> For the complete documentation index, see [llms.txt](https://wiki.datadike.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://wiki.datadike.com/product-guide/configuracoes/pam/system-settings/authentication/datadike-authenticator.md). # DataDike Authenticator (App Móvel e MFA Adaptativo) O **DataDike Authenticator** é o aplicativo móvel proprietário de autenticação do **DataDike PAM**, disponível para **iOS** e **Android**. Ele atua como segundo fator (e, em determinados fluxos, como fator primário) para o acesso ao console do PAM e às sessões privilegiadas, combinando **biometria**, **notificações push**, **tokens OATH OTP (TOTP)** e **login por QR Code**. Em conjunto com o motor de **MFA adaptativo (autenticação contextual)** do PAM, o Authenticator permite ajustar dinamicamente a exigência de fatores de acordo com o risco de cada solicitação, sem prejudicar a experiência do usuário em cenários de baixo risco. {% hint style="info" %} O DataDike Authenticator **complementa** os métodos de autenticação já suportados pelo PAM. A base de autenticação inclui **SSO via SAML2, OIDC, OAuth2 e CAS**, integração com diretórios **LDAP** e **RADIUS**, além de **Passkey/FIDO2**. O Authenticator e o MFA adaptativo se somam a esses métodos para reforçar o controle de acesso privilegiado. {% endhint %} As configurações descritas nesta página ficam disponíveis em **System Settings > Authentication** (administração global) e em **Security > Authentication** (políticas de segurança), enquanto o registro de fatores pelo próprio usuário é feito em **Personal Settings**. ## Visão geral dos fatores O DataDike PAM organiza a autenticação em três camadas complementares: * **Fator de conhecimento** — usuário e senha, ou credencial federada via SSO. * **Fator de posse** — o dispositivo móvel pareado executando o DataDike Authenticator, chaves **Passkey/FIDO2** ou tokens **TOTP**. * **Fator de inerência** — **biometria** do dispositivo (**FaceID** ou **leitor de digital**) validada localmente no aparelho. O motor de **MFA adaptativo** decide, a cada solicitação, qual combinação de fatores é exigida com base no contexto e no histórico do usuário. ## DataDike Authenticator (aplicativo móvel) ### Plataformas e instalação O aplicativo é distribuído pelas lojas oficiais: * **iOS** — disponível na **App Store**, com suporte a **FaceID** e **Touch ID**. * **Android** — disponível na **Google Play Store**, com suporte a **leitor de digital** e desbloqueio facial do aparelho. Para instalar: 1. Acesse a **App Store** (iOS) ou a **Play Store** (Android) e procure por **DataDike Authenticator**. 2. Instale o aplicativo e conceda as permissões solicitadas (câmera, para leitura de QR Code, e notificações, para receber solicitações push). 3. Conclua o pareamento com a conta do PAM conforme a seção a seguir. {% hint style="warning" %} Recomenda-se instalar o aplicativo apenas a partir das lojas oficiais. O PAM valida a integridade do aplicativo durante o pareamento e bloqueia dispositivos com indícios de adulteração (root/jailbreak), conforme a política definida em **System Settings > Authentication**. {% endhint %} ### Pareamento com a conta O pareamento associa de forma criptográfica o dispositivo móvel à identidade do usuário no PAM: 1. No console do PAM, acesse **Personal Settings > Authentication Methods** e selecione **Adicionar dispositivo — DataDike Authenticator**. 2. O PAM exibe um **QR Code de pareamento** de uso único, com validade limitada. 3. No aplicativo, toque em **Parear conta** e leia o QR Code apresentado na tela. 4. O usuário confirma a vinculação validando a **biometria** do aparelho. 5. O dispositivo passa a constar na lista de **dispositivos confiáveis** do usuário, com nome, modelo, data de registro e último uso. Cada chave de pareamento é exclusiva do par usuário-dispositivo e nunca é reutilizada. O administrador pode revogar dispositivos a qualquer momento em **System Settings > Authentication > Registered Devices**. ### Biometria A **biometria** é validada **localmente** no dispositivo móvel, sem que dados biométricos trafeguem para o PAM: * No **iOS**, o aplicativo utiliza **FaceID** ou **Touch ID** para liberar a aprovação de solicitações. * No **Android**, o aplicativo utiliza o **leitor de digital** ou o reconhecimento facial do aparelho. A exigência de biometria a cada aprovação é configurável por política. Em contextos de maior risco, o MFA adaptativo pode **forçar a confirmação biométrica**, mesmo que o usuário tenha optado por um nível de proteção menor. ### Notificações push (aprovar/recusar) O método **push** permite aprovar ou recusar tentativas de autenticação diretamente do dispositivo: 1. Ao autenticar no PAM, o usuário recebe uma **notificação push** no DataDike Authenticator. 2. A notificação apresenta os detalhes da solicitação: **usuário**, **horário**, **rede de origem (IP/localização aproximada)** e **recurso/console** acessado. 3. O usuário escolhe **Aprovar** ou **Recusar**. 4. Quando exigido pela política, a aprovação requer confirmação por **biometria**. {% hint style="danger" %} Se o usuário receber uma solicitação push que **não reconhece**, deve selecionar **Recusar** e, se disponível, **Recusar e reportar**. A recusa reportada gera um **alerta de segurança** para a equipe de administração e pode acionar o bloqueio automático configurado no MFA adaptativo. {% endhint %} ### Tokens OATH OTP (TOTP) O aplicativo suporta **tokens OATH OTP no padrão TOTP** (senhas de uso único baseadas em tempo): * Geração de códigos numéricos rotativos com janela de validade curta. * Uso como segundo fator quando o dispositivo está **offline** ou sem conectividade para receber push. * Compatível com o registro de tokens TOTP no portal self-service. O TOTP funciona como mecanismo de contingência ao push, garantindo a autenticação em redes restritas ou sem dados móveis. ### Login na tela do PAM via QR Code O fluxo de **QR Code** permite acessar a tela de login do PAM **sem digitar usuário e senha**: 1. Na tela de login do console web do PAM, o usuário seleciona **Entrar com DataDike Authenticator**. 2. O PAM exibe um **QR Code de sessão**, dinâmico e de uso único. 3. O usuário abre o DataDike Authenticator no celular já pareado e escolhe **Ler QR Code**. 4. O aplicativo valida a leitura com **biometria** e envia a confirmação ao PAM. 5. A sessão no navegador é autenticada automaticamente, sem digitação de credenciais. Esse fluxo reduz a exposição de senhas em terminais compartilhados e elimina a digitação manual de credenciais privilegiadas. O QR Code de sessão expira após poucos instantes e é invalidado assim que utilizado. ## MFA adaptativo (autenticação contextual) O **MFA adaptativo** aplica **políticas configuráveis** que avaliam o contexto de cada solicitação de autenticação e determinam o nível de fatores exigido. As políticas são definidas em **Security > Authentication > Adaptive MFA Policies**. ### Atributos de contexto avaliados Cada solicitação é avaliada considerando atributos do **usuário** e do **dispositivo**, entre eles: * **Tipo de dispositivo** — dispositivo corporativo gerenciado, dispositivo pessoal, navegador desconhecido, sistema operacional e indícios de root/jailbreak. * **Rede de origem** — faixa de IP, sub-rede corporativa, VPN, país/geolocalização e reputação da origem. * **Horário de acesso** — janela de horário comercial, fins de semana, feriados e acessos fora do expediente habitual do usuário. ### Perfis de acesso diferenciados Com base nos atributos, o PAM cria **perfis de acesso diferenciados** que definem a resposta da política: * **Permitir** — contexto confiável (ex.: dispositivo corporativo, rede interna, horário comercial); pode dispensar o segundo fator ou aceitar apenas push. * **Exigir fator adicional** — contexto de risco médio (ex.: rede externa ou horário atípico); o PAM **exige um fator adicional**, como confirmação biométrica obrigatória ou TOTP. * **Restringir** — contexto de risco elevado (ex.: país não usual combinado com dispositivo desconhecido); o acesso pode ser limitado a recursos específicos ou colocado em revisão. * **Bloquear** — contexto de alto risco ou violação de política; o acesso é negado e um alerta é gerado. Cada política é composta por condições (atributos), um resultado (perfil de acesso) e uma prioridade de avaliação. Políticas podem ser aplicadas por usuário, grupo, função ou recurso privilegiado. {% hint style="info" %} As políticas são avaliadas em ordem de prioridade; a primeira política cuja condição corresponde ao contexto define o resultado. Recomenda-se manter uma política padrão de fallback que exija MFA completo quando nenhuma regra mais específica for satisfeita. {% endhint %} ## Análise comportamental e bloqueio O PAM **analisa as solicitações de autenticação contra padrões históricos** de cada usuário para detectar comportamento divergente. ### Análise contra padrões históricos A análise considera, entre outros sinais: * Horários e dias habituais de acesso do usuário. * Redes e localizações normalmente utilizadas. * Dispositivos costumeiramente empregados. * Velocidade e frequência das tentativas de autenticação (deslocamentos geograficamente improváveis). Quando uma solicitação diverge significativamente do padrão histórico, o PAM atribui um **escore de risco** mais alto, que alimenta as decisões do MFA adaptativo. ### Políticas de bloqueio configuráveis As **políticas de bloqueio** são definidas em **Security > Authentication > Risk & Lockout** e podem incluir: * Exigência de fator adicional ao detectar divergência moderada. * **Bloqueio automático** da tentativa diante de comportamento de alto risco. * Suspensão temporária da conta após sucessivas recusas push ou falhas de fator. * Encaminhamento da sessão para aprovação manual por um administrador. ### Alertas de segurança Eventos divergentes e bloqueios geram **alertas de segurança** que são: * Exibidos no painel de segurança do console do PAM. * Registrados em trilha de auditoria imutável. * Encaminhados aos canais de notificação configurados (e-mail, SIEM e integrações de eventos). {% hint style="warning" %} Os parâmetros de sensibilidade da análise comportamental devem ser calibrados gradualmente. Limiares muito agressivos podem gerar bloqueios indevidos; limiares muito permissivos reduzem a eficácia da detecção. Acompanhe os alertas durante o período inicial de adoção. {% endhint %} ## Portal self-service O PAM oferece um **portal self-service** dedicado para que o próprio usuário gerencie seus fatores de autenticação, disponível em **Personal Settings > Authentication Methods**. No portal, o usuário pode: * **Registrar** o DataDike Authenticator e parear novos dispositivos móveis. * **Cadastrar tokens TOTP** e chaves **Passkey/FIDO2**. * **Listar, renomear e remover** seus dispositivos e fatores registrados. * Definir o fator preferencial e visualizar o histórico de último uso. ### Exceções e ajustes centralizados Embora o registro dos fatores seja autônomo, o **controle das políticas de MFA permanece centralizado na administração**. Em **System Settings > Authentication > MFA Exceptions**, o administrador pode: * Conceder **exceções temporárias** de política (ex.: dispensa de fator em manutenção emergencial). * Ajustar perfis de acesso e limiares de risco aplicados a usuários ou grupos. * Revogar fatores e dispositivos registrados por usuários. * Forçar o re-registro de fatores após incidentes de segurança. {% hint style="info" %} A separação entre **autonomia do usuário** (registro de fatores) e **governança da administração** (políticas e exceções) garante agilidade no onboarding sem abrir mão do controle corporativo sobre o acesso privilegiado. {% endhint %} ## Integração com a base de autenticação do PAM O DataDike Authenticator e o MFA adaptativo operam sobre a camada de autenticação do PAM, que oferece: * **SSO** via **SAML2**, **OIDC**, **OAuth2** e **CAS**. * Integração com diretórios corporativos via **LDAP** e autenticação via **RADIUS**. * Suporte nativo a **Passkey/FIDO2** como fator forte resistente a phishing. Nesses cenários, o Authenticator complementa a autenticação federada como **segundo fator** ou como **mecanismo de aprovação contextual**, mantendo a experiência de SSO e adicionando o controle de risco do MFA adaptativo. --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter: ``` GET https://wiki.datadike.com/product-guide/configuracoes/pam/system-settings/authentication/datadike-authenticator.md?ask=&goal= ``` `ask` is the immediate question: it should be specific, self-contained, and written in natural language. `goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.