21.1 Sobre o aprovisionamento com base em workflow

Um recurso importante do Identity Manager é o aprovisionamento com base em workflow, que é o processo de gerenciar o acesso do usuário a recursos seguros de uma organização. Esses recursos podem incluir entidades digitais, como contas de usuário, computadores e bancos de dados. Nesta versão, os recursos aprovisionados são mapeados para direitos do Identity Manager.

O Identity Manager pode atender a uma grande variedade de solicitações de aprovisionamento. As solicitações de aprovisionamento são ações do usuário ou do sistema destinadas a conceder ou revogar o acesso a recursos organizacionais. Elas podem ser iniciadas diretamente pelo usuário final através do aplicativo de usuário do Identity Manager, ou indiretamente em resposta a eventos que ocorrem no cofre de identidade (eDirectory).

Quando uma solicitação de aprovisionamento requer permissão de uma ou mais pessoas em uma organização, a solicitação inicia um workflow. O workflow coordena as aprovações necessárias para atender à solicitação. Algumas solicitações de aprovisionamento requerem aprovação de uma única pessoa, enquanto outras requerem aprovação de várias. Em algumas situações, uma solicitação pode ser atendida sem aprovações.

Certos workflows precisam que o processamento prossiga de forma seqüencial, com cada etapa de aprovação realizada em seqüência. Outros workflows dão suporte ao processamento paralelo. Ao definir uma solicitação de aprovisionamento, você especifica se deseja que o workflow aceite o processamento seqüencial ou paralelo.

O Identity Manager oferece um conjunto de ferramentas baseadas na Web que o administrador pode usar para gerar recursos de aprovisionamento no aplicativo de usuário. Essas ferramentas permitem que você configure solicitações de aprovisionamento e também gerencie workflows que estejam em andamento. Para configurar uma solicitação de aprovisionamento, o administrador cria uma definição de solicitação de aprovisionamento, que vincula o recurso a um workflow.

21.1.1 Arquitetura de alto nível

O seguinte diagrama mostra a arquitetura de alto nível do sistema de aprovisionamento com base em workflow incluído no Identity Manager:

Descrição: Descrição: Ilustração

As seções a seguir descrevem cada componente da arquitetura.

Interface da Web para o aprovisionamento

O aplicativo de usuário do Identity Manager fornece uma interface da Web pela qual os usuários finais submetem solicitações de aprovisionamento e gerenciam essas solicitações depois que elas são submetidas. O aplicativo de usuário também oferece o Administrador de Aplicativo de Usuário ou um Gerente Organizacional capaz de designar delegados e proxies aos workflows de aprovisionamento.

DICA:As ações de aprovisionamento e workflow estão disponíveis na guia Solicitações e Aprovações do aplicativo de usuário do Identity Manager.

Para obter mais informações sobre delegados e proxies, consulte a Seção 21.3, Segurança de aprovisionamento. Para obter detalhes completos sobre como trabalhar com o aplicativo de usuário, consulte o Aplicativo de Usuário do Identity Manager: Guia do Usuário.

Ferramentas de administração do iManager

O iManager contém plug-ins que você pode usar para configurar e gerenciar solicitações de aprovisionamento e os workflows associados.

Para configurar uma solicitação de aprovisionamento, vincule-a a um recurso aprovisionado, especifique as características de tempo de execução do workflow associado e habilite-a para uso. Depois que uma solicitação de aprovisionamento é iniciada, você pode usar o iManager para ver o status do processo de workflow, redesignar atividades no workflow ou encerrar um workflow que esteja obstruído.

Driver de Aplicativo do Usuário do Identity Manager

Além do suporte a solicitações do usuário final por recursos de aprovisionamento, o Identity Manager permite que você inicie solicitações de aprovisionamento em resposta a eventos que ocorrem no eDirectory. O Driver de Aplicativo do Usuário do Identity Manager recebe eventos e responde ao iniciar as solicitações de aprovisionamento correspondentes. As solicitações, por sua vez, iniciam workflows para administrar o processo de aprovação. Por exemplo, caso o tenha configurado para tal, o Identity Manager dará suporte a situações em que a inclusão de um novo usuário no eDirectory aciona automaticamente um workflow e uma solicitação de aprovisionamento previamente designados.

Sistema de Aprovisionamento

O Sistema de Aprovisionamento executa todo o processamento necessário para iniciar solicitações de aprovisionamento e atendê-las. Se uma solicitação exigir uma ou mais aprovações, o Sistema de Aprovisionamento chamará o Sistema de Workflow para que inicie o processo de workflow. Depois das aprovações necessárias serem obtidas, o Sistema de Aprovisionamento fornece os recursos como solicitado.

O Sistema de Aprovisionamento mantém informações sobre solicitações de aprovisionamento disponíveis e pendentes no cofre de identidade (eDirectory).

Para iniciar uma solicitação ou executar o processamento necessário para cumprir uma solicitação, o sistema acessa o cofre de identidade através da Camada de Abstração do Diretório.

Para obter detalhes sobre a Camada de Abstração do Diretório, consulte o Seção 4.0, Configurando a Camada de Abstração do Diretório.

Sistema de Workflow

Quando uma solicitação de aprovisionamento requer uma ou mais aprovações, o Sistema de Workflow coordena o processo de aprovação. Durante o processamento, ele interage com estes componentes:

  • Banco de dados de workflow
  • Mecanismo de script
  • Audit
  • SMTP
  • Sistema de segurança

Banco de dados de workflow

Para monitorar o estado dos workflows em processamento, o Sistema de Workflow armazena informações em um banco de dados. Esse banco de dados mantém informações sobre instâncias do processo de workflows, listas de trabalho (filas) e destinatários do workflow. Ele também armazena comentários adicionados durante a execução de um processo de workflow.

Mecanismo de script

O Sistema de Workflow chama o Mecanismo de Script toda vez que um workflow inclui uma expressão dinâmica que precisa ser avaliada. Expressões dinâmicas podem incluir variáveis, funções e operadores, bem como referências a entidades da Camada de Abstração do Diretório.

Novell Audit

Para registrar informações sobre o estado de um processo de workflow, o Sistema de Workflow interage com o Novell Audit. Durante seu processamento, o workflow pode registrar informações sobre vários eventos que tenham ocorrido. Os usuários podem, então, usar as ferramentas de relatório do Novell Audit para verificar os dados do registro.

Para obter detalhes sobre como configurar registros, consulte o Seção 5.0, Configurando o registro. Para obter detalhes sobre como controlar os níveis de mensagens de registro que o aplicativo de usuário do Identity Manager deve gerar, consulte o Seção 12.0, Configuração de Registro.

SMTP

Em geral, o processo de workflow envia notificações por e-mail em vários pontos durante sua execução. Por exemplo, um e-mail pode ser enviado quando uma atividade de workflow é atribuída a um novo destinatário.

O administrador pode editar um gabarito de e-mail no iManager e depois usar esse gabarito em um processo de workflow. No tempo de execução, o Sistema de Workflow o recupera no eDirectory e substitui as tags por texto dinâmico adequado à notificação.

As notificações por e-mail são tratadas pelo protocolo SMTP (Simple Mail Transfer Protocol).

Para informar-se sobre as etapas básicas de configuração da notificação por e-mail, consulte a Seção 23.3, Configurando o servidor de e-mail e a Seção 23.4, Trabalhando com o gabarito de e-mail instalado. Para obter detalhes sobre como configurar a notificação por e-mail para um workflow, consulte Configurando as atividades de workflow.

Segurança

O sistema de segurança trata de todos os aspectos de segurança de um aplicativo de aprovisionamento que utiliza workflows.

Para obter mais informações sobre segurança de workflow, consulte a Seção 21.3, Segurança de aprovisionamento.

21.1.2 Exemplo de aprovisionamento e workflow

Suponha que um usuário precise de uma conta em um sistema de TI. Para configurar a conta, o usuário inicia uma solicitação pelo aplicativo de usuário do Identity Manager. Essa solicitação gera um workflow, que coordena um processo de aprovação. Depois das aprovações necessárias serem concedidas, a solicitação é atendida. Estas são as três etapas básicas do processo.

Etapa 1: Iniciando a solicitação

No aplicativo de usuário do Identity Manager, o usuário procura uma lista de recursos por categoria e seleciona uma para fornecer. No cofre de identidade, o recurso aprovisionado selecionado é associado a uma definição de solicitação de aprovisionamento. A definição de solicitação de aprovisionamento é o objeto mais proeminente de um sistema de aprovisionamento. Ela vincula um recurso aprovisionado a um workflow e atua como o meio pelo qual o processo de workflow é exposto ao usuário final. A definição de solicitação de aprovisionamento fornece todas as informações necessárias à exibição do formulário de solicitação inicial ao usuário, e ao início do fluxo que se segue à solicitação inicial.

No exemplo, o usuário seleciona o recurso Nova Conta. Quando o usuário inicia a solicitação, o aplicativo Web recupera o formulário de solicitação inicial e a descrição dos dados da solicitação inicial associados no Sistema de Aprovisionamento, que obtém esses objetos na definição de solicitação de aprovisionamento.

Quando uma solicitação de aprovisionamento é iniciada, o Sistema de Aprovisionamento controla o iniciador e o destinatário. O iniciador é a pessoa que fez a solicitação. O destinatário é a pessoa para a qual a solicitação foi feita. Em algumas situações, o iniciador e o destinatário podem ser a mesma pessoa.

Cada solicitação de aprovisionamento tem uma operação associada. A operação especifica se o usuário deseja conceder ou revogar o recurso.

Etapa 2: Aprovando a solicitação

Depois que o usuário iniciar uma solicitação, o Sistema de Aprovisionamento inicia o processo de workflow. O processo de workflow coordena as aprovações. No exemplo, são necessários dois níveis de aprovações, um do gerente do usuário e outro do supervisor do gerente. Se a aprovação for recusada por qualquer usuário em um workflow, o fluxo é encerrado e a solicitação é negada.

NOTA:O Identity Manager é fornecido com um conjunto de gabaritos de solicitações de aprovisionamento que suporta cinco níveis de aprovação de workflow. Em uma versão seguida do Identity Manager, o ambiente de design baseada no Eclipse fornecerá as ferramentas que lhe permitem criar seus próprios processos de workflow personalizados. Para obter mais informações sobre os gabaritos fornecidas com esta versão, consulte a Seção 22.2, Trabalhando com os gabaritos instalados.

Os workflows podem processar aprovações de forma seqüencial ou paralela. Em um workflow seqüencial, cada tarefa de aprovação deve ser processada antes do início da próxima tarefa de aprovação. Em um workflow paralelo, os usuários podem trabalhar nas tarefas de aprovação simultaneamente.

Fluxo seqüencial Este é o padrão de design básico de um workflow seqüencial com duas aprovações:

Descrição: Descrição: Ilustração

Fluxo paralelo Este é o padrão de design básico de um workflow paralelo com duas aprovações:

Descrição: Descrição: Ilustração

NOTA:As etiquetas de exibição (Primeira aprovação, Segunda aprovação e assim por diante) podem ser facilmente mudadas para que atendam aos requisitos do aplicativo. Para os fluxos paralelos, convém especificar etiquetas que não impliquem processamento seqüencial. Por exemplo, você pode atribuir etiquetas como Uma das Três Aprovações Paralelas, Duas de Três Aprovações Paralelas e assim por diante.

A definição de workflow é formada pelos seguintes componentes

Componentes do processo

Descrição

Atividades

Uma atividade é um objeto que representa uma tarefa. Uma atividade pode apresentar informações ao usuário e responder a interações do usuário, ou executar funções em segundo plano que não são visíveis ao usuário.

Nos exemplos de workflow exibidos abaixo, as atividades são representadas por caixas.

No aplicativo de usuário do Identity Manager, as atividades do usuário que lidam com o processo de aprovação são chamadas de tarefas. Um usuário final pode ver a lista de tarefas em sua fila ao clicar em Minhas Tarefas no grupo de ações de Meu Trabalho. Para ver quais atividades de workflow foram processadas por determinada tarefa, o usuário pode selecionar a tarefa e clicar no botão Ver Histórico de Comentários do formulário Detalhe da Tarefa.

Para ver quais atividades de workflow foram processadas para determinada solicitação de aprovisionamento, o usuário pode clicar em Minhas Solicitações, selecionar a solicitação e clicar no botão Ver Comentário e Histórico de Fluxo do formulário Detalhe da Solicitação.

Para obter mais informações sobre as ações Minhas Tarefas e Minhas Solicitações, consulte o Aplicativo de Usuário do Identity Manager: Guia do Usuário.

Links

Os links vinculam as atividades em um workflow. Um link representa um caminho a ser seguido entre duas atividades.

Uma atividade pode ter diversos links de entrada e vários links de saída. Quando uma atividade tem mais de um link de saída, o link selecionado dependerá do resultado da atividade. O resultado é proveniente do processamento realizado pela atividade. Por exemplo, uma atividade do usuário pode ter um resultado aprovado ou negado, dependendo da ação executada pelo usuário.

Nos exemplos de workflow exibidos abaixo, os links são representados por setas.

Atividade inicial O processo de workflow começa com a execução da atividade inicial. Essa atividade abre um documento de trabalho que utiliza os dados da solicitação inicial. Ela também vincula diversos valores do sistema, como o iniciador e o destinatário, de forma que eles possam ser usados em expressões de script.

Atividades do usuário Depois que a atividade inicial é executada, o Sistema de Workflow encaminha o processamento para a primeira atividade do usuário no fluxo. A atividade do usuário dá suporte a interações do usuário. Para lidar com essas interações, a atividade exibe um formulário que permite ao usuário trabalhar com a solicitação. Nos exemplos de workflow exibidos acima, a Primeira aprovação e a Segunda aprovação são exemplos de atividades do usuário. As etiquetas de exibição das atividades do usuário podem ser localizadas de forma a atender requisitos internacionais.

Uma atividade do usuário pode suportar uma ou mais destas ações:

  • Requerer
  • Aprovar
  • Negar
  • Recusar
  • Reatribuir (disponível somente aos Gerentes Organizacionais e aos Administradores de Aplicativo de Usuário)

NOTA:Os campos e os botões do formulário variarão de acordo com o recurso solicitado e com a configuração do workflow. A ação Recusar, por exemplo, não tem suporte em muitos gabaritos fornecidos com o produto.

Uma atividade do usuário tem cinco resultados possíveis:

  • Aprovado
  • Negado
  • Recusado
  • Erro
  • Tempo de Espera

NOTA:Os resultados Erro e Tempo de Espera podem ocorrer sem qualquer ação executada pelo usuário.

Se o usuário aprovar a solicitação, o workflow encaminhará o controle para a próxima atividade do fluxo. Se mais nenhuma aprovação for necessária, o recurso será aprovisionado. Se o usuário negar a solicitação, o item de trabalho será encaminhado para a próxima atividade do workflow e a solicitação será negada. O usuário também tem a alternativa de reatribuir a tarefa (se ele é um Gerente Organizacional ou um Administrador de Aplicativo de Usuário), que coloca o item de trabalho na fila de outro usuário.

NOTA:Os gabaritos de solicitação de aprovisionamento fornecidos com o produto são configurados para encerrar um processo de workflow quando uma solicitação é negada. Quando uma solicitação é negada, o item de trabalho é encaminhado à atividade Concluir, que encerra o fluxo.

O usuário para quem a atividade foi atribuída é o destinatário. O destinatário de uma atividade pode ser notificado da tarefa atribuída por meio de e-mail. Para realizar o trabalho associado à atividade, o destinatário pode clicar no URL do e-mail, encontrar a tarefa na lista de trabalho (fila) e requerer a tarefa.

O destinatário deve responder a uma atividade do usuário em um prazo determinado, ou a atividade entra em tempo de espera. Normalmente, o intervalo de tempo de espera é expresso em horas ou dias para que o usuário tenha tempo suficiente para responder.

Quando ocorre o tempo de espera de uma atividade, o processo de workflow pode tentar concluir a atividade novamente, dependendo do total de tentativas especificado para a atividade. Em algumas situações, o processo de workflow pode ser configurado para escalar uma atividade que tenha entrado em tempo de espera para outro usuário. Nesse caso, a atividade é reatribuída a um novo destinatário (o gerente do usuário, por exemplo) para que esse usuário tenha a oportunidade de concluir o trabalho. Caso a última tentativa entre em tempo de espera, a atividade pode ser marcada como aprovada ou negada, dependendo da configuração do workflow.

Atividades condicionais Durante a execução, um processo de workflow pode realizar um teste e verificar o resultado para decidir o que será feito em seguida. A atividade condicional permite isso. As atividades condicionais usam uma expressão de script para definir a condição a ser avaliada. Nos exemplos de workflow exibidos acima, a Condição de Aprovação é um exemplo de atividade condicional.

As atividades condicionais podem ter três resultados possíveis:

  • Verdadeiro
  • Falso
  • Erro

Atividades de ramificação e mesclagem Em um workflow que utiliza processamento paralelo, a atividade de ramificação permite que dois usuários atuem paralelamente em diferentes áreas do item de trabalho. Depois que os usuários concluem seu trabalho, a atividade de mesclagem sincroniza as ramificações de entrada no fluxo.

Atividade de aprovisionamento A atividade de aprovisionamento atende à solicitação de aprovisionamento. Essa atividade só é executada se todas as aprovações necessárias são obtidas.

Para obter detalhes sobre a etapa de aprovisionamento, consulte a Etapa 3: Atendendo à solicitação.

Atividade de encerramento A atividade de encerramento é a atividade final de um workflow. Depois que todas as atividades de um fluxo forem concluídas e o resultado final do fluxo estiver disponível, a atividade de encerramento poderá ser executada. O Sistema de Workflow pode determinar o estado final do processo ao examinar os links na atividade de encerramento. O estado geral do fluxo é aprovado quando um link de aprovação chega à atividade de encerramento. Se algum outro resultado (negar, tempo de espera ou erro) conduzir à atividade de encerramento, o estado geral do fluxo será negado.

Quando um processo de workflow alcança a atividade de encerramento com um estado de aprovado, o processo de aprovação é concluído e a solicitação de aprovisionamento pode ser atendida.

Etapa 3: Atendendo à solicitação

Depois que uma solicitação de aprovisionamento é aprovada, o Sistema de Workflow pode começar a etapa de aprovisionamento. Nesse momento, o controle retorna ao Sistema de Aprovisionamento.

Para atender à solicitação de aprovisionamento, o Sistema de Aprovisionamento pode executar o direito do Identity Manager ou manipular diretamente um objeto do eDirectory e seus atributos. Durante a etapa de aprovisionamento, ele cria os objetos relacionados e registra os resultados da ação de aprovisionamento no destinatário, como descrito na definição de dados de aprovisionamento. Dependendo de o usuário ter solicitado uma operação de conceder ou revogar, isso pode envolver a configuração ou a remoção do valor de um atributo no destinatário, ou a inclusão de um item (ou sua remoção) em um atributo de vários valores no destinatário. Os atributos envolvidos são do eDirectory (possivelmente disponibilizados pela inclusão de uma classe auxiliar no destinatário). Os valores dos próprios atributos podem ser simples ou de um tipo complexo que permita ao Sistema de Aprovisionamento especificar o valor dos subatributos internos.