Para acessar “Autenticação”, clique em “Configurações”e selecione a opção “Autenticação”. Você irá para a aba “Geral” com as configurações de apresentação da ferramenta.
Geral
Para configurar a aparência de sua tela de login da plataforma, personalizando a sua logo e escolhendo a cor de fundo da sua plataforma e a imagem de fundo para o login, basta acessar essa aba “Geral” e realizar as modificações.
A tela de login poderá ser modificada em alguns itens, como a cor lateral, a logo e o banner que é apresentado na lateral.
Para alterar as configurações, basta clicar na aba “Geral”, ir até o campo “Logo” e clicar em “Escolher ficheiro”. Depois, selecionar a logo que deseja incluir e clicar em “Salvar” para que a logo possa ser modificada.
Se optar pelas outras mudanças também, como a “Cor de fundo”, basta clicar no campo “Cor de fundo” e escolher uma cor clicando sobre ela.
Você poderá escolher um banner para sua área de login. Para isso, basta ir até o campo “Banner” e clicar em “Escolher ficheiro”. Irá abrir uma janela no seu computador para você escolher um arquivo e clicar em abrir. O arquivo será carregado e, após a escolha, o nome do arquivo aparecerá no campo “Banner”. Para efetivar as modificações, é só clicar em “Salvar” e uma mensagem irá surgir indicando que os dados foram salvos com sucesso: “Gravação efetuada”.
Ao modificar as configurações, a sua tela de login ficará diferente. Você poderá verificar saindo da ferramenta para logar novamente.
Você poderá selecionar a opção de configuração de segurança clicando no box “Utilizar padrão de senha forte”. Marcando esse box, você obriga os usuários a escolherem um padrão de senha mais seguro. No momento de escolher as senhas, os usuários deverão respeitar algumas condições: 1) ter no mínimo oito caracteres; 2) pelo menos um letra maiúscula e uma minúscula; 3) pelo menos um número ou um dos seguintes caracteres ! @ # % & * ( ) + -.
É importante informar que, ao selecionar essa opção, todos os usuários serão obrigados a trocar a senha na próxima vez que logarem na ferramenta, e seguir os padrões da “senha forte”. Se você não quiser optar por essas configurações basta clicar em “Restaurar Padrão” e todas as configurações anteriores serão retomadas.
Oauth
A Plataforma Lecom permite a autenticação de usuários pelo servidor de autenticação Oauth. Para ter acesso a esse recurso, basta clicar no botão de “Configurações”e escolher a opção “Autenticação”. Após selecionar, deverá escolher a aba “Oauth” para realizar as configurações necessárias.
Os campos dispostos nessa área do sistema permitem que você configure o sistema para que os usuários possam realizar o login por meio de outra aplicação, como o Google. Atualmente, a ferramenta permite a configuração homologada do Google. Para realizar a configuração, você deverá clicar no box “Habilitado” e preencher todos os outros campos obrigatórios. O campo “Habilitado” indica se o servidor está ou não habilitado e, quando selecionado, ele aparecerá no login do usuário.
O campo “Provedor de autenticação” apresenta os servidores disponíveis para a configuração. Atualmente, a ferramenta apresenta o “Google” como um servidor disponível homologado. Você deverá selecionar a opção “Google”. Ao fazer a seleção, outros campos automaticamente serão preenchidos facilitando a sua configuração.
Os campos “Client ID” e “Client Secret” precisam ser configurados e são informações que devem ser disponibilizadas pelo servidor do Google no momento de preenchimento. O administrador do sistema que estiver realizando a configuração de autenticação deverá fazer um cadastro no servidor do Google e o mesmo disponibilizará algumas informações para preenchimento desses campos que não foram apresentados imediatamente.
Os campos “Access Token”, “User Authorization URI”, “Client Authentication scheme” e “User info URI” já virão preenchidos automaticamente ao selecionar a opção “Google”. O “Access Token” é um campo destinado ao preenchimento da URI que retorna o Token. Caso o valor seja diferente, é possível trocá-lo. Para isso, vale verificar essa informação no manual do servidor que está sendo utilizado.
O campo “User Authorization URI” é destinado à autorização do usuário, e o “Client Authentication scheme”, para preenchimento da forma de autenticação. O campo “User Info URI” é destinado a preenchimento da URI que busca as informações do usuário. Todos esses campos já virão preenchidos e podem ser alterados dependendo do manual do servidor.
No caso do check box “Use current URI”, que é indicado para envio da requisição, o campo vem marcado. Mas é preciso ter atenção, ele não poderá ser marcado se o ambiente estiver em cluster ou com algum proxy reverso.
Outro campo que é apresentado no formulário de configuração da OAuth é o “Pre established redirect URI”. Esse campo é utilizado para preencher a URI preestabelecida para ser enviada para o provedor de autenticação. Esse campo só faz sentido ser preenchido se o campo “Use current URI” não estiver marcado. Caso contrário, o preenchimento não terá efeito.
O campo “Scope” não é obrigatório de ser preenchido. Ele é destinado ao preenchimento dos escopos, mas é importante consultar a documentação do provedor que está sendo utilizado para maiores informações.
“Token Name” é um campo não obrigatório, destinado ao preenchimento do nome do token enviado pelo provedor. O campo “Authentication Scheme”, reservado para o preenchimento do schema de autenticação, também não é um campo obrigatório.
O “Path” destinado ao caminho da URI usado para autenticação deverá ser utilizado sempre no padrão “/oauth/<nome_do_provedor>/login”. O campo “Principal extractor class” é um campo não obrigatório para o preenchimento do nome da classe responsável por extrair o nome do usuário da resposta de autenticação do provedor. Alguns provedores não necessitam dessa configuração. Então, para o Google, é necessário usar “br.com.lecom.oauth.connect.config.extractor.GooglePrincipalExtractor”.
Após o preenchimento dos campos é necessário clicar em “Salvar”, para que os dados possam ser guardados e a configuração realizada com sucesso.
Após clicar em “Salvar”, a configuração ficará salva e você poderá ver na própria tela a configuração. Poderá também, clicando no ícone do lápis, editar alguma informação e, clicando na lixeirinha, excluir essa configuração.
SAML
A Plataforma Lecom permite a autenticação de usuários pelo servidor de autenticação SAML. Para ter acesso a esse recurso, basta clicar no botão de “Configurações”e escolher a opção “Autenticação”. Após selecionar, você deverá escolher a aba “SAML” para realizar as configurações necessárias.
Na configuração SAML, todos os campos são obrigatórios de preenchimento. Dessa forma, é necessário marcar o primeiro check box “Habilitado”, para que o servidor possa aparecer na tela de login habilitando o uso desse tipo de autenticação.
O campo “Provider Name” é o identificador do provedor. A informação colocada nesse campo aparecerá na tela de login.
Em “Tipo de configuração”, você poderá escolher uma das duas opções de configurações que podem ser realizadas, por URL ou por upload. Quando selecionado por URL, o campo “Metadata URL” deve ser preenchido com o caminho para acessar o xml de metadados do provedor. Caso a opção seja pelo upload, aparecerá no campo “Metadata” a opção de realizar o upload do xml de metadados do provedor. Para inserir o arquivo, basta clicar em “Escolher ficheiro”. Uma janela irá abrir para que você escolha o arquivo. Selecione o arquivo e clique em abrir, o arquivo será carregado.
Os próximos campos são necessários, pois a comunicação do protocolo faz uma assinatura da chamada para que a mesma seja validada no provedor de autenticação com o mesmo xml de metadados que foi enviado no momento do cadastro no nosso serviço. Esse xml possui a nossa assinatura com base no nosso certificado SSL.
O campo “Keystore path” é destinado ao preenchimento do caminho da keystore e o “Keystore password” é a definição da senha da keystore.
Em “Keystore default key”, é importante informar que o host do provedor de autenticação deve ser importado dentro da keystore e a key criada para o mesmo deve ser inserida nesse campo.
Para finalizar o processo de configuração do SAML, basta clicar em “Salvar”.
LDAP
Para acessar a configuração do LDAP, basta acessar o menu “Configurações”, escolher a opção “Autenticação” e acessar a aba “LDAP”.
É preciso marcar o check box “Habilitado”, para as configurações que serão realizadas possam ser utilizadas no processo de login. Habilitando a opção e configurando corretamente, o sistema de login poderá ser realizado utilizando a autenticação do LDAP.
As configurações do LDAP são divididas em três sessões: “Configurações Básicas”, “Campos do LDAP usados pelo SSO” e “Campos para Login automático”.
Em “Configurações Básicas”, temos o campo “Urls”, que é usado para inserir uma ou mais urls do LDAP separadas por vírgula. Ex: “ldap://host1, ldap://host2, ldap:// host3”. Essas outras urls servem como segurança, ou seja, caso o primeiro host caia ou não esteja disponível, o segundo entra em ação e assim sucessivamente. Também é possível usar SSL. Para isso, é necessário informar a porta junto ao endereço. Ex: “ldaps://host:636”. Dessa forma, é necessário importar o certificado como trust dentro da keyStore usada pelo servidor, apenas clicando no botão “Importar Certificado”, que aparecerá logo após do campo “Urls” ser preenchido com um host SSL.
No campo “Base”, preenchemos os objetos DC que representam o topo de uma árvore LDAP que usa o DNS para definir seu namespace. O Active Directory é um exemplo de árvore do LDAP. O designador para um domínio do Active Directory com o nome DNS company com seria dc=Company, dc=com.
O campo “User or DN” é usado para preenchimento do nome do usuário ou da DN. Um nome que inclua todo o caminho de um objeto para a raiz do namespace LDAP é chamado de nome distinto ou DN. Um exemplo de DN, para um usuário chamado CSantana, cujo objeto está armazenado no contêiner “cn=Users” em um domínio chamado company.com seria cn=CSantana, cn=Usuários, dc=company, dc=com.
O campo “User search base” é usado para preenchimento dos objetos da OU que atuam como contêineres que contêm outros objetos. Eles fornecem estrutura para o namespace LDAP. As OUs são o único contêiner de uso geral disponível para administradores no Active Directory. Um nome de OU de exemplo seria ou=Accounting. Esse campo, além de ser usado no momento do login, é usado para importação dos usuários na base.
O campo “Password” é usado para o preenchimento da senha do usuário definido no campo “User or DN”.
O campo “Filter” é usado para o preenchimento do filtro no momento do login e para a busca de usuários na importação de usuários do LDAP.
Na sessão “Campos do LDAP usados pelo SSO”, temos os campos para o preenchimento. O “Login key” é usado para comparação do nome do usuário no momento do login. O campo “Name key”, usado no momento da importação para indicar em que campo do LDAP está o nome do usuário. O campo “Mail Lei”, usado no momento da importação para indicar em que campo do LDAP está o e-mail do usuário.
Para configurar os “Campos para login automático”, ainda na aba “LDAP”, é preciso marcar o check box “Autologin habilitado”. Feito isso, novos campos para o preenchimento irão surgir na tela. É importante ressaltar que a data e a hora dos servidores de AD e Aplicação devem estar sincronizados. É imprescindível que este arquivo fique em “[JAVA_HOME]/jre/ldb/.ecurdty” pois o java, por padrão, o procura nesse diretório.
As opções “Usar Contexto Kerberos” e “KDC Debug” não são obrigatórias, porém, podem ser usadas em alguns contextos específicos. Como exemplo, caso seja necessário fazer alguma análise de falha, selecionar a opção “KDC Debug” pode ajudar. Caso o cliente exija o uso o Kerberos, inclusive como gerenciamento de contexto do LDAP, selecione a opção “Usar Contexto Kerberos”. Vale ressaltar que esse último caso é muito difícil de acontecer.
O campo “Krb Conf Path” é usado para configurar o caminho completo o krb5.conf criado automaticamente.
O campo “Kcc Service Principal” é usado para configurar o principal criado anteriormente com o comando setspn para referenciar o usuário gerenciador do AD do BPM a um serviço. No caso o serviço é o próprio BPM.
O “Keytab Path” é o campo destinado a configurar a localização do keytab criado anteriormente. Já o “Kdc Field To Filter’ é um campo do AD no qual é referenciado o nome do usuário no formato nome.usuario@ream.usado. Normalmente é usado o valor “userPrincipalName”.
Para finalizar a configuração, é necessário clicar em salvar.
