Reconciliação de usuários
A reconciliação de usuários é realizada por meio das Políticas de Reconciliação de Usuários, que permitem sincronizar os usuários a partir de uma fonte autoritativa.
As Políticas de Reconciliação de Usuários incluem todas as configurações essenciais, como regras de associação, mapeamento de atributos e a frequência de busca por novos eventos. Nos tópicos a seguir, são detalhados os passos necessários para o gerenciamento dessas políticas.
Acessando uma política de reconciliação
Para localizar uma política de reconciliação de usuário pelo Admin console, os seguintes passos se aplicam:
Autentique-se no Admin console
Acione o menu Ciclo de Vida
No menu Ciclo de Vida, acione a opção Gestão de Identidades, em seguida acione Reconciliações e acesse a página Reconciliações de usuários.
A tela irá lista todas as políticas de reconciliação configuradas, sendo possível adicionar novas e editar existente.
Criando uma nova política de reconciliação
Para criar uma Política de Reconciliação, os seguintes passos devem ser aplicados:
Acionar o botão Nova Política,
Leia as considerações e acione o botão Continuar,
Especificar o Nome e a Descrição da nova política de reconciliação,
Acione o botão Salvar.
Pronto, você acaba de criar uma política de reconciliação de usuários! Uma política de reconciliação é criada sem as configurações e desabilitado por padrão. Como próximo passo, você deve configurar a política.
Configurando uma política de reconciliação
Você pode editar uma política de reconciliação a qualquer momento, com os seguintes passos:
Clique na política que deseja configurar,
No resumo, configure a descrição da política,
Configure as regras de associação do usuário (as regras de associações são responsáveis por determinar como um usuário em sua fonte autoritativa se relaciona com um usuário no diretório do Blazon),
Configure os atributos do usuário que serão sensibilizados no diretório do Blazon,
Configure o comportamento da reconciliação (As entradas de reconciliação são categorizadas em situações de acordo com as regras de associação e para cada uma das situações você pode configurar uma ação a ser executada.),
Se necessário, adicione exceções,
Se necessário execute reconciliações manuais,
Siga os passos descritos em execuções automáticas, para habilitar uma política de reconciliação.
As configurações das políticas de reconciliação de usuário estão separadas por abas, cada aba define uma parte da configuração:
Na aba Resumo tem-se alguns dados básicos da política como: nome, descrição, data de criação e data da última edição.
Apenas o campo descrição pode ser alterado.
As regras de associação são usadas, pelo processo de reconciliação, para associar dados vindos de uma fonte autoritativa externa à usuários no diretório do Blazon.
Dessa forma a reconciliação consegue identificar os dados externos referentes a cada usuário no diretório.
Configurando as regras de associação
Para configurar as regras de associação de uma política, siga os passos:
Acesse uma política de reconciliação de usuário, ver Acessando uma política de reconciliação, detalhe a política;
Clique na aba Associação;
Clique no botão Configurar;
Para configurar as condições de associação comece configurando o campo de combinação:
No campo Combine, selecione a opção desejada:
Algum: A política será aplicada se pelo menos uma das condições configuradas for atendida.
Todas: A política será aplicada somente se todas as condições configuradas forem atendidas simultaneamente.
Adicionar Nova Condição:
Clique no botão Adicionar Condição.
No campo Atributo, selecione um atributo do usuário**.
No campo Operador, defina o operador relacional a ser aplicado.
No campo Valor insira o valor que será avaliado.
Gerenciamento de Condições:
Para adicionar mais condições, repita o passo 2.
Para remover uma condição, clique no ícone de lixeira ao lado da linha correspondente.
Para remover todas as condições, clique em Remover todas as condições.
Operadores relacionais
Para cada tipo de atributo é disponibilizado um conjunto de operadores relacionais.
Todos os operadores disponíveis nas condições das políticas de reconciliação de usuário estão listados na tabela abaixo:
equal
Resulta verdade se todo o conteúdo do Atributo é igual ao conteúdo preenchido no campo Valor.
not equal
Resulta verdade se todo o conteúdo do Atributo não é igual ao conteúdo preenchido no campo Valor.
less than
Resulta verdade se o conteúdo do Atributo é menor que o Valor preenchido no campo Valor.
less than or equal
Resulta verdade se o conteúdo do Atributo é menor ou igual que o Valor preenchido no campo Valor.
greater than
Resulta verdade se o conteúdo do Atributo é maior que o Valor preenchido no campo Valor.
greater than or equal
Resulta verdade se o conteúdo do Atributo é maior ou igual que o Valor preenchido no campo Valor.
contains
Resulta verdade se o conteúdo do Atributo contem algum fragmento do conteúdo preenchido no campo Valor.
A configuração de atributos de uma reconciliação de usuário define como os dados que estão vindo de uma fonte autoritativa externa, serão mapeados para atributos do usuário no diretório do Blazon.
Ou seja:
Diretório do Blazon (atributos do usuário)
<< Mapeamento de atributos <<
Fonte autoritativa (mapa de chave-valor)
Configurando o mapeamento de atributos do usuário
Para configurar o mapeamento de atributos de uma política, siga os passos:
Acesse uma política de reconciliação de usuário, ver Acessando uma política de reconciliação, detalhe a política;
Clique na aba Atributos;
A primeira configuração refere-se ao fato da reconciliação ser Incremental ou Completa, o que significa:
Incremental: os atributos definidos nessa configuração são atributos que irão incrementar os dados do usuário já existente no Blazon;
Completa: os atributos definidos nessa configuração serão os atributos que o usuário do Blazon terá após a reconciliação.
Para cada atributo que se deseja reconciliar com o usuário no diretório do Blazon, é necessário ter um mapeamento desse atributo.
O administrador pode gerenciar esses mapeamentos usando as ações:
Adicionar: adiciona um mapeamento de um atributo;
Exportar: exporta a lista de todos mapeamentos dessa política;
Importar: importa uma lista de mapeamentos;
Editar: edita um mapeamento;
Remover: remove o mapeamento da lista.
Configurando um atributo de usuário
Quando se cria ou se edita um mapeamento de atributo o administrador deve definir:
Campo: nome do atributo do esquema do usuário no Blazon, que irá receber o valor na reconciliação;
Descrição: descrição desse campo, apenas informativo;
Valor: valor que será atribuido no atributo do usuário que foi definido no campo Campo.
O Valor para um atributo definido num Campo pode ser de 3 tipos, de acordo com a tabela abaixo:
Literal
status
ACTIVE
O atributo "status" do usuário irá receber o valor literal ACTIVE.
Uma expressão Spring baseada nos dados que vem da fonte externa.
firstName
{[primeiro_nome]}
O atributo "firstName" do usuário irá receber o valor do campo "primeiro_nome" que vem da reconciliação. Observe o uso da sintaxe {[ ]} para ler o valor de um campo via expressão.
lastName
return entry.get("ultimo_nome");
O atributo "lastName" do usuário irá receber o valor do campo "ultimo_nome" que vem da reconciliação. Observe o uso de um script BeanShell para ler o valor de um campo na variável "entry".
Quando o Valor é definido como um script BeanShell é necessário, na caixa de configuração do atributo, clicar no controle "Utilizar BeanShell para popular seu atributo?".
Variáveis no contexto do script
As variáveis disponíveis no contexto de execução do script BeanShell, quando executa um mapeamento de atributo da reconciliação de usuário, são:
entry
Mapa de dados no formato chave-valor com os dados crús vindos da fonte externa.
userServiceAPI
Referência para a API de serviços de usuário do diretório do Blazon.
accountServiceAPI
Referência para a API de serviços de conta do do diretório Blazon.
entitlementServiceAPI
Referência para a API de serviços de direito do do diretório Blazon.
roleServiceAPI
Referência para a API de serviços de papel do do diretório Blazon.
resourceServiceAPI
Referência para a API de serviços de recurso do do diretório Blazon.
Script BeanShell de exemplo
Um script de exemplo de mapeamento de atributo em BeanShell, usando a variável entry e o serviço userServiceAPI para popular um atributo customizado "operationCode", será assim:
String username = entry.get("nome_usuario");
User user = userServiceAPI.findByUsername(username);
Integer operationCode = 0;
if (user.getState().equals("ACTIVE")) {
operationCode = 1;
} else {
operationCode = 2;
}
return operationCode;No exemplo acima os dados do Usuário são lidos no diretório do Blazon usando o serviço userServiceAPI que busca o usuário pelo username que vem da fonte externa no campo "nome_usuario".
Após isso é verificado o status do usuário e se estiver ATIVO (ACTIVE) o codígo de operação (operationCode) é retornado como 1, caso contrário retorna 2.
A configuração de comportamento da reconciliação define o que será feito na reconciliação do usuário de acordo com as situações encontradas.
Configurando o comportamento
Nessa seção pode-se configurar o cancelamento automático de entradas de reconciliação que ficarem Aguardando resolução manual e as situações de reconciliação, ou seja:
Configuar o cancelamento automático de entradas,
Configurar as situações de reconciliação.
Configurando o cancelamento automático
Para configurar o cancelamento automático das entradas que estão no estado de Aguardando resolução manual, deve-se seguir os passos:
Acesse uma política de reconciliação de usuário, ver seção Acessando uma política de reconciliação, e clique na política para o detalhamento;
Clique na aba Comportamento;
No card Cancelamento automático, clique no botão Configurar;
Na janela inicial, clique no botão Habilitar;
Na janela de configuração definir Unidade e Quantidade;
Clique no botão Salvar.
Pronto, o cancelamento automático de entradas dessa política que ficarem na aba Aguardando resolução automática está configurado.
Configurando as situações
Para configurar o comportamento das situação de reconciliação, deve-se seguir os passos:
Acesse uma política de reconciliação de usuário, ver seção Acessando uma política de reconciliação, detalhe a política;
Clique na aba Comportamento;
São 5 possíveis situações de comportamento para a reconciliação de usuário e apenas duas são configuráveis, as demais situações irão levar as entradas para o estado de Aguardando resolução manual.
As situações são:
Conflito
Quando as regras de associação encontrar mais de um usuário válido.
Nenhuma, vai cair no estado Aguardando resolução manual.
Usuário encontrado
Quando um único usuário for encontrado, baseado nas regras de associação.
UpdateUser RevokeUser NothingToDo
Usuário não encontrado
Quando nenhum usuário for encontrado, baseado nas regras de associação.
CreateUser NothingToDo
Não foi possível gerar um nome de usuário válido
Quando nenhum nome de usuário foi gerado, baseado em suas políticas de geração de nome de usuário.
Nenhuma, vai cair no estado Aguardando resolução manual.
Atributo obrigatório não preechido
Quando existe algum atributo obrigatório não preenchido, baseado nos atributos definidos no diretório.
Nenhuma, vai cair no estado Aguardando resolução manual.
Na tabela acima apenas duas Situações são configuráveis:
Usuário encontrado, ações possíveis:
UpdateUser: atualiza os dados do usuário encontrado;
RevokeUser: remove o usuário encontrado;
NothingToDo: não faz nenhuma ação.
Usuário não encontrado, ações possíveis:
CreateUser: cria o usuário não encontrado;
NothingToDo: não faz nenhuma ação.
Adicionando exceções
Caso o administrador tenha a necessidade de excluir algum usuário específico do processo de reconciliação, mesmo que ele case com as regras de associação de uma política, pode-se configurar uma exceção.
Nota
Quando uma entrada de reconciliação de usuário casa com um usuário adicionado como exceção, a entrada será finalizada automaticamente como uma EXCEÇÃO.
Para adicionar uma exceção de reconciliação, deve-se seguir os passos:
Acesse uma política de reconciliação de usuário, ver seção Acessando uma política de reconciliação, e detalhe a política;
Clique na aba Exceções;
Clique no botão Adicionar;
Busque o usuário no campo Usuário;
Preencha o motivo da exceção;
Clique em Salvar.
Pronto, você acaba de cadastrar um usuário como uma exceção na política de reconciliação atual. Você poderá gerenciar as exceções com as seguintes ações:
Exportar exceções,
Importar exceções,
Limpar exceções,
Adicionar exceções ou
Remover exceções.
Reconciliação manual
Além das reconciliações automáticas descritas na seção Execuções automáticas, o administrador pode criar reconciliações manuais sempre que necessário.
Uma reconciliação manual representa uma forma de se definir um arquivo externo com uma lista de valores de atributos de usuários, e dar entrada no Blazon no processo de reconciliação.
Após o upload do arquivo, cada conjunto de atributos em uma linha será colocado no campo payload de uma entrada de reconciliação e esta será processada normalmente.
Uma reconciliação manual funciona da seguinte forma:
Defini-se o conjunto de atributos que serão usados para representar cada usuário;
Preenche-se um arquivo CSV, onde cada linha representa um usuário;
Realiza-se o upload do arquivo;
Acompanha-se a reconciliação manual e as entradas de reconciliação geradas.
Criando uma reconciliação manual
Para criar uma reconciliação manual deve-se seguir os passos:
Acesse a política desejada, ver seção Acessando uma política de reconciliação;
Na aba Execuções manuais, clique no botão Nova execução;
Na janela de importação pode-se baixar um arquivo de exemplo;
Clique no botão Continuar;
Clique no ícone para fazer o upload do arquivo;
Selecione o arquivo para upload;
Clique no botão Continuar.
Pronto, uma reconciliação manual foi iniciada e será processada internamente pelo Blazon. Pode-se acompanhar o processamento da reconciliação manual no Histórico de execuções.
Nota
Uma reconciliação manual irá gerar entradas de reconciliação que podem ser gerenciadas, no painel de gerenciamento e monitoramento, a partir das listagem de entradas de reconciliação.
Configurando execuções automáticas
As reconciliações automáticas representam uma forma de execução de reconciliações periódicas.
Em termos gerais para configurar a reconciliação automática, é necessário:
Definir um resource adapter;
Definir um tipo de evento que será reconciliado do resource adapter selecionado;
Definir a periodicidade;
Habilitar a reconciliação automática.
No momento correto definido pela periodicidade, o Blazon gera entradas de execução automática que ficam disponíveis para pulling dos respectivos resource adapters.
Quando uma entrada está disponível para um resource adapter, ele lê essa entrada e começa a fazer o sincronismo dos eventos definidos para o Blazon.
Assim que o processo de sincronismo dos eventos é feito a entrada de execução é finalizada.
Habilitando execução automática
Você pode habilitar uma política de reconciliação com os seguintes passos:
Autentique-se no Admin console
Acione o menu Ciclo de Vida
No menu Ciclo de Vida, acione a opção Gestão de Identidades, em seguida acione Reconciliações e acesse a pagina Reconciliações de usuários.
A tela irá lista todas as políticas de reconciliação configuradas, clique na política que deseja habilitar.
Acesse a aba Execuções Automáticas, se a política não estiver habilitada a seguinte mensagem será exibida "Atualmente esta política não possui execução automática habilitada."
Clique no botão Habilitar Execução Automatica.
Será exibido um modal, selecione o Resource Adapter e o Evento de reconciliação que a política será vinculada.
Clique em Habilitar.
Configurações obrigatórias para habilitar uma política
Alguma configurações são obrigatórias para habilitar a execução automática de uma política de reconciliação. São elas:
Resource adapter: selecionar o resource adapter que irá enviar os eventos de reconciliação;
Origem do Evento: selecionar qual o tipo de evento que o resouce adapter irá enviar.
Assim que a execução automática de uma política é habilitada, ela é configurada por padrão com uma periodicidade de 2 horas.
Nota
O administrador pode mudar essa periodicidade definindo outro valor na lista de periodicidades disponíveis.
Isso significa que, de acordo com a periodicidade definida, o Blazon irá gerar uma nova entrada de execução automática e essa execução estará disponível para pulling do resource adapter.
No momento que o resource adapter ler essa entrada de execução automática ele envia os eventos, do tipo configurado acima, para o Blazon.
As entradas de execução automática podem ser vistas na listagem no card Histórico de execuções.
Nota
Além das execuções automáticas periódicas configuradas, o administrador pode forçar uma execução clicando no botão Nova execução.
Desabilitando execução automática
Você pode desabilitar uma política de revalidação com os seguintes passos:
Acione o menu Ciclo de Vida
No menu Ciclo de Vida, acione a opção Gestão de Identidades, em seguida acione Reconciliações e acesse a pagina Reconciliações de usuários.
A tela irá lista todas as políticas de reconciliação configuradas, clique na política que deseja habilitar.
A tela irá lista todas as políticas de reconciliação configurados, clique na política que deseja desabilitar.
Acesse a aba Execuções Automáticas, se a política estiver habilitada, clique no botão Desabilitar.
Removendo uma política de reconciliação
Para remover uma política de reconciliação de usuário basta seguir os passos:
Selecione as políticas que deseja remover,
Clique no botão de ação Remover,
Na janela de confirmação clique em Continuar.
Atualizado
Isto foi útil?