08. Cadastrando um Authorisation Server
- Renan Amorim Costa (Unlicensed)
- Marcelo Luppi
Durante a jornada de consentimento do usuário, os receptores exibirão a marca e o servidor de autorização que está sendo solicitado o acesso aos dados do usuário. Esta seção descreve as etapas necessárias para cadastrar as marcas e os servidores de autorização da organização.
Etapa 1: Criando um Novo Servidor de Autorização
Requisitos
1. No Diretório, localize e selecione a sua organização.
2. Selecione o menu Authorisation Servers. No canto superior esquerdo será carregado um submenu, para cadastrar um novo authorisations Server clique no botão New Authorisation Server localizado no lado direito da tela.
3. Na janela New Authorisation Server preencha os campos do formulário. O slide a seguir apresenta cada um dos campos em mais detalhes.
Atenção 1: Tendo em vista a ausência de análise de impacto para o ecossistema da retirada de um Authorisation Server, recomenda-se que os AS responsáveis por consentimentos não sejam retirados do diretório até a expiração/revogação dos consentimentos pelos quais é responsável.
Atenção 2: Caso a instituição queira utilizar alguma chave forte, recomendamos utilizar o AuthorisationServerID. Os campos Customer Friendly Server Name e Description são especialmente susceptíveis a atualizações pelas organizações e não devem ser utilizados para esse fim
Atenção 3: Não é necessária atualização de Authorisation Server no Diretório caso a instituição seja iniciador de transação de pagamentos puro.
Detalhamento dos Campos
Nome do campo | Descrição | Exemplo |
| Deve ser definido o valor da marca que será exibido no receptor. Apresentar seu nome por inteiro, sem abreviações, de forma a ser reconhecido pelo cliente e aderente a interfaces menores.
•Limite de caracteres: 40 (padrão do campo)
Para mais informações sobre marca, consulte o Guia de Experiência de Usuário. | Wizcredi |
| O URL para a localização do documento de descoberta OpenID. | https://www.wizcredi.com.br/.well-known/openid-configuration |
| O URL para a localização do certificado de assinatura. | |
| Deve ser definida a URL para o logotipo da marca. Para obter mais detalhes sobre formato, dimensão e peso máximo do arquivo consulte o Guia de Experiencia Fase 2. | |
| O URL do portal do desenvolvedor. | |
| A URL de localização do documento de termos e serviços da organização. | |
| Endpoint do Webhook de notificação. A seção Configurando eventos de notificação no Diretório descreve esta configuração em mais detalhes. | |
| Esse é um texto de marcação onde deverá ser descrita a marca, trazendo informações adicionais para que o cidadão não tenha dúvidas sobre a escolha feita.
O que deve conter:
Orientações sobre o que pode conter:
| “A insituição Wizcredi atua desde 2000 sendo um dos maiores bancos do Brasil, seja na web ou pelo App oferecemos serviços de pagamentos, ofertas de crédito e investimentos para Pessoas Físicas.” |
| Data programada para iniciar a descontinuação do servidor de autorização | N/A |
| Data programada para a aposentadoria do servidor | N/A |
| ID do servidor de autorização que substituirá o servidor atual | N/A |
| Indica se o servidor está Ativo, Inativo ou Descontinuado | N/A |
*Campo obrigatório
Detalhamento do Logotipo
O logotipo das instituições participantes deverá ser aplicado no Portal do Cidadão e também poderá ser aplicado no redirecionamento entre instituições durante a Jornada de Compartilhamento de Dados.
Por isso foram deliberadas práticas para uso e disponibilização:
Utilizar preferencialmente logotipo prioritário, que os clientes reconheçam nos canais;
Versão reduzida do logo, símbolo ou favicon de site;
Enviar arquivo SVG contendo a área de proteção do logo da instituição para garantir a leitura e o espaçamento correto;
Formato de envio:
SVG
Dimensão mínima: 512px x 512px
Sem sombra
Peso máximo do arquivo: 1 mega;
Etapa 2: Cadastrando uma Certificação de Segurança no Servidor
Requisitos
1. No Diretório, localize e selecione a sua organização.
2. Selecione o menu Authorisation Servers. Depois selecione o servidor de autorização que deseja. Após selecionar, vá no submenu à esquerda em cima e clique em Server Certifications.
3. Dentro dessa área, para cadastrar uma nova certificação, clique no botão Add New Certification localizado no lado direito da tela.
4. Na janela New certification preencha os campos do formulário. O slide a seguir apresenta cada um dos campos em mais detalhes.
Detalhamento dos Campos
Nome do campo | Descrição | Exemplo |
| O tipo de certificação que foi efetuada com a OpenID Foundation – Deve ser adicionado ao menos uma certificação Redirect (FAPI) e uma DCR | Redirect DCR CIBA – certificação ainda não disponível |
| As variantes dependem do tipo de certificação escolhida. Dentro da tabela da OpenID Foundation, cada coluna representam as possíveis variações nas certificações. Vale notar que JARM não é requisitado segundo a especificação de segurança logo não está presente como uma opção a ser adicionada
Para a certificação DCR a instiuiçao deve avaliar se certificou utilizadondo APIs de Dados do consumidor – Unsigned, ou de Pagamentos - Signed | Se escolheu Redirect: •FAPI Adv. OP w/ MTLS •FAPI Adv. OP w/ MTLS, PAR •FAPI Adv. OP w/ Private Key •FAPI Adv. OP w/ Private Key, PAR
Se escolheu DCR: •DCR Signed payload – JWT •DCR Unsigned payload - JSON
|
| A versão da certificação selecionado – Campo livre, apenas para controle da própria instituição | 1 |
| O URL que aponta para o arquivo hospedado pela OpenID Foundation com o pacote de certificação. Formato zip. | https://openid.net/wordpress-content/uploads/2021/08/BR-OB_Adv._OP_MTLS-exemplo.zip |
| A data de certificação inicial – é a mesma data que consta na tabela da OpenID Foundation. Formato dd/mm/yyyy | 09/05/2022 |
*Campo obrigatório
Descontinuação/Aposentadoria de Authorisation Server
Para o cenário de uma Organização ou Conglomerado que tome a decisão de descontinuar/aposentar uma marca (Authorisation Server), ficam especificadas abaixo, as regras para preenchimento dos campos no diretório e outros pontos importantes:
Nome do Campo | Descrição | Exemplo | Regra de preenchimento |
Deprecation Date | Data programada para iniciar a descontinuação do servidor de autorização | 2024-11-01 | Data a partir da qual o Authorisation Server não aceitará mais requisições de novos consentimentos |
Retirement Date | Data programada para a aposentadoria do servidor | 2024-12-01 | Data a partir da qual o Authorisation Server será Inativado |
SupersededByAuthorisationServerId | ID do servidor de autorização que substituirá o servidor atual | xxxxxxxx-XXXX-xxxx-XXXX-xxxxXXXXxxxx | ID do servidor de autorização que passará a recepcionar os pedidos de novos consentimentos a partir da inatividade do servidor em questão |
Pontos Importantes:
As datas inseridas nos campos citados, devem ser informadas e acordadas com o regulador.
A boa prática sugerida é que a data de depreciação seja anterior a data de aposentadoria em pelo menos 1 mês (30 dias corridos), a ser validada caso a caso junto ao regulador.
Esses campos são meramente informativos. Isso significa que, é de responsabilidade da Instituição que está descontinuando/aposentando a marca construir uma solução para "recusar" as requisições de consentimento recebidas a partir da data informada no campo "Deprecation Date", não sendo responsabilidade das demais Instituições participantes não requisitarem novos consentimentos através do Authorisation Server, uma vez que o mesmo permanece como "Ativo" até a data de sua aposentadoria.
Os consentimentos de transmissão ativos na marca que está sendo descontinuada/aposentada deverão continuar acessíveis para as Instituições receptoras, seguindo as regras de "tempo" determinadas pela regulação e especificações vigentes.