Segurança e Autenticação

O Waizer oferece controles de segurança robustos para garantir que o acesso aos dados analíticos da sua organização permaneça restrito exclusivamente a usuários autorizados. Esta seção compreende as diretrizes de autenticação, provisionamento de SSO empresarial (Single Sign-On) e políticas de governança disponíveis para administradores.

Protocolos de Autenticação Disponíveis

Cada usuário pode realizar a autenticação na plataforma utilizando os seguintes métodos:

Método de Acesso	Escopo Técnico
E-mail e Senha	Autenticação tradicional via banco de dados com verificação de identidade obrigatória.
Google	Provedor de identidade federado via protocolo OAuth 2.0.
Microsoft	Integração direta via conta corporativa Microsoft / Azure AD (OAuth 2.0).
SAML	Autenticação Single Sign-On (SSO) empresarial integrada ao seu provedor de identidade (IdP).

Verificação de Identidade (E-mail)

Todo cadastro inicial realizado via e-mail e senha exige uma validação de segurança antes do primeiro acesso à interface. O link de confirmação é disparado automaticamente para a caixa de entrada do usuário e possui janela de expiração de 24 horas.

Caso o token contido no e-mail expire, o profissional deverá solicitar um novo envio diretamente na tela de login da plataforma.

SSO via Google ou Microsoft (OAuth)

Para organizações que operam sob os ecossistemas Google Workspace ou Microsoft 365, o login centralizado via OAuth desponta como a arquitetura de SSO mais ágil. Os colaboradores autenticam-se no Waizer utilizando suas credenciais corporativas vigentes, eliminando a necessidade de gerenciar senhas adicionais.

Como Forçar o SSO via Provedor

Acesse Configurações da organização → Segurança.
Ative a chave seletora Forçar SSO.
Selecione o provedor de identidade correspondente (Google ou Microsoft).

Bloqueio de Acesso Tradicional

Com o SSO forçado ativo, o Waizer bloqueará tentativas de login por e-mail e senha tradicionais para todos os usuários da organização. Apenas conexões validadas pelo provedor selecionado serão aceitas.

SAML (SSO Empresarial 2.0)

O protocolo SAML permite acoplar a camada de autenticação do Waizer diretamente aos Provedores de Identidade (IdPs) corporativos compatíveis com SAML 2.0. Os provedores homologados e suportados oficialmente pela engenharia do Waizer são Okta e Azure AD (Entra ID).

A arquitetura exige a troca mútua de metadados criptográficos entre o Waizer e o seu IdP, executada em duas etapas estruturadas:

Passo 1: Registrar o Waizer no seu Provedor de Identidade (IdP)

Insira as URLs e parâmetros do Waizer dentro das configurações de aplicativo do seu provedor corporativo:

Campo do IdP	Endpoint de Destino no Waizer
Identifier (Entity ID)	`https://app.waizer.ai/saml/{org_id}`
Assertion Consumer Service (ACS) URL	`https://api.analyzer.whitewall.dev/auth/saml/acs`
Single Sign-On URL	`https://api.analyzer.whitewall.dev/auth/saml/{org_id}/login`
Single Logout Service (SLS) URL	`https://api.analyzer.whitewall.dev/auth/saml/sls`

Variável de Escopo

O parâmetro {org_id} representa o identificador alfanumérico exclusivo da sua organização. Para mitigar erros de digitação, copie as URLs completas e preenchidas diretamente na sua tela de Configurações → Segurança → SAML.

Passo 2: Inserir os Metadados do IdP no Waizer

Após concluir o registro do Waizer no painel do seu IdP, colete as chaves geradas por ele e preencha-as na interface do Waizer:

Parâmetro Requerido	Obrigatório	Descrição Técnica
Entity ID	✓	Identificador exclusivo do seu Provedor de Identidade.
SSO URL	✓	URL de redirecionamento para o endpoint de login SAML do IdP.
Certificado X.509	✓	Chave pública do IdP para validação das assinaturas (formatos `.cer` ou `.pem`).
Logout URL	—	URL para encerramento de sessão de forma centralizada e síncrona.

Localização do Certificado no Azure AD / Entra ID

No portal de administração do Azure, acesse as propriedades do aplicativo SAML criado e clique na guia SAML Signing Certificate. Realize o download do arquivo sob a opção Certificate (Base64) — este é o arquivo X.509 bruto que deve ser aberto e colado no Waizer.

Restrição por Domínios Autorizados

Para blindar o perímetro de acesso, configure ao menos um domínio corporativo autorizado (ex: empresa.com.br). O Waizer rejeitará tentativas de autenticação SAML originadas de e-mails fora dos domínios cadastrados. É permitido anexar múltiplos domínios caso a sua empresa opere com subdomínios ou marcas associadas.

Homologação e Teste de Conexão

Concluído o preenchimento dos campos, clique em Testar conexão antes de virar a chave de ativação definitiva. Esta rotina executa uma simulação pontual do fluxo de autenticação sem indisponibilizar a plataforma para o restante do time operacional.

Plano de Migração Seguro

A ativação do SAML transfere o controle total de acessos para o seu IdP. Qualquer colaborador que não esteja previamente provisionado no grupo do aplicativo dentro do IdP perderá o acesso instantaneamente. Antes de ativar a chave geral:

Execute a validação pontual utilizando uma conta de homologação (teste);
Mapeie se todos os membros ativos na organização já constam na base do IdP;
Preserve ao menos um perfil de Admin com credencial de acesso direto ativa como contingência durante a janela de migração.

Imposição de SSO Global

Uma vez configurado e validado o modelo de Single Sign-On (seja via OAuth federado ou SAML 2.0), você pode determinar que o uso deste canal seja mandatório para 100% dos integrantes da conta corporativa.

Navegue até Configurações → Segurança.
Ative o parâmetro Forçar SSO.

A partir desta ação, requisições de login por e-mail/senha comuns ou por provedores paralelos não mapeados serão sumariamente rejeitadas nos servidores de autenticação do Waizer.

Governança de Desligamentos

A imposição de SSO mitiga o risco de vazamento de dados por credenciais órfãs. Quando a equipe de TI desativa ou desprovisiona a conta de um colaborador no IdP central da empresa, o acesso dele ao ambiente analítico do Waizer é bloqueado em tempo real, sem necessidade de intervenção manual no painel da plataforma.

Rotina de Redefinição de Senha

Usuários que operam sob o modelo de e-mail e senha tradicionais podem iniciar a recuperação de acesso acionando a opção Esqueci minha senha na tela inicial de login. O Waizer disparará um token criptográfico temporário via e-mail para a conta correspondente.

Políticas de Privacidade

Por questões de segurança e privacidade arquitetural, os administradores da organização não possuem visibilidade sobre as senhas criptografadas dos membros da equipe e não têm permissão para redefini-las ou alterá-las de forma remota em nome de terceiros.

Práticas Recomendadas de Segurança

Centralize via SSO: Mantenha a política de SSO ativada em modo mandatório para herdar os ciclos de expiração de senha e políticas de duplo fator (MFA) adotadas pela sua companhia;
Redundância Administrativa: Garanta que a sua organização possua sempre pelo menos dois administradores configurados com dados atualizados para mitigar cenários de bloqueio de conta;
Auditoria de Escopo de Membros: Revise a listagem de usuários ativos mensalmente e expurgue perfis de colaboradores que mudaram de squad ou foram desligados da empresa;
Saneamento de Tokens: Invalide chaves e tokens de integração que não apresentem uso volumétrico nos servidores (consulte as regras em Chaves de API);
Ciclo de Vida de Certificados: Mapeie as datas de expiração das chaves X.509 no seu IdP corporativo e configure alertas de renovação para evitar a queda súbita do fluxo de login SAML.

Protocolos de Autenticação Disponíveis​

Verificação de Identidade (E-mail)​

SSO via Google ou Microsoft (OAuth)​

Como Forçar o SSO via Provedor​

SAML (SSO Empresarial 2.0)​

Passo 1: Registrar o Waizer no seu Provedor de Identidade (IdP)​

Passo 2: Inserir os Metadados do IdP no Waizer​

Restrição por Domínios Autorizados​

Homologação e Teste de Conexão​

Imposição de SSO Global​

Rotina de Redefinição de Senha​

Práticas Recomendadas de Segurança​