Atribuições automáticas
Chamamos de atribuições automáticas o processo em que usuários são atribuídos a determinados papéis de forma automática, com base nas regras e critérios definidos em uma ou mais Políticas de Atribuição.
Esse mecanismo garante que a concessão de acesso ocorra de forma consistente, alinhada às diretrizes estabelecidas pela organização, reduzindo a necessidade de intervenção manual.
Como funciona?
Um processo executa continuamente validando as Políticas de Atribuição de papéis vigentes perante os usuários do diretório.
De forma mais detalhada, o processo realiza uma análise contínua da base de usuários do diretório do Blazon. Durante essa varredura, cada usuário ativo é submetido a uma verificação de elegibilidade com base nas Políticas de Atribuição habilitadas.
Políticas de atribuição
A Política de Atribuição define as regras de elegibilidade, baseadas nos atributos do usuário, determinando a concessão ou a revogação de um ou mais papéis configurados na política.
Concessão de papéis
No processo de atribuição, sempre que a elegibilidade de uma política corresponder com os atributos do usuário em análise, ele é colocado como membro de todos os papéis configurados na política.
Revogação de papéis
Uma vez que o processo de atribuição automática é contínuo, qualquer manutenção em uma política que está vigente, ou seja habilitada, pode gerar revogações de membros de papéis.
Membros de papéis gerenciados de forma automática
Quando a concessão do papel é feita de forma automática, a relação de membro do papel passa a ser gerenciada pela(s) política(s) que o concedeu.
Todo membro de papel do diretório apresenta essa informação de gerenciamento no campo "Gerenciado por" e está documentado em Gerenciando membros de papel.
Nota
Todos membros de papéis gerenciados por uma ou mais políticas não são elegidos para o processo de certificação.
Quando as revogações automáticas removem todas as políticas que gerenciam um determinado membro de papel, o mesmo passa a ser gerenciado de forma MANUAL e uma entrada de revogação de membro de papel é gerada.
Acessando as Políticas de Atribuição
Para acessar as Políticas de Atribuição deve-se seguir os seguintes passos:
Autentique-se no Admin console,
Acione o menu Gerenciamento de papéis,
Acione o item de menu Atribuições > Políticas > Políticas de atribuição.
A listagem das políticas está segmentada em duas abas:
Habilitadas: as políticas que estão habilitadas;
Desabilitadas: as políticas que não estão habilitadas e não serão aplicadas.
Criando uma Política de Atribuição
Para a criação de uma Política de Atribuição, os seguintes passos se aplicam:
Clicar no botão Adicionar na aba Habilitadas,
Especificar o nome e a descrição da política,
Acionar o botão Salvar.
Nota
Quando uma política é criada ela ainda está desabilitada e portanto será vista apenas na aba Desabilitadas.
Configurando uma Política de Atribuição
A configuração da Política de Atribuição consiste em definir a sua elegibilidade, baseada em atributos do usuário, e os papéis que serão concedidos para os usuários que derem "match" na elegibilidade.
Atenção!
O processo de atribuição automática é crítico e merece bastante atenção nas configurações das políticas!
Uma Política de Atribuição sem elegibilidade e habilitada, irá atribuir todos os usuários ativos do diretório aos papéis definidos na política.
A alteração das regras de elegibilidade, sem o devido cuidado, pode revogar os membros de papéis que são gerenciados pela política que foi alterada.
Para configurar uma política, você deve:
Encontrar a política desejada,
Clicar sob ela na aba Habilitadas ou Desabilitadas,
Ao acessar a política, em seu detalhamento a mesma possui três abas:
Na aba Resumo tem-se alguns dados básicos da política como: nome, status, descrição, data de criação e data da última edição.
Apenas o campo descrição pode ser alterado.
Elegibilidade
A configuração de elegibilidade das políticas de atribuição pode ser feita de duas maneiras:
Modo padrão: baseado em configuração das condições,
Modo avançado: baseado na definição de um script BeanShell.
Modo padrão
A elegibilidade no modo padrão permite determinar a política de atribuição mais adequada, com base nos dados do usuário envolvido.
Durante a definição da elegibilidade da política, é necessário configurar as condições, para isso:
O administrador deve selecionar a combinação desejada para as condições cadastradas:
"Algum": A política será aplicada se pelo menos uma das condições configuradas for atendida.
"Todas": A política será aplicada somente se todas as condições configuradas forem atendidas simultaneamente.
Para cada condição, o administrador deve selecionar um Atributo de um usuário, um Operador e um Valor correspondente. As combinações disponíveis são:
"Um atributo do usuário"
contains, equal, not equal ou beanshell
Este campo deve ser preenchido com o valor do "atributo do usuário" selecionado.
Modo avançado
A elegibilidade no modo avançado permite determinar a política de atribuiçao mais adequada, com base na execução de um script BeanShell.
O script executa com uma variável "user" no contexto de execução.
Essa variável "user" é uma referência para o objeto user (do diretório) que está sendo avaliado na elegibilidade.
Exemplo de script de elegibilidade
Supondo que um script de elegibilidade deva selecionar todos os usuários do departamento "Financeiro" e cujo código de operação seja "2", para adicionar no papel "Gerente de finanças".
No contexto do exemplo acima, o departamento do usuário pode ser lido no campo padrão "department" e o código de operação está num campo adicional "operationCode".
Para ler os valores de cada campo, tem-se:
department
Padrão
user.getDepartment()
operationCode
Customizado
user.get("operationCode")
O seguinte script pode ser feito:
if (user.getDepartment() != null
&& user.getDepartment().equals("Financeiro")
&& user.get("operationCode") != null
&& user.get("operationCode").equals("2")) {
return true;
}
return false;O script acima verifica que o usuário é do departamento "Financeiro" e tem o código de operação "2", só assim retornando com o valor TRUE.
A seção de concessões define quais os papéis serão concedidos por uma política aos usuários que atendem aos critérios de elegibilidade. Pode-se adicionar ou remover papéis.
Adicionando um papel
Para adicionar um papel, basta seguir os passos:
Clicar no botão Adicionar,
Selecionar os papéis desejados,
Clicar no botão Concluir.
A adição de um papel à uma política de atribuição, significa que o usuário que atender aos critérios será colocado como membro do papel e receberá todos os acessos definidos no papel.
Caso o usuário já seja membro do papel de uma política de atribuição, apenas um vínculo de gerenciamento é adicionado, uma vez que ele já é membro do papel.
Removendo um papel
Para remover um papel, basta seguir os passos:
Clicar no ícone da Lixeira no papel desejado,
Clicar no botão Continuar.
A remoção de um papel de uma política implica também que cada membro desse papel, obtido por meio da política, terá o vínculo de gerenciamento removido.
Se um membro de um papel, ao remover o papel da política, fica sem nenhum vínculo com alguma política, é gerada uma entrada de revogação de membro do papel que pode ser gerenciada em Revogações de papéis.
O papel só será efetivamente removido da política após a exclusão do vínculo de gerenciamento de todos os seus membros concedidos por ela.
Habilitando uma Política de Atribuição
Uma vez que uma política é criada e configurada, ainda é necessário habilitá-la para que seja vigente no processo de atribuição automática.
Para habilitar uma Política de Atribuição basta seguir os passos:
Na aba Desabilitadas, selecionar a política desejada,
Clicar no botão de ação Habilitar,
Na caixa de confirmação clicar no botão Continuar.
Pronto, você acaba de habilitar uma política de atribuição. Essa política será considerada no processamento da elegibilidade das atribuições automáticas.
Desabilitando uma Política de Atribuição
Para desabilitar uma Política de Atribuição basta seguir os passos:
Na aba Habilitadas, selecionar a política desejada,
Clicar no botão de ação Desabilitar,
Na caixa de confirmação clicar no botão Continuar.
Pronto, você acaba de desabilitar uma política de atribuição. Essa política não será considerada no processamento da elegibilidade das atribuições automáticas.
Nota
Quando uma política é desabilitada, os membros de papel que são gerenciados por essa política não perdem esse gerenciamento.
Apenas essa política para de ser aplicada no processo de elegibilidade da atribuições automáticas.
Removendo uma Política de Atribuição
Para remover uma Política de Atribuição basta seguir os passos:
Selecionar a política desejada, na aba Habilitadas ou na aba Desabilitadas,
Clicar no botão de ação Remover,
Na caixa de confirmação clicar no botão Continuar.
Pronto, você acaba de remover uma política de atribuição. Essa política não será considerada no processamento da elegibilidade das atribuições automáticas.
Nota
Uma Política de Atribuição que é removida passa antes por um processo de revogação de vínculo com todos os membros de papel que ela havia concedido.
Esse processo pode acarretar também na geração de entradas de revogação dos papeis concedidos automaticamente.
Somente após esse processo estar completo é que a política é de fato removida.
Esse processo é realizado internamente pelo Blazon e não é necessário nenhuma configuração.
Atualizado
Isto foi útil?