Configurar os parâmetros de acesso dos usuários no produto Datasul.
As propriedades destinadas ao acesso do produto podem ser visualizadas e/ou alteradas a partir do atalho de menu Configurações → Propriedades do Sistema → Propriedades Acesso.
A tela é divida em três grupos de propriedades que podem ser configuradas, sendo:
LDAP (Lightweight Directory Access Protocol) é um protocolo de aplicação aberto criado como uma alternativa de acesso ao Directory Access Protocol (DAP), ou seja, para acessar e manter serviços de informação de diretório distribuído sobre uma rede. Para que seja possível realizar a autenticação de usuários do produto, utilizando o login e senha de rede de cada usuário, se faz necessário uso de endereço URL LDAP no produto.
Acionando a opção 
serão apresentadas as configurações para realizar autenticação de usuário no produto utilizando o mesmo Usuário/Senha de acesso a rede configurada com acesso via servidor Active Directory (AD).
, que apresenta um menu com as seguintes opções: 
Excluir - Permite eliminar o domínio de conexão LDAP existente;
Definir/Remover como padrão - Permite definir como padrão ou não o domínio para o acesso ao ERP Datasul.
Obs: Caso tenha mais de um domínio cadastrado, ao definir um deles como padrão, os demais automaticamente ficarão como "não".
Acione o botão 
para registrar informações de conexão LDAP para cada novo domínio de rede para autenticação de usuários no produto.
Informe o nome do domínio do servidor LDAP.
Nota
O valor parametrizado neste campo é apresentado nas telas de login do ERP Datasul e também no login intermediário. Dependendo da parametrização efetuada nesta tela e no cadastro de usuários, o ERP Datasul permitirá efetuar o login por diferentes domínios.
Observe o exemplo abaixo, foi cadastrado dois domínios somente com o nome diferente (JV01 e JV01.LOCAL), todas as demais parametrizações de URL e Grupos são equivalentes:
Para efetuar o login no produto com um usuário externo, o sistema efetuará o vínculo do domínio (apresentado na tela de login) com o cadastro previamente configurado para resgatar os dados de conexão com servidor do LDAP e assim efetuar a autenticação do usuário (com o Active Directory).
Dependendo do que foi informado no cadastro do domínio (por exemplo: valores de domínio inexistentes), pode ocasionar a falsa impressão de inconsistência de validação, porém neste momento o domínio é considerado somente como um "alias" para indicar em qual URL e Grupo serão realizados as validações.
Após efetuada a etapa de autenticação, o produto considera o login do usuário com o seu domínio para efetuar o vínculo com o usuário (Tipo Acesso: Externo) cadastrado no ERP Datasul. Os dados de login x cadastro de usuários (Usuário x Usuário) e (Domínio x Domínio SO) devem ser iguais.
Os dados parametrizados na tela de propriedades também são utilizados no login intermediário, porém esta tela possui características diferentes de validação.
Para mais informações desta tela, consultar o link: https://tdn.totvs.com/pages/viewpage.action?pageId=486183463.
Indica o endereço URL do servidor LDAP onde será feito a consulta de autenticação, no formato ldap://[HOST]:[PORT], onde:
♦ HOST Host do servidor AD
♦ PORT Porta de conexão do servidor AD (padrão é 389 se não estiver em alguma outra porta específica)
EXEMPLO: //server01.ad01.local:389
Não sabe como identificar o endereço URL LDAP a ser informado? Entre em contato o administrador de rede para auxílio ou então acesse a dica Como instalar e utilizar a ferramenta LDP.
Indica o o escopo de busca no LDAP que pode ser definido como:
♦ Base → Quando todos os usuários se encontrem em uma mesma pasta na estrutura do LDAP, ou seja, a procura é feita somente no nível definido no campo Grupos.
♦ Estrutura → Quando os usuários se encontrem em pastas distintas e houver necessidade de realizar uma pesquisa prévia em toda a árvore do AD, ou seja, a procura é feita em todos os níveis a partir do ponto inicial definido em Grupos, mas utilizará também as informações dos campos Pesquisa, Filtro e Senha.
Indica um filtro de pesquisa de grupos de usuários na árvore do AD. Dependendo do escopo de busca informado no campo Tipo, este campo poderá ter informações distintas.
| Tipo | Grupos |
|---|---|
| Base | Informar a pasta da estrutura do serviço LDAP (árvore do AD) onde será feita a pesquisa. Exemplo: OU=Participantes,OU=Usuarios,OU=\#EXEMPLO,DC=ad01,DC=local |
| Estrutura | Informar a localização do usuário chave que tem permissão e fará a pesquisa em toda a estrutura do serviço LDAP (árvore do AD) em busca do usuário a ser autenticado. Para isso será necessário informar o campo Senha do usuário chave que tem permissão para realizar esta pesquisa. Exemplo: CN=usuario.pequisa,OU=Diversos,OU=Usuarios,OU=\#EXEMPLO,DC=ad01,DC=local |
Senha do usuário chave que possui permissão de acesso de pesquisa irrestrita na árvore do servidor AD, que é utilizada quando o campo Tipo está configurado como Estrutura e existe um filtro informado no campo Grupos.
Informe o ponto inicial da árvore do servidor AD de onde será iniciada a busca pelo usuário a ser autenticado.
Exemplo: OU=\#EXEMPLO
Informe um filtro para pesquisa do usuário no servidor AD, utilizando o código do usuário.
Exemplo: sAMAccountName={0}
Neste exemplo o código do usuário será substituído no valor {0}.
Configurações do Usuário Integrado
Após parametrizações do LDAP descritos acima, devem ser realizadas as parametrizações dos usuários que irão utilizar essa integração. No programa de Cadastro de Usuário(SEC000AA) deverá ser realizado o vínculo do usuário do sistema operacional ao usuário do ERP através da aba extensão e na sequência alterado o TIPO do usuário para Externo.
Para maiores detalhes quanto a este processo, acesse Manutenção de Usuário (SEC000AA)
Como identificar a URL LDAP?
A Microsoft disponibiliza algumas ferramentas de suporte do Active Directory e dentre elas pode ser utilizada a ferramenta LDP que permite executar operações de protocolo de acesso a pastas leves (LDAP) no Active Directory por linha de comando.
A ferramenta LDP é um recurso que deve ser ativado no Windows, quando não estiver disponível por linha de comando.
Para ativar este recurso no Windows, acesse Painel de controle → Programas e Recursos → Ativar ou Desativar Recursos do Windows → Serviços AD LDS
Após ativação do recurso LDP no Windows, acione o Prompt de Comando e execute o comando ldp.
Na tela apresentada, acesse o menu Connection > Connect
Informe o IP ou HostName e o número da Porta do servidor LDAP (Padrão 389).
Se a comunicação estiver funcional será então apresentada uma listagem contendo informações da árvore do servidor AD (Active Directory).
Veja o conteúdo da informação defaultNaminContext que é "DC=jv01,DC=local".
Com este passo a passo já é possível montar a configuração do campo URL e também obter informações para preencher os campos Pesquisa, Grupos ou Filtro, sendo estes últimos 3 somente preenchidos quando o campo Tipo (escopo de busca) estiver configurado como Estrutura.
Neste caso o campo URL seria preenchido com: ldap://server01:389
LDAP com SSL
Para configurar o acesso via LDAP com SSL no produto Datasul é necessário importar o certificado digital do servidor LDAP na lista de certificados confiáveis do Sistema Operacional e da JVM .
Para realizar a importação do certificado na JVM execute, no diretorio bin do java home, o comando keytool -importcert -alias "<alias>" -keystore "<java home>\lib\security\cacerts" -file "<caminho completo do certificado>".
Ao executar o comando, a senha do certificado pode ser solicitada. A senha padrão dos certificados digitais é changeit.
No Sistema Operacional, basta clicar duas vezes no certificado, selecionar a opção Instalar Certificado e prosseguir com o wizard de instalação.
Para informações sobre padrão de URL LDAP acesse RFC-2255 - Formato URL LDAP
Se informada, o sistema entenderá que o login automático está habilitado. Ele deverá conter a URL do servidor IIS que efetuará a confirmação da autenticação do usuário utilizando os dados da rede. Exemplo: http://server:8880/auth.aspx
Área de configuração de integração do produto Datasul com Fluig Identity.
É responsável por habilitar/desabilitar a integração do produto Datasul com Fluig Identity.
URL
URL base do Fluig Identity.
Não informe a barra ( / ) no final do endereço URL, pois poderá apresentar erro de conexão SOCKET ao tentar validar a integração.
Token do Aplicativo
O token refere-se ao Configuration Token da aplicação criada no Identity.
Não sabe como informar os dados para a URL e Token? Acesse o quadro de informações mais abaixo e veja um passo a passo com as orientações para recuperar a URL e Token de acesso ao Fluig Identity.
É responsável por habilitar/desabilitar a sincronização automática de usuários.
Quando estiver habilitada esta sincronização, indica que o sistema processa periodicamente a busca de dados dos usuários e grupos de segurança/relacionamentos (resources) do Identity. A sincronização automática também é disparada à cada login no produto ou por meio do programa btb964aa.
Utilizado para validar as informações configuradas antes de salvar, para evitar erro quando a integração for habilitada.
A funcionalidade de Salvar difere do processo de validação, pois, na Validação apenas é chamada a URL com o token informado pelo próprio navegador. Já na funcionalidade de Salvar, o processo vai ocorrer no appserver progress do cliente e nesse momento uma nova validação na camada progress é realizada e pode ocorrer erro.
Geralmente o erro que ocorre nesse momento do Salvar é "Não foi possível comunicar-se com o Fluig Identity".
Portanto, para que esse erro não ocorra é importante configurar o ambiente progresss appserver do cliente inserindo a chave publica do certificado. Essa chave pública é obtida da URL informada nas configurações da tela. Para isso é preciso fazer:
Com essas ações o appserver estará preparado para processar requisições da URL do identity informada no cadastro e a funcionalidade Salvar deverá funcionar normalmente.
Informações
Após informar os dados apresentados na tabela acima e clicar no botão Importar, o sistema usará a Base URL e Token para buscar os dados do aplicativo.
A cada ajuste nas configurações do Identity serão gerados os arquivos datasul.cert e datasul.pk8 no diretório base do servidor de aplicação Web:
TOMCAT: Será utilizado o diretório base provido pelo Servidor Web por meio da propriedade catalina.base, ou, no caso da propriedade ser nula, será utilizado o valor da propriedade catalina.home.
Exemplo: C:\Program Files\Apache Software Foundation\Tomcat 9.0.
Abaixo seguem as etapas abaixo para configurar URL e token de acesso ao Fluig Identity no produto Datasul. Clique nas imagens para ampliá-las.
Na ferramenta fluig Identity pesquise e clique no aplicativo do ERP Datasul previamente cadastrado e configurado:
Na página de Configurações do aplicativo, clique no botão Token de Configuração e copie a sequência de caracteres que será apresentada:
Após copiar o conteúdo do token do aplicativo, execute o ERP Datasul autenticando-se com um usuário administrador, acesse Configurações → Propriedades do Sistema → Propriedades Acesso → Aba Fluig Identity e ative a integração em Habilitar Integração
Copie URL base do Fluig Identity, ignorando a barra final, conforme mostra o item (1) e cole no campo URL na tela de Configurações do Fluig Identity do Datasul.
Copie também o token de Configuração do aplicativo, conforme mostra o item (2) e cole no campo Token também na tela de Configurações do Fluig Identity do Datasul.
Veja como ficou a tela de configurações do produto Datasul em relação a habilitação do Fluig Identity.
Agora é só avaliar se precisará também ativar a Sincronização Automática e informar os demais campos e clicar em Salvar.
Segue abaixo um vídeo com o passo a passo da captura e configuração da URL e token de acesso do Fluig Identity no produto Datasul. Clique no vídeo para ampliar.
Quer saber como utilizar o programa Sincronização com Fluig Identity (html.identitysync)? Acesse TOTVS Validacao e Sincronizacao com Identity
Área de configuração de integração do produto Datasul com portais que utilizam o protocolo Open ID Connect (OIDC).
É responsável por habilitar/desabilitar a integração do produto Datasul com o OIDC.
Redireciona o login para a URL do OIDC, sem a exibição do login do ERP Datasul.
Texto apresentado no botão de login do OIDC
Url base do serviço de login OIDC.
Ex.: "https://login.microsoftonline.com".
Url de redirecionamento do login no produto Datasul após efetuar a autenticação no provedor OIDC.
Ex.: "http://host:porta/totvs-login/ACS?login".
TenantID do aplicativo, localizado dentro das configurações do OIDC.
ClientID do aplicativo, localizado dentro das configurações do OIDC.
somente leitura - É preenchido automaticamente ao utilizar o botão "Monta Url Autorização" (Os parâmetros devem estar corretos para o preenchimento, caso contrario o campo não será preenchido ou será limpo).
Responsável por pegar os parâmetros informados, validar e montar a url que será utilizada internamente para a integração com o OIDC.
Nota
Para garantir a integridade das informações, o botão Salvar é automaticamente desabilitado em caso de inconsistências nos dados em tela.
