Fluxos de Autenticação e Controles Administrativos

OmniCRM oferece recursos abrangentes de autenticação, incluindo login, autenticação de dois fatores (2FA), gerenciamento de senhas e controles administrativos para gerenciar a segurança do usuário. Este guia foca nos fluxos de trabalho da interface do usuário tanto para usuários finais quanto para administradores.

Veja também: Portal de Autoatendimento para login de clientes e acesso ao portal, RBAC para permissões de funcionários.

Visão Geral

A autenticação do OmniCRM inclui:

• Login com Email/Senha - Autenticação padrão baseada em credenciais
• Autenticação de Dois Fatores (2FA) - Segundo fator baseado em TOTP opcional
• Lembrar de Mim - Sessão estendida de até 30 dias
• Redefinição de Senha - Recuperação de senha self-service via email
• Controles Administrativos - Ferramentas administrativas para redefinir 2FA e senhas
• Logins Sociais - Integração opcional com Google, Apple, Facebook (se habilitado)
• Navegação Baseada em Função - Roteamento automático com base nas funções dos usuários

Fluxo de Login

A página de login é o ponto de entrada para todos os usuários (funcionários e clientes).

Login Padrão

{.align-center width="800px"}

Processo de Login:

1. Insira o endereço de email (email do funcionário ou cliente)
2. Insira a senha
3. Opcional: Marque "Lembrar de mim por 30 dias" para sessão estendida
4. Clique em "Login"

O que Acontece em Seguida:

• Sem 2FA: Usuário logado imediatamente, navegou com base na função:
  • Clientes → portal de Autoatendimento (/self-care)
  • Funcionários/Admins → painel de clientes (/customers)
  • Modo CBC → interface de Transmissão de Célula (/create-cell-broadcast)
• Com 2FA Habilitado: Redirecionado para a tela de verificação 2FA

Recurso Lembrar de Mim:

Quando habilitado, a sessão persiste por 30 dias em vez de expirar quando o navegador é fechado. Usa cookies seguros apenas HTTP.

Mostrar/Ocultar Senha:

Clique no ícone de olho (👁) para alternar a visibilidade da senha.

Login com 2FA

Se o usuário tiver 2FA habilitado, após inserir email/senha, a tela de desafio 2FA aparece:

{.align-center width="800px"}

Usando Código do Autenticador:

1. Abra o aplicativo autenticador (Google Authenticator, Authy, etc.)
2. Encontre a entrada do OmniCRM
3. Insira o código de 6 dígitos
4. O código é enviado automaticamente quando todos os 6 dígitos são inseridos
5. Se válido, usuário logado e navegado para o painel apropriado

Usando Código de Recuperação:

Se o aplicativo autenticador não estiver disponível:

1. Clique na aba "Código de Recuperação"
2. Insira um dos seus códigos de backup salvos (por exemplo, 3fa5b9c2)
3. Clique em "Verificar"
4. O código é consumido (pode ser usado apenas uma vez)

Cancelar:

Clique em "Cancelar" para retornar à página de login.

Logins Sociais (Opcional)

Se habilitado (REACT_APP_ALLOW_SOCIAL_LOGINS=yes), botões de login social aparecem:

[🔵 Entrar com Google] [⚫ Entrar com Apple] [🔵 Entrar com Facebook]

Clique em qualquer botão para autenticar via esse provedor. Atualmente exibe mensagem de "em breve" (implementação de login social em andamento).

Link para Esqueci a Senha

Clique no link "Esqueceu a senha?" para iniciar o fluxo de redefinição de senha.

Configura��ão de Autenticação de Dois Fatores (2FA)

Os usuários podem habilitar 2FA para maior segurança da conta. 2FA usa TOTP (Senha de Uso Único Baseada em Tempo) compatível com aplicativos autenticadores padrão.

Acessando a Configuração de 2FA

A partir do perfil do usuário ou configurações:

Nota para Clientes:

Usuários com função de cliente não veem prompts de 2FA. 2FA é tipicamente exigido apenas para funcionários e usuários administrativos.

Passo 1: Confirmar Senha

Senha Atual

[Cancelar] [Continuar]

Insira sua senha atual para prosseguir. Isso verifica sua identidade antes de habilitar 2FA.

Passo 2: Escanear Código QR

[Cancelar] [Confirmar]

Instruções de Configuração:

1. Baixar Aplicativo Autenticador (se você não tiver um):
   • iOS: Apple App Store → "Google Authenticator"
   • Android: Google Play → "Google Authenticator"
   • Alternativas: Authy, Microsoft Authenticator, 1Password
2. Escanear Código QR:
   • Abra o aplicativo autenticador
   • Toque em "+" ou "Adicionar conta"
   • Escolha "Escanear código QR"
   • Aponte a câmera para o código QR na tela
   • O aplicativo adiciona a entrada "OmniCRM" com o código de 6 dígitos
3. Salvar Códigos de Backup:
   • CRÍTICO: Anote ou copie esses 8 códigos
   • Armazene em local seguro (gerenciador de senhas, cofre, etc.)
   • Cada código é de uso único
   • Usado se você perder o acesso ao aplicativo autenticador
   • Clique em "Copiar Códigos" para copiar todos os códigos para a área de transferência
4. Verificar Configuração:
   • Insira o código atual de 6 dígitos do aplicativo autenticador
   • Clique em "Confirmar"
   • Se válido, 2FA agora está habilitado

Passo 3: 2FA Habilitado

Mensagem de sucesso aparece:

A partir de agora, o login requer tanto a senha quanto o código 2FA.

Fluxo de Redefinição de Senha (Autoatendimento)

Usuários que esquecem sua senha podem redefini-la via email.

Passo 1: Solicitar Link de Redefinição

A partir da página de login, clique em "Esqueceu a senha?"

{.align-center width="800px"}

1. Insira o endereço de email
2. Clique em "Enviar Link de Redefinição"

O que Acontece:

• O sistema verifica se o email existe no banco de dados
• Se encontrado, envia email de redefinição de senha via Mailjet
• O email contém um link de redefinição com tempo limitado (tipicamente 1 hora de expiração)
• Mensagem de sucesso aparece: "Instruções de redefinição foram enviadas para seu email"

Se Email Não Encontrado:

Mensagem de erro: "Nenhuma conta encontrada com esse endereço de email"

Passo 2: Verificar Email

O usuário recebe um email com assunto como:

Olá [Nome],

Você solicitou uma redefinição de senha para sua conta do OmniCRM.

Clique no link abaixo para redefinir sua senha: <https://yourcompany.com/reset-password/abc123token456>

Este link expira em 1 hora.

Se você não solicitou isso, ignore este email.

Clique no link de redefinição para prosseguir.

Passo 3: Definir Nova Senha

O link de redefinição abre a página de criação de senha:

🔒 (ícone de cadeado)

Senha

Confirmar Senha

[Redefinir Senha]

1. Insira a nova senha
2. Reinsira no campo Confirmar Senha
3. Clique em "Redefinir Senha"

Requisitos da Senha:

• Comprimento mínimo (tipicamente 8+ caracteres)
• As senhas devem corresponder

Sucesso:

• Mensagem de sucesso: "A senha foi redefinida com sucesso"
• Redirecionado automaticamente para a página de login
• O usuário agora pode fazer login com a nova senha

Token Expirado/Inválido:

Se o link de redefinição estiver expirado ou inválido:

[Solicitar Novo Link de Redefinição]

Controles Administrativos para Gerenciamento de Usuários

Administradores com permissões apropriadas podem gerenciar as configurações de autenticação do usuário a partir da interface de Gerenciamento de Usuários.

Acessando o Gerenciamento de Usuários

Exibe uma tabela de todos os usuários com botões de ação.

Nome Email Telefone Ações John Smith <john@example.com> +44 123... ✏️ 🗑️ 🔑 🛡️ Jane Doe <jane@example.com> +44 456... ✏️ 🗑️ 🔑 Bob Wilson <bob@example.com> +44 789... ✏️ 🗑️ 🔑 🛡️ ✉️

Ícones de Ação:

• ✏️ Editar - Modificar detalhes do usuário, funções, permissões
• 🗑️ Excluir - Remover conta de usuário
• 🔑 Redefinir Senha - Gerar senha temporária
• 🛡️ Redefinir 2FA - Desabilitar 2FA para o usuário (apenas exibido se 2FA habilitado)
• ✉️ Enviar Email de Boas-Vindas - Reenviar email de boas-vindas (apenas exibido se o usuário nunca fez login)

Admin: Redefinir Senha do Usuário

Quando o usuário esquece a senha e o administrador precisa ajudar:

Passo 1: Clique no Ícone de Redefinir Senha (🔑)

A modal de confirmação aparece:

Você tem certeza de que deseja redefinir a senha para:

Usuário: John Smith (<john@example.com>)

Uma senha temporária será gerada e exibida. O usuário deve alterar essa senha no próximo login.

[Cancelar] [Redefinir Senha]

Passo 2: Confirmar Redefinição

Clique em "Redefinir Senha". O sistema gera uma senha temporária segura.

Passo 3: Senha Temporária Exibida

Senha temporária para John Smith:

[📋 Copiar Senha]

⚠️ IMPORTANTE: • Envie esta senha para o usuário via canal seguro • Não envie por email ou mensagem não segura • O usuário será forçado a alterar a senha no próximo login

[Fechar]

Ação do Administrador:

• Copiar a senha temporária
• Ligar para o usuário ou comunicar-se por meio de método seguro
• Fornecer a senha temporária verbalmente
• Instruir o usuário a fazer login e alterar a senha

Experiência do Usuário:

Quando o usuário faz login com a senha temporária:

1. O login é bem-sucedido
2. Redirecionado imediatamente para a tela "Alterar Senha"
3. Deve definir uma nova senha antes de acessar o sistema
4. Não pode pular a alteração de senha

Admin: Redefinir 2FA do Usuário

Quando o usuário perde o acesso ao aplicativo autenticador e todos os códigos de backup:

Passo 1: Clique no Ícone de Redefinir 2FA (🛡️)

Aparece apenas para usuários com 2FA atualmente habilitado.

A modal de confirmação aparece:

{.align-center width="600px"}

Passo 2: Confirmar Redefinição

Clique em "Redefinir 2FA"

Passo 3: Confirmação

Mensagem de sucesso:

John Smith agora pode fazer login apenas com sua senha. Eles podem reabilitar 2FA em suas configurações de usuário.

Experiência do Usuário:

• O usuário agora pode fazer login apenas com a senha (sem código 2FA necessário)
• O ícone de escudo 2FA (🛡️) desaparece da linha do usuário na tabela do admin
• O usuário pode reabilitar voluntariamente 2FA em suas configurações

Nota de Segurança Importante:

Antes de redefinir 2FA, o administrador deve:

1. Verificar a identidade do usuário por meio de meios alternativos:
   • Verificação de ID do governo
   • Perguntas de segurança
   • Verificação de transações recentes
   • Verificação pessoal (se aplicável)
2. Documentar a redefinição nas notas do cliente
3. Informar o usuário para reabilitar 2FA após recuperar o acesso

Admin: Enviar Email de Boas-Vindas

Para usuários que não receberam ou perderam seu email de boas-vindas:

Quando Disponível:

O ícone de avião de papel (✉️) aparece apenas para usuários que nunca fizeram login (login_count = 0).

Clique no Ícone de Enviar Email de Boas-Vindas (✉️)

Enviar email de boas-vindas para:

Usuário: Bob Wilson (<bob@example.com>)

O email incluirá: • Mensagem de boas-vindas • Instruções de login • Link para definir a senha inicial (se aplicável) • Informações de contato de suporte

[Cancelar] [Enviar Email]

Clique em "Enviar Email"

Mensagem de sucesso:

Email Enviado via Mailjet:

Usa o template: api_crmCommunicationUserWelcome

Admin: Editar Usuário

Clique no ícone Editar (✏️) para modificar os detalhes do usuário:

Primeiro Nome

Último Nome

Email

Número de Telefone

Funções ☑ admin ☐ customer_service_agent_1 ☐ customer

[Cancelar] [Salvar Alterações]

Campos Editáveis:

• Nome, email, telefone
• Funções - Atribuir/remover funções (afeta permissões)
• Status ativo/inativo

Admin: Excluir Usuário

Clique no ícone Excluir (🗑️) para remover o usuário:

Você tem certeza de que deseja excluir:

Usuário: John Smith (<john@example.com>)

⚠️ AVISO: Esta ação não pode ser desfeita.

Isso excluirá permanentemente: • Conta e credenciais do usuário • Configurações de 2FA • Histórico de sessão

Os dados e transações do cliente NÃO serão excluídos.

[Cancelar] [Excluir Usuário]

Clique em "Excluir Usuário" para confirmar.

Mensagem de sucesso:

Melhores Práticas

Para Usuários Finais

Segurança de Login:

• Use senhas fortes e únicas
• Habilite "Lembrar de mim" apenas em dispositivos pessoais
• Sempre faça logout em computadores compartilhados
• Habilite 2FA para segurança adicional

Gerenciamento de 2FA:

• Salve os códigos de backup imediatamente após habilitar 2FA
• Armazene os códigos em um gerenciador de senhas ou local seguro
• Teste um código de backup para garantir que funcionem
• Regere os códigos de backup se você usar vários
• Entre em contato com o admin se você perder tanto o autenticador quanto os códigos de backup

Gerenciamento de Senhas:

• Use um gerenciador de senhas para gerar e armazenar senhas
• Nunca compartilhe senhas por email ou mensagem
• Altere a senha se suspeitar de comprometimento
• Use uma senha única para o OmniCRM (não reutilize senhas)

Para Administradores

Gerenciamento de Segurança do Usuário:

• Verifique a identidade do usuário antes de redefinir 2FA ou senhas
• Nunca envie senhas temporárias por email
• Documente todas as redefinições de segurança nas notas do usuário
• Incentive os funcionários a habilitar 2FA
• Monitore padrões de login incomuns

Redefinições de Senha:

• Comunique senhas temporárias apenas por telefone ou pessoalmente
• Gere senhas temporárias fortes (o sistema faz isso automaticamente)
• Certifique-se de que o usuário altere a senha no primeiro login
• Não redefina senhas desnecessariamente - use o fluxo de redefinição por email quando possível

Redefinições de 2FA:

• Trate as redefinições de 2FA como ações de alta segurança
• Verifique a identidade por meio de múltiplos canais antes de redefinir
• Documente o motivo da redefinição
• Incentive o usuário a reabilitar 2FA imediatamente após recuperar o acesso
• Considere exigir 2FA para todos os usuários administrativos

Gerenciamento de Usuários:

• Revise regularmente a lista de usuários em busca de contas inativas
• Remova usuários que deixaram a organização
• Certifique-se de que as atribuições de função sejam apropriadas
• Monitore usuários que nunca fizeram login
• Audite permissões de usuários trimestralmente

Solução de Problemas

Erro "Email ou senha inválidos"

• Causa: Credenciais incorretas
• Solução:
  • Verifique se o endereço de email está correto
  • Verifique se o caps lock está desligado
  • Tente redefinir a senha se esquecida
  • Entre em contato com o admin se a conta estiver bloqueada

Código 2FA não aceito

• Causa: Problema de sincronização de tempo ou código incorreto
• Solução:
  • Certifique-se de que a hora do dispositivo esteja correta (Configurações → Data e Hora → Automático)
  • Aguarde o código atualizar (os códigos mudam a cada 30 segundos)
  • Tente o próximo código que aparecer
  • Use um código de backup se o autenticador não estiver funcionando
  • Entre em contato com o admin para redefinir 2FA se tudo mais falhar

"Lembrar de mim" não funcionando

• Causa: Cookies desativados ou limpos
• Solução:
  • Ative cookies nas configurações do navegador
  • Não limpe cookies ao fechar o navegador
  • Desative extensões de privacidade para o domínio do OmniCRM
  • Tente um navegador diferente

Email de redefinição de senha não recebido

• Causa: Email não enviado, filtro de spam ou email errado
• Solução:
  • Verifique a pasta de spam/lixo eletrônico
  • Verifique se o endereço de email está correto
  • Aguarde 5-10 minutos (a entrega do email pode ser atrasada)
  • Verifique se a integração com Mailjet está funcionando (admin)
  • Entre em contato com o admin para redefinição de senha manual

Link de redefinição de senha expirado

• Causa: Token expirado (tipicamente 1 hora)
• Solução:
  • Solicite nova redefinição de senha
  • Verifique o email e clique no link prontamente
  • Entre em contato com o admin se houver problemas repetidos

Não é possível habilitar 2FA (senha incorreta)

• Causa: Senha atual inserida incorretamente
• Solução:
  • Verifique a senha atual
  • Redefina a senha primeiro se estiver incerto
  • Entre em contato com o admin para assistência

Perdeu o aplicativo autenticador e os códigos de backup

• Causa: Telefone perdido/resetado, códigos de backup não salvos
• Solução:
  • Entre em contato com o administrador imediatamente
  • O admin verificará a identidade e redefinirá 2FA
  • Faça login apenas com a senha após a redefinição
  • Rehabilite 2FA e SALVE os códigos de backup desta vez

Admin: "Falha ao redefinir 2FA" erro

• Causa: Permissões insuficientes
• Solução:
  • Certifique-se de que você tenha a função de admin
  • Verifique as permissões da API
  • Entre em contato com o administrador do sistema

Admin: Senha temporária não gerada

• Causa: Erro de API ou problema de permissões
• Solução:
  • Atualize a página e tente novamente
  • Verifique as permissões do admin
  • Verifique os logs da API em busca de erros
  • Certifique-se de que o banco de dados esteja acessível

Considerações de Segurança

Gerenciamento de Sessão:

• Sessões expiram após um período de inatividade
• "Lembrar de mim" estende a sessão para 30 dias
• Sessões armazenadas como cookies apenas HTTP (não acessíveis via JavaScript)
• A flag segura garante que os cookies sejam enviados apenas via HTTPS

Segurança da Senha:

• Senhas são hashadas usando algoritmos padrão da indústria
• Senhas em texto simples nunca são armazenadas
• Senhas temporárias expiram automaticamente após o primeiro uso
• Tentativas de login falhadas são rastreadas (potencial limitação de taxa)

Segurança de 2FA:

• Segredos TOTP criptografados no banco de dados
• Códigos QR gerados do lado do cliente quando possível
• Códigos de backup hashados antes do armazenamento
• Cada código de backup é de uso único

Ações do Admin:

• Redefinições de 2FA registradas no log de atividades
• Redefinições de senha criam trilha de auditoria
• Ações do admin requerem permissões de função apropriadas
• Endereços IP registrados para eventos de segurança

Documentação Relacionada

• 2fa - Referência detalhada da API de 2FA (focada em API)
• rbac - Controle de acesso baseado em função e permissões
• administration_configuration - Configuração de email Mailjet para redefinição de senha
• integrations_mailjet - Configuração de template de email
• customer_care - Portal de Autoatendimento para clientes