Histórico da Página
Informações | ||||
---|---|---|---|---|
| ||||
|
Comportamento Padrão
Comportamento PadrãoQuando o tipo de login do produto for 5 ou Login via Provedor de Identidade, a autenticação será realizada através do recebimento de um token de autorização enviado por um Provedor de Identidade externo, como por exemplo Microsoft Azure AD, Google, Apple, entre outros, sendo necessário informar login e senha que são
validadosautorizados por este provedor de identidade e ao final de uma autenticação realizada com sucesso, o Logix recebe um token de autorização que, quando identificado como um Token válido, passará a permitir acesso ao sistema Logix, considerando
aindatambém as demais premissas de acesso ao produto que envolvem a situação do usuário no produto Logix
, envolvendo permissões e situação atual do usuário.(Ativo ou Bloqueado) e se possui as devidas permissões de acesso ao produto.
Neste
Neste modo de autenticação não oferece existe a opção para memorizar o login, pela atravé da opção Mantenha-me conectado apresentada na tela do menu do produto.
Opção disponível somente
Funcionalidade prevista a partir do pacote Logix 12.1.2309 ou Framework Fix 12.1.2305.fix01.
Painel | ||||
---|---|---|---|---|
| ||||
Este tipo de autenticação está disponível no produto apenas a partir do build HARPIA. |
Exemplo de como o produto Logix apresenta a opção de autenticação via Provedor de Identidade, sendo neste caso o provedor Microsoft.
Ao pressionar o botão a tela acima é apresentada.
O layout dessa tela poderá mudar de acordo com o provedor de identidade configurado.
Passo a passo para disponibilizar a autenticação via provedor de identidade
Para que o botão de autenticação via
Para que este botão doprovedor de identidade seja apresentado na tela de LOGIN do produto Logix, será preciso realizar alguns passos não apenas de configuração em telas do sistema, mas preste atenção que existe uma biblioteca LIB Java que é importante para o processo de validação do token de autorização do usuário.
Para que um provedor de identidade seja válido para esta initegração com o Login do produto Logix
é necessário realizar algumas outras configurações adicionais, detalhadas a seguir, é preciso que ele permita criar uma aplicação que faça uso do protocolo OIDC (OPenID Connect). Acesse a documentação do respectivo provedor de identidade para se certificar desta funcionalidade antes de realizar o passo a passo a seguir para ativar a integração com o LOGIN do Logix.
Instalando e configurando um novo AppServer para gerenciar os tokens de autorização de usuários
Sugere-se que seja instalado e configurado um novo serviço de AppServer isolado para cada ambiente com base de dados LOGIX distinta, seja ambiente de Teste, Homologação ou Produção que desejar administrar a autenticação de usuários por provedor de identidade, pois o endereço de URI de Redirecionamento a ser configurado numa aplicação registrada no provedor de identidade será para identificar o AppServer de destino do envio de token de autorização de usuário, que ocorre através da requisição de API REST.
O ideal é que este appserver seja de uso exclusivo para o processo de autenticação de usuários Logix via provedor de identidade, para garantir que outros processos concorrentes não afetem o processo de autenticação de usuários do produto.
Não esqueça de ativar o serviço REST nesse appserver e também ative a segurança do appserver REST (HTTPS), pois a grande maioria dos provedores de identidade exige que a URI de Redirecionamento seja uma URL com protocolo HTTPS. Neste caso deverá instalar e configurar o certificado SSL no AppServer e ativar a segurança do serviço REST do Appserver.
Informações | ||
---|---|---|
| ||
No modelo de arquivo de configuração INI acima, será preciso ajustar os dados conforme seu ambiente e neste caso é preciso prestar atenção quanto a:
|
Painel | ||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||
|
Registrando uma aplicação no provedor de identidade para autenticar usuários para o produto
LogixLogix Âncora registro_aplicacao_provedor registro_aplicacao_provedor
registro_aplicacao_provedor | |
registro_aplicacao_provedor |
Painel | ||||
---|---|---|---|---|
| ||||
Será preciso cadastrar uma nova aplicação no provedor de identidade utilizando para isso a configuração via OIDC (OpenID Connect) que é o padrão de protocolo utilizado para integração com o produto Logix. Acesse a documentação OpenID Connect disponível do seu provedor de identidade para registrar uma nova aplicação para integrar ao prouto Logix que tenha as seguintes características:
|
Painel | ||||
---|---|---|---|---|
| ||||
É É através da configuração da REDIRECT URI que o provedor de identidade saberá para qual Appserver Logix ele deverá enviar o token de cada autenticação de usuário solicitada e por isso é importante atentar para o IP e porta REST do Logix, devido a ambiente de teste e produção.
O O sufixo /api/sec/v1/oidc/authn/callback da REDIRECT URI é o endpoint fixo no Logix para atender a requisicaçãoque irá atender a requisição de método POST para a execução da ação deREDIRECT de autenticação que irá recepcionar no LOGIX o token enviado pelo provedor de identidade. Os demais dados como:
|
Painel | ||||
---|---|---|---|---|
| ||||
Atente para o criação da aplicação no Provedor de Identidade que deverá dar suporte ao fluxo de concessão implícita do OAuth 2.0, conforme descrito na Especificação do OAuth 2.0. A concessão implícita define que os tokens (tokens de ID ou tokens de acesso) são retornados diretamente do Authorization EndPoint (/authorize). Além de determinar o fluxo implícito, obrigatoriamente configurar o RESPONSE_TYPE com ID_TOKEN que trata-se de um Token no formato JWT (Json Web Token) que contém informações que o Logix validará a autenticidade e obterá os dados necessários para autenticação de usuário no produto Logix. Configure conforme a localizacao do appserver (HOST), porta REST do appserver e ambiente URI configurado no REST do AppServer. |
Após criar a aplicação no provedor de identidade, anote o código do TENANT ID e o CLIENT ID da aplicação pois serão usados para registrar dados desta aplicação do provedor de identidade no produto Logix. |
Registrando dados da aplicação do provedor de identidade no Logix
Configurando a ferramenta de validação de Token de autorização no Logix
Quando o TOKEN de autorização é recebido pelo Logix, ele precisa ser validado para ser considerado válido e permitir então o acesso do usuário ao produto Logix.
Para realizar este processo de validação do TOKEN, o Logix faz uso de uma biblioteca java chamada JWTValid.jar que é fornecida juntamente com os pacotes de atualização do ERP Logix e que deverá ser armazenada na subpasta TOOLS localizada abaixo da pasta ROOTPATH do ambiente REST do appserver que valida o recebimento do token de autenticação. ATENÇÃO!
Painel | ||||
---|---|---|---|---|
| ||||
Esta LIB java não será armazenada com as demais Libs java usadas pelo LOGIX. Ela deve ser obrigatoriamente armazenada na pasta onde atualmente existem outras ferramentas paralelas usadas pelo Logix como lpdos.exe, printer.exe, etc. |
Configurando o tipo de autenticação de
usuáriousuário
Agora que a aplicação já está devidamente registrada no provedor de identidade e esta também já foi devidamente registrada no cadastro de provedores de identidade do Logix, chegou a hora de configurar o tipo de autenticação de usuário no cadastro de usuário pois os usuários do Logix podem ter um tipo de autenticação pré-definido, podendo ser ou não igual ao tipo de autenticação padrão configurado registrado na tela do CONFIGURADOR, que apenas indica o padrão adotado pelo sistema.
Para que o usuário do Logix respeite a configuração do tipo de autenticação Login via Provedor de Identidade registrada na tela do CONFIGURADORcomo Login via Provedor de Identidade, na , acesse a Central de Usuários - Cadastro de Usuários (LOG05050 - Opção Usuários), deverá registrar e registre o campo tipo de autenticação do usuário como Padrão do sistema ou então Login via provedor de Identidade.DICA: Sugere
Painel | ||||
---|---|---|---|---|
| ||||
Sugere-se que ao menos um usuário administrador do sistema tenha sua autenticação configurada com o tipo de autenticação |
Login interno Logix para |
caso |
ocorrer algum problema com a autenticação via provedor de identidade, seja possível acessar o sistema e configurar a autenticação para outro modelo se desejar. |
PRONTO! O Logix já está configurado para realizar autenticação via OIDC (Open ID Connect).
Problemas X Soluções
Quando ocorrer algum problema na autenticação via OIDC, veja abaixo algumas dicas do que verificar e como resolver.
Falha na validação do token de autorização.
PROBLEMA: Mensagem [STATUS 404 (Not found) - Recurso não encontrado [Método GET] no processamento 'HTTP Accept' - HTTPHEADER [GET] no LOG do AppServer de validação de autenticação do usuário no momento da chamada da API de REDIRECT do Logix pelo pelo provedor de identidade.
SOLUÇÃO: Conferir se a requisição da API OIDC do Logix está configurada com a URL válida no provedor de identidade onde é configurada a URI de REDIRECT com o resultado da autenticação do usuário Logix, validando todas informações para composição da URL conforme está descrito no tópico Registrando uma aplicação no provedor de identidade para autenticar usuários para o produto Logix.
PROBLEMA: Ocorreu uma falha interna na tentativa de validar o seu acesso. Entre em contato com o Administrador. (INVALID PARAMETERS).
SOLUÇÃO: Na geração de DEBUG FRAMEWORK avaliar no arquivo CONSOLE.LOG do AppServer o ponto onde houve a recepção e validação do Token de autorização, procurando pelos TAG [OIDC] ou [OIDCWEBENGINE] como por exemplo:
[OIDCWEGENGINE][Login] Received Token = <código do token> [source: OIDCWEBENGINE.PRW line: 56 function: OIDCWEBENGINE_LOGIN()]
Copie esse código de TOKEN, acesso o site https://jwt.io/ e cole o conteúdo do TOKEN no campo reservado para informar o valor de um TOKEN na área com título ENCODED, para avaliar o seu conteúdo.
Assim que o conteúdo do TOKEN é colado na área ENCODED, no lado direito é possível visualizar algumas informações na seção DECODED envolvendo dados de HEADER e PAYLOAD, onde é preciso verificar se existe informação para os campos EMAIL, NONCE, ISS, AUD, EXP. Estes campos SÃO OBRIGATÓRIOS. Caso um deles não exista é preciso revisar todas orientações de cadastro e configuração da aplicação no provedor de identidade pois alguma configuração não foi respeitada conforme os requisitos para integrar ao Logix.
Quando a seguinte mensagem for apresentada no CONSOLE.LOG do appServer indica que existe alguma configuração incorreta na aplicação registrada no provedor de identidade.
[OIDC][getIDTokenStatus] Informações do token não correspondem ao solicitante de origem (ISSUER, CLIENTID, NONCE)
PROBLEMA: Ocorreu uma falha na validação do seu acesso. Entre em contato com o Administrador (INVALID TOKEN)
SOLUÇÃO: Não conseguiu identificar/receber o código de token de autorização de usuário do provedor de identidade.
PROBLEMA: Sua tentativa de acesso expirou. Tente realizar novo acesso (EXPIRED TOKEN).
SOLUÇÃO: O token de autorização recebido está com o prazo de validade expirado. Neste caso será necessário realizar nova tentativa de autenticação de usuário.
PROBLEMA: Biblioteca JWTValid.jar não encontrada na pasta TOOLS do servidor. Entre em contato com o Administrador (LIB NOTFOUND).
SOLUÇÃO: Rever a instalação e configuração da biblioteca java JWTValid.jar conforme orienta no item acima"Configurando a ferramenta de validação de Token de autorização no Logix"
PROBLEMA: Tipo de acesso não autorizado para o usuário. Entre em contato com o Administrador (INVALID_USER_SIGNON_TYPE).
SOLUÇÃO: Todo usuário do Logix só pode acessar o sistema usando o modo de autenticação definido no seu cadastro. Neste caso veja no cadastro de usuário se o campo de Tipo de Autenticação está registrado como "Login via provedor de identidade" ou "Padrão do sistema", sendo este último válido somente quando no CONFIGURADOR na seção "Single Sign On" estiver registrado como "Login via provedor de Identidade". Somente com esta configuração o usuário acessará o sistema via Provedor de Identidade.