Proxy (Acesso Web aos Dispositivos do Parque)
O Proxy da plataforma Mirox permite o acesso direto às interfaces web dos dispositivos na rede do parque — sem cliente VPN, sem instalação local, puramente através do navegador. As interfaces de configuração de inversores, os painéis de data-loggers, as interfaces de câmaras, as páginas web de armários de comando ou as ferramentas de serviço auto-alojadas tornam-se acessíveis através de um URL Mirox único — autenticadas pela conta Mirox do utilizador e totalmente auditadas.
Conceito
O Proxy preenche a lacuna entre a VPN e um painel de cloud clássico:
- Sem necessidade de VPN: Não é necessária a instalação de um perfil VPN. Qualquer utilizador com a função adequada e um navegador normal pode abrir as interfaces dos dispositivos.
- Interface genuína do dispositivo: O utilizador vê e opera a interface original e inalterada do dispositivo, não uma versão simplificada renderizada pela Mirox.
- URL único por dispositivo: Cada alvo acessível tem o seu próprio URL no formato
<id>.proxy.mirox.io. Este URL pode ser guardado ou partilhado (o destinatário tem, por sua vez, de estar autorizado). - Totalmente auditado: Cada chamada, cada transação HTTP e cada ligação WebSocket alimentam um registo de auditoria conforme com KRITIS / NIS2.
O Que o Proxy Oferece
Acesso Direto às Interfaces Web dos Dispositivos
Quando um operador do parque configura um alvo web para um dispositivo de rede, esse alvo torna-se acessível através de um subdomínio Mirox único. O navegador vê:
- Uma ligação HTTPS regular ao domínio Mirox com um certificado wildcard válido
- O conteúdo inalterado do dispositivo (HTML, CSS, JavaScript, imagens, streams, carregamentos de ficheiros, …)
- Funcionalidade interativa completa, incluindo formulários, descargas de ficheiros e streams WebSocket (p. ex. consolas em tempo real, streams de vídeo, gráficos em tempo real)
O utilizador autentica-se uma vez na Mirox; a sessão permanece válida para todas as interfaces de dispositivos concedidas em todos os parques.
Duas Camadas de Autenticação
Importante: o Proxy trata apenas do transporte e do controlo de acesso do lado da Mirox ao dispositivo — o próprio dispositivo pode adicionalmente exigir o seu próprio início de sessão (normalmente nome de utilizador/palavra-passe, por vezes chaves API ou tokens específicos do dispositivo). Existem, portanto, duas camadas de autenticação independentes:
- Autenticação Mirox (aplicada pelo Proxy): Quem está sequer autorizado a abrir o dispositivo? Verificada em relação ao início de sessão Mirox e às permissões do parque.
- Autenticação do dispositivo (aplicada pelo próprio dispositivo): Quem está autorizado a tomar que ações no dispositivo? O formulário de início de sessão do dispositivo simplesmente aparece no navegador; o utilizador autentica-se com as credenciais fornecidas pelo fabricante ou pelo operador do parque.
A Mirox regista (ver Registo de Auditoria) quem acedeu a qual dispositivo e a quais páginas — mas a autoridade sobre as permissões internas do dispositivo (p. ex. "modo de manutenção", "alteração de configuração") permanece com o próprio início de sessão do dispositivo.
Armazenamento Seguro das Credenciais dos Dispositivos
Para que nem todos os colaboradores autorizados tenham de conhecer as credenciais de cada dispositivo (e ninguém tenha de memorizar uma palavra-passe pessoalmente ou guardá-la numa ferramenta insegura), a Mirox oferece um cofre de credenciais central e cifrado. Os operadores do parque podem armazenar uma vez as credenciais de acesso dos seus dispositivos, após o que ficam disponíveis para os utilizadores autorizados de forma cómoda quando abrem o alvo web — sem distribuir as palavras-passe em texto simples.
Benefícios:
- Sem distribuição de palavras-passe em texto simples por e-mail, chat ou nota adesiva.
- Utilização auditável: Quem acedeu a quê usando credenciais armazenadas é registado no registo de auditoria KRITIS / NIS2.
- Rotação central: Quando a palavra-passe de um dispositivo muda, é atualizada uma vez na Mirox e fica imediatamente eficaz para todos os colaboradores autorizados.
- Vinculada a permissões: O acesso às credenciais armazenadas segue as mesmas permissões de parque e de função que o próprio acesso ao dispositivo.
Acesso Predefinido e Alvos Web Adicionais
Para cada dispositivo de rede que o sistema deteta, a porta web padrão é detetada automaticamente e tornada acessível sem configuração adicional. Os dispositivos recém-detetados podem, portanto, ser examinados no navegador de imediato, sem que o operador do parque tenha de configurar nada previamente.
Se um dispositivo tiver múltiplas interfaces web relevantes (p. ex. uma interface de serviço, um painel de diagnóstico separado e uma página de configuração), o operador do parque pode definir alvos web adicionais. Cada alvo web recebe um nome significativo e o seu próprio URL Mirox, para que todas as interfaces fiquem disponíveis de forma organizada lado a lado.
Cada alvo web — incluindo o acesso predefinido — pode ser ativado ou desativado individualmente pelo operador do parque. Um alvo web desativado deixa de estar acessível através do proxy, enquanto todos os outros alvos do dispositivo e do parque continuam a funcionar. Isto torna o acesso por proxy controlável com granularidade fina, sem bloquear todo o parque.
Protocolos Suportados
- HTTP (todos os métodos, incluindo carregamentos de ficheiros de tamanho arbitrário)
- Endpoints HTTPS (o TLS termina no agente do parque)
- WebSockets, totalmente bidirecionais
- Server-Sent Events (SSE) e outros streams de longa duração (sem limite de tempo na sessão global)
- Descargas de ficheiros (em streaming, sem limite de tamanho)
Mensagens de Erro Resilientes
Quando algo não funciona, o proxy devolve uma mensagem de erro clara com informação de diagnóstico em vez de uma página 502 anónima. O utilizador pode ver, por exemplo, se
- o dispositivo alvo não está acessível,
- o agente do parque ainda não está pronto,
- o parque não tem um agente data-scraper instalado,
- ou se uma resposta veio efetivamente do próprio dispositivo.
Esta informação é útil para a resolução de problemas sem que o utilizador tenha de consultar ficheiros de log.
Segurança e Controlo
Autenticação através da Conta Mirox
O Proxy requer um cookie Mirox válido. Os navegadores sem sessão iniciada são redirecionados para a página de início de sessão Mirox normal e, após o início de sessão bem-sucedido, encaminhados automaticamente para o dispositivo solicitado.
Verificação de Permissões por Parque
Em cada pedido, o sistema verifica se o utilizador com sessão iniciada tem a permissão necessária para este parque específico. A verificação respeita o sistema de permissões completo, incluindo a adesão à organização, as cooperações e as funções. Sem a permissão necessária, o utilizador recebe uma resposta 403.
Tratamento Seguro de Redirecionamentos
Se o dispositivo alvo emitir redirecionamentos próprios (p. ex. após um início de sessão para um URL interno diferente), o proxy normaliza-os para que o navegador nunca veja endereços internos da Mirox nem IPs do parque. O URL permanece consistentemente no formato <id>.proxy.mirox.io.
Endpoint de Diagnóstico para Verificações de Conectividade
Um endpoint de diagnóstico reservado permite a um operador verificar que a autenticação e o encaminhamento do lado da plataforma funcionam corretamente — sem contactar nenhum dispositivo específico. Isto torna possível distinguir problemas da plataforma de problemas do parque.
Auditoria e Conformidade
Cada chamada através do Proxy alimenta um registo de auditoria conforme com KRITIS / NIS2 na Camada 7 (HTTP). O registo de auditoria captura:
- Quem realizou a sessão (instantâneo da conta e do e-mail no início da sessão)
- Que dispositivo e que alvo web foram acedidos
- Quando a sessão começou e terminou
- Número de pedidos e os métodos HTTP utilizados
- Volume de dados transferido (entrada / saída)
- Os URLs efetivamente chamados (as query strings são redigidas)
- Endereço IP público, localização e informação do navegador do utilizador
- Uma descrição curta gerada por IA da atividade ("Alteração de configuração no inversor", "Acesso de leitura à página de diagnóstico" …). Se a IA não estiver disponível no encerramento da sessão, a descrição é preenchida posteriormente — faz parte fixa de cada sessão, não é opcional.
Uma sessão é automaticamente encerrada quando decorrem 10 minutos de inatividade. A atividade após esse período inicia uma nova sessão.
O registo de auditoria do Proxy é apresentado numa vista de acessos unificada juntamente com o registo de auditoria da VPN para o operador do parque e é conservado durante pelo menos 730 dias. Para mais detalhes, consulte Registo de Auditoria.
Distinção de Funcionalidades Relacionadas
| Funcionalidade | Quando é útil | Requisitos para o utilizador |
|---|---|---|
| Proxy (esta página) | "Quero abrir rapidamente a interface de um dispositivo no meu navegador, possivelmente a partir de uma máquina de terceiros." | Apenas um navegador e o início de sessão Mirox. Sem instalação. |
| VPN | "Quero usar SSH, Modbus, os meus próprios scripts ou ferramentas arbitrárias contra dispositivos em vários parques." | Instalação única de um perfil VPN por dispositivo. |
| VPN direta do parque | Acesso clássico ao parque (um perfil por parque) | Configuração separada por parque. |
Funcionalidades Relacionadas
- VPN — túnel pessoal para ferramentas além do navegador
- Registo de Auditoria de Acessos — vista de acessos unificada de todas as sessões de VPN e Proxy
- Sistema de Permissões — funções, permissões ao nível da função e cooperações
- Inspetor de Rede Local — deteção automática de novos dispositivos de rede