No dia 15/05/2024, foi implantada no SIAFI uma funcionalidade que permite restringir, de forma opcional, o acesso dos usuários de determinada Unidade Gestora (UG) somente a partir de origens (IPs) previamente cadastradas. Com isso, o órgão pode garantir que os usuários da UG utilizem o SIAFI somente a partir de sua rede, de forma controlada, bloqueando o acesso por endereços IPs desconhecidos ou suspeitos e evitando acessos não autorizados.

O objetivo é dar maior segurança aos usuários responsáveis pela execução orçamentária e financeira dessas unidades e permitir que o próprio órgão implemente controles adicionais sobre seus usuários, recursos e condições de acesso, compatíveis com seus níveis de criticidade e exigência de segurança, somando esforços na mitigação dos riscos associados ao uso indevido das credenciais desses usuários.

Para aderir ao controle de acesso condicional por IP, o órgão deve enviar lista de UGs e IPs de origem dos acessos autorizados por ofício para a STN-COSIS, incluindo contatos de usuários para testes antes da implantação do controle.

Para aderir a essa forma de acesso deve ser aberto chamado na ferramenta E-serviços (https://e-servicos.tesouro.gov.br) do tipo Universo Siafi/Controle de acesso/Incluir ou alterar dados do órgão ou UG para o CAC. Deve ser anexado ao chamado um ofício seguindo esse modelo, endereçado a Abdsandryk Cunha de Souza, Coordenador Geral da COSIS-Coordenação de Sistemas e Tecnologia da Informação. O ofício deve ser assinado eletronicamente pelo responsável pela unidade.

Ao aderir, é importante comunicar efetivamente a mudança aos seus usuários, uma vez que o órgão poderá garantir esse acesso pela sua rede por diferentes caminhos (acesso presencial, VPN, ambientes virtualizados, etc.). Essa orientação é imprescindível para evitar que os usuários sejam surpreendidos e procurem os canais de atendimento do SIAFI para conhecer um procedimento que será específico do próprio órgão de origem.

Para efetuar os testes no ambiente de homologação , o usuário deve:

- ter cadastrado no Siafi homologação (SiafiHE). Se necessário, solicite ao seu cadastrador o referido acesso;

- ter cadastro no AcessoGov.br de homologação. O sistema AcessoGov informa automaticamente a necessidade de criação de conta caso não exista. Use seu CPF para efetuar a inclusão da conta em homologação.

- No momento do teste, na tela de login do SIAFI, clique no botão "Entrar com Gov.br". Em seguida, clicar na opção de acesso com certificado digital de produção (em nuvem ou físico). Importante:  Na tela de login do gov, não digitar o CPF neste momento.  Digite sua senha do certificado e acesse o sistema.

- Se você tiver alguma dificuldade, entre em contato por meio do E-serviço.

Veja no vídeo abaixo as orientações sobre o pedido e teste do acesso condicional:

Observações importantes:

1- A adesão ao acesso condicional por IP se dá por Unidade gestora (UG). Uma vez feita a adesão, todos os usuários da UG que aderiu somente conseguirão acessar o Siafi a partir da rede dessa UG, ou seja, o sistema deixa de aceitar acessos dos usuários da UG a partir de IP’s diferentes dos cadastrados. O acesso a partir da rede da sua UG pode ser presencialmente na unidade ou a partir de VPN provida pela UG.

2- Para usuários em trabalho remoto, orientamos o uso de dispositivos configurados para acessar a rede da UG. Não haverá a possibilidade de acesso ao sistema fora da rede da UG. 

3- Se houver um range de IPs, deve ser implementado NAT-Network Address Translation para ter um IP de saída.

4-O acesso condicionado não restringe somente a emissão de OBPix, uma vez implementado, ele restringe o acesso ao Siafi como um todo, conforme item 1. Em acréscimo, uma vez implementado o acesso condicional, a emissão de OBPix será permitida para essa unidade.

5- Deve ser informado o(s) IP(s) da saída de rede e não o IP pessoal de usuário.

6- O objetivo do acesso condicional é contar com os mecanismos de segurança da rede do órgão, então pra acesso de casa pelo servidor em trabalho remoto, deve ser feito via VPN, não é possível indicar endereços IPs residenciais.

7- Não serão cadastrando IPs na versão IPv6 mas somente IPv4.