Linha Datasul

Árvore de páginas

Versões comparadas

Versão antiga 1

changes.mady.by.user Ricardo Suzuki Junior

Gravado em

comparado com

Nova versão Atual

changes.mady.by.user Ricardo Suzuki Junior

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

Índice

Informações
titleMatriz de Evolução
Versão/ReleaseFuncionalidade
12.1.2503
  • Liberação da funcionalidade de geração dos certificados para uso no token JWT.

...

Descrição

A partir da release 12.1.2503, foi implementado no produto TOTVS Datasul  a funcionalidade de geração dinâmica de certificados para o uso em tokens JWT (autenticação e autorização).

Para seu uso, é necessário efetuar uma parametrização prévia Para isto, não é necessário efetuar configurações adicionais pois os endpoints estão disponibilizados nativamente no produto.

...


...

Configuração

A seguir, são apresentados os conceitos de requisição com a utilização do Postman, no qual devem ser adaptadas de acordo com a tecnologia desejada:

Passo 1

Criar uma requisição POST para /api/accesskey, com um usuário e senha do produto TOTVS Datasul (Basic Auth).

Dica
titleDica

O endpoint de geração do Token JWT também está disponível em /dts/datasul-rest/resources/prg/accesskey

Passo 2

Enviar no corpo da requisição um objeto Json que contém a estrutura abaixo:

...

Passo 3

Resgatar o Token JWT que será retornado no corpo da resposta.

Passo 4

...

um passo a passo de como deve ser parametrizado, lembrando que deve ser analisado caso a caso a necessidade do cliente:

Passo 1

Acessar o programa Propriedades JWT (aba Certificados).

Image Added

Passo 2

Definir um diretório (onde o arquivo .jks será armazenado), juntamente com a senha (mínimo 6 caracteres).

Image Added

Nota
titleNota

Caso os campos não sejam definidos, o produto atribuirá valores padrões para a geração do certificado.

Passo 3

Clicar no botão Gerar JWKS

Image Added

Nota
titleNota

Após a geração do certificado, não será possível alterar o diretório.

Caso seja necessário efetuar a alteração do mesmo, todos os certificados devem ser removidos.

Passo 4

Clicar em ... e Habilitar o certificado desejado para a geração do token JWT.

Image Added

Nota
titleNota

Apenas a geração do certificado não garante que o mesmo será utilizado na geração do token JWT.

Deve-se clicar na ação Habilitar e o certificado deve estar com o campo Ativo: Sim

Para mais detalhes quanto a ativação do certificado, bem como o comportamento da autorização dos tokens JWT, consulte o cenário 1 apresentado a seguir.

Passo 5

Clicar em Salvar e reiniciar o Apache Tomcat.


...

Cenários de parametrização

A seguir serão apresentados possíveis cenários de parametrização:

Cenário 1: Existe mais de um certificado na tabela

Caso houver mais de um certificado gerado, é necessário definir o Alias Ativo, sendo o mesmo considerado para a geração do token JWT (Autenticação).

Para garantir uma troca de certificado transparente e não quebrar possíveis integrações que possuem o token JWT gerado com base no certificado antigo, são autorizados todos os tokens JWT cujo certificados estão na lista.

Nota
titleAtenção

Ao ativar um certificado, por questões de segurança, após reiniciar o Tomcat não será autorizado os tokens gerados pelo certificado padrão do ERP Datasul, no qual é emitido o HTTP Status 401 para estes tokens.

Image Added

Cenário 2: Preciso bloquear a autorização de acesso por um determinado certificado

Conforme informado no cenário anterior, "...todos os tokens JWT que foram gerados com certificados na lista ainda são autorizados...", portanto a desativação do mesmo não restringe o acesso ao endpoint.

Para restringir o acesso, basta selecionar o certificado e excluir-lo.

Antes

Image Added

Depois

Image Added

Cenário 3: Não existem certificados na tabela ou todos estão desabilitados

Caso existirem certificados porém todos estão desabilitados ou não exista nenhum certificado na lista, será considerado o certificado padrão do ERP Datasul para a geração do token JWT e sua posterior autorização de acesso.

Image Added


Image Added

Cenário 4: Possuo um ambiente com múltiplos Tomcats

Por questões de segurança e padronização, todos os certificados são armazenados em um arquivo físico (.jks) portanto:

  • Caso possua um ambiente com múltiplos servidores Tomcats, recomenda-se que o acesso ao diretório esteja disponível para todos estes servidores, sendo uma alternativa o compartilhamento deste diretório.
  • Caso possua políticas de restrição ao compartilhamento de diretórios, outra alternativa é a cópia manual do arquivo .jks para o servidor onde o Tomcat está instalado
    • Neste cenário, caso houver alguma alteração nos parâmetros do certificado (geração, alteração de senha ou remoção), o arquivo .jks deve ser atualizado manualmente nos demais servidores. 

Image Added

Nota
titleAtenção

Os parâmetros de Certificado não utilizam a funcionalidade de Sobreposição das Propriedades do Produto no Tomcat, a configuração é sempre realizada de forma global.


...

Documentos relacionados 

...