SSO com PowerB via Certificados de Client

Este artigo aborda os passos para se dar possível o login a stations via Single Sign On (SSO) por meio de certificados de client. 

PRÉ-REQUISITOS

Ter o módulo clienCertAuth instalado na station.

GERANDO OS CERTIFICADOS

1. Dentro da station, entrar em Services -> PlatformServices -> CertManagerService;

2. Clicar em New para gerar um novo certificado.

3. Preencher os campos marcados como "(required)";

4. Marcar Client em Certificate Usage;

5. Criar uma senha pra chave privada (Private key) do certificado.

6. Aguardar a geração do certificado. O processo pode levar alguns segundos.

EXPORTANDO A REQUISIÇÃO DE ASSINATURA DE CERTIFICADO

1. Selecionar o certificado e clicar em Cert Request para exportar uma requisição de assinatura do certificado gerado;

2. Digite a senha da chave privada e salve o arquivo com a extensão .csr

ASSINANDO OS CERTIFICADOS

Os certificados gerados devem ser assinados por uma autoridade certificadora (Certificate Authority). Essa autoridade certificadora pode ser assinada por alguma CA do System Trust Store ou o você pode gerar a CA dentro do PowerB.

A questão de escolher qual dos métodos depende do nível de segurança exigido pelo setor de TI.

1. Para assinar o certificado, o PowerB conta com uma ferramenta chamada Certificate Signer Tool, localizada no menu principal, Tools -> Certificate Signer Tool;

2. Clicar no ícone da pasta e localizar o arquivo .csr

2. Digitar a senha do CA e salvar o arquivo como PEM.

IMPORTANDO OS CERTIFICADOS PARA O USER KEY STORE

1. Clicar em Import e selecionar o certificado assinado 

2. Digitar a senha da chave privada e clicar em OK.

2. Clicar em Export para exportar o certificado com o "escudo verde" no formato PCKS12. Marcar as opções Export the public certificate e Export the private key.

3. Clicar em Export para exportar o certificado com o "escudo verde" no formato PCKS12. Marcar as opções Export the public certificate e Export the private key.

IMPORTANDO OS CERTIFICADOS PARA O NAVEGADOR

É necessário importar o certificado com sua chave privada para o navegador. Navegadores baseados no Chromium (Google Chrome, Brave, etc) usam o próprio repositório de certificados do Windows. Outros navegadores como o Firefox tem seu próprio repositório de certificados. Este tutorial irá mostrar a importação em um navegador baseado no Chromium.

1. Entrar nas configurações do navegador -> Privacidade e Segurança -> Segurança -> Gerenciar certificados -> Gerenciar certificados importados do Windows.

2. Na janela que aparece, clicar em Importar... -> Avançar -> Procurar e indicar onde o arquivo PCKS12 (.p12) está localizado.

3. Clicar em Avançar e digitar a senha da chave privada do certificado

4. O Windows irá pré-alocar o certificado na pasta de repositórios Pessoal. Clique em Avançar e depois Concluir.

ADICIONANDO O ESQUEMA DE AUTENTICAÇÃO VIA CERTIFICADOS DE CLIENT NA STATION

1. Procurar o palette clientCertAuth na sidebar e arrastar o ClientCertAuthScheme em cima do Authentication Schemes dentro do AuthenticationService da station.

2. No UserService, alterar o Authentication Scheme Name para ClientCertAuthScheme dentro do(s) usuário(s) que irão acessar a station via certificado e clicar em OK. Um popup irá aparecer, então clicar OK novamente.

3. Clicar novamente no usuário e selecionar o certificado previamente assinado na seção ASSINANDO CERTIFICADOS dentro de Authenticator (Arquivo .pem).

4. É necessário reiniciar o FoxService e WebService para surtir efeito. A maneira mais simples de fazer isso é reiniciando a station.

FAZENDO LOGIN NA STATION COM O CERTIFICADO

1. Ao digitar o IP da station no navegador, um popup aparecerá para selecionar o certificado de autenticação. Selecionar o certificado e clicar em OK. Caso não apareça, pode ser necessário limpar o cache do navegador ou então abrir um nova janela anônima.

2. Na janela seguinte, clicar em Log in with SSO e a station deve autorizar a entrada. OBS: O texto "Log in with SSO" pode ser alterado dentro do AuthenticationService.