Versão/Release	Funcionalidade
12.1.2503	Liberação da funcionalidade de geração dos certificados para uso no token JWT.

Descrição

A partir da release 12.1.2503, foi implementado no produto TOTVS Datasul a funcionalidade de geração dinâmica de certificados para o uso em tokens JWT (autenticação e autorização).

Para seu uso, é necessário efetuar uma parametrização prévia no produto.

Configuração

A seguir, são apresentados um passo a passo de como deve ser parametrizado, lembrando que deve ser analisado caso a caso a necessidade do cliente:

Passo 1

Acessar o programa Propriedades JWT (aba Certificados).

Linha Datasul > [DTS4THF] Geração e uso de certificados em tokens JWT > propriedades-jwt-certificados-1.png

Passo 2

Definir um diretório (onde o arquivo .jks será armazenado), juntamente com a senha (mínimo 6 caracteres).

Linha Datasul > [DTS4THF] Geração e uso de certificados em tokens JWT > propriedades-jwt-certificados-2.png

Caso os campos não sejam definidos, o produto atribuirá valores padrões para a geração do certificado.

Passo 3

Clicar no botão Gerar JWKS

Linha Datasul > [DTS4THF] Geração e uso de certificados em tokens JWT > propriedades-jwt-certificados-3.png

Após a geração do certificado, não será possível alterar o diretório.

Caso seja necessário efetuar a alteração do mesmo, todos os certificados devem ser removidos.

Passo 4

Clicar em ... e Habilitar o certificado desejado para a geração do token JWT.

Linha Datasul > [DTS4THF] Geração e uso de certificados em tokens JWT > propriedades-jwt-certificados-4.png

Apenas a geração do certificado não garante que o mesmo será utilizado na geração do token JWT.

Deve-se clicar na ação Hablitar e o certificado deve estar com o campo Ativo: Sim

Para mais detalhes quanto a ativação do certificado, bem como o comportamento da autorização dos tokens JWT, consulte o cenário 1 apresentado a seguir.

Passo 5

Clicar em Salvar e reiniciar o Apache Tomcat.

Cenários de parametrização

A seguir serão apresentados possíveis cenários de parametrização:

Cenário 1: Existem mais de um certificado na tabela

Caso houver mais de um certificado gerado, é necessário definir o Alias Ativo, sendo o mesmo considerado para a geração do token JWT (Autenticação).

Para garantir uma troca de certificado transparente e não quebrar possíveis integrações que possuem o token JWT gerado com base no certificado antigo, são autorizados todos os tokens JWT cujo certificados estão na lista.

Ao ativar um certificado, por questões de segurança, após reiniciar o Tomcat não é mais possível autorizar os tokens gerados pelo certificado padrão do ERP Datasul.

Linha Datasul > [DTS4THF] Geração e uso de certificados em tokens JWT > propriedades-jwt-certificados-n-1.png

Cenário 2: Preciso bloquear a autorização de acesso por um determinado certificado

Conforme informado no cenário anterior, "...todos os tokens JWT que foram gerados com certificados na lista ainda são autorizados...", portanto a desativação do mesmo não restringe o acesso ao endpoint.

Para restringir o acesso, basta selecionar o certificado e excluir-lo.

Antes

Depois

Cenário 3: Não existem certificados na tabela ou todos estão desabilitados

Caso exista certificados porém todos estão desabilitados ou não exista nenhum certificado na lista, será considerado o certificado padrão do ERP Datasul para a geração do token JWT e sua posterior autorização de acesso.

Linha Datasul > [DTS4THF] Geração e uso de certificados em tokens JWT > propriedades-jwt-certificados-n-3-1.png

Linha Datasul > [DTS4THF] Geração e uso de certificados em tokens JWT > propriedades-jwt-certificados-n-3-2.png

Cenário 4: Possuo um ambiente com múltiplos Tomcats

Por questões de segurança e padronização, todos os certificados são armazenados em um arquivo físico (.jks) portanto:

Caso possua um ambiente com múltiplos servidores Tomcats, recomenda-se que o acesso ao diretório esteja disponível para todos estes servidores, sendo uma alternativa o compartilhamento deste diretório.
Caso possua políticas de restrição ao compartilhamento de diretórios, outra alternativa é a cópia manual do arquivo .jks para o servidor onde o Tomcat está instalado
- Neste cenário, caso houver alguma alteração nos parâmetros do certificado (geração, alteração de senha ou remoção), o arquivo .jks deve ser atualizado manualmente nos demais servidores.

Linha Datasul > [DTS4THF] Geração e uso de certificados em tokens JWT > propriedades-jwt-certificados-n-4.png

Tenha cuidado em servidores com múltiplos Tomcats que possuem agrupadores, sendo proibida a alteração da propriedade específica para um determinado agrupador.

Neste cenário, deve-se sempre alterar a propriedade no agrupador default para que a parametrização seja reaplicada a todos os Tomcat que compartilham do mesmo banco de dados emsfnd.

Documentos relacionados

CFG - JWT