Informações sobre a integração com o SIAFI
Atenção: a partir de Setembro/2025 o SIAFI Web não aceitará mais inclusão de certificado digital (CD) de equipamento SSL para as integrações, somente Certificado de aplicação ICP-Brasil. Quem já possui integração com CD de equipamento continuará utilizando o mesmo até seu vencimento.
Para viabilizar a integração de sistemas externos ao SIAFI web, os responsáveis pelos sistemas externos devem seguir os seguintes passos:
1º Passo: Conhecer previamente a tecnologia utilizada
A oferta de serviços do SIAFI Web via APIs/webservices se fundamenta basicamente em três tecnologias:
- Web Services Description Language (WSDL): Define a interface de acesso ao serviço;
- Simple Object Access Protocol (SOAP): Um protocolo baseado em XML. Permite que os clientes se comuniquem com os provedores de serviço;
- Universal Description, Discovery and Integration (UDDI): Permite Web services registrarem suas características, permitindo que outras aplicações as encontrem.
Independentemente da tecnologia escolhida para implementação do sistema cliente dos serviços do SIAFI Web, todos os gestores dos sistemas que desejam se integrar ao SIAFI Web devem ter domínio sobre o uso das tecnologias listadas acima.
Todos os serviços ofertados pelo SIAFI Web estão aderentes à arquitetura e-PING (Padrões de Interoperabilidade de Governo Eletrônico) que define um conjunto mínimo de premissas, políticas e especificações técnicas que regulamentam a utilização da Tecnologia de Informação e Comunicação (TIC) no governo federal, estabelecendo as condições de interação com os demais Poderes e esferas de governo e com a sociedade em geral.
2º passo: Conhecer o catálogo de serviços do SIAFI Web
Acesse essa página para conhecer os serviços disponíveis.
É de extrema importância que trabalhem nessa integração pessoas da área de tecnologia, que seria o desenvolvedor, e pessoas da área de negócio.
A área de negócio vai saber quais serviços vão atender suas necessidades e ajudar o desenvolvedor a estruturar a chamada a esses serviços indicando qual informação deve ir em cada campo.
3º passo: Gerar um certificado digital de aplicação
Para estabelecimento de uma conexão segura entre o SIAFI Web e o sistema cliente, faz-se necessário o estabelecimento de uma Autenticação Mútua entre os sistemas que criará um canal seguro para troca de informações. Deve ser usado o protocolo https para efetuar transações online seguras.
Para estabelecimento desse canal seguro o sistema cliente deverá possuir um certificado de Aplicação assinado por uma das autoridades certificadoras da ICP-Brasil.
O certificado do tipo A1 Aplicação tem validade de 1 ano. Após esse período, os sistemas clientes devem gerar um novo certificado (3º passo) e cadastrá-lo no SIAFI Web, utilizando a transação CONSISORIG (4º passo).
O certificado de aplicação gerado para o ambiente de produção, também pode ser utilizado nos testes de integração realizados no ambiente de homologação.
4º passo: Cadastrar o certificado gerado no SIAFI Web
É de responsabilidade do Órgão as informações geradas no ambiente de Produção e também é de sua responsabilidade que as mesmas estejam corretas. O ambiente de Homologação é disponibilizado justamente para que todos os testes sejam feitos antes do envio de dados reais.
É recomendado que o órgão só cadastre o sistema cliente no ambiente de Produção após cadastrar o sistema no ambiente de homologação e realizar os testes necessários.
Ambiente de Homologação: https://homext-siafi.tesouro.gov.br
Ambiente de Produção: https://siafi.tesouro.gov.br/
Os órgãos que desejam integrar seus sistemas ao SIAFI Web via Web Services devem utilizar a transação INCSISORIG (Incluir Sistema de Origem) para cadastrar seus sistemas. Esse cadastro deve ser feito por um usuário da área de negócio com acesso ao SIAFI Web.
Para realizar o cadastro do Sistema Externo no SIAFI Web, as seguintes informações devem ser fornecidas:
- Sigla do sistema cliente;
- Sigla do Órgão ao qual o sistema pertence;
- Nome do Sistema (Tradução da SIGLA juntamente com informações que julgar pertinente);
- Informações para contato;
- Arquivo do Certificado Digital de Aplicação do sistema cliente no formato padrão X509, como por exemplo com extensão ".cer", ".crt", ".p7b", ".pem".
Após a inclusão do sistema cliente, o certificado digital de Aplicação já poderá ser utilizado para constituir um canal de confiança com autenticação mútua por HTTPS entre o sistema cliente e o SIAFI Web.
Importante: Os sistemas clientes cadastrados pelo órgão podem ser consultados e alterados na transação CONSISORIG. Para mais detalhes desta transação, acessar o
endereço: http://manualsiafi.tesouro.gov.br/administracao-do-sistema/web- service/consisorig-consultar-sistema-de-origem.
Em caso de dúvida sobre o cadastrador, abrir um chamado no E-serviços (e- servicos.tesouro.gov.br), categoria Universo Siafl, subcategoria Siafl, serviço Consulta a cadastradores de Unidade gestora do Siafl ou Consulta Cadastradores — Tesouro Nacional.
Para realizar a habilitação do usuário no ambiente de homologação do SIAFI Web, ver as instruções em Ambientes e instruções de acesso — Tesouro Nacional.
Para acessar o SIAFI Web HE o usuário precisa ter uma conta Gov.br homologação. Caso não tenha, será direcionado para a criação quando tentar acessar pela primeira vez o sistema. A criação dessa conta é simples e rápida, basta seguir os passos que serão apresentados.
5º passo: Testar a comunicação com o SIAFI Web
O gestor do sistema cliente deve verificar se é possível criar o canal seguro através da autenticação mútua. Para isso deverá seguir os seguintes passos:
1 - Importar o arquivo do certificado de aplicação no browser. Para realizar a importação no browser, o usuário deve acessar a área de criptografia do browser e importar o arquivo do certificado na aba 'Seus certificados'.
2 - Acessar a URL do WSDL do SIAFI Web para o ambiente e ano desejado conforme descrito no catálogo de serviços do SIAFI Web.
Para testes de comunicação o Tesouro Nacional recomenda a utilização do navegador Mozilla Firefox.
No firefox: vá em Editar -> Preferências -> Criptografia -> Certificados → Seus certificados
Depois acessar uma das URLs abaixo de acordo com o ambiente cujo acesso foi solicitado:
Homologação: https://homextservicos- siafi.tesouro.gov.br/siafi<ano>he/services/cpr/manterContasPagarReceber?wsdl
Produção: https://servicos- siafi.tesouro.gov.br/siafi<ano>/services/cpr/manterContasPagarReceber?wsdl
onde <ano> é o ano do exercício. Ex: 2025.
Caso o WSDL seja aberto pelo browser, o cadastro foi realizado com sucesso. Caso contrário, acesse o nosso portal de Serviços através do link e-Serviços: Portal de Serviços do Tesouro Nacional, escolha a opção WEBSERVICES e abra um chamado para análise do problema.
6º passo: Solicitar um usuário SIAFI
Cada mensagem emitida pelo sistema cliente terá que conter os dados de autenticação de um usuário também habilitado no SIAFI. Sendo assim, todas as requisições serão associadas não somente ao sistema cliente, mas também a um usuário com CPF no SIAFI.
Por este motivo, além do cadastro do sistema externo, é necessário que os usuários deste sistema estejam também cadastrados no SIAFI e com o perfil de acesso de acordo com as transações que serão utilizadas via webservices. Este cadastro é exatamente o mesmo necessário para o sistema online e quem já possui acesso à interface web não precisa solicitar nova habilitação.
Aqueles que ainda não tem acesso ao SIAFI, devem procurar o cadastrador no seu órgão e solicitar sua habilitação. Importante ressaltar que a concessão de acesso a cada um dos ambientes (Homologação e Produção) é feita separadamente e o usuário deve solicitar o acesso para todos os sistemas aos quais precise utilizar.
Em caso de dúvida sobre o cadastrador, abrir um chamado no E-serviços (e- servicos.tesouro.gov.br), categoria Universo Siafl, subcategoria Siafl, serviço Consulta a cadastradores de Unidade gestora do Siafl ou Consulta Cadastradores — Tesouro Nacional.
Para realizar a habilitação do usuário no ambiente de homologação do SIAFI Web, ver as instruções em Ambientes e instruções de acesso — Tesouro Nacional.
Para acessar o SIAFI Web HE o usuário precisa ter uma conta Gov.br homologação. Caso não tenha, será direcionado para a criação quando tentar acessar pela primeira vez o sistema. A criação dessa conta é simples e rápida, basta seguir os passos que serão apresentados.
7º passo: Implementar solução cliente
Depois que o sistema estiver cadastrado e a comunicação tiver sido testada, haverá uma etapa de homologação na qual o sistema terá acesso não ao ambiente de produção do SIAFI Web, mas a um ambiente específico de testes (Homologação) no qual o sistema poderá estabilizar a integração sem comprometer os dados de produção.
Para homologar a comunicação e as funcionalidades do sistema cliente, a STN disponibiliza o ambiente de Homologação para este fim.
Observação: A STN e o SERPRO não são responsáveis pela implementação do sistema cliente!
Funcionamento:
Qualquer sistema cliente devidamente habilitado pode enviar mensagens SOAP para a interface do SIAFI. Estas mensagens, se estiverem consistentes com a especificação de interface publicada, serão processadas e respondidas de maneira síncrona.
Para evitar que problemas de rede resultem em duplicidade de requisições, as mensagens sofrem controle de bilhetagem. Desta maneira, o SIAFI Web não aceita reenvio de requisição se esta altera a base do sistema.
Exemplos de utilização:
Mensagem de Inclusão de Documento Hábil[MMFL1] (compatível com a Documentação de Serviços de Interoperabilidade - Manter Contas a Pagar e Receber - Versão [3.9]).
Mensagem de Inclusão de Programação Financeira[MMFL2] (compatível com a Documentação de Serviços de Interoperabilidade - Manter Programação Financeira - Versão [2.8]).
Orientações sobre os XSD (XML Schema Definition)
Para as operações disponíveis somente por webservice, a forma de obter os xsds deve ser através da url do WSDL do serviço, onde constam as demais urls dos XSDs que ele referencia/importa através da propriedade schemaLocation. siafi.tesouro.gov.br/siafi2019he/services/cpr/manterContasPagarReceber?wsdl
Exemplo:
No wsdl há uma referência ao XSD do Bilhetador: <xsd:import namespace="http://www.tesouro.gov.br/bilhetador/xsd/bilhetador" schemaLocation="https://homextservicos- siafi.tesouro.gov.br/siafi2019he/services/cpr/manterContasPagarReceber? xsd=../../bilhetador/NovoSIAFI-Bilhetador.xsd"/>
Acessando a URL indicada no schemaLocation é possível visualizar o XSD do Bilhetador.
https://homextservicos- siafi.tesouro.gov.br/siafi2019he/services/cpr/manterContasPagarReceber? xsd=../../bilhetador/NovoSIAFI-Bilhetador.xsd
Este é o caminho mais correto, pois ocorrerem mudança nos serviços, o Sistema Externo conseguirá sempre obter a versões mais recentes dos XSDs através da url.
Importante observar que, como o ambiente HE (homologação externa) é um ambiente que requer autenticação com certificado, para conseguir acessar a url do WSDL no browser, precisa ter o arquivo do certificado de aplicação importado no browser, ou seja, dever ser o mesmo certificado importado na CONSISORIG.
Orientações quanto aos campos do XML
Na construção do arquivo XML que será enviado para inclusão de um documento Hábil (web service Cadastrar Documento Hábil) existem alguns campos que, à primeira vista, são difíceis de identificar do que se tratam, como, por exemplo, os campos abaixo txInscrA, numClassA, txInscrB, numClassB, txInscrC e numClassC.
Isso porque quando o usuário está incluindo um documento hábil de forma on-line, o sistema apresenta esses campos com uma nomenclatura diferente, pois de acordo com a situação que o usuário escolheu, o sistema já sabe, pela tabela de situação (CONSIT), o que deve ser informado naquele campo. Porém, na inclusão por web-service, não temos como saber qual a situação, já que o leiaute é sempre o mesmo para todos os tipos de documentos hábeis e situações. Dessa forma, para saber o que informar nesses campos o usuário deve consultar no Siafi web a tabela de situações (CONSIT) e verificar, para o documento hábil e situação que pretende incluir na aba ‘Configuração de campos’, no item da tela ‘Campos Variáveis das abas', o que deve ser informado em cada campo, como exemplificado na tela abaixo.
Nesse caso, para a situação DSP001- AQUISIÇÃO DE SERVIÇOS - PESSOAS JURÍDICAS, no campo txIncrD deve ser informado o Código de Recolhimento de GRU.
Perguntas Frequentes
01 - O certificado de produção tem que ser gerado pelo SERPRO?
Não necessariamente. Para acesso ao ambiente de Produção e também de homologação, o certificado deverá ser Certificado de Aplicação gerado por uma autoridade certificadora da ICP-Brasil, com cadeias oficiais das ARs-Autoridades certificadoras ICP-Brasil. O SERPRO é uma das autoridades certificadoras da ICP-Brasil.
02 - Posso utilizar o e-CPF ou o e-CNPJ para cadastro no SIAFI Web?
Não. A exigência é que seja um certificado do tipo Certificado de Aplicação, assinado por uma autoridade certificadora da ICP-Brasil.
03 - Posso utilizar certificado tipo Wildcard para cadastro no SIAFI Web?
Não. A exigência é que seja um certificado do tipo Certificado de Aplicação, assinado por uma autoridade certificadora da ICP-Brasil. A lista de AC’s ICP-Brasil pode ser consultada nesse link https://estrutura.iti.gov.br
04 - Eu preciso criar um certificado de aplicação ICP-Brasil para o ambiente Homologação e outro para o ambiente de Produção para o mesmo sistema?
Não, o mesmo certificado de aplicação poderá ser utilizado na homologação e produção desde que seja para a mesma aplicação cadastrada no SIAFI Web nos ambientes.
05 - Eu preciso criar um certificado de aplicação ICP-Brasil para cada sistema do Órgão?
Não é possível ter dois sistemas cadastrados no SIAFI Web com o mesmo certificado. Porém internamente um órgão pode optar por instalar o mesmo certificado em mais de um servidor, ou até mesmo sistema. Então, se o usuário tem os sistemas SISTEMA1, SISTEMA2, SISTEMA3 e ele poder usar o mesmo certificado em todos os sistemas. Porém no Siafi Web haverá apenas um sistema externo cadastrado, por exemplo SISTEMA4, e todas as requisições para o Siafi Web serão identificadas como todas desse sistema cadastrado.
06 - O Serpro vai continuar a emitir certificado digital de homologação, sem custo, para novas integrações?
Não. Antes o SERPRO disponibilizava certificado SSL-ICP-Brasil de homologação sem custo para integração com o SIAFIWEB, mas com a mudança de uso apenas de Certificado de Aplicação ICP-BRrasil para integração, o mesmo deve ser adquirido pelos Órgãos nas ACs ICP-Brasil, o SERPRO é uma delas.
07 - Qual a vantagem de ter um CD de aplicação para homologação e outro para produção?
Com a possibilidade de usar o mesmo certificado de aplicação em ambos os ambientes para o mesmo Sistema Externo, como custo não haveria vantagem em ter certificados distintos. Poderia ser vantajoso se o uso for para integrações com outros sistemas além do SIAFI Web, ou por prazo de expiração diferentes. Fica a critério do Órgão do Sistema Externo esta decisão.
Após realizar o cadastro, o usuário tentou acessar a URL do WSDL do SIAFI Web e o browser está solicitando login e senha ou então deu erro de handshake.
Algum problema aconteceu no cadastramento do certificado digital. Acionar a STN com as evidências do erro para análise do problema.
08 - Já adquiri o CD de e-quipamento para integrar em produção após o dia 15/09/2025, vou conseguir utilizá-lo?
Para a integração com o SIAFI WEB a partir de 15/09/25 em produção, será aceito apenas Certificado de Aplicação ICP-Brasil, não serão aceitos certificados SSL de equipamento novos ou renovados. Para Homologação, isto vale a partir de 01/09/2025.
Se o usuário já possui o certificado de equipamento, que deseja utilizar no SIAFI Web, recomendamos realizar a inclusão no seu sistema antes das datas especificadas. Não haverá nenhum prejuízo visto que o certificado já foi emitido e tem sua data de validade.
09 - Por que houve mudança no tipo de certificado digital a ser utilizado?
A Resolução CG ICP-BRASIL N° 209, de 07 de agosto de 2024 Resolução nº 209 do ITI vedou a emissão de certificados digitais (CD) equipamento-A1 destinados à autenticação de servidor (SSL/TLS) na Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil. Assim, os novos certificados de equipamento gerados pela Autoridade de Registro não são mais assinados pela ICP-Brasil e NÃO serão mais ACEITOS pela Secretaria do Tesouro Nacional nas integrações.
10 - É possível a coexistência de certificados durante o processo de renovação (para evitar interrupções de uso em sistemas)?
Sim é possível, um certificado pode ser importado no SIAFI antes de iniciar o seu uso pela aplicação de origem.
11 - Há alguma restrição de horário para uso do webservice do SIAFI?
Sim. O serviço respeita o horário estabelecido pela STN, ou seja, só funciona quando o sistema SIAFI está disponível. Porém, se for usar serviço fora do horário, ele irá retornar uma mensagem de erro informando sobre a restrição de horário do sistema.
12- Como identificar a diferença entre um certificado equipamento SSL (não aceito) e um certificado de aplicação (ACEITO)?
- Equipamento SSL - Certificados destinados a autenticação de servidores web perante clientes (navegador de internet por exemplo) que acessam seus serviços sendo identificados:
- Verificar na SAN (Subject Alternative Name) se possui o DNSName
- Verificar na EKU (Extended Key Usage) se possui o OID=1.3.6.1.5.5.7.3.1. (Server Authentication).
- Aplicação - Certificados destinados a identificação de aplicações clientes que consomem serviços de outra aplicação sendo identificados:
- Verificar na EKU se possui SOMENTE o OID=1.3.6.1.5.5.7.3.2 (Client Authentication)
- Verificar na SAN o conteúdo do OID=2.16.76.1.3.8
- Portanto, se a EKU contém apenas
1.3.6.1.5.5.7.3.2, é um certificado voltado para autenticação de cliente (aplicação). Se contém1.3.6.1.5.5.7.3.1(ou ambos), é usado para SSL/TLS (servidor).