Histórico da Página
Além da autenticação padrão utilizando o usuário do ERP, também é possível configurar o Meu RH para autenticar com o provedor de identidade TOTVS Identity. O TOTVS Identity foi criado para permitir o gerenciamento centralizado de login e senha de acesso dos usuários aos sistemas da sua empresa. Dessa maneira, você simplifica o processo e facilita a gestão de acesso aos recursos digitais da companhia. Com um único login e senha, o usuário terá acesso aos diferentes sistemas, sem precisar cadastrar dezenas de senhas diferentes.Azure Active Directory utilizando o protocolo OAUTH2.
OBS: A autenticação utilizando TOTVS Identity Oauth2 estará disponível a partir da release 12.1.34 33 e apenas para a linha RM.
1 - Criando o aplicativo no TOTVS Identity
Dentro da aplicação do TOTVS Identity, selecione a opção Aplicativos e clique no botão "Novo aplicativo" e selecione a opção "Padrão"
1.1 - Aba Visão Geral
Na aba de "Visão geral" estão as informações gerais sobre o aplicativo:
Nome da Aplicação: Nome do aplicativo que será exibido na tela de autenticação do TOTVS Identity
Descrição: Breve descrição do aplicativo
Categoria: Tipo de aplicativo
Navegável: Indica se o aplicativo estará visível no Launchpad
Trocar Logo: Imagem que será exibida na tela de autenticação do TOTVS Identity
Habilitar Segurança OAuth 2.0: Deixar desmarcado
A tela de autenticação do TOTVS Identity será exibida da seguinte forma:
Após preencher todas as informações da aba, clicar em "Salvar"
1.2 - Aba "Entrar"
Na aba de "Entrar" estão as informações de configuração do aplicativo:
Modo de Login: SAML
Tipo Inic SSO: IDP_INITIATED
ID da Entidade Específica do Domínio: Deixar desmarcado
URL Completa: Deixar desmarcado
Domínio: Deixar em branco
Formato do Name ID: Endereço de Email
Assinatura do Response: Deixar marcado
Resposta Criptografia: Deixar desmarcado
Assinatura do Assertion: Deixar marcado
URL do Consumidor de Asserções: o formato da URL deve ser escrita da seguinte maneira → http(s)://{{IP da máquina onde exista serviço de host configurada}}:{{HttpPort configurada}}/RMCloudPass/SSOSaml2?ProviderId{{Número do Id do provider cadastrado no ERP}}
Destinatário: o formato da URL deve ser escrita da seguinte maneira → http(s)://{{IP da máquina onde exista serviço de host configurada}}:{{HttpPort configurada}}/RMCloudPass/SSOSaml2?ProviderId={{Número do Id do provider cadastrado no ERP}}
OBS: O número que deve ser passado no parâmetro ProviderId é o mesmo Id cadastrado para o provider dentro do ERP. Exemplo de URL: http://192.168.1.140:8051/RMCloudPass/SSOSaml2?ProviderId=12
Público: TOTVS
Nome do Emissor SP: TOTVS
Mapeamento ID de Usuário: E-mail do Usuário
Usar URL de Acesso Direto ao Aplicativo: Deixar marcado
Autenticação Externa: Deixar desmarcado
Sincronizar login SAML com e-mail do AD: Deixar desmarcado
Após preencher todas as informações da aba, clicar em "Salvar"
1.3 - Aba "Provisionar"
Na aba de "Provisionar" estão as informações de provisionamento do aplicativo:
Habilitar Provisionamento: Deixar desmarcado
Após preencher todas as informações da aba, clicar em "Salvar"
2 - Configurando o ERP
Além da criação do aplicativo dentro do TOTVS Identity, também é necessário parametrizar algumas informações dentro do ERP.
2.1 - Permissionamento
Para habilitar o menu de configuração de aplicativos SAML dentro do ERP, é necessário primeiro habilitar as seguintes permissões de menu:
06.06.08 - Aplicativos SAML
06.06.08.01 - Inserir aplicativo SAML
06.06.08.02 - Remover aplicativo SAML
06.06.08.03 - Editar aplicativo SAML
2.2 - Criação do aplicativo
Para realizar as parametrizações do aplicativo, acesse o menu Serviços Globais >> Gestão >> Aplicativos SAML e selecione para criar um novo registro:
Devem ser preenchidas as seguintes informações:
Ativo: Indica se o provider estará habilitado para ser utilizado, deverá ser marcado.
Nome do Provider: Nome de identificação do provider.
Url de Retorno: Url que será redirecionada após a autenticação dentro do TOTVS Identity. A Url será a de acesso do portal do Meu RH, com o final /#/login
RelayState: Não precisa ser preenchido.
Url de login do provider: Deve ser preenchido com a Url presente no campo "URL de acesso direto" na aba "Entrar" dentro do aplicativo criado no TOTVS Identity
Url de logout do provider: Deve ser preenchido com a Url presente no campo "URL de logout direto" na aba "Entrar" dentro do aplicativo criado no TOTVS Identity
Metadados: Deve ser preenchido com o certificado que está cadastrado para o aplicativo criado no TOTVS Identity. Para realizar o download desse certificado, acessar a aba "Entrar" no aplicativo criado no TOTVS Identity e clicar na opção Baixar metadados do IDP. Como é um arquivo XML, o valor que deve ser inserido está entre as chaves <ds:X509Certificate></ds:X509Certificate>
Após o cadastro, será gerado um Id para o aplicativo que vai ser utilizado nas configurações dos tópicos 1.2 e 3.1:
2.2 - Associando o usuário ao e-mail do TOTVS Identity
Para que o usuário consiga se autenticar no Meu RH através do TOTVS Identity é necessário que ele tenha o mesmo e-mail cadastrado dentro do ERP. Para isso, acesse o menu Serviços Globais >> Segurança >> Usuários
Selecione o usuário e abra para edição. No campo "Email" deve estar cadastrado o e-mail de acesso do TOTVS Identity para aquele usuário:
3 - Configurando o Meu RH
Por fim, é necessário também configurar a parte do Meu RH. Só é possível utilizar apenas um provider ativo para o Meu RH, ou seja, mesmo que existam mais aplicativos ativos, apenas o especificado no arquivo Web.config será considerado
3.1 - Alterando o Web.config
Para habilitar o uso do aplicativo configurado no tópico 2.2 dentro do Meu RH, é necessário adicionar a tag <add key="SamlProviderIdMyHr" value="id" /> no arquivo Web.config da pasta FrameHTML na seção <appSettings>, substituindo o "id" pelo Id cadastrado no aplicativo dentro do ERP. Por exemplo, no tópico anterior cadastramos um aplicativo cujo Id é 13, então a chave ficaria dessa forma <add key="SamlProviderIdMyHr" value="13" />
3.2 - Formas de acesso
3.2.1 - Portal
Através do portal existem duas formas de acesso, utilizando o LaunchPad do TOTVS Identity ou autenticando pela tela de login do TOTVS Identity que redireciona diretamente para o Portal Meu RH. Através do Launchpad, basta se logar na plataforma do TOTVS Identity, selecionar o menu Launchpad e clicar no ícone do aplicativo criado:
A outra forma é utilizar a própria Url já configurada para o portal Meu RH, onde o usuário será redirecionado para a tela de login com o botão indicando o login via TOTVS Identity:
Após clicar no botão, o usuário será redirecionado para a tela de login do TOTVS Identity, ou caso já esteja logado no TOTVS Identity será redirecionado para a home do Meu RH
3.2.2 - Aplicativo
No aplicativo, quando o ambiente estiver configurado com o TOTVS Identity a tela de login irá ser apresentada com o botão de acesso ao TOTVS Identity :
Ao clicar no botão, o usuário será redirecionado para a tela de autenticação do TOTVS Identity:
Para a integração Oauth2, é necessário que a configuração de utilização de TOKEN esteja ativada na linha RM.
Maiores informações no documento de referencia .: Como utilizar a autenticação por token no Meu RH da linha RM?
1 - Realizar configurações já previstas para linha RM na documentação https://tdn.totvs.com/pages/releaseview.action?pageId=651942057
2 - Para funcionamento dos serviços no Portal MeuRH serão necessárias mais algumas configurações conforme previstas abaixo.
Acessar https://portal.azure.com/
Todos os Serviços
Em seguida selecionar, identidade no menu lateral esquerdo e clicar em “Active Directory do Azure”
Considerando as configurações previas realizadas, utilizaremos o mesmo Registro de Aplicativo já criado.
Em seguida clique no aplicativo já existente.
A seguinte tela será exibida, clicamos então no menu “Autenticação”.
Em seguida clicar em “Adicionar uma plataforma” e selecionar a configuração “Aplicativo de pagina única”
Nesta etapa será necessário definir o URI de redirecionamento.
Exemplo .:
MeuRh: http://localhost:8089/web/app/RH/PortalMeuRH
** http://{servidor}:{porta}/web/app/RH/PortalMeuRH
A URI será apresentada
Finalizada da configuração.
3 - Considerações
3.1 - Usuário de RM deve estar com o mesmo e-mail utilizado para login Azure.
3.2 -Configuração adicional do Azure
Acrescentar e-mail conforme abaixo.
3.3 - Imagem de exibição de Aplicativos Externos
Inativar Login através de Usuário e Senha do Portal.
Caso o cliente queira deixar ativo somente o Login através do Provedor será necessário acrescentar a TAG <add key="ForceOauthLogin" value="true" /> no arquivo Web.config
Customização do nome exibido no Botão de Login
Para alterar o default "Azure AD", basta acessar o cadastro do provedor cadastrado, selecionar "Anexos", "Customização do Aplicativo Externo"
No campo Texto informe o nome desejado para apresentação.
App Meu RH
Necessário que as configurações previstas em etapas anteriores estejam de acordo.
Automaticamente ao acessar o APP MeuRH o aplicativo ira identificar a existência de provedor de autenticação e apresentara as opções.
Após a autenticação, a home será exibida.
Visão Geral
Import HTML Content
Conteúdo das Ferramentas
Tarefas