Novell Doc: Módulo de Aprovisionamento Baseado em Funções do Identity Manager 3.6 Aplicativo de Usuário: Guia do Usuário - Gerenciando as restrições de separação de tarefas

17.4 Gerenciando as restrições de separação de tarefas

A ação Gerenciar Separação de Tarefas na guia Funções da interface do usuário do Identity Manager permite:

Definir uma restrição (ou uma regra) SoD (Separation of Duties - separação de tarefas).
Definir como processar solicitações de exceções à restrição.

Uma restrição SoD representa uma regra que cria duas funções mutuamente exclusivas do mesmo nível. Se um usuário estiver em uma função, ele não poderá estar envolvido na segunda função, a menos que uma exceção seja permitida para essa restrição. Você pode definir se as exceções para a restrição serão sempre permitidas ou apenas serão permitidas por meio de um fluxo de aprovação.

Acesso à página A página Gerenciar Separação de Tarefas pode ser acessada pelo Administrador de Função ou pelo Gestor em Segurança. O Gestor em Segurança requer direitos Procurar para o container SoDDef no Identity Vault, mas não requer esses direitos para as funções.

17.4.1 Criando novas restrições de separação de tarefas

Clique em Gerenciar Separação de Tarefas na lista de ações Gerenciamento de Função.
Clique em Novo.
Navegue até os Novos Detalhes de Restrição de Separação de Tarefas. Para obter informações sobre como preencher os campos, consulte a Tabela 17-5.
Navegue até a seção Detalhes de Aprovação. Para obter informações sobre como preencher os campos, consulte a Tabela 17-6.
Clique em Gravar para tornar suas mudanças permanentes.

17.4.2 Modificando as restrições SoD existentes

Clique em Gerenciar Separação de Tarefas no grupo de ações Gerenciamento de Função.
Para ver ou modificar uma restrição SoD existente, use a ferramenta Seletor de Objetos ou Mostrar Histórico para selecionar a restrição. Para obter detalhes sobre como usar as ferramentas Seletor de Objetos e Mostrar Histórico, consulte Usando o botão Seletor de Objetos para pesquisar.
Selecione a SoD desejada na lista. A página de pesquisa é fechada e exibe os Detalhes da Restrição de Separação de Tarefas e os Detalhes de Aprovação para a SoD selecionada.
Para obter informações sobre como preencher os campos, consulte a Tabela 17-5, Detalhes da Restrição de Separação de Tarefas e a Tabela 17-6, Detalhes de Aprovação.
Clique em Gravar para tornar suas mudanças permanentes.

17.4.3 Referência às propriedades de restrição SoD

Tabela 17-5 Detalhes da Restrição de Separação de Tarefas

Campo	Descrição
Nome da Restrição SoD	É o nome da restrição. É exibido em relatórios e quando o usuário solicita uma exceção de restrição. É possível localizá-lo em qualquer um dos idiomas suportados, clicando em . Esse nome também pode ser fornecido no Editor de SoD no Designer for Identity Manager.
Descrição da Restrição SoD	É a descrição da restrição. É possível localizá-lo em qualquer um dos idiomas suportados, clicando em . Esse nome pode ser fornecido no Editor de SoD no Designer for Identity Manager.
Função Conflitante	É o nome da função para a qual você deseja definir uma restrição. Uma função define um conjunto de privilégios relacionados a um ou mais aplicativos ou sistemas de destino. Este campo será apenas leitura durante uma operação de modificação.
Função Conflitante	É o nome da função em conflito. Clique em Pesquisar para localizar uma função existente nas funções disponíveis. Este campo será apenas leitura durante uma operação de modificação.

NOTA:É importante especificar as duas funções em conflito. A ordem de especificação das funções em conflito não é importante.

Tabela 17-6 Detalhes de Aprovação

Campo	Descrição
Aprovação Necessária	Selecione Sim se desejar iniciar um workflow quando um usuário solicitar uma exceção para a restrição SoD. NOTA:Se a exceção SoD resultar de uma atribuição implícita, por exemplo, por meio de uma participação em grupo ou container, a escolha da opção Sim não resultará no início do workflow de aprovação. A exceção SoD é sempre concedida e é registrada dessa forma. Selecione Não se o usuário puder solicitar uma exceção para a restrição SoD e nenhuma aprovação for necessária. Nesse caso, a exceção será sempre aprovada.
Definição de Aprovação de SoD	Exibe o nome apenas leitura da definição de solicitação de aprovisionamento executada quando um usuário solicita uma exceção de restrição SoD. O valor é obtido do objeto Configuração de Funções. Ela somente é executada quando Aprovação Necessária é Sim.
Tipo de Aprovação	É um campo apenas leitura que exibe o tipo de processamento da definição de solicitação de aprovisionamento exibida acima. Esse valor é obtido do objeto Configuração de Funções.
Usar Aprovadores Padrão	Selecione Sim se os aprovadores estiverem especificados no Subsistema de Funções. Selecione Usuário se a tarefa de aprovação SoD precisar ser atribuída a um ou mais usuários. Selecione Grupo se a tarefa de aprovação SoD precisar ser atribuída a um grupo. Para localizar um usuário ou um grupo específico, use o botão Seletor de Objetos ou Histórico conforme descrito na Seção 1.4.4, Ações comuns do usuário. Para mudar a ordem dos aprovadores na lista ou apagar um aprovador, use os botões conforme descrito na Seção 1.4.4, Ações comuns do usuário.