Gerenciando identidades

Gerenciar identidades é um aspecto chave para a governança de acessos e a administração das mesmas pode ser feita principalmente a partir do Admin console. Os tópicos a seguir descrevem os aspectos gerais para configuração e manutenção de suas identidades:

• Gerenciando usuários: entenda como gerenciar o ciclo de vida de suas identidades;

• Nomes de usuários bloqueados: gerencie o bloqueio de nomes de usuários;

• Políticas de nome de usuário: configure as políticas de nome de usuário;

• Revalidações de usuários: entenda e configure os processos relacionados à revalidação de usuários.

Gerenciando usuários

Os tópicos a seguir descrevem os mecanismos disponíveis para a criação, ativação, inativação, revogação e remoção de um usuário.

O ciclo de vida de um usuário, pode ser gerenciado, utilizando os mecanismos abaixo:

Os três mecanismos descritos acima podem ser utilizados de forma conjunta, permitindo uma gestão automatizada e também a intervenção manual ou em massa quando necessário.

Criando um novo usuário

A criação de um novo usuário pode-se dar utilizando até 4 possibilidades:

• Via cadastro manual diretamente no Admin console;

• Utilizando o processo de ;

• Utilizando o processo de reconciliação de usuário;

• Via Workspace.

Inativando um usuário

O Blazon possibilita até 4 formas de se inativar um usuário:

• Via Admin console;

• Utilizando o processo de reconciliação de usuário;

• Via self-service.

Ativando um usuário

O Blazon possibilita até 4 formas de se ativar um usuário:

• Via Admin console;

• Utilizando o processo de reconciliação de usuário;

• Via Workspace.

Revogando e removendo usuários

Revogando um usuário

O Blazon possibilita até 4 formas de revogar um usuário:

• Via Admin console;

• Utilizando o processo de reconciliação de usuário

• Via Workspace.

Removendo um usuário

O Blazon possibilita até 3 formas de remover um usuário:

• Via Admin console;

• Utilizando o processo de reconciliação de usuário

Bloqueando/Desbloqueando o login do usuário

Para bloquear/desbloquear o acesso de um usuário ao Blazon, você deve ativar ou desativar o seu login. Este processo permite que um usuário perca ou ganhe a possibilidade de autenticação no Blazon.

Caso o que você deseja é bloquear ou desbloquear os acessos do seu usuário em todas aplicações que ele utiliza, você deve utilizar as opções Ativar, Inativar ou Revogar.

O Blazon possibilita até 3 formas de bloquear ou desbloquear o login de um usuário:

• Via Admin console;

• Utilizando o processo de importação de usuário;

• Utilizando o processo de reconciliação de usuário.

Resetando a senha do usuário

A operação de "resetar" a senha de um usuário, pelo Admin console, irá gerar uma requisição a qual seguirá seu ciclo de vida. Para essa operação, os seguintes passos se aplicam:

1. Autentique no Admin console

2. Acione o menu Identidade

3. No menu Identidade, acione a opção Usuários, pra acessar a página de Usuários

4. Na página de listagem de Usuários, clique no usuário que se deseja resetar a senha

5. Nas ações à direita, no cabeçalho de informações do usuário, acione o link Reset de senha

6. Preencha a Justificativa

7. Acione o botão Salvar, no final da página

8. Acompanhe o processamento da requisição gerada

Expirações de usuários

Você também pode solicitar a data de expiração, durante a criação do usuário a partir do Admin console ou Workspace.

Além disso, é possível determinar a data de expiração a partir do mapeamento do campo expireAt, em algum perfil de reconciliação de usuário.

Acompanhando as expirações

A gestão dos usuários expirados é importante para manter o diretório atualizado e com os devidos usuários ativos.

O administrator deve analisar cada entrada e decidir por uma das 3 ações:

1. manter o usuário expirado;

2. inativar o usuário expirado;

3. revogar o usuário expirado.

Existe ainda a configuração de resolução automática, na qual o administrador define a quantidade de dias para que uma entrada de expiração de usuário seja resolvida automaticamente e a ação de resolução automática, que pode ser uma das duas ações:

1. inativar o usuário expirado;

2. revogar o usuário expirado.

Nomes de usuários

Os nomes de usuários, utilizados por uma identidade, podem ser gerenciados a partir de dois componentes:

• Políticas de nome de usuário: determina as regras para a geração de um novo nome de usuário;

• Nomes de usuários bloqueados: registra nomes de usuários que não devem ser utilizados.

Os tópicos a seguir apresentam as características e configurações de ambos.

Políticas de nomes de usuários

A criação de um usuário, depende da definição de um identificador que seja único e este identificador é conhecido como nome de usuário ou username.

A geração desse nome de usuário possui uma considerável complexidade, uma vez que a quantidade de usuários dentro do diretório pode ser elevada e encontrar um nome de usuário disponível pode se tornar mais difícil.

Normalmente, a criação de um nome de usuário segue um conjunto de regras e visa manter um padrão dentro da organização. Por exemplo, a regra de nome de usuário pode determinar que os nomes devem seguir o padrão primeironome.ultimonome.

O desafio para uma política de nomes de usuário adequada se dá, pois os atributos utilizados para a composição de nomes podem não ser únicos, o que aumenta o desafio operacional na definição de nomes de usuários adequados.

Por essa razão, o Blazon conta com uma política de nome de usuários que possui um conjunto de regras, que podem ser configuradas de acordo com a filosofia e a necessidade da equipe que administra a gestão de identidades. Desta forma, além de padronizarmos os nomes de usuários, fazemos isso de forma automatizada.

O Blazon disponibiliza esta configuração por meio do Admin Console e os administradores podem definir as regras que melhor atendem suas necessidades.

Política padrão

Nomes de usuários bloqueados

O Blazon mantém uma listagem com o registro de nomes de usuário bloqueados. Tais nomes não podem ser usados como nomes de usuário enquanto existirem nessa lista.

Um nome de usuário pode entrar nessa lista de 2 formas:

• Quando um usuário é removido;

• Inserção manual via Admin console.

Um nome de usuário pode sair dessa lista, também de 2 formas:

• Quando expira o prazo de bloqueio especificado para o nome de usuário;

• Remoção manual via Admin console.

Revalidação de usuários

Usuários necessitam de uma definição adequada de seu ciclo de vida. Muitos dos usuários gerenciados dentro do Blazon normalmente são gerenciados por uma fonte autoritativa e desta maneira, a sua criação, alteração e remoção, são gerenciadas de maneira externa ao Blazon.

Cenários onde uma fonte autoritativa controlam o ciclo de vida do Blazon, estão relacionados ao gerenciamento de usuários que estão diretamente vinculados a organização, normalmente por um contrato de trabalho.

Porém, existem cenários onde há uma ausência de fonte autoritativa, e o ciclo de vida do usuário precisa ser controlado integralmente dentro do Blazon. Este cenário é muito comum para o controle de colaboradores parceiros, onde não é possível de maneira automatizada controlar a criação, alteração e remoção dos mesmos.

Para os cenários onde há a ausência de uma fonte autoritativa e o Blazon necessita controlar todo o ciclo de vida do usuário, é importante implementarmos mecanismos que garantam que apenas os usuários corretos estejam presentes dentro da organização.

As políticas de revalidação de usuários são utilizadas exatamente para resolvermos este tipo de desafio. Elas nos possibilitam a verificação periódica dos usuários, para garantimos que apenas os usuários corretos estejam com acessos ativos dentro da organização.

Funcionamento

Para o controle adequado do ciclo de vida de usuários não controlados por uma fonte autoritativa, o Blazon, nos auxilia da seguinte forma:

1. O usuário é criado no Blazon de maneira manual; via Workspace, Admin Console ou Importação;

2. Os atributos do usuário podem ser alterados manualmente; via Workspace, Admin Console ou Importação;

3. Os usuários podem ser revogados, quando necessário, manualmente; via Workspace, Admin Console ou Importação; OU Podemos criar uma política de revalidação de usuários que verifiquem o diretório e garantam que os usuários ali contidos realmente devem estar ativos.

Este processo de revalidação consiste basicamente na definição de uma política, que verifica periodicamente os usuários que precisam de revalidação. Os usuários que precisam ser revalidados são enviados para aprovação e de acordo com o resultado desta aprovação eles são mantidos ou revogados do Blazon.

Este processo auxilia na eliminação de usuários indevidos dentro da organização. Nos próximos tópicos, é discutido a criação de uma política de revalidação.

Acompanhando uma revalidação

Para cada usuário em revalidação é gerada uma entrada que permite acompanhar o processo de revalidação.

Essa entrada mantém todas as configurações de resolução automática de acordo com uma política de revalidação vigente que casou com o usuário em revalidação.

O administrador poderá, de acordo com as necessidades, aplicar uma das duas ações:

1. resolver uma entrada antes do período de resolução automática;

2. cancelar uma entrada.