Contas
Uma Conta é um objeto que representa uma credencial de acesso em um determinado Recurso. Ao possuir uma Conta em um determinado Recurso, entende-se que o usuário proprietário desta Conta possui acesso a aplicação alvo na qual este recurso está relacionado. Em muitos casos, estas contas podem possuir características distintas, como:
Contas de usuários comuns;
Contas de administradores;
Contas utilizadas para integração entre aplicações;
Contas de administração local.
Tipos de contas
Considerando que cada tipo de Conta possui característica de gestão específica, o Blazon permite a categorização e a gestão dessas contas para tratar especificidades de diversos cenários de acessos. Desta forma, podemos representar todas as necessidades especificas de gestão para cada cenário necessário. O Blazon define atualmente 4 tipos de Contas, sendo:
Contas Regulares;
Contas de Aplicações;
Contas Compartilhadas;
Contas Administrativas.
Contas Regulares
Uma Conta do tipo Regular é responsável por representar dados de credenciais e identidades em uma aplicação, um dispositivo ou qualquer recurso que necessite de gerenciamento de acesso. Cada usuário pode possuir uma única Conta Regular por Recurso. O tipo Conta Regular tem as seguintes características:
É uma conta nominal, individual, para a qual existe uma, e apenas uma, pessoa responsável por esse tipo de conta;
É uma conta que pode ser solicitada via Portal de Auto-Serviço;
É uma conta que pode ser certificada;
É uma conta que pode utilizar o cofre de senha para armazenar as credenciais do usuário;
É uma conta que não possui um mecanismo de expiração, sendo que caso esse tipo de conta necessite de revogação, isto terá de ser feito manualmente pelo administrador, por meio do processo de certificação, por reconciliação ou por processo de importação;
É uma conta que pode utilizar dos mecanismos de rotação de senha, fazendo uso da rotação de senha e do cofre de senha, sendo que este tipo de conta pode sofrer alteração de forma periódica sem trazer muitos transtornos ao usuário;
É uma conta que pode ter suas credenciais do Blazon sincronizadas na aplicação, sendo assim, sempre que o usuário trocar sua senha no Blazon, a senha será atualizada na aplicação;
É uma conta que é atrelada ao status do usuário, sendo assim, sempre que um usuário é Inativado, suas contas regulares também o serão, sendo que, há exceções que podem ser tratadas a partir do uso das regras de Inativação (chamada de um Web Service que pode conter regras para analisar se é necessária a Inativação da conta em um determinado cenário).
Contas de Aplicações
O tipo de Conta Aplicação existe para permitir acessos que normalmente são utilizados para a comunicação entre duas aplicações distintas, como ocorre em cenários de integração.
Apesar da existência de protocolos como OAuth2, que permitem integrações sem a necessidade de uma credencial regular, em muitos cenários, ainda é necessária a criação de um acesso regular para que duas aplicações possam se comunicar de forma segura.
O Blazon oferece uma forma de gestão, para que contas que são utilizadas para estes cenários possam ser gerenciadas de forma mais adequada. Abaixo são relacionadas as características de uma Conta Aplicação:
Não é uma conta nominal, isto é, não há uma pessoa que a possa utilizar normalmente, mas, contudo, é um tipo de conta que requer um responsável por ela;
É uma conta que pode ser solicitada via portal de auto serviço;
É uma conta que pode ser certificada;
É um tipo de conta cujas credenciais são obrigatoriamente salvas no cofre de senhas e ninguém sabe (ou ninguém deveria saber) o valor dessas credenciais;
É uma conta cujas formas de revogação são: pelo administrador no console administrativo, pelo processo de certificação, ou pelo processo de importação;
É um tipo de conta que pode utiliza mecanismos de rotação de senha, para dificultar ataques.
Como se pode depreender das características, nenhum usuário deve conhecer as credenciais de uma Conta Aplicação, nem mesmo o responsável especificado. Recomenda-se fortemente que as credenciais de uma aplicação sejam obtidas por um agente que automaticamente busca as credenciais no cofre de senhas e a fornece para aplicação, não sendo necessário seu conhecimento pelo usuário.
Todavia, levando em consideração cenários de aplicações legadas, onde o investimento, ou alguma outra característica, impeça o uso deste agente, o Blazon oferece a possibilidade de o responsável pela conta solicitar a senha desta aplicação através do cofre de senha.
A solicitação da senha é auditada e é possível ao administrador verificar se o responsável pela conta conhece suas credenciais (da aplicação). Sendo assim, as credenciais desta aplicação passam a ser de total responsabilidade de seu dono (responsável).
Contas Compartilhadas
Contas Compartilhadas, como o próprio nome sugere, são contas cujas credenciais podem ser do conhecimento de mais de um usuário. Contas Compartilhadas devem, sempre que possível, ser evitadas. Entretanto, há muitos cenários nos quais este tipo de conta ainda se faz necessário.
Por exemplo, atualmente, um uso muito comum de contas compartilhadas é o cenário de uso de contas de redes sociais (Instagram por exemplo) corporativas, no qual mais de uma pessoa responde pela rede social da organização.
Neste cenário, muitas vezes, as credenciais de acesso nessa rede social são conhecidas por várias pessoas e isto pode acarretar em grandes riscos. Imagine por exemplo, um ex- colaborador que tenha sido desligado por justa causa e que conheça essas credenciais. Ele poderia fazer mal uso deste acesso para denegrir a imagem da empresa.
No Blazon, o tipo Conta Compartilhada possui características de gestão que permitem emitir um alerta de risco, sempre que um colaborador é demitido, de tal forma que uma nova credencial seja configurada para a aplicação. Deste modo, a conta compartilhada não mais poderá ser utilizada pelas credenciais conhecidas pelo colaborador demitido e as novas credenciais são colocadas à disposição dos colaboradores remanescentes. As principais características de uma Conta Compartilhada são:
Não é uma conta nominal, individual, pois um grupo de usuários pode ter acesso às credenciais desta conta, sendo que, todavia, ela tem um responsável;
É um tipo de conta que pode ser solicitada via Portal de Auto-Serviço;
É um tipo de conta que pode passar por um processo de certificação periódico;
É um tipo de conta que cujas credenciais são armazenadas no cofre de senhas;
É um tipo de conta que não expira de forma automática;
É um tipo de conta que é revogada manualmente pelo administrador ou no processo de certificação;
É um tipo de conta para a qual sempre que um dos integrantes da conta compartilhada sai do grupo, um alerta de risco para a troca de senha é gerado.
Contas Administrativas
Contas Administrativas normalmente são caracterizadas por possuir um acesso privilegiado (“root”) a aplicações. Esse tipo de conta é utilizado muitas vezes para a administração completa da aplicação e é muito comum existir pelo menos um colaborador de posse desta credencial.
Idealmente, nenhum colaborador deveria conhecer essas credenciais. Para que isto ocorra, é necessário que a gestão da Conta Administrativa seja feita por um processo que evite, e torne desnecessária, a posse de tais credenciais.
O Blazon define o tipo Conta Administrativa e permite que contas deste tipo sejam cadastradas e armazenada em um repositório. Se houver necessidade de acesso para alguma conta deste tipo, o colaborador poderá solicitar as credenciais de acesso para as intervenções devidas, por meio de um Nome (Name) que é associada univocamente a esta conta. Isto permite que uma conta administrativa seja utilizada, mas o Blazon sempre saberá quem solicitou e qual o período da sessão de uso.
Sempre que um usuário faz a solicitação destas credenciais, o Blazon audita essas informações e, quando o usuário faz o checkout das credenciais, o Blazon obrigatoriamente, automaticamente, faz a mudança da senha na aplicação. Sendo assim, é sempre possível rastrear o responsável pelo uso de uma Conta Administrativa e, se for o caso, responsabilizá-lo no caso eventual de perda destas credenciais. As principais características de uma Conta Administrativa são:
Não é um tipo de conta nominal, individual;
É uma conta para a qual o responsável por esse tipo de conta, basicamente, é o usuário utilizado no processo de aprovação da solicitação das credenciais;
É um tipo de conta que não possui mecanismo de certificação;
É um tipo de conta que não possui provisionamento de usuário para a conta;
É um tipo de conta que utiliza o cofre de senha para armazenamento das credenciais;
É um tipo de conta na qual sempre que o usuário solicita as credenciais, o Blazon armazena os dados dessa solicitação para auditoria;
É um tipo de conta que sempre que o usuário faz o checkout das credenciais, o Blazon faz a troca de senha.
Em qual cenário cada conta deve ser utilizada?
Regulares
Contas pessoais
Recursos de Aplicações
Integração entre sistemas.
Compartilhadas
Contas de redes sociais;
Contas de treinamento;
Qualquer conta que precisa ser utilizada por mais de uma pessoa.
Administrativas
Contas de administração de domínio;
Contas de administrador de uma aplicação;
Contas utilizadas para instalação;
Qualquer conta não nominal e que possui privilégios elevados.
Gerenciando contas
As seções a seguir descrevem os passos necessários para a adição, configuração e remoção de uma conta.
Nota
Os passos descritos a seguir se baseiam em um processo unitário para as configurações, mas você também pode optar por realizar as mesmas configurações por meio de um processo de importação.
As importações são úteis caso você necessite alterar a configuração de vários contas de uma única vez.
Acessando as contas
Para ter acesso à listagem das contas, no Admin console, siga os passos:
Autentique-se no Admin console;
Acione o menu Ciclo de vida > Gestão de acessos > Contas;
Busque ou filtre as contas que você deseja visualizar ou gerenciar.
Nota
A listagem de contas está segmentada pelo tipo da conta, onde existe um item de menu para cada um dos 4 tipos: administrativa, regular, compartilhada e de aplicação.
Além disso cada tipo de conta tem sua listagem segmentada pelo status: ativas, inativas, revogadas e removidas.
Ativando uma conta
Pra você solicitar a ativação de uma, ou mais contas, no Admin console, siga os seguintes passos:
Autentique-se no Admin console;
Acione o menu Ciclo de vida > Gestão de acessos > Contas;
Na listagem de Contas, na aba Inativas, selecione a(s) conta(s) que será(ão) ativadas(s);
Acione o botão Solicitar ativação, no final da página;
Preencha a Data de efetivação, e a Justificativa;
Acompanhe o processamento da requisição gerada.
Nota
É importante ressaltar que a ação de ativação de conta de usuário irá gerar uma requisição, a qual está passível de aprovação ou não, de acordo com a configuração das políticas de aprovação. Para saber mais, veja em acompanhando as requisições.
Inativando uma conta
Pra você solicitar a inativação de uma, ou mais contas, no Admin console, siga os seguintes passos:
Autentique-se no Admin console;
Acione o menu Ciclo de vida > Gestão de acessos > Contas;
Na listagem de Contas, na aba Ativas, selecione a(s) conta(s) que será(ão) inativadas(s);
Acione o botão Solicitar inativação, no final da página;
Preencha a Data de efetivação, e a Justificativa;
Acompanhe o processamento da requisição gerada.
Nota
É importante ressaltar que a ação de inativação de conta de usuário irá gerar uma requisição, a qual está passível de aprovação ou não, de acordo com a configuração das políticas de aprovação. Para saber mais, veja em acompanhando as requisições.
Revogando uma conta
Revogando uma conta pela página do Recurso
Pra você solicitar a revogação de uma, ou mais contas, no Admin console, siga os seguintes passos:
Autentique-se no Admin console;
Acione o menu Ciclo de vida > Gestão de acessos > Contas;
Na listagem de Contas, na aba Ativas e/ou Ativas, selecione a(s) conta(s) que será(ão) revogadas(s);
Acione o botão Solicitar revogação, no final da página;
Preencha a Data de efetivação, e a Justificativa;
Acompanhe o processamento da requisição gerada.
Nota
É importante ressaltar que a ação de revogação de conta de usuário irá gerar uma requisição, a qual está passível de aprovação ou não, de acordo com a configuração das políticas de aprovação. Para saber mais, veja em acompanhando as requisições.
Removendo uma conta
Pra você remover de uma, ou mais contas, no Admin console, siga os seguintes passos:
Autentique-se no Admin console;
Acione o menu Ciclo de vida > Gestão de acessos > Contas;
Na listagem de Contas, na aba Ativas e/ou Ativas, selecione a(s) conta(s) que será(ão) removidas(s);
Acione o botão Remover, no final da página;
Acione o botão Confirmar, na caixa de diálogo.
Outras opções
Existem outras opções de configurações e ações que podem ser feitas com as contas à partir do Admin console.
Essas opções podem ser acionadas à partir do botão Opções na linha de cada conta, na listagem das contas. O acesso à listagem está documentada nesse link.
As opções dependem de cada tipo de conta, ou seja, se é uma conta administrativa, regular, compartilhada, de aplicação ou órfã. Mas de modo geral as opções são bem similares entre os tipos de contas.
As opções são separadas em 4 grupos de ações:
Mais sobre a conta:
Detalhes
Ver direitos
Histórico de eventos
Ações disponíveis:
Editar atributos
Tornar conta órfã
Alterar tipo
Certificar
Ciclo de vida:
Solicitar ativação
Solicitar inativação
Solicitar revogação
Remover
Gerenciamento de senhas:
Gerar nova senha
Alterar senha armazenada
Custódia da senha:
Configurações de check-in
Histórico de check-ins
Realizar check-out
Detalhes de uma conta
Uma conta tem uma série de informações vitais ao gerenciamento de acessos. Essas informações estão todas disponíveis de forma agregada na opção de detalhamento da conta.
Para acessar as informações de detalhamento de uma conta, basta acessar a listagem de contas, à partir desse link, e clicar no botão Opções da conta desejada.
No menu de opções, nas ações do grupo Mais sobre a conta, acessar Detalhes.
Configurações de check-in
As configurações de check-in aplicam se apenas às contas administrativas. Nessa configuração pode-se definir se a conta em questão poderá ser solicitada seu checkin via workspace.
Para acessar as configurações de check-in, basta acessar a listagem de contas administrativas, à partir desse link, e clicar no botão Opções da conta desejada.
No menu de opções, nas ações do grupo Custódia da senha, acessar Configurações de check-in.
Histórico de check-ins
O histórico de check-ins aplica-se às contas administrativas e às contas de aplicação. Nessa listagem tem-se os check-ins realizados por ordem cronológica e no caso das contas administrativas, é possível realizar o check-out das contas que estão sob custódia de um usuário.
Para acessar o histórico de check-ins, basta acessar a listagem de contas administrativas ou de aplicação, à partir desse link, e clicar no botão Opções da conta desejada.
No menu de opções, nas ações do grupo Custódia da senha, acessar Histórico de check-ins.
Alteração de tipo
A alteração de tipo é uma funcionalidade disponível para todos os tipos de conta e simplesmente altera o tipo da conta, seja ela administrativa, regular, compartilhada ou de aplicação.
Nesse contexto, a conta órfã não representa um tipo de conta, apenas uma conta, que tem seu tipo, mas não tem um proprietário.
Para alterar o tipo de uma conta, basta acessar a listagem de contas, à partir desse link, e clicar no botão Opções da conta desejada.
No menu de opções, nas ações do grupo Ações disponíveis, acessar Alterar tipo.
Geração de nova senha
A ação Geração de nova senha está disponível para todos os tipos de contas, porém é uma funcionalidade que depende da conta ter sua senha gerenciada.
Para gerar nova senha de uma conta, basta acessar a listagem de contas, à partir desse link, e clicar no botão Opções da conta desejada.
No menu de opções, nas ações do grupo Gerenciamento de senhas, acessar Gerar nova senha.
Alteração da senha armazenada
A ação Alteração da senha armazenada está disponível para quase todos os tipos de contas, com exceção da regulares, e é uma funcionalidade que depende da conta ter sua senha gerenciada.
Para alterar a senha armazenada de uma conta, basta acessar a listagem de contas, à partir desse link, e clicar no botão Opções da conta desejada.
No menu de opções, nas ações do grupo Gerenciamento de senhas, acessar Alterar senha armazenada.
Check-out
O check-out aplica-se apenas às contas administrativas. Nessa ação pode-se realizar o check-out de uma conta administrativa que está sob custódia de um usuário.
Para acessar a ação de check-out, basta acessar a listagem de contas administrativas, à partir desse link, e clicar no botão Opções da conta desejada.
No menu de opções, nas ações do grupo Custódia da senha, acessar Realizar check-out.
Tornar conta órfã
A ação de tornar uma conta órfã, ou seja definir a conta sem proprietário, está disponível para todo tipo de conta.
Para acessar a ação de tornar conta órfã, basta acessar a listagem de contas, à partir desse link, e clicar no botão Opções da conta desejada.
No menu de opções, nas ações do grupo Ações disponíveis, acessar Tornar conta órfã.
Gerenciar membros de direito
Uma conta pode ter associada a ela vários membros de direito, representando os direitos de uma conta.
Para acessar os membros de direito de uma conta, basta acessar a listagem de contas, à partir desse link, e clicar no botão Opções da conta desejada.
No menu de opções, nas ações do grupo Mais sobre a conta, acessar Direitos.
Histórico de eventos
O histórico de eventos representa os eventos de reconciliação, provisionamento, importação, certificação ou requisição relacionados à uma conta.
Para acessar o histórico de eventos de uma conta, basta acessar a listagem de contas, à partir desse link, e clicar no botão Opções da conta desejada.
No menu de opções, nas ações do grupo Mais sobre a conta, acessar Histórico de eventos.
Atualizado
Isto foi útil?