search

Configurações do Runtime

Aqui você configura segurança, autenticação e acesso do app em execução.

Para identidade visual, deploy e GitHub, use Configurações do Projeto.

circle-exclamation

Os padrões abaixo são de maior rigor possível. Eles aumentam fricção e exigem processo de suporte bem definido.

hashtag
Visão geral (o que você controla aqui)

Você costuma configurar:

  • SSO (SAML/OIDC) + Entra ID

  • Perfis de acesso (RBAC) e permissões

  • Usuários

  • Políticas de segurança (senha, 2FA, sessão, lockout, IP allowlist)

  • Auditoria e trilhas

  • Servidor de e-mail (convites, reset, alertas)

  • Logs e criptografia

  • Governança (LGPD/GDPR)

hashtag
Autenticação (SSO: SAML/OIDC + Entra ID)

Recomendação de maior rigor:

  • SSO obrigatório para todos os usuários.

  • Desabilitar login local (senha) quando SSO estiver estável.

  • Enforced MFA no IdP (ex: Entra ID Conditional Access).

  • Restringir por domínio (somente e-mails corporativos aprovados).

Checklist de implantação:

  • Defina o provedor: SAML ou OIDC.

  • Configure URLs, issuer/client, certificados e claims.

  • Mapeie claim para e-mail (identidade) e grupos (autorização).

  • Valide cenário de logout e expiração de sessão.

triangle-exclamation

Ative SSO primeiro em um ambiente de teste. Uma configuração errada pode impedir login de todo mundo.

Se travar login ou callback: SSO e login.

hashtag
Usuários e perfis (RBAC)

hashtag
Perfis de acesso

Use perfis para agrupar permissões por função.

Campos mínimos:

  • Nome

  • Descrição

Boas práticas (alto rigor):

  • Crie perfis pequenos e explícitos (ex: Financeiro: Leitura, Financeiro: Operação).

  • Evite perfis “Administrador” para uso diário.

  • Use um perfil Break-glass admin (emergência) com governança.

hashtag
Usuários

Campos mínimos:

  • Nome

  • E-mail

  • Perfis de acesso

Boas práticas (alto rigor):

  • Bloqueie cadastro “self-service” se existir.

  • Use convite por e-mail com expiração curta.

  • Remova acesso por desligamento (offboarding) no mesmo dia.

hashtag
Permissões (alto rigor)

Padrão recomendado:

  • Deny-by-default (tudo negado, libera por necessidade).

  • Permissões por:

    • módulo

    • componente/entidade

    • ação (ver/criar/editar/excluir/exportar)

circle-info

Separe “ver dados” de “exportar dados”. Export é um dos maiores vetores de vazamento.

hashtag
Auditoria e trilhas

Ative auditoria para eventos de segurança e dados sensíveis.

Campos mínimos de trilha:

  • User

  • Action

  • Resource

  • Date/Time

  • IP

  • Status

Eventos mínimos (alto rigor):

  • login/logout

  • falhas de login e lockouts

  • reset/troca de senha

  • mudanças em SSO e políticas de segurança

  • mudanças de perfil/permissões

  • exportação de dados

Retenção recomendada:

  • 365 dias (mínimo)

  • 2–7 anos se houver requisito regulatório

hashtag
Servidor de e-mail

Use para:

  • convites

  • reset de senha (se login local estiver habilitado)

  • alertas de segurança (ex: lockout, novo dispositivo)

Recomendação (alto rigor):

  • Use domínio corporativo e SPF/DKIM/DMARC.

  • Evite provedores sem reputação e sem logs.

hashtag
Políticas de segurança (alto rigor)

hashtag
Password policy (quando login local existir)

Valores recomendados:

  • Minimum Length: 14 (preferível 16)

  • Require uppercase: on

  • Require lowercase: on

  • Require numbers: on

  • Require special characters: on

  • Prevent reuse: 24

  • Expiration: 90 dias (se sua política exigir)

circle-exclamation

Expiração de senha aumenta chamadas de suporte. Se você usa SSO + MFA forte, prefira expiração no IdP.

hashtag
Two-Factor Authentication (2FA)

Valores recomendados:

  • Enabled: on

  • Mandatory for all: on

  • Available methods:

    • TOTP/Authenticator (preferido)

    • E-mail apenas como fallback (se permitido)

hashtag
Session management

Valores recomendados:

  • Inactivity timeout: 15 minutos

  • Session timeout absoluto: 8 horas

  • Max concurrent sessions: 1

  • Allow "Remember Me": off

circle-info

Sessão única reduz risco de sequestro de sessão. Ela também reduz “compartilhamento de conta”.

hashtag
Login attempts (lockout)

Valores recomendados:

  • Max attempts: 5

  • Lockout duration: 30 minutos

Recomendação extra (se suportado):

  • Lockout progressivo (ex: 5 falhas = 30 min, 10 falhas = 24 h).

hashtag
IP allowlist (permitir só redes aprovadas)

Valores recomendados:

  • Enabled: on (em produção)

  • Cadastre redes e IPs corporativos.

Exemplos:

  • 192.168.1.0/24

  • 10.0.0.0/8

  • 203.0.113.10/32

triangle-exclamation

IP allowlist é fácil de errar. Mantenha um caminho de emergência (VPN + IP fixo + conta break-glass).

hashtag
Logs

Recomendação (alto rigor):

  • Logs de segurança separados de logs de aplicação.

  • Nunca logar: senhas, tokens, secrets, dados sensíveis.

  • Alerta para eventos críticos (ex: muitas falhas de login, mudança de permissão).

hashtag
Criptografia (em trânsito e em repouso)

Recomendação (alto rigor):

  • Em trânsito: TLS 1.2+ obrigatório.

  • Em repouso:

    • banco com encryption at rest

    • anexos/arquivos com encryption at rest

hashtag
LGPD/GDPR e governança de dados

Pontos mínimos para operar com rigor:

  • Controle de acesso por função (RBAC) e princípio do menor privilégio.

  • Trilhas para acesso e exportação de dados pessoais.

  • Política de retenção por tipo de dado.

  • Processo para:

    • atender solicitações do titular (quando aplicável)

    • remoção/anonimização (quando aplicável)

AnteriorConfigurações do ProjetoPróximoIntegrações e API

Atualizado

Isto foi útil?