Atribuições automáticas

Chamamos de atribuições automáticas o processo em que usuários são atribuídos a determinados papéis de forma automática, com base nas regras e critérios definidos em uma ou mais Políticas de Atribuição.

Esse mecanismo garante que a concessão de acesso ocorra de forma consistente, alinhada às diretrizes estabelecidas pela organização, reduzindo a necessidade de intervenção manual.

Como funciona?

Um processo executa continuamente validando as Políticas de Atribuição de papéis vigentes perante os usuários do diretório.

De forma mais detalhada, o processo realiza uma análise contínua da base de usuários do diretório do Blazon. Durante essa varredura, cada usuário ativo é submetido a uma verificação de elegibilidade com base nas Políticas de Atribuição habilitadas.

Políticas de atribuição

A Política de Atribuição define as regras de elegibilidade, baseadas nos atributos do usuário, determinando a concessão ou a revogação de um ou mais papéis configurados na política.

Concessão de papéis

No processo de atribuição, sempre que a elegibilidade de uma política corresponder com os atributos do usuário em análise, ele é colocado como membro de todos os papéis configurados na política.

Revogação de papéis

Uma vez que o processo de atribuição automática é contínuo, qualquer manutenção em uma política que está vigente, ou seja habilitada, pode gerar revogações de membros de papéis.

Membros de papéis gerenciados de forma automática

Quando a concessão do papel é feita de forma automática, a relação de membro do papel passa a ser gerenciada pela(s) política(s) que o concedeu.

Todo membro de papel do diretório apresenta essa informação de gerenciamento no campo "Gerenciado por" e está documentado em Gerenciando membros de papel.

Nota

Todos membros de papéis gerenciados por uma ou mais políticas não são elegidos para o processo de certificação.
Quando as revogações automáticas removem todas as políticas que gerenciam um determinado membro de papel, o mesmo passa a ser gerenciado de forma MANUAL e uma entrada de revogação de membro de papel é gerada.

Acessando as Políticas de Atribuição

Para acessar as Políticas de Atribuição deve-se seguir os seguintes passos:

Autentique-se no Admin console,
Acione o menu Gerenciamento de papéis,
Acione o item de menu Atribuições > Políticas > Políticas de atribuição.

A listagem das políticas está segmentada em duas abas:

Habilitadas: as políticas que estão habilitadas;
Desabilitadas: as políticas que não estão habilitadas e não serão aplicadas.

Nota

Uma política desabilitada não é considerada na elegibilidade da atribuição de papel.

Criando uma Política de Atribuição

Para a criação de uma Política de Atribuição, os seguintes passos se aplicam:

Acessar as Políticas de Atribuição,
Clicar no botão Adicionar na aba Habilitadas,
Especificar o nome e a descrição da política,
Acionar o botão Salvar.

Nota

Quando uma política é criada ela ainda está desabilitada e portanto será vista apenas na aba Desabilitadas.

Configurando uma Política de Atribuição

A configuração da Política de Atribuição consiste em definir a sua elegibilidade, baseada em atributos do usuário, e os papéis que serão concedidos para os usuários que derem "match" na elegibilidade.

Atenção!

O processo de atribuição automática é crítico e merece bastante atenção nas configurações das políticas!

Uma Política de Atribuição sem elegibilidade e habilitada, irá atribuir todos os usuários ativos do diretório aos papéis definidos na política.
A alteração das regras de elegibilidade, sem o devido cuidado, pode revogar os membros de papéis que são gerenciados pela política que foi alterada.

Para configurar uma política, você deve:

Acessar as Políticas de Atribuição,
Encontrar a política desejada,
Clicar sob ela na aba Habilitadas ou Desabilitadas,
Ao acessar a política, em seu detalhamento a mesma possui três abas:

Na aba Resumo tem-se alguns dados básicos da política como: nome, status, descrição, data de criação e data da última edição.

Apenas o campo descrição pode ser alterado.

Elegibilidade

A configuração de elegibilidade das políticas de atribuição pode ser feita de duas maneiras:

Modo padrão: baseado em configuração das condições,
Modo avançado: baseado na definição de um script BeanShell.

Modo padrão

A elegibilidade no modo padrão permite determinar a política de atribuição mais adequada, com base nos dados do usuário envolvido.

Durante a definição da elegibilidade da política, é necessário configurar as condições, para isso:

O administrador deve selecionar a combinação desejada para as condições cadastradas:
- "Algum": A política será aplicada se pelo menos uma das condições configuradas for atendida.
- "Todas": A política será aplicada somente se todas as condições configuradas forem atendidas simultaneamente.
Para cada condição, o administrador deve selecionar um Atributo de um usuário, um Operador e um Valor correspondente. As combinações disponíveis são:

Atributo

Operador

Valor

"Um atributo do usuário"

contains, equal, not equal ou beanshell

Este campo deve ser preenchido com o valor do "atributo do usuário" selecionado.

Modo avançado

A elegibilidade no modo avançado permite determinar a política de atribuiçao mais adequada, com base na execução de um script BeanShell.

O script executa com uma variável "user" no contexto de execução.

Essa variável "user" é uma referência para o objeto user (do diretório) que está sendo avaliado na elegibilidade.

Um objeto user tem atributos padrão e atributos customizados que podem ser usados no script de elegibilidade.

Para ver todos os atributos do esquema de um usuário no diretório basta ir em Atributos de um usuário.

Exemplo de script de elegibilidade

Supondo que um script de elegibilidade deva selecionar todos os usuários do departamento "Financeiro" e cujo código de operação seja "2", para adicionar no papel "Gerente de finanças".

No contexto do exemplo acima, o departamento do usuário pode ser lido no campo padrão "department" e o código de operação está num campo adicional "operationCode".

Para ler os valores de cada campo, tem-se:

Campo

Tipo

Forma de leitura

department

Padrão

user.getDepartment()

operationCode

Customizado

user.get("operationCode")

O seguinte script pode ser feito:

if (user.getDepartment() != null 
    && user.getDepartment().equals("Financeiro")
    && user.get("operationCode") != null
    && user.get("operationCode").equals("2")) {
    
    return true;
}
return false;

O script acima verifica que o usuário é do departamento "Financeiro" e tem o código de operação "2", só assim retornando com o valor TRUE.

No exemplo acima ainda é necessário adicionar o papel "Gerente de Finanças" na política. Essa configuração pode ser feita na seção Concessões da política.

Assim, quando o script retornar TRUE o usuário será colocado automaticamente como membro do papel "Gerente de Finanças".

Habilitando uma Política de Atribuição

Uma vez que uma política é criada e configurada, ainda é necessário habilitá-la para que seja vigente no processo de atribuição automática.

Para habilitar uma Política de Atribuição basta seguir os passos:

Acessar as Política de Atribuição,
Na aba Desabilitadas, selecionar a política desejada,
Clicar no botão de ação Habilitar,
Na caixa de confirmação clicar no botão Continuar.

Pronto, você acaba de habilitar uma política de atribuição. Essa política será considerada no processamento da elegibilidade das atribuições automáticas.

Desabilitando uma Política de Atribuição

Para desabilitar uma Política de Atribuição basta seguir os passos:

Acessar as Política de Atribuição,
Na aba Habilitadas, selecionar a política desejada,
Clicar no botão de ação Desabilitar,
Na caixa de confirmação clicar no botão Continuar.

Pronto, você acaba de desabilitar uma política de atribuição. Essa política não será considerada no processamento da elegibilidade das atribuições automáticas.

Nota

Quando uma política é desabilitada, os membros de papel que são gerenciados por essa política não perdem esse gerenciamento.

Apenas essa política para de ser aplicada no processo de elegibilidade da atribuições automáticas.

Removendo uma Política de Atribuição

Para remover uma Política de Atribuição basta seguir os passos:

Acessar as Política de Atribuição,
Selecionar a política desejada, na aba Habilitadas ou na aba Desabilitadas,
Clicar no botão de ação Remover,
Na caixa de confirmação clicar no botão Continuar.

Pronto, você acaba de remover uma política de atribuição. Essa política não será considerada no processamento da elegibilidade das atribuições automáticas.

Nota

Uma Política de Atribuição que é removida passa antes por um processo de revogação de vínculo com todos os membros de papel que ela havia concedido.

Esse processo pode acarretar também na geração de entradas de revogação dos papeis concedidos automaticamente.

Somente após esse processo estar completo é que a política é de fato removida.

Esse processo é realizado internamente pelo Blazon e não é necessário nenhuma configuração.

AnteriorGerenciando membros PróximoAlteração de um papel

Atualizado há 1 mês

Isto foi útil?

Atribuições automáticas

Como funciona?

Políticas de atribuição

Concessão de papéis

Revogação de papéis

Membros de papéis gerenciados de forma automática

Nota

Acessando as Políticas de Atribuição

Nota

Criando uma Política de Atribuição

Nota

Configurando uma Política de Atribuição

Atenção!

Elegibilidade

Modo padrão

Modo avançado

Exemplo de script de elegibilidade

Adicionando um papel

Removendo um papel

Habilitando uma Política de Atribuição

Desabilitando uma Política de Atribuição

Nota

Removendo uma Política de Atribuição

Nota