Pular para o conteúdo principal
O single sign-on (SSO) está disponível nos planos Business e Enterprise e permite autenticação centralizada e segura em toda a sua organização. Com SSO, os usuários podem acessar o Lovable com um único conjunto de credenciais, simplificando o gerenciamento de acesso e melhorando a segurança.
Login iniciado pelo Provedor de Serviço (SP) apenas: os usuários devem iniciar o login a partir do Lovable (SP).SSO iniciado pelo Provedor de Identidade (IdP) (ao iniciar a partir de um bloco no painel do IdP) não é compatível.

Protocolos de SSO compatíveis

Lovable oferece suporte aos protocolos OIDC e SAML 2.0, permitindo integração com todos os principais provedores de identidade (IdP), incluindo Okta, Auth0, Microsoft Entra ID (Azure AD) e outros.
  • OpenID Connect (OIDC): recomendado; uma camada de identidade moderna construída sobre o OAuth 2.0 que fornece verificação de identidade.
  • SAML (Security Assertion Markup Language) 2.0: protocolo baseado em XML para a troca de dados de autenticação e autorização, amplamente utilizado em ambientes corporativos.

Pré-requisitos

Para conectar seu provedor de identidade ao Lovable usando OIDC ou SAML, você precisa de:
  • Acesso de administrador ao IdP (Okta, Auth0, Microsoft Entra ID ou qualquer outro provedor que você estiver usando)
  • Papel de proprietário ou administrador da área de trabalho no Lovable
  • Um domínio verificado no Lovable

Iniciar a configuração de SSO no Lovable

A configuração de SSO é uma configuração bidirecional entre o Lovable e seu provedor de identidade:
  • Lovable → IdP: copie as URLs e configurações do Lovable para o aplicativo do seu IdP.
  • IdP → Lovable: copie o emissor, metadados e certificados do seu IdP de volta para o Lovable.
O proprietário ou administrador da área de trabalho pode configurar o SSO. Para começar, vá em Settings → Workspace → Identity → Add SSO provider e escolha OIDC ou SAML.

Referência de configuração do IdP

Quando você inicia a configuração do provedor de SSO no Lovable, verá:
  • O que configurar no seu IdP (por exemplo, tipo de aplicativo, escopos e mapeamentos de atributos)
  • URLs e identificadores do Lovable que talvez você precise inserir no IdP.
Use a referência abaixo ao configurar OIDC ou SAML no seu IdP.
  • Tipo de aplicação: Web Application
  • Tipo de concessão (grant type): Authorization Code
  • Método de envio do token: POST (se configurável)
  • URI de redirecionamento para copiar e adicionar ao seu IdP: https://auth.lovable.dev/__/auth/handler
  • Escopos OAuth:
    • Obrigatórios: openid, email
    • Recomendado: profile

Guias de configuração específicos do provedor

Se você usa Okta, Auth0 ou Microsoft Entra, pode encontrar documentação específica do provedor para configurar o SSO. Se você usa outro provedor, consulte Configurar outros provedores. Antes de começar, conclua Iniciar configuração de SSO no Lovable para obter as configurações e os valores que você precisa usar no seu IdP.

Configure Okta como seu provedor de SSO

1

Crie um aplicativo no Okta Admin Console

  • Em Applications, clique em Create App Integration e selecione OIDC. Em seguida, selecione o tipo de aplicação Web Application.
  • Dê um nome ao app, por exemplo Lovable OIDC SSO.
2

Configure a integração OIDC

  • Defina Grant type como Authorization Code.
  • Remova os URIs de redirecionamento padrão.
  • Adicione a URL de redirecionamento da Lovable no Okta em Sign-in redirect URIs: https://auth.lovable.dev/__/auth/handler
  • Em Assignments, atribua o aplicativo aos usuários/grupos que devem acessar a Lovable.
3

Salve o aplicativo

Clique em Save. Seu aplicativo foi criado no Okta.
4

Configure a Okta Issuer URL

No Okta, vá para Sign On → OpenID Connect ID Token, selecione Okta URL na lista suspensa Issuer e clique em Save.
5

Forneça à Lovable as informações do seu IdP

No Okta, copie o seguinte valor da aba Sign On e insira-o na Lovable.
  • Okta Issuer URL → Lovable OIDC Issuer URL/Discovery Endpoint
No Okta, copie os seguintes valores da aba General e insira-os na Lovable.
  • Okta Client ID → Lovable OAuth Client ID/Application ID
  • Okta Client Secret → Lovable OAuth Client Secret
6

(Opcional) Teste a configuração na Lovable

Na Lovable, clique em Test configuration. Se tudo estiver configurado corretamente, a validação deverá ser bem-sucedida.
7

Conclua a configuração do provedor OIDC na Lovable

Na Lovable, clique em Configure provider para concluir a configuração do Okta como seu provedor de SSO OIDC.

Configurar o Auth0 como seu provedor de SSO

1

Criar um aplicativo no painel de administração do Auth0

  • Em Applications, clique em Create application. Selecione o tipo de aplicativo Regular Web Applications.
  • Dê um nome ao app, por exemplo Lovable OIDC SSO.
  • Clique em Create.
2

Configurar Allowed Callback URLs

No Auth0, acesse as configurações do seu aplicativo, adicione as Allowed Callback URLs: https://auth.lovable.dev/__/auth/handler e clique em Save.
3

Fornecer à Lovable as informações do seu IdP

No Auth0, copie os valores a seguir na aba Settings e insira-os na Lovable.
  • Auth0 Domain → Lovable OIDC Issuer URL/Discovery Endpoint (inclua https://)
  • Auth0 Client ID → Lovable OAuth Client ID/Application ID
  • Auth0 Client Secret → Lovable OAuth Client Secret
4

(Opcional) Testar a configuração na Lovable

Na Lovable, clique em Test configuration. Se você tiver configurado tudo corretamente, a validação deverá ser bem-sucedida.
5

Concluir a configuração do provedor OIDC na Lovable

Na Lovable, clique em Configure provider para concluir a configuração do Auth0 como seu provedor de SSO via OIDC.

Configurar o Microsoft Entra ID como seu provedor de SSO

1

Criar um aplicativo corporativo no centro de administração do Microsoft Entra

  • Em Enterprise applications, selecione New application.
  • Selecione Create your own application e escolha Integrate any other application you don’t find in the gallery (Non-gallery).
  • Dê um nome ao app, por exemplo Lovable SAML SSO.
  • Clique em Create. Seu aplicativo será criado.
2

Configurar SAML SSO

No Microsoft Entra, acesse a página de configuração de Single sign-on e selecione SAML. Em Basic SAML Configuration, insira o seguinte:
  • Identifier (Entity ID): https://auth.lovable.dev/__/auth/handler
  • Reply URL (Assertion Consumer Service URL): https://auth.lovable.dev/__/auth/handler
Deixe os outros valores em branco e selecione Save.
3

Fornecer ao Lovable as informações do seu IdP

Quando o aplicativo estiver configurado, copie os seguintes valores e insira-os no Lovable.
  • Microsoft Entra Login URL → Lovable SAML SSO Sign-on URL from your IdP
  • Microsoft Entra Microsoft Entra Identifier → Lovable Identity Provider Entity ID / Issuer
  • Microsoft Entra X509Certificate → Lovable X.509 Signing Certificate (public key)
    Você pode baixar o certificado (Base 64) ou abrir a App Federation Metadata URL em uma nova guia e copiar o valor de X509Certificate. Cole o valor do certificado entre as linhas -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----.
4

Concluir a configuração do provedor SAML no Lovable

No Lovable, clique em Configure SAML Provider → Confirm & Enable SSO para concluir a configuração do Microsoft Entra ID como seu provedor de SAML SSO.

Configurar outros provedores

Você pode configurar qualquer provedor compatível com OIDC ou SAML com o SSO da Lovable. Antes de começar, conclua Iniciar configuração de SSO na Lovable para obter as configurações e valores que você precisa usar no seu IdP.
Mapeamento do provedorNomes de campos comuns entre provedores:
  • Redirect URI: Callback URL, Sign-in redirect URI
  • Issuer/Domain: Issuer URL, Authority, Okta domain, Auth0 domain, Tenant domain
  • Client credentials: Client ID e Client Secret
Etapas
1

Criar um aplicativo confidencial OIDC

Crie um novo aplicativo Web OIDC no seu provedor de identidade.
2

Configurar a Redirect URI

Em Redirect/Callback URLs, adicione https://auth.lovable.dev/__/auth/handler.
3

Ativar escopos obrigatórios

Certifique-se de que os escopos openid e email estejam habilitados e com consentimento concedido, se necessário.
4

Fornecer as informações do seu IdP para a Lovable

No seu IdP, copie os seguintes valores e insira-os na Lovable:
  • Domain ou Issuer URL → Lovable OIDC Issuer URL/Discovery Endpoint
  • Client ID → Lovable OAuth Client ID/Application ID
  • Client Secret → Lovable OAuth Client Secret

Solução de problemas

Certifique-se de que a URL de redirecionamento/callback corresponda exatamente a https://auth.lovable.dev/__/auth/handler no seu IdP.
Use a URL do emissor (Issuer) OIDC do provedor (não apenas o domínio).
  • Para Okta, copie na guia Sign-on
  • Para Auth0, use o domínio do seu tenant.
Conceda o escopo email e verifique se a conta do usuário tem um email principal.
Use Authorization Code com um cliente confidencial e client secret. Evite tipos de aplicativo implícitos ou somente PKCE.

Perguntas frequentes

Se você criou sua conta usando outro método de login (como email/senha, Google ou GitHub), você precisa fazer login dessa forma primeiro. Depois de entrar, vá até Settings → Your account → Link SSO. Isso vai vincular sua conta existente ao SSO da sua empresa.
Importante: Se você tentar fazer login com SSO antes de vincular sua conta existente, verá uma mensagem de erro. Isso é uma medida de segurança para evitar acesso não autorizado. Faça login usando seu método original primeiro para concluir o processo de vinculação.
O Lovable oferece suporte aos protocolos OIDC e SAML, que são padrões do setor, para que você possa integrar com qualquer provedor de SSO que os suporte.
Não. Uma área de trabalho pode ter apenas um provedor de SSO ativo configurado por vez.
Sim. O owner ou admin da área de trabalho pode ativar Enforce SSO em Settings → Workspace → Identity e escolher a session duration para configurar por quanto tempo os usuários permanecem conectados antes de exigir uma nova autenticação (24 horas, 48 horas ou 7 dias).Isso exige que todos os membros da área de trabalho usem SSO para autenticação. Colaboradores externos e links de convite serão desativados.
Não. IdP-initiated SSO (iniciado a partir de um bloco/ícone no painel do IdP) não é compatível.O Lovable oferece suporte apenas a SP-initiated sign-in. Os usuários devem iniciar o login a partir do Lovable.
O Lovable oferece suporte a provisionamento JIT (just-in-time): as contas de usuário são criadas automaticamente na primeira vez que alguém faz login via SSO, e são adicionadas à área de trabalho da sua empresa.Você também pode definir uma função padrão para usuários criados via JIT (admin, editor ou viewer), que será aplicada quando eles entrarem via SSO pela primeira vez.
Seu tenant ID é o valor {tenantId} usado na sua SSO login URL:
https://lovable.dev/sso-login/{tenantId}. Ele corresponde ao SSO login identifier que você definiu ao configurar seu provedor de SSO no Lovable.Você também pode encontrá-lo em Settings → Workspace → Identity depois de configurar seu provedor.