Introdução à Autenticação Delegada

Para garantir flexibilidade de integração e respeitar a soberania das políticas de segurança de cada organização, o sistema utiliza um modelo de Autenticação Delegada. Em vez de armazenar credenciais ou gerenciar senhas de usuários externos, a aplicação transfere a responsabilidade da validação de identidade inteiramente para a infraestrutura do cliente através de um barramento de comunicação segura baseado em APIs.

Como funciona o fluxo de comunicação

O ecossistema estabelece um vínculo de confiança baseado nas seguintes etapas operacionais:

  1. Configuração do Endpoint: O cliente desenvolve um serviço de validação (seguindo os exemplos de implementação fornecidos em diversas linguagens) e estipula o endereço (URL) desse servidor no painel administrativo da aplicação.
  2. Requisição Criptografada: Quando uma tentativa de login externa é detectada, o sistema empacota os dados da requisição utilizando protocolos avançados de criptografia e assinatura digital do ecossistema Microsoft (garantindo a inviolabilidade do tráfego) e despacha para o servidor do cliente.
  3. Validação Soberana: O servidor do cliente descriptografa o payload, valida o usuário e a senha em sua própria base de dados (da forma que julgar mais adequada) e devolve uma resposta estruturada contendo um token de identificação e os metadados do usuário.
  4. Provisionamento Automático (Just-In-Time): Ao receber o aval positivo do servidor do cliente, o sistema processa a resposta. Se for o primeiro acesso daquele usuário, a conta é criada dinamicamente; se for um usuário recorrente, o sistema atualiza informações mutáveis (como o e-mail) e concede o token de sessão local para navegação segura.



Modalidades de Autenticação Delegada Suportadas


1. Autenticação Direta via Portal (Login Centralizado)

Nesta modalidade, o usuário final interage diretamente com a interface de login da aplicação. Toda a jornada de autenticação ocorre de forma transparente na tela:

  • O Fluxo: O usuário acessa a URL da Aplicação e digita suas credenciais (Usuário e Senha).
  • A Validação: No instante do clique, a aplicação intercepta a tentativa, empacota as credenciais e dispara uma chamada em tempo real para a URL do servidor configurado no appsettings do servidor de relatórios.
  • Cenário de Uso: Ideal para quando o cliente deseja que seus usuários acessem o portal de relatórios de forma independente, utilizando o sistema como uma aplicação isolada, mas sem que o este precise armazenar as senhas deles.


2. Autenticação Indireta via Integração (Single Sign-On / Sessão Federada)

Esta modalidade elimina a necessidade de o usuário digitar credenciais no servidor de relatórios, ocorrendo uma comunicação direta entre aplicações (App-to-App):

  • O Fluxo: O usuário já está logado no sistema principal do cliente. Quando ele clica para abrir a área de relatórios, o aplicativo do cliente realiza uma autenticação em segundo plano (back-channel) com o servidor de relatórios através de uma requisição segura gerando um token de sessão para o operador.
  • A Validação: O servidor valida o token emitido pela aplicação do cliente. Se o aval for positivo, o aplicativo é aberto imediatamente para o usuário (frequentemente embutido via Iframe ou redirecionamento limpo), carregando estritamente as permissões e funções específicas daquele usuário já logado no ecossistema do cliente.
  • Cenário de Uso: Ideal para portais corporativos integrados, sistemas ERP/CRM onde os relatórios devem parecer uma extensão nativa do próprio software do cliente, garantindo uma experiência fluida de Single Sign-On (SSO).