21.3 Segurança de aprovisionamento

Quando um usuário efetua login no aplicativo de usuário do Identity Manager, o sistema de segurança autentica esse usuário e define os controles de acesso para proteger os objetos Aprovisionamento e Workflow de uso não autorizado. Isso garante que o usuário veja somente as definições de solicitação de aprovisionamento a que obteve acesso. Além de executar serviços de autenticação e autorização para o aplicativo de usuário, o sistema de segurança gerencia as designações de proxy e indicado.

Se o registro for habilitado, as ações executadas por um proxy ou indicado são registradas juntamente com as ações executadas por outros usuários. Quando uma ação é executada por um proxy ou indicado, a mensagem do registro indica claramente que a ação foi executada por um proxy ou indicado para outro usuário. Além disso, toda vez que uma nova atribuição de proxy ou de delegação é definida, esse evento também é registrado.

Se a definição de solicitação de aprovisionamento for configurada para gerar notificações por e-mail, os proxies (bem como os destinatários) serão notificados por e-mail. Os indicados não são incluídos nas notificações por e-mail.

Funções de segurança do workflow O sistema de segurança reconhece as seguintes funções:

Função

Descrição

Direitos

Administrador de Aplicativo de Usuário

Usuário Super Admin com direitos administrativos totais.

O Administrador de Aplicativo de Usuário pode executar estas tarefas no iManager:

  • Configurar solicitações de aprovisionamento
  • Gerenciar workflows em andamento

O Administrador de Aplicativo de Usuário pode executar estas tarefas no aplicativo de usuário:

  • Ver e editar todas as tarefas em todas as filas do workflow.
  • Definir designações de proxy e indicado para qualquer usuário do sistema.
  • Ver informações ocultas (atributos ocultos) para qualquer usuário no sistema.
  • Criar Gerenciadores de Grupo de Tarefas e atribuí-los a grupos. O Administrador de Aplicativo de Usuário é o único usuário que pode criar e atribuir Gerentes de Grupo de Tarefas.

NOTA:A guia Administração do aplicativo de usuário do Identity Manager contém ferramentas para a atribuição de direitos para administrar o aplicativo de usuário. Para usar essa guia, primeiro você deve efetuar login como o usuário especificado como o Administrador de Aplicativo de Usuário no momento da instalação.

Para obter detalhes sobre como usar os recursos de segurança do aplicativo de usuário, consulte o Seção 11.0, Configuração de segurança.

Gerente Organizacional

Supervisor direto de um funcionário. Cada usuário tem somente um Gerente Organizacional.

DICA:O Gerente Organizacional pode ser considerado o gerente administrativo.

Ele tem permissão para:

  • Ver todas as tarefas que estão nas filas do workflow de sua equipe. Esse recurso se aplica a um nível único na hierarquia de gerenciamento. Portanto, o supervisor de um Gerente Organizacional não pode ver as tarefas dos subalternos diretos desse gerente.
  • Editar tarefas para os que a ele se reportam, exceto no caso em que um subalterno tem uma tarefa atribuída a um grupo cujo Gerente de Grupo de Tarefas não é um Gerente Organizacional. Nesse caso, o Gerente Organizacional pode ver a tarefa, mas não pode editá-la. Durante a escalação, a tarefa passa para o Gerente de Grupo de Tarefas, e não para o Gerente Organizacional.
  • Reivindicar tarefas e cancelar a reivindicação de tarefas, além de reatribuir tarefas a membros de sua equipe.
  • Definir relacionamentos de proxy e indicado para si e os membros de sua equipe.
  • Ver atributos ocultos para os membros de sua equipe.

Gerente de Grupo de Tarefas

A responsabilidade concedida a um usuário em relação a um conjunto de tarefas associadas a um grupo de tarefas. Um grupo de tarefas é uma extensão do objeto Grupo LDAP. Todo grupo de tarefas só pode ter um Gerente de Grupo de Tarefas.

Os Gerentes de Grupo de Tarefas são designados pelo Administrador de Aplicativo de Usuário.

Quando uma tarefa é atribuída a um grupo, o atributo srvrprvTaskManager do grupo contém o DN do usuário que é o Gerente de Grupo de Tarefas designado. Para melhor desempenho, os Gerentes de Grupo de Tarefas também são identificados por um atributo no objeto Usuário. O atributo srvprvIsTaskManager é definido como verdadeiro para um usuário que é um Gerente de Grupo de Tarefas designado.

O Gerente de Grupo de Tarefas tem permissão para:

  • Ver e editar todas as tarefas atribuídas a um grupo para o qual ele é o líder designado.

O Gerente de Grupo de Tarefas não tem permissão para:

  • Criar recursos ou recolher solicitações.
  • Definir relacionamentos de proxy e indicado.
  • Ver atributos ocultos para os membros de sua equipe.

NOTA:Todo usuário pode ver os atributos ocultos associados à sua identidade.

Definindo relacionamentos de proxy e indicado Para definir uma atribuição de proxy para um usuário, você usa a página Atribuições de Proxy de Equipe na guia Solicitações e Aprovações da interface de usuário do Identity Manager. Para definir uma atribuição de indicado para um usuário, você usa a página Atribuições de Delegação de Equipe, que também está disponível na guia Solicitações e Aprovações.

Criando Gerentes de Grupo de Tarefas Para definir um Gerente de Grupo de Tarefas para um grupo de tarefas, você usa a página Criar Usuário ou Grupo na guia Auto-atendimento de Identidade da interface de usuário do Identity Manager.

Para obter detalhes sobre como definir Gerentes de Grupo de Tarefas, proxies e delegações, consulte o Aplicativo de Usuário do Identity Manager: Guia do Usuário.