Na rotina de Política (Configurador > Usuário > Senhas > Política), é possível configurar as regras de segurança, violação, conexões e integrações. As regras básicas do sistema estarão nesta rotina, porém, caso a mesma funcionalidade exista também nos níveis mais específicos, o que estiver configurado acima será respeitado (por exemplo, a configuração de Troca Periódica de senha, que também pode ser configurada no Usuário ou no Grupo).
Abaixo iremos detalhar as principais funcionalidades da Política de Segurança do Protheus.
Aba Política de Segurança > Regras de Senha
Parâmetros:
- Usuário case sensitive: define se deverão ser respeitadas as letras maiúsculas e minúsculas no nome de usuário. Se estiver selecionada a opção 1-Sim, o sistema faz diferença entre utilizar "usuario" e "Usuario"
Com o Dicionário de Dados no Banco de Dados, para que o modo Case Sensitive do Login do Usuário funcione corretamente, é necessário estar com o Collation correto para o sistema.
Detalhe das configurações de Banco de Dados para o Protheus podem ser encontrados em https://tdn.totvs.com/display/tec/DBAccess+-+Collation%2C+Character+Type+e+Encoding
Bancos de Dados Homologados:
https://tdn.totvs.com/display/tec/DBAccess+-+Banco+de+dados
- Habilitar Single Sign-on: Indica se habilita o login por "Entrada Única", conforme modalidades do item abaixo. As opções podem ser:
1-Obrigatório - Será obrigatório o uso para todos os usuários do sistema, ficará bloqueado o campo de usuário já com o usuário do Single Sign-On escolhido
2-Opcional - Ao aparecer a tela de login, o usuário terá a opção de utilizar o usuário do Single Sign-On que vier preenchido no campo de Usuário, ou digitar manualmente seu usuário do Protheus
3-Desligado - O Single Sign-On estará desabilitado para todos os usuários
- Modalidade de Single Sign-on: Se o Single Sign-On estiver habilitado, este campo define qual o tipo será utilizado, que pode ser:
1-Sistema Operacional - Vincula o usuário do sistema operacional ao usuário do Protheus, e utiliza o do sistema operacional para fazer o login no Protheus
2-SAML - Utiliza uma integração SAML para fazer o login no Protheus
3-Active Directory - Vincula o usuário do AD da rede ao usuário do Protheus, e utiliza esse usuário para fazer login no Protheus
- Troca periódica da senha a cada n dias: Define de quanto em quanto tempo a senha dos usuários deverá ser trocada
- Notificar expiração n dias antes: Define uma quantidade de dias para que o usuário comece a ser notificado que sua senha irá expirar
- Forçar troca da senha em: Define uma data específica para forçar a troca da senha pelos usuários
- Forçar troca de senha: Define se será obrigatória a troca da senha dos novos usuários no seu primeiro login no sistema. As opções são:
1-Opcional (Padrão Não) - Define que a troca de senha no primeiro login será opcional, e a opção "Forçar troca de senha no próx. logon", na inclusão de um novo usuário, virá desmarcada por padrão
2-Opcional (Padrão Sim) - Define que a troca de senha no primeiro login será opcional, mas a opção "Forçar troca de senha no próx. logon", na inclusão de um novo usuário, virá marcada por padrão
3-Obrigatório - Define que será sempre obrigatória a troca de senha no primeiro login. A opção "Forçar troca de senha no próx. logon", na inclusão de um novo usuário, já virá marcada e bloqueada
Regras de preenchimento:
- Tamanho mínimo da senha: Define o tamanho mínimo para a senha dos usuários
- Inibir uso das últimas n senhas: Define que as últimas n senhas não poderão ser re-utilizadas. Caso utilize o valor 0, não haverá essa inibição
- Inibir sequência numérica: Inibe o uso de sequências de números na senha, como por exemplo 123, 00000, 98765, etc
- Inibir parte do nome ou usuário: Inibe o uso do nome do usuário, ou parte dele, na senha. Por exemplo, Usuário=Teste, Senha=Teste2019, não será permitido
- Inibir repetição de parte da senha: Inibe a repetição de partes da senha antiga ao definir uma nova. Por exemplo, caso a senha "135678" seja a senha antiga não é permitido definir uma senha que contenha "135" por fazer parte da senha antiga. É aplicada quando o usuário troca a senha na entrada do sistema.
- Obrigar uso de letras e números: Obriga a senha a possuir tanto letras quanto números em sua estrutura
- Máscara de dígitos obrigatórios: Define uma máscara de caracteres para a máscara, informando a quantidade de vezes que um caracter deve ser utilizado na senha. Os caracteres que podem ser utilizados são:
A-Indica o uso de letra maiúscula;
a-Indica o uso de letra minúscula;
9-Indica o uso de números;
X-Indica o uso de caracteres especiais;
Observação: O caracter "#" quando utilizado na primeira posição da máscara, indica que ela representa o número mínimo de caracteres. Se não informado, indica que a mascará representa o valor máximo de caracteres.
Exemplo: AA99XXa
Aba Política de Segurança > Regras de Violação
Regras para bloqueio:
- Bloquear usuário após n tentativas: Define que o usuário será bloqueado após tentar n vezes fazer o login com senha incorreta. Após bloqueado, ele deverá ser desbloqueado pelo Admin, ou será desbloqueado automaticamente se o item "Desbloquear usuário após n minutos" estiver configurado
- Intervalo entre tentativas (minutos): Define quantos minutos o usuário terá que esperar antes de fazer uma nova tentativa de login
- Desbloquear usuário após n minutos: Define quantos minutos serão necessários para que o usuário seja desbloqueado
Parâmetros:
- Notificar administrador sobre bloqueio: Define se o Admin será notificado quando um usuário for bloqueado
- Notificar sobre tentativa de violação: Define se o Admin será notificado quando um usuário tentar acessar após exceder suas tentativas de login com senha incorreta.
- Permitir envio de senha por e-mail: Define se será permitido que os usuários recebam sua senha por e-mail ao utilizar a opção "Esqueceu sua senha"
Múltiplos Terminais:
- Inibir acesso a mais de um terminal: Define que um usuário não poderá utilizar o sistema em mais de um computador. No caso de job não será possível inibir esse acesso.
- Bloquear usuário ao acessar outro terminal: Define que, se o usuário acessar o sistema em um segundo computador, ele será bloqueado (se o item anterior "Inibir acesso a mais de um terminal" estiver habilitado)
Aba Conexões
Proxy:
- Utiliza servidor proxy: Habilita a configuração de Proxy, caso a rede onde esteja o servidor do Protheus possua essa configuração
- Endereço IP do servidor Proxy: Define o endereço de rede do servidor Proxy
- Porta do servidor Proxy: Define a porta do servidor Proxy
- Usuário do servidor Proxy: Define o nome de usuário do servidor Proxy
- Senha do usuário no servidor Proxy: Define a senha do servidor Proxy
SMTP: (configuração para envios de e-mails do sistema, como senhas por e-mail por exemplo)
- Endereço IP do servidor: Define o endereço do servidor de SMTP
- Usuário do servidor: Define o nome de usuário do SMTP
- Senha do usuário no servidor: Define a senha do SMTP
- Conta do e-mail de saída (from): Define a conta que é utilizada no campo "From" do servidor de e-mails
- Exigir logon usando autenticação (SPA): Define se o logon no SMTP utilizará autenticação
- Utilizar conexão criptografada TLS: Define se o logon no SMTP utilizará criptografia TLS
- Utilizar conexão criptografada SSL: Define se o logon no SMTP utilizará criptografia SSL
- Utilizar SMTP Extendido: Define se o logon no SMTP utilizará SMTP do tipo Extendido
Aba Outros > Parâmetros
Genérico:
- Habilita consulta genérica 'F3': Define se estará habilitada a Consulta Genérica nas rotinas, utilizando a tecla F3
- Habilita log de erro por email: Define se os logs de erro do sistema serão enviados ao Admin por e-mail
- Habilita arquivo diferencial: Habilita o arquivo diferencial do sistema
- Inclui Grupo Default automaticamente em usuário novo: Define se o Grupo Default (Grupo que nega todos os acessos por padrão) estará habilitado automaticamente para novos usuários por padrão
- Habilita privilégio para usuário do grupo administrador: Define se os usuários do grupo Administradores sofrerão as restrições de Privilégios atrelados a eles
Data base do sistema:
- Configurar dias de troca da data base: Define se o usuário terá ou não limitação para avançar/retroceder a data base do sistema
- Retroceder: Define quantos dias o usuário poderá retroceder a data base do sistema
- Avançar: Define quantos dias o usuário poderá avançar a data base do sistema
Vínculo Funcional:
- Marque as opções do vínculo funcional a serem bloqueadas: Define as opções do vínculo funcional que devem estar bloqueadas
Regras de Auditoria:
- Auditar atualizações no dicionário de dados: Define se as atualizações de dicionários de dados serão auditadas
- Auditar atualizações no cadastro de usuário: Define se as atualizações no cadastro dos usuários serão auditadas
Importante:
A partir da Release 12.1.2410, ao alterar essa opção para Sim, automaticamente as tabelas SYS_USR_ do Embedded Audit Trail serão habilitadas, pois a auditoria de usuários passa a ser feita também pelo Embedded Audit Trail. A partir da Release 12.1.2510, todas as auditorias serão feitas pelo Embedded Audit Trail, e as demais ficarão disponíveis apenas para consulta.
- Auditar autenticação/acesso: Define se os eventos de tentativa de login no sistema serão auditadas
- Auditar rejeição de acesso à recursos: Define se as rejeições de acesso (tentativas de acesso a rotinas/funções bloqueadas para aquele usuário) serão auditadas
- Auditar acesso de rotinas com campos pessoais e sensíveis (disponível a partir da LIB versão 20200214): Define que as rotinas acessadas que possuírem o uso de tabelas que se encontram configuradas como dados protegidos terão essas tabelas gravadas com o identificador PROGRAM_ACCESS
- Auditar autenticação/acesso no Rest (disponível a partir da LIB versão 20210405): Define se os eventos de tentativa de autenticação/acesso no serviço Rest serão auditadas. Mais informações na documentação: Auditoria de logs de autenticação/acesso no Rest
Recursos do Sistema: (É possível remover recursos do sistema com a finalidade de melhorar a performance de tela do SmartClient)
- Menu Funcional: Define se o menu funcional será exibido nos módulos
- Painel Online: Define se o Painél Online será exibido, caso ele esteja configurado
- Browser de Internet: Define se o browser (navegador de internet) será exibido no SmartClient, caso ele esteja habilitado no smartclient.ini
- Detalhes do Browse: Define se os browses irão mostrar a seção Detalhes
- Painel Transparente: Define se as janelas que possuem efeito de fundo opaco, terão esse efeito ativo
- Refresh no Browse: Define se o conteúdo de uma linha do browse deve ser atualizado ao movimentar a posição da linha para cima ou para baixo (tecla pra cima / tecla para baixo)
Flavour:
- Indica o código do Flavour a ser utilizado: Define o código do Flavour em uso
Aba Outros > Painel On-Line
- Nesta aba são definidos quais painéis estarão habilitados para que o Admin habilite nos usuários
Aba Outros > Painel Off-Line
- Configurações do Painel Off-Line
Aba Integrações
- Permite configurar as integrações do tipo oAuth, SAML e SCIM com o Protheus