Árvore de páginas

Versões comparadas

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.
Informações
iconfalse
titleÍndice

Índice

Objetivo

...

Configurar os parâmetros de acesso dos usuários no produto Datasul.


Visão Geral

...

As propriedades destinadas ao acesso As propriedades relacionadas a Segurança do produto podem ser alteradas através do programa de configuração de visualizadas e/ou alteradas a partir do atalho de menu Configurações → Propriedades do Sistema (html.propriedades), selecionando a opção Segurança. Conforme a tela abaixo, a área é separada entre propriedades de LDAP, Senha e Login Automático.

Image Removed

→ Propriedades Acesso.


Image Added

A tela é divida em três grupos de propriedades que podem ser configuradas, sendo:

  • LDAP (1)
  • Login Automático (2) 
  • Fluig Identity (3)
  • Open ID Connect (4)


Deck of Cards
idPropriedades
Card
idLDAP
labelLDAP

LDAP

LDAP (Lightweight Directory Access Protocol) é um protocolo de aplicação aberto criado como uma alternativa de acesso ao Directory Access Protocol (DAP), ou seja, para acessar e manter serviços de informação de diretório distribuído sobre uma rede. Para que seja possível realizar a autenticação de usuários do produto, utilizando o login e senha de rede de cada usuário, se faz necessário uso de endereço URL LDAP no produto.

Acionando a opção Image Added serão apresentadas as configurações para realizar autenticação de usuário no produto utilizando o mesmo Usuário/Senha de acesso a rede configurada com acesso via servidor Active Directory (AD).

  

                                                   Image Added


                                                               
  • Para cada domínio, temos o link Image Added, que apresenta um menu com as seguintes opções:

               Image Added



                Editar - Permite alterar as informações de conexão LDAP do domínio existente;

                Excluir - Permite eliminar o domínio de conexão LDAP existente;  

                Definir/Remover como padrão - Permite definir como padrão ou não o domínio para o acesso ao ERP Datasul.

                Obs: Caso tenha mais de um domínio cadastrado, ao definir um deles como padrão, os demais automaticamente ficarão como "não".


Acione o botão Image Added para registrar informações de conexão LDAP para cada novo domínio de rede para autenticação de usuários no produto.


Image Added

...

Domínio


      Informe

...

o nome do domínio

...

do servidor LDAP. 

Nota
titleNota

O valor parametrizado neste campo é apresentado nas telas de login do ERP Datasul e também no login intermediário. Dependendo da parametrização efetuada nesta tela e no cadastro de usuários, o ERP Datasul permitirá efetuar o login por diferentes domínios.

Observe o exemplo abaixo, foi cadastrado dois domínios somente com o nome diferente (JV01 e JV01.LOCAL), todas as demais parametrizações de URL e Grupos são equivalentes:

Image Added

Image Added


Para efetuar o login no produto com um usuário externo, o sistema efetuará o vínculo do domínio (apresentado na tela de login) com o cadastro previamente configurado para resgatar os dados de conexão com servidor do LDAP e assim efetuar a autenticação do usuário (com o Active Directory).

Dependendo do que foi informado no cadastro do domínio (por exemplo: valores de domínio inexistentes), pode ocasionar a falsa impressão de inconsistência de validação, porém neste momento o domínio é considerado somente como um "alias" para indicar em qual URL e Grupo serão realizados as validações. 

Image Added


Após efetuada a etapa de autenticação, o produto considera o login do usuário com o seu domínio para efetuar o vínculo com o usuário (Tipo Acesso: Externo) cadastrado no ERP Datasul. Os dados de login x cadastro de usuários (Usuário x Usuário) e (Domínio x Domínio SO) devem ser iguais.

Image Added


Os dados parametrizados na tela de propriedades também são utilizados no login intermediário, porém esta tela possui características diferentes de validação.

Para mais informações desta tela, consultar o link: https://tdn.totvs.com/pages/viewpage.action?pageId=486183463.

Image Added

URL


Indica o endereço

Image Removed

URL

...

URL do servidor LDAP onde será feito a consulta de autenticação

...

Image Removed

Tipo

     Indica o tipo de pesquisa que será feito no serviço de LDAP:

, no formato ldap://[HOST]:[PORT], onde:

HOST  Host do servidor AD 

PORT  Porta de conexão do servidor AD (padrão é 389 se não estiver em alguma outra porta específica)


EXEMPLO:  //server01.ad01.local:389


Não sabe como identificar o endereço URL LDAP a ser informado? Entre em contato o administrador de rede para auxílio ou então acesse a dica Como instalar e utilizar a ferramenta LDP.

Tipo


Indica o o escopo de busca no LDAP que pode ser definido como:

♦ Base → Quando

...

todos os usuários se encontrem em uma mesma pasta na estrutura do LDAP

...

, ou seja, a procura é feita somente no nível definido no campo Grupos.

♦ Estrutura  → Quando os usuários se encontrem em pastas distintas e

...

houver necessidade de realizar uma pesquisa prévia em toda a árvore

...

Image Removed

Grupo

...

do AD, ou seja, a procura é feita em todos os níveis a partir do ponto inicial definido em Grupos, mas utilizará também as informações dos campos Pesquisa, Filtro e Senha.

Grupos   


Indica um filtro de pesquisa de grupos de usuários na árvore do AD. Dependendo do escopo de busca informado no campo Tipo, este campo poderá ter

...

informações

...

distintas.

TipoGrupos
Base

Informar a pasta da

...

estrutura do serviço LDAP (árvore do AD) onde será feita a pesquisa.

Exemplo:

...

  OU=Participantes,OU=Usuarios,OU=\

...

#EXEMPLO,DC=

...

ad01,DC=local

...

Image Removed

Estrutura

Informar

...

a localização do usuário chave que tem permissão e fará a pesquisa em toda a estrutura do serviço 

...

LDAP (árvore do AD) em busca do usuário a ser autenticado. Para isso será necessário informar o campo Senha do usuário chave que tem permissão para realizar esta pesquisa.

Exemplo:

...

  CN=usuario.pequisa,OU=Diversos,OU=Usuarios,OU=\

...

#EXEMPLO,DC=

...

ad01,DC=local

...

Image Removed

Senha

     Utilizado apenas para o tipo de pesquisa "Estrutura", deverá ser informado a senha do usuário chave que foi informado no campo "Grupo". Este usuário deverá ter acesso de pesquisa

a árvore do serviço LDAP. 

Image Removed

Pesquisa 

...


Senha (Quando TIPO for ESTRUTURA)


Senha do usuário chave que possui permissão de acesso de pesquisa irrestrita na árvore do servidor AD, que é utilizada quando o campo Tipo está configurado como Estrutura e existe um filtro informado no campo Grupos. 


Pesquisa (Quando TIPO for ESTRUTURA)


Informe o ponto inicial da árvore do servidor AD de onde será iniciada a busca pelo usuário a ser autenticado.

Exemplo:

...

 OU=\

...

#EXEMPLO


Filtro

...

(Quando TIPO for ESTRUTURA)


Informe um filtro para pesquisa do usuário no servidor AD, utilizando o código do usuário.

...

...

Exemplo: sAMAccountName={0}

...

Neste exemplo o código do usuário será substituído no valor {0}

...

.


Informações

Image Removed

Senha

Recuperação da senha

      Indica se a funcionalidade de recuperação de senha está ou não habilitada a ser utilizada por todos os usuários do sistema.

Image Removed

Segurança avançada

Habilita mínimo de caracteres

Habilita o controle da quantidade mínima de caracteres para uma senha.

Comprimento da senha

Indica a quantidade mínima de caracteres para uma senha sendo que o valor máximo são 16 caracteres e quando o valor for igual a 0 então o controle será desabilitado.

Proíbe senha igual ao código do usuário

Permite o bloqueio da utilização de senha igual ao usuário. Exemplo: usuário super e senha super.

Habilita histórico de senhas

Ao habilitar este parâmetro, será mantido um histórico de senhas cujo proposito é evitar a reutilização em futuras trocas de senha. Boas práticas de segurança restringem a repetição das 10 últimas senhas, mas este limite pode ser parametrizado pelo administrador de acordo com a política de segurança da empresa. É importante ressaltar que as senhas são ser armazenadas em um formato de criptografia irreversível, utilizando o mesmo mecanismo de segurança atual (SHA-1 e MD5).

Histórico de senhas

Quantidade de senhas armazenadas no histórico. O valor máximo permitido são 99 senhas e quando o valor for igual a 0 então o histórico de senhas será desabilitado.

Habilita exigir senha alfanumérica

Habilita o controle do formato da senha utilizando composição de grupos de caracteres. Os grupos de caracteres possíveis são alfabéticos, numéricos e especiais. Boas práticas de segurança indicam a utilização de até 3 grupos de caracteres. A quantidade de grupos será indicada no campo Número mínimo de conjuntos de caracteres.

Número mínimo de conjuntos de caracteres

Quantidade de conjuntos de caracteres utilizados na validação da composição de uma senha. O valor máximo são 3 grupos e o quando o valor for igual a 0 então o controle será desabilitado.

Habilita número permitido de tentativas mal sucedidas de login

Habilita o controle de quantas vezes um usuário pode realizar tentativas de login antes de ter o seu acesso ao produto bloqueado.

Tentativas mal sucedidas de login

Quantidade de tentativas mal sucedidas de login de um usuário. O valor máximo são 99 tentativas e quando o valor igual a 0 então o controle será desabilitado.

Habilita tempo antes de permitir novo acesso do usuário

Habilita o controle de tempo antes de permitir novo acesso do usuário quando a quantidade limite de tentativas mal sucedidas de login forem alcançadas. O sistema oferece duas possibilidades para o bloqueio do usuário ao alcançar a quantidade limite de tentativas de acesso:

    1. O login do usuário será bloqueado por tempo indeterminado e somente poderá ser desbloqueado mediante a liberação pelo administrador;
    2. O login do usuário permanecerá bloqueado por um determinado período de tempo, definido em minutos. A configuração deste campo determina a ativação da segunda opção (bloqueio por período de tempo).

Tempo em minutos de bloqueio temporário de login

Tempo em minutos de bloqueio temporário quando uma tentativa de login de login é mal sucedida. O valor máximo são 999 minutos e quando o valor for igual a 0 então o controle será desabilitado.

Senha expirada

Define qual ação será tomada quando a senha do usuário expira:

    1. Impede o login;
    2. Solicita a alteração da senha no momento do login.

Image Removed

Login Automático

URL  (Opcional)

     Informe a URL do servidor IIS que efetuará a confirmação da autenticação do usuário no processo de login automático utilizando os dados da rede. Exemplo: "http://totvsjoi-fwk07:88/auth.aspx"

     Mais informações: Windows

Image Removed

Acesso

Segurança de Acesso

     Indica se a funcionalidade para bloqueio da execução de programas progress não cadastrados no produto (bas_prog_dtsul) está habilitada ou não para todos os usuários do sistema.

     Como default, será permitido a execução de programas progress não cadastrados no menu.

Image Removed

Sugerir último usuário logado

     Indica se o sistema deve sugerir o último usuário logado com sucesso no sistema.

Image Removed

     

 

   

    

Timeout

Timeout     

      Utilizado para informar o tempo até a execução do Timeout da sessão em minutos. Para desabilitar o timeout da sessão, deverá ser utilizado o número 0 (zero).

Image Removed

Mensagem de encerramento da sessão

      Campo utilizado para informar o tempo (minutos) para apresentação da mensagem de aviso que antecede a execução do Timeout, ou seja, definindo o valor como 1 (um), a mensagem de aviso será apresentada quando faltar um minuto para execução do Timeout.

Image Removed

...

titleConfigurações do Usuário Integrado

Após parametrizações do LDAP descritos acima, devem ser realizadas as parametrizações dos usuários que irão utilizar essa integração. No programa de Cadastro de Usuário(SEC000AA) deverá ser realizado o vínculo do usuário do sistema operacional ao usuário do ERP através da aba extensão e na sequência alterado o TIPO do usuário para Externo.

Para maiores detalhes quanto a este processo, acesse Manutenção de Usuário (SEC000AA)

Âncora
ldp
ldp

Dica
titleComo identificar a URL LDAP?

A Microsoft disponibiliza algumas ferramentas de suporte do Active Directory e dentre elas pode ser utilizada a ferramenta LDP que permite executar operações de protocolo de acesso a pastas leves (LDAP) no Active Directory por linha de comando.


Expandir
titleComo instalar e utilizar a ferramenta LDP

A ferramenta LDP é um recurso que deve ser ativado no Windows, quando não estiver disponível por linha de comando.

Para ativar este recurso no Windows, acesse Painel de controle → Programas e Recursos → Ativar ou Desativar Recursos do Windows → Serviços AD LDS

Image Added


Após ativação do recurso LDP no Windows, acione o Prompt de Comando e execute o comando ldp.

Image Added


 Na tela apresentada, acesse o menu Connection > Connect

Image Added


Informe o IP ou HostName e o número da Porta do servidor LDAP (Padrão 389).

Image Added


Se a comunicação estiver funcional será então apresentada uma listagem contendo informações da árvore do servidor AD (Active Directory).

Image Added


Veja o conteúdo da informação defaultNaminContext que é "DC=jv01,DC=local".

Com este passo a passo já é possível montar a configuração do campo URL e também obter informações para preencher os campos Pesquisa, Grupos ou Filtro, sendo estes últimos 3 somente preenchidos quando o campo Tipo (escopo de busca) estiver configurado como Estrutura.

Neste caso o campo URL seria preenchido com: ldap://server01:389

Nota
titleLDAP com SSL

Para configurar o acesso via LDAP com SSL no produto Datasul é necessário importar o certificado digital do servidor LDAP na lista de certificados confiáveis do Sistema Operacional e ​​da JVM .

Para realizar a importação do certificado na JVM execute, no diretorio bin do java home, o comando keytool -importcert -alias "<alias>" -keystore "<java home>\lib\security\cacerts" -file "<caminho completo do certificado>".

Ao executar o comando, a senha do certificado pode ser solicitada. A senha padrão dos certificados digitais é changeit.

No Sistema Operacional, basta clicar duas vezes no certificado, selecionar a opção Instalar Certificado e prosseguir com o wizard de instalação. 

Informações


Para informações sobre padrão de URL LDAP acesse RFC-2255 - Formato URL LDAP


Card
accessKeyloginauto
idLoginAuto
labelLogin Automático

Login Automático

URL  (Opcional)

Se informada, o sistema entenderá que o login automático está habilitado. Ele deverá conter a URL do servidor IIS que efetuará a confirmação da autenticação do usuário utilizando os dados da rede. Exemplo: http://server:8880/auth.aspx

Image Added

Card
idFluig_Identity
labelFluig Identity

Fluig Identity

Área de configuração de integração do produto Datasul com Fluig Identity.

Image Added

Habilitar integração 


É responsável por habilitar/desabilitar a integração do produto Datasul com Fluig Identity.


URL


URL base do Fluig Identity.

Aviso

Não informe a barra ( / ) no final do endereço URL, pois poderá apresentar erro de conexão SOCKET ao tentar validar a integração.


Token do Aplicativo


O token refere-se ao Configuration Token da aplicação criada no Identity.


Não sabe como informar os dados para a URL e Token? Acesse o quadro de informações mais abaixo e veja um passo a passo com as orientações para recuperar a URL e Token de acesso ao Fluig Identity.

Âncora
sincAuto
sincAuto
Habilitar Sincronização Automática


É responsável por habilitar/desabilitar a sincronização automática de usuários.

Quando estiver habilitada esta sincronização, indica que o sistema processa periodicamente a busca de dados dos usuários e grupos de segurança/relacionamentos (resources) do Identity. A sincronização automática também é disparada à cada login no produto ou por meio do programa btb964aa.

URLs Permitidas


Lista de URL´s (domínios) que direcionam o acesso ao Datasul.
No Identity uma URL do Datasul é configurada, no entanto o Datasul também pode ser acessado utilizando IP ou nome físico, por exemplo. Uma mensagem de aviso sobre URL incompatível é apresentada caso a URL do Datasul configurada no Identity não seja a mesma que a padrão e também não esteja cadastrada no campo URLs Permitidas.

Exibir aplicativo


Atalho de acesso ao aplicativo configurado no Identity.

Validar integração


Utilizado para validar as informações configuradas antes de salvar, para evitar erro quando a integração for habilitada.

Salvar


A funcionalidade de Salvar difere do processo de validação, pois, na Validação apenas é chamada a URL com o token informado pelo próprio navegador. Já na funcionalidade de Salvar, o processo vai ocorrer no appserver progress do cliente e nesse momento uma nova validação na camada progress é realizada e pode ocorrer erro.

Geralmente o erro que ocorre nesse momento do Salvar é "Não foi possível comunicar-se com o Fluig Identity".

Portanto, para que esse erro não ocorra é importante configurar o ambiente progresss appserver do cliente inserindo a chave publica do certificado. Essa chave pública é obtida da URL informada nas configurações da tela. Para isso é preciso fazer:

  1. Acessar a URL informada no cadastro e utilizar o browser de sua preferência para exportar o certificado no formato DER (salvar em um arquivo EX: fluig.cer)
  2. Acessar o server que está instalado o appserver progress e abrir a ferramenta proenv
  3. Uma vez acessando a ferramenta digitar certutil -format DER -import <path-filename exportado anteriormente no item 1>

Com essas ações o appserver estará preparado para processar requisições da URL do identity informada no cadastro e a funcionalidade Salvar deverá funcionar normalmente.



Informações
titleInformações


  • Após informar os dados apresentados na tabela acima e clicar no botão Importar, o sistema usará a Base URL e Token para buscar os dados do aplicativo.

  • A efetivação da configuração é realizada somente após clicar no botão Salvar, que solicitará confirmação para iniciar o processo de sincronização. Este processo tem como objetivo manter a sincronização dos dados entre o Datasul e o Fluig Identity, sendo importante, por exemplo, realizá-la após uma troca de aplicativo .
  • O Link Sincronizar demonstrado na imagem Identity, direciona o usuário ao programa de sincronização de dados entre o Datasul e o Fluig Identity.
  • A cada ajuste nas configurações do Identity serão gerados os arquivos datasul.cert e datasul.pk8 no diretório base do servidor de aplicação Web:

TOMCAT: Será utilizado o diretório base provido pelo Servidor Web por meio da propriedade catalina.base, ou, no caso da propriedade ser nula, será utilizado o valor da propriedade catalina.home.

Exemplo: C:\Program Files\Apache Software Foundation\Tomcat 9.0.



Configurando a URL e token de acesso ao Fluig Identity


Abaixo seguem as etapas abaixo para configurar URL e token de acesso ao Fluig Identity no produto Datasul. Clique nas imagens para ampliá-las.


Deck of Cards
startHiddenfalse
historyfalse
idCONFIGURATION
effectTypehorizontal
Card
defaulttrue
idETAPA1
labelEtapa 1


Na ferramenta fluig Identity pesquise e clique no aplicativo do ERP Datasul previamente cadastrado e configurado:

Image Added


Card
idETAPA2
labelEtapa 2


Na página de Configurações do aplicativo, clique no botão Token de Configuração e copie a sequência de caracteres que será apresentada:


Image Added


Card
idETAPA3
labelEtapa 3


Após copiar o conteúdo do token do aplicativo, execute o ERP Datasul autenticando-se com um usuário administrador, acesse Configurações → Propriedades do Sistema → Propriedades Acesso → Aba Fluig Identity e ative a integração em Habilitar Integração


Image Added


Card
idETAPA4
labelEtapa 4


Copie URL base do Fluig Identity, ignorando a barra final, conforme mostra o item (1) e cole no campo URL na tela de Configurações do Fluig Identity do Datasul.

Copie também o token de Configuração do aplicativo, conforme mostra o item (2) e cole no campo Token também na tela de Configurações do Fluig Identity do Datasul.


Image Added


Card
idETAPA5
labelEtapa 5


Veja como ficou a tela de configurações do produto Datasul em relação a habilitação do Fluig Identity.

Agora é só avaliar se precisará também ativar a Sincronização Automática e informar os demais campos e clicar em Salvar.


Image Added


Card
idVIDEO
labelVídeo Demonstrativo

Segue abaixo um vídeo com o passo a passo da captura e configuração da URL e token de acesso do Fluig Identity no produto Datasul. Clique no vídeo para ampliar.


Image Added




Informações


Quer saber como utilizar o programa Sincronização com Fluig Identity (html.identitysync)? Acesse TOTVS Validacao e Sincronizacao com Identity


Card
idOIDC
labelOpen ID Connect

Open ID Connect

Área de configuração de integração do produto Datasul com portais que utilizam o protocolo Open ID Connect (OIDC).

Image Added

Habilitar integração OIDC


É responsável por habilitar/desabilitar a integração do produto Datasul com o OIDC.


Redireciona automaticamente para o login OIDC


Redireciona o login para a URL do OIDC, sem a exibição do login do ERP Datasul.


Label provedor OIDC


Texto apresentado no botão de login do OIDC


URL base do OIDC


Url base do serviço de login OIDC


Ex.: "https://login.microsoftonline.com".


URL de redirecionamento para o login no produto Datasul


Url de redirecionamento do login no produto Datasul após efetuar a autenticação no provedor OIDC.


Ex.: "http://host:porta/totvs-login/ACS?login".


TenantID 


TenantID do aplicativo, localizado dentro das configurações do OIDC.


ClientID


ClientID do aplicativo, localizado dentro das configurações do OIDC.


Url de autorização OIDC


somente leitura - É preenchido automaticamente ao utilizar o botão "Monta Url Autorização" (Os parâmetros devem estar corretos para o preenchimento, caso contrario o campo não será preenchido ou será limpo).


BotãoMonta Url de Autorização


 Responsável por pegar os parâmetros informados, validar e montar a url que será utilizada internamente para a integração com o OIDC.


Nota
titleNota

Para garantir a integridade das informações, o botão Salvar é automaticamente desabilitado em caso de inconsistências nos dados em tela.

HTML
<style>
div.theme-default .ia-splitter #main {
    margin-left: 0px;
}
.ia-fixed-sidebar, .ia-splitter-left {
    display: none;
}
#main {
    padding-left: 10px;
    padding-right: 10px;
    overflow-x: hidden;
}

.aui-header-primary .aui-nav,  .aui-page-panel {
    margin-left: 0px !important;
}
.aui-header-primary .aui-nav {
    margin-left: 0px !important;
}

.aui-tabs.horizontal-tabs>.tabs-menu>.menu-item.active-tab a::after { 
	background: #FF9900; !important 
}

.menu-item.active-tab { 
	border-bottom: none !important; 
}

</style>