Os acessos no Blazon podem ser classificados de três maneiras:

1. Classificação por Base Jurídica: Cada acesso pode estar vinculado a uma base jurídica específica, garantindo que seu uso esteja de acordo com regulamentações e normativas aplicáveis.

2. Classificação por Nível de Acesso: Define a permissividade dos acessos cadastrados no sistema. Os níveis disponíveis default são Restrito, Confidencial, Interno e Público.

3. Privilégios: Define o tipo de privilégio que um acesso representa, como contas privilegiadas, contas de administração de domínio e contas de serviço.

Essas classificações asseguram um controle adequado das permissões, permitindo classificar os mesmos de forma a facilitar a gestão.

As seções à seguir detalham as configurações de cada uma dessas opções.

A gestão de papéis envolve todas as configurações e processos relacionados aos papéis na plataforma. É um componente essencial dentro da gestão de identidades e acessos, garantindo que os usuários tenham permissões apropriadas de acordo com suas funções organizacionais.

Esse processo envolve a definição, atribuição e revisão de papéis, que agrupam permissões de acesso de forma estruturada, facilitando a administração e reduzindo riscos de concessões excessivas.

Com uma gestão eficiente de papéis, as empresas conseguem manter a conformidade com regulamentações, como LGPD e GDPR, além de minimizar vulnerabilidades associadas ao acesso indevido a sistemas críticos.

A implementação eficaz da gestão de papéis envolve práticas como modelagem de papéis, revisões periódicas e aplicação de princípios como menor privilégio e segregação de funções.

Dessa forma, a gestão de papéis contribui para um ambiente mais seguro, reduzindo a complexidade operacional e garantindo que os acessos sejam concedidos e revogados de maneira controlada e auditável.

O cadastro de Bases Jurídicas permite o registro e gerenciamento de bases legais utilizadas para referência em processos internos. Esta classificação é essencial para garantir a conformidade regulatória e a documentação adequada de referências jurídicas.

Acessando o cadastro de Bases Jurídicas

Para acessar o cadastro de Bases Jurídicas, os seguintes passos são necessário:

1. Autentique-se no

Os Privilégios representam uma forma de categorizar os acessos existentes no Blazon. Tem-se os privilégios padrão, que são previamente definidos na plataforma, e além disso o administrador pode criar outros privilégios de acordo com a necessidade do negócio.

Acessando os Privilégios

Para acessar o cadastro de privilégios, os seguintes passos são necessário:

1. Autentique-se no Admin console;

Este documento irá guiá-lo para que você possa entender os principais conceitos e funcionamentos do Blazon. Aqui, será possível encontrar definições importantes para o entendimento correto sobre o funcionamento da plataforma.

O entendimento dos conceitos apresentados neste guia são fundamentais para que você possa utilizar a plataforma da melhor maneira possível, seja em sua utilização ou até mesmo na resolução de eventuais problemas.

O que é IAM?

Segundo o Gartner, a disciplina de IAM pode ser definida como:

"Gestão de Identidade & Acessos é a disciplina que permite o indivíduo correto acesse o recurso correto, no tempo e pelos motivos certos."

Antes de analisarmos esta definição, é importante mencionar as diversas nomenclaturas pelas quais esta disciplina é denominada. É normal encontrarmos termos como: “Gestão de Identidade”; “Gerenciamento de Identidade”; “Gestão de Acesso”; “Identity Management”; “Identity and Access Management”; ou, “IAM”, simplesmente.

É interessante notar que esta definição aparentemente simples, toca em aspectos que podem se tornar muito complexos, se considerarmos que as organizações são dotadas de dezenas/centenas de colaboradores, parceiros de negócios, sistemas e milhares de clientes. Voltando definição, podemos destacar termos chaves nesta definição, sendo eles: Individuo; Recurso; Tempo certo; e Razão certa.

Indivíduo

Indivíduo é o sujeito central das ações, isto é, a Entidade que deseja fazer acesso a um determinado recurso. Em um contexto organizacional, este indivíduo pode ser um colaborador, um parceiro, um cliente ou, até mesmo, robôs etc. Indivíduos têm ciclos de vida em suas relações com a Organização, desde o instante em que é criado (quando é admitido, por exemplo) até sua remoção. Neste período ele pode ter promoções na carreira, bem como pode ter afastamentos por férias ou saúde, por exemplo. É fundamental que uma plataforma de Gestão de Identidade gerencie o ciclo de vida de Indivíduos, de tal modo que seus direitos de acessos reflitam o instante presente.

Recurso

A definição de Recurso, pode ser feita de forma geral como algo que um determinado Indivíduo deseja utilizar, ou seja, deseja fazer acesso. Um Recurso pode ser algo como uma Aplicação, um Conteúdo, um Servidor, um Acesso à Internet, uma Pasta ou até mesmo uma coisa (IoT), por exemplo uma catraca que dê acesso físico a organização. Assim como Indivíduos, Recursos também podem ter ciclo de vida, desde o instante em que passa a fazer parte da infraestrutura da corporação, apresentando do mesmo modo, períodos de indisponibilidade, por questões de manutenção ou de segurança.

Tempo certo

Em um mundo cada vez mais digital, mais conectado, mais móvel e que valoriza a experiência do usuário, Indivíduos precisam de acesso a Recursos de maneira mais rápida possível. Não é mais aceitável que um colaborador aguarde dias para poder acessar seu sistema principal de trabalho. Além disso, devido a cenários cada vez mais ágeis, é necessário conceder acessos a recursos corporativos de forma rápida, garantindo que a agilidade requerida não comprometa a segurança da organização. Por outro lado, há Recursos e Indivíduos que podem ter restrições de horários para seus acessos e, então, nestes casos, o acesso deve ser negado para horários indevidos.

Motivo certo

Cada indivíduo deve ter acesso aos recursos necessários e em tempo hábil, e isto deve sempre ocorrer pela razão correta. A necessidade do acesso pode se dar pelo papel que ele exerce na organização ou por alguma tarefa específica que ele vá executar durante algum período. De forma geral, nenhum indivíduo deveria ter acesso a um recurso se não houver uma razão. Isto protege a organização, mas, também, protege o indivíduo.

O que é o Blazon?

O Blazon é uma Plataforma de Gestão de Identidade & Acessos (), que permite o gerenciamento de acessos a recursos coporativos de modo simples e seguro. O Blazon permite a concessão, manutenção e revogação de acessos, controle do ciclo de vida de colaboradores e a implementação de diversos controles críticos de segurança da informação, tais como Certificações de Acessos e Segregação de funções.

Por que utilizar o Blazon?

O Blazon pode ser utilizado para resolver uma série de problemas corporativos críticos, desde questões operacionais – como a quantidade de demandas atendidas manualmente, até questões relacionadas à Gestão da Segurança da Informação – como por exemplo, política de senhas e usuários com acessos indevidos. O Blazon também vai ser muito importante se você precisa apresentar evidências, diretas e indiretas, em casos de auditorias internas e/ou externas.

Para tentar contextualizar alguns dos desafios que o Blazon pode resolver, vamos analisar alguns possíveis cenários:

• Um novo colaborador é contratado e precisa que seus acessos sejam concedidos da maneira mais ágil possível. No primeiro dia de trabalho é importante para a organização que ele consiga acessar a rede corporativa, VPN, e-mail e demais aplicações corporativas.

• Em casos de férias e/ou afastamento, como poderiam ser inativados acessos a e-mail, rede corporativa ou qualquer outro acesso crítico? O Blazon faz isto transparente e automaticamente a partir de uma integração com alguma . Assim, sempre que um colaborador entra de férias, o Blazon recebe esta informação e propaga as inativações necessárias.

• E para os casos de novos acessos, para um colaborador que já faça parte dos quadros da organização? Por exemplo, se um colaborador precisar de acessos para a aprovações de vendas, cadastro de produtos etc? Neste caso, o Blazon conta com um portal de , que permite que os próprios colaboradores solicitem seus acessos.

Qual a versão mais adequada à sua Organização?

O Blazon pode ser utilizado em ambientes On Premise ou em Nuvem. Em sua versão On Premise, há a possibilidade de ser instalado em um servidor (físico ou virtual) ou ser instalado para utilizar todo o seu potencial de escalabilidade para rodar em diversos servidores (Scalable).

Para atender nichos de negócios diversificados, desde pequenas até grandes empresas, a Plataforma Blazon permite que seus componentes sejam montados em um mesmo processo, oferecendo uma versão Single Server. Deste modo, caberá à necessidade do negócio definir qual versão da Plataforma Blazon será utilizada (Single Server ou Scalable). Ambas as versões podem ser implantadas na infraestrutura da empresa (On Premise) ou em nuvem (On Cloud).

O Blazon possibilita o cadastro de atributos de um direito agregando informações ao esquema de direito de um recurso de acordo com as necessidades corporativas.

Para acessar a tela de atributos de um direito, ou esquema de direito de um recurso, os seguintes passos se aplicam:

1. Autentique-se no Admin console

2. Acione o menu Gerenciamento de acesso

3. No menu Gerenciamento de acesso, acione a opção Recursos, pra acessar a página de Recursos

4. Na página de listagem de Recursos, clique na linha do recurso que se deseja configurar atributos de conta

5. Na página do Recurso, clique no botão de configurações (), acesse a aba Definições de esquema de direito

Na aba de Definições de esquema de direito, você pode adicionar um atributo, editar um atributo e/ou remover um atributo.

Adicionando um atributo

Para adicionar um atributo ao esquema de direito de um recurso, você pode acessar a , e realizar os seguintes passos:

1. Acione o botão Novo

2. Preencha os dados do novo atributo: nome, rótulo, descrição, categoria, etc

3. Acione o botão Salvar

Editando um atributo

Para editar um atributo do esquema de direito de um recurso, você pode acessar a , e realizar os seguintes passos:

1. Procure ou pesquise pelo nome do atributo, na listagem de atributos do direito

2. Clique no atributo que se deseja editar

3. Edite os dados do atributo: nome, rótulo, descrição, categoria, etc

4. Acione o botão Salvar

Removendo um atributo

Para remover um atributo do esquema de direito de um recurso, você pode acessar a , e realizar os seguintes passos:

1. Procure ou pesquise pelo nome do atributo, na listagem de atributos do direito

2. Selecione o(s) atributo(s) que serão removidos

3. Acione o botão Remover

4. Acione o botão Confirmar, na caixa de diálogo

O Cadastro de Níveis de dados permite o registro e gerenciamento de níveis de dados para referência em processos internos. Este módulo permite definir a permissividade dos acessos cadastrados no sistema. Os níveis disponíveis por padrão são:

• Restrito: Acesso exclusivo para usuários específicos com permissão expressa, podendo estar associado a dados altamente sensíveis.

• Confidencial: Disponível para um grupo limitado dentro da organização, conforme critérios estabelecidos pela governança.

• Interno: Acessível para todos os colaboradores internos, garantindo transparência dentro da organização.

• Público: Visível para qualquer usuário autorizado na plataforma, sem restrições significativas.

Acessando o cadastro de Níveis de dados

Para acessar o cadastro de Níveis de dados, os seguintes passos são necessário:

1. Autentique-se no Admin console;

2. Acione o menu Ciclo de Vida;

3. No menu Contextos de negócio, acione a opção Classificação de acessos, em seguida acione Níveis de Dados;

4. A tela inicial de Níveis de Dados exibirá os registros cadastrados.

Cadastro de novo Nível de dados

Para adicionar uma nova Níveis de dados, os seguintes passos são necessário:

1. ;

2. A tela inicial de Níveis de Dados exibirá os registros cadastrados;

3. Acione o botão + Adicionar;

4. Preencha os campos Nome e Descrição;

Editando Níveis de Dados

1. ;

2. Na de listagem de Níveis de dados, clique no registro que será editado;

3. Edite os dados: nome e descrição;

4. Acione o botão Salvar.

Removendo Níveis de Dados

Para remover um Nível de dados, os seguintes passos são necessário:

1. ;

2. Na listagem de Níveis de Dados, selecione um ou mais registros para remoção;

3. Acione o botão Remover.

A identidade é o objeto responsável por representar a identidade master, identificando de forma lógica um humano, sistema, serviço ou outro elemento digital. Ela é composta por três elementos principais: ciclo de vida, atributos e acessos.

O ciclo de vida descreve os seus possíveis estados, os atributos descrevem as características destas identidades, tais como nome, nome de usuário, cargo e departamento. Já os acessos são de fato as credenciais e permissões que o mesmo possui em .

Atributos

Os atributos descrevem de maneira geral as características de um determinado usuário. Estes atributos podem ser sincronizados por uma ou . O Blazon possui um conjunto de atributos padrão para um usuário e você pode para armazenar características específicas dos seus usuários.

Ciclo de vida

Todo usuário possui um ciclo de vida, que representa seu estado em um determinado momento. No Blazon, esse ciclo é composto pelos estados: ATIVO, INATIVO, REVOGADO e REMOVIDO. A transição entre esses estados pode ocorrer por ações executadas diretamente no Blazon ou a partir de eventos recebidos de uma fonte autoritativa.

Acessos

A gestão de identidade tem como princípio fundamental o controle dos acessos vinculados a essa identidade. Nesse contexto, acessos são os recursos aos quais um usuário possui permissão de uso. O Blazon possibilita tanto a concessão quanto a revogação desses acessos de forma centralizada e controlada. Um acesso pode ser concedido por meio do , ou por meio de .

Funcionalidades

Para viabilizar o gerenciamento dessas identidades, o Blazon oferece um conjunto de funcionalidades que, de forma integrada, permitem o controle dos itens mencionados anteriormente.

• - Crie, altere, inative, ative, revogue e remova usuários.

• - Defina os atributos disponíveis para seus usuários.

• Nomes de usuários - Gerencie nomes de usuários

  • - Crie e gerencie políticas de nomes de usuários;

Tópicos relacionados

Para acessar a tela de atributos de uma conta, ou esquema de conta de um recurso, os seguintes passos se aplicam:

1. Autentique-se no Admin console

2. Acione o menu Gerenciamento de acesso

3. No menu Gerenciamento de acesso, acione a opção Recursos, pra acessar a página de Recursos

4. Na página de listagem de Recursos, clique na linha do recurso que se deseja configurar atributos de conta

5. Na página do Recurso, clique no botão de configurações (), acesse a aba Definições de esquema de conta

Na aba de Definições de esquema de conta, você pode adicionar um atributo, editar um atributo e/ou remover um atributo.

Adicionando um atributo

Para adicionar um atributo ao esquema de conta de um recurso, você pode acessar a , e realizar os seguintes passos:

1. Acione o botão Novo

2. Preencha os dados do novo atributo: nome, rótulo, descrição, categoria, etc

3. Acione o botão Salvar

Editando um atributo

Para editar um atributo do esquema de conta de um recurso, você pode acessar a , e realizar os seguintes passos:

1. Procure ou pesquise pelo nome do atributo, na listagem de atributos da conta

2. Clique no atributo que se deseja editar

3. Edite os dados do atributo: nome, rótulo, descrição, categoria, etc

4. Acione o botão Salvar

Removendo um atributo

Para remover um atributo do esquema de conta de um recurso, você pode acessar a , e realizar os seguintes passos:

1. Procure ou pesquise pelo nome do atributo, na listagem de atributos da conta

2. Selecione o(s) atributo(s) que serão removidos

3. Acione o botão Remover

4. Acione o botão Confirmar, na caixa de diálogo

Um Membro de direito, representa uma permissão de acesso que uma possui em uma . Sempre que atribuímos um a uma Conta, um objeto do tipo Membro de direito é adicionado ao Diretório do Blazon.

As seções a seguir descrevem os passos necessários para a acessar, revogar e certificar de um membro de direito.

As requisições descritas nesta seção descrevem os processos relacionados à custódia de credenciais.

No Blazon, o gerenciamento de acessos está diretamente ligado às funções de controle do ciclo de vida de permissões em . Ele é composto, essencialmente, por quatro pilares: modelagem, ciclo de vida, classificação e sincronismo.

Modelagem

Para o gerenciamento de acessos de se faz necessário a modelagem dos mesmos no Blazon. Esses acessos são modelados a partir dos objetos:

• : representa os acessos de uma aplicação alvo ou um subconjunto dos mesmos;

• : representa os privilégios de acessos dessa aplicação alvo.

Ciclo de vida

O controle de ciclo de vida de acessos, nos permite tratar para Contas e Direitos:

• Contas: O controle do ciclo de vida de Contas nos permite criar, alterar e revogar essas contas. O ciclo de vida pode ser controlado a partir do Admin console, Importação ou Self-Service:

  • Concessão: novas contas podem ser concedidas por ou ;

  • Atualização: contas existentes podem ser atualizas via ou ;

• Direitos: O controle do ciclo de vida relacionado a Direitos, implica na concessão e revogação de privilégios de acessos e na criação e remoção de objetos de Membros de direitos. Essas ações podem ser realizadas basicamente por meio do Admin console, Self-Service ou Importação:

  • Concessão: as concessões podem ser feitas por ou ;

  • Revogação: já as revogações podem ser realizadas via Admin console ou .

Classificação

A classificação de acessos nos permite ter uma melhor visibilidade e entendimento dos acessos que estão sendo gerenciados, podemos classificá-los quanto a:

• ;

• ;

• .

Sincronismo

O sincronismo é um dos principais pilares do gerenciamento de acesos no Blazon pois é ele que permite a integração com as aplicações alvo:

• • Conceda, altere e revogue acessos em aplicações alvo.

• • Monitore os acessos de suas aplicações alvo.

Tópicos relacionados

• • Conceda e revogue acessos baseado em papéis.

• • controle o ciclo de vida de senhas;

Os atributos de um usuário podem ser configurados de acordo com necessidades específicas. É possível a adição de novos atributos, determinar o tipo de dados de um determinado atributo e nome de exibição do mesmo.

Acessando os atributos

Para acessar os atributos de um usuário, você deve:

1. Autenticar-se no Admin console

2. Acionar o menu Ciclo de Vida

3. No menu Ciclo de Vida, acione a opção Gestão de Identidades, em seguida clique em Usuários Ativos pra acessar a página de Usuários

4. Na página de listagem de Usuários, clique no botão Atributos do usuário.

5. A tela irá lista todos os atributos do usuário configurados, sendo possível adicionar novos atributos, editar atributos existentes, exportar ou importar atributos e gerenciar categorias.

Criando novos atributos

Para a criação de um novo atributo, você deve se atentar às configurações necessárias. Siga os passos abaixo para a criação de novos atributos, adicionando-o conforme as suas necessidades:

1. Ao entrar na , acione o botão Adicionar;

2. Preencha os dados do novo atributo: nome, rótulo, descrição, categoria, etc

3. Acione o botão Salvar.

A tabela abaixo descreve as opções durante a criação de um novo atributo.

Alterando um atributo

Para editar um atributo do esquema de usuário, você pode acessar a , e realizar os seguintes passos:

1. Procure ou pesquise pelo nome do atributo, na listagem de atributos do usuário

2. Clique no atributo que se deseja editar

3. Edite os dados do atributo: nome, rótulo, descrição, categoria, etc

4. Acione o botão Salvar

Removendo um atributo

Para remover um atributo do esquema de usuário, você pode acessar a , e realizar os seguintes passos:

1. Procure ou pesquise pelo nome do atributo, na listagem de atributos do usuário

2. localize o(s) atributo(s) que serão removidos

3. Acione o botão Remover

4. Acione o botão Confirmar, na caixa de diálogo

As políticas de revalidação de usuários permitem o monitoramento de usuários que não estão vinculados a uma . Essas políticas asseguram que a permanência desses usuários na plataforma seja revisada regularmente, reduzindo riscos de acessos indevidos e garantindo conformidade com as políticas de gestão da identidade.

Uma boa prática no gerenciamento de acessos é que um determinado usuário possua um, e apenas um, Responsável. Um Responsável pode ter vários usuários sob sua responsabilidade. Esta prática de associar um Responsável a um usuário introduz agilidade em processos de aprovação, uma vez que o responsável é um atributo do usuário e, portanto, é fácil determinar quem pode aprovar uma solicitação do usuário. Esta prática define que um novo usuário terá um responsável por seus acessos e deste modo, além da agilidade nas aprovações, é possível estabelecer rastreabilidade de acessos, por exemplo, para evidências ligadas a auditorias.

O Blazon tem o conceito de responsáveis, no qual possibilita o registro de um único responsável de um determinado usuário. Cada usuário no Blazon, pode ter configurado seu responsável e esse responsável pode ser usado nos processos de aprovação/decisão envolvendo o usuário.

Cada usuário pode ter apenas um responsável, e por sua vez cada usuário pode ser responsável por vários usuários. Essa informação está disponível de duas formas e o Blazon tem processos internos de sincronização dessa informação. As duas formas são:

• Na tela de listagem de Responsáveis, acessada via menu Ciclo de Vida

Regras de negócio, para criação de entradas de provisionamento manual, podem ser mais complexas do que simplesmente inserir uma Tarefa (entrada) em uma Fila, onde, por exemplo, um analista manualmente fará a execução do provisionamento para um processo de aprovação.

Para esses casos mais elaborados, difíceis de serem executados automaticamente, o Blazon dispõe de um mecanismo de construção de fluxos personalizáveis de execução das regras de negócio, quebrando esses casos complexos em uma ou mais tarefas simples para provisionamento manual.

Para essa configuração é necessário antes ter no Blazon.

Assim, pra você configurar um evento de provisionamento pra ser tratado via um fluxo de trabalho, siga os seguintes passos:

1. Autentique-se no Admin console

Usando a sintaxe das expressões do spring é possível ler os valores de um atributo de um objeto do diretório de forma dinâmica e ainda assim transformá-los caso necessário.

O valor de um mapeamento usando uma expressão é na verdade uma string que pode conter uma expressão.

As expressões spring são demarcadas pelos caracter "{" e "}", e devem conter referencias à atributos de acordo com a tabela da seção para mapeamento.

Além de referencia para atributos, as expressões podem conter alguma função descrita no objeto.

A tabela abaixo ilulstra alguns exemplos de expressões:

As políticas e campanhas de certificação são ferramentas muito poderosas e que provavelmente irão atender suas necessidades de certificação na maior parte do tempo. Porém, existem cenários onde um acesso bem específico precisa ser revalidado.

Este acesso talvez não seja elegido por uma política e ao mesmo tempo, criar uma campanha para revalidar este acesso, talvez seja um processo mais oneroso, apesar de possível.

Assim, as micro certificações nada mais são que uma funcionalidade que visa facilitar a certificação de acessos, por meio de uma seleção simples no Admin console.

Assim como no caso das campanhas, é possível adicionar uma data de início e fim e indicar se o acesso deve ou não ser revogado quando a data limite for alcançada.

Como uma micro certificação é criada?

O monitoramento dos objetos do diretório nos permite garantir que apenas os acessos necessários estejam de fato ativos. As políticas de certificação, baseada em algumas características, monitoram os objetos do diretório e de acordo com suas definições, inicia um processo de certificação para os objetos necessários.

As políticas de certificação são um mecanismo para automatizar o processo de certificação, uma vez identificada/mapeada uma característica específica que se deseja revalidar, você pode criar uma política para monitorar estes objetos. O Blazon possui dois tipos de políticas: Periódicas e Baseada em Mudanças de Atributos do Usuário.

As políticas periódicas garantem que os acessos sejam revalidados em intervalos definidos, independentemente de haver alterações nos dados do proprietário desses acessos. Já as políticas baseadas em mudanças de atributos são acionadas quando ocorre alguma modificação nos atributos de um usuário, iniciando o processo de revalidação dos seus acessos.

Políticas periódicas

As políticas periódicas, monitoram o diretório do Blazon, em busca de contas, membros de direitos ou membros de papéis que estão a um determinado período sem serem revalidados.

Uma política é definida com informações de periodicidade, onde neste caso indicamos de quanto em quanto tempo um determinado objeto deve ser revalidado. Além disso, a política determina quais os tipos de objetos devem ser considerados, bem como alguns filtros como: criticidade do acesso, acessos de um recurso, direito ou papel em específico.

Quando utilizá-las?

As políticas periódicas são indicadas para acessos críticos, que independente de alguma mudança, devam ser revalidados. Porém não há limitação em relação ao seu uso, podendo ser utilizadas em qualquer cenário que envolva periodicidade.

Políticas baseadas em mudança de atributos do usuário

As políticas baseadas em mudanças de atributos, determinam que quando um usuário sofre alteração em algum atributo monitorado, ele poderá ter os seus acessos submetidos a revalidação.

Quando utilizá-las?

As políticas baseadas em mudanças de atributos do usuário, devem ser utilizadas principalmente para o monitoramento de acessos que podem ser revogados quando há algum tipo de mudança. Um exemplo clássico para este tipo de política, é a revalidação de acessos baseado em cargo, sempre que um determinado usuário muda de cargo dentro da organização, seus acessos são submetidos para revalidação.

As tarefas manuais desempenham um papel de apoio na gestão de identidades e acessos, especialmente em situações em que a concessão ou revogação de permissões não pode ser automatizada.

Esses casos geralmente estão relacionados a particularidades dos processos corporativos, exigindo a intervenção direta da equipe responsável pela gestão de acessos para garantir a conformidade e a correta aplicação das políticas de segurança.

Para o correto funcionamento dos processos baseados em tarefas manuais, são necessários alguns elementos essenciais, como filas de atendimento, times responsáveis, definições de tarefas, calendários operacionais e regras de escalonamento.

Esses componentes garantem organização, rastreabilidade e eficiência na execução das atividades que não podem ser automatizadas.

A automatização integral de atividades é o sonho de toda corporação, porém existem empecilhos técnicos, econômicos e até políticos para tais implementações. Além disso, muitas atividades realizadas para a Gestão de Identidades são Tarefas realizadas manualmente. Deste modo, apesar do desejo de automatização total, nem todas as atividades são passíveis ou compensam ser automatizadas. O Blazon conta com cinco tipos de tarefas, sendo elas:

Tarefa de Aprovação

Permite que aprovadores aprovem ou reprovem a solicitação de um determinado pedido de acesso, sendo que Tarefas de Aprovação podem ser dos seguintes tipos:

• Aprovações para novas Contas;

• Aprovações para novos Direitos;

• Aprovações para novos Papéis; ou

• Solicitação de credenciais de Contas Administrativas.

Tarefas de Certificação

Permite que aprovadores revoguem ou mantenham um determinado acesso (Direito), sendo que, as Tarefas de Certificação podem ser dos tipos:

• Contas;

• Entitlements; ou

• Roles.

Tarefas de provisionamento

• Tarefa de Provisionamento

Tarefas de segregação de responsabilidades

• Tarefa de Segregação de Responsabilidade

Tarefas de alteração de direitos de um papel

• Tarefa de Alteração em Direitos de um Papel

Todas as Tarefas podem ser resolvidas de forma simples a partir do Workspace. Para configurações das Tarefas, o Blazon disponibiliza quatro componentes principais: Definições, Políticas de Escalação, Filas e Calendários.

As políticas de certificação, apresentadas na seção anterior, abrangem uma parte significa dos acessos que devem ser certificados. Porém, nem sempre queremos automatizar este processo, ou ainda, durante um determinado período, por algum motivo, desejamos selecionar um conjunto de acessos e submetê-los a aprovação.

As campanhas de certificação permitem que um conjunto qualquer de acessos sejam selecionados e submetidos para revalidação. Estas campanhas permitem a seleção dos acessos desejados e permite também uma janela temporal, que específica quanto tempo essa certificação deve durar.

Durante o processo de certificação, você pode acompanhar o andamento da certificação, a partir do Admin console e tomar algumas decisões, como cancelar a campanha, finalizá-la ou até mesmo notificar os responsáveis que existem acessos aguardando revalidação.

Diferente das políticas de certificação, as campanhas nos permite um maior controle e autonomia daquilo que será certificado.

Como uma campanha é criada?

Uma campanha de certificação pode ser criada a partir do Admin console. Você vai precisar informar:

• Um CSV com os acessos a serem revalidados (você pode extrair estas informações dos relatórios da própria plataforma);

• Você deverá informar o início e o fim da sua campanha;

• E você também irá informar se os acessos não revalidados ao final da campanha, devem ser mantidos ou revogados.

Quando utilizar uma campanha?

Não há nenhuma razão específica para optar pelo uso de campanhas, mas sempre que houver a necessidade de revalidação de um conjunto de diferentes tipos de acessos, e esta revalidação deve acontecer de forma imediata e de forma controlada, indicamos o uso das campanhas.

Quando não existe uma forma automatizada de se manter a sincronização entre o Blazon e uma aplicação externa, é possível criar e definir uma Fila, para onde tarefas manuais, especificando configurações de provisionamento, serão colocadas e deverão ser efetivadas na aplicação externa, por exemplo, de forma manual por um analista.

Para essa configuração é necessário antes ter criado e configurado uma fila no Blazon. Além da configuração da fila será necessário uma configuração de uma definição de tarefa.

Assim, pra você configurar um evento de provisionamento pra ser tratado via fila, siga os seguintes passos:

1. Autentique-se no Admin console

2. Acione o menu Gerenciamento de acessos

3. No menu Gerenciamento de acessos, acione a opção Recursos

4. Busque o recurso que você deseja configurar

5. Clicar na linha do recurso pra acessar a tela de informações do recurso

6. Na aba Provisionamento, escolha o evento de provisionamento que será configurado

7. Acione a opção Fila, na caixa de seleção de Tipo de provisionamento

8. Selecione a definição de tarefa desejada, na caixa de seleção de Definição de tarefa

9. Selecione a fila desejada, na caixa de seleção de Fila

10. Acione o botão Salvar, do card do evento

A solicitação de criação, alteração ou revogação de contas, pode se dar por meio das requisições descritas nas seções a seguir.

Um dos principais componentes que fazem parte da arquitetura do Blazon é o que conhecemos como Diretório. O diretório é um repositório de dados central, que tem como principal objetivo armazenar as informações de identidades e acessos.

A presença deste diretório, permite o armazenamento de forma centralizada de todas as informações necessárias para a correta gestão de identidade e acessos. Ele habilita o Blazon a executar todos processos necessários como revogações, revalidações de acessos e segregação de funções.

No diretório é possível encontrar todos os usuários cadastrados bem como os acessos que estes usuários possuem, o que facilita e permite o gerenciamento de acesso efetivo.

Objetos

No diretório, é possível encontramos os objetos descritos na imagem abaixo:

Usuários

O usuário, é o objeto que representa uma identidade e que é utilizado normalmente para representar uma pessoa, mas que também pode representar um sistema, serviço ou algum outro elemento digital. Este objeto possui um conjunto de atributos que são fundamentais para determinar as características deste usuário.

Recursos

Um recurso é utilizado para representar um conjunto de acessos que precisa ser gerenciado. Normalmente um recurso representa uma aplicação, como por exemplo Active Directory, Office 365, Google Workspace, ou alguma aplicação corporativa legada.

Contas

Uma conta é a representação de uma credencial, que um determinado usuário possui em um determinado recurso, por exemplo: Um usuário que possui um acesso ao Active Directory, terá este acesso mapeado por meio de uma conta. A conta permite o Blazon entender que um usuário possui de fato um acesso em uma determinada aplicação.

Direitos

Um direito representa uma permissão de acesso em uma aplicação. Esta permissão de acesso pode ser um perfil de acesso, grupo de acesso ou qualquer outra nomenclatura ou modelo que uma aplicação possa utilizar. Um direito sempre estará relacionado a um determinado recurso.

Membros de direitos

Um membro de direito indica a permissão de acesso de um determinado usuário dentro de uma aplicação, por exemplo: Um usuário do Active Directory que é membro de um grupo, será mapeado como um membro de direito no Blazon.

Papéis

Os papéis possuem a responsabilidade de permitir a concessão de acessos de uma forma agrupada e abstrata. Como abstrato, queremos dizer que um papel permite que a complexidade de um sistema seja simplificado no Blazon, por exemplo: Um grupo de acesso no Active Directory que possui uma nomenclatura muito técnica, pode ser mapeado em um papel com um nome mais relevante ao usuário final.

Além disso, um dos principais objetivos dos papéis é permitir a implementação de um modelo de acesso baseado em papéis (RBAC), pois ele permite a inclusão de diversos acessos em sua estrutura e permite a concessão destes acessos de maneira unificada para um usuário.

Membros de papéis

Um membro de papel representa a relação entre um usuário e um papel. Sempre que um usuário possui um papel, haverá um objeto denominado membro de papel.

Relações

Os objetos do diretório possuem uma relação entre si e é exatamente esta relação que permite o entendimento dos acessos existentes no diretório.

Um usuário, pode possuir zero ou mais contas em algum recurso. Dito isso, é importante notar que uma conta possui um usuário relacionado a mesma e esta relação normalmente é referenciada como proprietário. Sobre a relação entre usuários e contas, existem regras e exceções a esta relação:

• Um usuário possui zero ou mais contas;

• Uma conta pode, em alguns momentos, não possuir nenhum proprietário, o que é caracterizado como uma conta órfã;

• Um usuário só pode possuir uma conta em um determinado recurso, exceto em e .

Além disso, um usuário pode possuir zero ou mais papéis e esta relação é representada por meio de um objeto do tipo membro de papel.

Já a relação entre um papel, recursos e direitos, indica que um determinado papel possui acessos relacionados a ele e desta maneira, quando um membro de papel é criado ou removido, acessos podem ser concedidos ou revogados, baseados nesta relação.

Em relação a um recurso, o mesmo pode possuir zero ou mais contas e/ou direitos. E uma determinada conta pode possuir zero ou mais direitos e esta relação é determinada a partir de um objeto membro de direito.

As relações descritas aqui, são manipuladas por diversos mecanismos, seja por uma intervenção manual ou principalmente por algum processo que acontece de forma automatizada. As próximas seções da nossa documentação descrevem como os objetos do diretório podem ser manipulados.

Tipos de gerenciamento de objetos

Cada objeto do diretório possui uma forma de gerenciamento, esta forma simboliza como um determinado objeto pode ser manipulado e esse entendimento é de suma importância, pois a forma na qual um objeto é gerenciado pode afetar diversos processos.

Atualmente, as formas disponíveis para gerenciamento destes objetos pode variar para cada tipo, a tabela abaixo contém cada um dos objetos e como eles podem ser gerenciados:

• Objetos gerenciados manualmente: Os objetos gerenciados manualmente podem ser revogados e podem ser submetidos a processos de certificação;

• Objetos gerenciados por papel: Estes objetos possuem seu ciclo de vida atrelado a um papel e não podem ser revogados manualmente e também não são elegíveis para processos de certificação;

• Objetos gerenciados por política de atribuição: Os membros de papéis gerenciados por uma política de atribuição não podem ser revogados manualmente e também não são elegíveis para processos de certificação.

Tópicos relacionados

A criação de Processo de Certificação por meio de micro-certificação se dá basicamente pela seleção de entradas específicas que devem ser certificadas. Além da seleção de entradas, devem ser especificados os parâmetros básicos a serem utilizados no processo de micro-certificação. A micro-certificação possibilita também a certificação de Accounts, Membership Entitlements e Membership Roles.

Micro certificação de contas

1. Autenticar-se no Admin console

2. Selecionar a conta desejada, sendo esta seleção possibilitada a partir da tela de perfil de um determinado usuário ou no detalhamento de um determinado Recurso.

3. Estando em uma das telas anteriores, selecione o check-box, e clique na opção de certificar e siga os passos e instruções descritos na tela.

4. Especificar o Nome e a Descrição para a nova certificação. Essa descrição pode ser utilizada como forma de fornecer os motivos de sua certificação.

5. Especificar quando sua certificação deve iniciar e qual o período máximo em que ela deve ser finalizada. Neste ponto, indique se deseja revogar os acessos não certificados quando o período máximo for atingido.

6. Selecione o Workflow que você deseja utilizar para gerar as tarefas de certificação atreladas a esta micro- certificação.

7. Confirme para finalizar.

Micro certificação de membros de direitos

A Micro certificação de Membro de direito pode ser feita aplicando-se os seguintes passos:

1. Autenticar-se no Admin console

2. Selecionar o Membro de direito desejado, sendo esta seleção possibilitada a partir da tela de perfil de um determinado usuário ou no detalhamento de um determinado Recurso.

3. Estando em uma das telas anteriores, selecione o check-box, acione a opção de certificar, e siga os passos e instruções descritos na tela.

4. Especificar o Nome e a Descrição para a nova certificação. Essa descrição pode ser utilizada como forma de fornecer os motivos de sua certificação.

Após a criação da nova micro-certificação, o andamento poderá ser acompanhado no menu Management/Certification/Micro Certification.

Micro certificação de membros de papéis

A Micro certificação de membros de papéis Role pode ser feita aplicando-se os seguintes passos:

1. Autenticar-se no Admin console

2. Selecione o Membro de direito desejado, sendo esta seleção possibilitada a partir da tela de perfil de um determinado usuário ou no detalhamento de um determinado Papel.

3. Estando em uma das telas anteriores, selecione o check-box, e acione a opção de certificar e siga os passos e instruções descritos na tela.

4. Especificar o Nome e a Descrição para sua certificação. Essa descrição pode ser utilizada como forma de fornecer os motivos de sua certificação.

Após a criação da nova micro-certificação, o andamento poderá ser acompanhado no menu Management/Certification/Micro Certification.

Gerenciando uma micro certificação

Em construção...

Um Resource Adapter é uma aplicação responsável pela integração da Plataforma Blazon e uma aplicação externa (Sistema Legado). Antes de configurar o provisionamento via Resource Adapter, uma instância do Resource adapter deverá ser criada no Blazon.

Quando um Resource adapter é criado o mesmo recebe um nome e um identificador único dessa instância que será usado no processo em si. Para efeito de configuração de evento de provisionamento, o nome do Resource adapter é que será usado.

Além do Resource adapter você irá precisar da configuração do(s) mapeamento(s) de atributos referente(s) às informações de conta ou direito, ou ambos. Para isso você deve antes criar os mapeamentos de atributos necessários.

Finalmente, pra você configurar um evento de provisionamento pra ser tratado por um RA, siga os seguintes passos:

1. Autentique-se no Admin console

2. Acione o menu Gerenciamento de acessos

3. No menu Gerenciamento de acessos, acione a opção Recursos

4. Busque o recurso que você deseja configurar

5. Clicar na linha do recurso pra acessar a tela de informações do recurso

6. Na aba Provisionamento, escolha o evento de provisionamento que será configurado

7. Acione a opção Adaptador de recurso, na caixa de seleção de Tipo de provisionamento

8. Selecione o(s) mapeamento(s) necessário(s), na(s) caixa(s) de seleção Mapeamento

9. Selecione o RA que será usado, na caixa de seleção Adaptador de recurso

10. Selecione um Fluxo de trabalho de recuperação de falha, na caixa de seleção Fluxo de falha

11. Acione o botão Salvar, do card do evento

Conflitos de segregação de funções ocorrem quando um mesmo usuário tem permissões que, combinadas, representam um risco para o controle interno, como por exemplo, criar e aprovar pagamentos.

Esses conflitos são identificados no ambiente corporativo com base em regras que definem quais funções não devem ser atribuídas simultaneamente a um mesmo usuário.

É essencial detectar e tratar esses conflitos para prevenir fraudes, erros e garantir a conformidade com normas de segurança e auditoria.

O Blazon provê a funcionalidade de Segregação de funções e o administrador deve primeiramente adicionar os acessos conflitantes definidos para o ambiente.

Acessando os conflitos

Para acessar os conflitos de segregação de funções você deve seguir os passos:

1. Autentique-se no Blazon;

2. Acione o menu Governança;

3. Acione o item de menu Segregação de funções > Geral > Conflitos;

Na página de listagem de conflitos pode-se filtrar e/ou ordenar os conflitos adicionados.

Configurando um novo conflito

Um conflito de segregação de funções define dois acessos (direito, recurso ou papel) que são conflitantes e denominados de função lado A e função lado B.

Para adicionar um novo conflito você deve seguir os passos:

1. ;

2. Clique no botão Adicionar;

3. Preencha o nome e a descrição e clique em Continuar;

4. Selecione o recurso, direito ou papel da função do lado A e clique em Continuar;

Pronto, você adicionou um conflito entre duas funções.

Removendo um conflito

Para remover um conflito você deve seguir os passos:

1. ;

2. Selecione os conflitos que deseja remover e clique no botão de ação Remover;

3. Na caixa de confirmação clique no botão Continuar;

Pronto, você removeu um conflito de segregação de funções.

Acessando uma campanha

Em construção...

Configurando uma campanha de certificação

As campanhas de certificação permitem executar o Processo de Certificação sobre um conjunto de entradas. Para Campanhas, uma entrada pode ser do tipo Account, Membership Entitlement ou Membership Role.

Para o Blazon, o conjunto de entradas pode ser especificado através de uma lista de entradas e ser oferecida à plataforma por meio de um arquivo no formato CSV (Comma Separated Values).

Formato da Lista da Campanha

A lista tem uma estrutura básica de dados com dois campos, sendo eles: Identifier e Schema. O campo Identifier é o identificador interno e funcionará como uma chave primária para as entradas do Blazon que serão submetidas ao Processo de Certificação. O campo Schema especifica o tipo de objeto que será submetido ao Processo de Certificação, podendo assumir os valores: ACCOUNT, MEMBERSHIP_ENTITLEMENT ou MEMBERSHIP_ROLE.

Deste modo, o arquivo a ser importado pelo Blazon terá os dois campos, sendo o campo Identifier e o campo Schema, separados por vírgula, como é o padrão de um arquivo CSV. Para criar uma Campanha, os seguintes passos se aplicam:

1. Autenticar-se no Admin console.

2. Acessar o menu Certifications/Campaigns e acionar o botão + localizado no canto superior direito.

3. Especificar o Nome e a Descrição para o novo processo de certificação. Essa descrição pode ser utilizada como forma de fornecer os motivos de sua certificação.

4. Selecionar o arquivo CSV com as entradas que devem ser certificadas.

Após a criação da certificação, você pode acompanhar o andamento no menu Management/Certification/Campaigns.

Gerenciando uma campanha

Em construção...

Um script beanShell representa um programa na linguagem beanShell, que pode ser definido para gerar o valor do mapeamento de um atributo.

Segundo a documentação do beanShell, o beanShell é um interpretador de programas em Java e permite adicionar variáveis no contexto da interpretação.

Todo script beanShell executado no mapeamento do provisionamento contem a variável com o nome 'entry' que representa uma referência para o objeto que está sendo provisionado, no caso uma conta, ou um direito ou um membro de direito.

Essa referência contem os mesmos atributos descritos na tabela da seção Objetos e atributos disponíveis para o mapeamento de atributo.

O script pode ter várias linhas e o valor final da execução do script será o valor dado como retorno, através do comando 'return', ou o valor da ultima atribuição.

A tabela abaixo ilustra alguns exemplos de scripts beanShell:

Para acessar as configurações de provisionamento de um recurso no Blazon, basta selecionar o recurso desejado e navegar até a aba Sincronismo. Essa aba permite configurar os eventos de provisionamento associados ao recurso, garantindo a gestão dos acessos.

Eventos de Provisionamento Gerenciados

Os eventos de provisionamento suportados pelo Blazon, que podem ser sincronizados com aplicações, incluem:

• Contas:

  • Criação de conta

  • Atualização de conta

  • Revogação de conta

  • Ativação de conta

• Direitos:

  • Criação de direito

  • Atualização de direito

  • Remoção de direito

Tipos de Contas

Os eventos podem ser configurados de forma independente para os seguintes tipos de contas:

• Contas Admin

• Contas de Aplicação

• Contas Compartilhadas

• Contas Regulares

Tipos de Provisionamentos

Para cada um dos eventos de provisionamento citados, é possível configurar uma das formas de aprovisionamento disponíveis:

• Automaticamente por meio de Adaptador de Recurso;

• Por meio de uma Fila;

• Por meio de Fluxo de trabalho.

A aba Provisionamento, permite que façamos a configuração desejada dos eventos de provisionamento de um recurso. Ao acessar o recurso desejado, será possível visualizar a opção provisionamento, semelhante a imagem abaixo.

Os tópicos a seguir descrevem as possibilidade de configuração de provisionamento para um recurso.

O Blazon implementa o conceito de Unidades Organizacionais, no qual uma unidade organizacional representa uma entidade estrutural corporativa.

Nesse contexto, você pode definir unidades organizacionais e associar usuários à determinadas unidades organizacionais de forma a refletir informações da organização estrutural de uma empresa.

Uma unidade organizacional pode ser de um dos 4 tipos:

• Centro de custo,

• Departamento,

É importante ressaltar que a plataforma conta com dois processos de concessão e revogação automatizados:

1. concessão e revogação automática de papéis, baseada nas políticas de atribuição de papéis;

2. concessão e revogação automática de acessos, baseada nos acessos dos papéis.

Esse dois processos compreendem mecanismos de rastreabilidade e em particular a revogação conta com um mecanismo de gerenciamento mais flexível para o administrador.

Os Formulários representam uma importante funcionalidade de configuração de uma lista de campos para serem disponibilizados/renderizados na tela, como por exemplo, pra preenchimento de um cadastro, etc.

Basicamente um Formulário é composto por uma lista de , agrupados em e ainda é possível configurar uma lista de .

As páginas subsequentes apresentam as configurações para cada um desses elementos de um Formulário.

Criando um formulário

Um Resource adapter é responsável por manipular eventos de provisionamento e reconciliação, atuando como intermediário na comunicação com as aplicações alvo por meio de protocolos específicos, como , ou APIs . Em vez de se conectar diretamente às aplicações, o , interage com o Resource adapter, que realiza a sincronização dos acessos concedidos e revogados de forma adequada.

Funcionalidades

Um Resource adapter possui um conjunto de funcionalidades que permitem que o Blazon forneça todas as características necessárias para o funcionamento de um processo de gestão de identidade. As principais funcionalidades de um Resource Adapter são:

Um dos principais mecanismos e responsabilidades relacionados aos processos de gestão de identidade e acessos, é garantir o sincronismo entre uma e .

Esse sincronismo tem como objetivo garantir que os acessos solicitados sejam devidamente concedidos nas aplicações alvo, enquanto acessos que não são mais necessários sejam prontamente revogados. Além disso, ele permite o monitoramento contínuo das aplicações alvo, assegurando que os acessos existentes sejam apropriados e estejam em conformidade com as políticas de segurança.

Para a garantia desse sincronismo, o Blazon conta com três componentes principais:

• um módulo de , responsável pelo envio de informações que são criadas e/ou alteradas no Blazon;

A Segregação de Funções, também conhecida como SoD, consiste na separação das responsabilidades de autorização, aprovação, execução, controle e contabilização. Para evitar conflitos de interesses, e diminuir riscos de fraudes, é necessário repartir responsabilidades entre colaboradores para que não exerçam tarefas incompatíveis, tais como execução e fiscalização de uma mesma atividade.

SoD é uma disciplina cujo escopo abarca diversas áreas da corporação passando por finanças, controladoria, vendas, controle de qualidade, entre outras. Deste modo, a Gestão de Identidade desempenha um papel importante no controle de acesso aos sistemas que dão suporte à gestão dessas diferentes áreas.

De acordo com o Gartner Group, controles eficazes de Segregação de Responsabilidades podem reduzir o risco de fraude interna em até 60% por meio da detecção precoce de falhas de processos internos em sistemas de negócios importantes.

O Blazon possui funcionalidades que garantem que acessos conflitantes não sejam concedidos, a menos que sejam explicitamente autorizados.

A manutenção de um papel, para a adição e remoção de recursos e direitos, é realizada no Admin console. Toda manutenção gera uma entrada de alteração do Papel e esta alteração pode ser submetida a aprovações e validações de conflitos, conforme descrito na imagem abaixo:

O fluxo para alteração de um papel, que pode ser visto na imagem acima, permite que a alteração de um papel possua um registro de alteração detalhado, e diminui a chance de alteração de um papel de forma indevida, uma vez que é possível obter a aprovação das pessoas/equipes responsáveis. A listagem abaixo detalha este fluxo:

1. Um item é adicionado/removido de um papel, a partir do Admin console;

2. Assim que um item é adicionado ou removido de um papel, uma entrada de alteração de papel é criada e a mesma é submetida a uma política de aprovação, que verifica a necessidade de aprovação pelo responsável do papel.

No Blazon, um Direito é um objeto que representa um Nível de Privilégio de uma . Esses Direitos são mapeados a partir de um determinado Recurso. Ou seja, um Recurso pode ter um ou mais Direitos, representando seu conjunto de permissões.

Além dos acessos garantidos por credenciais a um determinado Recurso, em muitos casos, se faz necessária a gestão granular de acessos a estes recursos. Um Direito serve como mecanismo que possibilita a gestão de cada um dos acessos de uma Conta a um determinado Recurso.

Por exemplo, um um arquivo pode ser escrito, lido e removido. Imagine que se queira atribuir apenas a permissão de leitura a este arquivo, então, um direito deve ser responsável por expressar esta permissão.

O Blazon nos permite especificar uma granularidade fina na gestão de acessos, por meio do uso de Direitos. Desta maneira, um Direito pode representar permissões do tipo:

• Grupos;

• Roles/Papéis;

• Permissões;

• Ou qualquer outra nomenclatura que represente um tipo de privilégio em uma .

As seções a seguir descrevem os passos necessários para a adição, configuração e remoção de um direito.

Acessando um direito

Para ter acesso à listagem de direitos, siga os passos:

1. Autentique-se no Admin console;

2. Acione o menu Ciclo de vida > Gestão de acessos > Direitos > Gerenciar direitos;

3. Busque ou filtre o direito que a partir da listagem;

4. Clique na linha do direito pra acessar a tela de informações.

Criando um novo direito

Para você criar um novo direito, são necessários os seguintes passos:

1. ;

2. Acione o botão Novo, na aba Direitos;

3. Preencha os atributos necessários, além do Nome e Descrição;

4. Acione o botão Finalizar.

Configurando um direito

Classificação

Em um direito, definido no diretório do Blazon, você poderá configurar sua classificação.

A classificação de um direito, pode ser usada como uma forma de organização interna no diretório, para fins de busca no self-service, etc.

Você pode configurar a classificação de um direito, diretamente na aba Configurações do direito, com os seguintes passos:

1. ;

2. Selecione a aba Configurações;

3. Selecione a classificação no card Classificação, acione o botão Salvar.

Classificação de acessos

Em um direito, definido no diretório do Blazon, você poderá configurar sua classificação de acesso.

A classificação de acesso de um direito, permite configurar informações pertinentes ao nível de acesso aos dados e as bases legais para esse direito. São informações relativas a LGPD (Lei Geral de Proteção de Dados).

Você pode configurar a classificação de acesso aos dados de um direito, diretamente na aba Configurações de um direito, com os seguintes passos:

1. ;

2. Na aba Configurações, configure os campos necessários do card Classificação de acesso;

3. Acione o botão Salvar, do card.

Certificações

Em um direito, definido no diretório do Blazon, você poderá configurar se será certificável ou não. Em outras palavras, um direito configurado para ser certificável, terá seus respectivos membros, considerados no processo de elegibilidade das políticas de certificação.

Você pode habilitar ou desabilitar se um direito é ou não certificável, diretamente na aba Configurações de um direito, com os seguintes passos:

1. ;

2. Na aba Configurações, procure o card Certificação;

3. Na caixa de confirmação "Este item é certificável", habilite ou desabilite a certificação pra esse direito.

Pronto, você acaba de configurar, habilitando ou desabilitando, a certificação dos membros desse direito!

Self-service

Um usuário no Blazon pode solicitar acesso a um determinado direito que ele deseje, via self-service. Esse processo é realizado via requisição de acesso e é passível de aprovação.

Para que um direito seja disponibilizado via self-service, ele tem que estar configurado pra isso, ou seja habilitado para o self-service.

Você pode habilitar ou desabilitar um direito pra solicitação via self-service, diretamente na aba Configurações de um direito, com os seguintes passos:

1. ;

2. Na aba Configurações, procure o card Self-service;

3. Na caixa de confirmação "Este item pode ser solicitado via self-service", habilite ou desabilite self-service pra esse direito.

Pronto, você acaba de configurar, habilitando ou desabilitando, a disponibilidade via self-service desse direito!

Proprietários

Algumas operações no Blazon necessita da informação do dono do direito, como por exemplo o processo de aprovação de um membro num direito, geralmente conta com a aprovação do dono do direito.

Você pode configurar nenhum, um ou até mais de um dono pra um direito, e isso pode ser feito diretamente na aba Configurações de um direito, com os seguintes passos:

1. ;

2. Na aba Configurações do direito, procure o card Proprietários;

3. Adicione ou remova usuários, donos do direito.

Pronto, você acaba de configurar o(s) dono(s) de um direito!

Removendo um direito

Para você remover um direito existente, são necessários os seguintes passos:

1. ;

2. Selecione com um clique na caixa de seleção, o(s) direito(s) que será(ão) removido(s);

3. Acione o botão Remover;

4. Acione o botão Confirmar, na caixa de diálogo.

A denominação "Alteração de acessos" refere-se à qualquer adição ou remoção de acessos associados à um papel, ou simplesmente acessos de um papel.

Os acessos de um papel permitem o processo de automação da concessão de acessos, contas e direitos, aos usuários membros de papéis.

Toda vez que alguma configuração, ou alteração, é feita sobre os acessos de um papel, uma solicitação de Alteração de papel é criada e a mesmo pode passar por aprovações.

Assim, para se realizar uma configuração, ou alteração, de acessos de um papel a plataforma prevê algumas políticas de aprovação, tais como:

1. ;

2. ;

3. .

Aprovações funcionais

As aprovações funcionais representam a aprovação de itens da solicitação de alteração do papel, ou seja, os itens que foram definidos para a alteração devem ser aprovados na totalidade ou parcialmente.

O aprovador receberá uma tarefa de aprovação, na qual ele define quais os itens da alteração serão aprovados na adição ou remoção de acessos.

A configuração das políticas de aprovações funcionais está descrita no guia do Admin console, .

Aprovações de proprietários

As aprovações de proprietários representam as aprovações dos proprietários dos acessos relacionados nas entradas de alteração de acessos.

Caso as políticas estejam configuradas essas aprovações irão cair para os proprietários dos papéis, recursos ou direitos envolvidos na alteração de papel.

A configuração das políticas de aprovações de proprietários de acessos está descrita no guia do Admin console, .

Conflitos de acessos

Ainda dentro das aprovações da alteração de acessos do papel, a plataforma prevê a possibilidade de configuração de políticas de aprovação de .

Os aprovadores são configurados na própria política, que ainda prevê um processo de mitigação caso ocorra um conflito e mesmo assim seja aprovada a alteração de acessos.

A configuração das políticas de aprovações de conflitos de acessos está descrita no guia do Admin console, .

Concessão dos acessos

Assim que uma alteração de papel do tipo ADIÇÃO é finalizada, os acessos são adicionados ao respectivo papel e os mesmos já são incorporados no processo contínuo de concessão automática de acessos aos usuários membros desse papel.

No caso de um usuário já ter nos seus acessos algum recurso (conta) e/ou direito, e os mesmos foram adicionados recentemente num papel, o qual ele já é membro, esses acessos dele passam a serem gerenciados também por esse papel.

Revogação dos acessos

Assim que uma alteração de papel do tipo REMOÇÃO é finalizada, os acessos são removidos do respectivo papel e os usuários membros desse papel terão seus respectivos acessos processados da seguinte forma:

1. caso seja uma conta ou direito gerenciada por mais de um papel, apenas o gerenciamento do respectivo papel será removido, e o acesso continua ativo;

2. caso seja uma conta ou direito gerenciada apenas pelo papel respectivo, o gerenciamento desse papel é removido, a conta ou direito passa para gerenciamento manual e uma entrada de revogação de acesso é gerada;

3. caso uma conta ou direito seja gerenciada manualmente, uma entrada de revogação de acesso é gerada.

As entradas de revogação de acessos de contas e direitos geradas, devem ser tratadas pelo administrador.

Essas entradas são acessíveis no Gerenciamento e monitoramento, e estão documentadas no guia do Admin console, .

De acordo com a documentação de fundamentos da plataforma, sobre o processo de provisionamento, tem-se a possibilidade de configuração de 11 (onze) eventos de provisionamento.

Esses eventos mapeam as possibilidades de provisionamento da plataforma sobre os 3 (três) objetos provisionáveis:

1. Conta:

   • atributos disponíveis: account, resource, user

2. Direito:

   • atributos disponíveis: entitlement, resource

3. Membro de direito:

   • atributos disponíveis (mapeamento do direito): entitlement, resource

   • atributos disponíveis (mapeamento da conta): account, resource, user

Para cada um desses objetos que estão disponíveis para mapeamento existem alguns atributos disponíveis do diretório do Blazon, de acordo com a tabela abaixo:

Quando um Papel é atribuído a um Usuário, ele passa a compor a lista de membros desse papel. A relação entre um Usuário e um Papel é denominada Membro de Papel. Um usuário pode ser membro de zero ou mais papéis.

Um usuário que está associado a um papel é um membro desse papel. Sendo membro do papel ele recebe os acessos referentes ao papel.

Acessando um membro de papel

Para acessar um membro de papel, siga os passos:

1. Autentique-se no Admin console

2. Acione o menu Gerenciamento de papéis

3. Acione o item de menu Diretório > Membros de papéis > Membros ativos

4. Na listagem de membros de papéis selecione ou filtre os membros de papel, que deseja ver.

Adição de membros de papel

Existem 3 (três) formas de adição de membros em um papel:

1. ;

2. ;

3. .

Atribuição automática de membros

A atribuição automática de usuários aos papéis se dá através das políticas de atribuição automática.

Basicamente são políticas definidas pelo administrador que definem regras para que usuários sejam atribuídos à papéis na organização.

Adição de membros via importação

Através do processo de importação o administrador pode adicionar membros a papéis numa operação em lote.

Essa forma pode ser interessante para configurar os membros de papéis de uma organização que já estão estabelecidos.

Adição de membros via workspace

A adição de membros à um papel pode ser feita também num modelo de self-service via workspace.

Para que isso possa ocorrer, tem-se algumas considerações importantes:

1. é necessário que o flag de "self-service" esteja marcado na configuração do papel para que ele esteja disponível via workspace;

2. o processo de adição do membro é realizado como uma execução de uma requisição;

3. o processo de execução da requisição pode passar por um processo de aprovação caso seja necessário e esteja configurada uma política de aprovação.

Revogação de membros

De forma similar à adição de membros, a revogação de usuários de um papel pode ser feita de 3 (três) formas:

1. ;

2. ;

3. .

Revogação de membros via console administrativo

A revogação de membros pode ser feita pelo administrador e está documentada no guia do Admin console, .

Revogação de membros via importação

Através do processo de importação o administrador pode revogar membros de papéis numa operação em lote.

Essa forma pode ser interessante para configurar a revogação de um lote de membros de papéis.

Revogação automática de membros

A revogação automática de membros de papéis se dá através da configuração das políticas de atribuição, removendo papéis de políticas já estabelecidas.

Nesse caso o processo de atribuição automática irá remover os membros de acordo com a nova configuração das políticas.

Quando um formulário é aplicado, ou melhor renderizado na tela, os campos apresentados podem ser agrupados em seções.

Embora sempre vá existir uma seção Padrão, você pode criar ou remover seções e organizar os campos de acordo com as seções existentes.

Criando uma seção

Uma seção de um formulário pode ser criada a qualquer momento e você deverá seguir os passos:

1. Autentique-se no Admin console

2. Acione o menu Plataforma > Workspace > Geral > Formulários

3. Busque pelo formulário que se deseja criar uma Seção, e clique na linha do mesmo

4. Na página de detalhamento do formulário, acesse a aba Campos

5. Clique no ícone de Seções (ver figura abaixo)

6. Na caixa de diálogo, clique no botão Novo

7. Preencher os campos Nome e Ajuda

8. Acione o botão Salvar

Editando uma seção

Uma seção de um formulário pode ser editada a qualquer momento e você deverá seguir os passos:

1. Autentique-se no Admin console

2. Acione o menu Plataforma > Workspace > Geral > Formulários

3. Busque pelo formulário que se deseja editar uma Seção, e clique na linha do mesmo

4. Na página de detalhamento do formulário, acesse a aba Campos

Removendo uma seção

Uma seção de um formulário pode ser removida a qualquer momento e você deverá seguir os passos:

1. Autentique-se no Admin console

2. Acione o menu Plataforma > Workspace > Geral > Formulários

3. Busque pelo formulário que se deseja remover uma Seção, e clique na linha do mesmo

4. Na página de detalhamento do formulário, acesse a aba Campos

Ordenando uma seção

Uma seção de um formulário pode ser reposicionada a qualquer momento e você deverá seguir os passos:

1. Autentique-se no Admin console

2. Acione o menu Plataforma > Workspace > Geral > Formulários

3. Busque pelo formulário que se deseja reposicionar as Seções, e clique na linha do mesmo

4. Na página de detalhamento do formulário, acesse a aba Campos

Acessando uma política

Em construção...

Configurando uma política periódica

As políticas baseadas em Periodicidade dependem basicamente da seleção do tipo da Entrada e do Período que as entradas especificadas devem ser certificadas. Para a criação de uma política baseada em período, são necessários os seguintes passos:

1. Autenticar-se no Admin console

2. Acessar o menu Certifications/Policies, acionar o botão + localizado no canto superior direito, e seguir os passos oferecidos na tela, sendo necessário basicamente especificar o Nome e a Descrição da Política, bem como a seleção do tipo Periodicity based

3. Após a criação da nova política, você deve fazer as configurações que se apliquem a suas necessidades:

4. A configuração do fluxo de trabalho pode ser alterada na aba Workflow Settings

A execução do processo, sobre as entradas de certificação geradas pela nova política, pode ser acompanhada pelo menu Management/Certifications/Policies.

Configurando uma política de mudanças de atributos

A Política baseada na Mudança de Atributo de uma entrada, é uma política orientada a evento relacionados a atualizações na contas de usuários, isto é, políticas baseadas na mudanças de atributo do usuário são acionadas a cada atualização. Para criar uma política de certificação baseada na mudança de atributos do usuário, são necessários os seguintes passos:

1. Autenticar-se no Admin console

2. Acessar o menu Certifications/Policies, acionar o botão + localizado no canto superior direito, e seguir os passos oferecidos na tela, sendo necessário basicamente especificar o Nome e a Descrição da Política, bem como a seleção do tipo Baseado na Mudança de Atributo do Usuário (User Attribute changing based)

3. Após a criação da nova política, deve-se finalizar as configurações que se apliquem a suas necessidades

Habilitando/Desabilitando uma política

Em construção...

Removendo uma política

Em construção...

Gerenciando uma política

Em construção...

Uma requisição do tipo Nova conta, permite a concessão de novas contas a usuários do Blazon.

Como criar uma requisição?

• A partir do Admin console, por meio de importação;

• A partir do Workspace.

É possível a criação em lotes desta requisição?

Sim, você pode criar requisições deste tipo a partir de uma nova importação.

Quais as etapas são executadas?

Outros objetos relacionadas a esta requisição

Ao executar uma requisição, uma série de outros objetos podem ser criados:

O que acontece se o provisionamento falha?

Caso o item requisitado não seja provisionado, o Blazon realiza a remoção da conta solicitada, mantendo assim o diretório integro.

Uma requisição do tipo Atualiza conta, permite a atualização de atributos de uma conta existente no diretório do Blazon.

Como criar uma requisição?

• A partir do Admin console;

• A partir do Admin console por meio de importação.

É possível a criação em lotes desta requisição?

Sim, você pode criar requisições deste tipo a partir de uma nova importação.

Quais as etapas são executadas?

Outros objetos relacionadas a esta requisição

Ao executar uma requisição, uma série de outros objetos podem ser criados:

O que acontece se o provisionamento falha?

Caso o item requisitado não seja provisionado, o Blazon realiza o rollback dos atributos da conta alterada, mantendo assim o diretório integro.

O mapeamento no processo de provisionamento é a etapa responsável por estabelecer a correspondência e realizar a transformação dos atributos dos objetos cadastrados no diretório do Blazon para as aplicações alvo.

Esse processo inclui a definição de regras de conversão que asseguram a compatibilidade entre os diferentes esquemas de dados, contemplando variações de nomenclatura, formatos e tipos de dados entre as plataformas envolvidas.

Etapas do processo de mapeamento

Antes de criar ou realizar qualquer alteração no mapeamento de atributos de provisionamento, é de extrema importância ter conhecimento das etapas abaixo:

Quando um novo acesso é necessário, o próprio usuário pode solicitá-lo diretamente pelo , utilizando a interface de autosserviço disponível.

O Workspace possui um que possui um conjunto de itens e que podem ser solicitados por um usuário. Essa solicitação é submetida a um processo de avaliação, no qual um conjunto de aprovações e validações pode ser necessário.

Configurando a solicitação de acessos

Os passos a seguir indicam as configurações que podem ser aplicadas ao processo de solicitação de novos acessos.

Uma requisição do tipo Revoga conta, permite a revogação de uma conta existente no diretório do Blazon.

Como criar uma requisição?

• A partir do Admin console;

Uma requisição do tipo Checkin de conta administrativa, permite a obtenção das credenciais de uma conta administrativa, adicionando estas credenciais no cofre de senhas do usuário beneficiário da requisição.

Como criar uma requisição?

• A partir do Workspace.