# SSO e login

### Quando usar

* Login em loop.
* SSO retorna erro após autenticar no IdP.
* Usuário autentica, mas não tem acesso ao projeto.

### Checklist rápido (2 min)

1. Teste em aba anônima.
2. Limpe cookies do domínio.
3. Confirme que o usuário está no tenant/organização correta.

### Diagnóstico

#### 1) Permissões vs autenticação

* **Autenticou** mas não vê recursos: costuma ser permissão/grupo.
* **Não autenticou**: costuma ser configuração SSO/callback.

#### 2) Callback e redirect URI

* Confirme se o `redirect/callback URL` do IdP bate exatamente com o configurado.
* Cheque se há diferença de http/https ou domínio.

#### 3) Clock skew e expiração

* Tokens expiram rápido?
* Erros variam por usuário/máquina?

### Como resolver (padrões)

* **Loop**: limpar cookies e revisar domínio/callback.
* **403 após login**: ajustar grupos/roles e mapeamento de claims.
* **Erro só em um navegador**: extensão bloqueando cookies/3rd-party.

### Quando escalar

* Todos os usuários de uma org falham.
* Erro de callback repetível.
* Mudança recente em IdP (certificado/metadata) e quebra geral.

Antes de escalar, junte estas evidências. Isso reduz muito o ping-pong.

* Projeto e ambiente (Dev/Staging/Prod).
* Horário do erro (com timezone).
* Passos para reproduzir (curto e determinístico).
* Mensagem de erro completa (sem prints cortados).
* Screenshot da tela (se aplicável).
* Console do browser (erros e warnings relevantes).
* Aba **Network** (request que falhou + status + payload, se não houver dados sensíveis).

{% hint style="info" %}
Se existir um `requestId`, `traceId` ou link de execução, inclua também.
{% endhint %}