PORTAL DE DOCUMENTAÇÃO
senior XPlatform
senior X Platform - Manual do Usuário > Definições > Autenticação

Autenticação

As definições dos tipos de autenticações para cada tenant é um procedimento fundamental para a administração dos usuários e requer ponderação ao serem alteradas.

Por exemplo, ao adicionar um tipo da autenticação a um tenant, os usuários e papéis existentes continuam na base de dados, eles não são excluídos, visto que se trata de uma operação de grande impacto. Por isso, é recomendável que esse processo de alteração seja avaliado com cautela e, de preferência, com apoio especializado da Senior.Independentemente da forma de autenticação escolhida, não utilize espaços no nome do usuário para acesso a plataforma.

Para definir os tipos de autenticações de um tenant, basta acessar Tecnologia > Administração > Gestão dos Tenants > Configure, selecionar o tenant desejado e clicar em Configurações. Na guia Autenticação, no campo Tipo de autenticação, estão disponíveis os tipos:

Importante

Atualmente, não é possível fazer a integração de papéis por meio da integração SAML/ADFS para a XPlatform. O vínculo destes papéis deverá ser realizado manualmente.

ClosedAutenticação na G7

Não possui autenticação com qualquer sistema terceiro. Desta maneira, todos os usuários deste tipo necessitam serem criados manualmente, ou através de APIs, dentro da própria plataforma, para que assim possam ter acesso ao ambiente. Este é o modelo padrão de autenticação, sendo necessário adotá-lo por usuários que solicitam um acesso digital à XPlatform.

Ao assinalar o campo Permitir a opção "Alterar senha após autenticar" na gestão de usuários, Tecnologia > Administração > Gestão do Tenants > Configure, na guia Autenticação, opção Autenticação G7, é possível indicar um usuário para alterar a senha obrigatoriamente ao acessar a plataforma.

Em alguns casos, o tipo de Autenticação G7 não está habilitado no tenant. Para validar essa informação, verifique a documentação sobre Gestão de Inquilino. Assim que o tipo de autenticação estiver habilitado, basta criar o usuário que terá este tipo de autenticação específico.

ClosedAutenticação na G5

Ao determinar esse o tipo de autenticação do tenant, é determinado também que a base de dados do sistema Senior utilizada é a responsável. Portanto, todas as configurações deste tipo de usuários devem ser realizadas no próprio sistema, por exemplo, exclusão de usuário e troca de senha. Caso possua mais de uma solução Senior, é imprescindível que as bases sejam unificadas para utilização desta autenticação.

Além disso, ao utilizar esse modelo de integração com o sistema Senior, é necessário configurar o Integrador para que replique os dados do sistema para a plataforma. Com isso, todas as autenticações realizadas dos usuários deste tipo de autenticação serão feitas na XPlatform. Assim, com a sincronização de usuários e por questões de performance e segurança, o processo de autenticação não faz a validação dos dados no sistema.

Observação

Ao acessar a XPlatform com o parâmetro &tenant=dominio_do_tenant na URL, o login não exige que seja informado o domínio dos usuários no acesso.

Caso o acesso seja efetuado em nossa URL padrão (https://platform.senior.com.br/login/?redirectTo=https%3A%2F%2Fplatform.senior.com.br%2Fplataforma%2F) é necessário informar o login@dominiodotenant.com.br

Características

  • estão disponíveis dois modelos de integração, a partir do Integrador, que possuem uma tela para iniciar, parar e monitorar as integrações. No caso do Painel de Gestão, do Gestão de Pessoas | HCM, há um integrador específico, responsável por todo o monitoramento no sistema;
  • com esse tipo de autenticação definida, está disponível a opção Permite Alterar Senha, responsável por indicar na base de dados da solução Senior, o responsável pelos usuários. Sendo assim possível a troca de senha também pela XPlatform.

    Entretanto, esse modelo pode causar algumas situações, como senhas diferentes entre plataforma e sistema ou ainda, a replicação de senha do sistema para a plataforma sem usuário ter o conhecimento desta ação. Por isso, é recomendável esta opção somente para usuários com acesso somente na plataforma.

Retry

O processo de integração é fator fundamental para o relacionamento entre solução e plataforma. E a parte referente a replicação de usuários é suscetível a falhas externas, como no banco de dados e perda de conexão.

Por isso, o mecanismo retry (tentar de novo) da XPlatform é realizado após uma integração falhar. Ou seja, é feita uma nova tentativa de integração após um período de tempo, segundos ou minutos.

No caso do Painel de Gestão, do Gestão de Pessoas | HCM, é recomendável acompanhar a situação dos integradores de ambos locais, no dashboard de integração (hcm-monitor) e na tela Sincronização, em Tecnologia > Administração > Integração > Replicações com falha, que permite monitorar as falhas. Para o gerenciamento das replicações, acesse Tecnologia > Administração > Integração > Replicação.

Importante

Ao selecionar a opção Usuário deve alterar senha no próximo logon, nas propriedades do usuário no Senior Gerenciador de Usuários, ao acessar a plataforma é obrigatório a troca de senha do usuário via integração. Caso o acesso e a troca de senha sejam feitos primeiramente na plataforma, esse campo no SGU não será desmarcado e continuará ativo até que o acesso seja feito lá.

Para que a integração de usuários entre os sistemas Senior e a XPlatform ocorra corretamente, é necessária que a configuração da URL para conexão JDBC, na Central de Configurações Senior, em Banco de dados > Gestão Empresarial (ERP) ou Gestão de Pessoas, na seção Aplicativos Java, esteja adequada.

ClosedLDAP

Autenticação integrada com a permissão de acesso à rede (ou sistema operacional).

Com a autenticação feita no servidor LDAP, alguns requisitos precisam ser atendidos:

  • configuração de um NAT (Network Address Translation) na nuvem da Senior para o servidor;
  • possuir certificado digital válido para a garantia de segurança da autenticação;
  • configuração do firewall para aceitar as requisições da nuvem da Senior para o servidor LDAP instalado.

Além de cumprir esses requisitos, é necessária a sincronização dos usuários LDAP/AD para a plataforma, devido a configuração de papéis e permissões ser realizado na própria plataforma. Somente a autenticação fica no LDAP (a leitura da senha do usuário não é realizada).

Após a conexão com o servidor estiver confirmada, é preciso informar um usuário e senha para a conexão no AD e buscar as LDAPs, a fim de identificar o ID do usuário (nome, telefone, e-mail e demais informações).

Sincronização

A sincronização é realizada para os grupos do LDAP e para os papéis dentro da XPlatform da seguinte maneira: com os usuários, os papéis são criados e atribuídos a estes usuários. Assim, basta informar quais atributos do LDAP identificam um grupo em sua base de dados. Além disso, é necessário configurar manualmente as permissões desses papéis dentro da plataforma.

Para automatização deste processo, é recomendável a configuração de um período (noturno) no agendador da plataforma, em Tecnologia > Customização > Agendamentos, para que os usuários/grupos do LDAP sejam sincronizados.

Importação de usuários

Importe todos os usuários existentes no servidor LDAP para a base de usuários da XPlatform. Esta base é mantida sincronizada. Ou seja, todas as inclusões, alterações e exclusões feitas no servidor serão aplicadas a essa base.

Essa importação pode ser feita de maneira:

  • imediata: a partir do botão Sincronizar agora da tela Configurações do inquilino, da Gestão dos Tenants. Essa sincronização entre as bases é feita imediatamente, o processo é assíncrono e o tempo de sincronização pode variar de acordo com o volume de usuários e papéis. Após finalizar o processo, uma notificação é enviada pela plataforma;
  • agendada: a partir da tela de agendamentos, programe uma sincronização recorrente, que será executada a cada intervalo de tempo definido no momento do agendamento.

Observação

Em decorrência do cadastro de usuários ser realizado no servidor LDAP, não é possível alterar os usuários deste tipo de autenticação pela interface da plataforma. Ao optar pela autenticação LDAP/AD, é necessário confirmar que os usuários da base de dados não possuem atributos com quebras de linha. Pois, caso possuam, não será possível utilizar o sistema de forma adequada.

A XPlatform utiliza os IPs 52.67.236.215, 52.67.76.60 e 52.67.144.189 para conexão LDAP. Certifique-se de que os endereços estão liberados no firewall.

ClosedAutenticação SAML

Semelhante a autenticação LDAP, em que o usuário permanece na base de dados e necessita da configuração de um NAT entre nuvem e Senior, a autenticação SAML além de possuir essa características, possui uma tela de login própria, com necessidade de informar a sua URL e as informações que possibilitam o mapeamento do usuário.

Atualmente, a integração SAML 2.0 é feita apenas com ADFS 3.0. Caso possuir outro provedor, como IBM One ou CA Identity Manager, são necessários alguns testes para homologação oficial, para ajustes de configuração. Além disso, em alguns casos, a plataforma é integrada via SAML ao ADFS e depois, o ADFS via NTLM ao Windows. Desta maneira, o usuário ao acessar o Windows, automaticamente já acessa a plataforma e, consequentemente, todos as soluções configuradas nela.

Observação

Caso opte por alterar o modo de autenticação para SAML, antes de fazer logout com usuário administrador, associe o papel de administrador a algum usuário do ADFS para que a autenticação seja feita devidamente no próximo login, sem qualquer impedimento no gerenciamento do ambiente.

Ao optar pela autenticação SAML, é obrigatório informar o tenant por parâmetro &tenant=<domínio_do_tenant> na URL da página para login em dois passos, ou &tenant=<domínio_do_tenant>&saml=true para ser redirecionado diretamente na tela de login do SAML.

Exemplo de URL de acesso:

https://platform.senior.com.br/login/?redirectTO=https%3A%2F%2Fplatform.senior.com.br%2Fplataforma%2F&&tenant=dominio_do_tenant&saml=true

Integração

A configuração de integração entre servidor SAML/ADFS e XPlatform pode ser feita utilizando um NAT, em que a Senior disponibiliza IPs fixos limitados como de origem para esse servidor.

A empresa deve configurar o SAML/ADFS de forma compatível com os atributos definidos plataforma. E para a Callback de integração entre o SAML/ADFS e plataforma deverá ser utilizada a URL https://platform.senior.com.br/auth/LoginWithCodeServlet. Além de ser compartilhado pela Senior, a chave pública do certificado, para que assim seja adicionado ao servidor SAML/ADFS.

Importante

A configuração das Claims na plataforma Senior X é de responsabilidade do cliente e deve ser ajustada de acordo com as Claims trafegadas pelo SAML.

É essencial que as Claims trafeguem os dados corretos no SAML do usuário. Por exemplo, se na claim de Username for enviado o e-mail, isso resultará em erro na plataforma.

Login

Este processo para os usuários do tipo SAML é feito diretamente no servidor SAML. Ou seja, com este tipo de autenticação, ao digitar a URL de login, será feito um redirecionamento para a tela de login de dois passos, o usuário digita o usuário, e caso não seja encontrado usuário na base G7, G5 ou LDAP, o usuário é redirecionado para a tela de login do ADFS da empresa. Caso já tenha efetuado o login de forma externa será redirecionado pelo próprio servidor SAML de volta a plataforma. Se não tiver feito login, será enviado para tela de autenticação do SAML, e após informar usuário e senha, esse servidor faz a autenticação do usuário e a integração da XPlatform, que permite a realização do login.

Requisitos:

  • caso desejar autenticar de um local público é necessário o servidor SAML/ADFS estar disponível na internet.
  • configurar integração entre servidor SAML/ADFS e plataforma.

Usuários

Nesse tipo de autenticação, a sincronização de usuários não é necessária, visto que os usuários são criados automaticamente conforme o acesso. Quando um usuário é removido do servidor SAML, este não é removido da plataforma. Ou seja, esta administração deve ser feita manualmente, sem qualquer riscos de segurança. Isso é necessário, pois um usuário que não existe na base de dados não poderá autenticar.

O processo de logoff sincronizado com o SAML pode ser realizado na plataforma. Desta maneira, quando o usuário fizer o logoff na XPlatform, também é feito no servidor SAML (processo SSO Logoff). Para que este modelo funcione devidamente, é necessário configurar o servidor para suportar este modelo (Identity Provider).

Autenticação do usuário administrador

Caso o tenant utilize exclusivamente o tipo de autenticação ADFS (sem nenhum outro acesso via XPlatform além do próprio administrador do tenant, ou autenticação na G5), é possível configurar para que o tipo de autenticação na G7 não seja utilizado, porém esta configuração permite que seja realizado o login na plataforma com o usuário administrador. Passo a passo:

  1. Com o usuário administrador, acesse Tecnologia > Configuração > Por Tenant;
  2. Na tela Configuração por inquilino, selecione o nome do inquilino desejado;
  3. Em Domínios e Serviços, busque o domínio Platform, em seguida busque o serviço authentication e clique no botão Editar;
  4. Na tela de propriedades, clique na guia Sistema e em Permite autenticação do admin via G7 selecione a opção Verdadeiro. Clique no botão Salvar para confirmar o processo.

Nota

Para as autenticações LDAP e SAML, é necessária a contratação do serviço oferecido pela área IT Services. Entre em contato com o seu executivo de contas para mais informações.

Quando utilizada a autenticação G7, G5 ou SAML, o idioma é configurado na própria plataforma. Caso utilize a autenticação LDAP, idioma do usuário é configurado e atualizado no AD.

Este artigo ajudou você?

Base de Conhecimento

Portal de Exigências Legais

Documentação em outros idiomas:

English

Español

Senior Store

Universidade Corporativa

Fórum de Produtos

Trabalhe conosco

Blog

Todos os direitos de cópias reservadas para Senior Sistemas S.A.

A reprodução não autorizada desta publicação, no todo ou em parte, constitui violação dos direitos autorais (Lei 9.610/98).

Ver site completo