O GLPI suporta login com Azure AD?

Sim. Via protocolo SAML, o GLPI pode autenticar usuários diretamente pelo Microsoft Entra ID (antigo Azure AD), incluindo provisionamento automático (JIT) na primeira autenticação.

Preciso de plugin para SSO no GLPI?

No GLPI 10, é necessário o plugin PHP SAML. No GLPI 11, verifique a documentação oficial para suporte nativo ou use o plugin compatível.

O SSO funciona com MFA (autenticação multifator)?

Sim. O MFA é gerenciado pelo Azure AD. O GLPI recebe apenas a confirmação de autenticação bem-sucedida, independente dos fatores usados.

Os usuários são criados automaticamente no GLPI?

Sim, via provisionamento Just-in-Time (JIT). Na primeira autenticação, o GLPI cria o usuário automaticamente com os dados do Azure AD (nome, email, grupos).

Login SSO no GLPI com Azure AD (Entra ID): Guia Completo

Single Sign-On elimina a necessidade de senhas separadas para o GLPI. Seus usuários fazem login com a conta corporativa do Microsoft 365, com MFA e todas as políticas de segurança do Azure AD.

Por que SSO para o GLPI

Elimina senhas locais no GLPI (menos superfície de ataque)
Usuários fazem login com a mesma credencial do Microsoft 365
MFA gerenciado centralmente pelo Azure AD
Provisionamento automático: novo funcionário no AD = acesso ao GLPI
Desligamento centralizado: desativar no AD = sem acesso ao GLPI

Pré-requisitos

GLPI 10.0.14+ ou GLPI 11
Tenant Microsoft Entra ID (Azure AD) com permissão de administrador
GLPI acessível via HTTPS (SSL obrigatório para SAML)
Plugin PHP SAML instalado no GLPI (para GLPI 10)

1. Configurar o Azure AD

Criar a aplicação enterprise

No portal Azure, acesse Entra ID > Enterprise Applications > New Application
Clique em "Create your own application"
Nome: "GLPI" > Integrate any other application (Non-gallery)
Em Single sign-on, selecione "SAML"

Configurar URLs SAML

Identifier (Entity ID): https://glpi.suaempresa.com/
Reply URL (ACS): https://glpi.suaempresa.com/front/acs.php
Sign-on URL: https://glpi.suaempresa.com/

Atributos e Claims

Configure os seguintes claims SAML:

name: user.displayname
emailaddress: user.mail
firstname: user.givenname
surname: user.surname

Baixar o certificado

Na seção "SAML Signing Certificate", baixe o certificado Base64 e o Federation Metadata XML.

2. Configurar o GLPI

Instalar o plugin PHP SAML

Baixe o plugin compatível com sua versão do GLPI e instale em /var/www/glpi/plugins/phpsaml/.

Configurar o plugin

Em Configuração > Plugins > PHP SAML, insira:

IdP Entity ID: valor do Azure (Login URL)
IdP SSO URL: Login URL do Azure
IdP Certificate: conteúdo do certificado Base64 baixado
JIT Provisioning: Habilitado

3. Atribuir usuários e grupos

No Azure AD, em Enterprise Applications > GLPI > Users and Groups, atribua os usuários ou grupos que terão acesso ao GLPI.

4. Testar

Acesse https://glpi.suaempresa.com. O botão de login SSO deve aparecer. Ao clicar, o usuário é redirecionado para o login do Microsoft 365.

Troubleshooting

Erro de certificado: verifique se o certificado no GLPI corresponde ao do Azure
Usuário não criado: verifique se JIT está habilitado e os claims estão configurados corretamente
Loop de redirect: verifique se a Reply URL está correta e sem barra final extra

Próximo passo

Com SSO configurado, avance com perfis e permissões para controlar o que cada grupo do AD pode fazer no GLPI.

Nextool Solutions

Por que SSO para o GLPI

Pré-requisitos