Pular para o conteúdo principal
Versão: 2.2.2

Guia de Autorização

A autenticação e autorização refere-se ao processo de concessão de permissões de acesso de um usuário ou aplicativo aos dados e recursos do SoftExpert Suite.

Ilustração que mostra um aplicativo cliente entre o servidor do SoftExpert Suite e o usuário final no framework de autorização.

Onde:

  • Usuário Final (End User) corresponde ao usuário do SoftExpert Suite. O Usuário Final solicita acesso aos recursos protegidos (por exemplo, workflows, documentos, etc.)
  • Meu Aplicativo (My App) é o cliente que solicita acesso aos recursos protegidos (por exemplo, um aplicativo móvel, web ou uma integração).
  • Servidor do SoftExpert que hospeda os recursos protegidos e fornece autenticação e autorização via API Key ou Basic HTTP.

Uso do API Key

Para integrar com segurança o SoftExpert Suite ao seu aplicativo, uma das formas recomendadas atualmente é o uso do API Key, o API Key utiliza a especificação JSON Web Tokens (Token JWT). Para isso, todas as solicitações feitas às APIs e Web Services devem utilizar HTTPS e incluir o API Key do usuário, a fim de autenticar e autorizar o acesso.

O API Key do usuário pode ser encontrado na tela de "Conta do usuário". Cada usuário pode ter apenas um API Key, que permite o acesso aos menus configurados no grupo de acesso associado a ele.

cuidado

A partir da versão 2.1, é obrigatório que o uso do protocolo HTTPS seja adotado para aumentar significativamente a segurança no uso da solução. É altamente recomendável que a organização obtenha um certificado digital válido emitido por uma autoridade certificadora confiável. Caso contrário, os usuários do SoftExpert Suite poderão receber alertas de segurança durante o uso da solução. É importante salientar que o envio de credenciais de acesso via HTTP é considerado uma grave falha de segurança e deve ser evitado sob todas as circunstâncias.

API Gateway

O API Gateway é um componente importante da arquitetura de sistemas baseados em APIs. No caso do SoftExpert Suite, ele é responsável pela camada de controle de acesso aos recursos disponibilizados por meio de APIs e Web Services.

Para enviar suas requisições para o API Gateway, é necessário utilizar a URL https://my-domain.softexpert.com/apigateway/, sendo que o <my-domain> deve ser equivalente ao utilizado no acesso de usuários ao SoftExpert Suite.

Com o uso do API Gateway, é possível implementar políticas de controle de acesso, como autenticação e autorização, além de monitorar o tráfego de requisições e respostas entre os clientes e os recursos. Isso aumenta a segurança e o controle sobre o uso das APIs e Web Services do SoftExpert Suite.

Usuário para Integrações

É recomendável a criação de um usuário exclusivo no SoftExpert Suite para realizar integrações. Este usuário deve possuir apenas um grupo de acesso vinculado e associado a uma única licença MANAGER. Este usuário também não deve ser sincronizado com o AD (Active Directory) e não deve ser utilizado para acessar o sistema no dia-a-dia, pois este usuário deve ser de uso exclusivo para as integrações. Desta forma, facilita tanto a gestão das permissões de acesso desse usuário às integrações disponibilizadas, quanto à manutenção do histórico de integrações realizadas, o qual pode ser extraído observando os registros inseridos por este usuário.

Próximos passos