14.1 Sobre a guia Funções

A finalidade da guia Funções é oferecer uma maneira fácil de executar ações de aprovisionamento com base em funções. Essas ações permitem que você gerencie definições e atribuições de função dentro da organização. As atribuições de função podem ser mapeadas para os recursos de uma empresa, como contas de usuário, computadores e bancos de dados. Por exemplo, você pode usar a guia Funções para:

Quando uma solicitação de atribuição de função requer a permissão de uma ou mais pessoas de uma organização, a solicitação inicia um workflow. O workflow coordena as aprovações necessárias para atender à solicitação. Algumas solicitações de atribuição de função requerem aprovação de uma única pessoa, enquanto outras requerem aprovação de várias. Em algumas situações, uma solicitação pode ser atendida sem aprovações.

Quando uma solicitação de atribuição de função resulta em um possível conflito de separação de tarefas, o iniciador pode optar por anular a restrição de separação de tarefas e fornecer uma justificativa pela criação de uma exceção para a restrição. Em alguns casos, um conflito de separação de tarefas pode causar o início de um workflow. O workflow coordena as aprovações necessárias para permitir que a exceção da separação de tarefas tenha efeito.

O designer de workflow e o administrador do sistema são responsáveis pela configuração do conteúdo da guia Funções para você e as outras pessoas da sua organização. O fluxo de controle de um workflow com base em funções ou de um workflow de separação de tarefas, bem como a aparência dos formulários, podem variar dependendo do modo como a definição de aprovação foi especificada no Designer for Identity Manager. Além disso, o que você pode ver e fazer é normalmente determinado pelos requisitos de seu cargo e pelo seu nível de autoridade.

Funções e modo de proxy

O modo de proxy funciona apenas na guia Solicitações e Aprovações e não é suportado na guia Funções. Se você digitar o modo de proxy na guia Solicitações e Aprovações e, em seguida, alternar para a guia Funções, ele será desativado para as duas guias.

14.1.1 Sobre as funções

Esta seção fornece uma visão geral dos termos e conceitos usados na guia Funções:

Funções e atribuições de função

Uma função define um conjunto de permissões relacionadas a um ou mais aplicativos ou sistemas de destino. A guia Funções permite que os usuários solicitem atribuições de função, que são associações entre uma função e um usuário, um grupo ou um container. A guia Funções também permite definir relacionamentos de funções, que estabelecem associações entre as funções na hierarquia de funções.

Você pode atribuir funções diretamente a um usuário e, nesse caso, essas atribuições diretas permitem acesso explícito do usuário às permissões associadas à função. Você também pode definir atribuições indiretas, que permitem que os usuários adquiram funções por meio da participação em um grupo, em um container ou em uma função relacionada na hierarquia de funções.

Ao solicitar uma atribuição de função, você pode definir uma data efetiva de atribuição de função, que especifica a data e o horário em que a atribuição entrará em vigor. Se você deixar isso em branco, a atribuição será imediata.

Você também pode definir uma data de vencimento da atribuição de função, que especifica a data e o horário em que a atribuição será automaticamente removida.

Quando um usuário solicita uma atribuição de função, o Subsistema de Funções gerencia o ciclo de vida da solicitação de função. Para ver quais ações foram executadas com base na solicitação pelos usuários ou pelo Subsistema de Funções, verifique o status da solicitação na página Ver Status da Solicitação.

Catálogo de Funções e hierarquia de funções

Para que os usuários iniciem a atribuição de função, é necessário que elas estejam definidas no Catálogo de Funções. O Catálogo de Funções é o repositório de armazenamento de todas as definições de função e dados de suporte necessários ao Subsistema de Funções. Para configurá-lo, um Administrador do Módulo de Função (ou Gerente de Função) define as funções e a hierarquia.

A hierarquia de funções estabelece relacionamentos entre as funções no catálogo. Com a definição de relacionamentos de funções, você consegue simplificar a tarefa de concessão de permissões por meio das atribuições de função. Por exemplo, em vez de atribuir 50 funções médicas separadas toda vez que um médico ingressar em sua organização, você pode definir uma função Médico e especificar um relacionamento de função entre essa função e cada uma das funções médicas. Ao atribuir usuários à função Médico, você consegue fornecer a eles as permissões definidas para cada uma das funções médicas relacionadas.

A hierarquia de funções suporta três níveis. As funções definidas no nível mais alto (denominado Funções Comerciais) especificam as operações com senso comercial dentro da organização. As funções de nível intermediário (chamadas Funções TI) oferecem suporte a funções tecnológicas. As funções definidas no nível mais baixo da hierarquia (chamado Funções de Permissão) especificam privilégios de nível inferior. O exemplo a seguir mostra uma hierarquia de funções com três níveis para uma organização médica. O nível mais alto da hierarquia está localizado à esquerda, e o nível mais baixo é exibido à direita:

Figura 14-1 Exemplo de hierarquia de funções

Uma função de nível superior inclui automaticamente privilégios das funções de nível inferior que ela contém. Por exemplo, uma Função Comercial inclui automaticamente privilégios das Funções TI que ela contém. Do mesmo modo, uma Função TI inclui automaticamente privilégios das Funções de Permissão que ela contém.

Os relacionamentos de funções não são permitidos entre as funções peer da hierarquia. As funções de nível inferior também não podem conter funções de nível superior.

Ao definir uma função, você pode opcionalmente designar um ou mais proprietários dessa função. Um proprietário de função é um usuário designado como o proprietário da definição de função. Ao gerar relatórios relacionados ao Catálogo de Funções, você pode filtrar esses relatórios com base no proprietário da função. O proprietário de função não recebe autorização automaticamente para administrar as mudanças feitas em uma definição de função. Em alguns casos, o proprietário deve solicitar a um administrador de função para executar qualquer ação de administração na função.

Ao definir uma função, você pode opcionalmente associá-la a uma ou mais categorias de função. Uma categoria de função permite classificar as funções para organizar o sistema de funções. Depois que uma função tiver sido associada a uma categoria, você poderá usar essa categoria como filtro ao procurar o Catálogo de Funções.

Se uma solicitação de atribuição de função exigir aprovação, a definição da função especificará os detalhes sobre o processo de workflow usado para coordenar as aprovações, bem como a lista de aprovadores. Os aprovadores são os indivíduos capazes de aprovar ou negar uma solicitação de atribuição de função.

Separação de tarefas

Um importante recurso do Subsistema de Funções é a capacidade de definir restrições SoD (separation of duties - separação de tarefas). Uma restrição SoD é uma regra que define duas funções consideradas em conflito. Os Gestores em Segurança criam as restrições de separação de tarefas para uma organização. Com a definição de restrições SoD, esses gestores conseguem impedir que usuários sejam atribuídos a funções conflitantes ou manter uma trilha de auditoria para monitorar as situações nas quais foram permitidas violações. Em uma restrição de separação de tarefas, as funções conflitantes devem estar no mesmo nível na hierarquia de funções.

Algumas restrições de separação de tarefas podem ser anuladas sem aprovação, enquanto outras exigem aprovação. Os conflitos permitidos sem aprovação são chamados de violações de separação de tarefas. Os conflitos aprovados são chamados de exceções aprovadas de separação de tarefas. O Subsistema de Funções não exige aprovações para as violações SoD resultantes de atribuições indiretas, como participação em um grupo ou em um container ou os relacionamentos de funções.

Se um conflito de separação de tarefas exigir aprovação, a definição da restrição especificará os detalhes sobre o processo de workflow usado para coordenar as aprovações, bem como a lista de aprovadores. Os aprovadores são as pessoas que podem aprovar ou negar uma exceção SoD. Uma lista padrão é definida como parte da configuração do Subsistema de Funções. Entretanto, essa lista pode ser anulada na definição de uma restrição SoD.

Auditoria e geração de relatórios de função

O Subsistema de Funções fornece um eficiente recurso gerador de relatórios para ajudar os auditores a analisarem o Catálogo de Funções, bem como o estado atual das atribuições de função e as restrições, as violações e as exceções de SoD. O recurso permite que Auditores de Funções e Administradores do Módulo de Funções exibam os seguintes tipos de relatórios em formato PDF:

  • Relatório de Lista de Funções

  • Relatório de Detalhes da Função

  • Relatório de Atribuição de Função

  • Relatório de Restrição SoD

  • Relatório de Violações e Exceções SoD

  • Relatório de Funções do Usuário

  • Relatório de Direitos do Usuário

Além de fornecer informações através do recurso gerador de relatórios, o Subsistema de Funções pode ser configurado para registrar eventos no Novell® Audit.

Segurança das funções

O Subsistema de Funções usa um conjunto de funções de sistema para proteger o acesso às funções dentro da guia Funções. Cada ação de menu na guia Funções é mapeada para uma ou mais funções do sistema. Se um usuário não for membro de uma das funções associadas a uma ação, o item de menu correspondente não será exibido na guia Funções.

As funções do sistema são funções administrativas automaticamente definidas pelo sistema no momento da instalação para uma administração delegada. Essas mudanças incluem:

  • Administrador do Módulo de Funções

  • Gerente de Funções

  • Auditor de Funções

  • Gestor em Segurança

As funções do sistema são descritas abaixo em detalhes:

Tabela 14-1 Funções do sistema

Função

Descrição

Administrador do Módulo de Funções

Uma função do sistema que permite aos membros criar, remover ou modificar todas as funções e conceder ou revogar qualquer atribuição de função a qualquer usuário, grupo ou container. Esta função também permite que os membros executem qualquer relatório para qualquer usuário. Uma pessoa nessa função poderá executar as seguintes funções no Aplicativo do Usuário, com escopo ilimitado:

  • Criar, remover e modificar funções.

  • Modificar relacionamentos de funções.

  • Solicitar a atribuição de usuários, grupos ou containers a funções.

  • Criar, remover e modificar restrições SoD.

  • Procurar o Catálogo de Funções.

  • Configurar o Subsistema de Funções.

  • Ver o status de todas as solicitações.

  • Recolher as solicitações de atribuição de função.

  • Executar quaisquer e todos os relatórios.

Gerente de Funções

Uma função do sistema que permite aos membros modificar funções e relacionamentos de funções e conceder ou revogar as atribuições de função de usuários. Uma pessoa nessa função é capaz de executar as seguintes funções no Aplicativo do Usuário e é limitada em escopo pelos direitos Procurar Diretório para os objetos Função:

  • Criar novas funções e modificar as funções existentes às quais o usuário tenha direitos Procurar.

  • Modificar os relacionamentos das funções para as quais o usuário tenha direitos Procurar.

  • Solicitar a atribuição de usuários, grupos ou containers às funções para as quais o usuário tenha direitos Procurar.

  • Procurar o Catálogo de Funções (limitada em escopo pelos direitos Procurar).

  • Procurar solicitações de atribuição de função para usuários, grupos e containers (limitada em escopo pelos direitos Procurar Diretório para objetos Função, Usuário, Grupo e Container).

  • Recolher solicitações de atribuição de função para usuários, grupos e containers (limitada em escopo pelos direitos Procurar Diretório para objetos Função, Usuário, Grupo e Container).

Auditor de Funções

Uma função do sistema que permite aos membros executar qualquer relatório para o qual tenham direitos Procurar Diretório.

Gestor em Segurança

Uma função do sistema que permite aos membros criar, remover ou modificar restrições SoD. O Gestor em Segurança deve ter direitos Procurar para as restrições SoD.
Usuário autenticado

Além de oferecer suporte às funções do sistema, o Subsistema de Funções também permite acesso a usuários autenticados. Um usuário autenticado é aquele conectado ao Aplicativo do Usuário e que não possui privilégios especiais por meio de uma participação em uma função do sistema. Um usuário autenticado típico pode executar qualquer uma das seguintes funções:

  • Ver todas as funções atribuídas ao usuário.

  • Solicitar a atribuição (somente para si próprio) para as funções para as quais tenha direitos Procurar.

  • Ver o status das solicitações para as quais seja solicitante ou destinatário.

  • Recolher as solicitações de atribuição de função para as quais seja solicitante e destinatário.

Driver de Serviço de Função

O Subsistema de Funções usa o driver de Serviço de Função para gerenciar o processamento back end das funções. Por exemplo, ele gerencia todas as atribuições de função, inicia workflows para solicitações de atribuição de função e conflitos de SoD que requerem aprovações e mantém as atribuições indiretas de funções de acordo com a participação em grupos e containers, bem como a participação nas funções relacionadas. O driver também concede e revoga direitos de usuários com base em suas participações em funções e executa procedimentos de limpeza das solicitações concluídas.

Para obter detalhes sobre o driver de Serviço de Função, consulte o Aplicativo de Usuário do Identity Manager: Guia de Administração.