Authentication

Visão Geral

A seção Authentication define como os usuários serão autenticados no PAM FSafer. O sistema suporta múltiplos protocolos e provedores de identidade, permitindo integração com a infraestrutura de identidade existente da organização. Os métodos podem ser habilitados individualmente e coexistir simultaneamente.

Métodos de autenticação disponíveis

Local: Autenticação nativa do PAM FSafer usando banco de dados interno. Usuários e senhas são gerenciados diretamente na plataforma. Recomendado para contas de emergência e administração local.

LDAP / LDAP HA: Integração com servidores de diretório LDAP (Lightweight Directory Access Protocol), como Microsoft Active Directory, OpenLDAP ou FreeIPA. O LDAP HA permite configurar um servidor de alta disponibilidade como fallback.

CAS (Central Authentication Service): Protocolo de SSO amplamente utilizado em ambientes universitários e corporativos. Permite autenticação centralizada com suporte a versão 3.

Passkey (FIDO2/WebAuthn): Autenticação passwordless baseada no padrão FIDO2/WebAuthn. Utiliza chaves criptográficas armazenadas em dispositivos do usuário (biometria, chaves de segurança USB). Proporciona autenticação forte sem senhas tradicionais.

OIDC (OpenID Connect): Protocolo moderno de SSO baseado em OAuth 2.0. Permite integração com provedores como Keycloak, Azure AD, Google Workspace, Okta e outros. Suporta configuração de Realm (para Keycloak) e controle de sessão compartilhada.

SAML2 (Security Assertion Markup Language 2.0): Padrão enterprise para SSO federado. Amplamente utilizado em ambientes corporativos com provedores como Azure AD (ADFS), Okta, PingFederate, OneLogin. Requer upload do certificado SP (Service Provider) e configuração do IdP (Identity Provider).

OAuth2: Protocolo de autorização genérico. Permite integração com qualquer provedor OAuth2 customizado, configurando manualmente os endpoints de autorização, token e userinfo.

Slack: Autenticação via conta Slack, ideal para equipes que utilizam o Slack como plataforma de colaboração. Requer um Slack App com Client ID e Client Secret.

Radius: Integração com servidores RADIUS (Remote Authentication Dial-In User Service), comumente utilizados com soluções de MFA como RSA SecurID, Duo Security ou Microsoft NPS. Suporta uso de OTP via RADIUS como fator adicional de autenticação.

Campos comuns entre provedores

• Enable/Disable (checkbox): Cada provedor possui um checkbox de ativação. Apenas provedores habilitados estarão disponíveis na tela de login.

• User attribute (JSON): Mapeamento dos atributos do provedor de identidade para os campos do usuário no PAM. Define quais atributos correspondem a username, name e email.

• Organization: Define em qual tenant os usuários autenticados por este provedor serão criados automaticamente (quando a opção "Create user" estiver habilitada).