Ir para o conteúdo

Introdução

O controle de acesso, que rege "quem pode fazer o quê" em uma aplicação, é dividido em dois grandes assuntos: autenticação e autorização.

A autenticação identifica o usuário, solicitando suas credenciais, e garantindo que ele é realmente quem ele está dizendo ser. Quando falarmos em autenticação, é natural que tratemos de termos como login, logout, sessão, tokens de acesso, etc. A autenticação responde à pergunta "quem?" no controle de acesso.

Já a autorização estabelece que privilégios o usuário possui, uma vez que ele foi autenticado. Ela garante que o usuário só consegue realizar as operações para as quais ele possui privilégios, nos recursos da aplicação que são acessíveis para ele. Quando falarmos em autorização, é natural que tratemos de termos como perfil, transação, permissão, acesso negado, etc. A autorização responde à pergunta "o quê?" no controle de acesso.

O que é o Autoriza?

O produto Autoriza visa prover aos sistemas do Governo Federal uma plataforma única para realização da autorização de acesso em diferentes aplicações de forma centralizada, bem como fornecer aos gestores das aplicações um ponto único para a administração e o controle das regras de acesso aos recursos disponíveis.

O Autoriza está integrado ao Acesso gov.br para ser utilizado como sistema de autorização das aplicações que realizam a autenticação pelo Acesso gov.br.

Durante a autorização de acesso do usuário, o Autoriza coleta e manipula as informações necessárias para liberar:

Autoriza liberando o acesso a um recurso da aplicação

ou negar o acesso a um recurso da aplicação:

Autoriza negando o acesso a um recurso da aplicação

Serviços oferecidos

API para um sistema recuperar os perfis e transações do usuário logado no Acesso gov.br
Aplicação das políticas de acesso a um sistema através do consumo de serviços
Biblioteca java para consumo, resolução e aplicação das políticas de acesso
Transformação de características do usuário, definidas através do consumo de serviços de terceiros, em perfis e transações
Interface visual para cadastro de perfis, transações e atribuição delas ao usuário, em um cenário multisistema e multicliente
Auditoria das manutenções nos dados relacionados ao controle de acesso
API para um sistema manter os dados relacionados ao controle de acesso, ou incluir mudanças relacionadas ao controle de acesso em algum dos seus fluxos de negócio

Quem usa?

Sistemas de Governo que realizam a autenticação pelo Acesso gov.br.

Como funciona?

Formato da comunicação

Todas as requisições para as APIs do Autoriza são HTTPS, através de chamadas a web services REST, que consomem e produzem dados JSON.

  1. O sistema integrado ao Autoriza realiza a autenticação utilizando o Acesso gov.br. Da autenticação, duas informações são guardadas pelo sistema: o CPF e o token de acesso do usuário
  2. Utilizando o CPF e o token de acesso, o sistema aciona o Autoriza para validar o acesso do usuário

Esse roteiro de funcionamento pode variar dependendo do modelo de integração com o Autoriza adotado pelo sistema, conforme será visto na seção específica.

Como está dividido o guia?

  1. Conceitos
  2. Modelos de integração
  3. Como aderir ao uso do Autoriza
  4. Boas práticas de uso do Autoriza
  5. Documentação OpenAPI dos serviços de autorização e validação
  6. Release Notes