Escolar Documentos
Profissional Documentos
Cultura Documentos
Outubro de 2021
Quadro de Revisão
Preparado por:
A informação contida neste documento é de propriedade do CEPEL, tendo se originado de trabalho desenvolvido nesta empresa para consulta e
referência dos usuários do sistema SAGE, e não poderá ser reproduzida ou utilizada para quaisquer outros fins sem autorização prévia e
expressa do CEPEL. Este documento baseia-se em informação disponível na data de sua publicação. Embora sejam feitos esforços para
torná-lo preciso, este não se propõe a cobrir todos os detalhes ou particularidades apresentadas pelo sistema. O CEPEL não se responsabiliza
por notificar os usuários deste documento de possíveis alterações feitas posteriormente.
ii
Conteúdo
21 - 1 SERVIDOR DE AUTENTICAÇÃO WEB SERVCGI_OPCUA ............................. 1
21.1 AUTENTICAÇÃO DE APLICAÇÕES WEB INTEGRADAS AO SAGE ................................................... 1
21.2 INSTALAÇÃO DO SERVIDOR DE AUTENTICAÇÃO WEB/OPCUA ................................................... 5
21.3 INSTALAÇÃO DO CERTIFICADO PESSOAL NO BROWSER .............................................................. 7
21.3.1 Browser Firefox ............................................................................................................. 7
21.3.2 Browser Chrome ......................................................................................................... 13
21.3.3 Browser Edge .............................................................................................................. 18
21.4 PÁGINAS WEB DE SERVIÇOS, CONFIGURAÇÕES E TESTES....................................................... 20
21.5 INSTALAÇÃO DO GRAFANA E SINGLE-SIGN-ON COM O SAGE ................................................... 22
21.6 ADICIONANDO AO SISTEMA UMA NOVA APLICAÇÃO WEB .......................................................... 24
21.7 CONFIGURANDO A EXECUÇÃO DE POSTS E RESTS AUTORIZADOS .......................................... 25
i
CONTEÚDO
ii
Capítulo
21
21 - 1 Servidor de Autenticação WEB
ServCGI_OpcUA
21.1 Autenticação de Aplicações WEB Integradas ao
SAGE
A Figura 21- 1 mostra o Servidor FastCGI_OpcUA, integrado aos outros elementos componentes
do SAGE OPCUA (em vermelho), exercendo a sua função básica de autenticar o acesso de
aplicações WEB executadas a partir de Browsers, tais como Chrome, Firefox ou Edge (em verde),
que estarão sendo servidas por Aplicações Externas ou Internas ao SAGE (em cinza), através de um
Servidor WEB Nginx (em laranja).
1
21 - - 1 SERVIDOR DE AUTENTICAÇÃO WEB SERVCGI_OPCUA
■ o Servidor WEB Nginx e o Servidor FastCGI OpcUA do SAGE autenticam o usuário no acesso Legado
do SAGE ou junto ao Servidor PAM/AD corporativo da empresa, fornecendo ao Browser um token
JWT com a identificação do usuáriom o tipo de acesso feito (Legado ou PAM/AD), que é gravado
como Cookie no Browser e associado ao site do SAGE
■ a partir daí, todos os acessos feitos por páginas do Browser endereçadas a https://endereço-IP-
portal-sage/aplicação-sage serão tratados pelo servidor da Aplicação SAGE, ativo em qualquer
máquina do SAGE ou qualquer máquina externa ao SAGE que possua acesso OPCUA ao SAGE
■ no primeiro acesso, o servidor da Aplicação SAGE deverá estabelecer uma sessão OPCUA com o
servidor SageOpcUA, sessão esta associada ao usuário registrado no token JWT, usando o token
na modalidade IssuedWS-Security Token, ou como password na modalidade UserNameIdentity
Token
■ nos acessos subsequentes, o servidor da Aplicação SAGE deverá verificar em cada acesso do
Browser a autenticidade e prazo de validade do token, usando o Método OPCUA “Valida WEB
Token de Autenticação”.
■ Caso o usuário em um período de 1 minuto faça nenhum acesso com o Browser, o servidor da
Aplicação SAGE deverá fechar a sessão OPCUA porque, como o Portal SAGE mantém sempre
válido o Token, a falta de atualização dele justifica o encerramento da sessão OPCUA.
Todos os recursos de segurança para fornecimento dos JWT e acesso WEB dos Browsers são
baseados em chaves privadas e certificados digitias pessoais, comuns aos 3 servidores do SAGE
identificados na figura (Nginx, SageOpcUA e FastCGI_OpcUA), e que são gerenciados pelo
Adm_Certificados - Administrador de Usuários e Certificados do SAGE.O formato do JWT já
descriptografado e decodificado é mostrado na Figura 21-2 a seguir com os seguintes significados
para os campos do “Payload”.
2
21 - - 1 SERVIDOR DE AUTENTICAÇÃO WEB SERVCGI_OPCUA
E na Figura 21-5, é mostrada a obtenção de um novo JWT válido por mais 10 minutos (600
segundos) para uma eventual necessidade do Servidor de Aplicação WEB ter que se reconectar ao
servidor SageOpcUA.
3
21 - - 1 SERVIDOR DE AUTENTICAÇÃO WEB SERVCGI_OPCUA
4
21 - - 1 SERVIDOR DE AUTENTICAÇÃO WEB SERVCGI_OPCUA
■ Definição de servidor e conta de e-mail (Relay) a ser usado para envio aos usuários dos e-
mails de recuperação de senha;
Após a instalação e ativação do servidor, o usuário poderá customizar algumas das páginas HTLM
deste serviço de autenticação residentes no diretório /var/sage/serv_cgi, que possuem uma cópia
original com a extensão “.original”. São elas:
■ indice_geral.html, onde o usuário pode incluir e retirar chamadas para as aplicações WEB que o portal
disponibilizará;
■ sage_index.png, contendo a foto de abertura do portal, que pode ser customizada com o programa
Power-Point da Micrsoft editando o arquivo sage_index.pptx;
6
21 - - 1 SERVIDOR DE AUTENTICAÇÃO WEB SERVCGI_OPCUA
O usuário deverá importar o certificado pessoal no(s) seu(s) Browser(s) conforme descrito a seguir
nos itens 21.3.1 a 21.3.3 para os Browsers Firefox, Chrome e Edge, respectivamente.
Para instalar o certificado de usuário no Firefox, deve-se clicar no botão do topo direito deste
Browser e escolher a alternativa “Opções” conforme as setas em vermelho da Figura 21- 9.
7
21 - - 1 SERVIDOR DE AUTENTICAÇÃO WEB SERVCGI_OPCUA
Será apresentada a página de “Opções”, onde deverá ser escolhida a opção “Privacidade e
Segurança” conforme mostra a Figura 21- 10.
Usando a barra de rolagem para ir até o final da lista, deve-se escolher a opção "Ver certificados"
conforme mostra a Figura 21- 11.
Como mostra a Figura 21- 12, será apresentada uma a página com várias abas, onde a aba “Seus
certificados” deve ser selecionada seguindo-se do click no botão “Importar”.
Após o click será exibido o pop-up “Importar Arquivo de Certificado”, onde o usuário deverá
navegar até o diretório onde reside o arquivo certificado de extensão PFX recebido do administrador.
8
21 - - 1 SERVIDOR DE AUTENTICAÇÃO WEB SERVCGI_OPCUA
Nesse passo é preciso ter atenção com a seleção mostrada no canto inferior direito deste pop-up,
para que esteja habilitada a exibição de arquivos com a extensão *.pfx, o que possibilitará a
localização do arquivo com o certificado para a escolha através de uma das duas setas roxas, “Abrir”
(click) ou a que aponta para o arquivo do certificado (duplo-click).
Quando o certificado for selecionado será exibido um segundo pop-up “Requer senha”, cujo
campo de texto deverá ser ignorado, sem a digitação de texto no mesmo, e fazendo apenas a
confirmação final no botão “OK”.
O Firefox confirmará a importação com sucesso do certificado conforme mostrado na Figura 21-
13.
9
21 - - 1 SERVIDOR DE AUTENTICAÇÃO WEB SERVCGI_OPCUA
Após a importação do certificado do usuário, o acesso ao site poderá ser feito e, unicamente no
primeiro acesso, poderá ser exibida a página apresentada na Figura 21- 14 sinalizando que o acesso
é considerado inseguro, caso o certificado utilizado pelos módulos servidores do site do SAGE,
servidor da comunicação com o Browser cliente, seja o certificado “auto assinado” gerado pelo
próprio SAGE, ou seja, não tenha sido emitido por uma entidade certificadora oficial.
Se o certificado utilizado pelos servidores do SAGE foi obtido de uma entidade certificadora
pública oficial (por exemplo CertSign, GoDaddy, etc..) esta página não será exibida. Portanto, o
administrador do site deverá decidir se usará o certificado auto-assinado gerado pelo SAGE, ou
contratará uma entidade certificadora oficial para fornecer esse certificado.
Caso esta página da Figura 21- 14 seja exibida, ignorar o aviso e prosseguir com o acesso, o que
implicará no auto cadastramento do site no Browser como "exceção de segurança", fazendo com que
a página não seja mais exibida ao acessar o site. Para isso, deve-se clicar nos botões “Avançado” e
“Aceitar o Risco e Continuar”.
A partir desse ponto, sempre que o Browser for iniciado e for feito o primeiro acesso ao site, será
apresentada a página de Login do site mostrada na Figura 21- 15, com um pop-up exibindo as
informações de certificado do usuário. Nessa página de Login o usuário informará a sua identificação
e a sua senha no Acesso Legado do SAGE ou no Servidor AD Corporativo da empresa, de acordo
com a classificação do usuário que está acessando o site.
Tendo sido autenticado no sistema, o usuário é informado do tipo de autenticação que foi
completada (acesso Legado ou acesso PAM/AD) e poderá clicar no botão “Menu Inicial” mostrado na
Figura 21- 16, que listará então as aplicações WEB disponíveis para serem acessadas no sistema,
como por exemplo as aplicações da lista que é mostrada na Figura 21- 17.
10
21 - - 1 SERVIDOR DE AUTENTICAÇÃO WEB SERVCGI_OPCUA
11
21 - - 1 SERVIDOR DE AUTENTICAÇÃO WEB SERVCGI_OPCUA
Para exploração da Base de Dados Histórica do SAGE, o usuário poderá utilizar os Dashboards
do Grafana de acordo com as suas autorizações associadas pelo Single-Sign-On do Portal do SAGE,
conforme assinalado na Figura 21- 18 , e descrito no item 21.4.
Para instalar o certificado de usuário no Chrome, deve-se clicar no botão do topo direito deste
Browser e escolher a alternativa “Configurações” conforme as setas em vermelho da Figura 21-
19.
Será apresentada a página de “Configurações”, onde deverá ser escolhida a opção “Privacidade e
Segurança” conforme mostra a Figura 21- 20.
13
21 - - 1 SERVIDOR DE AUTENTICAÇÃO WEB SERVCGI_OPCUA
Será apresentada a página de “Privacidade e Segurança”, onde deverá ser escolhida a opção
“Segurança” conforme mostra a Figura 21- 21.
Será então apresentada a página de “Segurança”, onde deverá ser usada a barra de rolagem
deslocando-se até o final da página onde deverá ser selecionada a opção “Gerenciar Certificados”,
conforme mostra a Figura 21- 22.
14
21 - - 1 SERVIDOR DE AUTENTICAÇÃO WEB SERVCGI_OPCUA
Será apresentada uma janela pop-up onde deve ser feito um click no botão “Importar” que exibirá
uma segunda janela pop-up para o “Assistente para Importação de Certificados”. Iniciar esse
assistente clicando-se em “Avançar”, conforme mostra a Figura 21- 23.
No pop-up do assistente será exibida a janela onde o usuário deverá clicar no botão “Procurar”
para localizar e selecionar o arquivo do seu certificado, conforme mostrado na Figura 21- 24. Nesse
passo é preciso ter atenção com a seleção mostrada no canto inferior direito do pop-up, para que
esteja habilitada a exibição de arquivos de “Troca de Informações Pessoais” com a extensão *.pfx, o
que possibilitará a localização do arquivo com o certificado para a escolha através de uma das duas
setas roxas, “Abrir” (click) ou a que aponta para o arquivo do certificado (duplo-click).
Com o arquivo escolhido exibido na caixa de texto do pop-up desse assistente, clicar no botão
“Avançar” conforme mostrado na Figura 21- 25.
Será apresentada no pop-up uma opção para “Proteção de Chave Privada”, cujo campo de texto
deverá ser ignorado, sem a digitação de texto no mesmo, clicando novamente em “Avançar”,
conforme mostrado na Figura 21- 26.
Figura 21- 26 - Instalar certificado – Assistente para Importação de Certificados – Senha em branco
16
21 - - 1 SERVIDOR DE AUTENTICAÇÃO WEB SERVCGI_OPCUA
Confirmar que o certificado fará parte da aba “Pessoal” e clicar em “Avançar”, conforme mostrado
na Figura 21- 27.
Concluir a importação clicando no botão “Concluir” e verificando que a importação foi concluída
com êxito, conforme mostrado na Figura 21- 28.
17
21 - - 1 SERVIDOR DE AUTENTICAÇÃO WEB SERVCGI_OPCUA
Após a importação do certificado do usuário, o acesso ao site poderá ser feito e, unicamente no
primeiro acesso, poderá ser exibida uma página do Chrome equivalente à página apresentada na
Figura 21- 14 para o Firefox.
Se o certificado utilizado pelos servidores do SAGE foi obtido de uma entidade certificadora
pública oficial (por exemplo CertSign, GoDaddy, etc..) a página equivalente à apresentada na Figura
21- 14 não será exibida. Portanto, o administrador do site deverá decidir se usará o certificado auto-
assinado gerado pelo SAGE, ou contratará uma entidade certificadora oficial para fornecer esse
certificado.
Caso a página equivalente à apresentada na Figura 21- 14 seja exibida, ignorar o aviso e
prosseguir com o acesso, o que implicará no auto cadastramento do site no Browser como "exceção
de segurança", fazendo com que a página não seja mais exibida ao acessar o site. Para isso, deve-se
clicar nos botões “Avançado” e “Ir para https://<site-do-sage>”.
A partir desse ponto, sempre que o Browser for iniciado e for feito o primeiro acesso ao site, será
apresentada a página de Login do site, conforme mostrado na Figura 21- 15, o que garante a ele
estar acessando um site onde ele foi cadastrado com segurança.
Nessa página de Login o usuário informará a sua identificação e a sua senha no Acesso Legado
do SAGE ou no Servidor AD Corporativo da empresa, de acordo com a classificação do usuário que
está acessando o site. Tendo sido autenticado no sistema, o usuário poderá clicar no botão “Menu
Inicial”, que listará então as aplicações WEB disponíveis para serem acessadas no sistema, como por
exemplo as aplicações da lista que é mostrada na Figura 21- 16.
Para instalar o certificado de usuário no Edge, deve-se clicar no botão do topo direito deste
Browser e escolher a alternativa “Configurações” conforme as setas em vermelho da Figura 21- 19.
Será apresentada a página de “Configurações”, onde deverá ser escolhida a opção “Privacidade,
Pesquisa e Serviços” conforme mostra a Figura 21- 30.
Será apresentada a página de “Privacidade”, onde deverá ser usada a barra de rolagem
deslocando-se até o ponto da página onde deverá ser selecionada a opção “Gerenciar Certificados”,
conforme mostra a Figura 21- 31.
19
21 - - 1 SERVIDOR DE AUTENTICAÇÃO WEB SERVCGI_OPCUA
Será apresentado a mesma janela pop-up utilizada pelo Chrome e apresentada na Figura 21- 23
onde, assim como foi descrito no capítulo dedicado ao Chrome, deve ser feito um click no botão
“Importar” que exibirá uma segunda janela pop-up para o “Assistente para Importação de
Certificados.
Portanto, todos os procedimentos a seguir, a partir desse ponto, são os mesmos relatados para o
Chrome, a partir da Figura 21- 23 do capítulo anterior, até a conexão segura feita ao site.
Na segunda seção desta página, o usuário poderá exibir seus Privilégios (acesso Legado), ou
Papéis (acesso PAM/AD), assim como escolher dentre as AORs (Legado) ou Papéis (PAM/AD) que
ele possui, com os quais ele deseja operar. As Figura 21- 33, Figura 21- 34 e Figura 21- 35
mostram um exemplo onde o usuário exibe os seus privilégios e escolhe as AORs com as quais
deseja operar.
20
21 - - 1 SERVIDOR DE AUTENTICAÇÃO WEB SERVCGI_OPCUA
21
21 - - 1 SERVIDOR DE AUTENTICAÇÃO WEB SERVCGI_OPCUA
■ No Browser, fazer o login no Portal do SAGE, ir para o “Indice Geral” e em seguida clicar no botão
“Grafana – Dashboards”, conforme mostrado nas Figuras 21-5 a 21-17, verificando com o mouse,
no canto inferior esquerdo da janela, o “avatar” que indicará a identificação do usuário logado em
Single_Sign-On no SAGE e no Grafana, conforme mostrado na Figura 21-18.
■ Fechar a aba do Grafana, clicar na tecla de função F12, exibir os “Cookies” gravados no Browser pelo
Portal do SAGE, e apagar em seguida todos os cookies.
22
21 - - 1 SERVIDOR DE AUTENTICAÇÃO WEB SERVCGI_OPCUA
■ Fechar a janela exibida pea tecla de função F12 e clicar novamente no “Grafana – Dashboards” para
fazer um login interno na conta de Administrador do Grafana, digitando como Username e Password
“sage_grafana_admin”.
■ Novamente fechar a aba do Grafana, clicar na tecla de função F12, exibir os “Cookies” gravados no
Browser pelo Portal do SAGE, apagando em seguida todos os cookies. Fechar todas as abas,
exceto a de entrada no Portal, e efetuar o Logout do SAGE.
■ Fazer novo Login no SAGE e navegar novamente até a página do Grafana, para confirmar na tela de
gerência de usuários do Grafana que este usuário foi qualificado em vermelho como OAuth.
■ Finalmente, ainda apartir do diretório $SAGE/drivers, copiar novamente para o diretório /etc/grafana/
os arquivos grafana.ini.sage e grafana.ini.sage_apenas_OAuth, apenas para que eles sirvam
como referência da versão do SAGE utilizada para eles.
■ Desativar e reativar o Grafana com os comandos systemctl stop grafana-server e systemctl start
grafana-server.
A partir desta última reinicialização do Grafana, todos os acessos à ele somente poderão ser feitos
com autenticação prévia no Portal do SAGE, e qualquer tentativa de acesso direto, sem a passagem
por esse Portal, será negada pelo Grafana.
Todos os usuários que efetuarem Login com sucesso no Portal do SAGE, serão adicionados à
lista de usuários do Grafana qualificados na categoria de Login OAuth com privilégio limitado à
“Viewer”.
23
21 - - 1 SERVIDOR DE AUTENTICAÇÃO WEB SERVCGI_OPCUA
■ Grafana – Dashboards
Então, para adionar Aplicações WEB OPCUA ao sistema, o usuário deverá definir no arquivo
indice_geral.html a chamada da nova aplicação, e no arquivo sageopcua_nginx.conf o endereço
IP e porta TCP onde a aplicação reside (podendo ser “localhost”), além das locations da mesma que
serão roteadas pelo Servidor Nginx.
Uma location será usada para GET/REST + POST e, caso a aplicação use WebSockets, outra
para PUSH no WebSocket (ws), conforme mostrado no diagrama da Figura 21- 36 abaixo.
24
21 - - 1 SERVIDOR DE AUTENTICAÇÃO WEB SERVCGI_OPCUA
■ o POST definido com a extensão “.opc” ou a interface REST cuja URL termine com “.rest” estejam
cadastrados no arquivo $BD/posts_opcua.cnf, gravado pelo Adm_Certificados, para executar o
script-shell ou programa homonimo, conforme exemplo da Figura 21-11, associado a um conjunto de
ações necessárias para executa-lo;
Para a execução do POST, não é necessário que o SAGE esteja sendo executado, ou seja,
nenhum processo ou Visor do SAGE precisa estar ativo, o que permite então que os POSTs e
25
21 - - 1 SERVIDOR DE AUTENTICAÇÃO WEB SERVCGI_OPCUA
serviços REST possam ser usados para realizar tarefas administrativas como Geração da Base de
Dados, Ativação e Desativação do SAGE, etc.
O Adm_Certificados grava a configuração no arquivo $BD/posts_opcua.cnf como no exemplo
mostrado na Figura 21- 38.
26