Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
O mapeamento no processo de provisionamento refere-se à correspondência ou conversão dos dados de atributos de usuário cadastrados no diretório do Blazon e o(s) sistema(s) alvo onde as contas de usuário são criadas e/ou atualizadas. Essa etapa é crucial para garantir que as informações do usuário sejam corretamente sincronizadas e interpretadas pelos sistemas alvo, independentemente de diferenças de nomenclatura, formato ou tipo de dado.
Para acessar a tela de administração dos mapeamentos de provisionamento no Admin console você deve:
Autentique-se no Admin console
Acione o menu Ciclo de Vida
No menu Ciclo de Vida, acione a opção Gestão de acessos >> Provisionamento
Antes de criar ou realizar qualquer alteração no mapeamento de atributos de provisionamento, é de extrema importância ter conhecimento das etapas abaixo:
Identificar os atributos necessários para um provisionamento bem-sucedido em cada sistema alvo. Esse mapeamento inclui:
Atributos do Blazon: Todos os atributos disponíveis no Blazon que podem ser usados para Provisionamento.
Campos do sistema Alvo: Identificar os atributos desejados ou obrigatório que devem ser provisionados no sistema alvo.
Cada atributo no Blazon deve ser correspondido a um atributo equivalente no sistema alvo. Esse mapeamento pode ser realizado de diversas formas conforme a tabela abaixo:
Um-para-Um
Atributo no Blazon: firstName
Atributo no Sistema Alvo: givenName
Aqui, o valor de firstName no Blazon é diretamente mapeado para o atributo givenName no sistema alvo.
Transformação de Atributos
Atributo no Blazon: displayName
Atributos no Sistema Alvo: fullName*
*Todos os caracteres maiúsculos
Neste caso, o atributo displayName no Blazon precisa passar por uma transformação, que pode ser realizada por um script ou função(Ex .toUppercase) para que o atributo fullName n sistema alvo, seja preenchido com todos os caracteres maiúsculos
Uso de Valor Padrão
Atributos no Sistema Alvo: USER__BASE__DN*
*Provisionar todos os novos usuários em uma OU especifica do Active Directory: OU=users,DC=acme,DC=com
Neste caso, o atributo USER__BASE__DN do Active Directory sempre receberá o valor padrão: OU=users,DC=acme,DC=com
Uma política de failover no Blazon é um conjunto de regras configuráveis que definem condições baseadas em atributos do diretório para lidar com falhas no provisionamento de acessos. Quando uma entradas de provisionamento não é concluída com sucesso, a política de failover permite que a entrada resultante dessa falha desencadeie uma ação previamente definida, garantindo a continuidade do processo de gerenciamento de acessos.
Essas políticas aumentam a resiliência do ambiente, reduzindo impactos operacionais e assegurando que falhas sejam tratadas de maneira automatizada e eficiente, de acordo com critérios estabelecidos pelos administradores.
Provisionamentos que falharam devido a inconsistências no diretório.
Automatizar a recuperação sem necessidade de ações corretivas manuais.
A criação de uma nova política de failover pode-se dar utilizando as possibilidades baixo:
Via Admin Console utilizando o processo: Criação de uma nova política de failover.
Durante o processo de criação de uma nova Política de Failover alguns itens importantes devem ser considerados:
Cada nova política deve ser identificada por um nome único e conter uma descrição clara e objetiva que reflita o propósito e os critérios de atuação da política. Essa identificação facilita a compreensão e a gestão da política por parte dos administradores.
Durante a criação da política, é necessário configurar as condições que determinam quando a Política de Failover será acionada. Para isso:
O administrador deve selecionar a combinação desejada para as condições cadastradas:
"Algum": A política será aplicada se pelo menos uma das condições configuradas for atendida.
"Todas": A política será aplicada somente se todas as condições configuradas forem atendidas simultaneamente.
O administrador deve selecionar um Objeto, um Atributo, um Operador e um Valor correspondente. As combinações disponíveis são:
Account
AccountIdentifier
Contains,
equal ou
Not equal
Este campo deve ser preenchido com o valor desejado pelo usuário.
Identifica se a conta corresponde a um accountIdentifier específico.
Account
Name
Contains, equal ou Not equal
Este campo deve ser preenchido com o valor desejado pelo usuário.
Verifica se a conta tem um nome específico.
Account
Type
Contained, equal ou Not equal
admin, application, regular, shared, temporary
Determina se o tipo da conta corresponde a uma das categorias definidas.
Entitlement
Classification
Contains, equal ou Not equal
Lista de classificações cadastradas no Blazon
Avalia se o entitlement pertence a uma determinada classificação.
Entitlement
Coso Category
Contained, equal ou Not equal
Lista de categoria COSO classificadas pelo Blazon
Verifica se o entitlement está dentro de uma categoria de controle COSO específica.
Entitlement
Name
Contains, equal e Not equal
Este campo deve ser preenchido com o valor desejado pelo usuário.
Identifica se o entitlement corresponde a um nome específico.
Entitlement
Risk
Contained, equal ou Not equal
HIGH, MEDIUM, LOW
Avalia o nível de risco associado ao entitlement.
Fail
Code
Contained, equal ou Not equal
Lista de códigos de erro reconhecidos pelo Blazon
Verifica se o erro gerado corresponde a um código específico.
Fail
Description
Contains, equal e Not equal
Este campo deve ser preenchido com o valor desejado pelo usuário.
Avalia se a descrição do erro contém informações específicas.
Fail
Name
Contained, equal ou Not equal
Este campo deve ser preenchido com o valor desejado pelo usuário.
Verifica se o erro registrado tem um nome específico.
Resource
Category
Contained, equal ou Not equal
Lista de categorias cadastradas no Blazon
Avalia se o recurso pertence a uma categoria específica.
Resource
Classification
Contained, equal ou Not equal
Lista de classificações cadastradas no Blazon
Determina se o recurso pertence a uma classificação específica.
Resource
Environment
Contained, equal ou Not equal
Lista de ambientes cadastrados no Blazon
Verifica se o recurso está associado a um ambiente específico (produção, desenvolvimento, etc.).
Resource
Name
Contains, equal ou Not equal
Lista de resources gerenciados no Blazon
Avalia se o recurso gerenciado corresponde a um nome específico.
Resource
Risk
Contained, equal ou Not equal
HIGH, MEDIUM, LOW
Identifica o nível de risco associado ao recurso.
Resource Adapter
Name
Contains, equal ou Not equal
Lista de resource adapters disponíveis no Blazon
Determina se o Resource Adapter corresponde a um nome específico.
Resource Adapter
Status
Contained, equal ou Not equal
ACTIVE, BROKEN, INACTIVE, UNSTABLE
Avalia o status do Resource Adapter e se ele está operacional ou apresenta falhas.
Type
Value
Contained, equal ou Not equal
ACTIVE_ACCOUNT, CHANGE_PASSWORD, CREATE_ACCOUNT, CREATE_ENTITLEMENT, GRANT_ENTITLEMENT, INACTIVE_ACCOUNT, REMOVE_ENTITLEMENT, REVOKE_ACCOUNT, REVOKE_ENTITLEMENT, UPDATE_ACCOUNT, UPDATE_ENTITLEMENT
Determina se a ação a ser tomada corresponde a um dos tipos de entradas de provisionamento existentes no Blazon.
Após definir as condições da Política de Failover, acesse a aba Ação para configurar o comportamento do sistema quando as condições forem atendidas.
O administrador deve selecionar uma Ação para finalizar a configuração da Politica de Failover. As Ações disponíveis são:
Finalizar provisionamento como sucesso
Conclui a ação de provisionamento e marca o processo como bem-sucedido.
Finalizar provisionamento como falha
Registra a tentativa como falha.
Encaminhar para Workflow de Failover
Direciona a entrada para um fluxo de trabalho específico de failover, permitindo ações adicionais.
Encaminhar para fila
Move a solicitação para uma fila de processamento para análise ou execução posterior.
As regras de provisionamento são condições definidas pelo administrador que determinam se um provisionamento deve ou não ser permitido. Essas regras são aplicadas para garantir que os processos de provisionamento ocorram de acordo com as políticas e requisitos da empresa.
As regras de provisionamento são úteis nas seguintes situações:
Permite ou impede provisionamentos com base em condições predefinidas.
Garante que apenas provisionamentos em conformidade com as políticas sejam permitidos.
O processo de aplicação das regras de provisionamento segue a seguinte lógica:
Criação da entrada de provisionamento: Uma nova entrada de provisionamento é registrada no Blazon.
Avaliação das regras: O Blazon analisa a entrada e verifica, com base nas configurações e condições definidas, se alguma regra se aplica.
Aplicação da regra: A primeira regra aplicável é acionada e:
Se a ação for permitir, o fluxo de provisionamento continua normalmente.
Se a ação for finalizar, a entrada de provisionamento é cancelada e o processo não prossegue.
Importante ressaltar que essa abordagem garante que apenas uma regra seja aplicada por vez, priorizando a primeira regra que atender as condições estabelecidos.
A criação de uma nova regra de provisionamento pode-se dar utilizando as possibilidades baixo:
Durante o processo de criação de uma nova regra de provisionamento alguns itens importantes devem ser considerados:
Cada nova regra deve ser identificada por um nome único e conter uma descrição clara e objetiva que reflita o propósito e os critérios de atuação. Essa identificação facilita a compreensão e a gestão da regra por parte dos administradores.
Durante a criação da regra, é necessário configurar as condições que determinam quando a regra de provisionamento será acionada. Para isso:
O administrador deve selecionar a combinação desejada para as condições cadastradas:
Algum: A regra será aplicada se pelo menos uma das condições configuradas for atendida.
Todas: A regra será aplicada somente se todas as condições configuradas forem atendidas simultaneamente.
O administrador deve selecionar um Objeto, um Atributo, um Operador e um Valor correspondente. As combinações disponíveis são:
Importante ressaltar que alguns atributos podem variar conforme o ambiente do cliente. Dessa forma, as nomenclaturas de certos atributos, especialmente os relacionados ao objeto Beneficiary, podem estar diferentes da documentação abaixo.
Os operadores Contained (O valor do atributo está contido em um conjunto de valores.), Contains (O atributo contém um determinado valor dentro de sua estrutura.), Equal (O valor do atributo é exatamente igual ao valor especificado.) e Not Equal (O valor do atributo é diferente do valor especificado.) podem ser utilizados em diversos atributos, conforme pode-se visualizar na tabela acima. No entanto, o atributo Access no objeto Beneficiary possui operadores específicos, conforme tabela complementar:
Após definir as condições da regra de provisionamento, acesse a aba Ação para configurar o comportamento do sistema quando as condições forem atendidas.
O administrador deve selecionar uma Ação para finalizar a configuração da regra de provisionamento. As Ações disponíveis são:
De modo geral o processo denominado de implica em que as informações referentes a um recurso, como informações de contas e direitos, armazenadas e gerenciadas pelo BLAZON, serão sincronizadas com a aplicação de fato (modelada como um recurso no BLAZON).
Quando você configura um recurso habilitado para provisionamento, disponibiliza ao usuário, uma aba de Provisionamento, com as possibilidades de configuração de provisionamento de seus acessos.
Para se ter acesso às configurações de provisionamento de um recurso, essa opção deve ser do recurso desejado. Ao habilitá-la, a aba PROVISIONAMENTO passa a ser exibida no topo da tela do recurso, permitindo que os eventos de provisionamento envolvendo o recurso em questão sejam configurados da forma que melhor convier às regras de negócio.
Os eventos gerenciados pelo BLAZON, susceptíveis a sincronização com aplicações externas, ou melhor, suscetíveis a provisionamento, são:
Criação de conta
Atualização de conta
Revogação de conta
Ativação de conta
Inativação de conta
Alteração de senha da conta
Criação de direito
Atualização de direito
Remoção de direito
Concessão de um direito a uma conta
Revogação de um direito de uma conta
Para cada um desses eventos, é possível configurar uma das formas de aprovisionamento disponíveis:
Automaticamente por meio de Adaptador de Recurso;
Por meio de uma Fila;
Por meio de Fluxo de trabalho.
Regras de negócio, para criação de entradas de provisionamento manual, podem ser mais complexas do que simplesmente inserir uma Tarefa (entrada) em uma Fila, onde, por exemplo, um analista manualmente fará a execução do provisionamento para um processo de aprovação.
Para esses casos mais elaborados, difíceis de serem executados automaticamente, o BLAZON dispõe de um mecanismo de construção de fluxos personalizáveis de execução das regras de negócio, quebrando esses casos complexos em uma ou mais tarefas simples para provisionamento manual.
Para essa configuração é necessário antes ter no BLAZON.
Assim, pra você configurar um evento de provisionamento pra ser tratado via um fluxo de trabalho, siga os seguintes passos:
Autentique no Console Administrativo
Acione o menu Gerenciamento de acessos
No menu Gerenciamento de acessos, acione a opção Recursos
Busque o recurso que você deseja configurar
Clicar na linha do recurso pra acessar a tela de informações do recurso
Na aba Provisionamento, escolha o evento de provisionamento que será configurado
Acione a opção Fluxo, na caixa de seleção de Tipo de provisionamento
Selecione o fluxo desejado, na caixa de seleção de Fluxo
Acione o botão Salvar, do card do evento
Pronto, você acaba de configurar um evento de provisionamento de um recurso pra ser tratado de forma manual via um fluxo de trabalho!
Via Admin Console utilizando o processo: .
Account
AccountIdentifier
Contains,
equal ou
Not equal
Este campo deve ser preenchido com o valor desejado pelo usuário.
Identifica se a conta corresponde a um accountIdentifier específico.
Account
Name
Contains, equal ou Not equal
Este campo deve ser preenchido com o valor desejado pelo usuário.
Verifica se a conta tem um nome específico.
Account
Type
Contained, equal ou Not equal
admin, application, regular, shared, temporary
Determina se o tipo da conta corresponde a uma das categorias definidas.
Beneficiary
Access
Verificar: DefinindoOperadores
Este campo deve ser preenchido com o valor desejado pelo usuário.
Verifica se o beneficiário tem um acesso específico.
Beneficiary
BirthDate
Contained,Contains ,equal ou Not equal
Data no formato equivalente ao utilizado no diretório.
Avalia a data de nascimento do beneficiário.
Beneficiary
CPF
Contained,Contains ,equal ou Not equal
Entrada manual de CPF
Identifica se o beneficiário tem um CPF específico.
Beneficiary
Cargo
Contained,Contains ,equal ou Not equal
Este campo deve ser preenchido com o valor desejado pelo usuário.
Verifica se o beneficiário ocupa um cargo específico.
Beneficiary
Categoria
Contained,Contains ,equal ou Not equal
Este campo deve ser preenchido com o valor desejado pelo usuário.
Determina a categoria associada ao beneficiário.
Beneficiary
Cidade
Contained,Contains ,equal ou Not equal
Este campo deve ser preenchido com o valor desejado pelo usuário.
Avalia a cidade do beneficiário.
Beneficiary
Cost Center
Contained,Contains ,equal ou Not equal
Este campo deve ser preenchido com o valor desejado pelo usuário.
Verifica se o beneficiário pertence a um centro de custo específico.
Beneficiary
Department
Contained,Contains ,equal ou Not equal
Este campo deve ser preenchido com o valor desejado pelo usuário.
Avalia o departamento do beneficiário.
Beneficiary
Display Name
Contained,Contains ,equal ou Not equal
Este campo deve ser preenchido com o valor desejado pelo usuário.
Verifica se o nome de exibição do beneficiário corresponde ao esperado.
Beneficiary
Contained,Contains ,equal ou Not equal
Este campo deve ser preenchido com o valor desejado pelo usuário.
Avalia o e-mail do beneficiário.
Beneficiary
Expire At
Contained,Contains ,equal ou Not equal
Data no formato equivalente ao utilizado no diretório.
Verifica a data de expiração do beneficiário.
Beneficiary
First Name
Contained,Contains ,equal ou Not equal
Este campo deve ser preenchido com o valor desejado pelo usuário.
Identifica o primeiro nome do beneficiário.
Beneficiary
Gerente
Contained,Contains ,equal ou Not equal
Este campo deve ser preenchido com o valor desejado pelo usuário.
Avalia o gerente associado ao beneficiário.
Beneficiary
Last Name
Contained,Contains ,equal ou Not equal
Este campo deve ser preenchido com o valor desejado pelo usuário.
Verifica o sobrenome do beneficiário.
Beneficiary
Matrícula
Contained,Contains ,equal ou Not equal
Este campo deve ser preenchido com o valor desejado pelo usuário.
Identifica o número de matrícula do beneficiário.
Beneficiary
Middle Name
Contained,Contains ,equal ou Not equal
Este campo deve ser preenchido com o valor desejado pelo usuário.
Avalia o nome do meio do beneficiário.
Beneficiary
Mobile Phone
Contained,Contains ,equal ou Not equal
Este campo deve ser preenchido com o valor desejado pelo usuário.
Verifica o telefone celular do beneficiário.
Beneficiary
Organization
Contained,Contains ,equal ou Not equal
Este campo deve ser preenchido com o valor desejado pelo usuário.
Identifica a organização associada ao beneficiário.
Beneficiary
Personal Email
Contained,Contains ,equal ou Not equal
Este campo deve ser preenchido com o valor desejado pelo usuário.
Avalia o e-mail pessoal do beneficiário.
Beneficiary
Primary Phone
Contained,Contains ,equal ou Not equal
Este campo deve ser preenchido com o valor desejado pelo usuário.
Verifica o telefone principal do beneficiário.
Beneficiary
Responsible
Contained,Contains ,equal ou Not equal
Este campo deve ser preenchido com o valor desejado pelo usuário.
Identifica o responsável pelo beneficiário.
Beneficiary
Situação
Contained,Contains ,equal ou Not equal
Este campo deve ser preenchido com o valor desejado pelo usuário.
Avalia a situação do beneficiário.
Beneficiary
Status
Contained,Contains ,equal ou Not equal
ACTIVE e INACTIVE
Avalia o status do beneficiário.
Beneficiary
Username
Contained,Contains ,equal ou Not equal
Este campo deve ser preenchido com o valor desejado pelo usuário.
Identifica o nome de usuário do beneficiário.
Entitlement
Classification
Contained, equal ou Not equal
Lista de classificações cadastradas no Blazon
Avalia se o entitlement pertence a uma determinada classificação.
Entitlement
Coso Category
Contained, equal ou Not equal
Lista de categoria COSO classificadas pelo Blazon
Verifica se o entitlement está dentro de uma categoria de controle COSO específica.
Entitlement
Name
Contains, equal e Not equal
Este campo deve ser preenchido com o valor desejado pelo usuário.
Identifica se o entitlement corresponde a um nome específico.
Entitlement
Risk
Contained, equal ou Not equal
HIGH, MEDIUM, LOW
Avalia o nível de risco associado ao entitlement.
Entry Type
Value
Contained, equal ou Not equal
ACTIVE_ACCOUNT, CHANGE_PASSWORD, CREATE_ACCOUNT, CREATE_ENTITLEMENT, GRANT_ENTITLEMENT, INACTIVE_ACCOUNT, REMOVE_ENTITLEMENT, REVOKE_ACCOUNT, REVOKE_ENTITLEMENT, UPDATE_ACCOUNT, UPDATE_ENTITLEMENT
Determina se a ação a ser tomada corresponde a um dos tipos de entradas de provisionamento existentes no Blazon.
Provisioning Type
Value
Contained, equal ou Not equal
QUEUE, RESOURCE _ADAPTER, WORKFLOW
Determina se a ação a ser tomada corresponde a um dos tipos de provisionamento existentes no Blazon.
Resource
Category
Contained, equal ou Not equal
Lista de categorias cadastradas no Blazon
Avalia se o recurso pertence a uma categoria específica.
Resource
Classification
Contained, equal ou Not equal
Lista de classificações cadastradas no Blazon
Determina se o recurso pertence a uma classificação específica.
Resource
Environment
Contained, equal ou Not equal
Lista de ambientes cadastrados no Blazon
Verifica se o recurso está associado a um ambiente específico (produção, desenvolvimento, etc.).
Resource
Name
Contains, equal ou Not equal
Lista de resources gerenciados no Blazon
Avalia se o recurso gerenciado corresponde a um nome específico.
Resource
Risk
Contained, equal ou Not equal
HIGH, MEDIUM, LOW
Identifica o nível de risco associado ao recurso.
Resource Adapter
Name
Contains, equal ou Not equal
Lista de resource adapters disponíveis no Blazon
Determina se o Resource Adapter corresponde a um nome específico.
Resource Adapter
Status
Contained, equal ou Not equal
ACTIVE, BROKEN, INACTIVE, UNSTABLE
Avalia o status do Resource Adapter e se ele está operacional ou apresenta falhas.
has account on resource
O beneficiário possui uma conta em um determinado recurso.
has entitlement
O beneficiário possui um determinado privilégio ou permissão.
has entitlement on resource
O beneficiário possui um privilégio específico dentro de um recurso específico.
not has account on resource
O beneficiário não possui uma conta em um determinado recurso.
not has entitlement
O beneficiário não possui um determinado privilégio ou permissão.
not has entitlement on resource:
O beneficiário não possui um privilégio específico dentro de um recurso específico.
Permitir provisionamento
O fluxo de provisionamento continua normalmente
Não permitir provisionamento
A entrada de provisionamento é cancelada e o processo não prossegue.
Um Adaptador de Recurso (RA – Resource Adapter) é uma aplicação responsável pela integração da Plataforma BLAZON e uma aplicação externa (Sistema Legado). Antes de configurar o provisionamento via RA, uma instância do RA deverá ser criada no BLAZON.
Quando um RA é criado no BLAZON, o mesmo recebe um nome e um identificador único dessa instância que será usado no processo em si. Para efeito de configuração de evento de provisionamento, o nome do RA é que será usado.
Além do RA você irá precisar da configuração do(s) mapeamento(s) de atributos referente(s) às informações de conta ou direito, ou ambos. Para isso você deve antes criar os mapeamentos de atributos necessários.
Finalmente, pra você configurar um evento de provisionamento pra ser tratado por um RA, siga os seguintes passos:
Autentique no Console Administrativo
Acione o menu Gerenciamento de acessos
No menu Gerenciamento de acessos, acione a opção Recursos
Busque o recurso que você deseja configurar
Clicar na linha do recurso pra acessar a tela de informações do recurso
Na aba Provisionamento, escolha o evento de provisionamento que será configurado
Acione a opção Adaptador de recurso, na caixa de seleção de Tipo de provisionamento
Selecione o(s) mapeamento(s) necessário(s), na(s) caixa(s) de seleção Mapeamento
Selecione o RA que será usado, na caixa de seleção Adaptador de recurso
Selecione um Fluxo de trabalho de recuperação de falha, na caixa de seleção Fluxo de falha
Acione o botão Salvar, do card do evento
Pronto, você acaba de configurar um evento de provisionamento de um recurso pra ser tratado de forma automática por um RA!
Observação 1: na configuração de provisionamentos de concessão e revogação de direitos, são necessários dois mapeamentos distintos, sendo (i) o primeiro, relacionado ao direito que será concedido ou revogado e (ii) o segundo, relacionado aos dados do proprietário e da conta que receberá ou perderá o direito em questão.
Observação 2: é obrigatória a definição de um fluxo de recuperação de falha, caso o Adaptador de Recurso não seja bem sucedido ao realizar o provisionamento automático do evento em questão. Os fluxos disponíveis são acessíveis através do menu Desenvolvimento -> Fluxos, onde podem ser gerenciados (criados, editados etc).
Quando não existe uma forma automatizada de se manter a sincronização entre o BLAZON e uma aplicação externa, é possível criar e definir uma Fila, para onde tarefas manuais, especificando configurações de provisionamento, serão colocadas e deverão ser efetivadas na aplicação externa, por exemplo, de forma manual por um analista.
Para essa configuração é necessário antes ter criado e configurado uma fila no BLAZON. Além da configuração da fila será necessário uma configuração de uma definição de tarefa.
Assim, pra você configurar um evento de provisionamento pra ser tratado via fila, siga os seguintes passos:
Autentique no Console Administrativo
Acione o menu Gerenciamento de acessos
No menu Gerenciamento de acessos, acione a opção Recursos
Busque o recurso que você deseja configurar
Clicar na linha do recurso pra acessar a tela de informações do recurso
Na aba Provisionamento, escolha o evento de provisionamento que será configurado
Acione a opção Fila, na caixa de seleção de Tipo de provisionamento
Selecione a definição de tarefa desejada, na caixa de seleção de Definição de tarefa
Selecione a fila desejada, na caixa de seleção de Fila
Acione o botão Salvar, do card do evento
Pronto, você acaba de configurar um evento de provisionamento de um recurso pra ser tratado via fila de tarefas!