Guia de Autorização
A autenticação e autorização refere-se ao processo de concessão de permissões de acesso de um usuário ou aplicativo aos dados e recursos do SoftExpert Suite.
Onde:
- Usuário Final (End User) corresponde ao usuário do SoftExpert Suite. O Usuário Final solicita acesso aos recursos protegidos (por exemplo, workflows, documentos, etc.)
- Meu Aplicativo (My App) é o cliente que solicita acesso aos recursos protegidos (por exemplo, um aplicativo móvel, web ou uma integração).
- Servidor do SoftExpert que hospeda os recursos protegidos e fornece autenticação e autorização via API Key ou Basic HTTP.
Uso do API Key
Para integrar com segurança o SoftExpert Suite ao seu aplicativo, uma das
formas recomendadas atualmente é o uso do API Key, o API Key utiliza a
especificação JSON Web Tokens (Token JWT). Para isso, todas
as solicitações feitas às APIs e Web Services devem utilizar HTTPS e incluir
o API Key do usuário, a fim de autenticar e autorizar o acesso.
O API Key do usuário pode ser encontrado na tela de
"Conta do usuário". Cada usuário
pode ter apenas um API Key, que permite o acesso aos menus configurados no grupo
de acesso associado a ele.
A partir da versão 2.1, é obrigatório que o uso do protocolo HTTPS seja adotado para aumentar significativamente a segurança no uso da solução. É altamente recomendável que a organização obtenha um certificado digital válido emitido por uma autoridade certificadora confiável. Caso contrário, os usuários do SoftExpert Suite poderão receber alertas de segurança durante o uso da solução. É importante salientar que o envio de credenciais de acesso via HTTP é considerado uma grave falha de segurança e deve ser evitado sob todas as circunstâncias.
API Gateway
O API Gateway é um componente importante da arquitetura de sistemas baseados em APIs. No caso do SoftExpert Suite, ele é responsável pela camada de controle de acesso aos recursos disponibilizados por meio de APIs e Web Services.
Para enviar suas requisições para o API Gateway, é necessário utilizar a URL
https://my-domain.softexpert.com/apigateway/, sendo que o <my-domain> deve
ser equivalente ao utilizado no acesso de usuários ao SoftExpert Suite.
Com o uso do API Gateway, é possível implementar políticas de controle de acesso, como autenticação e autorização, além de monitorar o tráfego de requisições e respostas entre os clientes e os recursos. Isso aumenta a segurança e o controle sobre o uso das APIs e Web Services do SoftExpert Suite.
Usuário para Integrações
É recomendável a criação de um usuário exclusivo no SoftExpert Suite para realizar integrações. Este usuário deve possuir apenas um grupo de acesso vinculado e associado a uma única licença MANAGER. Este usuário também não deve ser sincronizado com o AD (Active Directory) e não deve ser utilizado para acessar o sistema no dia-a-dia, pois este usuário deve ser de uso exclusivo para as integrações. Desta forma, facilita tanto a gestão das permissões de acesso desse usuário às integrações disponibilizadas, quanto à manutenção do histórico de integrações realizadas, o qual pode ser extraído observando os registros inseridos por este usuário.
Próximos passos
- Antes de continuar, certifique-se de ter criado um API Token em sua Conta de Usuário no SoftExpert Suite.
- Por fim, aprenda como usar o token de acesso solicitado lendo o Guia de como usar o token de acesso.