Suporte e atendimento

Este procedimento deve ser executado por um administrador do Microsoft Entra ID, antigo Azure AD, da empresa.

O objetivo é criar uma aplicação no Microsoft Entra para permitir que os usuários acessem a plataforma usando a conta corporativa Microsoft.

1. Acessar o Microsoft Entra Admin Center

Acesse o portal administrativo da Microsoft:

Microsoft Entra Admin Center

Entre com uma conta administradora da empresa.

O usuário precisa ter uma das permissões abaixo:

• Global Administrator
• Application Administrator
• Cloud Application Administrator

2. Criar o registro da aplicação

No menu lateral, acesse:

1. Applications
2. App registrations
3. New registration

Name

Informe um nome para identificar a aplicação.

Exemplos:

B2 App SSO

ou

B2 Mídia - SSO

Supported account types

Selecione a opção:

Accounts in this organizational directory only

Em português, normalmente aparece como:

Contas somente neste diretório organizacional

Essa opção limita o login aos usuários da própria empresa.

Redirect URI

Selecione o tipo:

Web

Informe a URL de redirecionamento fornecida pelo time de suporte da B2 Mídia.

Exemplo:

https://admin.worksphere.com.br/oauth2/{slug-da-empresa}

Obs.: Para obter o slug-da-empresa, entre em contato com o time de suporte da B2 Mídia.

Depois clique em Register.

3. Copiar os identificadores da aplicação

Após criar a aplicação, acesse a tela Overview.

Copie os seguintes dados:

• Application (client) ID
• Directory (tenant) ID

Essas informações deverão ser enviadas para a equipe responsável pela configuração da plataforma, em caso de dúvida sobre para quem enviar, entre em contato com o time de suporte da B2 Mídia. 

4. Criar o Client Secret

No menu da aplicação, acesse:

1. Certificates & secrets
2. Client secrets
3. New client secret

Description

Informe uma descrição para identificar o secret.

Exemplo:

B2 App SSO Secret

Expires

Escolha o prazo de expiração conforme a política interna da empresa.

Sugestão:

24 months

Depois clique em Add.

Envie para a equipe responsável pela configuração da plataforma o valor do campo:

Client secret value

Importante: não envie o campo Secret ID. A plataforma precisa do campo Value.

5. Configurar permissões da Microsoft Graph API

No menu da aplicação, acesse:

1. API permissions
2. Add a permission
3. Microsoft Graph
4. Delegated permissions

Permissões mínimas para login SSO

Adicione as permissões abaixo:

• openid
• profile
• email
• User.Read

Essas permissões permitem autenticar o usuário e consultar dados básicos do perfil logado, como nome, e-mail e identificador.

6. Permissões adicionais para sincronização de usuários e grupos

Para garantir a sincronização automática de dados do Microsoft Entra ID, também será necessário liberar permissões adicionais.

Adicione obrigatoriamente:

• User.Read.All — permite ler dados dos usuários da organização.

Adicione opcionalmente:

• Group.Read.All — permite ler informações dos grupos.
• GroupMember.Read.All — permite ler os membros dos grupos.

Essas permissões são necessárias quando a plataforma precisa sincronizar dados como:

• Nome
• E-mail
• Cargo
• Departamento
• Telefone
• Localização
• Grupos do usuário

7. Conceder consentimento administrativo

Após adicionar as permissões, clique em:

Grant admin consent for <nome da empresa>

Depois confirme em:

Yes

Esse passo é obrigatório quando a política da empresa exige aprovação administrativa para uso das permissões.

Se o consentimento administrativo não for concedido, o usuário pode receber erro ao tentar autenticar ou a aplicação pode não conseguir consultar os dados necessários no Microsoft Graph.

8. Conferir a Redirect URI

No menu da aplicação, acesse:

1. Authentication

Confirme se existe uma plataforma do tipo Web e se a Redirect URI está cadastrada corretamente.

Exemplo:

https://admin.worksphere.com.br/oauth2/{slug-da-empresa}

A URL precisa ser exatamente igual à URL utilizada pela aplicação.

Atenção aos detalhes:

• http é diferente de https
• /oauth2/empresa é diferente de /oauth2/empresa/
• Letras maiúsculas e minúsculas podem causar diferença
• O slug da empresa precisa ser o mesmo configurado na plataforma

9. Dados que devem ser enviados para o time B2 Mídia responsável pela configuração da plataforma

Após finalizar a configuração, envie os seguintes dados:

• Application (client) ID
• Directory (tenant) ID
• Client secret value
• Domínio corporativo
• Redirect URI cadastrada
• Permissões concedidas

Modelo para envio:

Application (client) ID:
Directory (tenant) ID:
Client secret value:
Domínio corporativo:
Redirect URI cadastrada:
Permissões concedidas:

Exemplo:

Application (client) ID: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Directory (tenant) ID: yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy
Client secret value: 6s_5R~jmPGtK3aLxV-jDphorTx6812j7zAjX2eh4
Domínio corporativo: empresa.com.br
Redirect URI cadastrada: https://admin.worksphere.com.br/oauth2/{slug-da-empresa}
Permissões concedidas: openid, profile, email, User.Read, User.Read.All, Group.Read.All, GroupMember.Read.All

10. Teste de login

Para validar a integração, recomendamos a criação de um usuário de teste. Esse usuário será utilizado pela equipe B2 Mídia responsável pela configuração da aplicação para realizar o primeiro acesso, confirmar se o login via SSO Microsoft está funcionando corretamente e apoiar futuras validações ou testes em caso de incidentes.