Boas práticas¶
Seguem listadas algumas boas práticas para uso do Autoriza.
Para os gestores¶
Os gestores de sistema devem observar as seguintes orientações durante a manutenção dos dados da aplicação parceira.
Divisão do controle de acesso do sistema em perfis e transações
Os perfis devem corresponder às personas (ou atores) do seu sistema.
As transações devem corresponder às operações que os usuários podem realizar no seu sistema.
Granularidade das transações
Seja pragmático. Dimensione a granularidade das transações conforme a real necessidade de segregação de acesso do seu sistema.
Por exemplo, se todos os usuários com acesso a um determinado caso de uso conseguem acessar todas as funcionalidades do caso de uso, é mais coerente ter uma única transação para esse caso de uso.
Dicas de nomenclatura
Seja sucinto ao nomear suas transações e perfis.
Deixe para entrar em maiores detalhes nas descrições.
Evite usar acentos ou símbolos nos nomes, para evitar problemas de codificação no uso das informações.
Sequência de cadastro sugerida
- Cadastro das transações
- Cadastro dos perfis e vinculação das transações
- Definição das políticas de acesso
- Configuração das features e características do usuário
- Atribuição dos perfis aos usuários
Para os desenvolvedores¶
Os desenvolvedores das aplicações parceiras devem observar as seguintes orientações no desenvolvimento da integração com o Autoriza.
Chamadas aos serviços
Seja responsável e nosso parceiro ao utilizar os serviços que oferecemos.
Caso o uso do seu sistema extrapole a previsão de acessos que inicialmente nos foi repassada, nos informe para que possamos revisar nossa infraestrutura tendo em vista garantir a sustentação das aplicações parceiras.
Expiração do token
Controle o tempo de expiração do token de acesso do Acesso gov.br que serve como entrada para os serviços que oferecemos, de tal maneira a solicitar automaticamente outro quando o atual expirar.
URLs do Autoriza
Evite fixar no código as URLs dos endpoints do Autoriza.
Lembre que essas URLs não estão sob sua gestão e podem ser modificadas.
Quanto mais simples de alterá-las na sua aplicação, menor o impacto.
Verificação de conectividade
🔒 O Autoriza utiliza certificado Let's Encrypt, então verifique se a máquina a partir da qual você está tentando se conectar à API aceita a cadeia de certificação do Let's Encrypt.
Faça isso utilizando os exemplos de comando cURL listados nessa documentação.
Os certificados são renovados trimestralmente.
Consultoria com a equipe de sustentação
✉️ Leia a documentação disponível, veja os exemplos de chamadas à API, faça testes locais.
A referência das APIs de autorização e validação deveria ser suficiente para sanar suas dúvidas em relação aos serviços.
Se ela não está sendo suficiente, nos informe, para que possamos melhorá-la. Faça isso enviando email para a lista lista-autorizagovbr@serpro.gov.br, com o assunto Sugestão de melhoria para a integração com o Autoriza.
Uso dos ambientes
🖇️ Seus ambientes não produtivos devem apontar para o ambiente de Homologação do Autoriza.
O ambiente produtivo deve apontar para o ambiente de Produção.
Não aponte ambientes de teste ou homologação para Produção do Autoriza.