Uma política de reconciliação de acessos, descreve toda a configuração necessária para se reconciliar determinado tipo de objeto de um recurso específico.
Os objetos que podem ser reconciliados são:
Direitos,
Contas,
Membros de direitos.
Um único recurso pode ter várias políticas de reconciliação de acessos associadas. Cada política descreve a reconciliação de um tipo de objeto apenas.
Acessando as políticas de reconciliação de acessos
Toda política de reconciliação de acessos está associada a um recurso, portanto a configuração deve ser feita acessando o recurso desejado.
Para localizar uma política de reconciliação de acessos, de um recurso, os seguintes passos se aplicam:
Configure as regras de associação do acesso (as regras de associações são responsáveis por determinar como um acesso em sua fonte autoritativa se relaciona com um acesso no diretório do Blazon),
Configure os atributos do acesso que serão sensibilizados no diretório do Blazon,
Configure o comportamento da reconciliação (as entradas de reconciliação são categorizadas em situações de acordo com as regras de associação e para cada uma das situações você pode configurar uma ação a ser executada.),
Siga os passos descritos em execuções automáticas, para habilitar uma política de reconciliação.
As configurações das políticas de reconciliação de acessos estão separadas por abas, cada aba define uma parte da configuração:
Na aba Resumo tem-se alguns dados básicos da política como: recurso, objeto, nome, descrição, data de criação e data da última edição.
Apenas o campo descrição pode ser alterado.
As regras de associação são usadas, pelo processo de reconciliação, para associar dados vindos de um acesso de uma fonte autoritativa externa a um acesso no diretório do Blazon.
Dessa forma a reconciliação consegue identificar os dados externos referentes a cada acesso no diretório.
Quando um payload de uma reconciliação não casar com nenhum acesso no diretório, pode-se configurar o comportamento de criar um novo acesso.
Dependendo do objeto da reconciliação as regras de associação podem ser:
Para reconciliação de Direito: configura-se as regras de associação do direito;
Para reconciliaação de Conta: configura-se as regras de associação da conta e do usuário proprietário da conta;
Para reconciliação de Membro de direito: configura-se as regras de associação do direito e da conta associados;
Configurando as regras de associação
Para configurar as regras de associação de uma política, siga os passos:
Para remover uma condição, clique no ícone de lixeira ao lado da linha correspondente.
Para remover todas as condições, clique em Remover todas as condições.
Operadores relacionais
Para cada tipo de atributo é disponibilizado um conjunto de operadores relacionais.
Todos os operadores disponíveis nas condições das políticas de reconciliação de acessos estão listados na tabela abaixo:
Operador
Descrição
equal
Resulta verdade se todo o conteúdo do Atributo é igual ao conteúdo preenchido no campo Valor.
not equal
Resulta verdade se todo o conteúdo do Atributo não é igual ao conteúdo preenchido no campo Valor.
less than
Resulta verdade se o conteúdo do Atributo é menor que o Valor preenchido no campo Valor.
less than or equal
Resulta verdade se o conteúdo do Atributo é menor ou igual que o Valor preenchido no campo Valor.
greater than
Resulta verdade se o conteúdo do Atributo é maior que o Valor preenchido no campo Valor.
greater than or equal
Resulta verdade se o conteúdo do Atributo é maior ou igual que o Valor preenchido no campo Valor.
contains
Resulta verdade se o conteúdo do Atributo contem algum fragmento do conteúdo preenchido no campo Valor.
Os eventos de reconciliação de Membros de direito não tem essa aba de configuração uma vez que um membro de direito não tem atributos.
A configuração de atributos de uma reconciliação de acessos (direito ou conta) define como os dados que estão vindo de uma fonte autoritativa externa, serão mapeados para atributos do acesso no diretório do Blazon.
Ou seja:
Diretório do Blazon
(atributos do acesso)
<< Mapeamento de atributos <<
Fonte autoritativa
(mapa de chave-valor)
Configurando o mapeamento de atributos do acesso
Para configurar o mapeamento de atributos de uma política, siga os passos:
A primeira configuração refere-se ao fato da reconciliação ser Incremental ou Completa, o que significa:
Incremental: os atributos definidos nessa configuração são atributos que irão incrementar os dados do acesso já existente no Blazon;
Completa: os atributos definidos nessa configuração serão os atributos que o acesso do Blazon terá após a reconciliação.
Para cada atributo que se deseja reconciliar com o acesso no diretório do Blazon, é necessário ter um mapeamento desse atributo.
O administrador pode gerenciar esses mapeamentos usando as ações:
Adicionar: adiciona um mapeamento de um atributo;
Exportar: exporta a lista de todos mapeamentos dessa política;
Importar: importa uma lista de mapeamentos;
Editar: edita um mapeamento;
Remover: remove o mapeamento da lista.
Configurando um atributo de acesso
Quando se cria ou se edita um mapeamento de atributo o administrador deve definir:
Campo: nome do atributo do esquema do acesso no Blazon, que irá receber o valor na reconciliação;
Descrição: descrição desse campo, apenas informativo;
Valor: valor que será atribuido no atributo do acesso que foi definido no campo Campo.
O Valor para um atributo definido num Campo pode ser de 3 tipos, de acordo com a tabela abaixo:
Tipo de Valor para um campo
Exemplo de atributo do usuário
Valor de exemplo
Descrição
Literal
status
ACTIVE
O atributo "status" do acesso irá receber o valor literal ACTIVE.
Uma expressão Spring baseada nos dados que vem da fonte externa.
accountIdentifier
{[account_ID]}
O atributo "accountIdentifier" da conta irá receber o valor do campo "account_ID" que vem da reconciliação. Observe o uso da sintaxe {[ ]} para ler o valor de um campo via expressão.
O atributo "accountIdentifier" da conta irá receber o valor do campo "account_ID" que vem da reconciliação. Observe o uso de um script BeanShell para ler o valor de um campo na variável "entry".
Quando o Valor é definido como um script BeanShell é necessário, na caixa de configuração do atributo, clicar no controle "Utilizar BeanShell para popular seu atributo?".
Variáveis no contexto do script
As variáveis disponíveis no contexto de execução do script BeanShell, quando executa um mapeamento de atributo da reconciliação de acessos, são:
Variável
Descrição da variável
entry
Mapa de dados no formato chave-valor com os dados crús vindos da fonte externa.
userServiceAPI
Referência para a API de serviços de usuário do diretório do Blazon.
accountServiceAPI
Referência para a API de serviços de conta do do diretório Blazon.
entitlementServiceAPI
Referência para a API de serviços de direito do do diretório Blazon.
roleServiceAPI
Referência para a API de serviços de papel do do diretório Blazon.
resourceServiceAPI
Referência para a API de serviços de recurso do do diretório Blazon.
Script BeanShell de exemplo
Um script de exemplo de mapeamento de atributo em BeanShell, usando a variável entry e o serviço accountServiceAPI para popular um atributo customizado "operationCode", será assim:
No exemplo acima os dados da Conta são lidos no diretório do Blazon usando o serviço accountServiceAPI que busca uma conta pelo accountIdentifier que vem da fonte externa no campo "account_ID".
Após isso é verificado o status da conta e se estiver ATIVO (ACTIVE) o codígo de operação (operationCode) é retornado como 1, caso contrário retorna 2.
Nota
Esse retorno 1 quando ATIVO ou 2 quando a conta não estiver ATIVO, será retornado pelo script e atribuido ao atributo da conta definido no Campo do mapeamento.
A configuração de comportamento da reconciliação define o que será feito na reconciliação do objeto de acordo com as situações encontradas, você pode:
Para as reconciliações de acessos do tipo conta e membros de direitos ainda tem-se disponível a configuração de Inconsistências.
Quando essa configuração está marcada, uma entrada de inconsistência é criada sempre que um objeto da aplicação alvo não for encontrado no Blazon.
As Inconsistências de reconciliação podem ser gerenciadas pelo administrador e estão documentadas em Inconsistências de reconciliação.
Reconciliação manual
Além das reconciliações automáticas descritas na seção Execuções automáticas, o administrador pode criar reconciliações manuais sempre que necessário.
Uma reconciliação manual representa uma forma de se definir um arquivo externo com uma lista de valores de atributos de acessos, e dar entrada no Blazon no processo de reconciliação.
Cada linha do arquivo será um conjunto de atributos de um acesso, e os nomes dos atributos são de acordo com o esquema do Acesso do diretório do Blazon.
Após o upload do arquivo, cada conjunto de atributos em uma linha será colocado no campo payload de uma entrada de reconciliação e esta será processada normalmente.
Uma reconciliação manual funciona da seguinte forma:
Defini-se o conjunto de atributos que serão usados para representar cada acesso;
Preenche-se um arquivo CSV, onde cada linha representa um acesso;
Realiza-se o upload do arquivo;
Acompanha-se a reconciliação manual e as entradas de reconciliação geradas.
Criando uma reconciliação manual
Para criar uma reconciliação manual deve-se seguir os passos:
Na aba Execuções manuais, clique no botão Nova execução;
Na janela de importação pode-se baixar um arquivo de exemplo;
Clique no botão Continuar;
Clique no ícone para fazer o upload do arquivo;
Selecione o arquivo para upload;
Clique no botão Continuar.
Pronto, uma reconciliação manual foi iniciada e será processada internamente pelo Blazon. Pode-se acompanhar o processamento da reconciliação manual no Histórico de execuções.
Nota
Uma reconciliação manual irá gerar entradas de reconciliação que podem ser gerenciadas, no painel de gerenciamento e monitoramento, a partir das listagem de entradas de reconciliação de acessos.
Configurando execuções automáticas
As reconciliações automáticas representam uma forma de execução de reconciliações periódicas.
Em termos gerais para configurar a reconciliação automática, é necessário:
Definir um resource adapter;
Definir um tipo de evento que será reconciliado do resource adapter selecionado;
Definir a periodicidade;
Habilitar a reconciliação automática.
No momento correto definido pela periodicidade, o Blazon gera entradas de execução automática que ficam disponíveis para pulling dos respectivos resource adapters.
Quando uma entrada está disponível para um resource adapter, ele lê essa entrada e começa a fazer o sincronismo dos eventos definidos para o Blazon.
Assim que o processo de sincronismo dos eventos é feito a entrada de execução é finalizada.
Habilitando execução automática
Você pode habilitar uma política de reconciliação com os seguintes passos:
Acesse a aba Execuções Automáticas, se a política não estiver habilitada a seguinte mensagem será exibida "Atualmente esta política não possui execução automática habilitada."
Clique no botão Habilitar Execução Automatica.
Será exibido um modal, selecione o Resource Adapter e o Evento de reconciliação que a política será vinculada.
Clique em Habilitar.
Configurações obrigatórias para habilitar uma política
Alguma configurações são obrigatórias para habilitar a execução automática de uma política de reconciliação. São elas:
Resource adapter: selecionar o resource adapter que irá enviar os eventos de reconciliação;
Origem do Evento: selecionar qual o tipo de evento que o resouce adapter irá enviar.
Assim que a execução automática de uma política é habilitada, ela é configurada por padrão com uma periodicidade de 2 horas.
Nota
O administrador pode mudar essa periodicidade definindo outro valor na lista de periodicidades disponíveis.
Isso significa que, de acordo com a periodicidade definida, o Blazon irá gerar uma nova entrada de execução automática e essa execução estará disponível para pulling do resource adapter.
No momento que o resource adapter ler essa entrada de execução automática ele envia os eventos, do tipo configurado acima, para o Blazon.
As entradas de execução automática podem ser vistas na listagem no card Histórico de execuções.
Nota
Além das execuções automáticas periódicas configuradas, o administrador pode forçar uma execução clicando no botão Nova execução.
Desabilitando execução automática
Você pode desabilitar uma política de revalidação com os seguintes passos:
A tela irá lista todas as políticas de reconciliação configurados, clique na política que deseja desabilitar.
Acesse a aba Execuções Automáticas, se a política estiver habilitada, clique no botão Desabilitar.
Inconsistências de reconciliação
Sempre que ocorre um processo de reconciliação de conta ou membro de direito, e os dados do payload da entrada não correspondem a nenhum objeto no diretório do Blazon, isso pode indicar uma possível inconsistência na reconciliação.
Embora essa conta ou membro de direito possa ser um acesso idôneo, e a reconciliação apenas detectou esse novo acesso e deve criá-lo no Blazon, é possível configurar a política para criar uma entrada de inconsistência sempre que esse fato ocorrer.
Nota
Assim, todo acesso do tipo conta ou membro de direito detectado por meio de reconciliação em uma aplicação-alvo, e que não exista no diretório do Blazon, poderá gerar uma inconsistência de reconciliação.
Tratando as inconsistências
Essas inconsistências devem ser tratadas pelo administrador e podem ser acessadas no painel de controle em Inconsistências de reconciliação.
Configurando as inconsistências
A criação das entradas de inconsistência deve ser configurada, e essa configuração é feita na aba Comportamento.
Removendo uma política de reconciliação
Para remover uma política de reconciliação de acessos basta seguir os passos:
