Apresentação

A Comunidade Acadêmica Federada (CAFe) consiste em uma federação de identidade que reúne instituições de ensino e pesquisa brasileiras.

Através da CAFe é possível que os usuários vinculados aos Membros da Federação, utilizando suas contas institucionais, possam acessar serviços fora do perímetro administrativo da sua instituição. Dessa forma é estabelecida uma rede de confiança que promove a oferta de serviços de forma distribuída, onde cada usuário utiliza as credencias de sua respectiva instituição.

A adesão à CAFe como provedor de identidade permite que a instituição cliente habilite seus usuários a utilizar os serviços federados via web.

Público alvo

Aplica-se a todos os Membros da Federação e ao Operador da Federação.

Credenciamento

O pedido de adesão ao serviço deve ser realizado pela pessoa que será o responsável local pela gestão do serviço na instituição cliente. A indicação deste responsável local deve ser definida através de documento oficial da instituição designando-o como tal.

Requisitos

A instituição cliente deve ter à disposição os recursos técnicos e humanos necessários para adesão à CAFe e subseqüente atendimento de seus usuários. O dimensionamento destes recursos deve ser feito pela própria instituição em acordo com o tamanho de sua infraestrutura e banco de dados de usuários.

Além disso, a instituição deve documentar seu processo de emissão de credenciais para os usuários aptos a acessar os serviços ou recursos da CAFe através do preenchimento de um formulário específico durante o processo de adesão. Este formulário será publicado no site da RNP, com acesso público.

Considerações Finais

Os bancos de dados com os registros de identidade são mantidos exclusivamente pelas instituições clientes não sendo, portanto, responsabilidade da CAFe prover atualização dos metadados, auditoria ou cópias de segurança dos mesmos.

Contato

As dúvidas relacionadas a esta política de uso poderão ser enviadas para o Servide Desk no endereço [email protected]

Os procedimentos a seguir são para o auxílio na instalação e configuração do Pentaho.

A Comunidade Acadêmica Federada (CAFe) é um serviço de gestão de identidade que reúne instituições de ensino e pesquisa brasileiras através da integração de suas bases de dados. Isso significa que, por meio de uma conta única (modelo single sign-on), o usuário pode acessar, de onde estiver, os serviços de sua própria instituição e os oferecidos pelas outras organizações que participam da federação.

Essa autenticação elimina a necessidade de múltiplas senhas de acesso e processos de cadastramento, gerando uma relação de confiança. Serviços de ensino a distância, acesso a publicações científicas e atividades de colaboração estão entre os maiores beneficiários das infraestruturas oferecidas por federações.

Qual a sua dúvida?

Acesse o menu lateral e veja os guias do serviço, caso ainda precise de apoio, fale com o nosso Service Desk através do telefone/WhatsApp: 0800 722 0216 ou e-mail: [email protected].

Encontrou algum problema neste portal?

Não encontrou o que precisa? Gostaria de adicionar algo? Por favor, não deixe de nos informar.

Envie um e-mail para o [email protected] sinalizando o erro, página ou conteúdo que precisa de alteração.

Sua colaboração é ESSENCIAL para evoluirmos cada vez.

The following document contains information about the Politics of Federated Academic Community (CAFe):

O documento a seguir contém informações sobre a Política da Comunidade Acadêmica Federada (CAFe):

Jobs - pasta /Home/eid/cafe

full-job-atualizacao-diaria

Limpa a base EID ( tabelas do EID e tabelas de Stage)

Importa todos os registros da base de origem validando os CPFs e emails inválidos, carrega vínculos, emails e contas.

Exporta todos estes dados para o LDAP, comparando o que já existe para remover usuários que tenham sido desativados.

Caso apenas um vinculo do usuário seja desativado e a pessoa continue ativa, este vinculo não é apagado do LDAP, apenas do EID.

Usuários encontrados com CPFs duplicados são unificados sempre preservando o registro mais recente e/ou a base mais confiável (base com baseOrigem=1) e evidenciando a unificação no relatório de "Pessoas Duplicadas".

Contas duplicadas são unificadas escolhendo de acordo com o parâmetro configurado e/ou de acordo com o critério da base mais confiável. A unificação é evidenciada no relatório de "Contas duplicadas".

full-job-atualizacao-diaria-truncate

Faz exatamente as mesmas cargas que o full-jobs-atualizacao=diaria, porém antes de inserir os dados no LDAP, ele faz um truncate em toda a base LDAP para só então inserir os dados na base.

Lembrando que por apagar todos os usuários da base LDAP, este job deixa o serviço indisponível enquanto faz a nova carga dos usuários na base.

Por isso recomenda-se que este Job seja executado em horários que o uso dos serviços seja mínimo, por exemplo durante a madrugada.

atualizacao-contas-intradia

Um job mais leve e rápido para ser executado com pouco intervalo de tempo, por exemplo de hora em hora.

Este Job faz a carga apenas de Identificação e Conta. Para garantir que novos alunos, ou pessoas que trocaram a senha tenham esta mudança refletida no diretório LDAP rapidamente.

eid-truncate-logs

Limpa todas as tabelas de logs existentes na base EID.

Este Job pode ser executado para liberar armazenamento e melhorar o desempenho do Servidor Pentaho.

eid-truncate-tables

Limpa todas as tabelas da Base EID exceto os logs.

Pode ser executado quando se deseja zerar toda as exportações realizadas.

estatisticas-cubos

Limpa todas as tabelas de estatísticas do EID.

This Privacy Term has the objective of documenting the minimum information requirements on the protection of personal data and guarantee of privacy to users of the services provided through CAFe that must be assumed by the Institution member of the Federation.

This document must be forwarded to RNP as part of the requirements necessary for approval of the Institution as a member of the CAFe Federation.

The following document can be downloaded and contains more information about the privacy agreement:

Problemas no acesso via CAFe pode ser causado por problemas no seus atributos (dados do seu cadastro) ou até por conta do cache do navegador.

O primeiro passo é tentar limpar o cache do navegador ou acessar através de uma guia anonima do navegador, caso o problema persista, entre em contato com a área responsável pelo acesso federado na sua instituição para verificação.

Caso não tenha os contatos dos responsáveis, entre em contato com o Service Desk da RNP para que eles possam te informar.

Precisa de ajuda para limpar o cache ou acessar por uma guia anonima? Clique aqui e consulte o passo a passo.

Este termo de privacidade possui o objetivo de documentar os requisitos mínimos de informação sobre proteção aos dados pessoais e garantia de privacidade aos usuários dos serviços providos através da CAFe que devem ser assumidos pela Instituição membro da Federação.

Este documento deve ser encaminhado à RNP como parte dos requisitos necessários para aprovação da Instituição como membro da Federação CAFe.

Segue abaixo a documentação completa para maiores informações:

Pentaho é um software de código aberto para inteligência empresarial, desenvolvido em Java. A solução cobre as tarefas de ETL (Extraction, Transformation and Load), reporting, OLAP e mineração de dados (data-mining). Desenvolvido desde 2004 pela Pentaho Corporation o software foi considerado uma das melhores aplicações para inteligência empresarial em 2008 pela InfoWorld.

Realiza análises de big data, trabalha nativamente com bancos de dados NoSQL e Hadoop, além de poder processar dados de forma distribuída nativamente em cluster, pode rodar sobre o Hadoop em cluster alcançando velocidades extremamente rápidas.

Após seguir para o próximo passo de execução uma tela de revisão dos parâmetros será apresentado para que você possa verificar se as informações passadas para a receita de instalação estão corretas.

Se algo estiver incorreto você pode clicar no botão "Voltar" para corrigir. Se tudo estiver correto você pode então confirmar a execução da receita de instalação do IDP.

Dashboard Servidor

Para garantir que o processo de instalação do IDP via Receita no RPilot foi corretamente executado vamos rodar um script de homologação.

Seguindo os mesmos passos da execução da receita de instalação do IDP você agora ira executar o script de "Homologar Instalação IDP"

Acessando pelo mesmo caminho das receitas de execução, agora selecione a receita "Homologar Instalação IDP" e execute. Esse script é de execução única e padrão, não havendo a necessidade de passar valores de parâmetros.

Ao final da execução você pode acessar o log para verificar o resultado.

A Autenticação Multifatorial (MFA) é um recurso essencial para proteger suas credenciais e garantir a segurança de sua conta. O processo envolve várias camadas de proteção, tornando o acesso mais seguro e confiável.

A Senha Temporária (OTP) oferece uma camada adicional de segurança, gerando códigos temporários que expiram rapidamente. A utilização de um aplicativo autenticador para gerar essas senhas dificulta o comprometimento das informações, reforçando a proteção da conta contra acessos não autorizados.

Para garantir que o processo de instalação do MFA via Receita no RPilot foi corretamente executado vamos rodar um script de homologação.

Seguindo os mesmos passos da execução da receita de instalação do IDP você agora ira executar o script de "Homologar Instalação MFA"

Acessando pelo mesmo caminho das receitas de execução, agora selecione a receita "Homologar Instalação MFA" e execute. Esse script é de execução única e padrão, não havendo a necessidade de passar valores de parâmetros.

Ao final da execução você pode acessar o log para verificar o resultado.

A configuração ocorrerá em duas etapas:

Configuração no Shibbboleth IDP

Configuração no Microsoft Entra

Dicas

1. Testar a liberação de atributos

Acesso a partir de um serviço

O acesso ao Painel de Segurança MFA pode ser realizado por meio dos seguintes passos:

Entre na tela de login de qualquer serviço integrado à CAFe. No exemplo deste manual, será utilizado o serviço de Emissão de Certificado Pessoal ICPEdu, conforme figura 1. Estando desconectado e na tela inicial do serviço, clique no botão Entrar^[1] para ser direcionado à tela de seleção da instituição;

Esse procedimento detalha o processo para verificação/coleta de atributos na federação de homologação chimarrão.

Acesse o endereço:

Você será direcionado a tela abaixo, basta selecionar a sua instituição e clicar em "Prosseguir".

Em seguida digite a sua instituição e clique em login:

O sistema vai retornar uma tela semelhante a essa, mas com o resultado dos atributos cadastrados.

Basta envia-lá em resposta ao e-mail que realizou a solicitação.

Ao acessar o Client Web do Pentatho, a tela acima será exibida, solicitando login e senha.

Efetuado o login, entraremos na página inicial da aplicação, onde teremos algumas opções de gerenciamento.

Vá em Home > Administration

Dentro desta sessão, teremos o gerenciamento dos Usuários (criação), Roles e perfis do Pentaho Server, conforme imagem abaixo:

Gerenciamento de Roles:

Você será apresentado em uma painel com um formato em tabela, sendo ele dividio da seguinte forma:

6 colunas

Nome do Servidor -> Servidor no qual foi executado aquela receita.

Tipo de execução -> Se foi executado uma Receita, um Comando Avulso ou uma Geração de Certificado.

Data da Solicitação -> Data e hora da solicitação, início.

Data da execução -> Data e hora da execução, término.

Status -> Executando, Sucesso ou Erro

No documento abaixo descrevemos um esquema LDAP a ser utilizado pelos clientes dos serviços de Gestão de Identidade da Federação CAFe e para os demais serviços que podem vir a exigir os mesmos dados cadastrais.

Para maiores informações, segue abaixo o documento de Especificação de uso dos atributos CAFe:

Copiar o arquivo da logo para o servidor IDP

Copie o arquivo pronto em formato .png para dentro do diretório /home/... do seu IDP.

Copie o arquivo para o diretório do Shibboleth

Uma vez com o arquivo correto em seu /home/... copie para o seguinte diretório:

Alterar o arquivo para o nome padrão do shibboleth

Após copiar o seu arquivo de logo para dentro do diretório /images do shibboleth, vamos agora alterar para o nome padrão que o shibboleth utiliza para carregar a imagem da logo na tela de login.

Executar o script de build do shibboleth para carregar a nova logo

Agora vamos acessar o script do shibboleth para executar um novo build com a nova imagem da logo, para isso faça:

Reiniciar o serviço do Jetty

Testar sua alteração de logo

Acesse agora o portal https://sp.rnp.br/chimarrao e escolha a sua instituição, a sua tela de login agora deverá apresentar a sua nova logo !

O PDI (Pentaho Data Integration) pode rastrear versões e comentários de trabalhos, transformações e informações de conexão quando você os salvar.

Você pode ativar ou desativar o controle de versão e o rastreamento de comentários modificando suas instruções relacionadas no arquivo de texto repository.spring.properties.

Por padrão, o controle de versão e o rastreamento de comentários estão desativados (definido como falso).

Para ativar o de controle de versão do PDI:

1- Saia e feche do cliente PDI (também chamado de Spoon).

2- Pare o servidor Pentaho:

3- Abra o arquivo pentaho-server/pentaho-solution/system / repository.spring.properties. Para habilitar o controle de versão

edite a instrução versioningEnabled e defina-a como true.

versioningEnabled = true

Caso deseje também habilitar a opção de inserir comentários a cada arquivo modificado altere também a propriedade versionCommentsEnabled = true

versionCommentsEnabled = true

Se você deseja controle de versão, mas não rastreamento de comentários:

Edite a instrução versioningEnabled e defina-a como true.

Edite a instrução versionCommentsEnabled e defina-a como false.

versioningEnabled = true

versionCommentsEnabled = false

Salve e feche o arquivo.

Se você desativar o controle de versão, o rastreamento de comentários também será desativado.

4- Inicie o servidor Pentaho:

cd /opt/pentaho-server

./start-pentaho.sh

Verificando a opção de controle de versão ativada no PDI:

Inicie o PDI Client (também chamado de Spoon).

Verifique se o controle de versão está definido como pretendido.

Conecte-se ao Repositório Pentaho

No PDI Client, clique em Tools > Repository > Explore

Na janela Repository Explorer, clique na guia Browse e clique no nome de um arquivo:

Verifique se o controle de versão está ativado ou desativado:

Ativado - Você pode ver a guia Controle de acesso e a guia Histórico da versão está visível.

Desativado - Você pode ver a guia Controle de acesso, mas a guia Histórico de versões está oculta.

Verifique se o rastreamento de comentários está ativado ou desativado:

Ativado - a guia Histórico da versão é exibida com o campo Comentários. Quando você salva uma transformação, job ou informações de conexão, uma caixa para inserir um comentário é exibida.

Desativado - a guia Histórico da versão é exibida e o campo Comentário está oculto. Quando você salva informações de transformação, job ou conexão, não é mais necessário inserir um comentário. O controle de versão está ativo, mas sem exibir comentários.

Os relatórios são usados para gerenciamento da base através do Pentaho, auxiliando na identificação de contas duplicadas, monitoramento de cadastro e agendamento dos Jobs.

O painel de relatório pode ser encontrado no caminho abaixo:

Home > eid > cafe > visualizacao > dashboards

Segue abaixo a imagem ilustrando a localização dos painéis de monitoramento:

PainelPessoas.wcdf

Para abrir o relatório, selecione-o e vá na opção "Open in a new window", conforme abaixo:

O relatório PainelPessoas.wcdf nos mostram os usuários que foram importados para a nova base, utilizando o Pentaho. Na listagem, é exibida as pessoas e seus vínculos.

PainelMonitoramentoJobs.wcdf

O relatório a seguir nos mostra os Jobs que foram executados, resultados e se houve erro durante o processo.

Para abrir o relatório, selecione-o e vá na opção "Open in a new window", conforme abaixo:

Podemos verificar o histórico de Jobs executados, os concluídos e abortados. No exemplo abaixo, mostra que tivemos uma ocorrência, indicando que um usuário em específico não foi migrado devido a um erro de formato no e-mail. Neste caso, o e-mail possui um espaço.

PainelCadastroPessoasDuplicadas.wcdf

O relatório a seguir, exibe as pessoas com o mesmo CPF na base.

Para abrir o relatório, selecione-o e vá na opção "Open in a new window", conforme abaixo:

No exemplo de base abaixo, não temos evidências de cadastros com CPF's duplicados. Mas caso exista na base do cliente, o Pentaho mostrará a lista na tela abaixo.

PainelPessoasContasDuplicadas.wcdf

O relatório a seguir funciona de forma similar ao anterior, porém, o resultado nos trás as contas duplicadas na base.

Para abrir o relatório, selecione-o e vá na opção "Open in a new window", conforme abaixo:

No exemplo abaixo, a base não possui contas duplicadas. Mas caso exista na base do cliente, o Pentaho mostrará a lista na tela abaixo.

Esse procedimento detalha o processo para verificação/coleta de atributos na federação de homologação chimarrão.

Acesse o endereço: https://sp.rnp.br/cafe

Você será direcionado a tela abaixo, basta selecionar a sua instituição e clicar em "Prosseguir para...".

Em seguida digite a sua instituição e clique em login:

O sistema vai retornar uma tela semelhante a essa, mas com o resultado dos atributos cadastrados.

Basta envia-lá em resposta ao e-mail que realizou a solicitação.

Efetue o download do Apache referente ao seu sistema operacional.

https://directory.apache.org/studio/downloads.html

Efetue a instalação do Java JDK 11:

https://svn.cafe.rnp.br/arquivos/jdk-11.0.18_windows-x64_bin.exe

O próximo passo será configurar o Java na variável de ambiente no Windows. Indo em Propriedades;

Selecione Configurações avançadas do sistema;

Selecione Variáveis de Ambiente...

Dois cliques na opção Path nas Variáveis do sistema;

Clique em Novo e cole o caminho da pasta Bin do Java, conforme imagem abaixo, e dê OK;

Instalação do Apache DS

Clique em Next;

Clique em I Agree;

Clique em Install;

Clique em Next;

Clique em Finish.

Instalação finalizada.

São dispositivos que permitem que o usuário acesse sua conta sem a necessidade de autenticação adicional (usando um segundo fator) em acessos futuros. Ao marcar um dispositivo como confiável, você facilita o processo de login, eliminando a necessidade de inserir códigos ou passar por autenticação de dois fatores toda vez que acessar os serviços desejados a partir desse dispositivo específico. Isso oferece uma experiência mais ágil, mas é importante garantir que o dispositivo confiável seja seguro e usado regularmente, para evitar possíveis riscos de segurança.

Cadastrar Dispositivo Confiável

Para adicionar um dispositivo como confiável, acesse a opção “Dispositivos Confiáveis” no menu lateral ou nos cartões centrais da tela inicial do Painel. Na tela seguinte, execute os seguintes passos: 1. Clique no botão “Sim, adicionar dispositivo”, conforme indicado na figura 43;

O sistema apresentará um pop-up para que você forneça uma identificação para o dispositivo, a qual pode ser um nome personalizado. Digite o nome desejado e clique no botão “Salvar” para concluir o cadastro, conforme indicado na figura 44.

● Não é possível manter dois dispositivos confiáveis ativos para o mesmo Sistema/Navegador. Uma vez que um dispositivo seja adicionado à lista de dispositivos confiáveis, ele será único, e não poderá ser registrado novamente enquanto estiver ativo. Caso o dispositivo seja removido ou tenha seu prazo de validade expirado, o botão "Sim, adicionar dispositivo" será exibido, permitindo que ele seja adicionado novamente.

● Com o Dispositivo Confiável cadastrado, você simplifica seu acesso aos serviços, dispensando a necessidade de inserir o segundo fator de autenticação a cada login. Esta opção ficará ativa por 30 dias, mas pode ser reativada a qualquer momento. Após esse período, será necessário realizar novamente a autenticação de segundo fator.

● Os 30 dias são configurados por um usuário com perfil de administrador. Portanto, se o prazo exibido em seu acesso for diferente do mencionado neste manual, significa que o administrador da sua instituição fez uma configuração personalizada.

● O acesso ao Painel de Segurança MFA SEMPRE exigirá o segundo fator de autenticação, caso esta funcionalidade esteja ativa, mesmo quando o dispositivo for confiável. Isso significa que, independentemente do dispositivo, se o OTP ou a Chave de Acesso estiverem configurados como segundo fator, será necessário fornecê-los para completar o login e garantir a segurança da sua conta.

● Dispositivos confiáveis configurados em uma guia anônima não funcionarão, uma vez que, ao encerrar a sessão nessa modalidade, todos os cookies e dados temporários associados à navegação são automaticamente apagados, impossibilitando a manutenção da configuração de confiança.

Visualizar listagem de Dispositivos Confiáveis

Você pode visualizar a lista dos dispositivos confiáveis adicionados à sua conta acessando o menu “Dispositivos confiáveis”. Cada dispositivo terá as seguintes informações (veja figura 45):

● Nome do Dispositivo: identificação do dispositivo confiável (exemplo: “IOS - Chrome” ou “Windows - Chrome”);

● Informações: detalhes sobre o dispositivo, como o navegador utilizado e o sistema operacional;

● Data de Configuração: a data e hora em que o dispositivo foi adicionado como confiável;

● Validade: a data de expiração do dispositivo confiável. Quando a data de expiração está próxima de sua validade, a data ficará na cor vermelha, conforme destacado na figura 45;

● Destaque de dispositivo: é exibido um destaque mostrando que o dispositivo atual está configurado e indicando qual é o dispositivo da listagem.

Excluir Dispositivo Confiável

Para excluir um dispositivo confiável individualmente, execute os seguintes passos:

Acesse o menu “Dispositivos Confiáveis e clique no ícone de lixeira, da coluna “Ações”, relativo ao dispositivo que deseja excluir, conforme indicado na figura 46;

O sistema apresentará um pop-up para confirmação de exclusão do dispositivo. Clique no botão “Sim, excluir” para concluir a ação, conforme apresentado na figura 47.

Se desejar excluir todos os dispositivos confiáveis de uma vez, execute os seguintes passos:

• Acesse o menu “Dispositivos Confiáveis” e clique no botão "Excluir todos os dispositivos", veja figura 46;

• O sistema apresentará um pop-up para confirmação da exclusão de todos os dispositivos.

Clique no botão “Sim, excluir todos” para concluir a ação, conforme apresentado na figura 48.

Após realizar a instalação do agente RPilot em seu servidor chegou o momento de escolher o produto no qual deseja vincular a sua conta. Para isso você deve navegar pelo menu latreral esquerdo, selecione a opção "Produtos Vinculados", figura abaixo:

Vincular Produto

Nessa tela no canto superior direito haverá um botão azul com a mensagem "Vincular Produto", clique nesse botão.

Será mostrado um menu no centro da tela

Nesse momento você poderá selecionar aquele produto no qual deseja associar a sua conta e usar os processos nele presentes para execução em seu servidor cadastrado. Como nesse caso estamos fazendo a Adesão de um IDP CAFe você irá selecionar o produto CAFe.

Após selecionar o produto CAFe você verá em sua box virtual o produto ali selecionado.

Pronto! Nesse momento você já tem acesso a todas as receitas de configuração, instalação e atualização da CAFe para a sua conta RPilot.

Nessa roteiro iremos aprender o processo de solicitar a execução de uma ação dentro do nosso servidor usando o RPilot. Nosso foco aqui será a instalação do IDP da CAFe então esse processo será direcionado para isso não dando ênfase em outros pontos. Caso tenha interesse em saber mais sobre a ferramenta RPilot acesse o manual do usuário através desse Link.

Esse é o painel de execuação. Nele podemos executar a receita de instalação do IDP da CAFe.

Repare que nele podemos confirmar o nosso servidor através das informações do servidor como Nome , Chave de registro , ID do Registro único, Domínio, Hostname e IP.

Também pode verificar o Status do agente RPilot instalado no seu servidor, confirme se ele está com o Status em verde com a informação "Agente Instalado".

Passos para execução:

• Escolher o tipo de execução

• Escoher a opção "Executar Receita"

• Clicar no botão "Próximo"

Será mostrada uma tela para que você possa escolher seu "Produto" e abaixo você deve escolher qual "Receita" deseja executar:

Escolha o produto CAFe e a receita de Instalação do IDPvX.X.X conforme figura acima.

Fator de autenticação A senha que você utiliza para acessar sua conta em sistemas protegidos é o fator de autenticação mais conhecido e tradicional de todos.

Por que utilizar mais de um fator de autenticação O uso de múltiplos fatores de autenticação (MFA) aumenta a segurança, garante maior proteção a seus dados e a sistemas de acesso restrito. Isso tem se tornado uma exigência cada vez maior no âmbito da privacidade, da preservação de dados sensíveis, e também para o pleno cumprimento das obrigações legais que regem esse tema.

Como ativar ou desativar um fator de autenticação

• Acesse a seção Fatores de Autenticação no Painel de Segurança MFA.

• Localize na tabela o fator de autenticação que deseja ativar ou desativar.

• Clique no botão com o ícone ATIVAR ou DESATIVAR ao lado do status do fator de autenticação escolhido.

• Para completar a ativação, siga o passo-a-passo de configuração do fator de autenticação que deseja habilitar. Confira as instruções específicas abaixo:

Adicione seu computador ou celular como um dispositivo confiável Uma forma de realizar seu login sem precisar preencher sua senha descartável ou seu código de emergência é adicionando seu computador ou celular como um dispositivo confiável.

• Acesse a seção Dispositivos Confiáveis no Painel de Segurança MFA.

• Caso o computador ou celular que estiver utilizando não constar na lista de dispositivos confiáveis, basta responder à caixa de diálogo “Deseja adicionar seu dispositivo atual como um dispositivo confiável?” clicando no botão “SIM”.

• Dê um nome para seu dispositivo, de forma que possa identificá-lo.

Guia passo a passo

Seguir o passos abaixo:

Esse é o link para o download do script de geração dos certificado para o Shibboleth:

Se tudo der certo, o novo certificado será gerado e já gravado no devido diretório.

Após finalizar com sucesso o script o novo certificado foi gravado no seu novo arquivo de metadado, acesse o diretório /opt/shibboleth-idp/metadata e copie o arquivo "idp-metadata.xml". Esse arquivo deve ser enviado para equipe técnica da CAFe RNP para a atualização na Federação CAFe.

No dia 13/03, foi divulgada uma nova vulnerabilidade na biblioteca OpenSAML C++, que afeta diretamente o Shibboleth SP e, por consequência, o Serviço CAFe.

A falha permite que, ao utilizar o binding HTTP-POST-SimpleSign (habilitado por padrão no Shibboleth SP), um atacante manipule parâmetros e forje mensagens SAML devidamente assinadas. Até o momento, não foram divulgados detalhes adicionais sobre a exploração da vulnerabilidade, tampouco um CVE com cálculos oficiais. Dada a criticidade do Serviço CAFe, estamos atuando preventivamente.

Medidas recomendadas:

A recomendação oficial é atualizar o OpenSAML para a versão 3.3.1 ou superior. No entanto, muitos repositórios oficiais das distribuições Linux ainda não disponibilizaram os pacotes necessários. Como medida de mitigação, orientamos que os provedores de serviço editem e comentem as seguintes linhas no arquivo shibboleth2.xml, conforme os serviços listados na tabela anexa:

• <md:AssertionConsumerService Location="/SAML2/POST-SimpleSign" index="2" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" />

• <PolicyRule type="SimpleSigning" errorFatal="true" />

Após a alteração, é necessário:

• Reiniciar o serviço shibd.

• Validar os metadados.

• Enviar os metadados atualizados para [email protected] com o assunto "Vulnerabilidade-Shibboleth-SP-Remove-Bind-SAML"

Documentação de apoio:

A RNP em conjunto com seus parceiros disponibilizaram o manual "Vulnerabilidade-Shibboleth-SP-Remove-Bind-SAML.docx", contendo mais detalhes sobre o procedimento. O documento está em anexo.o.

Objetivo

Este documento consiste no manual de usuário da versão 2.2.3 do Painel de Segurança MFA (Múltiplos Fatores de Autenticação), o qual inclui o suporte a Passkey e melhorias de usabilidade.

Painel de Segurança MFA

Propósito do Serviço

O Painel de Segurança MFA é o ambiente onde você pode configurar múltiplos fatores de autenticação (MFA) e gerenciar os níveis de segurança da sua conta para realizar o login da sua instituição em diversos serviços por meio da rede CAFe (Comunidade Acadêmica Federada), da RNP (Rede Nacional de Pesquisa).

Público do Serviço

Usuários finais das instituições cujos IDPs (Provedor de Identidade) suportem o MFA. Este manual é direcionado para a versão 2.2.3 do Painel. Verifique a versão utilizada na sua instituição.

Visão geral

• Conceitos Importantes

Esta seção apresenta conceitos importantes para a compreensão do manual.

Fator de Autenticação: um fator de autenticação é um método utilizado para verificar a identidade de um usuário ao acessar um sistema ou serviço digital. Ele garante que apenas pessoas autorizadas possam realizar login e acessar informações protegidas. Os fatores de autenticação podem ser classificados em três categorias principais:

• Algo que você sabe – Como uma senha ou um PIN.

• Algo que você tem – Como um código enviado por SMS, um token físico ou um aplicativo autenticador.

• Algo que você é – Como biometria (impressão digital, reconhecimento facial ou de voz).

Muitos sistemas utilizam a autenticação de dois ou mais fatores (MFA), combinando esses métodos para aumentar a segurança.

• IDP (Identity Provider ou Provedor de Identidade): um IDP (Identity Provider ou Provedor de Identidade) é um serviço responsável por autenticar usuários e gerenciar suas credenciais de acesso a diferentes sistemas e aplicativos. Ele funciona como um intermediário entre o usuário e a aplicação que deseja acessar, garantindo que a identidade seja validada de forma segura.

• CAFe (Comunidade Acadêmica Federada): a Comunidade Acadêmica Federada (CAFe) é uma infraestrutura de identidade digital mantida pela RNP (Rede Nacional de Ensino e Pesquisa). Ela permite que estudantes, professores, pesquisadores e servidores de instituições participantes utilizem uma única conta para acessar diversos serviços acadêmicos e científicos de forma segura.

Requisitos/Premissas

Para utilizar o Painel de Segurança MFA, é necessário atender aos seguintes requisitos e premissas:

Públicos

O Painel de Segurança MFA é destinado a diversos perfis de usuários que fazem parte do ecossistema educacional e de pesquisa. Os públicos-alvo são:

• Estudantes: alunos de instituições de ensino superior, técnico ou pesquisa que utilizam a Rede CAFe para acessar serviços acadêmicos, como plataformas de aprendizado, bibliotecas digitais, repositórios de pesquisa, entre outros.

• Professores e Docentes: educadores e instrutores de instituições que acessam sistemas acadêmicos, materiais educacionais e outras plataformas colaborativas para ministrar aulas, acompanhar o progresso dos alunos e realizar outras atividades acadêmicas.

• Pesquisadores: profissionais que utilizam a infraestrutura da RNP e a Rede CAFe para acessar serviços de pesquisa, colaborar com outros pesquisadores e compartilhar dados acadêmicos e científicos de maneira segura.

O agendamento é efetuado para automatizar a execução de um Job em específico. No exemplo, utilizamos o full-job-atualizacao-diaria.

Segue abaixo o caminho dos Jobs:

Home > eid > cafe (selecionar o job no qual sera feito o agendamento)

Após selecionar o Job, vá na opção Schedule, aparecerá a imagem abaixo:

Marque a opção "Append timestamp to generated content", as opções abaixo irão aparecer:

Indo em "Next" será apresentada a tela abaixo:

Nela podemos escolher o tipo de recorrência na execução do Job.

Feita a escolha de agendamento, é só ir em "Next".

Os parâmetros foram definidos durante a configuração do Client Pentaho. O "Finish" encontra-se indisponível pois neste servidor já existe esse Schedule cadastrado, portanto o Pentaho nao permite cadastrar outro, apenas alterar o mesmo Schedule para evitar duplicata.

Tela de Agendamento

Para verificar os agendamentos, basta ir no caminho abaixo:

Browser Files > Schedules

Esta opção nos permite gerenciar os agendamentos configurados no servidor Pentaho.

Guia passo a passo

Seguir as etapas abaixo para a remoção do serviço fail2ban da execuação do seu servidor IdP.

Primeiro logar em seu Idp e se tornar "root"

Executar o comando "systemctl status" e verificar se o serviço fail2ban está iniciado.

Executar o comando "systemctl stop fail2ban.service" e parar o serviço. Você pode executar novamente o comando da etapa 1 e verificar se o serviço foi parado.

Agora vamos desabilitar o serviço na inicialização do servidor, assim quando o mesmo for reiniciado o serviço não voltará a subir novamente.

Executar o comando "systemctl disable fail2ban.service", isso irá tirar o serviço da inicialização automática do servidor.

Pronto! O fail2ban não será mais iniciado no servidor.

Esse artigo foi criado para ajudar aquelas instituições que já possuem um serviço de segurança mais robusto e o fail2ban não é necessário, caso não saiba ou não esteja certo de como sua infraestrutura esteja configurada nós não recomendamos o desligamento deste serviço do seu IdP.

Essa responsabilidade será toda da equipe responsável pelo IdP institucional, a RNP não se responsabiliza por qualquer dano ao serviço ou a instituição causada pela escolha do desligamento do fail2ban do servidor IdP institucional.

Gerenciando o serviço do painel de segurança

systemctl stop mfa.service
systemctl status mfa.service
systemctl start mfa.service

Verificando os logs

Painel de segurança: /opt/dashboard/logs

Shibboleth: /opt/shibboleth-idp/logs/mfa-plugins.log (onde são logados dados específicos associados ao MFA)

Dúvidas Frequentes?

Ocorreu um erro durante a execução do script, o que devo fazer?

Copie o texto de erro (copiar tudo que apareceu na tela) e passe para a equipe da CAFe de forma que possamos investigar.

Material de Apoio

: site de ajuda do MFA

Esse script irá gerar um novo certificado auto assinado para o Apache. Para evitar problemas sugiro que faça um backup do certificado, primeiro, antes de executa-lo. Os certificados do Apache você encontrar no seguinte caminho: /etc/ssl/private - chave-apache.key e /etc/ssl/certs - certificado-apache.crt. O script executa uma tarefa de remoção nestes diretórios por isso sugiro que faça o backup copiando os arquvios acima para outro diretório, por segurança.

Guia passo a passo

Seguir os passos abaixo:

Esse é o link para o download do script de geração dos certificado para o Apache:

Fazer o restart do apache2 com o comando a seguir:

Requisitos

Antes de seguir com esta seção é importante a leitura integral das seções anteriores e da documentação de apoio gerada. Consulte as documentações de apoio indicadas ao final deste documento.

1. Garanta que efetuou o backup de toda a instalação do IDP (pasta padrão /opt/shibboleth-idp;

2. Garanta que efetuou o backup das configurações do servidor apache (pasta padrão /etc/apache2)

3. Garanta que efetuou backup dos certificados configurados no servidor apache (são os arquivos de certificado - geralmente .crt e .key referenciados dentro dos arquivos de configuração do apache em /etc/apache2/sites-enabled/)

Certifique-se que seu servidor tem os recursos necessários. Recomendamos ao menos:

• 4GB de RAM;

• 20GB de espaço em disco livre disponível.

• Conforme o nível de uso do seu IDP, pode ser necessário mais recursos. Recomendamos monitorar o nível de uso dos recursos computacionais para verificar se o mesmo está operando em níveis aceitáveis.

Outros requisitos considerados são:

• IDP Shibboleth 4.2.1 ou superior instalado na pasta padrão (/opt/shibboleth-idp)

• Servidor Ubuntu 22.04.5 LTS (SO que foram homologadas)

• Seu IDP faz uso de certificados VÁLIDOS no APACHE (em caso de certificados autoassinados - como ambiente de testes - é necessário procedimentos adicionais manuais para a instalação do MFA).

Requisitos para um Provedor de Identidade

Para garantir uma implementação bem-sucedida de um serviço de Provedor de Identidade (IDP) em um ambiente de virtualização, é crucial observar os seguintes requisitos:

1. Requisitos de Infraestrutura:

Começando...

Primeiro passo:

Como pré requisito básico, a instituição precisa já ser aderente a CAFe e possuir um IdP configurado.

• Ajustar as mensagens na tela de login

Ajustar as mensagens na tela de login

Objetivo

Importação do template de uma máquina virtual pré-configurada para ser o servidor do Pentaho Data Integration (PDI) 9.0.

Este será o aplicativo responsável pela importação dos dados das bases acadêmicas da instituição e exportação para a base LDAP que será utilizada na autenticação dos serviços da Federação CAFe.

Pré-requisitos

• Possuir um hypervisor que irá hospedar o host;

• Um endereço IP válido na internet;

Os requisitos mínimos de hardware informados pelo fornecedor da Suite Pentaho 8.0 são os seguintes:

• Processador: Intel EM64T ou AMD64 Dual-core

• Memória RAM: 10 GB, com 6 GB dedicados ao Pentaho Server 8.0

• Espaço em disco: 20 GB livres após a instalação.

Todavia, recomendamos como configuração ideal:

• Processador: para viabilizar o processamento paralelo, recomendamos utilizar processadores com pelo menos 4 núcleos.

• Memória RAM: 20 GB, com 10 GB dedicados ao Pentaho Server 9.0

• Espaço em disco: 50 GB livres após a instalação.

Especificação do template

• Criado no formato OVF ()

• Sistema Operacional Ubuntu 18.04 LTS com instalação otimizada para ambientes de virtualização;

• Arquitetura de 64 bits;

Obs: Apesar da VM possuir essa configuração, a instituição pode adequar de acordo com a disponibilidade de recurso, respeitando os pré-requisitos.

Procedimento de importação

1. Baixe o arquivo da VM:

2. Importe o arquivo transferido para seu Hypervisor.

3. Ligue o servidor virtual recém importado, segue as informações de Login na VM:

4. Realizar as configurações de rede da VM.

5. Start no servidor Pentaho:

O serviço do Pentaho é inicializado automaticamente pelo sistema operacional. Todavia, pode-se utilizar os comandos abaixo para intervenções manuais, inicializando e parando, respectivamente:

6. Disponibilizar o Driver para conexão com a base Mysql (utilizado pela base intermediária) Baixar aqui Driver Mysql: () Baixar também o Driver do banco que a instituição utiliza nas bases acadêmicas (Oracle, SQLServer ou Postgresql). Copiar os dois drivers (Mysql e o Driver usado pela base da instituição) para as seguintes pastas na VM do Servidor:

ATENÇAO:

Certifique-se que na pasta /opt/pentaho-server/tomcat/lib/ não exista mais de uma versão do driver Mysql.

Se existir outro driver mysql em outra versão, como por exemplo, o mysql-connector-java-5.1.17-bin.jar ele deve ser apagado.

A versão correta do driver mysql que deve ficar na pasta é mysql-connector-java-5.1.45-bin.jar.

7. Verificar se o serviço do Mysql está rodando na VM:

8. Acessar via navegador o Pentaho que está instalado na VM do passo anterior, através da seguinte URL:

9. Verificar se o login ocorreu com sucesso.

=> Template VM versão 8

Abaixo é exibida a tela para configuração dos parâmetros disponíveis no PDI/EID:

Para chegar a esta tela é necessário abrir um job e clicar duas vezes na área em branco, depois selecionar a aba "Parâmetros":

OBS: Estes parâmetros precisam ser configurados nos seguintes jobs:

• full-job-atualizacao-diaria

• full-job-atualizacaoo-diaria-truncate

• job-atualizacao-contas-intradia

Antes de executar estes jobs no PDI é necessário preencher os parâmetros obrigatórios.

Os parâmetros configuráveis nesta tela se dividem em :

Parâmetros para configuração de envio de email com alertas e erros na execução dos Jobs:

• indicadorEnvioEmailAtivo - Quando informado com o valor "True" os alertas gerados serão enviados para o email configurado, caso configurado com o valor "False" nenhum email de alertas será enviado. Obrigatório.

• AuthenticationPassword - Senha do usuário no servidor SMTP em texto plano.

• AuthenticationUser - Usuário de autenticação no servidor SMTP, com endereço completo. Ex.:

Parâmetros para conexão com a base LDAP:

• host_address_ldap - Incluir o IP ou nome do servidor LDAP. Ex.: 138.121.71.89 ou ldap.rnp.br. (Obrigatório)

• host_port_ldap - Incluir a porta do servidor LDAP. Ex.: 389 (Obrigatório)

• raiz_base_ldap - Incluir a raiz do LDAP configurada no servidor. Ex.: dc=rnp,dc=br (Obrigatório)

Parâmetro para escolher forma de unificação de Conta:

• manterContaMaisRecente - Quando o PDI detecta mais de uma conta cadastrada para o mesmo usuário é necessário escolher apenas uma para ser enviada ao servidor LDAP. Ao preencher este parâmetro com "True" a conta mais recente será enviada ao LDAP, para detectar que a conta é mais recente o PDI verifica o ID do registro importado e compara qual é maior. No caso de mais de uma base de dados é possível também definir a prioridade pela base configurada como mais confiável, que no caso é sempre a primeira a ser importada com o campo "baseOrigem=1" . (Obrigatório)

Parâmetro para converter a senha para base64:

• castToB64 - Em algumas situações, o hash SHA e MD5 das senhas é armazenado como uma sequência de caracteres hexadecimais nas bases institucionais. Para envio da senha para o LDAP via LDIF é necessário que esse hash esteja em base64. Ao informar este parâmetro como "True" um algoritmo é usado durante a importação dos dados para transformar o valor hexa em base64, de forma a preservar o hash original da senha no diretório. Caso a senha já esteja no formato base64, ou esteja em texto plano o parâmetro deve ser informado com o valor "false". (Obrigatório) É importante ressaltar que o campo algoritmoSenha, configurado na transformação de "Conta" deve estar preenchido corretamente:

  • SHA, para senhas com hash SHA

Os procedimentos listados abaixo tem o objetivo de validar se os pré-requisitos de uso do serviço estão corretos e coletar alguns logs do seu IdP, lembrando que só podemos prosseguir com o atendimento se todos os pré-requisitos estiverem sendo atendidos.

Passo 1. Validar Pré requisitos

Por gentileza, valide de todos os pré-requisitos do serviço listados abaixo estão sendo atendidos:

1. Máquina para IDP deve ter IP válido e não pode estar atrás de NAT (Em caso de NAT a instituição deverá garantir que a comunicação está conforme o desejado);

2. DNS direto e reverso devem estar configurados;

3. Portas 80 e 443 liberadas no firewall local (IdP) e no institucional;

4. É necessário validar com o administrador do IDP, que nada foi atualizado ou executado nesta máquina ou na infra da instituição, que tenha causado a possível falha;

5. Não ter alterado o usuário de leitura da base de usuários (bind);

6. Na base de dados da instituição, deve estar claro que os atributos abaixo devem ser entregues, este pode ser verificado através do teste disponível em :

cn - Nome do Usuário sn - Sobrenome do Usuário mail - Email institucional ou pessoal do usuário eduPerson-eduPersonPrincipalName -> Nome identificador do usuário na base

Após a validação, prossiga de acordo o resultado:

Resultado 1: Se os requisitos estiverem sendo atendidos, prossiga para o Passo 2.

Resultado 2: Se os requisitos NÃO estão sendo atendidos, realize os ajustes necessários teste o serviço e caso o problema ainda persista prossiga para o Passo 2.

Passo 2. Coleta de Evidências

Para analisarmos as configurações do seu IdP precisaremos de alguns arquivos, por gentileza, execute os passos abaixo:

2.1. Acesse o site , realize o login e nos envie um print do resultado (O passo a passo para este acesse está descrito ).

2.2 Realize o download do script e dê permissão de administrador através dos comandos abaixo:

2.3 Colete o log gerado pelo script acima, ele pode ser encontrado através do caminho: /root/cafe-homolog-shib.log

2.4 Colete também o log do IDP, disponibilizado em: /opt/shibboleth-idp/logs/idp-process.log

Passo 3. Enviando as Informações

Após a confirmação dos pré-requisitos e coleta dos logs, por gentileza, envie todas as informações para o endereço de e-mail [email protected] ou em resposta ao e-mail que foi solicitado as informações.

Ressaltamos que o e-mail deve conter as seguintes informações:

• Confirmação se a instituição está cumprindo todos os pré-requisitos (Passo 1)

• Print do acesso ao (Passo 2.1)

• Log de homologação e IDP (Passo 2.4 e 2.5)

Para que a receita possa funcionar de acordo com as informações da sua instituição, por exemplo, dados e valores necessárias e exclusivas da usa infraestrutura, o RPilot fornece uma opção de inserção de variáveis específicas que a receita entende como sendo os parâmetros da instalação.

No caso do IDP da CAFe existem 36 variáveis necessárias para a instalação correta do IDP. Que podemos dividir em 4 subclasses:

• Informações para certificado Shibboleth e metadado

• Informação para conexão e configuração com base de diretório LDAP/AD

• Informações para configuração de um webserver Apache

• Informações para configuração do recurso do Dashboard MFA integrado ao IDP CAFe

_______________________________________________________________________________________

Após escolher o produto CAFe e a receita de Instalação do IDPvX.X.X, preencher com os dados da instituição nos campos:

Shibboleth e Metadado

ORGANIZATION -> Nome da Instituição por extenso. Exemplo: Rede Nacional de Ensino e Pesquisa

INITIALS -> A sigla da instituição. Exemplo: RNP

CITY -> Cidade da instituição. Exemplo: Brasília

STATE -> Unidade Federativa da instituição. Exemplo: DF

URL -> Endereço da página institucional. Exemplo: https://www.rnp.com

OU -> Sigla do setor técnico. Exemplo: DTI

CONTACTGIVEN -> Nome do responsável técnico. Exemplo: João Silva

CONTACTMAIL -> Endereço de email do contato. Exemplo: [email protected]

CONTACTSUR -> Sobrenome do contato apenas. Exemplo: Silva

Conexão e configuração com Diretório LDAP/AD

LDAPATTR -> Atributo para autenticação na CAFe. Exemplo: uid, mail ou sAMAccountName

LDAPDN -> DN onde consulta os usuários na base LDAP. Exemplo: ou=pessoas,dc=instituicao,dc=br (Inserir o domínio de sua instituição).

LDAPFORM -> Formato para construção das consultas na base LDAP. Exemplo: uid=%s,dc=instituicao,dc=br. Em caso de AD, poderá fornecer %[email protected]

LDAPPWD -> Senha do usuário de BIND da base LDAP.

LDAPSERVER -> Endereço do servidor LDAP. Exemplo: 192.168.1.20

LDAPSERVERPORT -> Porta usada para conexão LDAP. Exemplo: 389 ou 636

LDAPSERVERPROTO -> Protocolo de comunicação LDAP. Exemplo: ldap:// ou ldaps://

LDAPSERVERSSL -> Valor 0 para SEM SSL e valor 1 para COM SSL.

LDAPSUBTREESEARCH -> Permitir consulta vertical abaixo do DN LDAP informado, por padrão essa opção deve estar 'true'. Exemplo: true

LDAPUSER -> Usuário de BIND para consulta no LDAP. Exemplo: uid=leitor-shib,ou=pessoas,dc=rnp,dc=local. Em caso de AD, poderá fornecer usuá[email protected]

Configuração para o Apache

DOMAIN -> Apenas o domínio da instituição. Exemplo: instituicao.br

HN -> Apenas o nome do servidor, sem domínio. Exemplo: idp

HN_DOMAIN -> Apenas o domínio. Exemplo: instituicao.br

IP -> Digitar o IP do servidor IDP.

Dashboard MFA da CAFe

PAINEL_ADMIN_EPPN -> Exemplo, se valor de eppn for [email protected], deve ser cadastrado somente abc: associado também ao cadastro do administrador. O EPPN na maior parte das instituições é o MD5 do username. Em caso de dúvidas do valor, peça para o usuário administrador acessar a url e se autenticar. Após a autenticação, será exibida a informação eduPerson-eduPersonPrincipalName. Pegue a informação que vem antes do @. A figura a seguir mostra um exemplo onde é retornado “[email protected]”.

PAINEL_ADMIN_NAME -> Será criada uma conta inicial de administrador para o usuário em questão: quando o painel de segurança é instalado, é cadastrado automaticamente um usuário inicial que receberá permissão de administrador. Será este usuário que irá atribuir permissões de administrador e operador a outros usuários. Certifique que todos os dados do usuário administrador inicial foi cadastrado corretamente

FQDN -> se trata do FQDN do seu servidor IDP. Exemplo: “idp.instituicao.br”

SMTP_ASSINATURA -> Nome que irá aparecer no email enviado como remetente. Exemplo: Instituição de Pesquisa e Educação.

SMTP_EMAIL_ORIGINADOR -> E-mail do originador. Se trata do e-mail que será exibido para o usuário como originador do e-mail. Exemplo: [email protected]

SMTP_HOST -> se trata dos dados de acesso necessários para que o painel de segurança possa enviar e-mails. Preencha aqui o endereço do servidor SMTP. Exemplo: smtp.instituicao.br

SMTP_NOME_AMIGAVEL -> Digite o Nome amigavel a ser exibido para identificar quem envia os e-mails: na ser exibido para identificar quem envia os e-mails. Exemplo: Nome da Instituição

SMTP_PASSWORD -> senha para autenticação na conta SMTP.

SMTP_PORT -> porta do servidor SMTP. Exemplo: 587

SMTP_USERNAME -> conta a ser utilizada para se autenticar no servidor SMTP

MSG_AUTENTICACAO -> Mensagem que irá aparecer na tela de login para os usuários. Exemplo: Digite aqui sua matrícula:

URL_RECUPERACAO_SENHA -> Caso possua uma URL para direcionar seus usuários para um sistema de recuperação de senha digite aqui esse endereço. Exemplo: https://endereco_recuperacao.com.br/

Preencher os valores dos parâmetros de acordo com a suas informações

Ao terminar de preencher todos os campos clicar no botão "Próximo" ao final do rodapé.

1. Introdução

Este tutorial apresenta os passos necessários para a configuração do campo sambaNTPassword no LDAP.

2. Roteiro

2.1 Após a instalação do OpenLDAP, selecione um usuário da base, como o exemplo abaixo:

2.2 Na tela à direita, selecione qualquer objectClass e clique com o botão direito. Vá em "New Value":

2.3 Na tela abaixo, procure na coluna da esquerda por "sambaSamAccount" conforme ilustrado a seguir. Selecione, e clique em "Add" depois vá em "Next":

2.4 Na tela seguinte, perceba que o objectClass do "sambaSamAccount" aparece inserido, e temos um novo campo do "sambaSID"

Após inserir o valor, clique em "Finish".

2.5 Clique na área em branco, e vá na opção "New Attribute..."

2.6 Na tela abaixo, procure por "sambaNTPassword", e em seguida clique em "Finish"

2.7 Após adicionar o atributo, ele aparecerá sem valor. Neste campo, é necessário colocar uma senha com o Hash NTLM.

Para isto, crie uma senha e converta no site abaixo para o Hash mencionado.

No exemplo abaixo, utilizamos a senha "123456", em seguida, clicamos em "Calculate NTLM Hash":

Agora temos o Hash NTLM sendo baseado na senha inserida:

Basta copia-lo para o campo do "sambaNTPassword":

2.8 Clique duas vezes na opção userPassword, que está em branco, e crie a nova senha para este campo. Feito isto, dê "OK":

2.9 Abaixo, é um exemplo de como os campos ficarão preenchidos:

Agora o LDAP estará configurado para os protocolos PAP (default) e MSCHAPv2 (sambaNTPassword).

Guia passo a passo

Vamos agora baixar o script de modificação e gerar novos arquivos com o novo hostname e novo dominio:

Baixar o script para o diretorio /tmp

1. Quando iniciar o script o mesmo irá te perguntar algumas informações, que precisam ser passadas para a exceução do script, tenha atenção neste etapa:

2. "Digite apenas o nome do host antigo: " Digitar aqui apenas o hostname antigo do seu IdP Ex: cafe-idp-antigo

3. "Digite apenas o dominio do host antigo: " Digitar aqui apenas o dominio antigo do seu IdP Ex: org.edu.antigo.br

Se tudo ocorrer sem problemas o script ira realizar as modificações necessárias e o seu IdP estará com o novo hostname e dominio configurados, porém no final do processo será necessário enviar para equipe técnica da CAFe RNP o novo "idp-metadado.xml" para o cadastro na CAFe produção. Esse arquivo você encontra no seguinte caminho:

Copiar o arquivo "idp-metadata.xml" e enviar o arquivo em anexo para equipe da RNP, para o cadastro do IdP com o novo hostname e dominio.

Os Códigos de Emergência (também chamados de "Códigos de Backup", "Backup Code" ou "Senha de Emergência") são códigos fornecidos como uma alternativa para acessar sua conta caso você não consiga usar os fatores de autenticação que estejam ativos. Esses códigos atuam como um fator de autenticação de backup, permitindo que você recupere o acesso à sua conta sem depender exclusivamente dos demais fatores ativos.

Códigos de Emergência gerados automaticamente

Os Códigos de Emergência são gerados automaticamente após a ativação de um primeiro fator de autenticação, como Senhas Temporárias - OTP ou Chaves de Acesso, e podem ser usados caso você perca o acesso ao aplicativo autenticador configurado ou a chave de acesso adicionada na sua conta.

Após o sistema gerar os códigos automaticamente, conforme apresentado na figura 36, escolha como deseja armazená-los (veja figura 37):

● Imprimir os códigos

• Gera uma versão para impressão

• Ideal para quem prefere manter uma cópia física em um local seguro.

● Salvar em PDF

• Cria um arquivo digital com os códigos;

• Recomendado para armazenamento em dispositivos protegidos.

● Copiar para a área de transferência

• Permite colar os códigos em outro local, como um gerenciador de senhas; ○ Rápido e prático para quem deseja salvar os códigos imediatamente.

Importante:

Gerar novos Códigos de Emergência

Para confirmar a quantidade de códigos de emergência disponíveis, acesse a opção “Códigos de Emergência” no menu lateral ou nos cartões centrais da tela inicial do Painel .

Você verá as seguintes informações na tela seguinte, conforme apresentado na figura 39:

● Data e horário da última geração de códigos.

● Quantidade de códigos ainda válidos.

● Um botão para gerar novos códigos, caso necessário.

Se os códigos atuais ainda estiverem válidos e se você ainda possui acesso a eles, recomenda-se utilizá-los antes de gerar novos. Para gerar novos códigos, execute os seguintes passos:

No menu de “Códigos de Emergência”, clique no botão "Gerar novos códigos" (veja figura 39);

O sistema apresentará um pop-up para confirmar a geração de novos códigos. Clique no botão “Sim, gerar novos códigos de emergência”, conforme indicado na figura 40, para gerar um novo conjunto de códigos de emergência e invalidar imediatamente os códigos anteriores que ainda estejam válidos.

Realizar Login utilizando os Códigos de Emergência

Se você já possuir algum fator configurado em sua conta, poderá utilizar os Códigos de Emergência como um segundo fator provisório (recomendado) de autenticação para acesso aos serviços. Essa ação é recomendada principalmente para recuperar o acesso ao próprio Painel de Segurança MFA, quando você tem um ou mais fatores (OTP e/ou Chave de acesso) configurados na sua conta e não possui acesso a nenhum deles.

Depois da validação das credenciais (usuário e senha) inseridas numa primeira etapa do login, o sistema apresentará a tela de segundo fator e o Código de Emergência poderá ser utilizado. Para isso, execute os seguintes passos:

Na tela do segundo fator (neste exemplo foi utilizado o OTP) apresentada pelo sistema, clique no link “Outras formas de autenticação” abaixo do botão “Entrar”, conforme apresentado na figura 40;

O sistema apresentará um pop-up para escolha de outro fator de autenticação. Selecione a opção “Códigos de Emergência”, conforme indicado na figura 41;

O sistema apresentará a tela para login com Códigos de Emergência. Localize um dos seus códigos de emergência válidos, digite-o no campo correspondente, conforme mostrado na figura 42. Certifique-se de que o código inserido esteja correto e, em seguida, clique no botão “Entrar” para concluir a autenticação.

• /opt/shibboleth-idp/conf/relying-party.xml

• /opt/shibboleth-idp/conf/saml-nameid.xml

• /opt/shibboleth-idp/conf/attribute-resolver.xml

• /opt/shibboleth-idp/conf/attributes/custom/ImmutableID.properties

• /opt/shibboleth-idp/conf/attributes/custom/UserId.properties

• /opt/shibboleth-idp/conf/metadata-providers.xml

• /opt/shibboleth-idp/metadata/office365-md.xml

• /opt/shibboleth-idp/conf/attribute-filter.xml

No arquivo /opt/shibboleth-idp/conf/relying-party.xml, sob o item <util:list id="shibboleth.RelyingPartyOverrides">, adicione a configuração abaixo:

Já no arquivo /opt/shibboleth-idp/conf/saml-nameid.xml, dentro do item <util:list id="shibboleth.SAML2NameIDGenerators">, adicione a configuração abaixo:

Para criar os atribututos que serão usados (ImmutableID e UserId), altere o arquivo /opt/shibboleth-idp/conf/attribute-resolver.xml adicionando as linhas a seguir:

Ainda no arquivo /opt/shibboleth-idp/conf/attribute-resolver.xml, adicione o atributo entryUUID à lista de atributos retornaveis do dataconnector dcLDAP. Exemplo:

Crie o arquivo /opt/shibboleth-idp/conf/attributes/custom/ImmutableID.properties com o seguinte conteúdo:

Crie o arquivo /opt/shibboleth-idp/conf/attributes/custom/UserId.properties com o seguinte conteúdo:

Para configurar o provedor de metadados, altere o arquivo /opt/shibboleth-idp/conf/metadata-providers.xml e adicione a configuração abaixo:

A seguir baixe o arquivo de metadados da Microsoft e armazene-o no local apropriado e remova a linha <NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDFormat>.

Por fim, altere o arquivo /opt/shibboleth-idp/conf/attribute-filter.xml incluindo a política de liberação de atributos para o Microsoft Entra.

Opções de Informações e acessibilidade

Na parte superior do Painel de Segurança, você encontrará opções informativas e de acessibilidade para facilitar a navegação e melhorar a experiência do usuário, conforme destacado na figura 5.

Sobre o Painel de Segurança MFA: essa opção fornece informações detalhadas sobre o Painel de MFA, explicando como funciona a autenticação de múltiplos fatores para garantir maior proteção ao acesso.

Sobre a CAFe: a Comunidade Acadêmica Federada (CAFe) permite o acesso seguro a diversos sistemas acadêmicos e científicos no Brasil. Essa opção traz mais informações sobre o funcionamento da CAFe e sua integração com o sistema de autenticação.

Sobre a RNP: a Rede Nacional de Ensino e Pesquisa (RNP) fornece infraestrutura e soluções tecnológicas para instituições acadêmicas e de pesquisa. Aqui, você encontra mais detalhes sobre a RNP e seu papel na segurança digital.

Opções de Acessibilidade: para melhorar a usabilidade do sistema, o cabeçalho também oferece opções de acessibilidade:

• Zoom + : aumenta o tamanho da interface para facilitar a leitura.

• Zoom - : reduz o tamanho da interface para visualizar mais informações na tela.

Alto Contraste: ativa um modo de alto contraste, alterando as cores do sistema para facilitar a leitura, conforme ilustrado na figura Nesse modo:

• O fundo da tela fica preto.

• Os textos aparecem em branco para melhor visibilidade.

• Os títulos são destacados na cor amarela para diferenciação.

Tela Inicial

Na parte central da tela inicial, você verá a mensagem de boas-vindas: "Olá, bem-vindo. O que você gostaria de fazer?".

Abaixo dessa mensagem, há cartões que organizam as configurações em duas categorias principais, conforme apresentado na figura 7. Cada item elencado a seguir será detalhado nos capítulos seguintes.

Fatores de Autenticação:

• Chave de acesso: registre as chaves de acesso para login mais seguro nos serviços;

• Senha temporária (OTP): configure a geração de senhas temporárias;

• Código de emergência: obtenha códigos para acesso em situações de emergência.

Facilidades de Acesso:

• Dispositivos confiáveis: gerencie os dispositivos em que você já fez login e marcou como seguros.

Menu Lateral

No menu lateral esquerdo (destacado na figura 8), você encontrará as mesmas opções do item anterior, organizadas de forma compacta para acesso rápido. Além disso, encontrará a opção para sair do sistema.

Para configurar qualquer um desses itens, clique no botão correspondente e siga as instruções na tela.

Abaixo você encontra algumas perguntas frequentes sobre o serviço Pentaho, mas caso ainda tenha algum problema ou dúvida, fale com o nosso Service Desk.

Telefone/WhatsApp: 0800 722 0216 E-mail: [email protected]

Preparando o certificado !

Preparar o seu certificado válido para a substituição no seu IdP:

Instalação Cliente PDI no Windows:

Instalação Cliente PDI no Windows:

Abaixo você encontra algumas perguntas frequentes sobre o serviço CAFe (Comunidade Acadêmiica Federada), mas caso ainda tenha algum problema ou dúvida, fale com o nosso Service Desk.

Telefone/WhatsApp: 0800 722 0216 E-mail: [email protected]

Elaborado por Rui Ribeiro – [email protected]

Visão Geral

Este roteiro descreve o processo de configuração dos atributos eduPersonTargetedID e eduPersonScopedAffiliation. Cada atributo é abordado em uma seção específica, o que permite uma compreensão mais clara e estruturada das etapas necessárias para sua correta implementação.

Guia passo a passo

Altere o nível do log para DEBUG. Abra o arquivo /opt/shibboleth-idp/conf/logback.xml e altere as linhas 24,25 e 28 abaixo:

-Log de execução de Jobs e Transformações:

Todo processo executado no PDI terá informações de saída relacionadas ao log do fluxo de trabalho. Isso fornece detalhes sobre o que está acontecendo durante a execução. Os logs podem ser monitorados através do cliente PDI ou da interface online do PDI via navegador: IP_SERVIDOR:8080

Aqui está uma lista de itens com os quais o log pode ajudar:

• Fornece informações relevantes sempre que uma execução do processo apresenta um erro, como etapas que estão falhando e rastreiam com a descrição principal do erro

• Fornece informações sobre um fluxo de trabalho se houver divisão de decisão

• Detecta gargalos e etapas de desempenho abaixo do padrão com base na duração de um procedimento; por exemplo, os tempos de execução armazenados podem ser usados ​​para detectar se um processo está demorando mais do que habitual

• Mostra o status dos processos atualmente em execução. Os logs fornecem informações sobre quando o processo iniciado, onde está atualmente, e dados relacionados ao seu status.

Antes uma breve introduação ao serviço do RPilot. O RPilot funciona com um automatizador de processos, para o produto da CAFe ele irá auxiliar e executar para nossos clientes as ações de instalação do IDP, sua configuração e sua atualização. Ele conta com um motor shell script para executar suas receitas. O acesso ao sistema é feito pelo link a seguir: .

Requisitos Mínimos para sua máquina virtualizada

Objetivo

Importação do template de uma máquina virtual pré-configurada para ser o servidor do Pentaho Data Integration (PDI) 9.4.

Este será o aplicativo responsável pela importação dos dados das bases acadêmicas da instituição e exportação para a base LDAP que será utilizada na autenticação dos serviços da Federação CAFe.

Pré-requisitos

• Possuir um hypervisor que irá hospedar o host;

• Um endereço IP válido na internet;

Os requisitos mínimos de hardware informados pelo fornecedor da Suite Pentaho 8.0 são os seguintes:

• Processador: Intel EM64T ou AMD64 Dual-core

• Memória RAM: 10 GB, com 6 GB dedicados ao Pentaho Server

• Espaço em disco: 30 GB livres após a instalação.

Todavia, recomendamos como configuração ideal:

• Processador: para viabilizar o processamento paralelo, recomendamos utilizar processadores com pelo menos 4 núcleos.

• Memória RAM: 30 GB, com 10 GB dedicados ao Pentaho Server 9.4

• Espaço em disco: 50 GB livres após a instalação.

Especificação do template

• Criado no formato OVF ()

• Sistema Operacional Ubuntu 22.04 LTS com instalação otimizada para ambientes de virtualização;

• Arquitetura de 64 bits;

Obs: Apesar da VM possuir essa configuração, a instituição pode adequar de acordo com a disponibilidade de recurso, respeitando os pré-requisitos.

Procedimento de importação

1. Baixe o arquivo da VM:

2. Importe o arquivo transferido para seu Hypervisor.

3. Ligue o servidor virtual recém importado, segue as informações de Login na VM:

4. Realizar as configurações de rede da VM.

5. Start no servidor Pentaho:

O serviço do Pentaho é inicializado automaticamente pelo sistema operacional. Todavia, pode-se utilizar os comandos abaixo para intervenções manuais, inicializando e parando, respectivamente:

6. Disponibilizar o Driver para conexão com a base Mysql (utilizado pela base intermediária) Baixar aqui Driver Mysql: () Baixar também o Driver do banco que a instituição utiliza nas bases acadêmicas (Oracle, SQLServer ou Postgresql). Copiar os dois drivers (Mysql e o Driver usado pela base da instituição) para as seguintes pastas na VM do Servidor:

ATENÇAO:

Certifique-se que na pasta /opt/pentaho-server/tomcat/lib/ não exista mais de uma versão do driver Mysql.

Se existir outro driver mysql em outra versão, como por exemplo, o mysql-connector-java-5.1.17-bin.jar ele deve ser apagado.

A versão correta do driver mysql que deve ficar na pasta é mysql-connector-java-8.0.11-bin.jar.

7. Verificar se o serviço do Mysql está rodando na VM:

8. Acessar via navegador o Pentaho que está instalado na VM do passo anterior, através da seguinte URL:

9. Verificar se o login ocorreu com sucesso.

Guia passo a passo para AD:

O shibboleth IDP em sua versão 4.2.x veio com algumas alterações na configuração de atributos, configurações essas que vieram para melhorar a manutenção e customização do IDP pelos responsáveis do serviço. Nessa versão tivemos a inlcusão de um novo recurso dentro do diretório /conf agora dentro desse diretório encontramos o sub diretório /attributes.

Esse sub diretório /attributes agora fica responsável por conter arquivos de configuração .xml que tratam sobre as especificações dos atributos suportados pelo IDP. Dentro desse diretório você verá os arquivos dividídos pelos seus respectivos schemas.

Para essa adequação do CPF e Data de Nascimento foi usado atributos que já estão mapeados pelo IDP dentro do schema .../conf/attributes/inetOrgPerson.xml e também já são atributos presentes no Microsoft AD.

Optamos por usar os atributos employeeNumber e employeeType

Seguir as etapas abaixo:

Dentro do seu Microsoft AD você precisa abrir o Editor de Atributos dos usuários e procurar pelos atributos employeeNumber e employeeType, veja figura abaixo:

Faça o preenchimento desses atributos seguindo a orientação de usar valores para Data de Nascimento em employeeNumber, sempre no formato AAAAMMDD e os valores para o CPF em employeeType, sempre no formato inteiro sem pontos e hífen.

Uma vez os valores populados em seu AD podemos agora configurar o shibboleth para que ele leia esse valores e entregue como se fosse o sachDateOfBirth e o brPersonCPF, passo a passo logo abaixo:

Abrir e editar o arquivo "attribute-resolver.xml", caminho: /opt/shibboleth-idp/conf e procure pelas entradas com id=brPersonCPF e id=schacDateOfBirth eles estão perto um do outro.

Vamos nesse momento alterar os valores de referencia desses dois atributos, temos que alterar a entrada da variável attributeNames="brPersonCPF" e attributeName="schacDateOfBirth" para os seguintes valores:

attributeNames="employeeType"

attributeNames="employeeNumber"

Procurar no arquivo de configuração na secção de Data Connectors a entrada <dc:ReturnAttributes>...</dc:ReturnAttributes>, ela faz referência aos atributos que serão retornados pelo seu IdP, essa configuração ainda deve ser feita no arquivo attribute-resolver.xml.

Nessa parte do bloco você deve acrescentar os dois novos atributos na linha de entrega, veja como deve ficar após sua alteração:

<ReturnAttributes>%{idp.authn.LDAP.returnAttributes} mail cn givenName sn brPersonCPF schacDateOfBirth employeeType employeeNumber </ReturnAttributes>

Muito importante que você inclua os dois atributos referenciados pelo seu AD para serem usados como CPF e Data de Nascimento, dentro desta linha do código, pois é ela quem irá liberar esses atributos e entrega-los ao serviço.

Faça a modificação, caso necessário, adicione a regra para a libração dos atributos CPF e Data de Nascimento para o ICPedu, salve o arquivo e feche.

Faça o restart do serviço:

O One Time Password (OTP), ou Senha Temporária (OTP), é um código de autenticação único e temporário, válido por um curto período e utilizado somente uma vez. Ele reforça a segurança ao impedir múltiplas utilizações de uma mesma informação, reduzindo riscos como roubo de credenciais.

Gerado por aplicativos autenticadores, o OTP é amplamente usado na Autenticação Multifator (MFA), adicionando uma camada extra de proteção contra acessos não autorizados.

Configurar o OTP

Para habilitar o OTP como segundo fator de autenticação, acesse a opção “Senha temporária (OTP)” no menu lateral ou nos cartões centrais da tela inicial do Painel.

Na tela seguinte, clique no botão “Configurar senha temporária (OTP)”, conforme destacado na figura 9, que será direcionado para a tela de ativação da senha temporária.

Na tela de ativação do OTP, é exibido um alerta (veja figura 10) sobre a necessidade de completar todos os passos detalhados na página para completar a configuração do OTP como segundo fator de autenticação.

Os seguintes passos detalhados na tela de ativação no Painel e resumidos a seguir são necessários para configuração completa da Senha Temporária (OTP):

1. Abra seu aplicativo de autenticação favorito. Caso ainda não tenha um aplicativo no seu dispositivo, baixe um aplicativo autenticador^[1];

2. No seu dispositivo, adicione a conta clicando no ícone de + presente em alguns aplicativos ou na opção correspondente;

3. Localize a opção de leitura do QR Code e aponte a câmera do seu celular para o QR Code apresentado no passo 3 da tela de ativação no Painel. Caso esteja realizando o procedimento por meio do seu smartphone, alguns aplicativos permitem a inserção do código correspondente ao QR Code para adicionar a conta. Para isso, clique no botão “Copiar” abaixo do QR Code (veja exemplo na figura 11) para copiar o código e adicionar no aplicativo;

1. Após a execução com sucesso do passo 3, o aplicativo apresentará a Senha Temporária válida para um período de tempo. Informe os 6 dígitos da senha nos campos indicados no passo 4 da tela de ativação no Painel e clique no botão “Ativar senha temporária (OTP)” (veja exemplo na figura 12) para validar e finalizar a configuração;

1. O sistema apresentará um pop-up com a mensagem “Fator de autenticação ativado com sucesso”. Clique no botão “Continuar”;

2. O sistema apresentará um novo pop-up com a mensagem “Você não possui códigos de emergência válidos. Novos códigos serão gerados automaticamente.”. Clique novamente no botão “Continuar” para ser redirecionado a tela de códigos de emergência;

3. Siga as orientações para salvar os códigos que são exibidos uma única vez e podem ser usados caso você perca o acesso ao aplicativo autenticador ou não consiga gerar um código OTP temporário. Veja mais informações sobre os Códigos de Emergência no Capítulo 8.

Após a execução dos passos anteriores, você pode confirmar a configuração, acessando o menu “Senha temporária (OTP)” e na tela seguinte (veja figura 13) observar as informações exibidas, como: data e hora que o OTP foi configurado.

Gerar Novo QR Code para OTP

Se você precisar reconfigurar o OTP, execute os seguintes passos:

1. Acesse o menu “Senha temporária (OTP)” e clique no botão para gerar um novo QR Code, conforme indicado na figura 14;

1. Na sequência, o sistema apresentará um pop-up para ser confirmada a ação, conforme ilustrado na figura 15. Clique no botão “Sim, gerar novo QR Code” para confirmar e ser redirecionado para a tela de ativação do OTP. Execute novamente os passos de configuração do OTP, conforme descrito na seção 6.1

Definir o OTP como fator Favorito

Se houver mais de um fator de autenticação configurado na sua conta, você pode definir um deles como favorito para ser apresentado como primeira opção de segundo fator durante o processo de login para acesso aos serviços.

Para definir o fator OTP como favorito, acesse o menu “Senha temporária (OTP)” e execute os seguintes passos:

1. Na tela seguinte, selecione o ícone de estrela com o texto “Definir esse fator como favorito” logo acima da configuração do OTP, conforme figura 16;

1. O sistema apresentará um pop-up para confirmação de alteração do fator favorito. Clique no botão “Sim, prosseguir”, conforme apresentado na figura 17, para concluir o procedimento.

Excluir OTP

Caso deseje excluir o OTP, execute os seguintes passos:

1. Acesse o menu “Senha temporária (OTP)” e clique no ícone de lixeira, conforme destacado na figura 18;

1. Na sequência, o sistema apresentará um pop-up com a mensagem “Você tem certeza que deseja remover esse fator?”. Clique no botão “Sim, excluir” para invalidar e remover a configuração de Senha Temporária (OTP) do Painel.

Além disso, igualmente ao que acontece ao gerar novo QR Code, a configuração OTP cadastrada no seu aplicativo autenticador não será excluída automaticamente. Será necessário remover manualmente a configuração antiga do aplicativo para evitar qualquer conflito ou duplicidade de códigos em cadastros futuros.

Realizar Login utilizando o OTP como segundo fator

Após a configuração do OTP, você poderá utilizar as senhas temporárias geradas pelo aplicativo como segundo fator de autenticação nos próximos logins para acesso aos serviços. Depois da validação das credenciais (usuário e senha) inseridas numa primeira etapa do login, o sistema apresentará a tela de segundo fator e a Senha Temporária (OTP) poderá ser utilizada conforme os cenários A ou B descritos a seguir.

Se o OTP estiver definido como fator favorito (veja seção 6.3), depois da validação das credenciais (usuário e senha), o sistema apresentará a tela para login com Senha Temporária (OTP), conforme exemplo da figura 19. Para se autenticar, execute os seguintes passos:

1. Acesse o aplicativo Autenticador do seu dispositivo, digite o código temporário OTP gerado nos campos indicados;

2. Clique no botão “Entrar” para completar o login.

Caso possua mais de um fator configurado na sua conta e o OTP não esteja definido como fator favorito (veja seção 6.3), a tela apresentada após validação das credenciais será a do fator que foi definido como favorito. Para utilizar o OTP como segundo fator, execute os passos a seguir:

1. Na tela do outro fator apresentada pelo sistema, clique no link “Outras formas de autenticação” abaixo do botão “Entrar”, conforme apresentado na figura 20;

1. O sistema apresentará um pop-up para escolha de outro fator de autenticação. Selecione a opção “Senha Temporária (OTP)”, conforme indicado na figura 21;

1. Após a seleção do fator OTP no passo 2, execute os passos descritos no cenário A para completar o login.

As chaves de acesso (passkeys) são uma solução inovadora para autenticação, oferecendo uma alternativa mais segura e prática às senhas tradicionais e aos códigos temporários (OTP). Em vez de digitar senhas ou códigos, o usuário valida sua identidade por meio de um dispositivo autorizado, como um celular ou computador, com suporte ao recurso.

Utilizada como segundo fator de autenticação, a chave de acesso reforça a segurança ao eliminar riscos como o uso de senhas fracas, reutilizadas ou códigos que podem ser interceptados.

Adicionar Chaves de Acesso

Para adicionar uma chave de acesso como segundo fator de autenticação, acesse a opção “Chaves de acesso” no menu lateral ou nos cartões centrais da tela inicial do Painel. Na tela seguinte, execute os seguintes passos:

Informações Importantes

Uma questão importante em relação a ambientes redundantes, é que a instalação é realizada de forma diferente nos servidores secundários. Ou seja, NÃO se deve clonar a instalação do servidor principal e achar que automaticamente o servidor clonado irá operar adequadamente como secundário.

1. Introdução

Este tutorial apresenta os passos necessários para efetuar a instalação do diretório OpenLDAP com o esquema brEduPerson no Ubuntu Server 22.04 LTS. Será utilizada a abordagem OLC (cn=config) que permite a alteração de configurações em tempo real.