Objetivo
Mostrar paso a paso cómo se realiza la parametrización de la línea Microsiga Protheus para utilizar el Fluig Identity.
Funcionalidades
Las principales funcionalidades del Fluig Identity para la experiencia #1 son: Login único vía Single Sign-on, aprovisionamiento integrado entre el sistema del ERP Protheus y el Fluig Identity.
Concepto
La Experiencia #1 consiste en un acceso único al Sistema Protheus por medio del portal Fluig Identity. La integración Fluig Identity con el ERP Protheus ocurre por medio del protocolo SAML 2.0, al cual el usuario accede vía Identity Provider (IdP), un servicio o la aplicación Service Provider (SP). En otras palabras, el usuario accederá vía Fluig Identity (IdP) al sistema ERP Protheus (SP). El Identity Provider (IdP)/Asserting Party es responsable por la Autenticación del usuario y la generación del Assertion (SSO). Ya el Service Provider (SP)/Relying Party es responsable por el consumo del Assertion (ACS) y el suministro del recurso. El acceso único se realiza utilizando una propiedad de control de accesos de múltiplos denominado Single Sign-on. Para utilizar este recurso, es necesario realizar configuraciones en el portal del Fluig Identity y en el EPR Protheus.
El Aprovisionamiento consiste en la transferencia de información del ERP Protheus al portal del Fluig Identity por medio de una sincronización de datos. Dicha información se realiza separada por grupo de empresa, y contiene información, como por ejemplo: Ítem de menú, Consulta rápida, Archivo de grupos y Archivo de usuario. Para la realización de la sincronización es importante que el usuario registrado en el Protheus tenga un e-mail configurado para este.
Ventajas
Las ventajas de utilizar la herramienta de Login único vía Fluig Identity son aumentar la seguridad y productividad al disminuir las tareas y costos vinculados a esta actividad.
Requisitos mínimos
Para utilizar la integración con el Fluig Identity asegúrese que:
- El TOTVS | AppServer es superior o igual al build 7.00.121227P - Aug 12 2013
- El paquete de actualización de la Lib del Microsiga Protheus que se aplica al entorno es superior a Agosto/2013
- El TOTVS | AppServer debe estar configurado como servidor de HTTP. Para más información consulte http://tdn.totvs.com.br/pages/viewpage.action?pageId=191464637
* Para la actualización del entorno, consulte nuestra Central de download en la dirección: http://www.totvs.com.br/suporte
Cómo habilitar el Fluig Identity
Paso 1: Configurar en el TOTVS | AppServer el servidor de HTTP.
Para habilitar el Fluig Identity en el Microsiga Protheus, verifique si la configuración HTTP está habilitada en el AppServer.ini.
Esta configuración es necesaria, porque el intercambio de información entre el Fluig Identity (IdP) y el ERP Protheus (SP) ocurre por medio del protocolo HTTP.
El AppServer.ini es el archivo de configuración del servidor de aplicación Protheus.
A continuación, mostramos un ejemplo de sección HTTP del AppServer.ini. Observe que la configuración en su entorno puede ser diferente.
En el ejemplo anterior, resaltamos las claves:
enable=1 - Especifica que el servicio HTTP está activo;
port=8085 - Especifica el puerto en que el HTTP responderá.
Environment= p12_fluig.
Es importante resaltar que la dirección:puerto del HTTP del Protheus debe estar publicada.
Un buen truco para verificar si el servidor HTTP del Protheus está respondiendo es utilizar una computadora que no sea el servidor y digitar la siguiente dirección en el navegador de Internet:
En nuestro ejemplo, el IP del servidor Protheus será 172.18.0.175. El puerto del HTTP es 8085. Entonces, la llamada quedará así:
http://172.18.0.175:8085/time.apl
Al hacer la llamada, debe devolverse una página con la hora del servidor Protheus. Si ocurrió un error, el servidor HTTP no respondió o el mensaje no llegó al destino. Esto puede deberse a alguna restricción de red, como puertos bloqueados, por ejemplo.
Para más información sobre cómo configurar el recurso de HTTP del Protheus, acceda a: http://tdn.totvs.com.br/pages/viewpage.action?pageId=191464637
Paso 2: Verifique el atributo de lectura de la carpeta ‘sso’ del ‘AppServer’.
Esta carpeta debe estar con el atributo “solo lectura” desmarcado. De lo contrario, el ERP Protheus no conseguirá grabar los datos en esta carpeta.
Cómo verificar / modificar:
Acceda a la carpeta bin/AppServer, haga clic con el botón derecho del mouse para marcar la carpeta ‘sso’ y seleccione ‘Propiedad’. En ‘Propiedad’, retire el atributo ‘Solo lectura (archivos de la carpeta)’ y haga clic en ‘Aplicar’. A continuación, marque la opción: ‘Aplicar las modificaciones en esta carpeta, subcarpetas y archivos’. Haga clic en ‘OK’.
Paso 3: Configuración Fluig Identity
Acceder al portal del Fluig Identity por medio de la URL (dirección) que haya sido informada por TOTVS para su empresa.
Como estándar, el Fluig Identity tiene algunas aplicaciones configuradas en la página Aplicaciones. Realice la búsqueda por la aplicación ‘Protheus’.
Después de realizar la búsqueda, haga clic en ‘Protheus’. En Overview, haga clic en ‘Clonar’. Al realizar esta acción, usted creará una aplicación personalizada de la empresa con las mismas configuraciones de la original.
Renombre el nombre de la Aplicación para facilitar la gestión de las aplicaciones. Haga clic en ‘Grabar’. Para realizar las configuraciones de la aplicación, haga clic en la solapa ‘Entrar’ y a continuación, haga clic en ‘Editar’.
En nuestro ejemplo, el IP del servidor Protheus será 172.18.0.175. El puerto que se definió para nuestro HTTP (ver más arriba) es 8085. Entonces, la dirección SERVIDOR + PUERTO será 172.18.0.175:8085.
En los siguientes ítems, sustituya la expresión IP:Puerto o IP por los datos de su entorno real.
Edite las configuraciones de la Aplicación Protheus, como se describe a continuación:
Modo de login: Ejecutable SAML
Tipo Inic SSO: IDP_INITIATED
ID de la identidad específica del dominio
Dominio: http://IP:Porta/cloudpass
Ejemplo: http://172.18.0.175:8085/cloudpass
Formato del Name ID
Temporal
URL del consumidor de afirmaciones:
Utilice la siguiente dirección:
http://IP:Porta/cloudpass/SAML2/POST
Ejemplo:
http://172.18.0.175:8085/cloudpass/SAML2/POST
Destinatario:
Utilice la siguiente dirección:
http://IP:Porta/cloudpass/SAML2/POST
Ejemplo: http://172.18.0.175:8085/cloudpass/SAML2/POST
Público:
Ejemplo: http://172.18.0.175:8085/cloudpass
Nombre del emisor SP:
Ejemplo: http://172.18.0.175:8085/cloudpass
Mapeo ID de usuario: E-mail del usuario
Nombre del ejecutable o acceso directo: \\IP\Protheus12Fluig\bin\smartclient\SmartClient.exe -p=sigamdi -c=dev -e=environment
Ejemplo: \\172.18.0.175\Protheus12Fluig\bin\smartclient\SmartClient.exe -p=sigamdi -c=dev -e=environment
URL personalizada de login: dev.thecloudpass.com/cloudpass/launchpad/launchApp/6psevrtoj5d7ytwi1424457934570/00ogp3uofsjlwhc11410389672381
URL personalizada de logout:
Después de editar las configuraciones, haga clic en ‘Grabar’.
En la página Aplicaciones, realice la búsqueda por medio de la aplicación personalizada y haga clic en ‘Agregar’.
De esta manera, usted agregará la aplicación en su pantalla de Protheus Dev Launchpad. En esta página están todas las aplicaciones personalizadas.
Paso 4: Configuración ERP Microsiga Protheus.
Para habilitar el Fluig Identity en el Microsiga Protheus, acceda al módulo Configurador, menú 'Usuarios\Contraseñas\Política'.
Al acceder a la rutina 'Política', vaya a la carpeta 'Política de seguridad' y dentro de esta carpeta, seleccione la carpeta 'Reglas de contraseña'.
En la carpeta 'Reglas de contraseña' habilite el Single Sign-On modificando el valor del campo del formulario a Opcional u Obligatorio.
Si el campo 'Single Sign-On' está configurado como Obligatorio, solo se admitirá el acceso al sistema por el IdP, excepto los módulos de Administración (Ejemplo: Configurador) que continua con la forma de acceso estándar habilitada. Si el campo 'Single Sign-On' se configura como Opcional, el acceso al sistema podrá realizarse por medio del IdP o por el formato tradicional.
En la página Aplicación, haga clic en ‘Token de configuración’. Copie el contenido para incluir el campo ‘Token de configuración’ en el asistente de configuración del Fluig Identity por medio del Microsiga Protheus.
Para configurar el Fluig Identity, en el Microsiga Protheus acceda al módulo Configurador, menú ‘Usuarios\Contraseñass\Config.Identity’.
Al acceder a la rutina ‘Regla de contraseña – Fluig Identity – Asistente de configuración’, acceda a la solapa ‘Fluig Identity – Asistente de configuración’, e informe en el campo ‘Dirección del Fluig Identity’ el enlace de acceso del Fluig Identity.
Ej.: http://protheus-dev.thecloudpass.com/cloudpass
Informe en el campo ‘Token de configuración’, el contenido copiado de la pantalla Overview perteneciente a la aplicación Fluig Identity.
En el campo ‘Lista de URL aceptadas para conexión’, haga clic en la opción ‘Configurar’. Este método se conoce como ‘One Click Configuration’. De esta manera, la Configuración entre el IdP y el SP se realizará de modo automático. Confirme la acción haciendo clic en ‘Sí’.
Haga clic en ‘Cerrar’.
Para el mensaje de alerta ‘Configuración SAML’, haga clic en ‘No’.
Después de realizar el 'One Click Configuration' en el Protheus, vaya al próximo paso en el Fluig Identity:
Paso 5: Definición de las Autorizaciones de la aplicación Protheus en el Fluig Identity.
En la sección 'Protheus Dev Launchpad' del Fluig Identity, haga clic en las '3 barras' presentadas al lado derecho del ícono del ERP Protheus. A continuación, haga clic en 'Definir autorizaciones'. En esta opción, es posible definir el camino de red donde debe llamarse la ejecución del SmartClient.
En este ejemplo, el ejecutable del SmartClient ('SmartClient.exe') está mapeado por la unidad 'S:' de la red. Siga los próximos pasos para realizar el Mapeo de unidad.
Paso 6: Mapear unidad de red.
En la unidad del disco local de su computadora, haga clic en la opción 'Mapear unidad de red'. Será responsable por la creación del acceso directo a una carpeta compartida por la red.
Seleccione la unidad preferible. En este caso, se eligió la unidad 'S:' En el campo 'Carpeta', se indicó la dirección de red '\\172.18.0.175' como se configuró en la dirección del acceso directo ejecutable dentro de las configuraciones de la aplicación Protheus en el Fluig Identity (vea el paso 3).
Paso 7: Ejecución de la Aplicación Protheus por el Fluig Identity.
En la sección 'Protheus Dev Launchpad', haga clic en la aplicación para ejecutarla vía Fluig Identity. A continuación, aparecerá un mensaje advirtiendo que la información suministrada se enviará por medio de una conexión normal (sin seguridad). Haga clic en 'Continuar'.
A continuación, aparecerá una ventana con 'Parámetros iniciales' del TOTVS | SmartClient. Haga clic en 'Ok'.
Vea a continuación, que el login se realiza vía Single Sign-On. Con esto se finaliza la Experiencia #1 login único vía Single Sign-On en el Fluig Identity.
Aprovisionamiento
Como se dijo anteriormente, la Experiencia #1 Aprovisionamiento consiste en la transferencia de información del ERP Protheus al portal del Fluig Identity por medio de una sincronización de datos.
El aprovisionamiento es muy útil si ya se tiene un ERP Protheus activo y se desea transferir automáticamente la información de usuarios, menús y accesos al Fluig.
Para utilizar este recurso, es necesario activar el servidor HTTP del Protheus y el protocolo REST que forma parte del servidor HTTP.
El REST, al igual que el SOAP. es un modelo de transferencia de información vía WebServices.
Requisitos mínimos
Para utilizar el Aprovisionamiento del Fluig, es necesario tener el Servidor HTTP configurado en el TOTVS | AppServer. Como mostraremos a continuación.
Sección ‘OnStart’: Sección Estándar Protheus responsable por iniciar el Job.
Sección ‘HTTPJOB’:
Main= Nombre configurado para el Job
Environment = Nombre del entorno Protheus (configurado en el AppServer).
Sección HTTPV11: responsable por la configuración del protocolo HTTP versión 1.1
Enable= Habilita la Sección
AddressFamily=1 Obtiene la familia de la dirección de Socket.
Sockets= Nombre de la clave donde se configurarán los sockets
Ej.: Sockets=HTTPREST, HTTPREST2
TimeOut= Define el tiempo, en segundos, del timeout de la thread creada y mantenida, en el servidor del Sistema (ERP), para atender una requisición de página dinámica AdvPL por medio de una URL/enlace con extensión .APL
Sección ‘HTTPREST’ – Configuración de los Sockets.
Port= Especifíca el puerto donde responderá el HTTP
IPsBind= Valores válidos de IP para establecer la conexión.
Ej.:
Vea a continuación los valores válidos para la clave
<0.0.0.0> - Define que el servidor utilizado realizará el bind de todas las interfaces disponibles (estándar)
<127.0.0.1> - Define que el servidor utilizado realizará el bind de la interfaz cuyo IP es 127.0.0.1
<IP del Servidor> - Define que el servidor utilizado realizará el bind de la interfaz cuyo IP es <IP del servidor>
Sección MaxQueue: Cantidad máxima de requisiciones que quedan en la cola de los sockets
Estos 3 atributos se refieren al protocolo HTTPS. Para más información: Configuración SSL en el TOTVS | Application Server.
SSLPublicKey
SSLPrivateKey
SSLPassWord
Sección ‘HTTPURI’:
URL=/scim/v2/extensions - URL REST
PrepareIn=ALL - Si está configurado con 'ALL', se preparará el entorno para todos los grupos de empresa.
OnStart=REST_START
OnConnect=REST_CONNECT
OnExit=REST_EXIT
Instances=1,3,0,1
Ej.: 1 – Mínimo: indica la cantidad inicial de threads que se pondrán a disposición.
2 – Máximo: indica la cantidad máxima de threads que se pondrán a disposición.
3 – Mínimo libre: indica la cantidad mínima de threads libres.
4 – Incremento: indica la cantidad de nuevas threads que se pondrán a disposición si el número de threads libres se encuentra por debajo del valor previamente definido.
(selección) El incremento respeta la cantidad máxima de threads configuradas. De este manera, la cantidad de nuevas threads liberadas es igual al menor valor entre el incremento y la diferencia del máximo y las threads en uso.
Paso 1: Configuración del aprovisionamiento en el Fluig Identity.
En el portal del Fluig Identity, acceda a la página de Aplicaciones y seleccione la Aplicación deseada. Haga clic en ‘Aprovisionar’ y después en ‘Editar’.
Edite las configuraciones de la Aplicación Protheus, como se describe a continuación:
Habilitar aprovisionamiento: Para habilitar el aprovisionamiento, la opción debe estar seleccionada.
Modo de aprovisionamiento: SCIM (Sistema de administración de identidad Cross-Domain)
El protocolo SCIM es un nivel de aplicación del protocolo REST para aprovisionamiento y administración de datos de identidad en la web.
Tipo de autenticación: HTTP Basic
URL Rest: http://172.19.0.175:8084/scim/v2/extensions/ (http://(server):(puerto)/scim/v2/extensions/)
Nombre del usuario del administrador del dominio: Admin (Logon del usuario administrador del ERP Protheus)
Contraseña del administrador del dominio: ****** (Contraseña del administrador)
Contraseña temporal del usuario: Totvs@123
Resource Access Control
El Resource Access Control, o más conocido como RAC, es un sistema de seguridad que suministra la funcionalidad de control de acceso y auditoría
Habilitación del Resource Access Control: Para habilitar el RAC, la opción debe estar seleccionada.
Modo RAC: Papel
Modelo RAC: Modelo Protheus
Límite de caracteres en el nombre del papel: 28 Use thie field: Sí
Límite de caracteres en la descripción del papel: 30 Use thie field: Sí
Haga clic en ‘Grabar’.
Para poner a prueba el Aprovisionamiento, acceda al ERP Microsiga Protheus y registre un usuario que contenga un e-mail configurado para el usuario, y vincúlelo al grupo Administrador.
Acceda a la rutina Configuración del Identity por medio del camino de menú: Usuario \ Contraseñas \ Config. Identity.
En esta etapa, debe realizarse la Sincronización. En la sección 'Estado', haga clic en 'Sincronización'. En el próximo paso, haga clic en 'Avanzar' para Validación de los menús.
El avance del proceso de sincronización se muestra en el asistente de Configuración del Fluig Identity.
Y también podrá acompañarse por medio de un íncono en el área de notificación.
En Aplicaciones en el Fluig Identity, haga clic en ‘Recursos’. Al incluir un nuevo usuario en el Protheus, la inclusión se sincronizará a la página del Fluig Identity. Cómo se puede visualizar la siguiente figura:
Haga clic en 'Administrar'. A continuación, en Administración de papeles, se presentarán las Empresas del grupo de Administradores que tienen acceso.
Después, haga clic en 'Ítems de menú'. Se presentarán los Ítems de menú a los que tiene acceso el usuario administrador.
Visão Geral
Import HTML Content
Conteúdo das Ferramentas
Tarefas