Laboratório
POC, capacitação e integração inicial.
Documentação do produto · 11
Apresentação técnica
Visão arquitetural e operacional do Área 51.
1. Visão geral
Pacote técnico para autenticação federada com OpenID Connect e Keycloak em Docker. Inclui baseline versionada, provisionamento automatizado, testes OAuth/OIDC e documentação para infraestrutura, desenvolvimento e segurança.
Escopo do problema
- Projetos de identidade dispersos
- Configuração manual inconsistente
- Ausência de validação repetível antes de ambientes críticos
Entrega esperada
- Ambiente de identidade operacional
- Aplicação protegida de referência
- Evidências de teste para auditoria interna
2. Propriedade e entrega
| Aspecto | Descrição |
|---|---|
| Titularidade | Área 51 — Governo Federal |
| Implementação | Cara Core Informática — Suporte Área 51 |
| Código | Entrega licenciada |
| Documentação pública | Loja — apresentação, wiki, FAQ, licença |
| Baseline | Licença de uso e canal institucional — entrega e download |
3. Arquitetura lógica
Papéis OIDC de referência:
- Utilizador — inicia sessão
- Cliente / RP — aplicação protegida com middleware OIDC
- IdP — emissão de tokens e gestão de sessão (Keycloak em Docker; Google ou Entra ID em federação)
4. Fluxo OIDC
Fluxo de código de autorização com PKCE (OAuth 2.1).
- Geração de
code_verifierecode_challenge(S256). - Redirecionamento ao IdP:
response_type=code,scopeOIDC,state, PKCE. - Autenticação no IdP; consentimento quando aplicável.
- Retorno com código de autorização; validação de
state. - Troca do código por tokens; envio de
code_verifier. - Validação de ID Token / Access Token; sessão (ex.: cookie HTTP-only).
Testes automatizados validam o fluxo antes da homologação.
5. Componentes
Estrutura mantida na oficina (ambiente privado).
| Camada | Função | Entregável |
|---|---|---|
| Scripts baseline | Configuração OIDC versionada; geradores para IdP corporativos | Parâmetros reproduzíveis entre ambientes |
Operação (operational/) |
Keycloak e aplicação protegida em Docker | Stack containerizada para laboratório |
| Testes de fluxo | Validação OAuth 2.1 / OIDC | Relatório e critérios de aceitação |
| Documentação | Setup, conceitos e material visual | Wiki, apresentação técnica, galeria |
Referência de laboratório
- Keycloak — porta 8080
- Aplicação protegida — porta 5000
- Validação — contra URL do IdP ativo
6. Stack
Python
Keycloak
Docker
Flask (exemplo RP)
OAuth 2.1
OpenID Connect
PKCE
JWT
Pré-requisitos: GNU/Linux, Docker, Python 3 (release licenciada), conectividade às portas acordadas.
7. Ambientes
Homologação
IdP corporativo, políticas internas e evidências para segurança.
Produção
Hardening, SLA e governança — via Suporte Área 51 quando contratado.
8. Segurança
| Controle | Ameaça | Baseline |
|---|---|---|
| PKCE (S256) | Interceptação de código | Obrigatório |
state |
CSRF em redirecionamentos | Gerado e validado pelo cliente |
| Validação JWT | Troca ou falsificação de token | Testes integrados |
| Cookie HTTP-only | Exposição via script | Configuração documentada |
| Expiração de token | Replay prolongado | Parâmetros nos guias |
9. Loja, oficina e wiki
Loja
- Produto, serviços e apresentação técnica
- FAQ, licença e canal comercial
- Wiki conceptual
Oficina Área 51
- Desenvolvimento e operação privados
- Código Python, Docker, testes
- Acesso restrito à oficina
A wiki cobre conceitos de autenticação; o processo operacional acompanha a baseline licenciada.