Autenticação

A autenticação estabelece quem você é antes de a plataforma decidir o que pode fazer. A Mirox combina um início de sessão seguro, proteção opcional de dois fatores, visibilidade total das sessões e tokens de API máquina-a-máquina, para que apenas você — e as integrações que autoriza explicitamente — possam aceder aos seus dados.

Como Inicia Sessão

Inicia sessão com o seu nome de utilizador ou e-mail e a sua palavra-passe. Um início de sessão bem-sucedido inicia uma sessão que o mantém autenticado em toda a aplicação web, sem ter de reintroduzir as credenciais em cada pedido.

  • Registo apenas por convite — Em produção, as novas contas são criadas através de um convite. Se não tiver um convite, pode submeter um pedido de acesso e os operadores da organização são notificados para o convidarem.
  • Verificação de e-mail — As novas contas confirmam o seu endereço através de uma hiperligação de verificação antes de ficarem ativas. As contas criadas a partir de um convite são pré-aprovadas.
  • Reposição de palavra-passe — Pode solicitar uma hiperligação de reposição a qualquer momento. A conclusão de uma reposição termina todas as sessões ativas e notifica-o por e-mail.
  • Alertas de início de sessão — Recebe um e-mail quando um início de sessão chega de um novo dispositivo ou de uma nova localização, e quando uma tentativa de início de sessão falha.

Info

A Mirox nunca revela a um estranho se um endereço de e-mail tem uma conta. As respostas à reposição de palavra-passe e ao pedido de acesso são idênticas, exista ou não o endereço, pelo que a superfície de início de sessão não divulga qualquer informação sobre a conta.

Autenticação de Dois Fatores

A autenticação de dois fatores (2FA) adiciona uma segunda prova de identidade sobre a sua palavra-passe, utilizando uma palavra-passe de utilização única baseada no tempo (TOTP) de uma aplicação autenticadora.

  • Configuração — Inicie a configuração para receber um código QR e um segredo para digitalizar na sua aplicação autenticadora. A 2FA só fica ativa depois de confirmar um primeiro código, pelo que uma aplicação mal configurada nunca o pode deixar bloqueado de fora.
  • Aplicação no início de sessão — Quando a 2FA está ativa, o início de sessão pede um código atual de 6 dígitos antes de conceder a sessão. A janela do código tolera os intervalos adjacentes, pelo que um código que muda a meio da introdução continua a funcionar.
  • Desativar / verificar — Pode desativar a 2FA com um código válido, ou executar uma verificação "validar o meu código" sem alterações a partir do seu perfil para confirmar que a sua aplicação está sincronizada.

Código de Recuperação

Quando ativa a 2FA, recebe um único código de recuperação de 8 carateres. Utilize-o se perder o acesso à sua aplicação autenticadora.

  • O código de recuperação é de utilização única. Assim que o utiliza, é emitido automaticamente um novo código de recuperação — anote o novo.
  • Pode regenerar o código de recuperação a qualquer momento (com um código 2FA válido), o que invalida o anterior.
  • Se iniciar sessão com o código de recuperação através do fluxo de recuperação dedicado, a 2FA também é desativada, para que a possa restabelecer de forma limpa.

Aviso

Você só tem um código de recuperação de cada vez — isto não é uma lista imprimível de dez. Guarde o código atual num local seguro e atualize o seu registo sempre que um novo for emitido.

Gestão de Sessões

Cada dispositivo a partir do qual inicia sessão cria uma sessão, e você mantém o controlo de todas elas.

  • Veja as suas sessões — Visualize todas as sessões ativas com a sua localização (cidade / país), navegador, sistema operativo e qual delas é a sua sessão atual.
  • Termine sessão remotamente — Revogue qualquer outra sessão individualmente, ou revogue todas as outras sessões de uma só vez mantendo a atual. As sessões revogadas deixam de funcionar imediatamente.
  • Identidade em autosserviço — Altere a sua palavra-passe, nome de utilizador ou e-mail a partir do seu perfil. Alterar a palavra-passe termina as suas outras sessões; alterar o e-mail mantém o endereço antigo ativo até o novo ser verificado.

Tokens de API

Para integrações e scripts que comunicam com a Mirox sem um navegador, cria tokens de API — credenciais de longa duração com âmbito definido por um grupo de permissões em vez de pela sua conta completa.

  • Acesso com âmbito — Cada token está associado a um grupo de permissões, pelo que só pode fazer o que esse grupo permite, nunca mais do que o seu próprio acesso.
  • Rotação — Faça a rotação de um token para emitir um novo segredo e retirar o antigo instantaneamente, sem necessidade de eliminar e recriar a integração.
  • Visibilidade — Liste os seus tokens para ver o respetivo grupo de permissões, datas de criação e expiração, e onde foram utilizados pela última vez.

A criação ou rotação de um token requer uma sessão interativa (com sessão iniciada) — um token nunca pode ser utilizado para criar ou fazer a rotação de outro token. Consulte Tokens de API para conhecer os grupos de permissões disponíveis, os limites e os detalhes de utilização.

Limitação de Taxa

Para manter a plataforma estável e proteger as contas de tentativas de força bruta, o início de sessão e outros endpoints sensíveis (início de sessão, registo, pedidos de acesso, reposição de palavra-passe e verificação de sessão) têm a taxa limitada por utilizador e por endereço IP público.

Aviso

Quando excede o limite, o pedido devolve uma resposta HTTP 429 (Too Many Requests) e a origem é temporariamente bloqueada. Integre recuo exponencial em qualquer integração automatizada, para que uma rajada de pedidos não acione um bloqueio.

Acesso Administrativo

Em raras situações de suporte, um administrador da plataforma Mirox pode aceder temporariamente à sua conta para investigar um problema em seu nome.

  • Isto exige um motivo registado e é guardado num registo de auditoria dedicado.
  • Apenas as contas de utilizador padrão podem ser acedidas desta forma — os administradores não o podem fazer uns aos outros.
  • O acesso é de curta duração e termina automaticamente; enquanto está ativo, um banner torna o acesso visível.

Trabalhar com o Sistema de Permissões

A autenticação responde a quem você é; o sistema de permissões responde a o que pode aceder. Os dois trabalham em conjunto em cada pedido:

  1. A autenticação estabelece a sua identidade a partir da sua sessão ou do token de API.
  2. O sistema de permissões avalia o que essa identidade está autorizada a fazer.
  3. Cada operação é verificada em relação às suas permissões antes de ser executada.

Esta separação mantém o controlo de acesso flexível sem enfraquecer a garantia de que você só vê os seus próprios recursos.

Funcionalidades Relacionadas

  • Sistema de Permissões — como as funções e o acesso a recursos são avaliados depois de iniciar sessão
  • Tokens de API — credenciais com âmbito e roteáveis para acesso máquina-a-máquina
  • Registo de Auditoria — o registo imutável dos acessos às suas centrais e dispositivos
  • Convites — como os novos utilizadores e organizações são integrados
MIT Licensed | Copyright 2026 Mirox Verwaltungs GmbH