Configurar autenticação
Pré-requisito
- Acesso ao menu Configuração > Autenticação (CM008).
Consulte o documento Serviço de diretório e autenticação para obter uma descrição detalhada sobre os pré-requisitos e as restrições para configuração de autenticação, para cada modo disponível no SoftExpert Suite.
Apresentação
Por meio do SoftExpert Configuração, é possível efetuar todas as configurações referentes à autenticação dos usuários no sistema.
Veja como realizar tais ajustes:
Configurar autenticação
1. Acesse o menu Configuração > Autenticação (CM008).
2. Configure a autenticação dos usuários no SoftExpert Suite:
Opções de autenticação
Nesta seção, é possível definir como se dará a autenticação dos usuários no sistema.
Para isso, na seção Modo de autenticação, marque a opção desejada:
Interno | Utiliza o padrão SoftExpert Suite de autenticação, ou seja, o login e a senha configurados no cadastro do usuário. |
NTLM v2 | Permite que o usuário utilize o código de usuário e a senha do sistema operacional para acessar o produto. Utiliza o protocolo NTLM para garantir a segurança da comunicação. |
LDAP | Permite que o usuário utilize o código de usuário e a senha do sistema operacional para acessar o produto. Utiliza o protocolo LDAP para garantir a segurança da comunicação. |
SAML 2.0 | Indicado para cenários em que o servidor de execução, no qual o SoftExpert Suite está sendo executado, e o servidor LDAP, que contém o repositório de usuários, estejam instalados em domínios diferentes. Permite que o usuário utilize o recurso de Autenticação Integrada para acessar o produto. |
OpenID Connect | Protocolo mais recente, construído sobre o OAuth 2.0, oferece uma abordagem mais simples e leve para SSO em aplicativos da web e móveis. Indicado para autenticar usuários disponíveis em um serviço de provedor de identidade externo. Permite que o usuário utilize o recurso Autenticação integrada. |
Para obter mais informações sobre cada modo de autenticação e qual é mais indicado para sua organização, consulte o tópico Modos de autenticação do documento Serviço de diretório e autenticação.
As autenticações dos tipos NTLM v2, LDAP e SAML 2.0 utilizam um servidor LDAP para autenticar os usuários. Consulte o tópico Configuração para acesso direto ao serviço de diretório do documento Serviço de diretório e autenticação para obter mais detalhes sobre a configuração desse servidor.
Serviços de autenticação
As abas desta seção somente estarão habilitadas se os modos de autenticação SAML 2.0 ou OpenID Connect foram habilitados.
Com estes modos de autenticação, é habilitada a autenticação integrada, na qual o usuário utiliza o mesmo login e senha que foram usados para autenticar-se no sistema operacional ou no navegador no serviço de identidade. Isso significa que o usuário não precisa fornecer suas credenciais diretamente na tela de autenticação do SoftExpert Suite, tornando o processo mais prático e conveniente.
Essa abordagem utiliza os protocolos de autenticação SAML 2.0 ou OpenID Connect, que são considerados mais seguros em comparação aos métodos anteriores. O SoftExpert Suite se integra com o provedor de identidade, permitindo que as informações de autenticação sejam compartilhadas de forma segura entre os sistemas.
A escolha entre SAML 2.0 e OpenID Connect depende dos requisitos específicos da organização e dos aplicativos em uso. O SAML 2.0 é mais estruturado e seguro, enquanto o OpenID Connect é mais simples e leve.
Na barra de ferramentas encontrada na parte superior das abas, estão disponíveis os seguintes botões:
Veja mais detalhes sobre a inclusão de novas configurações nos tópicos Configurando a autenticação integrada com OpenID Connect e Configurando a autenticação no AD FS com SAML 2.0.
Integração de diretório
Domínio
Esta seção somente estará habilitada se os modos de autenticação NTLM v2, LDAP e/ou SAML 2.0 forem marcados.
Nela, deve ser realizada a configuração do servidor LDAP. Em ambientes corporativos com filiais ou com regras segmentadas por área ou função, muitas vezes encontram-se servidores LDAP distribuídos em uma "floresta". O termo "floresta" é utilizado para identificar uma infraestrutura composta por uma ou mais árvores de domínios.
Utilize os seguintes botões para efetuar a configuração de conexão com múltiplos domínios LDAP:
Clique neste botão para incluir uma nova conexão LDAP. Veja mais detalhes no tópico Configuração para acesso direto ao serviço de diretório. | |
Clique neste botão para editar a conexão selecionada na lista de registros. | |
Clique neste botão para excluir a conexão selecionada na lista de registros. | |
Clique neste botão para desassociar os usuários do domínio. Selecione os registros desejados antes de clicar no botão. | |
Clique neste botão para recarregar a aba. |
Opções gerais
Opção | Marcada | Desmarcada |
Habilitar agendamento da sincronização | Será habilitado o agendamento da sincronização do servidor LDAP, diariamente à meia-noite. Esta recorrência pode ser alterada por meio do menu Monitoramento > Agendamento (CM019). | A sincronização somente será executada manualmente, clicando no botão da barra de ferramentas do menu Autenticação (CM008). |
Acumular área e função dos usuários | Ao realizar a sincronização, as áreas e funções dos usuários serão atualizadas, sem remover as áreas e funções anteriores. | Apenas a área do controlador de domínio será mantida; as outras serão desvinculadas do usuário. |
Fazer login automaticamente quando a autenticação integrada estiver habilitada | As sessões dos usuários serão iniciadas automaticamente ao acessar qualquer página do sistema, como um link recebido por e-mail, por exemplo. Com isso, a tela de login não será exibida para digitar as credenciais e o sistema utilizará as credenciais de autenticação do serviço de diretório, fornecidas pelo usuário ao autenticar no domínio. A tela de login somente será acessada caso a URL informada seja o endereço específico da página, por exemplo: https://example.softexpert.com/softexpert/login.* |
Ao acessar uma URL do sistema, a tela de login será exibida e, após realizar a autenticação, o sistema redirecionará para a página solicitada. |
Habilitar logout com autenticação integrada | Esta opção somente deve ser marcada se a autenticação integrada estiver habilitada para utilização. Com isso, quando o usuário realizar o login, ele deverá selecionar a licença desejada. Somente estarão disponíveis para seleção as licenças associadas aos grupos de acesso aos quais ele está relacionado. |
O usuário acessará o sistema com a licença de seu último acesso. O usuário poderá alterar sua licença após o login, por meio do menu Alterar licença de acesso, do painel suspenso no lado direito da tela principal do sistema. |
Habilitar autenticação integrada para usuários não sincronizados | Esta opção somente deve ser marcada se a autenticação integrada estiver habilitada para utilização. Quando o usuário deslogar, o SoftExpert Suite apagará a sessão dele. |
Ao deslogar, a sessão do usuário permanece ativa. |
Sincronizar usuários inativos | Permite a autenticação integrada de usuários mesmo sem existir uma integração com o AD. Este parâmetro deve ser realizado quando for necessário importar usuários de outra forma que não seja via integração direta com o AD, pois a autenticação integrada (SAML) pode funcionar sem essa integração. Se este parâmetro estiver habilitado, não se deve cadastrar um domínio para sincronizar os usuários do AD, pois isso pode dar conflito na autenticação integrada. |
Somente usuários sincronizados terão a autenticação integrada habilitada. |
*Ao acessar a URL padrão do sistema (ou qualquer outra URL do sistema), sem que o usuário esteja autenticado no serviço de diretório, pode ser apresentada uma página de autenticação do próprio controlador de domínio, dependendo das configurações de infraestrutura realizadas.
Se o usuário tiver as credenciais para autenticação no serviço, ele poderá fornecê-las; em seguida, o serviço direcionará para a página do SoftExpert Suite. Caso ele não tenha um login no serviço de diretório, ou não teve acesso à página de login do controlador de domínio, recomenda-se realizar o acesso pela URL do login do SoftExpert Suite.
Pode ser necessário digitar as credenciais na tela de login se:
- For necessário acessar o sistema com o usuário administrador (admin).
- O usuário não tem credenciais no serviço de diretório e acessa apenas por um usuário interno do sistema.
- O sistema for acessado de uma rede que não tem acesso ao serviço de diretório, e existem outros protocolos liberados para uso, como NTLMv2 ou LDAP.
Licenças
Nesta seção, é possível configurar como se dará o processo automático de distribuição da licença de acesso, que ocorre no momento do login do usuário.
Quando o usuário realizar o login, a licença será priorizada seguindo a definição configurada na seção. O usuário administrador deve escolher entre as seguintes opções:
- Utilizar a última licença escolhida pelo usuário.
- Utilizar a licença de menor permissão.
- Utilizar a licença de maior permissão.
Caso esta configuração não seja preenchida/alterada, será aplicado o comportamento padrão do sistema, dando prioridade para a última licença escolhida pelo usuário.
Histórico de sincronização de usuário
Nesta seção, são exibidos os históricos das sincronizações de usuários realizadas no sistema.
É possível visualizar a data e hora de início e fim da sincronização, seu status (Executando, Executando com erros, Carregando informações do AD, Carregando usuários do SoftExpert Suite, Comparando usuários do SoftExpert Suite com usuários do AD, Calculando permissões dos usuários, Finalizado e Finalizada com erros) e o número de registros processados, com permissão e com erros.
Para acompanhar uma sincronização que está sendo realizada, clique no botão para atualizar seu status.
O status Calculando permissões dos usuários indica que novos usuários estão sendo adicionados e o sistema está criando a estrutura de permissões de acesso para eles. Esta etapa pode demorar, dependendo do número de novos usuários.
O andamento do processamento das permissões dos usuários pode ser acompanhado na coluna Com permissão. Os status que acusam erros referem-se a usuários com falta de informações, formatos inválidos ou informações conflitantes, e o motivo do erro pode ser visto nos detalhes da importação.
Para visualizar os detalhes de uma importação (usuários com erro, atualizados, importados e desabilitados), selecione o registro de seu histórico e clique no botão .
Para ver mais detalhes sobre os possíveis erros que o processo de sincronização pode mostrar, e como solucioná-los, consulte o tópico Erros que podem ocorrer na sincronização de usuários do documento Serviço de diretório e autenticação.
Utilize o botão para excluir o registro selecionado na lista de registros.
Histórico de sincronização de equipes
Nesta seção, são exibidos os históricos das sincronizações de equipes realizadas no sistema.
É possível visualizar a data e hora de início e fim da sincronização, seu status (Executando, Executando com erros, Carregando informações do AD, Carregando usuários do SoftExpert Suite, Comparando usuários do SoftExpert Suite com usuários do AD, Calculando permissões dos usuários, Finalizado e Finalizada com erros) e o número de registros processados, com permissão e com erros.
Para acompanhar uma sincronização que está sendo realizada, clique no botão para atualizar seu status.
O status Calculando permissões dos usuários indica que novas equipes estão sendo adicionadas e o sistema está criando o vínculo com os usuários. Esta etapa pode demorar, dependendo do número de novas equipes e usuários a serem vinculados em cada equipe.
Para visualizar os detalhes de uma importação (equipes com erro, atualizadas, importadas e desabilitadas), selecione o registro de seu histórico e clique no botão .
Utilize o botão para excluir o registro selecionado na lista de registros.
Histórico SE-Identity
Nesta seção, são exibidos os registros dos processos de simulação e sincronização do SoftExpert Identity (exceto registros anteriores ao tempo estipulado nas configurações de auditoria).
É possível identificar o local de instalação do aplicativo e o endereço de rede do computador em que ele foi executado, além da versão do aplicativo e outras informações referentes ao processo executado.
Caso ocorra algum erro que impeça a inicialização do processo de sincronização/simulação, o status do registro indicará Erro, e seus detalhes poderão ser consultados selecionando o registro e clicando no botão .
Para mais informações sobre as configurações da seção Acesso de usuário externos, consulte o artigo Configurar acesso de usuários externos - Autenticação.
Botões disponíveis
Conheça as operações disponíveis nos botões localizados na parte superior do menu Autenticação (CM008):
Clique neste botão para salvar as configurações efetuadas na tela de configuração da autenticação. | |
Clique neste botão para executar a simulação da sincronização, com base nas configurações realizadas para a autenticação, sem efetivar as alterações no SoftExpert Suite. | |
Clique neste botão para visualizar a simulação da sincronização. | |
Clique neste botão para liberar todas as conexões para sincronização. | |
Clique neste botão para efetuar a sincronização do sistema. | |
Clique neste botão para recarregar a tela de configuração da autenticação. | |
Clique neste botão para realizar o download do SoftExpert Identity (se-identity.zip). O SoftExpert Identity é um aplicativo que sincroniza os usuários do SoftExpert Suite com os usuários do Microsoft AD, quando o SoftExpert Suite não tem acesso direto ao servidor do Microsoft AD. Consulte o tópico Configuração para Sincronização sem acesso direto ao serviço de diretório SoftExpert Identity para obter os detalhes de como configurar e realizar a sincronização com o SoftExpert Identity. |
Conclusão
Assim, com estas informações, você conseguirá escolher o modo de configuração adequado para sua organização e aplicar os ajustes necessários para ele funcionar corretamente.
Acesse o artigo Configurar segurança da autenticação para entender quais são as configurações relacionadas às senhas e ao login no sistema.