A finalidade da guia
é oferecer uma maneira fácil de executar ações de aprovisionamento com base em funções. Essas ações permitem que você gerencie definições e atribuições de função dentro da organização. As atribuições de função podem ser mapeadas para os recursos de uma empresa, como contas de usuário, computadores e bancos de dados. Por exemplo, você pode usar a guia para:Criar solicitações de função para você ou outros usuários em sua organização
Criar funções e relacionamentos de funções na hierarquia de funções
Criar restrições de separação de tarefas (SoD) para gerenciar conflitos potenciais entre as atribuições de função
Ver os relatórios que fornecem detalhes sobre o estado atual do Catálogo de Funções e das funções atualmente atribuídas a usuários, grupos e containers
Quando uma solicitação de atribuição de função requer a permissão de uma ou mais pessoas de uma organização, a solicitação inicia um workflow. O workflow coordena as aprovações necessárias para atender à solicitação. Algumas solicitações de atribuição de função requerem aprovação de uma única pessoa, enquanto outras requerem aprovação de várias. Em algumas situações, uma solicitação pode ser atendida sem aprovações.
Quando uma solicitação de atribuição de função resulta em um possível conflito de separação de tarefas, o iniciador pode optar por anular a restrição de separação de tarefas e fornecer uma justificativa pela criação de uma exceção para a restrição. Em alguns casos, um conflito de separação de tarefas pode causar o início de um workflow. O workflow coordena as aprovações necessárias para permitir que a exceção da separação de tarefas tenha efeito.
O designer de workflow e o administrador do sistema são responsáveis pela configuração do conteúdo da guia
para você e as outras pessoas da sua organização. O fluxo de controle de um workflow com base em funções ou de um workflow de separação de tarefas, bem como a aparência dos formulários, podem variar dependendo do modo como a definição de aprovação foi especificada no Designer for Identity Manager. Além disso, o que você pode ver e fazer é normalmente determinado pelos requisitos de seu cargo e pelo seu nível de autoridade.O modo de proxy funciona apenas na guia
e não é suportado na guia . Se você digitar o modo de proxy na guia e, em seguida, alternar para a guia , ele será desativado para as duas guias.Esta seção fornece uma visão geral dos termos e conceitos usados na guia
:Uma função define um conjunto de permissões relacionadas a um ou mais aplicativos ou sistemas de destino. A guia permite que os usuários solicitem atribuições de função, que são associações entre uma função e um usuário, um grupo ou um container. A guia também permite definir relacionamentos de funções, que estabelecem associações entre as funções na hierarquia de funções.
Você pode atribuir funções diretamente a um usuário e, nesse caso, essas atribuições diretas permitem acesso explícito do usuário às permissões associadas à função. Você também pode definir atribuições indiretas, que permitem que os usuários adquiram funções por meio da participação em um grupo, em um container ou em uma função relacionada na hierarquia de funções.
Ao solicitar uma atribuição de função, você pode definir uma data efetiva de atribuição de função, que especifica a data e o horário em que a atribuição entrará em vigor. Se você deixar isso em branco, a atribuição será imediata.
Você também pode definir uma data de vencimento da atribuição de função, que especifica a data e o horário em que a atribuição será automaticamente removida.
Quando um usuário solicita uma atribuição de função, o Subsistema de Funções gerencia o ciclo de vida da solicitação de função. Para ver quais ações foram executadas com base na solicitação pelos usuários ou pelo Subsistema de Funções, verifique o status da solicitação na página Ver Status da Solicitação.
Para que os usuários iniciem a atribuição de função, é necessário que elas estejam definidas no Catálogo de Funções. O Catálogo de Funções é o repositório de armazenamento de todas as definições de função e dados de suporte necessários ao Subsistema de Funções. Para configurá-lo, um Administrador do Módulo de Função (ou Gerente de Função) define as funções e a hierarquia.
A hierarquia de funções estabelece relacionamentos entre as funções no catálogo. Com a definição de relacionamentos de funções, você consegue simplificar a tarefa de concessão de permissões por meio das atribuições de função. Por exemplo, em vez de atribuir 50 funções médicas separadas toda vez que um médico ingressar em sua organização, você pode definir uma função Médico e especificar um relacionamento de função entre essa função e cada uma das funções médicas. Ao atribuir usuários à função Médico, você consegue fornecer a eles as permissões definidas para cada uma das funções médicas relacionadas.
A hierarquia de funções suporta três níveis. As funções definidas no nível mais alto (denominado Funções Comerciais) especificam as operações com senso comercial dentro da organização. As funções de nível intermediário (chamadas Funções TI) oferecem suporte a funções tecnológicas. As funções definidas no nível mais baixo da hierarquia (chamado Funções de Permissão) especificam privilégios de nível inferior. O exemplo a seguir mostra uma hierarquia de funções com três níveis para uma organização médica. O nível mais alto da hierarquia está localizado à esquerda, e o nível mais baixo é exibido à direita:
Figura 14-1 Exemplo de hierarquia de funções
Uma função de nível superior inclui automaticamente privilégios das funções de nível inferior que ela contém. Por exemplo, uma Função Comercial inclui automaticamente privilégios das Funções TI que ela contém. Do mesmo modo, uma Função TI inclui automaticamente privilégios das Funções de Permissão que ela contém.
Os relacionamentos de funções não são permitidos entre as funções peer da hierarquia. As funções de nível inferior também não podem conter funções de nível superior.
Ao definir uma função, você pode opcionalmente designar um ou mais proprietários dessa função. Um proprietário de função é um usuário designado como o proprietário da definição de função. Ao gerar relatórios relacionados ao Catálogo de Funções, você pode filtrar esses relatórios com base no proprietário da função. O proprietário de função não recebe autorização automaticamente para administrar as mudanças feitas em uma definição de função. Em alguns casos, o proprietário deve solicitar a um administrador de função para executar qualquer ação de administração na função.
Ao definir uma função, você pode opcionalmente associá-la a uma ou mais categorias de função. Uma categoria de função permite classificar as funções para organizar o sistema de funções. Depois que uma função tiver sido associada a uma categoria, você poderá usar essa categoria como filtro ao procurar o Catálogo de Funções.
Se uma solicitação de atribuição de função exigir aprovação, a definição da função especificará os detalhes sobre o processo de workflow usado para coordenar as aprovações, bem como a lista de aprovadores. Os aprovadores são os indivíduos capazes de aprovar ou negar uma solicitação de atribuição de função.
Um importante recurso do Subsistema de Funções é a capacidade de definir restrições SoD (separation of duties - separação de tarefas). Uma restrição SoD é uma regra que define duas funções consideradas em conflito. Os Gestores em Segurança criam as restrições de separação de tarefas para uma organização. Com a definição de restrições SoD, esses gestores conseguem impedir que usuários sejam atribuídos a funções conflitantes ou manter uma trilha de auditoria para monitorar as situações nas quais foram permitidas violações. Em uma restrição de separação de tarefas, as funções conflitantes devem estar no mesmo nível na hierarquia de funções.
Algumas restrições de separação de tarefas podem ser anuladas sem aprovação, enquanto outras exigem aprovação. Os conflitos permitidos sem aprovação são chamados de violações de separação de tarefas. Os conflitos aprovados são chamados de exceções aprovadas de separação de tarefas. O Subsistema de Funções não exige aprovações para as violações SoD resultantes de atribuições indiretas, como participação em um grupo ou em um container ou os relacionamentos de funções.
Se um conflito de separação de tarefas exigir aprovação, a definição da restrição especificará os detalhes sobre o processo de workflow usado para coordenar as aprovações, bem como a lista de aprovadores. Os aprovadores são as pessoas que podem aprovar ou negar uma exceção SoD. Uma lista padrão é definida como parte da configuração do Subsistema de Funções. Entretanto, essa lista pode ser anulada na definição de uma restrição SoD.
O Subsistema de Funções fornece um eficiente recurso gerador de relatórios para ajudar os auditores a analisarem o Catálogo de Funções, bem como o estado atual das atribuições de função e as restrições, as violações e as exceções de SoD. O recurso permite que Auditores de Funções e Administradores do Módulo de Funções exibam os seguintes tipos de relatórios em formato PDF:
Relatório de Lista de Funções
Relatório de Detalhes da Função
Relatório de Atribuição de Função
Relatório de Restrição SoD
Relatório de Violações e Exceções SoD
Relatório de Funções do Usuário
Relatório de Direitos do Usuário
Além de fornecer informações através do recurso gerador de relatórios, o Subsistema de Funções pode ser configurado para registrar eventos no Novell® Audit.
O Subsistema de Funções usa um conjunto de funções de sistema para proteger o acesso às funções dentro da guia
. Cada ação de menu na guia é mapeada para uma ou mais funções do sistema. Se um usuário não for membro de uma das funções associadas a uma ação, o item de menu correspondente não será exibido na guia .As funções do sistema são funções administrativas automaticamente definidas pelo sistema no momento da instalação para uma administração delegada. Essas mudanças incluem:
Administrador do Módulo de Funções
Gerente de Funções
Auditor de Funções
Gestor em Segurança
As funções do sistema são descritas abaixo em detalhes:
Tabela 14-1 Funções do sistema
Além de oferecer suporte às funções do sistema, o Subsistema de Funções também permite acesso a usuários autenticados. Um usuário autenticado é aquele conectado ao Aplicativo do Usuário e que não possui privilégios especiais por meio de uma participação em uma função do sistema. Um usuário autenticado típico pode executar qualquer uma das seguintes funções:
Ver todas as funções atribuídas ao usuário.
Solicitar a atribuição (somente para si próprio) para as funções para as quais tenha direitos Procurar.
Ver o status das solicitações para as quais seja solicitante ou destinatário.
Recolher as solicitações de atribuição de função para as quais seja solicitante e destinatário.
O Subsistema de Funções usa o driver de Serviço de Função para gerenciar o processamento back end das funções. Por exemplo, ele gerencia todas as atribuições de função, inicia workflows para solicitações de atribuição de função e conflitos de SoD que requerem aprovações e mantém as atribuições indiretas de funções de acordo com a participação em grupos e containers, bem como a participação nas funções relacionadas. O driver também concede e revoga direitos de usuários com base em suas participações em funções e executa procedimentos de limpeza das solicitações concluídas.
Para obter detalhes sobre o driver de Serviço de Função, consulte o Aplicativo de Usuário do Identity Manager: Guia de Administração.