0.2. Autentificare

Autentificarea în SocrateCloud se poate face prin username (email) și parolă sau printr-un cont cu subscripție Google Apps. Mai jos este descris procesul de autentificare:

Autentificare prin User și Parolă

Pentru a deschide aplicația SocrateCloud introduceți în browser-ul dumneavoastră link-ul:

https://my.socratecloud.com/soweb/

Se deschide fereastra Autentificare:

• Email - câmp obligatoriu, se completează cu adresa de email a utilizatorului;

• Parolă - câmp obligatoriu, se completează cu parola utilizatorului;

• Limbă - obligatoriu, se va selecta limba;

După ce se completează câmpurile obligatorii se dă click pe butonul OK sau se apasă Enter pentru a continua.

Începând cu v17.06 se verifică dacă s-a depășit cota de utilizatori, iar în caz afirmativ se produc următoarele:

• pentru orice utilizator simplu accesul în sistem va fi blocat până când administratorul de aplicație va reglementa situația (activează un număr mai mare de utilizatori sau dezactivează utilizatori vechi);

• pentru administrator se permite accesul în sistem însă i se va înregistra un mesaj de eroare în fereastra ”Raport probleme”.

O a doua fereastră poate apărea dacă în fereastra de autentificare căsuța Selectează rol a fost bifată.

• Rol - obligatoriu, se selectează rolul asignat (dreptul de acces);

• Titular -  se selectează titularul definit în sistem. Dacă adresa de email se regăsește pe mai multi titulari atunci utilizatorul are posibilitatea de a alege titularul pe care vrea sa se logheze;

• Societate - obligatoriu, se va selecta societatea pe care se dorește conectarea;

  • în funcție de rolul selectat, vor fi disponibile doar societățile pentru care s-a definit acces Read Write. Dacă nu s-a definit acces Read Write la nici o societate, la autentificare va fi disponibilă doar societatea *. Detalii în Roluri;

  • introducerea documentelor (tranzacțiilor) trebuie făcută obligatoriu cu logare pe o societate, cu recomandare pe societatea documentelor respective!

  • definirea entităților (articole, firme etc) poate fi făcută și atunci când conectarea s-a făcut pe societatea *.

• Gestiune - gestiunea implicită;

• Imprimantă - se va selecta imprimanta definită cu care se vor tipări documentele și rapoartele;

După efectuarea selecțiilor se dă click pe butonul OK 

sau se apasă Enter.

Dacă există restricții de acces în sistem doar de la anumite adrese IP atunci accesul va fi blocat dacă se încearcă conectarea de la un alt IP. Sistemul va indica acest lucru printr-un mesaj cu indicarea IP-ului de la care se încearcă conectarea. Contactați administratorul dvs de aplicație/sistem pentru a stabili dacă vi se acordă accesul și de la acest IP. (funcționalitate validă din v17.11)

Blocare Parolă Greșită

La introducerea greșita a parolei de 3 ori, utilizatorul este blocat pentru un anumit număr de zile (de regulă, 1 zi), iar la logarea în aplicație va apărea următorul mesaj de eroare:

Deblocarea utilizatorului mai repede de timpul menționat la blocare se poate face doar de către un utilizator cu rol de Administrator prin accesarea meniului Unelte localizat în colțul dreapta sus. Se dă click pe Unelte, se selectează opțiunea Utilizatori Blocați.  

Se va deschide fereastra Utilizatori Blocați care conține o listă cu toți utilizatori care și-au greșit parola în ultimele 24h. Pentru deblocarea unui utilizator se apasă butonul Reset din dreptul lui.

Mi-am Uitat Parola

Dacă un utilizator și-a uitat parola, poate apela la butonul "Mi-am uitat parola" din fereastra de autentificare.

Începând cu versiunea 17.09, prin apăsarea acestui buton, sistemul va trimite un e-mail de confirmare a cererii de schimbare a parolei, pe adresa de e-mail a utilizatorului respectiv. 

Dacă utilizatorul foloseşte adresa de email pe mai mulți Titulari, email-ul primit va conține câte un link pentru fiecare Titular:

După accesarea link-ului, se va deschide o fereastră în care utilizatorul poate seta noua parolă:

Dacă un utilizator îşi ştie parola, dar vrea doar să o schimbe, poate apela la procesul "Schimbare parolă" :

Observații:

• • pentru implementări On Premise, funcționalitatea necesită setări de email pe titularul System;

  • dacă adresa de email este utilizata pentru mai multi utilizatori de pe titulari diferiți, prin apăsarea link-ului se va reseta parola pentru toți utilizatorii respectivi - nu se mai aplică din versiunea 17.09.

Autentificare prin Google

Pentru a va conecta apăsați butonul Autentificare cu cont Google din fereastra de autentificare SocrateCloud. La prima accesare, Google vă va cere permisiune de acces la contul dvs, și va trebui să introduceți parola pentru contul de e-mail Google.

Dacă autentificarea Google se realizează cu succes, veți fi automat logat în SocrateCloud, cu condiţia de a fi utilizator cu un rol valid în SocrateCloud.

Începând din v15.04, datorită modificărilor aduse de Google (https://developers.google.com/accounts/docs/OpenIDConnect), autentificarea folosind conturi Google necesită realizarea unui setup înainte ca această funcționalitate să poată fi folosită.

Setup

Acest setup se face la nivel de "system", de către utilizatorul care deţine dreptul de acces la acest nivel! Configurarea odată realizată este valabilă pentru toţi Titularii de pe sistemul respectiv şi va putea fi folosită de către toţi utilizatorii care au conturi de e-mail la Google.

1. se accesează consola "Google Developers Console" - de către utilizatorul care are drepturi să realizeze acest setup - https://console.developers.google.com/project

   1. • se apasă butonul "Create Project" şi se introduce un nume sugestiv pentru acest "proiect" (ex: "SocrateCloud - Login"), după care se apasă butonul "Create";

• • în fereastra care se deschide şi care prezintă noul "proiect" creat, se alege din meniul vertical (stânga) intrarea "APIs & auth" -> "Credentials"

  • se apasă butonul "Create new Client ID", se alege opţiunea "Web application" şi se apasă butonul "Configure consent screen"

• • în fereastra care se deschide se completează următoarele:

    • adresa de e-mail a utilizatorului care realizează acest setup;

    • un nume sugestiv pentru produs (ex: "SocrateCloud"), nume care va apărea tuturor utilizatorilor care vor dori să se autentifice folosind conturile lor Google, astfel încât aceştia să recunoască aplicaţia care le cere aceste permisiuni;

    • adresa url de acces a aplicaţiei - este adresa la care dvs accesaţi în mod curent SocrateCloud;

    • în partea dreapta, se afişează, cu titlu de exemplificare, imaginea care va apărea utilizatorilor în momentul în care vor dori să se autentifice în SocrateCloud folosind conturile lor Google şi prin care sunt notificaţi despre permisiunile pe care le vor acorda aplicaţiei SocrateCloud în relaţie cu contul lor de e-mail!

    • dacă doriţi puteţi completa şi restul de câmpuri opţionale, după care apăsaţi butonul "Save";

• • se revine automat în fereastra anterioară, unde se completează obligatoriu următoarele:

    • "Authorized JavaScript origins" - cu adresa url de acces la SocrateCloud;

    • "Authorized redirect URIs" - cu adresa url de acces la SocrateCloud urmată de terminaţia "/soweb/openid?is_return=true";

    • se apasă butonul "Create Client ID".

• • se revine automat în fereastra anterioară unde se prezintă datele necesare pentru înregistrarea în SocrateCloud; acestea sunt:

    • "Client ID";

    • "Client secret";

    • se păstrează ecranul deschis cu aceste informaţii afişate şi se trece într-un tab nou de browser pentru accesul la SocrateCloud:

• 1. se accesează SocrateCloud la nivel de "System"!

     • se intră în fereastra "Titular" ("Tennant") şi se accesează tab-ul "Info Titular" ("Info Tennant")

     • se vor completa câmpurile următoare:

     • "Client ID" - se copiază textul înscris în consola Google de la pasul anterior, din câmpul cu acelaşi nume;

     • "Client secret" - se copiază textul înscris în consola Google de la pasul anterior, din câmpul cu acelaşi nume;

• • se salvează înregistrarea;

• • se aplică o "Resetare cache client + server".

În acest moment setup-ul este realizat şi orice utilizator, de pe orice titular din acest sistem, va putea (dacă doreşte), să acceseze aplicaţia folosind contul de e-mail de la Google.

Deconectaţi-vă din SocrateCloud de la nivel de system şi accesaţi aplicaţia la nivel de titular. Deasemenea, deconectaţi-vă şi din consola Google.

Autentificare prin IdP Extern

Pentru accesul SSO (Single Sign-On), bazat pe protocolul OIDC și autentificarea de tip OAuth 2.0, se poate configura accesul în SocrateCloud printr-un provider extern (IdP).

Configurație SSO

• Configurațiile SSO pot fi definite la nivel de titular printr-o fereastră dedicată, Configurări SSO. Fiecare titular își poate defini propriile configurări SSO.

Notă: Este acceptat doar SSO bazat pe protocolul OIDC!

Câmpurile unei configurații SSO:

• SSO ID: Un nume ales de utilizator care identifică configurația. Identificatorul trebuie să fie unic pentru toate configurațiile SSO ale tuturor titularilor. SSO ID poate conține doar litere, cifre (0-9), cratime (-) și/sau sublinieri (_). Această valoare va fi utilizată pentru a identifica configurația SSO.

• Nume de autentificare: Un nume (maximum 30 de caractere) care va fi folosit pentru butonul SSO pe pagina de autentificare SocrateCloud atunci când această configurație este utilizată. 

• ID Client: Identificator unic atribuit aplicației SocrateCloud de către IdP. Acest ID este emis la înregistrarea manuală a aplicației în IdP.

• Secret Client: Cheie confidențială asociată ID-ului Client. Este emisă la înregistrarea manuală a aplicației în IdP.

• URL de redirecționare: URL-ul SocrateCloud care primește răspunsul de autorizare după autentificarea utilizatorului prin IdP. Acest câmp este Readonly și este completat automat de SocrateCloud. El trebuie utilizat la înregistrarea manuală a aplicației în IdP.

• Punct final de autorizare: URL-ul punctului final de autorizare al IdP-ului.

• Punct final token: URL-ul punctului final token al IdP-ului.

• Punct final informații utilizator: URL-ul punctului final pentru informațiile despre utilizator, furnizate de IdP.

• Utilizare PKCE: Opțiunea de a utiliza Proof Key of Code Exchange (PKCE) pentru fluxul codului de autorizare. Această tehnică de securitate suplimentară ar trebui utilizată doar dacă furnizorul de identitate acceptă această extensie.

Fereastra de autentificare SocrateCloud

În mod implicit, fereastra de autentificare SocrateCloud nu recunoaște automat configurațiile SSO la nivel de titular.
Pentru a activa autentificarea SSO, titularul trebuie să adauge un parametru în URL-ul SocrateCloud: 

• Numele parametrului: SSO

• Valoarea parametrului: ID-ul SSO definit în configurația titularului

Dacă parametrul SSO este prezent în URL, butonul pentru autentificarea SSO va fi afișat.

• Numele butonului va fi cel definit în configurația SSO corespunzătoare.

• Apăsarea butonului va iniția fluxul de autentificare SSO pentru configurația respectivă.

• Dacă nu există nicio configurație cu ID-ul specificat, parametrul va fi ignorat (nu va fi generată nicio eroare).