Autenticação com OIDC

CONTEÚDO

01. VISÃO GERAL

No Meu RH, o processo de autenticação pode ser executado das seguintes formas: 

• • Usuário e Senha do RM (Padrão);
  • SAML via TOTVS Identity (Fluig): Para mais detalhes, acessar o link Autenticação utilizando TOTVS Identity ;
  • OAuth2 via AzureAD: Para mais detalhes, acessar o link Integração Azure AD utilizando OAUTH2;
  • OAuth2 e OIDC;

Este documento tem o objetivo de descrever os passos para configuração e utilização de um provedor de autenticação com protocolo OAUTH2 e OIDC no Meu RH.

02. CONFIGURANDO UTILIZAÇÃO DA AUTENTICAÇÃO COM PROTOCOLO OAUTH2 E OIDC

1. 1. Habilitar utilização do Token no Meu RH
      Para realizar essa configuração, verificar documento Como utilizar a autenticação por token no Meu RH da linha RM?
      
      
      
   2. Criar/Configurar aplicativo externo no ERP:
      Para realizar essa configuração será necessário acessar a aba Gestão, disponível em qualquer sistema do RM e posteriormente o item Aplicativos Externos no grupo Comunicação.
      Nesta tela deverão ser cadastradas as informações do aplicativo de autenticação externo que será utilizado para login no Meu RH. Através do link Aplicativos Externos são descritos detalhamente o significado dos campos e a forma de preenchimento.
      
      Importante:
      Para que o aplicativo seja exibido e utilizado no Meu RH é obrigatório que o aplicativo esteja ativo e a informação da Url do Emissor do Token de Acesso (Issuer) estejam preenchidas.
      Aplicativos configurados com o tipo de provedor AzureAD (4), neste momento, estarão disponíveis somente no fluxo padrão, não sendo possível configurar como OIDC.
      Caso exista mais de um provedor OIDC cadastrado e ativo no RM, apenas o primeiro aplicativo que foi cadastrado será exibido e poderá ser utilizado. Isso ocorre devido a uma limitação do componente utilizado no portal Meu RH para a execução do processo de login.
      É possível utilizar um aplicativo externo utilizando o tipo de provedor AzureAD e outro OIDC juntamente. Neste caso, na tela do Meu RH, dois botões serão exibidos para que o usuário possa optar por qual provedor de autenticação ele deseja se autenticar.
      
      
      
   3. Vínculo entre o usuário do provedor de autenticação e o usuário do RM
      Através da integração entre o prevedor de autenticação utilizando o protocolo OAUTH2 com OIDC, um token é gerado. Este token contém informações para permitir a identificação do usuário que se autenticou no provedor. Desta forma, é necessário criar um vínculo entre o usuário do provedor de autenticação e o RM. Esse vínculo pode ser feito através dos campos de Código de Usuário, Código do Externo e E-mail e é configurado na tela de cadastro de aplicativos externos nos campos: Campo de Correspondência do Provedor e Campo de Correspondência do RM. Assim, é necessário que o e-mail utilizado no provedor de autenticação esteja definido como e-mail do usuário no RM, por exemplo.
      
      
      

   4. Inativação de Login utilizando credenciais do RM (Usuário e Senha)
      Por padrão, ao cadastrar o aplicativo externo, na tela de Login do Meu RH serão exibidos os campos de usuário e senha para autenticação padrão do RM e logo abaixo um botão para login com o provedor de autenticação configurado. Caso não queira que o login padrão do RM seja exibido, será necessário configurar no Meu RH para que os campos sejam ocultados e somente o login via provedor de autenticação seja exibido. 
      Para isso, será necessário localizar o arquivo web.config dentro da pasta de instalação do portal, dentro da pasta FrameHTML e incluir a TAG com valor true.
      
      

      <add key="ForceOauthLogin" value="true" />

03. PROCESSO DE LOGIN NO PORTAL DO MEU RH

Após a configuração inicial do provedor OIDC e das integrações de segurança no sistema (conforme descrito em seções anteriores), o Portal Meu RH estará preparado para aceitar autenticação externa. Com isso, o usuário poderá realizar o login utilizando as credenciais do provedor.

1. Tela de Login com Opção para Autenticação via Provedor
Na tela de login do Meu RH, será exibido um novo botão específico para realizar o login com o provedor OIDC, conforme configurado. Esse botão estará visível e disponível para o usuário acessar o sistema através do provedor de autenticação externo.

• • Tela de login sem utilizar a tag ForceOauthLogin:
    Nessa configuração, o botão de login via provedor OIDC será apenas uma das opções de login disponíveis, permitindo que o usuário escolha entre as opções de login padrão do sistema e a autenticação pelo provedor externo.

  •  

  • Tela de login utilizando a tag ForceOauthLogin:
    Com a configuração ForceOauthLogin habilitada, na tela de login do Meu RH, aparecerá apenas a opção para realizar o login pelo provedor externo

2. Redirecionamento para o Provedor OIDC
Ao clicar no botão de login do provedor, o usuário será redirecionado para a tela de autenticação específica do provedor OIDC. Nesta tela, ele deverá inserir suas credenciais.

3. Validação e Redirecionamento de Tokens
Após o usuário inserir suas credenciais no provedor:

• • Se o processo de autenticação for bem-sucedido e os tokens de autenticação forem recebidos corretamente, o sistema do Meu RH receberá e processará esses tokens.
  • Caso não haja nenhum problema com os tokens, o usuário será redirecionado automaticamente para a tela de Home do Meu RH, já autenticado.

4. Tela de Redirecionamento
Caso seja necessário, uma tela de redirecionamento rápida pode ser exibida entre o momento da autenticação no provedor e o acesso à tela principal do sistema, enquanto o sistema valida os tokens recebidos e carrega o ambiente do usuário.

• • Tela de redirecionamento:

• • Usuário logado com sucesso acessando a tela da Home do Meu RH:

04. PROCESSO DE LOGIN NO APLICATIVO DO MEU RH

Após a configuração inicial do provedor OIDC e das integrações de segurança no sistema (conforme descrito em seções anteriores), o Portal Meu RH estará preparado para aceitar autenticação externa. Com isso, o usuário poderá realizar o login utilizando as credenciais do provedor.

1. Tela de Login com Opção para Autenticação via Provedor
Na tela de login do Meu RH, será exibido um novo botão específico para realizar o login com o provedor OIDC, conforme configurado. Esse botão estará visível e disponível para o usuário acessar o sistema através do provedor de autenticação externo.

• • Tela de login sem utilizar a tag ForceOauthLogin:
    Nessa configuração, o botão de login via provedor OIDC será apenas uma das opções de login disponíveis, permitindo que o usuário escolha entre as opções de login padrão do sistema e a autenticação pelo provedor externo.

  •  

  • Tela de login utilizando a tag ForceOauthLogin:
    Com a configuração ForceOauthLogin habilitada, na tela de login do Meu RH, aparecerá apenas a opção para realizar o login pelo provedor externo

2. Redirecionamento para o Provedor OIDC
Ao clicar no botão de login do provedor, o usuário será redirecionado para a tela de autenticação específica do provedor OIDC. Nesta tela, ele deverá inserir suas credenciais.

3. Validação e Redirecionamento de Tokens
Após o usuário inserir suas credenciais no provedor:

• • Se o processo de autenticação for bem-sucedido e os tokens de autenticação forem recebidos corretamente, o sistema do Meu RH receberá e processará esses tokens.
  • Caso não haja nenhum problema com os tokens, o usuário será redirecionado automaticamente para a tela de Home do Meu RH, já autenticado.

4. Tela de Redirecionamento
Caso seja necessário, uma tela de redirecionamento rápida pode ser exibida entre o momento da autenticação no provedor e o acesso à tela principal do sistema, enquanto o sistema valida os tokens recebidos e carrega o ambiente do usuário.

• • Tela de redirecionamento:

• • Usuário logado com sucesso acessando a tela da Home do Meu RH: