Novell Doc: Aplicativo de Usuário do Módulo de Aprovisionamento Baseado em Funções 4.0 do Identity Manager: Guia do Usuário

15.1 Sobre a guia Funções e Recursos

A finalidade da guia Funções e Recursos é oferecer uma maneira prática de executar ações de aprovisionamento baseadas em funções. Essas ações permitem gerenciar definições e atribuições de funções dentro da sua organização, e também definições e atribuições de recurso. As atribuições de funções podem ser mapeadas para os recursos de uma empresa, como contas de usuário, computadores e bancos de dados. Se preferir, é possível atribuir os recursos diretamente aos usuários. Por exemplo, é possível usar a guia Funções e Recursos para:

Fazer solicitações de função e recurso para você mesmo ou para outros usuários de sua organização
Criar funções e relacionamentos de funções na hierarquia de funções
Criar restrições de separação de tarefas (SoD) para gerenciar conflitos potenciais entre as atribuições de função
Ver os relatórios que fornecem detalhes sobre o estado atual do Catálogo de Funções e das funções atualmente atribuídas a usuários, grupos e containers

Quando uma solicitação de atribuição de função ou recurso requer permissão de uma ou mais pessoas da organização, a solicitação inicia um workflow. O workflow coordena as aprovações necessárias para atender à solicitação. Algumas solicitações de atribuição requerem aprovação de uma única pessoa; outras requerem aprovação de várias pessoas. Em algumas situações, uma solicitação pode ser atendida sem aprovações.

Quando uma solicitação de atribuição de função resulta em um possível conflito de separação de tarefas, o iniciador pode optar por anular a restrição de separação de tarefas e fornecer uma justificativa pela criação de uma exceção para a restrição. Em alguns casos, um conflito de separação de tarefas pode causar o início de um workflow. O workflow coordena as aprovações necessárias para permitir que a exceção da separação de tarefas tenha efeito.

O designer do workflow e o administrador do sistema são responsáveis pela configuração do conteúdo da guia Funções e Recursos para você e os outros usuários da organização. O fluxo de controle de um workflow, bem como a aparência dos formulários, pode variar dependendo do modo como a definição de aprovação do workflow foi especificada no Designer for Identity Manager. Além disso, o que você pode ver e fazer é normalmente determinado pelos requisitos de seu cargo e pelo seu nível de autoridade.

15.1.1 Sobre as funções

Esta seção apresenta uma visão geral dos termos e conceitos usados na guia Funções e Recursos:

Funções e atribuições de funções

Uma função define um conjunto de permissões relacionadas a um ou mais aplicativos ou sistemas de destino. A guia Funções e Recursos permite aos usuários solicitarem atribuições de funções, que são associações entre uma função e um usuário, grupo ou container. A guia Funções e Recursos também permite definir relacionamentos de funções, que estabelecem associações entre as funções na hierarquia de funções.

Você pode atribuir funções diretamente a um usuário e, nesse caso, essas atribuições diretas permitem acesso explícito do usuário às permissões associadas à função. Você também pode definir atribuições indiretas, que permitem que os usuários adquiram funções por meio da participação em um grupo, em um container ou em uma função relacionada na hierarquia de funções.

Ao solicitar uma atribuição de função, você pode definir uma data efetiva de atribuição de função, que especifica a data e o horário em que a atribuição entrará em vigor. Se você deixar isso em branco, a atribuição será imediata.

Você também pode definir uma data de vencimento da atribuição de função, que especifica a data e o horário em que a atribuição será automaticamente removida.

Quando um usuário solicita uma atribuição de função, o Subsistema de Função e Recurso gerencia o ciclo de vida da solicitação de função. Para ver quais ações foram executadas na solicitação pelos usuários ou pelo próprio subsistema, você pode verificar o status da solicitação na guia Status da Solicitação do Catálogo de Funções.

Catálogo de funções e hierarquia de funções

Para que os usuários possam começar a atribuir funções, as funções devem ser definidas no Catálogo de Funções. O Catálogo de Funções é o repositório para armazenamento de todas as definições de função e os dados de suporte que o Subsistema de Função e Recurso precisa. Para configurar o Catálogo de Funções, o Administrador do Módulo de Funções (ou Gerente de Função) define as funções e a hierarquia de funções.

A hierarquia de funções estabelece relacionamentos entre as funções no catálogo. Com a definição de relacionamentos de funções, você consegue simplificar a tarefa de concessão de permissões por meio das atribuições de funções. Por exemplo, em vez de atribuir 50 funções médicas separadas toda vez que um médico ingressar em sua organização, você pode definir uma função Médico e especificar um relacionamento de função entre essa função e cada uma das funções médicas. Ao atribuir usuários à função Médico, você consegue fornecer a eles as permissões definidas para cada uma das funções médicas relacionadas.

A hierarquia de funções suporta três níveis. As funções definidas no nível mais alto (denominado Funções Comerciais) especificam as operações com senso comercial dentro da organização. As funções de nível intermediário (chamadas Funções TI) oferecem suporte a funções tecnológicas. As funções definidas no nível mais baixo da hierarquia (chamado Funções de Permissão) especificam privilégios de nível inferior. O exemplo a seguir mostra uma hierarquia de funções com três níveis para uma organização médica. O nível mais alto da hierarquia está localizado à esquerda, e o nível mais baixo é exibido à direita:

Figura 15-1 Exemplo de hierarquia de funções

Uma função de nível superior inclui automaticamente privilégios das funções de nível inferior que ela contém. Por exemplo, uma Função Comercial inclui automaticamente privilégios das Funções TI que ela contém. Do mesmo modo, uma Função TI inclui automaticamente privilégios das Funções de Permissão que ela contém.

Os relacionamentos de funções não são permitidos entre as funções peer da hierarquia. As funções de nível inferior também não podem conter funções de nível superior.

Ao definir uma função, você pode opcionalmente designar um ou mais proprietários dessa função. Um proprietário de função é um usuário designado como o proprietário da definição de função. Ao gerar relatórios relacionados ao Catálogo de Funções, você pode filtrar esses relatórios com base no proprietário da função. O proprietário de função não recebe autorização automaticamente para administrar as mudanças feitas em uma definição de função. Em alguns casos, o proprietário deve solicitar a um administrador de função para executar qualquer ação de administração na função.

Ao definir uma função, você pode opcionalmente associá-la a uma ou mais categorias de função. Uma categoria de função permite classificar as funções para organizar o sistema de funções. Depois que uma função tiver sido associada a uma categoria, você poderá usar essa categoria como filtro ao procurar o Catálogo de Funções.

Se uma solicitação de atribuição de função exigir aprovação, a definição da função especificará os detalhes sobre o processo de workflow usado para coordenar as aprovações, bem como a lista de aprovadores. Os aprovadores são os indivíduos capazes de aprovar ou negar uma solicitação de atribuição de função.

Separação de tarefas

O recurso principal do Subsistema de Função e Recurso é a capacidade de definir restrições de separação de tarefas (SoD). Uma restrição SoD é uma regra que define duas funções consideradas em conflito. Os Gestores em Segurança criam as restrições de separação de tarefas para uma organização. Com a definição de restrições SoD, esses gestores conseguem impedir que usuários sejam atribuídos a funções conflitantes ou manter uma trilha de auditoria para monitorar as situações nas quais foram permitidas violações. Em uma restrição de separação de tarefas, as funções conflitantes devem estar no mesmo nível na hierarquia de funções.

Algumas restrições de separação de tarefas podem ser anuladas sem aprovação, enquanto outras exigem aprovação. Os conflitos permitidos sem aprovação são chamados de violações de separação de tarefas. Os conflitos aprovados são chamados de exceções aprovadas de separação de tarefas. O Subsistema de Função e Recurso não exige aprovações de violações de SoD resultantes de atribuições indiretas, como participação de um grupo ou container, ou relacionamentos de funções.

Se um conflito de separação de tarefas exigir aprovação, a definição da restrição especificará os detalhes sobre o processo de workflow usado para coordenar as aprovações, bem como a lista de aprovadores. Os aprovadores são as pessoas que podem aprovar ou negar uma exceção SoD. Uma lista padrão é definida como parte da configuração do Subsistema de Função e Recurso. Entretanto, essa lista pode ser anulada na definição de uma restrição SoD.

Auditoria e geração de relatórios de função

O Subsistema de Função e Recurso oferece um avançado recurso gerador de relatórios que ajuda os auditores a analisarem o Catálogo de Funções, além do estado atual das atribuições de funções e restrições, violações e exceções de SoD. O recurso permite que Auditores de Funções e Administradores do Módulo de Funções exibam os seguintes tipos de relatórios em formato PDF:

Relatório de Lista de Funções
Relatório de Detalhes da Função
Relatório de Atribuição de Função
Relatório de Restrição SoD
Relatório de Violações e Exceções SoD
Relatório de Funções do Usuário
Relatório de Direitos do Usuário

Além de apresentar informações pelo recurso gerador de relatórios, o Subsistema de Função e Recurso pode ser configurado para registrar eventos nos clientes de auditoria da Novell ou OpenXDAS.

Segurança das funções

O Subsistema de Função e Recurso usa um conjunto de funções do sistema para proteger o acesso às funções da guia Funções e Recursos. Cada ação de menu da guia Funções e Recursos é mapeada a uma ou mais funções do sistema. Se o usuário não for membro de nenhuma das funções associadas a uma ação, o item de menu correspondente não será exibido na guia Funções e Recursos.

As funções do sistema são funções administrativas automaticamente definidas pelo sistema no momento da instalação para uma administração delegada. Essas mudanças incluem:

Administrador de Funções
Gerente de Funções

As funções do sistema são descritas abaixo em detalhes:

Tabela 15-1 Funções do sistema

Função	Descrição
Administrador de Funções	Uma função do sistema que permite aos membros criar, remover ou modificar todas as funções e conceder ou revogar qualquer atribuição de função a qualquer usuário, grupo ou container. Esta função também permite que os membros executem qualquer relatório para qualquer usuário. Uma pessoa nessa função poderá executar as seguintes funções no Aplicativo de Usuário, com escopo ilimitado: Criar, remover e modificar funções. Modificar relacionamentos de funções. Solicitar a atribuição de usuários, grupos ou containers a funções. Criar, remover e modificar restrições SoD. Procurar o Catálogo de Funções. Configurar o Subsistema de Função e Recurso. Ver o status de todas as solicitações. Recolher as solicitações de atribuição de função. Executar quaisquer e todos os relatórios.
Gerente de Função	Uma função do sistema que permite aos membros modificar funções e relacionamentos de funções e conceder ou revogar as atribuições de funções de usuários. Uma pessoa nessa função é capaz de executar as seguintes funções no Aplicativo de Usuário e é limitada em escopo pelos direitos Procurar Diretório para os objetos Função: Criar novas funções e modificar as funções existentes às quais o usuário tenha direitos Procurar. Modificar os relacionamentos das funções para as quais o usuário tenha direitos Procurar. Solicitar a atribuição de usuários, grupos ou containers às funções para as quais o usuário tenha direitos Procurar. Procurar o Catálogo de Funções (limitada em escopo pelos direitos Procurar). Procurar solicitações de atribuição de função para usuários, grupos e containers (limitada em escopo pelos direitos Procurar Diretório para objetos Função, Usuário, Grupo e Container). Recolher solicitações de atribuição de função para usuários, grupos e containers (limitada em escopo pelos direitos Procurar Diretório para objetos Função, Usuário, Grupo e Container).

Função

Descrição

Administrador de Funções

Uma função do sistema que permite aos membros criar, remover ou modificar todas as funções e conceder ou revogar qualquer atribuição de função a qualquer usuário, grupo ou container. Esta função também permite que os membros executem qualquer relatório para qualquer usuário. Uma pessoa nessa função poderá executar as seguintes funções no Aplicativo de Usuário, com escopo ilimitado:

Criar, remover e modificar funções.
Modificar relacionamentos de funções.
Solicitar a atribuição de usuários, grupos ou containers a funções.
Criar, remover e modificar restrições SoD.
Procurar o Catálogo de Funções.
Configurar o Subsistema de Função e Recurso.
Ver o status de todas as solicitações.
Recolher as solicitações de atribuição de função.
Executar quaisquer e todos os relatórios.

Gerente de Função

Uma função do sistema que permite aos membros modificar funções e relacionamentos de funções e conceder ou revogar as atribuições de funções de usuários. Uma pessoa nessa função é capaz de executar as seguintes funções no Aplicativo de Usuário e é limitada em escopo pelos direitos Procurar Diretório para os objetos Função:

Criar novas funções e modificar as funções existentes às quais o usuário tenha direitos Procurar.
Modificar os relacionamentos das funções para as quais o usuário tenha direitos Procurar.
Solicitar a atribuição de usuários, grupos ou containers às funções para as quais o usuário tenha direitos Procurar.
Procurar o Catálogo de Funções (limitada em escopo pelos direitos Procurar).
Procurar solicitações de atribuição de função para usuários, grupos e containers (limitada em escopo pelos direitos Procurar Diretório para objetos Função, Usuário, Grupo e Container).
Recolher solicitações de atribuição de função para usuários, grupos e containers (limitada em escopo pelos direitos Procurar Diretório para objetos Função, Usuário, Grupo e Container).

Usuário autenticado

Além de oferecer suporte às funções do sistema, o Subsistema de Função e Recurso também permite acesso a usuários autenticados. Um usuário autenticado é aquele conectado ao Aplicativo de Usuário e que não possui privilégios especiais por meio de uma participação em uma função do sistema. Um usuário autenticado típico pode executar qualquer uma das seguintes funções:

Ver todas as funções atribuídas ao usuário.
Solicitar a atribuição (somente para si próprio) para as funções para as quais tenha direitos Procurar.
Ver o status das solicitações para as quais seja solicitante ou destinatário.
Recolher as solicitações de atribuição de função para as quais seja solicitante e destinatário.

Driver Função e Serviço de Recurso

O Subsistema de Função e Recurso usa o driver Serviço de Função e Recurso para gerenciar o processamento back end das funções. Por exemplo, ele gerencia todas as atribuições de funções, inicia workflows para solicitações de atribuição de função e conflitos SoD que requerem aprovações e mantém as atribuições indiretas de funções de acordo com a participação em grupo e containers, bem como a participação nas funções relacionadas. O driver também concede e revoga direitos de usuários com base em suas participações em funções e executa procedimentos de limpeza das solicitações concluídas.

O que ocorre quando há mudança de direitos para um recurso. Se você mudar os direitos para um recurso existente, o driver não concederá os novos direitos aos usuários para os quais o recurso está atribuído atualmente. Para conceder os novos direitos, é preciso remover e reatribuir o recurso aos usuários que precisam dos direitos.

Para obter detalhes sobre o driver de Serviço de Função e Recurso, consulte o Identity Manager User Application: Administration Guide (Aplicativo de Usuário do Identity Manager: Guia de Administração).

15.1.2 Sobre os recursos

Esta seção apresenta uma visão geral dos termos e conceitos de gerenciamento de recursos usados no Aplicativo de Usuário.

Sobre o aprovisionamento baseado em recursos

O propósito da funcionalidade de recurso no Aplicativo de Usuário é oferecer uma maneira prática de executar ações de aprovisionamento baseado em recursos. Essas ações permitem gerenciar as definições e atribuições de recurso em sua organização. É possível mapear as atribuições de recurso aos usuários ou funções de uma empresa. Por exemplo, é possível usar os recursos para:

Criar solicitações de recurso para você ou outros usuários da sua organização
Criar recursos e mapeá-los aos direitos

Quando uma solicitação de atribuição de recurso exige permissão de uma ou mais pessoas na organização, a solicitação inicia um workflow. O workflow coordena as aprovações necessárias para atender à solicitação. Algumas solicitações de atribuição de recurso requerem aprovação de uma única pessoa; outras requerem aprovação de várias pessoas. Em algumas situações, uma solicitação pode ser atendida sem aprovações.

As seguintes regras de negócios controlam o comportamento dos recursos no Aplicativo de Usuário:

É possível apenas atribuir recursos a um usuário. Isso não impede que um recurso seja concedido a usuários em um container ou grupo baseado em atribuições de funções implícitas. No entanto, a atribuição de recurso só será associada a um usuário.
É possível atribuir recursos de uma das seguintes maneiras:
- Diretamente por um usuário através dos mecanismos da IU
- Através de uma solicitação de aprovisionamento
- Através de uma atribuição de solicitação de função
- Através da interface Rest ou SOAP
O mesmo recurso pode ser concedido a um usuário várias vezes (se essa funcionalidade tiver sido habilitada na definição de recurso).
Uma definição de recurso não pode ter mais de um direito vinculado a ela.
Uma definição de recurso pode ter uma ou mais referências com o mesmo direito vinculadas a ela. Essa funcionalidade oferece suporte a direitos em que seus parâmetros representam contas que podem ser aprovisionadas ou permissões no sistema conectado.
É possível especificar parâmetros de suporte a Direitos e decisões em tempo de design (estático) ou no horário de solicitação (dinâmico).

O designer do workflow e o administrador do sistema são responsáveis pela configuração do Aplicativo de Usuário para você e as outras pessoas da sua organização. O fluxo de controle de um workflow baseado em recursos, bem como a aparência dos formulários, pode variar dependendo do modo como a definição de aprovação do workflow foi especificada no Designer for Identity Manager. Além disso, o que você pode ver e fazer é normalmente determinado pelos requisitos de seu cargo e pelo seu nível de autoridade.

Recursos

Um recurso é qualquer entidade digital, como uma conta de usuário, um computador ou um banco de dados que o usuário comercial precisa para obter acesso. O Aplicativo de Usuário oferece uma maneira prática para os usuários finais solicitarem os recursos necessários. Além disso, ele dispõe de ferramentas que os administradores podem usar para definir recursos.

Cada recurso é mapeado a um direito. Uma definição de recurso não pode ter mais de um direito vinculado a ela. Uma definição de recurso pode ser vinculada ao mesmo direito mais de uma vez, com diferentes parâmetros de direitos para cada recurso.

Solicitações de recurso

É possível atribuir os recursos apenas a usuários. Eles não podem ser atribuídos a grupos nem containers. No entanto, se uma função for atribuída a um grupo ou container, os usuários do grupo ou container poderão automaticamente receber acesso aos recursos associados à função.

As solicitações de recurso podem exigir aprovações. O processo de aprovação de um recurso pode ser controlado por uma definição de solicitação de aprovisionamento, ou por um sistema externo definindo o código de status na solicitação de recurso.

Se a solicitação de concessão de recurso for iniciada por uma atribuição de função, pode ser que o recurso não seja concedido, mesmo que a função seja aprovisionada. Não fornecer as aprovações necessárias seria o motivo mais provável para essa situação.

Uma solicitação de recurso pode conceder ou revogar um recurso de um usuário.

Driver Função e Serviço de Recurso

O Aplicativo de Usuário usa o Driver Função e Serviço de Recurso para gerenciar o processamento back end dos recursos. Por exemplo, ele gerencia todas as solicitações de recurso, inicia workflows e o processo de aprovisionamento para solicitações de recurso.