Autenticação e controle de acesso dos usuários
Restrições de acesso por IP e/ou horário
RTAUTH_PESS.FAQ-77361
Para restringir o acesso ao sistema fora do horário comercial ou de fora da empresa, é necessário configurar as regras de acesso gerais.
As regras de acesso gerais permitem restringir o acesso ao sistema dependendo do horário, IP de origem da conexão e/ou interface acessada.
As regras são verificadas em todas as requisições realizadas ao sistema e seu mecanismo permite bloquear ou liberar acessos que atendem a uma condição pré-estabelecidas.
As regras são verificadas uma a uma na ordem de sequencia. A primeira regra em que a condição está sendo atendida determina se o acesso será permitido ou negado.
Para otimizar a performance, sempre que for possível, regras baseadas em funções do usuário devem ser executadas depois das regras baseadas em horário, IP de origem, ou operação.
Se nenhuma regra atender às condições (ou não existir regras cadastradas), então o acesso será liberado. Por isso, se o usuário desejar criar várias regras informando condições que liberam o acesso, será necessário incluir uma regra no final que negue o acesso (por não encontrar nenhuma condição que permita o acesso).
Para cadastar as regras, basta acessar a interface Regras de acesso gerais. Sugere-se importar este template ([url:baixar;../file/2018/11/26/14d978c4-f1da-44d2-a9a2-3ee9dfe2ac23/template-regras-acesso-gerais.csv]) e alterá-lo conforme as necessidades específicas. Para importar estar regras será necessário criar uma função de acesso chamada ACESSO_LIVRE.
Atenção
- Super-usuários (logados) não estão sujeitos às regras de acesso gerais.
- As regras são replicadas. Isso deve ser levado em consideração quando forem informadas as faixas de IP (redes).
- Importante determinar regras para atender as telas de login, logout, replicação, ou outras telas que precisam funcionar independente do horário (não adianta dar acesso a uma função específica se o usuário não consegue se logar).
Melhores práticas
Para configurar as regras de acesso por IP e/ou horário, sugere-se aplicar o seguinte roteiro:
- Determine as condições que serão utilizadas para liberar ou negar o acesso.
- Logar-se como super-usuário.
- Abrir uma segunda janela do "anônima" do navegador (ou usar outro navegador) para testes.
- Crie um regra para liberar as interfaces que precisam estar sempre liberadas:
RTAUTH_PESS.PRO_LOGIN.*
RTAUTH_PESS.PRO_LOGOUT.*
RTREPLICATOR.UTL*
SEQUENCE.UTL_SEQUENCE_RANGE.*
TLU_CLIENT.ABOUT.*
RTSYSINF.PRO_ATUALIZACOES.*
FINANC.PRO_GERAR_BOLETO.*
Exemplo 1
Deseja-se o seguinte:
- Bloquear todos os dias entre 01:00 e 02:00 para rotinas administrativas do sistema.
- Usuários com a função "ACESSO_LIVRE" podem acessar de qualquer local/horário.
- Interfaces PRO_LOGIN, PRO_LOGOUT e interfaces usadas na replicação são liberadas a qualquer momento:
RTAUTH_PESS.PRO_LOGIN.*
RTAUTH_PESS.PRO_LOGOUT.*
RTREPLICATOR.UTL*
SEQUENCE.UTL_SEQUENCE_RANGE.*
TLU_CLIENT.ABOUT.*
RTSYSINF.PRO_ATUALIZACOES.*
- Horário comercial liberado para todos.
Configuração:
[img:exemplo3]
Exemplo 2
Deseja-se que o acesso seja exclusivamente durante o horário comercial. Apenas usuários com a função "ACESSO_A_QUALQUER_HORARIO" poderão acessar fora do horário comercial.
Configuração:
[img:exemplo1]
Exemplo 3
Deseja-se o seguinte:
- Acesso apenas das redes locais ou vindas do IP 172.176.45.12.
- Usuários com a função "ACESSO_LIVRE" podem acessar de qualquer local/horário.
- Demais usuários somente podem acessar de segunda a sexta das 7 às 18 horas.
- Vendedores podem acessar no sábado de manhã (de qualquer lugar).
Configuração:
[img:exemplo2]