Políticas
Enquanto os conflitos de segregação de funções definem quais acessos são conflitantes, dois a dois no ambiente corporativo, as políticas definem quais os conflitos serão monitorados no diretório.
Assim, um processo interno analisa sistematicamente a base de usuários do diretório procurando por usuários com acessos conflitantes.
Para cada acesso conflitante de um usuário, um processo de elegibilidade busca por uma política de segregação de funções definida e habilitada.
Quando um conflito detectado atende aos critérios de elegibilidade de uma política habilitada, uma entrada de segregação de funções para aquele conflito é criada.
Nota
As entradas de monitoramento de segregação de funções dos usuários do diretório estão disponíveis para o administrador acompanhar em Monitoramento de acessos com conflitos.
Acessando as políticas de segregação de funções
Para acessar a listagem das políticas de monitoramento de segregação de funções, deve-se seguir os passos:
Autentique-se no Blazon;
Acione o menu Governança;
Acione o item de menu Segregação de funções > Geral > Políticas;
A listagem das políticas está segmentada em duas abas:
Habilitadas: as políticas que estão habilitadas;
Desabilitadas: as políticas que não estão habilitadas e não serão aplicadas.
Nota
Quando uma política é criada ela ainda está desabilitada e portanto será vista apenas na aba Desabilitadas. Uma política desabilitada não é considerada na elegibilidade do monitoramento de segregação de funções do diretório.
Criando uma política
Uma política de monitoramento de segregação de funções no diretório pode ser configurada de duas formas (tipos):
Política de Resolução: possui um fluxo de aprovação e/ou correçã definido para cada entrada de conflito identificada.
Política de Relatório: não possui processo de aprovação ou correção, sua função é apenas registrar os conflitos para fins informativos.
Para criar uma política de segregação de funções, você deve:
Clique no botão Adicionar;
Definir se é uma política de Resolução ou de Relatório:
Prencha o nome e a descrição;
Clique em Finalizar.
Nota
Toda política de segregação de funções é criada desabilitada e portanto estará acessível na aba Desabilitadas.
Configurando uma política
Para configurar uma política você deve seguir os passos:
Clicar na política desejada na aba Habilitadas ou Desabilitadas,
Ao acessar a política em seu detalhamento, a mesma tem cinco abas:
Na aba Resumo tem-se alguns dados básicos da política como: nome, tipo, descrição, data de criação e data da última edição.
Apenas o campo descrição pode ser alterado.
A aba Aprovação está dividida em dois ou três cards de configurações, dependendo do tipo da política:
Processo de aprovação: somente para as políticas de Resolução,
Instruções: para os dois tipos,
Responsáveis: para os dois tipos.
Configurando o processo de aprovação
O processo de aprovação somente existe para as políticas do tipo Resolução, ele está dividido em quatro configurações:
Resolução,
Workflow,
Prazo para resolução,
Resolução quando o prazo encerrar.
Na configuração da Resolução, tem-se 3 valores possíveis:
Aprovar,
Reprovar,
Workflow.
Caso se opte pela execução do processo de aprovação através da execução de um Workflow as demais 3 configurações são necessárias.
Definir o Workflow que será executado,
Qual será o prazo limite para resolução,
Qual resolução será aplicada quando o prazo limite encerrar.
Configurando as instruções
Nesse card, basta preencher com as intruções de mitigação quando da aprovação do conflito e clicar no botão Salvar.
Configurando os responsáveis
Os responsáveis pelas aprovações da política podem ser gerenciados nessa seção, as ações disponíveis são:
Adicionar responsáveis,
Remover responsável.
Quando um conflito é reprovado, segue-se um processo de correção que define o que deve ser feito para corrigir o conflito.
A aba Correção está dividida em três cards de configurações, dependendo do tipo da política:
Processo de correção: apenas para as políticas do tipo Resolução,
Instruções: ambas as políticas,
Responsáveis: ambas as políticas.
Configurando o processo de correção
O processo de aprovação está dividido em 4 configurações:
Resolução,
Workflow,
Prazo para resolução,
Resolução quando o prazo encerrar.
Na configuração da Resolução, tem-se 4 valores possíveis:
Revogar A,
Revogar B
Revogar ambos,
Workflow.
Caso se opte pela execução do processo de correção através da execução de um Workflow as demais 3 configurações são necessárias.
Definir o Workflow que será executado,
Qual será o prazo limite para resolução,
Qual resolução será aplicada quando o prazo limite encerrar:
Revogar A,
Revogar B
Revogar ambos.
Configurando as intruções de correção
As instruções de correção quando um conflito é reprovado podem ser preenchidas no card de Instruções e basta clicar no botão Salvar.
Configurando os responsáveis
Os responsáveis pelas correções da política podem ser gerenciados nessa seção, as ações disponíveis são:
Adicionar responsáveis,
Remover responsável.
Para todo conflito de acessos de usuário no diretório, e que é aprovado, uma entrada de Violação de conflito é gerada e o conflito permanece no diretório.
Essa entrada tem um prazo de validade que deve ser definido nessa seção.
Basta preencher o valor e a unidade e clicar no botão Salvar.
A elegibilidade permite determinar a política de conflito de segregação de funções mais adequada para cada situação, com base nos dados do papel, recursos e/ou direitos envolvidos na alteração do papel.
Configurando a elegibilidade
Durante a definição da elegibilidade da política, é necessário configurar as condições, para isso:
O administrador deve selecionar a combinação desejada para as condições cadastradas:
"Algum": A política será aplicada se pelo menos uma das condições configuradas for atendida.
"Todas": A política será aplicada somente se todas as condições configuradas forem atendidas simultaneamente.
Para cada condição, o administrador deve selecionar um Atributo de um objeto, um Operador e um Valor correspondente. As combinações disponíveis são:
Risco
contains, equal, not equal ou beanshell
Este campo deve ser preenchido com o valor do risco do conflito (LOW, MEDIUM ou HIGH).
Tipo da violação
contains, equal, not equal ou beanshell
Este campo deve ser preenchido com o valor do tipo da violação (NEW_VIOLATION, EXPIRATION_VIOLATION).
Nome de usuário
contains, equal, not equal ou beanshell
Este campo deve ser preenchido com o nome de usuário (username) do usuário.
Identificador do lado A
contains, equal, not equal ou beanshell
Este campo deve ser preenchido com o valor do identificador do acesso do lado A.
Nome do lado A
contains, equal, not equal ou beanshell
Este campo deve ser preenchido com o valor do nome do acesso do lado A. O operador "contains" funciona para um valor de um fragmento do nome.
Tipo do lado A
contains, equal, not equal ou beanshell
Este campo deve ser preenchido com o valor do nome do acesso do lado A (ENTITLEMENT ou RESOURCE).
"Outros atributos do lado A"
contains, equal, not equal ou beanshell
Este campo deve ser preenchido com o valor do "outro atributo" do acesso do lado A.
Identificador do lado B
contains, equal, not equal ou beanshell
Este campo deve ser preenchido com o valor do identificador do acesso do lado B.
Nome do lado B
contains, equal, not equal ou beanshell
Este campo deve ser preenchido com o valor do nome do acesso do lado B. O operador "contains" funciona para um valor de um fragmento do nome.
Tipo do lado B
contains, equal, not equal ou beanshell
Este campo deve ser preenchido com o valor do nome do acesso do lado B (ENTITLEMENT ou RESOURCE).
"Outros atributos do lado B"
contains, equal, not equal ou beanshell
Este campo deve ser preenchido com o valor do "outro atributo" do acesso do lado B.
Habilitando uma política
Uma política de conflito de segregação de funções deve ser habilitada para que possa ser considerada no processo de alteração de acessos de um papel.
Para habilitar uma política basta seguir os passos:
Clique na aba Desabilitadas,
Selecione as políticas que se deseja habilitar,
Clique na ação Habilitar,
Na caixa de diálogo clique no botão Continuar.
As políticas habilitadas serão consideradas no momento de processar as alterações de papéis.
Desabilitando uma política
Para desabilitar uma política basta seguir os passos:
Clique na aba Habilitadas,
Selecione as políticas que se deseja desabilitar,
Clique na ação Desabilitar,
Na caixa de diálogo clique no botão Continuar.
As políticas desabilitadas não serão consideradas no momento de processar as alterações de papéis.
Removendo uma política
Para remover uma política, você deve:
Selecionar as políticas desejadas e clicar no botão Remover,
Na janela de confirmação, clicar em Continuar.
Pronto, você removeu uma política de segregação de funções.
Gerenciando conflitos
Todo conflito detectado pelo monitoramento de segregação de funções no diretório e que atende aos critérios de elegibilidade de uma política de segregação de funções gera uma entrada de monitoramento de conflito.
Essas entradas passam por processos de aprovação e/ou correção e podem demandar tratamento manual via resolução de tarefas manuais de segregação de funções.
O administrador pode acompanhar o processamento dessas entradas de monitoramento de segregação de funções em Monitoramento de acessos com conflitos.
Atualizado
Isto foi útil?