OpenID Connect (OIDC) é uma camada de identidade sobre o protocolo OAuth 2.0, permitindo que aplicativos verifiquem a identidade de usuários e obtenham informações básicas do perfil deles de forma segura.

No fluxo de autenticação OIDC, o usuário tenta acessar um aplicativo e é redirecionado para um provedor de identidade (Idenity). O usuário faz o login e, se for autenticado com sucesso, o provedor retorna um token ao aplicativo. Esse token contém informações sobre o usuário, permitindo ao aplicativo validar sua identidade e conceder o acesso.

Esse processo garante que as credenciais do usuário sejam tratadas apenas pelo provedor de identidade, oferecendo segurança e simplificação para a autenticação de usuários.

No momento do login no ERP, o sistema valida se existe algum usuário configurado para utilizar OIDC ou se essa regra está habilitada na política do sistema. Caso uma das duas condições seja atendida, o fluxo de login no ERP é alterado da seguinte forma:

  1. Tela Inicial: O sistema apresenta uma tela onde o usuário deve informar seu login.
  2. Validação do Login: O sistema verifica se o login informado utiliza OIDC ou se a política está habilitada para o uso do OIDC. Caso positivo, a tela de login do OIDC é exibida. Após a autenticação bem-sucedida, o usuário é redirecionado para a tela de contextualização.
  3. Fluxo Padrão: Caso nenhuma das condições seja atendida, o sistema segue o fluxo padrão de login do ERP.

Para saber mais, acesse a documentação de pré-requisitos necessários.

No modelo OIDC, em caso de falha na conexão com o Identity, o ERP redireciona o usuário automaticamente para uma tela de login com TOTP. Diferente do SAML, não é necessário desabilitar manualmente a autenticação — a contingência ocorre de forma transparente, sem ação do administrador.

Por esse motivo, é fundamental que os usuário que utilizam o OIDC como meio de login, possuam o TOTP (MFA) habilitado para o usuário dentro do ERP

Vantagens:

  • Autonomia do usuário Final;
  • Menor risco operacional;

Saiba mais

O processo é dividido em duas grandes etapas:

  1. Provisionamento do Ambiente: A configuração inicial que conecta seu ERP ao ecossistema de nuvem da TOTVS.

  2. Sincronização e Gestão de Usuários: O processo contínuo de manter os usuários do seu ERP sincronizados com o TOTVS Identity.

2. Componentes Envolvidos no Fluxo

Para facilitar o entendimento, vamos definir cada peça do diagrama:

  • ERP: O seu sistema de gestão (Ex: Protheus, RM, Datasul) onde os usuários são originalmente cadastrados e gerenciados.

  • Credential Helper: Ele é o orquestrador inicial, responsável por criar e validar as credenciais que conectam seu ambiente ao Cloud TOTVS.

  • License Server: Servidor da TOTVS que valida a autenticidade da sua licença de produto e código de instalação.

  • Plataforma de Provisionamento: Serviço de nuvem da TOTVS responsável por criar os recursos necessários, como o workspace e as credenciais de acesso.

  • Identity: A plataforma de identidade da TOTVS (IDP), que armazena e gerencia os usuários para autenticação centralizada (login único).

  • RAC (Controle de Acesso Remoto): Componente que valida as credenciais e emite os tokens de acesso que permitem a comunicação segura entre os sistemas.

3. Etapa 1: Provisionamento do Ambiente

Esta é a etapa de configuração única, realizada para estabelecer a conexão segura entre o seu ERP e os serviços da TOTVS.

Como funciona o fluxo:

  1. Solicitação de Credenciais: O ERP aciona o Credential Helper para iniciar a criação das credenciais do ambiente.

  2. Validação da Licença: O Credential Helper contata o License Server da TOTVS para validar o TOTVS ID e o código de instalação, garantindo que o ambiente é autêntico.

  3. Criação do Workspace: Após a validação, o Credential Helper solicita à Plataforma de Provisionamento a geração de um workspace e das credenciais. A plataforma, por sua vez, comanda o Identity para criar o workspace dedicado ao seu ambiente.

  4. Geração das Credenciais: A Plataforma de Provisionamento e o RAC trabalham em conjunto para gerar um par de credenciais único e seguro para o seu ambiente.

  5. Validação Final: O Credential Helper valida as novas credenciais junto ao RAC para garantir que a comunicação foi estabelecida com sucesso.

Resultado ao final desta etapa: Seu ambiente está tecnicamente provisionado e pronto para começar a sincronizar usuários. Uma credencial única foi criada para ser utilizada em todas as integrações com as ferramentas TOTVS.

4. Etapa 2: Sincronização e Gestão de Usuários

Com o ambiente provisionado, o próximo passo é popular o TOTVS Identity com os usuários do seu ERP.

Como funciona o fluxo:

  1. Envio de Dados: O ERP envia os dados dos usuários (novos cadastros e alterações) para o Identity de forma segura, utilizando o serviço Upstream Data Share via Smartlink.

    • Observação: A sincronização é unidirecional. Alterações feitas no ERP são refletidas no Identity, mas usuários criados ou alterados diretamente no Identity não são enviados de volta para o ERP.

  2. Resolução de Conflitos: Durante a sincronização, podem ocorrer conflitos (ex: usuários duplicados). Para esses casos, utiliza-se a ferramenta Manager.

    • Manager: É o portal de gestão onde é possível consultar o status da integração, resolver pendências, vincular usuários a aplicações específicas da TOTVS e muito mais.

  3. Finalização: O processo é considerado completo quando os usuários estão devidamente cadastrados no Identity e sem pendências de sincronização no Manager. A partir deste momento, eles podem se autenticar nas plataformas TOTVS usando suas credenciais do ERP.





Documentação complementar: