O GLPI suporta login com Azure AD?

Sim. Via protocolo SAML, o GLPI pode autenticar utilizadores diretamente pelo Microsoft Entra ID (antigo Azure AD), incluindo provisionamento automático (JIT) na primeira autenticação.

Preciso de plugin para SSO no GLPI?

No GLPI 10, é necessário o plugin PHP SAML. No GLPI 11, consulte a documentação oficial para suporte nativo ou utilize o plugin compatível.

O SSO funciona com MFA (autenticação multifator)?

Sim. O MFA é gerido pelo Azure AD. O GLPI recebe apenas a confirmação de autenticação bem-sucedida, independentemente dos fatores utilizados.

Os utilizadores são criados automaticamente no GLPI?

Sim, via provisionamento Just-in-Time (JIT). Na primeira autenticação, o GLPI cria o utilizador automaticamente com os dados do Azure AD (nome, email, grupos).

Login SSO no GLPI com Azure AD (Entra ID): Guia Completo

Single Sign-On elimina a necessidade de palavras-passe separadas para o GLPI. Os seus utilizadores iniciam sessão com a conta corporativa do Microsoft 365, com MFA e todas as políticas de segurança do Azure AD.

Por que SSO para o GLPI

Elimina palavras-passe locais no GLPI (menor superfície de ataque)
Os utilizadores iniciam sessão com as mesmas credenciais do Microsoft 365
MFA gerido centralmente pelo Azure AD
Provisionamento automático: novo colaborador no AD = acesso ao GLPI
Desativação centralizada: desativar no AD = sem acesso ao GLPI

Pré-requisitos

GLPI 10.0.14+ ou GLPI 11
Tenant Microsoft Entra ID (Azure AD) com permissão de administrador
GLPI acessível via HTTPS (SSL obrigatório para SAML)
Plugin PHP SAML instalado no GLPI (para GLPI 10)

1. Configurar o Azure AD

Criar a aplicação empresarial

No portal Azure, aceda a Entra ID > Enterprise Applications > New Application
Clique em "Create your own application"
Nome: "GLPI" > Integrate any other application (Non-gallery)
Em Single sign-on, selecione "SAML"

Configurar URLs SAML

Identifier (Entity ID): https://glpi.suaempresa.com/
Reply URL (ACS): https://glpi.suaempresa.com/front/acs.php
Sign-on URL: https://glpi.suaempresa.com/

Atributos e Claims

Configure os seguintes claims SAML:

name: user.displayname
emailaddress: user.mail
firstname: user.givenname
surname: user.surname

Transferir o certificado

Na secção "SAML Signing Certificate", transfira o certificado Base64 e o Federation Metadata XML.

2. Configurar o GLPI

Instalar o plugin PHP SAML

Transfira o plugin compatível com a sua versão do GLPI e instale-o em /var/www/glpi/plugins/phpsaml/.

Configurar o plugin

Em Configuração > Plugins > PHP SAML, introduza:

IdP Entity ID: valor do Azure (Login URL)
IdP SSO URL: Login URL do Azure
IdP Certificate: conteúdo do certificado Base64 transferido
JIT Provisioning: Ativado

3. Atribuir utilizadores e grupos

No Azure AD, em Enterprise Applications > GLPI > Users and Groups, atribua os utilizadores ou grupos que terão acesso ao GLPI.

4. Testar

Aceda a https://glpi.suaempresa.com. O botão de início de sessão SSO deve aparecer. Ao clicar, o utilizador é redirecionado para o login do Microsoft 365.

Resolução de problemas

Erro de certificado: verifique se o certificado no GLPI corresponde ao do Azure
Utilizador não criado: verifique se o JIT está ativado e se os claims estão corretamente configurados
Ciclo de redirecionamento: verifique se a Reply URL está correta e sem barra final extra

Próximo passo

Com o SSO configurado, avance para perfis e permissões para controlar o que cada grupo do AD pode fazer no GLPI.

Nextool Solutions

Por que SSO para o GLPI

Pré-requisitos