se você planeja usar o SAML SSO, é necessário registrar todos os domínios que deseja usar no Figma com o seu provedor de identidade. Os aliases de e-mail não funcionam com o SAML SSO.
Cuidado: para manter o acesso a arquivos e projetos existentes, os membros precisam ter uma conta registrada no e-mail da empresa. Recomendamos que você verifique se todos estão usando os e-mails corretos no Figma antes de configurar o SAML SSO.
2. Adicionar o Figma ao seu provedor de identidade
Quando você adicionar o Figma ao seu provedor de identidade, ele lhe fornecerá um URL de metadados. Esse é um link XML que o Figma usa para se conectar ao seu provedor de identidade e autenticar os usuários quando fazem login.
O Figma oferece suporte a integrações dedicadas com os seguintes provedores de identidade:
Observação: você também pode definir uma configuração SAML personalizada com um provedor que não esteja nessa lista. Isso envolverá a configuração de um app personalizado com seu provedor de identidade. Definir uma configuração SAML personalizada →
*Se quiser usar o Google SAML SSO, você precisará definir uma configuração SAML personalizada. Saiba mais sobre o Google SAML SSO →
3. Ativar o SAML SSO no Figma
Em seguida, você precisará configurar o SAML SSO no Figma. Isso vai:
- Ativar o SAML SSO para sua organização
- Conectar seu provedor de identidade à sua conta Figma
- Permitir que você escolha quais métodos os membros podem usar para fazer login
Você precisará decidir se o login via SAML SSO é obrigatório ou se os usuários ainda podem fazer login via endereço de e-mail e senha. Recomendamos que você permita o login por qualquer método durante o processo de configuração.
Se você quiser configurar o Google SSO, todos os usuários deverão fazer login por meio do Google SSO. Não há como tornar isso opcional ou habilitá-lo apenas para alguns usuários. Definir login ou método de autenticação →
4. Configurar o SAML SSO no seu provedor de identidade
Conclua o restante do processo de configuração com seu provedor de identidade.
- SAML SSO com Okta
- SAML SSO com Microsoft Entra ID
- SAML SSO com OneLogin
- SAML SSO para ADFS
- Definir uma configuração SAML personalizada
Observação: além do nome de usuário ou nameid, o Figma oferece suporte a quatro atributos em uma asserção SAML, givenName, familyName, displayName e title. O Figma ignorará quaisquer atributos adicionais.
5. Configurar o provisionamento do SCIM (opcional)
Todas as configurações de SAML SSO têm suporte para "Just In Time" (JIT) ou provisionamento manual. O provisionamento JIT permite que o Figma crie e atualize usuários no Figma.
- Quando um usuário é criado, o Figma usa informações dos quatro atributos com suporte na resposta SAML do provedor de identidade.
- Quando um usuário é atualizado no provedor de identidade, as alterações são aplicadas quando o usuário faz o próximo login.
Você pode escolher habilitar o provisionamento automático via SCIM. O SCIM envia as alterações imediatamente e permite importar e desativar usuários.
- Provedores de identidade compatíveis: você pode habilitar o provisionamento via SCIM. Incluímos instruções para configurar o provisionamento automático via SCIM no artigo de cada provedor.
- Configuração SAML personalizada: você pode configurar o SCIM com o provedor de identidade escolhido. Saiba mais sobre como definir uma configuração SCIM personalizada →
No plano de organização, não é possível atribuir o tipo de licença de uma pessoa fora do Figma. O Figma fornece a todos que se juntam à organização uma licença introdutória de visualizador. Saiba mais sobre licenças gratuitas e pagas no Figma →
No plano empresarial, você pode definir as licenças dos membros por meio do SCIM. Isso permite definir as licenças do Figma Design e do FigJam de uma pessoa antes que ela entre na organização. Se você definir o tipo de licença de um membro via SCIM, o Figma ignorará as configurações do tipo de licença padrão da organização.
Precisa fazer alterações nas suas configurações de SSO SAML? Você pode editar as configurações a qualquer momento.
6. Informar seus usuários sobre a mudança
Na primeira vez que um usuário fizer login no Figma usando o SSO, ou depois de ser provisionado via SCIM, ele receberá um e-mail de verificação da SendGrid. Esse e-mail contém um pin exclusivo de 6 dígitos, que será usado apenas uma vez como medida de segurança adicional durante o login inicial.
Para garantir que os usuários não confundam o e-mail com spam ou com uma tentativa de phishing, convém informá-los antecipadamente sobre essa etapa extra.