Novell Doc: Módulo de Aprovisionamento Baseado em Funções do Aplicativo de Usuário do IDM 3.7.0: Guia do Usuário

1.1 O Identity Manager e você

O Novell® Identity Manager é um software de sistema que sua organização usa para gerenciar com segurança as necessidades de acesso de sua comunidade de usuários. Se você for membro dessa comunidade, se beneficiará com o uso do Identity Manager de diversas maneiras. Por exemplo, o Identity Manager permite que sua organização:

Conceda prontamente aos usuários acesso às informações (como organogramas de grupo, white pages de departamentos ou pesquisa por funcionários), além de funções e recursos necessários (como equipamento ou contas em sistemas internos)
Sincronize várias senhas em um login único para todos os sistemas
Modifique ou revogue direitos de acesso instantaneamente quando necessário (por exemplo, quando alguém é transferido para outro grupo ou se desliga da organização)
Mantenha o cumprimento de regulamentos do governo

Para que esses benefícios sejam usufruídos diretamente por você e sua equipe, o Aplicativo do Usuário do Identity Manager fornece uma interface de usuário que pode ser usada em seu browser da Web.

1.1.1 Apresentando o Aplicativo do Usuário do Identity Manager

O Aplicativo de Usuário do Identity Manager é a sua visão para informações, funções, recursos e funcionalidades do Identity Manager. O administrador do sistema determina os detalhes do que pode ser visto e feito no Aplicativo do Usuário do Identity Manager. Em geral, isso inclui:

O Auto-atendimento de identidade, que permite:
- Exibir organogramas
- Relatar aplicativos associados a um usuário, se você for um administrador. (Requer o Módulo de Aprovisionamento com Base em Funções do Identity Manager.)
- Editar as informações do seu perfil
- Pesquisar um diretório
- Mudar sua senha, a dica e a resposta de verificação da senha
- Revisar o status da política de senha e o status da sincronização de senhas
- Criar contas para novos usuários ou grupos (se você tiver autorização)
Funções, que permitem:
- Solicitar atribuições de funções e gerenciar o processo de aprovação das solicitações de atribuição de função
- Verificar o status de suas solicitações de função
- Definir funções e relacionamentos de funções
- Definir restrições SoD (separation of duties - separação de tarefas) e gerenciar o processo de aprovação nas situações em que o usuário solicitar uma substituição de uma restrição
- Procurar o Catálogo de Funções
- Examinar relatórios detalhados que listem as funções e as restrições de separação de tarefas definidas no catálogo, bem como o estado atual das atribuições de funções, as exceções de separação de tarefas e os direitos do usuário
Os recursos permitem a você:
- Solicitar atribuições de recursos e gerenciar o processo de aprovação das solicitações de atribuição de recursos
- Verificar o status das suas solicitações de recursos
- Navegar pelo Catálogo de Recursos
Os processos de workflow permitem a você:
- Solicitar processos de workflow personalizados
- Verificar a aprovação das suas solicitações de função, recurso e processo
- Trabalhar com tarefas atribuídas a você para aprovar outras solicitações
- Realizar solicitações de processo e aprovações como proxy ou delegar a outra pessoa
- Atribuir a outra pessoa a qualidade de proxy ou indicado (se você tiver autorização)
- Gerenciar todos esses recursos de solicitação e aprovação para sua equipe (se você tiver autorização)
- Opcionalmente, fornecer uma assinatura digital para cada solicitação ou aprovação
A conformidade permite a você:
- Solicitar processos de atestado de perfis de usuários
- Solicitar processos de atestado de separação de tarefas (SoD)
- Solicitar processos de atestado de atribuição de função
- Solicitar processos de atestado de atribuição de usuário

1.1.2 Visão geral

Figura 1-1 O Aplicativo do Usuário do IDM fornece a Interface de Usuário do Identity Manager

1.1.3 Utilizações comuns

Veja a seguir alguns exemplos de como as pessoas normalmente usam o Aplicativo do Usuário do Identity Manager em uma organização.

Trabalhando com o Auto-atendimento de Identidade

Ella (usuária final) recupera sua senha esquecida por meio dos recursos de auto-atendimento de identidade ao efetuar login.
Erik (um usuário final) realiza uma pesquisa de todos os funcionários que falam alemão em sua localização.
Eduardo (usuário final) procura no organograma, encontra Elisa e clica no ícone de e‑mail para enviar uma mensagem a ela.

Trabalhando com funções e recursos

Marina (Gerente de Função) cria as funções comerciais Enfermeiro e Médico e as funções de TI Administrar Medicamentos e Prescrever Medicamentos. Marina cria vários recursos necessários para essas funções e os associa às funções.
Maxine (Gerenciadora de Função) define um relacionamento entre as funções Enfermeiro e Administrar Medicamentos, especificando que a função Enfermeiro contenha a função Administrar Medicamentos. Max também define um relacionamento entre as funções Prescrever Medicamentos e Médico, especificando que a função Médico contenha a função Prescrever Medicamentos.
Chester (Gestor em Segurança) define uma restrição de separação de tarefas que especifica a existência de um possível conflito entre as funções Médico e Enfermeiro. Isso significa que normalmente o mesmo usuário não deveria ser atribuído às duas funções ao mesmo tempo. Em algumas circunstâncias, é possível que um indivíduo que solicita uma atribuição de função queira anular essa restrição. Para definir uma exceção de separação de tarefas, é necessário que o indivíduo que solicita a atribuição forneça uma justificativa.
Ernest (usuário final) procura uma lista de funções disponíveis para ele e solicita a atribuição para a função Enfermeiro.
Amelia (aprovadora) recebe uma notificação via e‑mail sobre uma solicitação de aprovação (que contém um URL). Ela clica no link, recebe um formulário de aprovação e o aprova.
Arnold (Gerenciador de Função) solicita que Ernest seja atribuído à função Médico. Ele é notificado da existência de um possível conflito entre a função Médico e a função Enfermeiro, à qual ele já foi atribuído. Ele fornece uma justificativa para a criação de uma exceção à restrição de separação de tarefas.
Edward (aprovador da separação de tarefas) recebe uma notificação via e‑mail informando sobre um conflito de separação de tarefas. Ele aprova a solicitação de Arnold de anular a restrição de separação de tarefas.
Amelia (aprovadora) recebe uma notificação via e‑mail sobre uma solicitação de aprovação para a função Médico. Ela aprova a solicitação de Arnold de atribuir Ernest à função Médico.
Bill (Auditor de Função) examina o Relatório de Violações e Exceções SoD e verifica que Ernesto foi atribuído às funções Médico e Enfermeiro. Ele vê também que Ernesto recebeu os recursos associados a essas funções.

Trabalhando com solicitações de processo

Ernie (usuário final) pesquisa uma lista de recursos disponíveis e solicita acesso ao sistema Siebel ^*.
Amy (aprovadora) recebe uma notificação sobre uma solicitação de aprovação via e‑mail (que contém um URL). Ela clica no link, recebe um formulário de aprovação e o aprova.
Ernie verifica o status de sua solicitação anterior para acesso ao Siebel (que agora já está com uma segunda pessoa para aprovação). Ele vê que a solicitação ainda está em andamento.
Amy vai sair de férias; portanto, ela indica que estará temporariamente indisponível. Nenhuma nova tarefa de aprovação será atribuída a ela enquanto não estiver disponível.
Amy abre sua lista de tarefas de aprovação, vê que há um número excessivo para ser aprovado por ela em tempo hábil e, então, reatribui várias delas aos colegas.
Pat (assistente administrativa, atuando como usuário proxy de Amy) abre a lista de tarefas de Amy e realiza uma tarefa de aprovação em seu lugar.
Max (gerente) vê a lista de tarefas de pessoas de seu departamento. Ele sabe que Amy tirou férias e, portanto, reatribui tarefas a outras pessoas de seu departamento.
Max inicia uma solicitação referente a uma conta de banco de dados para alguém de seu departamento diretamente subordinado a ele.
Ele designa Dan como um indicado autorizado para substituir Amy.
Dan (agora um aprovador indicado) recebe as tarefas de Amy quando ela está ausente.
Max contrata um estagiário não remunerado, que não deve ser incluído no sistema de RH. O administrador do sistema cria o registro do usuário para esse estagiário e solicita que ele obtenha acesso ao Notes, ao Active Directory e ao Oracle*.

Trabalhando com Conformidade

Maxine (Gerenciadora de Função) cria as funções comerciais Enfermeiro e Médico e as funções TI Administrar Medicamentos e Prescrever Medicamentos.
Maxine (Gerenciadora de Função) define um relacionamento entre as funções Enfermeiro e Administrar Medicamentos, especificando que a função Enfermeiro contenha a função Administrar Medicamentos. Max também define um relacionamento entre as funções Prescrever Medicamentos e Médico, especificando que a função Médico contenha a função Prescrever Medicamentos.
Chester (Gestor em Segurança) define uma restrição de separação de tarefas que especifica a existência de um possível conflito entre as funções Médico e Enfermeiro. Isso significa que normalmente o mesmo usuário não deveria ser atribuído às duas funções ao mesmo tempo. Em algumas circunstâncias, é possível que um indivíduo que solicita uma atribuição de função queira anular essa restrição. Para definir uma exceção de separação de tarefas, é necessário que o indivíduo que solicita a atribuição forneça uma justificativa.
Arnold (Gerenciador de Função) solicita que Ernest seja atribuído à função Médico. Ele é notificado da existência de um possível conflito entre a função Médico e a função Enfermeiro, à qual ele já foi atribuído. Ele fornece uma justificativa para a criação de uma exceção à restrição de separação de tarefas.
Felipe (Administrador do Módulo de Conformidade) inicia um processo de atestado de atribuição da função Enfermeiro.
Flávia (atestadora) recebe a notificação da tarefa de atestado por e‑mail (contendo um URL). Ela clica no link e recebe um formulário de atestado. Responde afirmativamente à pergunta do atestado, dando assim seu consentimento de que a informação está correta.
Felipe (Administrador do Módulo de Conformidade) inicia uma nova solicitação de um processo de atestado de perfil para usuários do grupo de Recursos Humanos.
Cada usuário do grupo de Recursos Humanos recebe a notificação da tarefa de atestado por e‑mail (contendo um URL). Cada usuário clica no link e recebe um formulário de atestado. O formulário dá ao usuário uma oportunidade de examinar os valores dos vários atributos do perfil. Depois de examinar as informações, cada usuário responde à pergunta do atestado.