Linha Datasul

Árvore de páginas

Versões comparadas

Versão antiga 20

changes.mady.by.user Cleber Rudnei Dorneles

Gravado em

comparado com

Nova versão Atual

changes.mady.by.user Ricardo Afonso Basilio__

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.
Informações
iconfalse
titleÍndice

Índice

Objetivo

...

Configurar os parâmetros de acesso dos usuários no produto Datasul.


Visão Geral

...

As propriedades destinadas ao acesso As propriedades relacionadas a Segurança do produto podem ser alteradas através do programa de configuração de visualizadas e/ou alteradas a partir do atalho de menu Configurações → Propriedades do Sistema (html.propriedades), selecionando a opção Segurança. Conforme a tela abaixo, a área é separada entre propriedades de LDAP, Senha e Login Automático.

...

→ Propriedades Acesso.


Image Added

A tela é divida em três grupos de propriedades que podem ser configuradas, sendo:

  • LDAP (1)
  • Login Automático (2) 
  • Fluig Identity (3)
  • Open ID Connect (4)


Deck of Cards
idPropriedades
Card
idLDAP
labelLDAP

LDAP

LDAP (Lightweight Directory Access Protocol) é um protocolo de aplicação aberto criado como uma alternativa de acesso ao Directory Access Protocol (DAP), ou seja, para acessar e manter serviços de informação de diretório distribuído sobre uma rede. Para que seja possível realizar a autenticação de usuários do produto, utilizando o login e senha de rede de cada usuário, se faz necessário uso de endereço URL LDAP no produto.

Acionando a opção Image Added serão apresentadas as configurações para realizar autenticação de usuário no produto utilizando o mesmo Usuário/Senha de acesso a rede configurada com acesso via servidor Active Directory (AD).

  

                                                   Image Added


                                                               
  • Para cada domínio, temos o link Image Added, que apresenta um menu com as seguintes opções:

               Image Added



                Editar - Permite alterar as informações de conexão LDAP do domínio existente;

                Excluir - Permite eliminar o domínio de conexão LDAP existente;  

                Definir/Remover como padrão - Permite definir como padrão ou não o domínio para o acesso ao ERP Datasul.

                Obs: Caso tenha mais de um domínio cadastrado, ao definir um deles como padrão, os demais automaticamente ficarão como "não".


Acione o botão Image Added para registrar informações de conexão LDAP para cada novo domínio de rede para autenticação de usuários no produto.


Image Added

Domínio

      Informe ou indique o nome do domínio da rede que será configurado.

Image Removed

Ao clicar sobre o domínio na Lista de domínios será aberto as configurações do domínio:

URL

do servidor LDAP. 

Nota
titleNota

O valor parametrizado neste campo é apresentado nas telas de login do ERP Datasul e também no login intermediário. Dependendo da parametrização efetuada nesta tela e no cadastro de usuários, o ERP Datasul permitirá efetuar o login por diferentes domínios.

Observe o exemplo abaixo, foi cadastrado dois domínios somente com o nome diferente (JV01 e JV01.LOCAL), todas as demais parametrizações de URL e Grupos são equivalentes:

Image Added

Image Added


Para efetuar o login no produto com um usuário externo, o sistema efetuará o vínculo do domínio (apresentado na tela de login) com o cadastro previamente configurado para resgatar os dados de conexão com servidor do LDAP e assim efetuar a autenticação do usuário (com o Active Directory).

Dependendo do que foi informado no cadastro do domínio (por exemplo: valores de domínio inexistentes), pode ocasionar a falsa impressão de inconsistência de validação, porém neste momento o domínio é considerado somente como um "alias" para indicar em qual URL e Grupo serão realizados as validações. 

Image Added


Após efetuada a etapa de autenticação, o produto considera o login do usuário com o seu domínio para efetuar o vínculo com o usuário (Tipo Acesso: Externo) cadastrado no ERP Datasul. Os dados de login x cadastro de usuários (Usuário x Usuário) e (Domínio x Domínio SO) devem ser iguais.

Image Added


Os dados parametrizados na tela de propriedades também são utilizados no login intermediário, porém esta tela possui características diferentes de validação.

Para mais informações desta tela, consultar o link: https://tdn.totvs.com/pages/viewpage.action?pageId=486183463.

Image Added

URL

Indica o endereço

      Indica a

URL do servidor LDAP onde será feito a consulta de autenticação

. Exemplo de estrutura da URL: ldap://osiris.jv01.local/DC=jv01,DC=local

Image Removed

Tipo

     Indica o tipo de pesquisa que será feito no serviço de LDAP:

, no formato ldap://[HOST]:[PORT], onde:

HOST  Host do servidor AD 

PORT  Porta de conexão do servidor AD (padrão é 389 se não estiver em alguma outra porta específica)


EXEMPLO:  //server01.ad01.local:389


Não sabe como identificar o endereço URL LDAP a ser informado? Entre em contato o administrador de rede para auxílio ou então acesse a dica Como instalar e utilizar a ferramenta LDP.

Tipo

Indica o o escopo de busca no LDAP que pode ser definido como:

♦ Base → Quando

Base: Caso

todos os usuários se encontrem em uma mesma pasta na estrutura do LDAP

.Estrutura: Caso

, ou seja, a procura é feita somente no nível definido no campo Grupos.

♦ Estrutura  → Quando os usuários se encontrem em pastas distintas e

faz-se necessária

houver necessidade de realizar uma pesquisa prévia em toda a árvore

.

do AD, ou seja, a procura é feita em todos os níveis a partir do ponto inicial definido em Grupos, mas utilizará também as informações dos campos Pesquisa, Filtro e Senha.

Grupos   

Image Removed

Grupo

     Dependendo do tipo de pesquisa informado

Indica um filtro de pesquisa de grupos de usuários na árvore do AD. Dependendo do escopo de busca informado no campo Tipo

, este campo poderá ter

duas

informações

. No caso do tipo "Base", deverá ser informado

distintas.

TipoGrupos
Base

Informar a pasta da

estrutura LDAP

estrutura do serviço LDAP (árvore do AD) onde será feita a pesquisa.

Exemplo:

"

  OU=Participantes,OU=Usuarios,OU=\

#TOTVS

#EXEMPLO,DC=

jv01

ad01,DC=local

"

Image Removed

Estrutura

Informar

     Já no caso do tipo de pesquisa "Estrutura", deverá ser informado

a localização do usuário chave que tem permissão e fará a pesquisa em toda a estrutura do serviço 

LDAP (árvore do AD) em busca do usuário a ser autenticado. Para isso será necessário informar o campo Senha do usuário chave que tem permissão para realizar esta pesquisa.

Exemplo:

"

  CN=usuario.pequisa,OU=Diversos,OU=Usuarios,OU=\

#TOTVS

#EXEMPLO,DC=

jv01

ad01,DC=local

"

Image Removed

Senha

     Utilizado apenas para o tipo de pesquisa "Estrutura", deverá ser informado a senha do usuário chave que foi informado no campo "Grupo". Este usuário deverá ter acesso de pesquisa a árvore do serviço LDAP. 

Image Removed

Pesquisa 

     Utilizado apenas para o tipo de pesquisa "Estrutura", deverá ser informado o ponto inicial da árvore que


Senha (Quando TIPO for ESTRUTURA)

Senha do usuário chave que possui permissão de acesso de pesquisa irrestrita na árvore do servidor AD, que é utilizada quando o campo Tipo está configurado como Estrutura e existe um filtro informado no campo Grupos. 


Pesquisa (Quando TIPO for ESTRUTURA)

Informe o ponto inicial da árvore do servidor AD de onde será iniciada a busca pelo usuário a ser autenticado.

Exemplo:

"OU

 OU=\

#TOTVS"Image Removed

#EXEMPLO


Filtro

     Utilizado apenas para o tipo de pesquisa "Estrutura", deverá ser informado o campo de propriedades no qual será feita a pesquisa

(Quando TIPO for ESTRUTURA)

Informe um filtro para pesquisa do usuário no servidor AD, utilizando o código do usuário.

Exemplo 

"

Exemplo: sAMAccountName={0}

". * O código do usuário será substituído no valor "

Neste exemplo o código do usuário será substituído no valor {0}

"

.

Image Removed


Informações
titleConfigurações do Usuário Integrado

Após parametrizações do LDAP descritos acima, devem ser realizadas as parametrizações dos usuários que irão utilizar essa integração. No programa de Cadastro de Usuário(SEC000AA) deverá ser realizado o vínculo do usuário do sistema operacional ao usuário do ERP através da aba extensão e na sequência alterado o TIPO do usuário para Externo.

Para maiores detalhes quanto a este processo, acesse Manutenção de Usuário (SEC000AA)

Âncora
ldp
ldp

Dica
titleComo identificar a URL LDAP?

A Microsoft disponibiliza algumas ferramentas de suporte do Active Directory e dentre elas pode ser utilizada a ferramenta LDP que permite executar operações de protocolo de acesso a pastas leves (LDAP) no Active Directory por linha de comando.


Expandir
titleComo instalar e utilizar a ferramenta LDP

A ferramenta LDP é um recurso que deve ser ativado no Windows, quando não estiver disponível por linha de comando.

Para ativar este recurso no Windows, acesse Painel de controle → Programas e Recursos → Ativar ou Desativar Recursos do Windows → Serviços AD LDS

Image Added


Após ativação do recurso LDP no Windows, acione o Prompt de Comando e execute o comando ldp.

Image Added


 Na tela apresentada, acesse o menu Connection > Connect

Image Added


Informe o IP ou HostName e o número da Porta do servidor LDAP (Padrão 389).

Image Added


Se a comunicação estiver funcional será então apresentada uma listagem contendo informações da árvore do servidor AD (Active Directory).

Image Added


Veja o conteúdo da informação defaultNaminContext que é "DC=jv01,DC=local".

Com este passo a passo já é possível montar a configuração do campo URL e também obter informações para preencher os campos Pesquisa, Grupos ou Filtro, sendo estes últimos 3 somente preenchidos quando o campo Tipo (escopo de busca) estiver configurado como Estrutura.

Neste caso o campo URL seria preenchido com: ldap://server01:389

Nota
titleLDAP com SSL

Para configurar o acesso via LDAP com SSL no produto Datasul é necessário importar o certificado digital do servidor LDAP na lista de certificados confiáveis do Sistema Operacional e ​​da JVM .

Para realizar a importação do certificado na JVM execute, no diretorio bin do java home, o comando keytool -importcert -alias "<alias>" -keystore "<java home>\lib\security\cacerts" -file "<caminho completo do certificado>".

Ao executar o comando, a senha do certificado pode ser solicitada. A senha padrão dos certificados digitais é changeit.

No Sistema Operacional, basta clicar duas vezes no certificado, selecionar a opção Instalar Certificado e prosseguir com o wizard de instalação. 

Informações

Para informações sobre padrão de URL LDAP acesse RFC-2255 - Formato URL LDAP


Recuperação da senha

      Indica se a funcionalidade de recuperação de senha está ou não habilitada a ser utilizada por todos os usuários do sistema.

Image Removed

Segurança avançada

Quantidade mínima de caracteres da senha

Indica a quantidade mínima de caracteres para uma senha, sendo que o valor máximo são 16 caracteres e quando o valor for igual a 0, então o controle será desabilitado.

Proíbe senha igual ao código do usuário

Permite o bloqueio da utilização de senha igual ao usuário. Exemplo: usuário super e senha super.

Quantidade de senhas salvas não reutilizáveis

Quantidade de senhas armazenadas no histórico. O valor máximo permitido são 99 senhas e quando o valor for igual a 0, então o histórico de senhas será desabilitado. O propósito é evitar a reutilização em futuras trocas de senha. Boas práticas de segurança restringem a repetição das 10 últimas senhas, mas este limite pode ser parametrizado pelo administrador de acordo com a política de segurança da empresa. É importante ressaltar que as senhas serão armazenadas em um formato de criptografia irreversível, utilizando o mesmo mecanismo de segurança atual (SHA-1 e MD5).

Quantidade mínima de tipos de caracteres

Habilita o controle do formato da senha utilizando composição de grupos de caracteres. Os grupos de caracteres possíveis são alfabéticos, numéricos e especiais. Boas práticas de segurança indicam a utilização de até 3 grupos de caracteres utilizados na validação da composição de uma senha. O valor máximo são 3 grupos e quando o valor for igual a 0, então o controle será desabilitado.

Habilita número permitido de tentativas mal sucedidas de login

Habilita o controle de quantas vezes um usuário pode realizar tentativas de login antes de ter o seu acesso ao produto bloqueado.

Tentativas mal sucedidas de login

Quantidade de tentativas mal sucedidas de login de um usuário. O valor máximo são 99 tentativas e quando o valor for igual a 0, então o controle será desabilitado.

Minutos de bloqueio temporário de login

Habilita o controle de tempo antes de permitir novo acesso do usuário quando a quantidade limite de tentativas mal sucedidas de login for alcançada. O sistema oferece duas possibilidades para o bloqueio do usuário ao alcançar a quantidade limite de tentativas de acesso:

    1. O login do usuário será bloqueado por tempo indeterminado e somente poderá ser desbloqueado mediante a liberação pelo administrador;
    2. O login do usuário permanecerá bloqueado por um determinado período de tempo, definido em minutos. A configuração deste campo determina a ativação da segunda opção (bloqueio por período de tempo).

O valor máximo são 999 minutos e quando o valor for igual a 0 então o controle será desabilitado.

Image Removed

Senha expirada

Define qual ação será tomada quando a senha do usuário expira:

    1. Impede o login;
    2. Solicita a alteração da senha no momento do login.

Image Removed

Card
accessKeyloginauto
idLoginAuto
labelLogin Automático

Login Automático

URL  (Opcional)

Se informada, o sistema entenderá que o login automático está habilitado. Ele deverá conter

Card
idSenha
labelSenha
Card
idLogin Automático
labelLogin Automático

URL  (Opcional)

     Informe

a URL do servidor IIS que efetuará a confirmação da autenticação do usuário

no processo de login automático

utilizando os dados da rede. Exemplo: 

"

http://

totvsjoi-fwk07

server:

88

8880/auth.aspx

"

     Mais informações: Windows (Login automático)

Image AddedImage Removed

Segurança de Acesso

     Indica se a funcionalidade para bloqueio da execução de programas progress não cadastrados no produto (bas_prog_dtsul) está habilitada ou não para todos os usuários do sistema.

     Como default, será permitido a execução de programas progress não cadastrados no menu.

Image Removed

Sugerir último usuário logado

     Indica se o sistema deve sugerir o último usuário logado com sucesso no sistema.

   Image Removed

    Ao selecionar a opção, o usuário é informado por meio de um alerta sobre o risco gerado por esta opção. 

Image Removed

   (Esta opção afeta a vulnerabilidade do produto facilitando o acesso mal-intencionado porque a informação sobre o login passa a ser automaticamente apresentada na tela de login, restando adivinhar a senha do usuário).

Controle de sessões

     Indica se a funcionalidade para controle de sessões está habilitada ou não para todos os usuários do sistema.

     Como default, não será realizado o controle de sessões.

Image Removed

Quantidade de sessões permitidas

     Indica o número máximo permitido de sessões ativas por usuário. Caso seja realizado login novamente com um usuário que já está no máximo, será oferecida a opção de desligar a sessão do usuário que está ativa há mais tempo.

Image Removed

Intervalo de verificação de situação de sessões

     Indica o intervalo de tempo (minutos) no qual será feito a verificação de sessões ativas. Esta verificação será feita para que seja desconectada a sessão mais antiga ativa no caso de ser selecionada esta opção em uma nova sessão do usuário.

Image Removed

Grupo de exceção de controle de sessões

     Grupo de usuários que será usado para exceção do controle de sessões. Os usuários presentes neste grupo não terão o controle de sessões ativas.

Image Removed

Timeout     

      Utilizado para informar o tempo até a execução do Timeout da sessão em minutos. Para desabilitar o timeout da sessão, deverá ser utilizado o número 0 (zero).

Image Removed

Mensagem de encerramento da sessão

      Campo utilizado para informar o tempo (minutos) para apresentação da mensagem de aviso que antecede a execução do Timeout, ou seja, definindo o valor como 1 (um), a mensagem de aviso será apresentada quando faltar um minuto para execução do Timeout.

Image Removed

 Exceção Grupo de segurança

Usuários pertencentes ao grupo adicionado no campo de exceção não receberão mensagens de encerramento da sessão, assim como não sofrerão timeout da sessão.

Image Removed

O controle de timeout leva em consideração as interações de mouse e teclado sobre as telas HTML e, caso o DI (Datasul Interactive) esteja aberto, qualquer interação de mouse e teclado na estação de trabalho.
Card
idAcessoFluig_Identity
labelFluig IdentityAcesso
Card
idTimeout
labelTimeout

Fluig Identity

Área de configuração de integração do produto Datasul com Fluig Identity.

Image Added

Habilitar integração 

É responsável por habilitar/desabilitar a integração do produto Datasul com Fluig Identity.


URL

URL base do Fluig Identity.

Aviso

Não informe a barra ( / ) no final do endereço URL, pois poderá apresentar erro de conexão SOCKET ao tentar validar a integração.


Token do Aplicativo

O token refere-se ao Configuration Token da aplicação criada no Identity.


Não sabe como informar os dados para a URL e Token? Acesse o quadro de informações mais abaixo e veja um passo a passo com as orientações para recuperar a URL e Token de acesso ao Fluig Identity.

Âncora
sincAuto
sincAuto
Habilitar Sincronização Automática

É responsável por habilitar/desabilitar a sincronização automática de usuários.

Quando estiver habilitada esta sincronização, indica que o sistema processa periodicamente a busca de dados dos usuários e grupos de segurança/relacionamentos (resources) do Identity. A sincronização automática também é disparada à cada login no produto ou por meio do programa btb964aa.

URLs Permitidas

Lista de URL´s (domínios) que direcionam o acesso ao Datasul.
No Identity uma URL do Datasul é configurada, no entanto o Datasul também pode ser acessado utilizando IP ou nome físico, por exemplo. Uma mensagem de aviso sobre URL incompatível é apresentada caso a URL do Datasul configurada no Identity não seja a mesma que a padrão e também não esteja cadastrada no campo URLs Permitidas.

Exibir aplicativo

Atalho de acesso ao aplicativo configurado no Identity.

Validar integração

Utilizado para validar as informações configuradas antes de salvar, para evitar erro quando a integração for habilitada.

Salvar

A funcionalidade de Salvar difere do processo de validação, pois, na Validação apenas é chamada a URL com o token informado pelo próprio navegador. Já na funcionalidade de Salvar, o processo vai ocorrer no appserver progress do cliente e nesse momento uma nova validação na camada progress é realizada e pode ocorrer erro.

Geralmente o erro que ocorre nesse momento do Salvar é "Não foi possível comunicar-se com o Fluig Identity".

Portanto, para que esse erro não ocorra é importante configurar o ambiente progresss appserver do cliente inserindo a chave publica do certificado. Essa chave pública é obtida da URL informada nas configurações da tela. Para isso é preciso fazer:

  1. Acessar a URL informada no cadastro e utilizar o browser de sua preferência para exportar o certificado no formato DER (salvar em um arquivo EX: fluig.cer)
  2. Acessar o server que está instalado o appserver progress e abrir a ferramenta proenv
  3. Uma vez acessando a ferramenta digitar certutil -format DER -import <path-filename exportado anteriormente no item 1>

Com essas ações o appserver estará preparado para processar requisições da URL do identity informada no cadastro e a funcionalidade Salvar deverá funcionar normalmente.



Informações
titleInformações


  • Após informar os dados apresentados na tabela acima e clicar no botão Importar, o sistema usará a Base URL e Token para buscar os dados do aplicativo.

  • A efetivação da configuração é realizada somente após clicar no botão Salvar, que solicitará confirmação para iniciar o processo de sincronização. Este processo tem como objetivo manter a sincronização dos dados entre o Datasul e o Fluig Identity, sendo importante, por exemplo, realizá-la após uma troca de aplicativo .
  • O Link Sincronizar demonstrado na imagem Identity, direciona o usuário ao programa de sincronização de dados entre o Datasul e o Fluig Identity.

  • A cada ajuste nas configurações do Identity serão gerados os arquivos datasul.cert e datasul.pk8 no diretório base do servidor de aplicação Web:

TOMCAT: Será utilizado o diretório base provido pelo Servidor Web por meio da propriedade catalina.base, ou, no caso da propriedade ser nula, será utilizado o valor da propriedade catalina.home.

Exemplo: C:\Program Files\Apache Software Foundation\Tomcat 9.0.



Configurando a URL e token de acesso ao Fluig Identity

Abaixo seguem as etapas abaixo para configurar URL e token de acesso ao Fluig Identity no produto Datasul. Clique nas imagens para ampliá-las.


Deck of Cards
startHiddenfalse
historyfalse
idCONFIGURATION
effectTypehorizontal
Card
defaulttrue
idETAPA1
labelEtapa 1


Na ferramenta fluig Identity pesquise e clique no aplicativo do ERP Datasul previamente cadastrado e configurado:

Image Added


Card
idETAPA2
labelEtapa 2


Na página de Configurações do aplicativo, clique no botão Token de Configuração e copie a sequência de caracteres que será apresentada:


Image Added


Card
idETAPA3
labelEtapa 3


Após copiar o conteúdo do token do aplicativo, execute o ERP Datasul autenticando-se com um usuário administrador, acesse Configurações → Propriedades do Sistema → Propriedades Acesso → Aba Fluig Identity e ative a integração em Habilitar Integração


Image Added


Card
idETAPA4
labelEtapa 4


Copie URL base do Fluig Identity, ignorando a barra final, conforme mostra o item (1) e cole no campo URL na tela de Configurações do Fluig Identity do Datasul.

Copie também o token de Configuração do aplicativo, conforme mostra o item (2) e cole no campo Token também na tela de Configurações do Fluig Identity do Datasul.


Image Added


Card
idETAPA5
labelEtapa 5


Veja como ficou a tela de configurações do produto Datasul em relação a habilitação do Fluig Identity.

Agora é só avaliar se precisará também ativar a Sincronização Automática e informar os demais campos e clicar em Salvar.


Image Added


Card
idVIDEO
labelVídeo Demonstrativo

Segue abaixo um vídeo com o passo a passo da captura e configuração da URL e token de acesso do Fluig Identity no produto Datasul. Clique no vídeo para ampliar.


Image Added




Informações

Quer saber como utilizar o programa Sincronização com Fluig Identity (html.identitysync)? Acesse TOTVS Validacao e Sincronizacao com Identity


Card
idOIDC
labelOpen ID Connect

Open ID Connect

Área de configuração de integração do produto Datasul com portais que utilizam o protocolo Open ID Connect (OIDC).

Image Added

Habilitar integração OIDC

É responsável por habilitar/desabilitar a integração do produto Datasul com o OIDC.


Redireciona automaticamente para o login OIDC

Redireciona o login para a URL do OIDC, sem a exibição do login do ERP Datasul.


Label provedor OIDC

Texto apresentado no botão de login do OIDC


URL base do OIDC

Url base do serviço de login OIDC


Ex.: "https://login.microsoftonline.com".


URL de redirecionamento para o login no produto Datasul

Url de redirecionamento do login no produto Datasul após efetuar a autenticação no provedor OIDC.


Ex.: "http://host:porta/totvs-login/ACS?login".


TenantID 

TenantID do aplicativo, localizado dentro das configurações do OIDC.


ClientID

ClientID do aplicativo, localizado dentro das configurações do OIDC.


Url de autorização OIDC

somente leitura - É preenchido automaticamente ao utilizar o botão "Monta Url Autorização" (Os parâmetros devem estar corretos para o preenchimento, caso contrario o campo não será preenchido ou será limpo).


BotãoMonta Url de Autorização

 Responsável por pegar os parâmetros informados, validar e montar a url que será utilizada internamente para a integração com o OIDC.


Nota
titleNota

Para garantir a integridade das informações, o botão Salvar é automaticamente desabilitado em caso de inconsistências nos dados em tela.

HTML
<style>
div.theme-default .ia-splitter #main {
    margin-left: 0px;
}
.ia-fixed-sidebar, .ia-splitter-left {
    display: none;
}
#main {
    padding-left: 10px;
    padding-right: 10px;
    overflow-x: hidden;
}

.aui-header-primary .aui-nav,  .aui-page-panel {
    margin-left: 0px !important;
}
.aui-header-primary .aui-nav {
    margin-left: 0px !important;
}

.aui-tabs.horizontal-tabs>.tabs-menu>.menu-item.active-tab a::after { 
	background: #FF9900; !important 
}

.menu-item.active-tab { 
	border-bottom: none !important; 
}

</style>