O acesso ao GTm Extranet a partir de um computador conectado à rede interna da La Poste não segue o mesmo caminho que uma conexão externa. Desde a implementação do portal marh.legroupelaposte.fr e a transição para um provedor de identidade único (IdP), vários agentes se deparam com redirecionamentos em loop ou falhas silenciosas de autenticação. Compreender o mecanismo de federação SSO e as configurações de rede que o cercam permite identificar rapidamente a origem do bloqueio.
Federação SSO e IdP único: o que muda para a conexão na rede interna
O esquema de autenticação do grupo para as aplicações de RH, incluindo MaBoxRH e GTm Extranet, agora se baseia em uma federação de identidade via um IdP único. Concretamente, toda tentativa de conexão a partir de maboxrh.laposte.fr ou marh.legroupelaposte.fr aciona um redirecionamento para uma URL do tipo autentificacao.groupe.net.extra.laposte.fr.
Também interessante : Como ter sucesso na sua formação digital e impulsionar sua carreira no setor digital
Na rede interna, esse redirecionamento passa pelo proxy da empresa. Se o navegador ou o computador não estiver configurado para permitir essa cadeia de redirecionamentos, a página de autenticação nunca é carregada. O sintoma típico: uma tela em branco ou um erro de certificado, sem mensagem explícita.
Realizar a autenticação no extranet GTM La Poste a partir da rede interna pressupõe verificar se o domínio do IdP está realmente nas exceções do proxy local. Os agentes que utilizam um navegador não referenciado (Firefox instalado manualmente, por exemplo) encontram esse problema com mais frequência do que aqueles que permanecem no navegador implantado pela DSI.
Para descobrir também : Como ter sucesso no início no Liloo BSK: dicas e armadilhas a evitar para novatos
| Cenário de conexão | Redirecionamento IdP | Resultado comum |
|---|---|---|
| Rede interna, navegador DSI, proxy configurado | Automático via SSO | Acesso direto sem reentrada de identificação |
| Rede interna, navegador não referenciado | Bloqueada pelo proxy | Página em branco ou erro de certificado |
| Rede externa (casa, 4G) | Via marh.legroupelaposte.fr | Entrada de identificação RH + senha + 2FA |
| Rede interna, VPN ativo simultaneamente | Conflito de roteamento | Loop de redirecionamento infinito |
O caso do VPN ativo em paralelo merece atenção. Alguns agentes ativam o VPN por reflexo enquanto já estão na rede da empresa. O roteamento entre o túnel VPN e o proxy local entra em conflito, o que impede a resolução correta da URL do IdP.
Dupla autenticação por aplicativo: fim do SMS e consequências no GTm Extranet
A La Poste iniciou em novembro de 2025 uma migração gradual da 2FA por SMS para a 2FA por aplicativo (tipo TOTP ou notificação push). Para os agentes que acessavam o GTm Extranet a partir da rede interna com um código SMS como segundo fator, a mudança tem um impacto direto: o SMS não chega mais, e a interface não oferece nenhuma mensagem de erro clara.
A partir da rede interna, a dupla autenticação nem sempre é acionada graças ao SSO. No entanto, assim que a sessão expira ou o agente muda de computador físico, o sistema solicita novamente uma validação 2FA. Sem um aplicativo configurado, a conexão falha nesta etapa.
Configurar a 2FA por aplicativo antes de precisar
O erro frequente consiste em descobrir a obrigação de 2FA por aplicativo no momento em que se tenta conectar. A configuração deve ser feita antecipadamente, idealmente a partir de um acesso externo onde o percurso guiado é mais explícito.
- Instalar um aplicativo TOTP compatível (o recomendado pela DSI ou um aplicativo padrão como Google Authenticator, Microsoft Authenticator) no telefone pessoal ou profissional
- Conectar-se uma primeira vez a partir de fora da rede via marh.legroupelaposte.fr para ativar a associação entre a conta RH e o aplicativo
- Verificar se o código TOTP gerado funciona antes de tentar a conexão a partir da rede interna, pois uma falha repetida pode resultar em um bloqueio temporário da conta
Uma vez que o aplicativo esteja associado, a conexão a partir da rede interna se torna fluida: o SSO assume o controle para a maioria das sessões, e a 2FA por aplicativo só intervém durante as reautenticações pontuais.
Teclado virtual MaBoxRH e identificador RH: duas fontes de bloqueio distintas
O portal MaBoxRH utiliza um teclado virtual para a entrada da senha. Esse mecanismo de segurança, projetado para combater keyloggers, apresenta problemas específicos na rede interna. Os computadores equipados com softwares de segurança endpoint às vezes bloqueiam o JavaScript necessário para a renderização do teclado. O resultado: um campo de senha vazio, sem teclado clicável, e nenhuma possibilidade de digitar qualquer coisa.
A solução passa pela verificação das configurações de segurança do navegador. Os scripts provenientes do domínio maboxrh.laposte.fr devem ser autorizados. Em alguns computadores, é necessário adicionar manualmente o domínio à lista branca do filtro de conteúdo.
Identificador RH: nem email nem matrícula de pagamento
A outra fonte de confusão diz respeito ao identificador em si. O campo de conexão espera o identificador RH específico do grupo, não o endereço de email profissional nem o número de matrícula usado nos contracheques. Esses três dados são diferentes. Um agente que insere seu email recebe uma recusa sem explicação, o que muitas vezes o leva a iniciar uma redefinição de senha desnecessária.
- O identificador RH aparece nas correspondências da DRH e no primeiro documento de acesso fornecido na contratação
- Ele pode ser encontrado entrando em contato com o suporte pelo endereço [email protected]
- O responsável de RH local também possui essa informação
Resolução de loops de redirecionamento na rede La Poste
Os loops de redirecionamento constituem o problema mais frequente e menos documentado. Eles ocorrem quando o navegador oscila entre o portal MaBoxRH e o IdP sem nunca finalizar a autenticação. Duas causas dominam.
A primeira: um cache de cookies corrompidos relacionado a uma sessão anterior. O SSO se baseia em cookies de sessão posicionados pelo IdP. Se uma sessão anterior foi interrompida abruptamente (fechamento do navegador durante a autenticação, queda de rede), o cookie residual impede que a nova autenticação se inicie corretamente. Excluir os cookies do domínio autentificacao.groupe.net.extra.laposte.fr resolve a maioria desses casos.
A segunda: uma incoerência de relógio entre o computador e o servidor de autenticação. O protocolo SAML utilizado pela federação de identidade valida um timestamp na solicitação. Um desvio de alguns minutos é suficiente para provocar uma rejeição silenciosa. Nos computadores gerenciados pela DSI, a sincronização NTP é normalmente automática, mas alguns computadores antigos perdem sua sincronização após um modo de suspensão prolongado.
Limpar o cache, reiniciar o navegador e verificar a hora do sistema são três ações simples que resolvem a grande maioria das falhas de conexão SSO a partir da rede interna, sem necessitar de intervenção do suporte.