Além da autenticação padrão utilizando o usuário do ERP, também é possível configurar o Meu RH para autenticar com o provedor de identidade TOTVS Identity. O TOTVS Identity foi criado para permitir o gerenciamento centralizado de login e senha de acesso dos usuários aos sistemas da sua empresa. Dessa maneira, você simplifica o processo e facilita a gestão de acesso aos recursos digitais da companhia. Com um único login e senha, o usuário terá acesso aos diferentes sistemas, sem precisar cadastrar dezenas de senhas diferentes.
OBS: A autenticação utilizando TOTVS Identity estará disponível a partir da release 12.1.34 e apenas para a linha RM.
1 - Criando o aplicativo no TOTVS Identity
Dentro da aplicação do TOTVS Identity, selecione a opção Aplicativos e clique no botão "Novo aplicativo" e selecione a opção "Padrão"
1.1 - Aba Visão Geral
Na aba de "Visão geral" estão as informações gerais sobre o aplicativo:
Nome da Aplicação: Nome do aplicativo que será exibido na tela de autenticação do TOTVS Identity
Descrição: Breve descrição do aplicativo
Categoria: Tipo de aplicativo
Navegável: Indica se o aplicativo estará visível no Launchpad
Trocar Logo: Imagem que será exibida na tela de autenticação do TOTVS Identity
Habilitar Segurança OAuth 2.0: Deixar desmarcado
A tela de autenticação do TOTVS Identity será exibida da seguinte forma:
Após preencher todas as informações da aba, clicar em "Salvar"
1.2 - Aba "Entrar"
Na aba de "Entrar" estão as informações de configuração do aplicativo:
Modo de Login: SAML
Tipo Inic SSO: IDP_INITIATED
ID da Entidade Específica do Domínio: Deixar desmarcado
URL Completa: Deixar desmarcado
Domínio: Deixar em branco
Formato do Name ID: Endereço de Email
Assinatura do Response: Deixar marcado
Resposta Criptografia: Deixar desmarcado
Assinatura do Assertion: Deixar marcado
URL do Consumidor de Asserções: o formato da URL deve ser escrita da seguinte maneira → http(s)://{{IP da máquina onde exista serviço de host configurada}}:{{HttpPort configurada}}/RMCloudPass/SSOSaml2?ProviderId{{Número do Id do provider cadastrado no ERP}}
Destinatário: o formato da URL deve ser escrita da seguinte maneira → http(s)://{{IP da máquina onde exista serviço de host configurada}}:{{HttpPort configurada}}/RMCloudPass/SSOSaml2?ProviderId={{Número do Id do provider cadastrado no ERP}}
OBS: O número que deve ser passado no parâmetro ProviderId é o mesmo Id cadastrado para o provider dentro do ERP. Exemplo de URL: http://192.168.1.140:8051/RMCloudPass/SSOSaml2?ProviderId=12
Público: TOTVS
Nome do Emissor SP: TOTVS
Mapeamento ID de Usuário: E-mail do Usuário
Usar URL de Acesso Direto ao Aplicativo: Deixar marcado
Autenticação Externa: Deixar desmarcado
Sincronizar login SAML com e-mail do AD: Deixar desmarcado
Após preencher todas as informações da aba, clicar em "Salvar"
1.3 - Aba "Provisionar"
Na aba de "Provisionar" estão as informações de provisionamento do aplicativo:
Habilitar Provisionamento: Deixar desmarcado
Após preencher todas as informações da aba, clicar em "Salvar"
2 - Configurando o ERP
Além da criação do aplicativo dentro do TOTVS Identity, também é necessário parametrizar algumas informações dentro do ERP.
2.1 - Permissionamento
Para habilitar o menu de configuração de aplicativos SAML dentro do ERP, é necessário primeiro habilitar as seguintes permissões de menu:
06.06.08 - Aplicativos SAML
06.06.08.01 - Inserir aplicativo SAML
06.06.08.02 - Remover aplicativo SAML
06.06.08.03 - Editar aplicativo SAML
2.2 - Criação do aplicativo
Para realizar as parametrizações do aplicativo, acesse o menu Serviços Globais >> Gestão >> Aplicativos SAML e selecione para criar um novo registro:
Devem ser preenchidas as seguintes informações:
Ativo: Indica se o provider estará habilitado para ser utilizado, deverá ser marcado.
Nome do Provider: Nome de identificação do provider.
Url de Retorno: Url que será redirecionada após a autenticação dentro do TOTVS Identity. A Url será a de acesso do portal do Meu RH, com o final /#/login
RelayState: Não precisa ser preenchido.
Url de login do provider: Deve ser preenchido com a Url presente no campo "URL de acesso direto" na aba "Entrar" dentro do aplicativo criado no TOTVS Identity
Url de logout do provider: Deve ser preenchido com a Url presente no campo "URL de logout direto" na aba "Entrar" dentro do aplicativo criado no TOTVS Identity
Metadados: Deve ser preenchido com o certificado que está cadastrado para o aplicativo criado no TOTVS Identity. Para realizar o download desse certificado, acessar a aba "Entrar" no aplicativo criado no TOTVS Identity e clicar na opção Baixar metadados do IDP. Como é um arquivo XML, o valor que deve ser inserido está entre as chaves <ds:X509Certificate></ds:X509Certificate>
Após o cadastro, será gerado um Id para o aplicativo que vai ser utilizado nas configurações dos tópicos 1.2 e 3.1:
2.2 - Associando o usuário ao e-mail do TOTVS Identity
Para que o usuário consiga se autenticar no Meu RH através do TOTVS Identity é necessário que ele tenha o mesmo e-mail cadastrado dentro do ERP. Para isso, acesse o menu Serviços Globais >> Segurança >> Usuários
Selecione o usuário e abra para edição. No campo "Email" deve estar cadastrado o e-mail de acesso do TOTVS Identity para aquele usuário:
3 - Configurando o Meu RH
Por fim, é necessário também configurar a parte do Meu RH. Só é possível utilizar apenas um provider ativo para o Meu RH, ou seja, mesmo que existam mais aplicativos ativos, apenas o especificado no arquivo Web.config será considerado
3.1 - Alterando o Web.config
Para habilitar o uso do aplicativo configurado no tópico 2.2 dentro do Meu RH, é necessário adicionar a tag <add key="SamlProviderIdMyHr" value="id" /> no arquivo Web.config da pasta FrameHTML na seção <appSettings>, substituindo o "id" pelo Id cadastrado no aplicativo dentro do ERP. Por exemplo, no tópico anterior cadastramos um aplicativo cujo Id é 13, então a chave ficaria dessa forma <add key="SamlProviderIdMyHr" value="13" />
3.2 - Formas de acesso
3.2.1 - Portal
Através do portal existem duas formas de acesso, utilizando o LaunchPad do TOTVS Identity ou autenticando pela tela de login do TOTVS Identity que redireciona diretamente para o Portal Meu RH. Através do Launchpad, basta se logar na plataforma do TOTVS Identity, selecionar o menu Launchpad e clicar no ícone do aplicativo criado:
A outra forma é utilizar a própria Url já configurada para o portal Meu RH, onde o usuário será redirecionado para a tela de login com o botão indicando o login via TOTVS Identity:
Após clicar no botão, o usuário será redirecionado para a tela de login do TOTVS Identity, ou caso já esteja logado no TOTVS Identity será redirecionado para a home do Meu RH
3.2.2 - Aplicativo
No aplicativo, quando o ambiente estiver configurado com o TOTVS Identity a tela de login irá ser apresentada com o botão de acesso ao TOTVS Identity :
Ao clicar no botão, o usuário será redirecionado para a tela de autenticação do TOTVS Identity:
Após a autenticação, a home será exibida.
4.0 - Utilização de autenticação única via APP
Para melhorar a experiência do usuário para realizar o login via aplicativo, foi implementado o conceito de Refresh Token dentro do aplicativo Meu RH, dessa forma o usuário precisará incluir as suas credenciais uma única vez, não necessitando de digitar novamente suas credenciais caso o token ainda esteja válido.
Para habilitar esta opção, deverá seguir os seguintes passos:
- Obter a versão igual ou acima da 3.1.01 do aplicativo Meu RH nas lojas da Play Store ou Apple Store
- Realizar o download das bibliotecas RM e Portal a partir da versão de PATCH 12.1.2310.150 ou 12.1.2402
- Habilitar o token conforme documentação, aumentando o nível de segurança para autenticação: Como utilizar a autenticação por token no Meu RH da linha RM?
- Parametrizar o tempo de expiração do refresh token conforme periodicidade de acesso. Deverá ser incluído a tag JWTRefreshTokenExpireMinutes no host.config podendo ser configurado entre 1 a 129600 minutos (90 dias), segue a documentação: Autorização / Autenticação em API's#Renova%C3%A7%C3%A3odoToken
Aviso Importante:
- É necessário habilitar o token para que a utilização única via aplicativo funcione, conforme o passo 3 acima. Após habilitar o token deverá reiniciar os serviços de host e IIS.
Visão Geral
Import HTML Content
Conteúdo das Ferramentas
Tarefas