Atualizado
Atualizado
Um dos principais componentes que fazem parte da arquitetura do Blazon é o que conhecemos como Diretório. O diretório é um repositório de dados central, que tem como principal objetivo armazenar as informações de identidades e acessos.
A presença deste diretório, permite o armazenamento de forma centralizada de todas as informações necessárias para a correta gestão de identidade e acessos. Ele habilita o Blazon a executar todos processos necessários como revogações, revalidações de acessos e segregação de funções.
No diretório é possível encontrar todos os usuários cadastrados bem como os acessos que estes usuários possuem, o que facilita e permite o gerenciamento de acesso efetivo.
No diretório, é possível encontramos os objetos descritos na imagem abaixo:
O usuário, é o objeto que representa uma identidade e que é utilizado normalmente para representar uma pessoa. Este objeto possui um conjunto de atributos que são fundamentais para determinar as características deste usuário.
Um recurso é utilizado para representar um conjunto de acessos que precisa ser gerenciado. Normalmente um recurso representa uma aplicação, como por exemplo Active Directory, Office 365, Google Workspace, ou alguma aplicação corporativa legada.
Uma conta é a representação de uma credencial, que um determinado usuário possui em um determinado recurso, por exemplo: Um usuário que possui um acesso ao Active Directory, terá este acesso mapeado por meio de uma conta. A conta permite o Blazon entender que um usuário possui de fato um acesso em uma determinada aplicação.
Um direito representa uma permissão de acesso em uma aplicação. Esta permissão de acesso pode ser um perfil de acesso, grupo de acesso ou qualquer outra nomenclatura ou modelo que uma aplicação possa utilizar. Um direito sempre estará relacionado a um determinado recurso.
Um membro de direito indica a permissão de acesso de um determinado usuário dentro de uma aplicação, por exemplo: Um usuário do Active Directory que é membro de um grupo, será mapeado como um membro de direito no Blazon.
Os papéis possuem a responsabilidade de permitir a concessão de acessos de uma forma agrupada e abstrata. Como abstrato, queremos dizer que um papel permite que a complexidade de um sistema seja simplificado no Blazon, por exemplo: Um grupo de acesso no Active Directory que possui uma nomenclatura muito técnica, pode ser mapeado em um papel com um nome mais relevante ao usuário final.
Além disso, um dos principais objetivos dos papéis é permitir a implementação de um modelo de acesso baseado em papéis (RBAC), pois ele permite a inclusão de diversos acessos em sua estrutura e permite a concessão destes acessos de maneira unificada para um usuário.
Um membro de papel representa a relação entre um usuário e um papel. Sempre que um usuário possui um papel, haverá um objeto denominado membro de papel.
Os objetos do diretório possuem uma relação entre si e é exatamente esta relação que permite o entendimento dos acessos existentes no diretório.
Um usuário, pode possuir zero ou mais contas em algum recurso. Dito isso, é importante notar que uma conta possui um usuário relacionado a mesma e esta relação normalmente é referenciada como proprietário. Sobre a relação entre usuários e contas, existem regras e exceções a esta relação:
Um usuário possui zero ou mais contas;
Uma conta pode, em alguns momentos, não possuir nenhum proprietário, o que é caracterizado como uma conta órfã;
Além disso, um usuário pode possuir zero ou mais papéis e esta relação é representada por meio de um objeto do tipo membro de papel.
Já a relação entre um papel, recursos e direitos, indica que um determinado papel possui acessos relacionados a ele e desta maneira, quando um membro de papel é criado ou removido, acessos podem ser concedidos ou revogados, baseados nesta relação.
Em relação a um recurso, o mesmo pode possuir zero ou mais contas e/ou direitos. E uma determinada conta pode possuir zero ou mais direitos e esta relação é determinada a partir de um objeto membro de direito.
As relações descritas aqui, são manipuladas por diversos mecanismos, seja por uma intervenção manual ou principalmente por algum processo que acontece de forma automatizada. As próximas seções da nossa documentação descrevem como os objetos do diretório podem ser manipulados.
Cada objeto do diretório possui uma forma de gerenciamento, esta forma simboliza como um determinado objeto pode ser manipulado e esse entendimento é de suma importância, pois a forma na qual um objeto é gerenciado pode afetar diversos processos.
Atualmente, as formas disponíveis para gerenciamento destes objetos pode variar para cada tipo, a tabela abaixo contém cada um dos objetos e como eles podem ser gerenciados:
Objetos gerenciados manualmente: Os objetos gerenciados manualmente podem ser revogados e podem ser submetidos a processos de certificação;
Objetos gerenciados por papel: Estes objetos possuem seu ciclo de vida atrelado a um papel e não podem ser revogados manualmente e também não são elegíveis para processos de certificação;
Objetos gerenciados por política de atribuição: Os membros de papaéis gerenciados por uma política de atribuição não podem ser revogados manualmente e também não são elegíveis para processos de certificação.
As seções a seguir desta documentação, discutem de maneira detalhada cada um dos aspectos relaciondos aos objetos do diretório.
O entendimento do diretório é fundamental para a utilização do Blazon, caso você ainda tenha dúvidas, sugerimos a releitura desta seção, bem como a navegação no Admin console, isso irá auxiliá-lo no entendimento de algumas informações descritas aqui. Caso você ainda tenha alguma dúvida, não deixe de utilizar nosso canal de suporte.
Um usuário só pode possuir uma conta em um determinado recurso, .
Usuário
Manualmente
Recurso
Não se aplica
Conta
Manualmente, Papel
Direito
Não se aplica
Membro de direito
Manualmente, Papel
Papel
Não se aplica
Membro de papel
Manualmente, Política de atribuição
Repositório central de identidades e acessos.
