Novell Doc: Módulo de Aprovisionamento Baseado em Funções do Aplicativo de Usuário do Identity Manager 3.6.1: Guia do Usuário

1.1 O Identity Manager e você

O Novell® Identity Manager é um software de sistema que sua organização usa para gerenciar com segurança as necessidades de acesso de sua comunidade de usuários. Se você for membro dessa comunidade, se beneficiará com o uso do Identity Manager de diversas maneiras. Por exemplo, o Identity Manager permite que sua organização:

Conceda aos usuários acesso às informações (como organogramas de grupos, white pages de departamentos ou pesquisa de funcionários) e aos recursos necessários (como equipamentos ou contas em sistemas internos), desde o primeiro dia
Sincronize várias senhas em um login único para todos os sistemas
Modifique ou revogue direitos de acesso instantaneamente quando necessário (por exemplo, quando alguém é transferido para outro grupo ou se desliga da organização)
Mantenha o cumprimento de regulamentos do governo

Para que esses benefícios sejam usufruídos diretamente por você e sua equipe, o Aplicativo do Usuário do Identity Manager fornece uma interface de usuário que pode ser usada em seu browser da Web.

1.1.1 Apresentando o Aplicativo do Usuário do Identity Manager

O Aplicativo do Usuário do Identity Manager fornece acesso às informações, aos recursos e às opções do Identity Manager. O administrador do sistema determina os detalhes do que pode ser visto e feito no Aplicativo do Usuário do Identity Manager. Em geral, isso inclui:

Auto-atendimento de Identidade, que permite:
- Exibir organogramas
- Relatar aplicativos associados a um usuário, se você for um administrador. (Requer o Módulo de Aprovisionamento Baseado em Funções do Identity Manager.)
- Editar as informações do seu perfil
- Pesquisar um diretório
- Mudar sua senha, a dica e a resposta de verificação da senha
- Revisar o status da política de senha e o status da sincronização de senhas
- Criar contas para novos usuários ou grupos (se você tiver autorização)
Solicitações e aprovações, que permitem:
- Solicitar recursos
- Verificar a aprovação de suas solicitações de recursos
- Trabalhar em tarefas atribuídas a você para a aprovação de outras solicitações de recursos
- Realizar solicitações e aprovações como proxy ou delegar essas tarefas a outra pessoa
- Atribuir a outra pessoa a qualidade de proxy ou indicado (se você tiver autorização)
- Gerenciar todos esses recursos de solicitação e aprovação para sua equipe (se você tiver autorização)
- Opcionalmente, fornecer uma assinatura digital para cada solicitação ou aprovação
NOTA:As solicitações e as aprovações requerem o Módulo de Aprovisionamento Baseado em Funções do Identity Manager.
Funções, que permitem:
- Solicitar atribuições de função e gerenciar o processo de aprovação das solicitações de atribuição de função
- Verificar o status de suas solicitações de função
- Definir funções e relacionamentos de funções
- Definir restrições SoD (separation of duties - separação de tarefas) e gerenciar o processo de aprovação nas situações em que o usuário solicitar uma substituição de uma restrição
- Procurar o Catálogo de Funções
- Examinar relatórios detalhados que listem as funções e as restrições de separação de tarefas definidas no catálogo, bem como o estado atual das atribuições de função, as exceções de separação de tarefas e os direitos do usuário
NOTA:As funções requerem o Módulo de Aprovisionamento Baseado em Funções do Identity Manager.
Conformidade, que permite:
- Solicitar processos de atestado de perfis de usuários
- Solicitar processos de atestado de separação de tarefas (SoD)
- Solicitar processos de atestado de atribuição de função
- Solicitar processos de atestado de atribuição de usuário
NOTA:A guia de Conformidade requer o Módulo de Aprovisionamento Baseado em Funções do Identity Manager.

1.1.2 Visão geral

Figura 1-1 O Aplicativo do Usuário do IDM fornece a Interface de Usuário do Identity Manager

1.1.3 Utilizações comuns

Veja a seguir alguns exemplos de como as pessoas normalmente usam o Aplicativo do Usuário do Identity Manager em uma organização.

Trabalhando com o Auto-atendimento de Identidade

Elisa (usuária final) recupera sua senha esquecida por meio dos recursos de auto-atendimento de identidade ao efetuar login.
Erik (um usuário final) realiza uma pesquisa de todos os funcionários que falam alemão em sua localização.
Eduardo (usuário final) pesquisa o organograma, encontra Ella e clica no ícone de e-mail para enviar uma mensagem a ela.

Trabalhando com solicitações e aprovações

Ernie (usuário final) procura uma lista de recursos disponíveis e solicita acesso ao sistema Siebel^*.
Amy (aprovadora) recebe uma notificação sobre uma solicitação de aprovação via e-mail (que contém um URL). Ela clica no link, recebe um formulário de aprovação e o aprova.
Ernie verifica o status de sua solicitação anterior para acesso ao Siebel (que agora já está com uma segunda pessoa para aprovação). Ele vê que a solicitação ainda está em andamento.
Amy vai sair de férias; portanto, ela indica que estará temporariamente indisponível. Nenhuma nova tarefa de aprovação será atribuída a ela enquanto não estiver disponível.
Amy abre sua lista de tarefas de aprovação, vê que há um número excessivo para ser aprovado por ela em tempo hábil e, então, reatribui várias delas aos colegas.
Pat (assistente administrativa, atuando como usuário proxy de Amy) abre a lista de tarefas de Amy e realiza uma tarefa de aprovação em seu lugar.
Max (gerente) vê a lista de tarefas de pessoas de seu departamento. Ele sabe que Amy tirou férias e, portanto, reatribui tarefas a outras pessoas de seu departamento.
Max inicia uma solicitação referente a uma conta de banco de dados para alguém de seu departamento diretamente subordinado a ele.
Ele designa Dan como um indicado autorizado para substituir Amy.
Dan (agora um aprovador indicado) recebe as tarefas de Amy quando ela está ausente.
Max contrata um estagiário não remunerado, que não deve ser incluído no sistema de RH. O administrador do sistema cria o registro do usuário para esse estagiário e solicita que ele obtenha acesso ao Notes, ao Active Directory e ao Oracle*.

Trabalhando com funções

Maxine (Gerente de Função) cria as funções comerciais Enfermeiro e Médico e as funções de TI Administrar Medicamentos e Prescrever Medicamentos.
Maxine (Gerente de Função) define um relacionamento entre as funções Enfermeiro e Administrar Medicamentos, especificando que a função Enfermeiro contenha a função Administrar Medicamentos. Max também define um relacionamento entre as funções Prescrever Medicamentos e Médico, especificando que a função Médico contenha a função Prescrever Medicamentos.
Chester (Gestor em Segurança) define uma restrição de separação de tarefas que especifica a existência de um possível conflito entre as funções Médico e Enfermeiro. Isso significa que normalmente o mesmo usuário não deveria ser atribuído às duas funções ao mesmo tempo. Em algumas circunstâncias, é possível que um indivíduo que solicita uma atribuição de função queira anular essa restrição. Para definir uma exceção de separação de tarefas, é necessário que o indivíduo que solicita a atribuição forneça uma justificativa.
Ernest (usuário final) procura uma lista de funções disponíveis para ele e solicita a atribuição para a função Enfermeiro.
Amelia (aprovadora) recebe uma notificação via e-mail sobre uma solicitação de aprovação (que contém um URL). Ela clica no link, recebe um formulário de aprovação e o aprova.
Arnaldo (Gerente de Função) solicita que Ernesto seja atribuído à função Médico. Ele é notificado da existência de um possível conflito entre a função Médico e a função Enfermeiro, à qual ele já foi atribuído. Ele fornece uma justificativa para a criação de uma exceção à restrição de separação de tarefas.
Edward (aprovador da separação de tarefas) recebe uma notificação via e-mail informando sobre um conflito de separação de tarefas. Ele aprova a solicitação de Arnold de anular a restrição de separação de tarefas.
Amelia (aprovadora) recebe uma notificação via e-mail sobre uma solicitação de aprovação para a função Médico. Ela aprova a solicitação de Arnold de atribuir Ernest à função Médico.
Bill (Auditor de Função) examina o Relatório de Violações e Exceções SoD e verifica que Ernest foi atribuído às funções Médico e Enfermeiro.

Trabalhando com Conformidade

Maxine (Gerente de Função) cria as funções comerciais Enfermeiro e Médico e as funções de TI Administrar Medicamentos e Prescrever Medicamentos.
Maxine (Gerente de Função) define um relacionamento entre as funções Enfermeiro e Administrar Medicamentos, especificando que a função Enfermeiro contenha a função Administrar Medicamentos. Max também define um relacionamento entre as funções Prescrever Medicamentos e Médico, especificando que a função Médico contenha a função Prescrever Medicamentos.
Chester (Gestor em Segurança) define uma restrição de separação de tarefas que especifica a existência de um possível conflito entre as funções Médico e Enfermeiro. Isso significa que normalmente o mesmo usuário não deveria ser atribuído às duas funções ao mesmo tempo. Em algumas circunstâncias, é possível que um indivíduo que solicita uma atribuição de função queira anular essa restrição. Para definir uma exceção de separação de tarefas, é necessário que o indivíduo que solicita a atribuição forneça uma justificativa.
Arnaldo (Gerente de Função) solicita que Ernesto seja atribuído à função Médico. Ele é notificado da existência de um possível conflito entre a função Médico e a função Enfermeiro, à qual ele já foi atribuído. Ele fornece uma justificativa para a criação de uma exceção à restrição de separação de tarefas.
Felipe (Administrador do Módulo de Conformidade) inicia um processo de atestado de atribuição da função Enfermeiro.
Flávia (atestadora) recebe a notificação da tarefa de atestado por e-mail (contendo um URL). Ela clica no link e recebe um formulário de atestado. Responde afirmativamente à pergunta do atestado, dando assim seu consentimento de que a informação está correta.
Felipe (Administrador do Módulo de Conformidade) inicia uma nova solicitação de um processo de atestado de perfil para usuários do grupo de Recursos Humanos.
Cada usuário do grupo de Recursos Humanos recebe a notificação da tarefa de atestado por e-mail (contendo um URL). Cada usuário clica no link e recebe um formulário de atestado. O formulário dá ao usuário uma oportunidade de examinar os valores dos vários atributos do perfil. Depois de examinar as informações, cada usuário responde à pergunta do atestado.