Funcionamento

O GuardianKey Auth Bastion Enterprise atua como uma camada intermediária de segurança que intercepta e protege acessos a sistemas web, com foco em autenticação multifator (MFA), integração com GovBR (OAuth2) e políticas de controle avançadas.

Sua operação é baseada em um proxy reverso configurável, que protege rotas sensíveis — especialmente as relacionadas ao login de usuários — sem impactar o restante das funcionalidades do sistema original. A seguir, detalha-se seu funcionamento interno.

📌 TOC (Table of Contents)

Funcionamento

🔄 Interceptação de Requisições e Atuação como Proxy

O bastião funciona como um proxy reverso transparente, atuando como ponte entre o cliente e o sistema protegido. Ele não altera o conteúdo das requisições e respostas, nem reescreve URLs, garantindo total compatibilidade com qualquer sistema web.

Características principais:

Protege URLs específicas (ex: /login, /auth) de acordo com a configuração por sistema.
Permite múltiplos sistemas e domínios integrados simultaneamente, com regras específicas por host/path.
Não interfere nas demais URLs do sistema (estático, APIs, dashboard etc.).
Suporta restrições de geolocalização, permitindo bloquear ou liberar acessos com base no país de origem do IP.

🔐 Fluxo de Autenticação em Dois Fatores

O fluxo padrão de autenticação com MFA funciona da seguinte forma:

O usuário acessa a URL de login do sistema protegido.
O bastião intercepta a requisição e verifica se o usuário já passou pela verificação do segundo fator.
Se não houver validação ativa, o bastião redireciona o usuário para a interface de autenticação do segundo fator.
O segundo fator pode ser:
- Token TOTP (Google Authenticator, Authy etc.)
- Token enviado por e-mail
- Token enviado por SMS
- Outro meio de comunicação configurado
Após a validação do token, o usuário é liberado para acessar o formulário original de login do sistema.

Esse processo garante que nenhuma requisição ao sistema principal aconteça sem a validação prévia do segundo fator, bloqueando acessos automatizados e maliciosos na borda da aplicação.

👤 Cadastro e Gestão do Segundo Fator

O bastião mantém um cadastro próprio de usuários MFA, independente do sistema protegido. O registro pode ocorrer de forma:

Automática, quando o identificador do usuário é um e-mail (por exemplo, capturado da requisição).
Assistida, quando o bastião coleta as credenciais do usuário, valida diretamente no sistema protegido e confirma a autenticidade com base no retorno da resposta (ex: status, parâmetros ou conteúdo da página).

Após a verificação, o bastião cria o cadastro do segundo fator localmente, armazenando os dados em seu próprio banco de dados com criptografia de alto nível.

✅ Validação do Token e Suporte a Múltiplos Canais

A validação do segundo fator é realizada pelo próprio bastião, de forma independente e segura.

Recursos:

Suporte completo a TOTP RFC 6238
Validação de tokens enviados por e-mail ou SMS
Expiração configurável do token
Possibilidade de reenvio do token, com limitação por tempo ou tentativa
Flexibilidade para integração com sistemas externos de notificação ou autenticação

🆔 Integração com GovBR (OAuth2/OIDC)

A solução possui suporte nativo e opcional à integração com o login GovBR (protocolo Oauth2/Openid Connect), implementada 100% na camada do bastião.

Como funciona:

O bastião oferece a opção de login via GovBR diretamente em sua interface de acesso.
O fluxo OAuth2 é conduzido pelo próprio bastião, que lida com o redirecionamento, autorização e troca de tokens.
Após o login bem-sucedido, o bastião associa o usuário GovBR a um identificador interno, por meio de um agente integrador configurável (adaptável por linguagem ou tecnologia do sistema protegido).
O usuário pode então ser encaminhado diretamente ao sistema, ou passar pela etapa do segundo fator, conforme política definida.

Essa funcionalidade permite que sistemas legados passem a oferecer autenticação federada sem qualquer alteração em seu código-fonte.

🔁 Suporte a Logout Seguro

O bastião também intercepta o logout e garante que todas as sessões e autenticações associadas ao segundo fator ou login GovBR sejam invalidadas corretamente, evitando persistência indesejada de autenticação.

🔒 Segurança Avançada e Integração com GuardianKey

O GuardianKey Auth Bastion Enterprise pode ser integrado com outras soluções da plataforma GuardianKey para reforço de segurança adaptativa:

GuardianKey Auth Security: analisa o risco da tentativa de autenticação (geolocalização, IP, comportamento, etc.) e permite ações condicionais com base em score de risco.
GuardianKey GKTinc Enterprise: mecanismo de dissuasão de ataques automatizados, que aplica um desafio criptográfico via JavaScript no navegador do cliente para comprovar interação humana.

Com isso, o bastião não apenas controla a autenticação, mas também atua como componente ativo de defesa contra ataques automatizados e direcionados.

📌 TOC (Table of Contents)​

🔄 Interceptação de Requisições e Atuação como Proxy​

Características principais:​

🔐 Fluxo de Autenticação em Dois Fatores​

👤 Cadastro e Gestão do Segundo Fator​

✅ Validação do Token e Suporte a Múltiplos Canais​

Recursos:​

🆔 Integração com GovBR (OAuth2/OIDC)​

Como funciona:​

🔁 Suporte a Logout Seguro​

🔒 Segurança Avançada e Integração com GuardianKey​

🧭 Diagrama Resumido do Fluxo​