Políticas de autenticação
Para que seja adaptável a diferentes realidades organizacionais, o sistema suporta que sejam definidas políticas de autenticação para a validação da identidade de um usuário.
Criar uma política de autenticação consiste em definir qual o procedimento que o sistema realizará para validar as credenciais do usuário. Esta política é atrelada à Política de Usuário, sendo esta associada à um usuário específico ou a todo um grupo. Caso um usuário tenha várias políticas de usuários associadas, devido a este pertencer à vários grupos, será validada aquela de maior prioridade.
Atualmente são suportadas três políticas de autenticação, a Política de Autenticação Padrão, a Política de Autenticação Externa e a Política de Autenticação SSPI.
Política de Autenticação Padrão
É a política que utiliza o nome e a senha de usuário, armazenados no banco de dados do sistema, para validá-lo. Esta política é realizada de forma autônoma pelo sistema.
Redefinição de senha
A política de autenticação padrão do sistema permite por padrão que os usuários redefinam as suas senhas. Para isso, os usuários devem utilizar a opção “Esqueceu a sua senha?” na tela de login padrão do sistema. Devem ser observadas as seguintes condições:
- Apenas usuários com e-mail cadastrado poderão utilizar este recurso.
- O código de confirmação enviado para os usuários terá uma validade de 90 minutos.
- Contas de usuários desativadas pelo administrador não poderão ter a sua senha redefinida.
- Telas de logins customizadas podem não ter implementada a funcionalidade de redefinição de senha.
Se necessário, esta funcionalidade pode ser desativada criando uma política de autenticação customizada na classe “Políticas de Autenticação Padrão” com o campo “Redefinição de senha > Habilitado” desmarcado. Essa nova política de autenticação deve ser configurada na política de segurança associada aos usuários ou aos seus grupos.
Política de Autenticação por SSPI e Active Directory
Esta política utiliza as credenciais de domínio do Windows para realizar a autenticação do usuário. A autenticação é feita através da SSPI, sigla para Security Support Provider Interface, uma interface de programação provida pelo Windows para executar tarefas relacionadas à segurança. O cliente Active Directory da Microsoft faz uso dessa API, portanto ao ativar esse recurso é possível integrar e gerenciar as senhas dos usuários por meio do Active Directory.
A autenticação é realizada de forma centralizada pelo servidor de aplicação do sistema. Ao contrário da Política de Autenticação Padrão, nenhum servidor Engine consegue autenticar um usuário estando desconectado do servidor da base de dados.
Para realizar a autenticação, é utilizado o nome do usuário cadastrado que foi associado a Política de Autenticação por SSPI. É necessário que o nome deste seja igual a credencial de domínio no Windows.
Esse tipo de autenticação requer que o Engine servidor tenha acesso ao domínio do Windows, devendo portando estar na mesma rede controlada pelo Active Directory. Uma forma de contornar essa restrição é a utilização de um provedor de identidade como intermediário da autenticação. Neste cenário o Engine autenticaria o usuário externamente, utilizando o protocolo OpenID Connect para se comunicar com um provedor de identidade, e o provedor de identidade seria configurado para autenticar os usuários em um Active Directory. Dessa forma o Engine não precisaria estar no mesmo domínio do Windows.
Criando uma Política de Autenticação por SSPI
Acesse o processo “Admin > Segurança > Políticas de segurança > Políticas de autenticação”
No processo, clique no botão de inserir registro da grade principal. Será perguntado o tipo de política que deseja definir, escolha o tipo ‘Políticas de autenticação SSPI’. Informe os campos abaixo:
- Código: código que identifica a política no sistema.
- Nome: nome da política de autenticação.
- Classe: a classe deve ser Política de Autenticação SSPI.
- Domínio: domínio da rede onde o usuário está cadastrado.
Quando utilizando uma Política de Autenticação por SSPI é importante definir uma Regra de Senha que não exija troca na Política de Usuários. Para isto acesse o processo “Admin > Segurança > Politicas de Segurança > Regras de formatação e uso de senhas” e cadastre uma nova regra de senha onde o valor do campo “Dias para troca” é “0”.
Política de Autenticação Externa
Esta política utiliza o serviço de um provedor de identidade externo para realizar a autenticação
dos usuários. Atualmente, são suportados os provedores de identidade que implementem o protocolo
OpenID Connect
. O protocolo OpenID
Connect é um protocolo de autenticação, criado como uma extensão do protocolo de autorização
OAuth2
.
Ao utilizar uma política de autenticação externa, não é permitida a troca de senha, pois a senha é controlada pelo provedor de identidade.
Criando uma Política de Autenticação Externa
Acesse o processo “Admin > Segurança > Políticas de segurança > Políticas de autenticação”
No processo, clique no botão de inserir registro da grade principal. Será perguntado o tipo de política que deseja definir, escolha o tipo ‘Políticas de autenticação externa’. Informe os campos abaixo:
- Código: código que identifica a política no sistema.
- Nome: nome da política de autenticação.
- Classe: a classe deve ser Políticas de autenticação externa.
- Provedor de identidade: selecione um provedor de identidade cadastrado previamente.
Associando uma Política de Autenticação a uma Política de Usuários
Acesse o processo “Admin > Segurança > Políticas de segurança > Políticas de usuário”
Nesta tela é importante notar os seguintes campos:
- Prioridade: um usuário possui uma política diretamente associada a ele e as políticas associadas aos grupos e papéis aos quais pertence, neste cenário é utilizado a política de maior prioridade, esta propriedade é definida aqui.
- Política de Autenticação: defina aqui a política de autenticação associada à Política de Usuário.
- Regras de Senha: aqui se definem as regras de senha, caso esteja utilizando a Política de Autenticação Padrão.
Após definida uma Política de Usuário, esta pode ser associada a um Usuário, Grupo ou Papel acessando seu cadastro através de “Admin > Segurança > Grupos e usuários” no campo “Política de Segurança”.