Pular para o conteúdo principal
Versão: 2.2.1

Arquitetura de segurança

Essa seção detalha a arquitetura de segurança do SoftExpert Suite. Veja o diagrama abaixo:

Figura 7 - Arquitetura de segurança do SE Suite

Figura 7 - Arquitetura de segurança do SE Suite

perigo

Na versão 2.2, é obrigatório o uso de HTTPS para aumentar a segurança no uso da solução. Sugerimos o uso de um certificado digital válido emitido por entidades certificadoras (Verisign, Certisign, Thawte, entre outras). Caso a organização não tiver disponibilidade de um certificado digital válido, pode-se gerar um certificado auto assinado (IIS ou Nginx), porém avisos de segurança poderão ser emitidos para os usuários durante o uso do SoftExpert Suite. Consulte o documento SoftExpert Suite - Guia de instalação para verificar a configuração de certificados.

Esta seção possui os seguintes subtópicos:

Acesso do usuário

Para que o usuário, a partir da estação de trabalho, tenha acesso ao SoftExpert Suite, o mesmo precisa autenticar-se. Para isso, o SoftExpert Suite disponibiliza os seguintes métodos de autenticação:

  • Usuário e Senha: As senhas e usuários são armazenados na base de dados utilizando a criptografia através de um algoritmo próprio do SoftExpert Suite somado ao algoritmo SHA-1. O algoritmo utilizado não permite descriptografia, aumentando a segurança da solução.
  • NTLMv2: Autentica usuários no SoftExpert Suite utilizando o protocolo NTLMv2 conectando no AD (Active Directory da Microsoft).
  • LDAP: Autentica usuários no SoftExpert Suite utilizando o protocolo LDAP conectando no AD.
  • SAML 2.0 (ADFS): Autentica usuários no SoftExpert Suite, com o usuário e senha fornecidos ao Sistema Operacional, utilizando o protocolo SAML conectando no ADFS (Active Directory Federation Service da Microsoft).

Para aumentar a segurança, o SoftExpert Suite permite que algumas políticas de segurança sejam configuradas no componente SoftExpert Configuração, de modo que aumente a segurança contra o acesso não autorizado, como por exemplo:

  • Expirar senha: requer que a senha seja mudada pelo usuário;
  • Bloquear usuário de acordo com o número de tentativas;
  • Enviar e-mail ao gestor quando um usuário for bloqueado por ter excedido o número de tentativas;
  • Controle de força: exigência de um tamanho mínimo ou de complexidade (presença de letras, números, símbolos e maiúsculas/minúsculas) em senhas.

Todas as requisições são realizadas através do protocolo HTTPS, o qual necessita de uma seção logada e aberta no servidor para enviar a resposta ao usuário. As sessões têm tempo de expiração configurável.

Controle de acesso

Após o usuário se conectar, o SoftExpert Suite, através dos direitos de acesso associados para cada item de menu, permite gerenciar o controle de acesso de cada recurso individualmente através de políticas de direito de acesso.

Solução

Esse tópico possui detalhes dos principais aspectos de segurança no acesso do SoftExpert Suite à camada de persistência e serviços utilizados.

Banco de Dados

O SoftExpert Suite conecta-se com o banco de dados usando autenticação básica, através de usuário e senha. As configurações de conexão com o banco de dados são armazenadas em arquivos de configuração encriptados, usando algoritmo de encriptação do SoftExpert Suite.

E-mail

Para o envio de notificações por e-mail, o SoftExpert Suite é parametrizado para se conectar ao servidor de e-mail utilizando autenticação básica através de usuário e senha, ou autenticação OAuth, através de contas da Microsoft ou Google. Esses dados são armazenados no banco de dados por meio do algoritmo de encriptação do SoftExpert Suite.

Diretório

O SoftExpert Suite pode ser configurado para armazenar documentos em diretórios, para isso é necessário ter permissão de leitura e de gravação para o SoftExpert Suite (usuário local ou de domínio configurado no IIS ou NGinx) ou para o Serviço File Manager, sendo este último utilizado apenas em diretório remoto. Os usuários não precisam ter acesso nesses diretórios.

LDAP

Para realizar a conexão do serviço LDAP, seja para autenticar ou sincronizar dados de usuários, o SoftExpert Suite utiliza um usuário válido do AD, o qual é informado em sua parametrização. Em caso de uso da funcionalidade de sincronização e autenticação LDAP, deve-se assegurar que regras para acesso aos serviços do servidor de domínio da empresa sejam criadas no firewall. As portas comumente utilizadas para realizar a conexão com estes serviços estão listadas abaixo:

  • 389/TCP

NTLMv2

Para realizar a autenticação de usuários com o SoftExpert Suite utilizando o protocolo NTLMv2, deve-se assegurar que as regras para acesso aos serviços do servidor de domínio da empresa sejam criadas no firewall. As portas comumente utilizadas para realizar a conexão com estes serviços estão listadas abaixo:

  • 445 TCP
  • 445 UDP

SAML

Para realizar a autenticação de usuários com o SoftExpert Suite utilizando o protocolo NTLMv2, deve-se assegurar que as regras para acesso aos serviços do servidor de domínio da empresa sejam criadas no firewall. As portas comumente utilizadas para realizar a conexão com estes serviços estão listadas abaixo:

  • 443 TCP