Objetivo
Realizar a configuração do login do Protheus com autenticação SSO (Single Sign-On) utilizando AD (Active Directory)
Como habilitar o SSO com AD:
O Protheus permite a integração do login de usuário Protheus com o usuário de rede do AD (Active Directory). Desta forma, pode-se vincular um usuário do Protheus a um usuário do AD, e então o Protheus passará a aceitar o login pelo usuário de rede.
Para efetuar esta configuração, siga os passos abaixo:
Passo 1: Acesse Configurador > Usuário > Senhas > Política
Passo 2: Na primeira aba (Política de Segurança / Regras de senha), configure a opção "Habilitar single sign-on"
- Obrigatório: Força TODOS os usuários do sistema a se autenticarem usando o usuário AD.
- Esta configuração NÃO é indicada quando houver usuários do Protheus sem usuário de rede do AD.
- Esta configuração NÃO é indicada quando houver usuários do Protheus, com usuário de rede ainda não vinculado no cadastro de usuários.
- Opcional: deve ser utilizado quando usuário puder realizar a atenção tanto com usuário Protheus quanto usuário do AD.
- Indicado quando existem usuários que ainda não possuem vínculo estabelecido.
- Indicado quando Protheus pode ser acessado por quem possui usuário cadastrado no Protheus, mas não possui um usuário no AD (ex: usuários temporários, consultores externos e etc),
Passo 3: Em "Modalidade de Single Sign-on", selecione Active Directory.
Passo 4: Confirmar as alterações.
Passo 5: Acesse o Cadastro de Usuários em Configurador > Usuário > Senhas > Usuários
Passo 6: Criar/ Alterar um usuário.
Ao habilitar o uso de Single Sign-on com Active Directory, é habilitado uma guia dentro da tela de Usuários chamada "Active Directory", onde deverá ser informado o domínio e usuário da rede que será relacionado ao usuário que está sendo criado/alterado.
Passo 7: Na aba principal (Usuário), clique na aba Active Directory
Passo 8: Clique 2 vezes abaixo da coluna "Domínio" e digite o domínio de rede do seu AD
Passo 9: Clique 2 vezes abaixo da coluna "Usuário" e digite o login do usuário de rede que ficará vinculado a este usuário do Protheus
Passo 10: Clique em Confirmar
Passo 11: Acessar o sistema.
Ao acessar o sistema, caso na tela de políticas o campo "Habilitar Single Sign-on" tenha sido configurado como "Obrigatório" o usuário deverá informar o usuário e senha do domínio, caso tenha sido configurado como "Opcional" será possível utilizar a usuário e senha do domínio ou usuário e senha do Protheus.
- Após essa configuração, ao abrir o Smartclient, já irá aparecer por padrão o domínio\nome de usuário de rede. Se você inserir a senha deste usuário de rede, ele já entra com o usuário do Protheus que está vinculado a ele.
Importante
Ao definir a política de login com Single Sign-On como opcional será primeiro realizada tentativa de login no AD e depois no Protheus. Como é possível utilizar o login do AD e senha do Protheus para realizar o login, serão registradas tentativas incorretas no AD caso as senhas sejam diferentes e eventualmente bloqueios no AD por esse motivo. Configure as regras do seu AD adequadamente para atender o seu cenário.
Importante
A autenticação SSO via Active Directory não é possível quando executado via Terminal Telnet (ex.: SIGAACD), para estas conexões o login padrão é obrigatório.
Importante
A funcionalidade de integração com Active Directory não está disponível quando o Client está em um sistema operacional Linux ou Mac OSX.
A partir da lib 20251117 será possível utilizar Active Directory em client linux, desde que o server do protheus esteja em um SO windows e a maquina do server esteja dentro do domínio em questão.
Importante
Verificar limitações da autenticação via REST: Login via REST com Active Directory
Observações
- As configurações definidas em políticas sobre "Regras de Violação" são validas apenas para login com o usuário Protheus, acesso efetuado com usuário de rede "Active Directory" as regras são definidas pelo servidor do AD (Active Directory).
- O Protheus não armazena a senha digitada na integração com o Active Directory. O par usuário/senha é enviado diretamente ao AD, que é responsável por realizar a autenticação do usuário;
- As senhas dos usuários do sistema também não são gravadas no banco de dados e o hash destas senhas não são reversíveis (usam criptografia SHA256);
- Para ambientes com dicionário no Banco de Dados a partir da lib 20221128, uma validação foi implementada para impedir que a mesma credencial do AD seja associada a mais de um usuário Protheus.
Visão Geral
Import HTML Content
Conteúdo das Ferramentas
Tarefas