Perguntas Frequentes

As instruções para acessar o SIAFI podem ser encontradas nesse link.

sim, somente os usuários que fazem exclusivamente consultas não precisarão acessar com certificado digital, conforme explicado em Mudanças no acesso ao Siafi — Tesouro Nacional (www.gov.br)

18 - Como fica o acesso aos ambientes de homologação do SIAFI com certificado digital?

Para fazer o acesso ao SIAFI usando o certificado digital, o usuário deve escolher certificado digital de produção. Caso o usuário não tenha uma conta Gov.br homologação, vai ser direcionado pra uma tela pra fazer a criação. Após esse passo, conseguirá acessar o Siafi homologação.

19 - Qual o horário de funcionamento SIAFI PRODUÇÃO?
O SIAFI possui um Calendário com os horários de funcionamento do sistema, que pode ser consultado no link ou na transação Calendario no SIAFI Operacional.  

20 - Qual o horário de funcionamento SIAFI Homologação?

O SIAFI Homologação funciona no horário de 09:00 as 12:00 e das 14:00 às 17:00. 

21 - Qual o endereço do ambiente de homologação do SIAFI?

O SIAFI possui dois ambientes de homologação. O primeiro é interno, de uso apenas da Secretaria do TEsouro Nacional, no endereço https://homstn-siafi.tesouro.gov.br e o segundo, externo, para uso dos demais usuários do SIAFI, no endereço https://homext-siafi.tesouro.gov.br.

22 - Qual o tipo de certificado digital que o Siafi aceita para fazer o login ou autenticação?

O certificado deve ser de pessoa física, A1 ou A3.

23 - Por que estou recebendo a mensagem de erro OPÇÃO NÃO AUTORIZADA, USUARIO NAO AUTORIZADO ou ACESSO NAO AUTORIZADO?

24 - Quais as formas de consulta ou extração de dados do SIAFI?

O acesso aos dados do SIAFI pode atualmente ser realizado:

- Acesso via sistema TG: O Tesouro Gerencial é a solução analítica provida pelo Tesouro Nacional que consolida as informações do SIAFI em uma visão corporativa, contemplando dados da execução orçamentária e financeira, além de outras fontes de dados, como o SIAPE. Para sua utilização, é necessária a habilitação do usuário no perfil específico, feito pelo próprio cadastrador da unidade. 

- Acesso via STA: O STA-Sistema de Transferência de Arquivos é uma alternativa para o agendamento de consultas específicas de dados do SIAFI. Essa solução disponibiliza aos usuários do SIAFI uma área onde pode-se colocar arquivos para processamento batch (Upload) e realizar e agendar extrações de dados de forma batch (download). Não há custo para uso dessa solução.

- Acesso via dados abertos: O acesso via dados abertos pode ser realizado nos portais Tesouro Transparente (https://www.tesourotransparente.gov.br) e Portal da Transparência da CGU (https://portaldatransparencia.gov.br).

- Acesso via AcessaTG: Acesso direto aos dados das bases do Tesouro Gerencial via serviço denominado AcessaTG. O serviço deve ser contratado pelo órgão interessado diretamente com o SERPRO. Atualmente encontra-se suspensa (pelo Serpro) a comercialização desse serviço.

- O AcessaTG usa a tecnologia JDV, um serviço de transmissão de dados que permite a obtenção de dados a partir da base de dados do TG, não do SIAFI. Essa é uma grande vantagem, porque as consultas montadas na interface gráfica do TG podem ser disparadas no JDV. Caso o JDV fosse direto ao banco de dados do SIAFI, a montagem das consultas seria muito mais complexa.

25 - Os webservices do Siafi aceitam certificado digital do tipo e-CNPJ ou e-CPF para autenticação?

Não. Aceita somente certificado de aplicação.

O SSL/TLS são protocolos de segurança que protegem o canal de comunicação entre duas pontas (o SIAFI e o sistema do órgão) e é implementada pelo webservice da aplicação, no caso, o SIAFI.

Além dessa criptografia, por segurança, o SIAFI exige que a aplicação que irá se conectar tenha uma IDENTIFICAÇÃO, que deve ser previamente cadastrada para dizer que tal órgão vai se conectar no SIAFI utilizando um determinado certificado válido. Atualmente, o requisito exigido para esse certificado é um CERTIFICADO APLICAÇÃO ICP-Brasil (Diferente do Certificado e-CPF ou e-CNPJ).

26 - Em relação às mudanças na forma de acesso ao SIAFI, como realizar o reconhecimento facial na configuração do 2FA para quem não possui a biometria cadastrada nem na base de Identificação Civil Nacional (ICN) e nem na base da Carteira Nacional de Habilitação(CNH)?

Orientamos os operadores do SIAFI que não possuem a biometria cadastrada nem na base de Identificação Civil Nacional (ICN) e nem na base da Carteira Nacional de Habilitação(CNH), que emitam a nova Carteira de Identidade Nacional, com a nova carteira a biometria será registrada.

27 - Para os sistemas que fazem integração com o Siafi, há alguma alteração?

As integrações com o Siafiweb não precisam fazer nenhuma alteração. Alguns sistemas atualmente enviam o CPF e senha (criptografada) do usuário na requisição. O Siafi irá desconsiderar essa senha, portanto não é necessária nenhuma alteração. Existe a camada de segurança da troca de certificado digital entre os sistemas, que devem estar cadastrados previamente no Siafiweb.

Já para o webservice Sisgru, a orientação é utilizar a autenticação por token, conforme documentação em SISGRU - Web Services API documentation

e sisweb.tesouro.gov.br/apex/f?p=2501:9::::9:P9_ID_PUBLICACAO:47254.

28 - Como será o cadastramento de novos usuários no SIAFI? Hoje, ao final do cadastramento é gerada uma senha. A partir de quando isso vai mudar? Quais serão as orientações aos novos usuários sem a senha?

O fluxo de cadastro dos usuários continua como é hoje, apenas a senha gerada não será mais utilizada.

29 - Com o acesso ao SIAFI Operacional sendo feito por meio do SIAFI web, continua sendo necessário o cadastro do usuário na Rede SERPRO?

Sim, por enquanto, continua sendo necessário o cadastro do usuário na Rede Serpro.

30 - Quais as versões do Java compatíveis com o HOD ?

As seguintes máquinas virtuais Java são compatíveis com o HOD v13:
   ● Oracle Java SDK/JRE/JDK 8 (v 1.8.0_111 / v 1.8.0_121 / v 1.8.0_131)
Versões de Java mais recentes poderão funcionar mais não foram homologadas
pelo fornecedor da solução (IBM

Sobre Passkey

31 - A  PASSKEY expira mensalmente como acontece com a senha?

 Não, a Passkey não expira, ela fica válida indefinidamente e pode ser revogada a pedido do usuário.

32 - Os cadastradores parciais de órgão também acessarão o sistema AcessoSTN? É um aplicativo para celular ou tem acesso pelo computador?

Sim, todos os cadastradores usarão o sistema AcessoSTN. É um sistema acessado pelo computador e não um aplicativo.

33 - As novas regras de acesso valem apenas para o SIAFI em produção ou também se aplicam ao ambiente de Homologação Externa (HE)?

As mesmas regras se aplicam tanto ao ambiente de produção quanto ao de Homologação externa (HE).

34 - Considerando que o sistema Comprasnet-Contratos integra com SIAFI, o acesso também será modificado?

A STN não é responsável pelos sistemas que integram com o SIAFI, como o Comprasnet, TransfereGov, etc. Qualquer dúvida sobre esses, deve ser encaminhada ao órgão responsável.

35 - Caso o usuário tenha somente perfil de consulta, mas opte por usar certificado digital, ele precisa gerar a Passkey?

Não, o uso de Passkey é opcional, se o usuário de consulta já possui certificado digital de instituição governamental, pode continuar usando esse certificado para acessar o sistema.

36 - Como faço para ter acesso ao SIAFI HE?

Deve ser solicitado ao cadastrador do órgão.

37- Caso o usuário tenha cadastrado uma Passkey e o celular for roubado, como proceder?

O usuário deve entrar em contato com o seu cadastrador ou com a STN para solicitar a revogação da Passkey. Lembrando que um possível fraudador só vai conseguir usar a Passkey que está no celular caso o mesmo esteja sem mecanismo de autenticação, como biometria ou PIN. Por isso, recomendamos que o usuário habilite um mecanismo seguro para desbloquear o celular, como a biometria facial.

38 -  Existe restrição de versão mínima do sistema operacional do dispositivo para cadastro e uso da Passkey?

Sim, para cadastro e uso da Passkey são necessárias as seguintes versões do sistema operacional e também do browser usado:

Legenda:

1, 2: Não existem versões atualizadas do navegador Safari para Windows e Ubuntu

3: Em versões recentes do Ubuntu (ex: 22.04+) é possível utilizar chaves de segurança USB (ex: Yubikey), mas o suporte deve ser verificado com o fabricante do dispositivo.

39 - Estou tentando acessar o Siafiweb com a passkey e estou recebendo a mensagem 'Insira a chave de segurança na porta USB'. O que posso fazer?

Essa mensagem aparece quando o computador não tem bluetooth ou está desativado. O bluetooth é um pre-requisito para o acesso com passkey.

Fale com sua área de tecnologia para ver a possibilidade de ativar ou  inserir um adaptador bluetooth. 

40 - No cadastramento no passkey por que não está aparecendo meu órgão no campo Órgão nem minha UG no campo UG?

O órgão e UG só aparecem nos respectivos campos quando já existe alguma passkey cadastrada para o usuário.

Para cadastrar uma nova passkey, basta ir no botão "Incluir passkey" e informar o CPF do usuário.

41 - Estou tentando cadastrar a  passkey e estou recebendo a mensagem 'Token inválido'. O que posso fazer?

Essa mensagem é exibida quando expira o tempo limite para cadastro da passkey. Quando um QRCode é gerado, o usuário deve acessar imediatamente a página de cadastro. O tempo para acessar a página de cadastro é de 2 minutos.

Caso não acesse a página dentro do tempo previsto, a mensagem "Token inválido" é exibida para o usuário e o processo tem que ser reiniciado pelo cadastrador.

Outra situação onde esta mensagem é exibida é quando o celular que está sendo usado pra ler o QRCode está com a configuração de atualização automática de data/hora ativa e o horário do celular está diferente do horário do computador que está sendo usado pra gerar o QRCode.

42 - Quando vou cadastrar a Passkey do usuário está dando a mensagem "Usuário passkey já existente" e não consigo continuar.

Essa mensagem é exibida quando o usuário já tem uma passkey cadastrada ou já iniciou o processo e não concluiu, ficando na situação "QRCode expirado". Nesse caso, o cadastrador deve primeiramente consultar o usuário (utilizando seu CPF, por exemplo). Em seguida, na lista de resultados da pesquisa, clicar no registro relativo ao usuário buscado e, na tela seguinte, gerar de um novo QRCode clicando no botão "Gerar QRCode".

43 - Como fica o acesso ao Siafi com usuário especial (EXXXX)?

Para acessar o Siafi de forma on-line, não poderá mais ser utilizado usuário especial, terá que ser feito por um usuário regular do sistema.

Caso seja para usar os webservices do Siafi, o usuário especial pode ser usado por enquanto e sua senha não será validada, já que existe a camada de segurança do certificado digital trocado entre as aplicações.

Se for para consultar as GRUs pelo webservice do Sisgru, deve ser usado a opção de autenticação por token, disponível na documentação SISGRU - Web Services API documentation

44- Quando tento fazer o login no SIAFI, o sistema constantemente fica retornando à tela de login após 1 ou 2 minutos, sem que eu consiga finalizar nenhuma operação. Apresenta a mensagem de erro 0580, de que não é permitido o acesso em sessões simultâneas.

Verifique se o sinal de WI-FI pode estar oscilando entre dois sinais (2G e 5G por exemplo) em caso afirmativo, desabilite um dos sinais, pois a oscilação pode alterar o IP de acesso ao SIAFI Web e o Sistema, por segurança, derruba o acesso do usuário. 

45- Estou com dificuldade de criar uma conta Gov.br homologação para acesso ao SIAFIHE. Como posso fazer?

Depois de clicar em 'Entrar com Gov.br' no SIAFIHE, informe o CPF e clique em continuar. Na tela seguinte, escolha a opção "Outros meios". Na tela seguinte, na data de nascimento, informe 01 de janeiro de 1980 e quando solicitar o nome da mãe, coloque a resposta "MAMAE". Vá seguindo os passos seguintes e a conta será criada.

46- Qual o tempo de sessão para o SiafiWeb e Siafi Operacional, depois do qual o sistema encerra se não houver atividade do usuário?

Para o Siafiweb, depois de 30 minutos de inatividade do usuário, o sistema é encerrado. 

Para o Siafi Operacional, esse tempo é de 15 minutos.

47- A minha UG aderiu ao CAC - Controle de acesso condicional, mas estou com dificuldade de acesso ao SIAFI a partir do computador de casa, apesar do acesso no órgão (presencial) estar normal.

Quando a UG possui usuários trabalhando de forma remota, às vezes informam uma faixa de IPs e usam um NAT-Network Address Translation.

Para garantir que o acesso seja realizado sem intermitências, é essencial que os IPs estejam devidamente cadastrados e sejam estáticos, evitando bloqueios inesperados.

Sobre a questão da intermitência causada pelo NAT, essa situação pode ocorrer devido ao compartilhamento de um único IP para múltiplos usuários, o que pode levar a detecções indevidas de tráfego anômalo. Para mitigar esse problema, recomendamos:

1. Revisão dos IPs cadastrados: Certificar-se de que os IPs externos utilizados pelos servidores remotos (ex.: chefias em home office) estejam corretamente registrados nas regras de acesso.
2. Adoção de VPN corporativa: Caso ainda não esteja sendo utilizada, uma VPN(Virtual Private Network) dedicada pode ser uma alternativa para garantir que os acessos externos sejam originados de um IP conhecido e autorizado, minimizando impactos do NAT.

O cadastro de IPs no CAC deve ser feito com IPs estáticos (que não mudam). IPs dinâmicos não devem ser utilizados, justamente por eles mudam a qualquer momento, sem nenhum tipo de gestão nossa. Trata-se, portanto, de um problema da UG.

A solução é que a conexão seja feita utilizando os IPs estáticos de cada UG ou órgão, que geralmente são atribuídos por uma VPN, em caso de trabalho remoto.

48- A minha UG deseja implantar o CAC - Controle de acesso condicional, mas a área de TI questionou quais IP externos a equipe de infra-estrutura deve liberar para acesso ao sistema SIAFI?

Seguem as URLs e endereços IPs para acesso ao Siafi:

Ambiente de homologação:

homext-siafi.tesouro.gov.br
189.9.12.55

Ambiente de produção:

siafi.tesouro.gov.br
189.9.11.96