Acesso condicional ao Siafi por endereço IP
Para aderir ao controle de acesso condicional por IP, o órgão deve enviar lista de UGs e IPs de origem dos acessos autorizados por ofício para a STN-COSIS, incluindo contatos de usuários para testes antes da implantação do controle.
Para aderir a essa forma de acesso deve ser aberto um chamado na ferramenta E-serviços (https://e-servicos.tesouro.gov.br), categoria Universo Siafi, subcategoria Controle de acesso, chamado Incluir/Alterar dados do órgão ou UG para o CAC-Controle de acesso condicional SIAFI. No chamado deve ser anexado ofício seguindo esse modelo, endereçado a Abdsandryk Cunha de Souza, Coordenador Geral da COSIS-Coordenação de Sistemas e Tecnologia da Informação. O ofício deve ser assinado eletronicamente pelo responsável pela unidade.
Ao aderir, é importante comunicar efetivamente a mudança aos seus usuários, uma vez que o órgão poderá garantir esse acesso pela sua rede por diferentes caminhos (acesso presencial, VPN, ambientes virtualizados, etc.). Essa orientação é imprescindível para evitar que os usuários sejam surpreendidos e procurem os canais de atendimento do SIAFI para conhecer um procedimento que será específico do próprio órgão de origem.
Veja no vídeo abaixo as orientações sobre o pedido e teste do acesso condicional:
Observações importantes:
1- A adesão ao acesso condicional por IP se dá por Unidade gestora (UG). Uma vez feita a adesão, todos os usuários da UG que aderiu somente conseguirão acessar o Siafi a partir da rede dessa UG, ou seja, o sistema deixa de aceitar acessos dos usuários da UG a partir de IP’s diferentes dos cadastrados. O acesso a partir da rede da sua UG pode ser presencialmente na unidade ou a partir de VPN provida pela UG.
2- Para usuários em trabalho remoto, orientamos o uso de dispositivos configurados para acessar a rede da UG. Não haverá a possibilidade de acesso ao sistema fora da rede da UG.
3- Se houver um range de IPs, deve ser implementado NAT-Network Address Translation para ter um IP de saída.
4-O acesso condicionado não restringe somente a emissão de OBPix, uma vez implementado, ele restringe o acesso ao Siafi como um todo, conforme item 1. Em acréscimo, uma vez implementado o acesso condicional, a emissão de OBPix será permitida para essa unidade.
5- Deve ser informado o(s) IP(s) da saída de rede e não o IP pessoal de usuário.
6- O objetivo do acesso condicional é contar com os mecanismos de segurança da rede do órgão, então pra acesso de casa pelo servidor em trabalho remoto, deve ser feito via VPN, não é possível indicar endereços IPs residenciais.
7- Não serão cadastrando IPs na versão IPv6 mas somente IPv4.