# Contas
## **Visão geral**
As contas fornecem uma forma segura de armazenar informações confidenciais, como senhas, chaves privadas e tokens de autenticação, sem expor essas credenciais diretamente em suas integrações. Ao criptografar e gerenciar credenciais de forma centralizada, as contas ajudam a garantir a segurança dos processos de autenticação.
Além disso, as contas podem ser restritas a projetos específicos, garantindo que as informações confidenciais estejam acessíveis apenas onde são necessárias. Elas podem ser usadas em conectores dentro de pipelines e cápsulas para autenticar e autorizar o acesso a endpoints externos.
## **Gerenciando contas**
Página de configuração para adicionar uma nova conta na Plataforma.
### **Criando uma conta**
1. Na página **Build** clique na aba **Contas**.
1. Como alternativa, clique em **Configurações** no canto superior direito da página inicial da Plataforma e selecione **Contas** na página seguinte.
2. Clique em **Criar** e preencha os campos:
* **Nome**: Identificador da conta.
* **Tipo de conta**: Escolha entre as opções disponíveis (veja detalhes abaixo).
* **Descrição**: Informações adicionais sobre a conta.
* **Disponibilidade no Projeto**: Defina se a conta pode ser usada em todos os projetos ou apenas em projetos selecionados. Na página de listagem de contas, você verá apenas as contas disponíveis para todos os projetos ou aquelas às quais você tem permissão de acesso.
{% hint style="danger" %}
#### **Contas podem ser removidas permanentemente dos pipelines**
Pipelines só podem usar **Contas** que estejam disponíveis no projeto. Uma Conta é **removida do pipeline** nas seguintes situações:
* Quando um pipeline é movido para outro projeto e a Conta não está permitida no projeto de destino.
* Quando a configuração **Disponibilidade no Projeto** de uma Conta é atualizada e o projeto que contém o pipeline é removido da lista de permitidos.
Depois que uma Conta é removida em qualquer uma dessas situações, mover o pipeline de volta ou permitir o projeto novamente **não restaura a Conta**, por motivos de segurança. Nesses casos, é necessário adicionar cada Conta manualmente ao pipeline novamente.
{% endhint %}
* **Configuração do ambiente:** Credenciais necessárias para o tipo de conta selecionado. Veja abaixo como configurar cada tipo de conta.
* **Data de expiração**: Informe no formato **DD/MM/AAAA** (por exemplo, *30/05/2030*). Contas próximas da expiração exibem **Expira em DD/MM**; contas expiradas exibem **Expirada**. Quando a data coincide com o serviço externo, a conta deixa de funcionar até que você atualize as credenciais e reimplante os pipelines. Também é possível filtrar contas por **Próximo de expirar** ou **Expirada**. Esse campo é opcional e se aplica apenas a **OAuth Bearer**, **Private Key**, **Public Key**, **OAuth 2**, **Certificate Chain**, **Google Key** e **AWS V4**.
3. Clique em **Salvar** para criar a conta.
### **Configurando cada tipo de conta**
API Key
**Descrição**
Usada quando um endpoint requer uma chave de API.
{% hint style="info" %}
Exemplo de conector que oferece suporte a esse tipo de conta:
* [**REST V2**](https://app.gitbook.com/s/SKBJ6ZiEWBU93x170HH4/connectors/web-protocols/rest-v2)
Se um conector oferecer suporte a esse tipo de conta, isso será indicado no parâmetro **Accounts** na documentação do conector.
{% endhint %}
**Parâmetros de configuração**
* **URL-PARAM-NAME:** Parâmetro de consulta onde a chave de API é aplicada
* **API-KEY:** Valor da chave de API
**Expiração para tokens de autenticação**
Os seguintes provedores definem um período de expiração para seus tokens de autenticação. Por isso, é necessário atualizar as configurações de suas contas ao final de cada período.
Expiração por provedor:
* **Microsoft:** A cada 3 meses
* **Google:** A cada 6 meses
* **Mercado Livre:** A cada 6 meses
Basic
**Descrição**\
Autenticação com nome de usuário e senha.
{% hint style="info" %}
Exemplos de conectores que oferecem suporte a esse tipo de conta:
* [**DB V2**](https://app.gitbook.com/s/SKBJ6ZiEWBU93x170HH4/connectors/structured-data/db-v2)
* [**SOAP V3**](https://app.gitbook.com/s/SKBJ6ZiEWBU93x170HH4/connectors/web-protocols/soap-v3)
Se um conector oferecer suporte a esse tipo de conta, isso será indicado no parâmetro **Accounts** na documentação do conector.
{% endhint %}
**Parâmetros de configuração**
* **USERNAME:** Nome de usuário
* **PASSWORD:** Senha do usuário
Custom Auth Header
**Descrição**\
Usado quando um endpoint requer um cabeçalho de autenticação personalizado.
{% hint style="info" %}
Exemplos de conectores que oferecem suporte a esse tipo de conta:
* [**REST V2**](https://app.gitbook.com/s/SKBJ6ZiEWBU93x170HH4/connectors/web-protocols/rest-v2)
* [**WGet (Download HTTP)**](https://app.gitbook.com/s/SKBJ6ZiEWBU93x170HH4/connectors/web-protocols/wget)
Se um conector oferecer suporte a esse tipo de conta, isso será indicado no parâmetro **Accounts** na documentação do conector.
{% endhint %}
**Parâmetros de configuração**
* **HEADER-NAME:** Nome do cabeçalho
* **HEADER-VALUE:** Valor do cabeçalho
OAuth Bearer
**Descrição**\
Armazena um token OAuth e o atribui ao cabeçalho **Authorization** nas requisições.
{% hint style="info" %}
Exemplos de conectores que oferecem suporte a esse tipo de conta:
* [**Slack**](https://app.gitbook.com/s/SKBJ6ZiEWBU93x170HH4/connectors/enterprise-applications/slack)
* [**HubSpot: Sales and CMS**](https://app.gitbook.com/s/SKBJ6ZiEWBU93x170HH4/connectors/industry-solutions/hubspot)
Se um conector oferecer suporte a esse tipo de conta, isso será indicado no parâmetro **Accounts** na documentação do conector.
{% endhint %}
**Parâmetros de configuração**
* **TOKEN:** Token OAuth
Private Key
**Descrição**\
Armazena uma chave privada para autenticação.
{% hint style="info" %}
Exemplos de conectores que oferecem suporte a esse tipo de conta:
* [**RSA Cryptography**](https://app.gitbook.com/s/SKBJ6ZiEWBU93x170HH4/connectors/security/rsa-cryptography)
* [**SFTP**](https://app.gitbook.com/s/SKBJ6ZiEWBU93x170HH4/connectors/file-storage/sftp)
Se um conector oferecer suporte a esse tipo de conta, isso será indicado no parâmetro **Accounts** na documentação do conector.
{% endhint %}
**Parâmetros de configuração**
* **KEY:** Chave privada
* **PASSPHRASE:** Senha da chave privada
**Exemplo de chave privada**
```textproto
-----BEGIN RSA PRIVATE KEY-----
MIICWwIBAAKBgF2duc4+xxNKlMO9bUud4bzGnuATkQVX3bM/gzxISrgw7B1AzJwA
OT5UChBoIKfmISaaVVY9+/fTpI1szihSqTyemdHnbC+FcDzoK3p53C5ZJ4pL7s+G
Y7vGEa2Z/6JVder6dwJaaOtwf+DfZYiWQjvh8tfAVjVdONE/XZSxOOofAgMBAAEC
-----END RSA PRIVATE KEY-----
```
Public Key
**Descrição**\
Armazena uma chave pública para autenticação com pares de chave pública-privada.
{% hint style="info" %}
Exemplos de conectores que oferecem suporte a esse tipo de conta:
* [**Digital Signature**](https://app.gitbook.com/s/SKBJ6ZiEWBU93x170HH4/connectors/security/digital-signature)
* [**RSA Cryptography**](https://app.gitbook.com/s/SKBJ6ZiEWBU93x170HH4/connectors/security/rsa-cryptography)
Se um conector oferecer suporte a esse tipo de conta, isso será indicado no parâmetro **Accounts** na documentação do conector.
{% endhint %}
**Parâmetros de configuração**
* **KEY:** Chave pública
**Exemplo de chave pública**
```textproto
-----BEGIN PUBLIC KEY-----
MIGeMA0GCSqGSIb3DQEBAQUAA4GMADCBiAKBgF2duc4+xxNKlMO9bUud4bzGnuAT
kQVX3bM/gzxISrgw7B1AzJwAOT5UChBoIKfmISaaVVY9+/fTpI1szihSqTyemdHn
-----END PUBLIC KEY-----
```
OAuth 2
**Descrição**\
Usado para serviços que suportam autorização OAuth 2.0 (como Google ou Microsoft). Fornece acesso delegado a recursos sem expor credenciais do usuário.
{% hint style="info" %}
Exemplos de conectores que oferecem suporte a esse tipo de conta:
* [**HubSpot: Sales and CMS**](https://app.gitbook.com/s/SKBJ6ZiEWBU93x170HH4/connectors/industry-solutions/hubspot)
* [**REST V2**](https://app.gitbook.com/s/SKBJ6ZiEWBU93x170HH4/connectors/web-protocols/rest-v2)
Se um conector oferecer suporte a esse tipo de conta, isso será indicado no parâmetro **Accounts** na documentação do conector.
{% endhint %}
**Parâmetros de configuração**
* **PROVIDER:** Provedor OAuth
* **SCOPES:** Escopos de acesso OAuth
{% hint style="info" %}
Se um provedor OAuth2 personalizado usar um certificado configurado, uma senha será necessária. Essa senha deve ser a mesma utilizada no upload do certificado. Para detalhes de configuração, consulte a [documentação de provedores OAuth2](https://docs.digibee.com/documentation/developer-guide/pt-br/platform-administration/settings/accounts/new-oauth2-architecture/registration-of-new-oauth-providers).
{% endhint %}
**Provedores suportados**
* **Microsoft:** O escopo "offline\_access" é obrigatório para uso na Digibee Integration Platform. Importante lembrar que esse provedor aceita apenas contas pessoais.
* **Google**
* **Mercado Livre**
OAuth 1
**Descrição**
OAuth 1 é um método de autenticação que permite a comunicação segura entre aplicações sem compartilhar as credenciais do usuário. Nesse caso, os tokens são gerados diretamente na plataforma à qual você deseja se conectar, como o NetSuite. Não é necessário fazer login por meio de um provedor externo, como o Google.
{% hint style="info" %}
Apenas o conector [**Oracle NetSuite**](https://app.gitbook.com/s/SKBJ6ZiEWBU93x170HH4/connectors/industry-solutions/oracle-netsuite) oferece suporte a esse tipo de conta.
{% endhint %}
**Parâmetros de configuração**
* **OAUTH\_TOKEN:** Token de acesso gerado na plataforma (por exemplo, no NetSuite) que identifica o usuário de integração.
* **REALM:** Identificador da conta ou domínio dentro da plataforma onde a integração está sendo realizada. No NetSuite, esse valor geralmente corresponde ao ID da conta.
* **OAUTH\_TOKEN\_SECRET:** Chave secreta associada ao token de acesso. Também é gerada na plataforma e usada junto com o token para autenticar as requisições de forma segura.
Certificate Chain
**Descrição**
Especifica uma cadeia de certificados para endpoints que exigem autenticação SSL bidirecional ou certificados de cliente. Os certificados devem estar no formato PEM e na ordem correta.
{% hint style="info" %}
Exemplos de conectores que oferecem suporte a esse tipo de conta:
* [**CMS**](https://app.gitbook.com/s/SKBJ6ZiEWBU93x170HH4/connectors/security/cms)
* [**MongoDB**](https://app.gitbook.com/s/SKBJ6ZiEWBU93x170HH4/connectors/structured-data/mongodb)
Se um conector oferecer suporte a esse tipo de conta, isso será indicado no parâmetro **Accounts** na documentação do conector.
{% endhint %}
**Parâmetros de configuração**
* **CHAIN:** Cadeia completa de certificados
* **PASSWORD:** Senha da chave privada (se necessário)
* **EXPIRATION DATE:** Data de expiração do certificado
**Exemplo de conversão com OpenSSL**
```shell
openssl pkcs12 -in meu_certificado.p12 -out meu_app.pem
```
**Exemplo de certificate chain**
```textproto
-----BEGIN CERTIFICATE-----
MIIEUTCCAzmgAwIBAgIBATANBgkqhkiG9w0BAQUFADBSMQswCQYDVQQGEwJVUzEj
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIEUTCCAAGVDSHVEbjhdbhjsjeiejAQUFADBSMQswCQYDVQQGEwJVUzEj
-----END CERTIFICATE-----
-----BEGIN RSA PRIVATE KEY-----
MIICWwIBAAKBgF2duc4+xxNKlMO9bUud4bzGnuATkQVX3bM/gzxISrgw7B1AzJwA
-----END RSA PRIVATE KEY-----
```
Secret Key
**Descrição**\
Usada por conectores de criptografia.
{% hint style="info" %}
Exemplo de conector que oferece suporte a esse tipo de conta:
* [**Orderful**](https://app.gitbook.com/s/SKBJ6ZiEWBU93x170HH4/connectors/industry-solutions/orderful)
Se um conector oferecer suporte a esse tipo de conta, isso será indicado no parâmetro **Accounts** na documentação do conector.
{% endhint %}
**Parâmetros de configuração**
* **KEY:** Chave secreta
Google Key
**Descrição**\
Chave de serviço para acessar APIs do Google.
{% hint style="info" %}
Exemplos de conectores que oferecem suporte a esse tipo de conta:
* [**REST V2**](https://app.gitbook.com/s/SKBJ6ZiEWBU93x170HH4/connectors/web-protocols/rest-v2)
* [**Google Cloud Functions**](https://app.gitbook.com/s/SKBJ6ZiEWBU93x170HH4/connectors/google-gcp/cloud-functions)
Se um conector oferecer suporte a esse tipo de conta, isso será indicado no parâmetro **Accounts** na documentação do conector.
{% endhint %}
**Parâmetros de configuração**
* **KEY:** Chave do Google
* **SCOPES:** Escopos de acesso separados por vírgulas. Veja [escopos do Google](https://developers.google.com/identity/protocols/oauth2/scopes).
**Exemplo de Google Key**
```json
{
"type": "service_account",
"project_id": "project_id",
"private_key_id": "dfdsfrfr43r43r4refbcceceabf8055a12a",
"private_key": "-----BEGIN PRIVATE KEY-----\n-----END PRIVATE KEY-----\n",
"client_email": "user@DOMAIN.iam.gserviceaccount.com",
"client_id": "123456576788888899",
"auth_uri": "https://accounts.google.com/o/oauth2/auth",
"token_uri": "https://accounts.google.com/o/oauth2/token",
"auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
"client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/storage%40project.iam.gserviceaccount.com"
}
```
Kerberos
**Descrição**\
Armazena Keytab para autenticação em ambientes Kerberos.
{% hint style="info" %}
Exemplos de conectores que oferecem suporte a esse tipo de conta:
* [**DB V2**](https://app.gitbook.com/s/SKBJ6ZiEWBU93x170HH4/connectors/structured-data/db-v2)
* [**Stream DB V3**](https://app.gitbook.com/s/SKBJ6ZiEWBU93x170HH4/connectors/structured-data/stream-db-v3)
Se um conector oferecer suporte a esse tipo de conta, isso será indicado no parâmetro **Accounts** na documentação do conector.
{% endhint %}
**Parâmetros de configuração**
* **KEYTAB:** Arquivo Keytab codificado em Base64
* **PRINCIPAL:** Usuário associado ao Keytab (por exemplo, usuario\@DOMINIO)
AWS V4
**Descrição**\
Usado para autenticar requisições a serviços da AWS com Signature Version 4.
{% hint style="info" %}
Exemplos de conectores que oferecem suporte a esse tipo de conta:
* [**AWS Security Token Service (STS)**](https://app.gitbook.com/s/SKBJ6ZiEWBU93x170HH4/connectors/aws/sts)
* [**DynamoDB**](https://app.gitbook.com/s/SKBJ6ZiEWBU93x170HH4/connectors/structured-data/dynamodb)
Se um conector oferecer suporte a esse tipo de conta, isso será indicado no parâmetro **Accounts** na documentação do conector.
{% endhint %}
**Parâmetros de configuração**
* **SERVICE-NAME:** Serviço AWS (por exemplo, S3, SQS)
* **ACCESS-KEY:** Chave de acesso da AWS
* **SECRET-KEY:** Chave secreta da AWS
* **SESSION-TOKEN:** Token de sessão temporário (se aplicável)
* **REGION:** Região de execução
AWS Role
**Descrição**\
Concede a um usuário AWS acesso temporário a uma função específica criada na AWS. Para usar esse recurso, uma conta **AWS V4** deve estar configurada.
Uma vez configurados corretamente ambos os tipos de conta, eles podem ser usados juntos em conectores que suportam o recurso assume role.
{% hint style="info" %}
Apenas o conector [**DynamoDB**](https://app.gitbook.com/s/SKBJ6ZiEWBU93x170HH4/connectors/structured-data/dynamodb) suporta esse recurso.
{% endhint %}
**Parâmetros de configuração**
* **ROLE-ARN:** Amazon Resource Name da função
* **ROLE-SESSION-NAME:** Identificador da sessão assume role
* **EXTERNAL-ID:** Identificador opcional para operações entre contas
**Exemplo de uso**
Suponha que você esteja usando o conector **DynamoDB** e queira que um usuário específico acesse um banco de dados para recuperar alguns dados. Você não quer que esse usuário tenha sempre acesso a esse banco ou possa realizar outras operações nele. Nesse caso, você pode configurar uma função na AWS e permitir que o usuário assuma temporariamente essa função para recuperar os dados necessários.
Para isso, selecione a conta **AWS V4** que deseja usar no conector **DynamoDB** e ative o parâmetro **Use Assume Role** na aba **Authentication**. Com essa opção ativa, é possível selecionar a conta **AWS Role** que concede ao usuário permissão para realizar a operação desejada.
{% hint style="warning" %}
Na AWS, é necessário configurar os usuários que podem acessar a função. Se essa configuração não for feita corretamente, o usuário da conta **AWS V4** selecionada não conseguirá assumir a função, mesmo que as contas **AWS V4** e **AWS Role** estejam selecionadas no conector.
{% endhint %}
OAuth Provider
**Descrição**\
Autorização via OAuth, suportada apenas pelo conector [Salesforce](https://app.gitbook.com/s/SKBJ6ZiEWBU93x170HH4/connectors/enterprise-applications/salesforce).
{% hint style="info" %}
Exemplos de conectores que oferecem suporte a esse tipo de conta:
* [**Marketo**](https://app.gitbook.com/s/SKBJ6ZiEWBU93x170HH4/connectors/industry-solutions/marketo)
* [**Salesforce**](https://app.gitbook.com/s/SKBJ6ZiEWBU93x170HH4/connectors/enterprise-applications/salesforce)
Se um conector oferecer suporte a esse tipo de conta, isso será indicado no parâmetro **Accounts** na documentação do conector.
{% endhint %}
**Parâmetros de configuração**
* **CLIENT-ID:** Identificador da aplicação
* **CLIENT-SECRET:** Segredo da aplicação
SMTP Auth and Properties
**Descrição**\
Configura credenciais SMTP para envio de emails com o Mail Connector.
{% hint style="info" %}
Exemplos de conector que oferece suporte a esse tipo de conta:
* [**Store Account**](https://app.gitbook.com/s/SKBJ6ZiEWBU93x170HH4/connectors/tools/store-account) (para armazenamento dinâmico de dados)
Se um conector oferecer suporte a esse tipo de conta, isso será indicado no parâmetro **Accounts** na documentação do conector.
{% endhint %}
**Parâmetros de configuração**
* **HOST:** Host do servidor SMTP
* **PORT:** Porta do servidor SMTP
* **USERNAME:** Endereço de email
* **PASSWORD:** Senha do email
* **STARTTLS\_ENABLE:** “true” ou “false” para acesso SSL
* **AUTH:** Tipo de autenticação
NTLM
**Descrição**\
Conjunto de protocolos de segurança da Microsoft para autenticação, integridade e confidencialidade. Suportado via conector [**SOAP V3**](https://app.gitbook.com/s/SKBJ6ZiEWBU93x170HH4/connectors/web-protocols/soap-v3).
{% hint style="danger" %}
O NTLM usa algoritmos de criptografia antigos (DES, RC4) com vulnerabilidades conhecidas. Substitua por **Kerberos** sempre que possível e implemente políticas de segurança mais rígidas.
{% endhint %}
**Parâmetros de configuração**
* **USERNAME:** Nome de usuário
* **PASSWORD:** Senha do usuário
* **DOMAIN (opcional):** Nome do domínio
* **HOSTNAME (opcional):** Nome do host
Azure Key
**Descrição**\
Usada para conectar ao **Azure Key Vault**. As chaves podem ser encontradas no **Default Directory** em **App Registrations**:
* **CLIENT-ID** e **TENANT-ID** em **Overview**
* **CLIENT-SECRET** em **Certificates & secrets**
{% hint style="info" %}
Exemplos de conectores que oferecem suporte a esse tipo de conta:
* [**Azure Key Vault**](https://app.gitbook.com/s/SKBJ6ZiEWBU93x170HH4/connectors/azure/key-vault)
* [**Email V2**](https://app.gitbook.com/s/SKBJ6ZiEWBU93x170HH4/connectors/web-protocols/email-v2)
Se um conector oferecer suporte a esse tipo de conta, isso será indicado no parâmetro **Accounts** na documentação do conector.
{% endhint %}
**Parâmetros de configuração**
* **CLIENT-SECRET:** Segredo do cliente
* **CLIENT-ID:** ID da aplicação (cliente)
* **TENANT-ID:** ID do diretório (tenant)
### **Editando uma conta**
Para editar uma conta, acesse a página **Contas** e clique no **ícone de lápis** no menu **Ações**.
Você pode:
* Atualizar a descrição.
* Marcar a conta como descontinuada. [Saiba mais sobre descontinuar uma conta.](#descontinuando-uma-conta)
* Definir novas regras de **Disponibilidade no Projeto**.
* Atualizar credenciais para todos os ambientes. Credenciais sensíveis não ficam visíveis, mas você pode adicionar novas.
* Ver todos os pipelines que usam a conta. Observe que, se a conta for editada, qualquer pipeline implantado deve ser reimplantado para aplicar as alterações.
Após editar a conta, uma janela de confirmação aparece. Digite “Quero editar a conta” no campo **Mensagem de confirmação** e clique em **Editar**.
Todas as alterações são aplicadas imediatamente aos pipelines que usam a conta e ainda não foram implantados.
### **Descontinuando uma conta**
Descontinuar uma conta a torna indisponível para novos pipelines ou novas versões de pipelines. Implantações existentes continuarão funcionando, a menos que sejam reimplantadas.
Para descontinuar uma conta:
1. Abra a página **Contas** e clique no **ícone de lápis** ao lado da conta.
2. Ative a opção **Descontinuada**.
3. Clique em **Salvar**.
{% hint style="danger" %}
Essa ação é irreversível.
{% endhint %}
### **Excluindo uma conta**
Excluir uma conta a remove permanentemente da Plataforma. Não é possível excluir contas que estejam em uso em pipelines, implantados ou não. Para prosseguir, remova ou substitua a conta em todos os pipelines antes de excluí-la.
Para excluir uma conta:
1. Abra a página **Contas**.
2. Clique no **ícone de lixeira** ao lado da conta.
3. Clique em **Remover** na janela de confirmação.
### **Usando contas**
As contas são usadas dentro de pipelines e cápsulas para fornecer acesso seguro a serviços externos por meio de conectores que suportam o campo **Account**. Quando um conector requer uma conta, o campo **Account** aparece em seu formulário de configuração, permitindo que você selecione a conta apropriada para essa integração.
{% hint style="info" %}
As contas só estão disponíveis em pipelines criados dentro dos projetos em que são permitidas, garantindo que as credenciais sensíveis permaneçam restritas a projetos autorizados. Em cápsulas, as contas estão disponíveis sem restrição.
{% endhint %}
Exemplo de configuração de um conector no pipeline com credenciais de conta.
