16.1 Navegando no catálogo de funções

A ação Catálogo de Funções da guia Funções e Recursos na interface do usuário do Identity Manager permite ver as funções que já foram definidas no catálogo. Ela também permite criar novas funções e modificar, apagar e atribuir funções existentes.

16.1.1 Vendo funções

  1. Clique em Catálogo de Funções na lista de ações Funções e Recursos.

    O Aplicativo de Usuário exibe uma lista das funções definidas no catálogo.

Filtrando a lista de funções

  1. Clique no botão Filtro de Exibição no canto superior direito da tela Catálogo de Funções.

  2. Especifique uma string de filtro para o nome ou a descrição da função, ou selecione um ou mais níveis ou categorias de função na caixa de diálogo Filtro.

  3. Clique em Filtrar para aplicar seus critérios de seleção.

  4. Para remover o filtro atual, clique em Redefinir.

Definindo o número máximo de funções da página

  1. Clique na lista suspensa Linhas e selecione o número de linhas que deseja exibir em cada página:

Rolando pela lista de funções

  1. Para rolar para outra página da lista de funções, clique no botão Avançar, Anterior, Primeiro ou Último na parte inferior da lista:

Classificando a lista de funções

Para classificar a lista de funções:

  1. Clique no cabeçalho da coluna pela qual deseja classificar.

    O indicador de classificação em forma de pirâmide mostra qual coluna é a nova coluna de classificação. Quando a classificação é em ordem crescente, o indicador de classificação aparece na posição normal.

    Quando a classificação é em ordem decrescente, o indicador de classificação aparece de cabeça para baixo.

    A coluna de classificação inicial é determinada pelo administrador.

Se você substituir a coluna de classificação inicial, sua coluna de classificação será adicionada à lista de colunas obrigatórias. As colunas obrigatórias são indicadas com um asterisco (*).

Quando você modifica a ordem de classificação da lista de tarefas, sua preferência é gravada no Identity Vault com as outras preferências de usuário.

16.1.2 Criando novas funções

  1. Clique no botão Novo na parte superior da tela Catálogo de Funções:

    O Aplicativo de Usuário exibe a caixa de diálogo Nova Função:

  2. Forneça detalhes para a definição da função, conforme descrito a seguir:

    Tabela 16-1 Detalhes da Função

    Campo

    Descrição

    Nome de Exibição

    É o texto usado quando o nome da função é exibido no Aplicativo de Usuário. Não é possível incluir os seguintes caracteres no Nome de Exibição ao criar uma função:

    < > , ; \ " +  # = / | & *

    É possível traduzir esse nome para qualquer um dos idiomas suportados do Aplicativo de Usuário. Para obter mais informações, consulte a Tabela 1-1, Botões comuns.

    Descrição

    O texto usado quando a descrição da função é exibida no Aplicativo de Usuário. Assim como o Nome de Exibição, você pode traduzi-lo para qualquer um dos idiomas suportados pelo Aplicativo de Usuário. Para obter mais informações, consulte a Tabela 1-1, Botões comuns.

    Nível de Função

    (Apenas leitura durante a modificação de uma função.) Escolha um nível de função na lista suspensa.

    Os níveis de função são definidos usando o editor de Configuração de Função do Designer for Identity Manager.

    Subcontainer de Funções

    (Apenas leitura durante a modificação de uma função.) É a localização dos objetos Função no driver. Os containers de função residem em níveis de função. O Aplicativo de Usuário mostra apenas os containers de função residentes no nível de função escolhido. Você pode criar uma função diretamente em um nível de função ou em um container dentro do nível de função. A especificação do container de função é opcional.

    Categorias

    Permitem classificar as funções para organizá-las. As categorias são usadas para filtrar listas de funções. Elas permitem seleção múltipla.

    Proprietários

    Usuários designados como proprietários da definição da função. Ao gerar relatórios relacionados ao Catálogo de Funções, você pode filtrar o relatório com base no proprietário da função. O proprietário da função não recebe autorização automaticamente para administrar as mudanças feitas em uma definição de função.

  3. Clique em Gravar para gravar a definição da função.

    O Aplicativo de Usuário exibe várias guias adicionais na parte inferior da janela para possibilitar a conclusão da definição da função.

Definindo os relacionamentos de funções

A guia Relacionamentos de Funções permite definir como as funções estão relacionadas em uma hierarquia de contenção de funções superior e inferior. Essa hierarquia permite agrupar as permissões ou os recursos contidos pelas funções de nível inferior em uma função de nível superior, facilitando a atribuição de permissões. Estes são os relacionamentos permitidos:

  • As funções de nível superior (funções comerciais) podem conter funções de nível inferior. Elas não podem ser contidas por outras funções. Se você selecionar uma função de nível superior, a página Relacionamentos de Funções permitirá adicionar apenas um relacionamento de função de nível inferior (filho).

  • As funções de nível intermediário (funções de TI) podem conter funções de nível inferior e podem ser incluídas nas funções de nível superior. A página Relacionamentos de Funções permite adicionar função de nível inferior (filha) ou de nível superior (mãe).

  • As funções de nível inferior (funções de permissão) podem ser incluídas nas funções de nível superior, mas não podem conter outras funções de nível inferior. A página Relacionamentos de Funções permite adicionar apenas uma função de nível superior.

Para definir um relacionamento de função:

  1. Clique na guia Relacionamentos de Funções.

  2. Clique em Adicionar.

    A caixa de diálogo Adicionar Relacionamento de Função é exibida.

  3. Insira um texto que descreva o relacionamento no campo Descrição da Solicitação Inicial.

  4. Especifique o tipo de relacionamento que deseja definir selecionando o tipo no menu suspenso Relacionamento de Função.

    Se a nova função for de TI, o menu suspenso Relacionamento de Função permitirá definir um relacionamento Filho ou Pai. Se a nova função for comercial, o menu suspenso Relacionamento de Função exibirá um texto apenas leitura indicando que este é um relacionamento Filho, já que somente as funções de nível inferior podem ser relacionadas a uma função comercial. Se a nova função for de permissão, o menu suspenso Relacionamento de Função exibirá um texto apenas leitura indicando que este é um relacionamento Pai, já que somente as funções de nível superior podem ser relacionadas a uma função de permissão.

    A lista de funções disponíveis para seleção é filtrada de acordo com o tipo selecionado.

  5. Use o Seletor de Objetos à direita do campo Funções Selecionadas para selecionar a(s) função(ões) que deseja associar à nova função.

  6. Clique em Adicionar.

Associando recursos à função

Para associar um recurso à função:

  1. Clique na guia Recursos.

  2. Clique em Adicionar.

    O Aplicativo de Usuário exibe a caixa de diálogo Adicionar Associação de Recurso.

  3. Use o Seletor de Objetos para selecionar o recurso desejado e insira um texto explicando o motivo da associação.

    O assistente exibe uma página com informações sobre o recurso selecionado, como o nome das categorias de recurso, proprietário, direitos e valores de direitos.

    Para direitos que usam valores de parâmetros estáticos, que incluem atributos adicionais ou informações detalhadas para os direitos, o assistente exibe os valores estáticos ao lado do rótulo Valor de Direito. Para direitos que usam parâmetros dinâmicos, o assistente exibe o formulário de solicitação de recurso, que inclui campos para os parâmetros dinâmicos e todos os campos de suporte a decisões definidos para o formulário.

  4. No campo Descrição da Associação, digite o texto explicando o motivo pelo qual o recurso foi associado à função.

  5. Clique em Adicionar para associar o recurso à função.

    A lista Associações de Recursos mostra o recurso que você adicionou à definição da função:

    O que acontece com as atribuições de funções existentes Quando você adiciona uma nova associação de recurso a uma função que já tem identidades atribuídas a ela, o sistema inicia uma nova solicitação para conceder o recurso a cada uma das identidades.

    NOTA:Nas versões do RBPM anteriores ao Patch Público 401C, você vê resultados diferentes quando um recurso com parâmetros é concedido ao usuário por meio da associação de função, e não por meio da atribuição direta ao usuário. Esse foi o caso nas seguintes situações:

    • Um recurso com um parâmetro de direitos e um parâmetro de campo definido na guia Formulário de Solicitação é associado a uma função. Se o usuário receber a função diretamente, por participação de grupo ou por fazer parte de um container, esse usuário receberá também o recurso. No entanto, a atribuição de recurso terá apenas o valor do parâmetro de direitos.

      Esse problema foi resolvido no Patch Público 401c e na versão 4.0.2. Porém, se as suas atribuições foram criadas em uma versão anterior (Patch Público 370, 400 ou anterior a 401C) e você deseja que todos os parâmetros de recurso sejam exibidos, será preciso revogar o usuário da função e reatribuir o usuário.

    • Um recurso que tem dois ou mais campos definidos na guia Formulário de Solicitação só é associado a uma função. Se o usuário recebeu a função diretamente, por participação de grupo ou por fazer parte de um container, esse usuário receberá o recurso o mesmo número de vezes que o número de parâmetros de campo. Em outras palavras, o usuário terá uma atribuição de recurso para cada parâmetro de campo. Se o recurso foi atribuído diretamente, o usuário terá apenas uma atribuição com todos os parâmetros listados.

      Esse problema foi resolvido no Patch Público 401C e na versão 4.0.2. Porém, se as suas associações de recurso foram criadas em uma versão anterior (Patch Público 370, 400 ou anterior a 401C), você ainda verá esse comportamento. Para aproveitar a vantagem da correção, apague a associação de recurso e crie-a novamente.

Para apagar uma associação de recurso de uma função:

  1. Selecione a associação de recurso na lista Associações de Recursos.

  2. Clique em Remover.

    O que acontece com as atribuições de funções existentes Quando você remove uma nova associação de recurso de uma função que já tem identidades atribuídas a ela, o sistema inicia uma nova solicitação para revogar o recurso de cada uma das identidades.

Definindo o processo de aprovação da função

Para definir o processo de aprovação da função:

  1. Clique na guia Aprovação.

  2. Insira os detalhes do processo de aprovação, conforme descrito a seguir:

    Tabela 16-2 Detalhes de Aprovação

    Campo

    Descrição

    Aprovação Necessária

    Marque essa caixa de seleção se a função exigir aprovação quando solicitada, e se você quiser que o processo de aprovação execute a definição de aprovação da atribuição de função padrão.

    Desmarque essa caixa de seleção se a função não exigir aprovação quando solicitada.

    NOTA:As aprovações de função são acionadas apenas para atribuições explícitas de função para usuário.

    Aprovação Personalizada

    Selecione esse botão de opção se quiser usar uma definição de aprovação personalizada (definição da solicitação de aprovisionamento). Use o Seletor de Objetos para selecionar a definição da aprovação.

    Aprovação Padrão

    Selecione esse botão de opção se a função usar a definição de aprovação da atribuição de função padrão especificada na configuração do Subsistema de Função e Recurso. O nome da definição de aprovação é exibido como apenas leitura na Definição de Aprovação de Atribuição de Função abaixo.

    Você deve selecionar o tipo de aprovação (Serial ou Quorum) e os aprovadores válidos.

    Tipo de Aprovação

    Selecione Serial se desejar que a função seja aprovada por todos os usuários da lista Aprovadores. Os aprovadores são processados em sequência, na ordem de sua exibição na lista.

    Selecione Quorum se quiser que a função seja aprovada por uma porcentagem dos usuários na lista Aprovadores. A aprovação estará concluída quando for atingida a porcentagem de usuários especificada.

    Por exemplo, se desejar que um dos quatro usuários da lista aprovem a condição, especifique Quorum e 25 para a porcentagem. Se preferir, especifique 100% se todos os quatro aprovadores precisarem aprovar ao mesmo tempo. O valor deve ser um número inteiro entre 1 e 100.

    DICA:Os campos Serial e Quorum apresentam um texto suspenso que explica seu comportamento.

    Aprovadores

    Selecione Usuário se a tarefa de aprovação de função precisar ser atribuída a um ou mais usuários. Selecione Grupo se a tarefa de aprovação de função precisar ser atribuída a um grupo. Selecione Container se a tarefa de aprovação de função precisar ser atribuída a um container. Selecione Função se a tarefa de aprovação de função precisar ser atribuída a uma função.

    Para localizar determinado usuário, grupo, container ou função, use o Seletor de Objetos. Para mudar a ordem dos aprovadores na lista ou remover um aprovador, consulte a Seção 1.4.4, Ações comuns do usuário.

    Revogar Aprovação Obrigatória (Igual à Configuração de Concessão)

    Marque essa caixa de seleção se a função exigir aprovação quando revogada.

    O processo de aprovação usado para as solicitações de revogação de função, assim como a lista de aprovadores, é o mesmo das solicitações de concessão de função. Se você especificou que o processo de aprovação deve executar a definição da aprovação de atribuição de função padrão, esse processo será usado. Se preferir, é possível especificar um processo de aprovação personalizado para ambas solicitações de concessão de função e revogação de função. Em uma definição de solicitação de aprovisionamento personalizada, é possível identificar se a ação será de concessão ou revogação e personalizar o processo de aprovação de acordo.

    Desmarque essa caixa de seleção se a função não exigir aprovação quando revogada.

Criando atribuições de funções

Para obter detalhes sobre como fazer atribuições de funções, consulte a Seção 16.1.5, Atribuindo funções.

Verificando o status das solicitações

A ação Status da Solicitação permite ver o status das suas solicitações de atribuição de função, incluindo as que você fez diretamente e as que fez para grupos ou containers aos quais você pertence. Permite ver o estado atual de cada solicitação. Além disso, ela permite recolher uma solicitação ainda não concluída ou terminada caso você tenha mudado de ideia e não precise mais atender à solicitação.

A ação Status da Solicitação mostra todas as solicitações de atribuição de função, incluindo as que estão em execução, com aprovação pendente, aprovadas, concluídas, recusadas ou terminadas.

Para ver o status das solicitações de atribuição de função:

  1. Clique na guia Status da Solicitação.

    A Ação de Solicitação mostra se a ação é de concessão ou revogação. Se for necessária uma aprovação e o processo de aprovação não foi concluído, o status mostrará Aprovação Pendente.

  2. Para ver as informações detalhadas sobre o status de uma solicitação, clique no status.

    A janela Detalhes da Atribuição é exibida:

    Para obter detalhes sobre os valores dos status, consulte a Seção 10.4, Vendo o status da solicitação.

  3. Para recolher uma solicitação, selecione-a e clique em Recolher.

    Você precisa ter permissão para recolher a solicitação.

    Se a solicitação tiver sido concluída ou terminada, você verá uma mensagem de erro se tentar recolhê-la.

16.1.3 Editando uma função existente

  1. Selecione uma função predefinida e clique em Editar.

  2. Faça as mudanças nas configurações da função e clique em Gravar.

Direitos associados a funções existentes As funções definidas em versões anteriores do Módulo de Aprovisionamento Baseado em Funções podem ter direitos associados. Se uma função tiver um direito associado a ela, a interface do usuário exibirá a guia Direitos, que lhe permite ver o mapeamento de direitos com a opção de removê-lo. Os mapeamentos de direitos para funções ainda funcionarão nesta versão, mas a Novell recomenda associar direitos a recursos, em vez de funções.

16.1.4 Apagando funções

  1. Selecione uma função predefinida e clique em Apagar.

    Quando você especifica no Aplicativo de Usuário para apagar uma função, ele primeiro define o status da função como Exclusão Pendente. O driver de Serviço de Função e Recurso registra a mudança de status e executa estas etapas:

    • Remove as atribuições de recurso da função

    • Apaga a função propriamente dita

    O driver de Serviço de Função e Recurso otimiza esse processo. No entanto, o processo pode levar algum tempo, dependendo do número de usuários atribuídos à função, pois o driver de Função e Recurso deve garantir que ele não remova nenhum recurso de um usuário que tenha recebido esse recurso por outros meios. Se a função permanecer no estado Exclusão Pendente por um período excessivo, verifique o driver para garantir que ele seja atual e esteja em execução.

    Quando a função tem o status de Exclusão Pendente, você não pode editar, apagar nem atribuí-la.

    NOTA:Para a versão 4.0.2, um novo atributo chamado nrfStatus foi adicionado ao objeto nrfRole para gerenciar o status da função. Esse atributo tem dois estados: Criado e Exclusão Pendente.

    O que acontece com as atribuições de funções existentes Se você apagar uma função que tenha um recurso associado e uma ou mais identidades atribuídas a ela, o sistema removerá a atribuição de recurso de cada identidade com o recurso associado.

    NOTA:Se você apagar uma função que possui uma atribuição de recurso (ou remover um usuário da função), o sistema removerá as atribuições de recurso dos usuários dessa função, mesmo que tais recursos tenham sido atribuídos diretamente. Isso ocorre porque o sistema considera a última fonte autorizada de uma atribuição de recurso como sendo a controladora desse recurso, conforme ilustrado pelo seguinte cenário:

    1. Um recurso é criado e mapeado para um direito.

    2. Um usuário é atribuído ao recurso criado acima.

    3. É criada uma função vinculada ao recurso criado na primeira etapa acima.

    4. Em seguida, o mesmo usuário é atribuído à função criada acima.

    5. O usuário é removido da função.

    Nessa situação, o usuário é removido do recurso mesmo quando o recurso tiver sido atribuído diretamente a ele. A princípio, a atribuição de recurso é considerada como a fonte autorizada. No entanto, quando o usuário é atribuído a uma função associada ao mesmo recurso, a função torna-se a fonte autorizada.

    Apagando funções em restrições de SoD Quando uma função conflitante de uma restrição de SoD é apagada, a restrição de SoD será exibida com a palavra Inválido entre colchetes após o nome (por exemplo, SoD de médicos farmacêuticos [Inválido]) na lista Catálogo de SoD.

AVISO:O Gerente de Função com a permissão Apagar Função para funções do sistema (ou para o container que tem essas funções) pode apagar funções do sistema. As funções do sistema não devem ser apagadas. Se alguma das funções do sistema for apagada, o Aplicativo de Usuário não funcionará corretamente.

16.1.5 Atribuindo funções

É possível atribuir uma função de uma destas duas maneiras:

  • Do Catálogo de Funções

  • Da caixa de diálogo Editar Função

Os dois métodos estão descritos a seguir.

Atribuindo uma função do catálogo

  1. Selecione uma função predefinida no Catálogo de Funções e clique em Atribuir.

    O Aplicativo de Usuário exibe a caixa de diálogo Atribuir Função:

  2. Preencha os campos da caixa de diálogo Atribuir Função:

    1. Insira um texto que descreva o motivo da solicitação no campo Descrição da Solicitação Inicial.

    2. No campo Tipo de Atribuição, selecione Usuário, Grupo ou Container para indicar o tipo de identidade que será atribuído à função.

    3. No Seletor de Objetos, digite uma string de pesquisa e clique em Pesquisar. Selecione os usuários, grupos ou containers que deseja atribuir.

      Atribuindo uma função a várias identidades É possível selecionar um ou mais usuários (grupos ou containers) para a atribuição de função. Se você selecionar várias identidades, todas elas receberão os mesmos valores de atribuição de função.

    4. Especifique a data de início da atribuição de função no campo Data Efetiva.

      É possível digitar uma data no formato mm/dd/aaaa hh:mm:ss a (em que a especifica AM ou PM). Se preferir, clique no ícone de Calendário e escolha a data na janela popup Calendário:

    5. Especifique a data de vencimento da atribuição de função no campo Data de Vencimento.

      NOTA:A data de vencimento aplica-se apenas às atribuições de usuário. Para grupos e containers, o campo Data de Vencimento não está disponível.

      Para especificar um vencimento, clique em Especificar Vencimento. É possível digitar uma data no formato mm/dd/aaaa hh:mm:ss a (em que a especifica AM ou PM). Se preferir, clique no ícone de Calendário e escolha a data na janela popup Calendário.

      Por padrão, a data de vencimento é definida como Sem Vencimento, indicando que a atribuição de função permanecerá em vigor por tempo indeterminado.

  3. Clique em Submeter.

Atribuindo uma função pela caixa de diálogo Editar Função

  1. No Catálogo de Funções, selecione uma função e clique em Editar para abrir a caixa de diálogo Editar Função.

  2. Clique na guia Atribuições.

    A guia Atribuições mostra a lista de atribuições que foram concedidas à função selecionada.

  3. Para adicionar uma nova atribuição, clique em Atribuir.

    O Aplicativo de Usuário exibe a caixa de diálogo Atribuir Função:

    Para obter detalhes sobre como trabalhar com o formulário de solicitação de atribuição de função, consulte Atribuindo uma função do catálogo.

16.1.6 Atualizando a lista de funções

  1. Clique em Atualizar.

NOTA:Se você criar uma atribuição de função e depois removê-la, verá uma mensagem indicando que a atribuição foi removida, mas a atribuição ainda poderá aparecer na lista. Se você atualizar a página, verá que a atribuição foi removida.

16.1.7 Personalizando a tela da lista de funções

O Catálogo de Funções permite selecionar e anular a seleção de colunas e reorganizar as colunas na tela de lista de tarefas. Esse comportamento é controlado por uma configuração da caixa de diálogo Personalizar Tela do Catálogo de Funções. Quando você modifica a lista de colunas ou reorganiza as colunas, suas personalizações são gravadas no Identity Vault com as outras preferências de usuário.

Para personalizar a tela de colunas:

  1. Clique em Personalizar no Catálogo de Funções:

    O Aplicativo de Usuário exibe a lista de colunas selecionadas para exibição, e a lista de colunas adicionais disponíveis para seleção.

  2. Para incluir outra coluna na tela, selecione-a na caixa de lista Colunas Disponíveis e arraste-a até a caixa de lista Colunas Selecionadas.

    Para selecionar várias colunas na lista, pressione e segure a tecla Ctrl e selecione as colunas. Para selecionar uma faixa de colunas que aparecem juntas na lista, pressione e segure a tecla Shift e selecione as colunas.

    É possível reorganizar as colunas na tela movendo-as para cima ou para baixo na caixa de lista Colunas Selecionadas.

  3. Para remover uma coluna da tela, selecione-a na caixa de lista Colunas Selecionadas e arraste-a para a caixa de lista Colunas Disponíveis.

    A coluna Nome da Função é obrigatória e não pode ser removida da tela de lista de funções.

  4. Para gravar as mudanças, clique em Gravar.