Linha Datasul

Árvore de páginas

Matriz de Evolução

Versão/ReleaseFuncionalidade
12.1.2503
  • Liberação da funcionalidade de geração dos certificados para uso no token JWT.

Descrição

A partir da release 12.1.2503, foi implementado no produto TOTVS Datasul a funcionalidade de geração dinâmica de certificados para o uso em tokens JWT (autenticação e autorização).

Para seu uso, é necessário efetuar uma parametrização prévia no produto.


Configuração

A seguir, são apresentados um passo a passo de como deve ser parametrizado, lembrando que deve ser analisado caso a caso a necessidade do cliente:

Passo 1

Acessar o programa Propriedades JWT (aba Certificados).

Passo 2

Definir um diretório (onde o arquivo .jks será armazenado), juntamente com a senha (mínimo 6 caracteres).

Nota

Caso os campos não sejam definidos, o produto atribuirá valores padrões para a geração do certificado.

Passo 3

Clicar no botão Gerar JWKS

Nota

Após a geração do certificado, não será possível alterar o diretório.

Caso seja necessário efetuar a alteração do mesmo, todos os certificados devem ser removidos.

Passo 4

Clicar em ... e Habilitar o certificado desejado para a geração do token JWT.

Nota

Apenas a geração do certificado não garante que o mesmo será utilizado na geração do token JWT.

Deve-se clicar na ação Habilitar e o certificado deve estar com o campo Ativo: Sim

Para mais detalhes quanto a ativação do certificado, bem como o comportamento da autorização dos tokens JWT, consulte o cenário 1 apresentado a seguir.

Passo 5

Clicar em Salvar e reiniciar o Apache Tomcat.


Cenários de parametrização

A seguir serão apresentados possíveis cenários de parametrização:

Cenário 1: Existe mais de um certificado na tabela

Caso houver mais de um certificado gerado, é necessário definir o Alias Ativo, sendo o mesmo considerado para a geração do token JWT (Autenticação).

Para garantir uma troca de certificado transparente e não quebrar possíveis integrações que possuem o token JWT gerado com base no certificado antigo, são autorizados todos os tokens JWT cujo certificados estão na lista.

Atenção

Ao ativar um certificado, por questões de segurança, após reiniciar o Tomcat não será autorizado os tokens gerados pelo certificado padrão do ERP Datasul, no qual é emitido o HTTP Status 401 para estes tokens.

Cenário 2: Preciso bloquear a autorização de acesso por um determinado certificado

Conforme informado no cenário anterior, "...todos os tokens JWT que foram gerados com certificados na lista ainda são autorizados...", portanto a desativação do mesmo não restringe o acesso ao endpoint.

Para restringir o acesso, basta selecionar o certificado e excluir-lo.

Antes

Depois

Cenário 3: Não existem certificados na tabela ou todos estão desabilitados

Caso existirem certificados porém todos estão desabilitados ou não exista nenhum certificado na lista, será considerado o certificado padrão do ERP Datasul para a geração do token JWT e sua posterior autorização de acesso.


Cenário 4: Possuo um ambiente com múltiplos Tomcats

Por questões de segurança e padronização, todos os certificados são armazenados em um arquivo físico (.jks) portanto:

  • Caso possua um ambiente com múltiplos servidores Tomcats, recomenda-se que o acesso ao diretório esteja disponível para todos estes servidores, sendo uma alternativa o compartilhamento deste diretório.
  • Caso possua políticas de restrição ao compartilhamento de diretórios, outra alternativa é a cópia manual do arquivo .jks para o servidor onde o Tomcat está instalado
    • Neste cenário, caso houver alguma alteração nos parâmetros do certificado (geração, alteração de senha ou remoção), o arquivo .jks deve ser atualizado manualmente nos demais servidores. 

Atenção

Os parâmetros de Certificado não utilizam a funcionalidade de Sobreposição das Propriedades do Produto no Tomcat, a configuração é sempre realizada de forma global.


Documentos relacionados