Informações Gerais

   Legenda: 1 – Inovação 2 – Manutenção (Os demais campos devem ser preenchidos para ambos os processos). 

Objetivo

Definir um mecanismo para gerenciamento de autorização via OAuth 2.0 para os serviços HTTP da Linha RM. Este mecanismo deve ser reutilizado nos WebServices da WebAPI e nos demais WebServices expostos pelo RM.Host.

<Nesta etapa informar o objetivo da especificação do requisito, ou seja, o que a funcionalidade deve fazer. Exemplo: Permitir que o usuário defina o percentual mínimo em espécie (dinheiro), a referência mínima para calculo dos débitos do aluno e o período de validade do parâmetro de negociação>.

Definição da Regra de Negócio

OAuth 2.0 é um protocolo aberto para permitir a autorização segura de forma simples e padronizada para aplicações Web, Mobile e Desktop. 

A segurança baseada em tokens consiste em enviar um token de acesso em cada requisição para acesso à recursos restritos. Um token típico, além de outras informações, contém o que chamamos de escopos (scopes), que representam a intenção do usuário ao acessar determinado recurso, por exemplo: acesso de leitura, escrita, gerenciamento de recursos, etc.

Esta implementação deve ser dividida em três partes:

1. Criar uma forma de obter tokens de autorização;
2. Criar uma forma de validar estes tokens no acesso à recursos;
3. Garantir que os recursos não estejam acessíveis caso este token não exista;

Importante:

• Esta especificação não trata sobre a forma de envio desses tokens dos clientes para o servidor de recursos. Consumo da API é responsabilidade do OAuth Client.
• OAuth 2.0 é usado para autorizar o acesso. OAuth 2 não é sobre autenticação, o padrão não diz nada sobre o usuário. É sobre o que um aplicativo cliente pode ou não fazer. O aplicativo cliente não conhece nada sobre quem concedeu esta autorização. Para isto existe outro padrão, chamado OpenId Connect, não abordado neste requisito.
  

Fluxos OAuth 2.0

Há uma distinção importante a ser feita com relação aos aplicativos clientes. Dependendo do tipo de cliente é preciso utilizar uma maneira diferente de obter o token para se manter seguro. Não existe uma única maneira segura para todos os tipos de clientes. Estas maneiras são chamadas de Fluxos.

Uma das restrições podem ser entendidas da seguinte forma: quando uma aplicação solicita um token de autorização em nome de um usuário, onde este token pode ser entregue? 

Authorization Code

Normalmente utilizado por aplicações que são processadas em um servidor, por exemplo uma aplicação web ASP.NET MVC. Necessita de um interação com o usuário para conceder a autorização.

<Colar o diagrama de fluxo>

Implicit

Normalmente utilizado aplicações nativas, baseadas em um navegador, por exemplo, uma aplicação Angular JS ou um aplicativo móvel. Necessita de um interação com o usuário para conceder a autorização.

Resource Owner Password Credential

Normalmente utilizado em aplicações confiáveis, pois ela deve coletar as credenciais do usuário e obter a autorização munido dessas credenciais. Não necessita de uma interação com o usuário para conceder a autorização, pois já foram utilizadas as suas credenciais.

Cliente Credentials

Este fluxo é utilizado para interação direto do aplicativo cliente com o servidor de recursos. Não existe um usuário envolvido neste fluxo. São utilizadas credenciais do próprio cliente.

Papeis principais

O OAuth2 possuiu quatro papéis principais:

User (Resource Owner): Entidade capaz de possibilitar acesso a um recurso protegido. Quando ele é uma pessoa, nos referimos ao usuário final.

Resource Server:  É o servidor que hospeda os recursos protegidos capaz de aceitar e responder as solicitações usando tokens de acesso. 

Authorization Server: É o servidor capaz de fornecer tokens de acesso a um cliente depois de uma autenticação com sucesso do resource owner e obtendo autorização. Chamado de STS (Security Token Service)

Client: É a aplicação que acessa um recurso protegido em nome do resource owner e com sua autorização. 

Tipos de Clientes

Confidential Client: É o cliente capaz de manter confidencialidade das suas credenciais. Estamos falando de credenciais de clientes e não de usuários. Tipicamente temos um ClienteId e um ClientSecrect. Ex.: MVC App (Server to Server)

Public Client: São incapazes de manter a confidencialidade de suas credenciais. Aplicativos Mobile, ou baseados no browser. Ex.: Mobile App, JS App.

Endpoints

Authorization Endpoint:  utilizado pelo cliente para obter autorização do resource owner através de redirecionamento. OAuth 2.0 não especifica a forma como o resource owner deve se autenticar, isso significa que normalmente o redirecionamento se dará para uma página de login.

Token Endpoint: utilizado pelo cliente para trocar um código de autorização por um token de acesso (client authentication).

Redirection Endpoint: ponto do cliente onde será recebido o token. Os fluxos apresentados são baseados em redirecionamento. Utilizado pelo servidor de autorização para retornar respostas contendo as credenciais de autorização para o client.

Identity Server 3

A implementação de um servidor de autorização ou STS - Security Token Service, não é trivial. Precisaríamos desenvolver diferentes fluxos, pontos de extremidade, ter um meio de gerar tokens e mais. Por isto, vamos utilizar um framework chamado Identity Server 3.

É uma implementação open source, aberta, extensível, faz parte do .NET Foundation, mantida pela comunidade .NET apoiada pela Microsoft.

Vamos utilizar esse mecanismo e adaptá-lo à arquitetura da Linha RM.

Passos para essa adaptação:

1. Implementar ponto de extensão do STS para utilizar a base do RM como fonte de dados de usuários:
   • Criar serviço REST no Host para expor os Alias
   • Criar serviço REST no Host para expor a validação de usuário da Linha RM para o STS. O STS não terá referência direta para a Lib.
     
     
2. Implementar serviço customizado de telas para o STS:
   • Criar ViewService
     Vide: https://identityserver.github.io/Documentation/docsv2/advanced/customizingViews.html
   • Ajustar tela de Login do STS para incluir seletor de Alias;
   • Enviar valor do Alias para o Serviço de Validação de Usuários;
     
     
3. Implementar ponto de extensão do STS para utilizar a base do RM como fonte de dados de clientes:
   • Criar tabelas necessárias para armazenamento de informações de clientes como esperado pelo IdentityServer3 na base do RM;
   • Criar serviço REST para expor os dados de clientes do RM para o STS;
   • Criar serviço para leitura de dados de clientes pelo STS;
     Vide:  https://identityserver.github.io/Documentation/docsv2/ef/clients_scopes.html
   • Criar cadastro de aplicativos clientes no RM;
      
4. Implementar ponto de extensão do STS para utilizar a base do RM como fonte de dados de escopos. (Pode ser opcional na 1ª fase, caso seja dividido em entregas.):
   • Criar tabelas necessárias para armazenamento de informações de escopos como esperado pelo IdentityServer3 na base do RM;
   • Criar serviço REST para expor os dados de escopos do RM para o STS;
     
   • Criar serviço para leitura de dados de escopos pelo STS
     Vide:  https://identityserver.github.io/Documentation/docsv2/ef/clients_scopes.html
     
   • Criar cadastro de escopos no RM; 
      
5. Implementar ponto de extensão do STS para utilizar a base do RM como fonte de dados operacionais do STS:
   
   • Serviços obrigatórios para produção: AuthorizationCodeStore, TokenHandleStore, RefreshTokenStore, ConsentStore
     Vide: https://identityserver.github.io/Documentation/docsv2/ef/operational.html
     Vide: https://identityserver.github.io/Documentation/docsv2/configuration/serviceFactory.html
      
6. Blindar serviços do RM para não aceitar requisições sem que contenham o Token de Autorização:
    
7. Validar Token de Autorização no STS nos serviços do RM:
   
   

<Regra de negócio é o que define a forma de fazer o negócio, o processo definido e/ou as regras que devem ser contempladas. Devem ser descritas restrições, validações, condições e exceções do processo. Caso necessário, incluir neste capítulo também regras de integridade que devem ser observadas no momento do desenvolvimento>.

<Na tabela abaixo informe quais são as rotinas envolvidas, o tipo de operação, a opção de menu e se necessário uma breve descrição das regras de negócio relacionadas a rotina>.

Exemplo de Aplicação:

• Criar o campo “% Mínimo Espécie” (AAA_PERESP) onde o usuário informará o % que o aluno pagará em dinheiro. Esse % poderá ser alterado durante a negociação.
• Criar o campo “Referência Mínima para Cálculo” (AAA_REFCAL) onde o usuário informará um dos 4 valores disponíveis para pagamento das mensalidades  como a referência mínima para calcular o débito total do aluno.
• Criar o parâmetro MV_ACPARNE que definirá se as informações de “% Mínimo Espécie” e “Referência Mínima para Cálculo” serão obrigatórias.
• O parâmetro MV_ACPARNE deve ter as seguintes opções: 1=Obrigatório e 2=Opcional. Deve ser inicializado como opcional>.

Tabelas Utilizadas

• SE2 – Cadastro de Contas a Pagar
• FI9 – Controle de Emissão de DARF>.

Opcional

Protótipo de Tela

<Caso necessário inclua protótipos de telas com o objetivo de facilitar o entendimento do requisito, apresentar conceitos e funcionalidades do software>.

Protótipo 01

Opcional

Fluxo do Processo

<Nesta etapa incluir representações gráficas que descrevam o problema a ser resolvido e o sistema a ser desenvolvido. Exemplo: Diagrama - Caso de Uso, Diagrama de Atividades, Diagrama de Classes, Diagrama de Entidade e Relacionamento e Diagrama de Sequência>. 

Opcional

Dicionário de Dados

Arquivo ou Código do Script: AAA – Negociação Financeira / *Versao=CP.2014.12_03*/

(Opcional)

Grupo de Perguntas

<Informações utilizadas na linha Protheus>.

Nome: FINSRF2

(Opcional)

Consulta Padrão

<Informações utilizadas na linha Protheus>

Consulta: AMB

(Opcional)

Estrutura de Menu

<Informações utilizadas na linha Datasul>.

Procedimentos

Programas

Cadastro de Papéis

<O cadastro de papéis é obrigatório para os projetos de desenvolvimento FLEX a partir do Datasul 10>.

<Lembrete: o nome dos papeis em inglês descrito neste ponto do documento, devem ser homologados pela equipe de tradução>.