InícioPythonAvançado

Autenticação, Autorização, e lógicas de Permissionamento

Autenticação

Autenticação refere-se ao processo de verificar a identidade de um usuário, sistema ou aplicação. É o método pelo qual um sistema valida se um usuário é quem ele afirma ser, geralmente por meio de credenciais, como nome de usuário e senha.

O Looqbox oferece seu próprio sistema de login, mas é flexível para integrar com sistemas de autenticação externos do cliente. Para mais informações sobre integrações avançadas, consulte Métodos de Autenticação e Autorização Avançada.

Autorização

Após a autenticação, a autorização determina quais recursos um usuário autenticado pode acessar e quais operações ele pode realizar. No contexto do Looqbox, isso se traduz em definir quais usuários ou grupos de usuários podem visualizar ou interagir com determinadas respostas ou grupos de respostas.

O Looqbox tem seu próprio sistema de grupos de usuários, que podem ser configurados para diferentes níveis de acesso. Além disso, há possibilidade de integração com provedores de identidade externos (IdP) para uma gestão mais integrada.

Também é relevante mencionar que o Looqbox oferece a funcionalidade de Row Level Security (RLS), que proporciona um controle refinado sobre o acesso a dados específicos. Mais detalhes podem ser encontrados na seção Permissionamento com Row Level Security (RLS).

Métodos de Autenticação e Autorização Avançada

Existem diversos métodos para integrar a autenticação e autorização do Looqbox com infraestruturas já existentes no cliente:

  • SAML: Padrão de autenticação baseado em declarações para aplicações web que permite que você use o mesmo nome de usuário e senha para acessar vários sites diferentes.

  • LDAP: Ferramenta que ajuda a gerenciar e organizar quem tem acesso a quais recursos em um sistema, tornando mais fácil para as empresas gerenciarem suas permissões de usuários.

  • Oauth2.0/OIDC (OpenID Connect): Permite que você se autentique uma vez e use essa autenticação para acessar várias áreas ou serviços diferentes, sem ter que provar quem o usuário é todas as vezes.

  • Trusted Token: Permite que você acesse diferentes áreas de um sistema ou aplicativo sem ter que fazer login todas as vezes.

Para entender mais sobre essas integrações, consulte Integração com Provedores de Identidade (IdP), na Documentação Avançada.

Permissionamento

O permissionamento refere-se à prática de definir e administrar acessos e permissões dentro de um sistema, garantindo que cada usuário possa acessar apenas os recursos e dados adequados ao seu perfil ou função.

Permissionamento com Grupo de Usuários e Grupo de Respostas

Dentro do Looqbox, o permissionamento orienta como usuários e grupos de usuários interagem com respostas e grupos de respostas, assegurando que cada indivíduo ou grupo acesse apenas as informações permitidas.

Aqui, discutiremos a dinâmica entre usuários, grupos de usuários, grupos de respostas e respostas.

Usuário e Grupo de Usuários

Cada Usuário é associado a um único Grupo de Usuários. Esse grupo determina as permissões e acessos que seus usuários tem no sistema.

Respostas e Grupos de Respostas

Toda Resposta está vinculado a um único Grupo de Respostas.

Relação entre Grupos de Usuários e Grupos de Respostas

Um Grupo de Usuários pode ter permissão para acessar múltiplos Grupos de Respostas. Isso permite que os membros desse grupo de usuários visualizem diferentes conjuntos de dados através de várias respostas associados a esses grupos de respostas.

Imagem 1 - Ilustração da relação entre usuários, grupos de usuários, grupos de respostas e respostas.

Permissionamento com Row Level Security (RLS)

O Row Level Security (RLS) é uma técnica avançada de permissionamento. A principal vantagem do RLS é que ele permite que diferentes usuários visualizem diferentes conjuntos de registros com a mesma estrutura de resposta, dependendo de suas permissões.

Benefícios do RLS:

  1. Segurança Reforçada: Ao limitar o acesso aos registros relevantes, a exposição de dados sensíveis é minimizada, aumentando a segurança dos dados.

  2. Personalização: Cada usuário recebe informações relevantes e personalizadas para seu papel ou departamento, melhorando a eficiência e a tomada de decisões.

  3. Simplificação de Respostas: Em vez de criar respostas separados para cada unidade ou departamento, é possível ter uma única resposta com visões variadas de acordo com o perfil do usuário.

  4. Manutenção Reduzida: Como os filtros são aplicados automaticamente, reduz-se a necessidade de gerenciamento manual de permissões ou de criação de múltiplas versões de respostas.

Como funciona o RLS?

Ao contrário do permissionamento tradicional, que controla o acesso a níveis mais altos (ter ou não acesso a um relatório inteiro), o RLS opera no nível da linha. Isso significa que, quando um usuário consulta uma resposta, o sistema automaticamente aplica filtros predefinidos para mostrar apenas os registros que o usuário tem permissão para ver.

Exemplo Prático:

Imagine uma organização com várias unidades e uma Resposta de desempenho de vendas que mostra os KPIs para todas as unidades.

  • Se um gerente da Unidade A acessa a Resposta, o RLS pode ser configurado para mostrar apenas os KPIs da Unidade A.

  • Da mesma forma, um gerente da Unidade B verá apenas os KPIs da Unidade B, mesmo que ambos estejam acessando a mesma Resposta.

Imagem 2 - Exemplo de hierarquia, e aplicação do RLS.

Modelo Padrão de RLS - Baseado em Tabela

No modelo padrão de RLS, a lógica de controle de acesso é implementada através de uma tabela específica, frequentemente referida como a "tabela de permissões". Essa tabela geralmente contém o login do usuário e os respectivos atributos aos quais esse usuário tem acesso.

Por exemplo, para um sistema de vendas, essa tabela pode incluir:

  • O login do usuário.

  • O id da loja para usuários operacionais.

  • O id do estado para usuários que atuam em nível regional.

Login
ID_Loja
ID_Estado

userA

101

NULL

userB

102

NULL

userReg

NULL

SP

Neste exemplo, userA tem acesso à loja com ID 101, userB à loja com ID 102, e userReg tem acesso a todas as lojas no estado de SP. Durante a consulta, essa tabela é consultada e o filtro correspondente é automaticamente aplicado na consulta ao banco de dados, garantindo que o usuário só tenha acesso aos dados permitidos.

RLS com Informações do Provedor de Identidade (IdP)

Quando um Provedor de Identidade (IdP) está configurado, a RLS pode ser estendida para considerar informações fornecidas pelo IdP. Isso é possível através de "claims" repassados, que são informações sobre o usuário autenticado.

O Looqbox permite que os administradores usem o "forwardedClaims" para acessar essas informações e utilizá-las na lógica de permissões. Assim, em vez de (ou juntamente com) consultar a tabela de permissões, o sistema pode consultar esses claims para decidir quais registros um usuário pode ver.

Para mais informações de como configurar forwardedClaims, consulte Integração com Provedores de Identidade (IdP), na Documentação Avançada.

Por exemplo, se o IdP transmite um claim que especifica a loja à qual um usuário tem acesso, essa informação pode ser usada diretamente para filtrar as consultas, sem a necessidade de consultar uma tabela de permissões separada.

Dessa forma, a integração do RLS com o IdP permite uma abordagem mais dinâmica e integrada ao controle de acesso, aproveitando as informações já disponíveis no processo de autenticação.

Cadastro

Para cadastrar uma regra de Row Level Security, clique aqui.

Previous"O que perguntar?" (OQP)NextInício

Last updated

Was this helpful?