01
1. Colete a metadata do IdP
- SAML: entity id, URL SSO, cert X.509 PEM base64. Pegue na UI admin do seu IdP (Okta, Azure AD, Google Workspace).
- OIDC: URL do issuer, client id, client secret. O client secret é write-only na nossa API: guarde o original num vault.
- Opcional: escolha um enforced_domain (ex: acme.com) para que logins desse domínio sejam obrigados a usar SSO.
02
2. Salve e verifique
- Abra /settings/sso → escolha o protocolo → cole os campos → Salvar. A página retorna o fingerprint armazenado para você conferir o cert.
- Estado hoje é só armazenamento de metadata: o fluxo real de login SAML / OIDC é uma wave separada (ver conceito SSO).
- Desabilitar: clique em Remover. O endpoint não é plan-gated, então um tenant downgradado pode derrubar mesmo assim.