Camada de controle de acesso
  • 16 minutos de leitura
  • Tema escuro
    Tema claro
  • Pdf

Camada de controle de acesso

  • Tema escuro
    Tema claro
  • Pdf

Resumo do artigo

A Camada de Controle de Acesso do senhasegura é baseada em papéis de permissão.

O senhasegura disponibiliza papéis que facilitam a concessão de superpoderes aos administradores, assim como o uso de funções técnicas para diferentes tipos de usuário.

Quando o usuário tem acesso a um módulo ou possui permissão de executar uma ação, isso significa que o senhasegura já validou que este usuário está associado a um papel que lhe concede esses poderes.

Um papel pode conceder ao usuário os seguintes poderes:

  • Quais módulos ele poderá acessar

  • Operar ações relacionados ao módulo

  • Quais recursos do módulo o usuário poderá listar

  • Ver detalhes de um registro relacionado ao módulo

Imagine que um usuário possa consultar todas as credenciais e dispositivos registrados no senhasegura , porém não pode registrar novos ou excluir os que já existem. Será necessário observar e tomar cuidado para atribuir ao usuário as permissões corretas para evitar um abuso de privilégios.

Como algumas operações dizem respeito a certos perfis de usuário, o que dificulta a atribuição direta, o senhasegura entrega uma lista de 25 Papéis pré-cadastrados com modelos de acesso que reforçam o principio do privilégio minimo.

Ou seja, cada papel irá receber apenas as permissões que condizem com sua responsabilidade.

image.png

Cada Papel é nomeado como uma posição ou responsabilidade que uma pessoa tem.

Ao atribuir permissões ao Papel, e mais tarde atribuir estes papéis a um usuário, somos capazes de gerenciar de forma muito mais prática as operações do senhasegura utilizando apenas os 25 Papéis que o senhasegura fornece em sua instalação padrão. O administrador simplesmente relaciona os usuários aos papéis desejados para que o usuário tenha acesso aos módulos, telas e operações relevantes.

image.png

Papéis Padrão

Agora que você está ciente de como as entidades que compõem as camadas de controle de acesso senhasegura funcionam e estão relacionadas, vamos introduzir os 25 papéis padrão da senhasegura.

Info

Acesse o menu Configurações ➔ Gestão de Usuários ➔ Papéis e clique no botão de ação Detalhes para verificar quais permissões cada papel possui.

  • System Administrator: Acesso administrativo a todos os módulos e Orbit

  • System User: Usuário básico com acesso a todos os módulos

  • System Auditor: Acesso para auditores a todos os módulos

  • Read only: Acesso apenas para leitura a todos os módulos

  • DSM Administrator: Gerencia todos os recursos do módulo DSM

  • Cloud Administrator: Gerencia todos os recursos do módulo Cloud

  • Information Administrator: Gerencia todos os recursos de informação

  • Behavior Administrator: Gerencia todos os parâmetros do User Bahavior

  • Domum Administrator: Gerencia todos os parâmetros, grupos e fornecedores do Domum

  • Domum Operator: Papel responsável para solicitar acesso para funcionários e usuários de terceiros

  • Domum Operator - Third-party: Papel responsável para solicitar acesso para usuários de terceiros

  • Domum Third-party user: Área de trabalho de terceiros

  • Domum Basic internal user: acesso básico para usuários internos no Domum. Com esse papel os usuários podem iniciar sessões, visualizar senhas e criar credenciais.

  • Task Manager Administrator: Gerencia todos os recursos do módulo Task Manager

  • Executions Administrator: Gerencia todos os recursos do sistema de Execuções

  • go Administrator: Gerenciar todos os recursos do sistema senhasegura.go 

  • go Auditor: Acesso do auditor ao sistema senhasegura.go 

  • Scan Discovery Administrator: Gerenciar todos os recursos do Discovery

  • Certificates Administrator: Gerenciar todos os recursos do módulo Certificate Manager

  • Certificates Approver: Papel responsável para aprovar uma solicitação relacionadas com o módulo Certificate Manager

  • Certificates Operator: Papel responsável para solicitar ações relacionadas com o módulo Certificate Manager

  • PAM Administrator: Gerencia todos os recursos do PAM

  • PAM Operator: Gerenciar os recursos do PAM como dispositivos, credenciais, sessão e parâmetros de controle de acesso

  • PAM User: Usuário padrão do PAM, capaz de ver as credenciais e iniciar sessões

  • PAM Auditor: Acesso dos auditores ao PAM

  • PAM Approver: Papel responsável por aprovação da credencial e da sessão

Permissões

Acesse o menu Configurações ➔ Gestão de Usuários ➔ Permissões para visualizar as permissões existentes no sistema e suas respectivas funções:

A2A

Cód.TipoPermissãoDescrição
1DeletaA2A.DeleteExcluir recursos A2A
2ListaA2A.ListListar todos os recursos A2A
3VisualizaA2A.ViewVer detalhes dos recursos A2A
4EscritaA2A.WriteCriar e atualizar recursos A2A

Comportamento

Cód.TipoPermissãoDescrição
5ListaBehavior.ListLista todos os recursos de comportamento
6EscritaBehavior.Settings.WriteAtualizar parâmetros de comportamento
7VisualizaBehavior.ViewVer detalhes dos recursos de comportamento

Certificates

Cód.TipoPermissãoDescrição
8DeletaCertificateManager.Certificates.DeleteExcluir certificados
9AçãoCertificateManager.Certificates.LinkVincular certificados a dispositivos
10ListaCertificateManager.Certificates.ListListar todos os certificados
11AçãoCertificateManager.Certificates.PublishPublicar certificados
12AçãoCertificateManager.Certificates.Revocation.CheckVerifica a revogação de todos os certificados no OCSP
13VisualizaCertificateManager.Certificates.ViewMostrar detalhes do certificado
14EscritaCertificateManager.Certificates.WriteCriar e atualizar certificados
15VisualizaCertificateManager.Dashboards.ViewVisualizar dashboards do Certificate Manager
16ListaCertificateManager.Publishing.ListLista de publicação de certificados
17VisualizaCertificateManager.Publishing.ViewVer detalhes de publicação de certificados
18ListaCertificateManager.Reports.ListLista todos os relatórios e eventos de certificados
19VisualizaCertificateManager.Reports.ViewVer todos os relatórios e eventos de certificados
20ListaCertificateManager.Requests.Approval.ListLista todos os pedidos pessoais pendentes de aprovação
21VisualizaCertificateManager.Requests.Approval.ViewLista todas as solicitações pendentes de aprovação
22AçãoGerente de Certificados.Requests.ApproveAprovar solicitações
23DeletaCertificateManager.Requests.DeleteExcluir solicitações de certificados
24ListaCertificateManager.Requests.ListLista todas as solicitações
25VisualizaCertificateManager.Requests.ViewMostrar detalhes dos pedidos
26EscritaCertificateManager.Requests.WriteEditar pedidos de certificados
27DeletaCertificateManager.Settings.DeleteExcluir configurações
28ListaCertificateManager.Settings.ListLista todas as configurações
29VisualizaCertificateManager.Settings.ViewVer todos os detalhes das configurações
30EscritaCertificateManager.Settings.WriteCriar e atualizar configurações

Change Audit

Cód.TipoPermissãoDescrição
31VisualizaChangeAudit.Dashboards.ViewVisualizar dashboards de auditoria de alteração
32DeletaChangeAudit.DeleteExcluir recursos de auditoria de alteração
33ListaChangeAudit.ListListar todos os recursos de Auditoria de Mudanças
34VisualizaChangeAudit.ViewVer detalhes dos recursos de auditoria de alteração
35EscritaChangeAudit.WriteCriar e atualizar recursos de Auditoria de Mudanças

Cloud

Cód.TipoPermissãoDescrição
36VisualizaCloud.Dashboards.ViewVer todos os dashboards de nuvem
37DeletaCloud.Iam.DeleteExcluir recursos do Cloud IAM
38ListaCloud.Iam.ListListar todos os recursos do Cloud IAM
39VisualizaCloud.Iam.ViewVer detalhes dos recursos do Cloud IAM
40EscritaCloud.Iam.WriteCriar e atualizar recursos do Cloud IAM
41DeletaCloud.Settings.DeleteExcluir configurações do módulo Cloud
42ListaCloud.Settings.ListLista todas as configurações do módulo Cloud
43VisualizaCloud.Settings.ViewVer detalhes das configurações do módulo Cloud
44EscritaCloud.Settings.WriteCriar e atualizar as configurações do módulo Cloud
45ListaCloud.VirtualMachines.ListLista todos os recursos de Máquinas Virtuais
46AçãoCloud.VirtualMachines.Session.StartIniciar sessões de Máquinas Virtuais
47VisualizaCloud.VirtualMachines.ViewVer detalhes dos recursos de Máquinas Virtuais
48AçãoCloud.VirtualMachines.SyncSolicitar sincronização de recursos de Máquinas Virtuais

Discovery

Cód.TipoPermissãoDescrição
49DeletaScanDiscovery.Discovery.DeleteExcluir recursos de descoberta
50ListaScanDiscovery.Discovery.ListListar recursos de descoberta
51VisualizaScanDiscovery.Discovery.ViewVer detalhes dos recursos de descoberta
52EscritaScanDiscovery.Discovery.WriteCriar e atualizar recursos do Discovery
53ListaScanDiscovery.Reports.ListLista todos os relatórios de auditoria e logs de execuções
54VisualizaScanDiscovery.Reports.ViewVer todos os relatórios de auditoria e logs de execuções
55DeletaScanDiscovery.Settings.DeleteDelete Discovery settings
56ListaScanDiscovery.Settings.ListLista todas as configurações de descoberta
57VisualizaScanDiscovery.Settings.ViewVer todos os detalhes das configurações do Discovery
58EscritaScanDiscovery.Settings.WriteCriar e atualizar as configurações do Discovery

Domum Remote Access

Cód.TipoPermissãoDescrição
59DeletaDomum.Access.InternalUsers.DeleteExcluir solicitação de acesso dos usuários internos.
60ListaDomum.Access.InternalUsers.ListListar solicitações de acesso para os usuários internos. 
61VisualizaDomum.Access.InternalUsers.ViewVer detalhes de acesso dos usuários internos. 
62EscritaDomum.Access.InternalUsers.WriteCriar e atualizar o acesso dos usuários internos. 
63ListaDomum.Access.Requests.ListLista de pedidos e aprovações próprias
64VisualizaDomum.Access.Requests.ViewVer todos os detalhes dos seus pedidos e aprovações
65DeletaDomum.Access.ThirdPartyUsers.DeleteExcluir uma solicitação de acesso de usuário de terceiros
66ListaDomum.Access.ThirdPartyUsers.ListListar solicitações de acesso para usuários de terceiros
67VisualizaDomum.Access.ThirdPartyUsers.ViewDetalhe detalhes de acesso de usuários de terceiros
68EscritaDomum.Access.ThirdPartyUsers.WriteCriar e atualizar o acesso de usuário de terceiros
69VisualizaDomum.Dashboards.ViewVer todos os dashboards do Domum
70ListaDomum.Reports.ListListar todos os relatórios do Domum
71ListaDomum.Settings.ListLista todas as configurações e parâmetros do Domum
72AçãoDomum.Settings.PanicButtonEliminar todos os acessos de um grupo ou fornecedor
73ListaDomum.Settings.ThirdPartyUsers.ListLista de usuários de terceiros
74EscritaDomum.Settings.ThirdPartyUsers.WriteCriar e atualizar usuários de terceiros
75DeletaDomum.Settings.ThirdPartyUsers.DeleteExcluir usuários de terceiros
76EscritaDomum.Settings.WriteCriar e atualizar configurações do Domum
77DeletaDomum.Settings.DeleteExcluir configurações do Domum
78VisualizaDomum.ThirdPartyUsers.Desktop.ViewVisualizar desktop de usuário de terceiros

DevOps Secret Manager

Cód.TipoPermissãoDescrição
79ExcluirDSM.Applications.DeleteExcluir aplicativo CI/CD e autorizações de recursos
80ListaDSM.Applications.ListLista todos os recursos de CI/CD e autorizações de aplicativos
81VisualizaDSM.Applications.ViewExibir autorizações de aplicativos e detalhes de recursos CI/CD
82EscritaDSM.Applications.WriteCriar e atualizar autorizações de aplicativos e CI/CD
83DeletaDSM.Automations.DeleteExcluir módulo de Automações DSM
84ListaDSM.Automations.ListListar todas as Automações do módulo DSM
85VisualizaDSM.Automations.ViewExibir detalhes de automações do módulo DSM
86EscritaDSM.Automations.WriteCriar e atualizar o módulo DSM Automations
87VisualizaDSM.Dashboards.ViewExibir todos os dashboards do DSM
88DeletaDSM.Secrets.DeleteExcluir segredos do módulo DSM
89ListaDSM.Secrets.ListLista todos os segredos do módulo DSM
90VisualizaDSM.Secrets.ViewExibir detalhes dos segredos do módulo DSM
91EscritaDSM.Secrets.WriteCriar e atualizar o módulo DSM Secrets

Execuções

Cód.TipoPermissãoDescrição
92ListaExecutions.Reports.ListLista todos os relatórios de Execuções
93VisualizaExecutions.Reports.ViewVer detalhes dos relatórios de Execuções
94DeletaExecutions.Operations.DeleteExcluir recursos de operações de Execuções
95EscritaExecutions.Operations.WriteCriar e Atualizar Recursos de Operações de Execuções
96ListaExecutions.Operations.ListLista todos os recursos de operações de Execuções
97VisualizaExecutions.Operations.ViewVisualizar recursos de operações de Execuções
98ListaExecutions.Settings.ListLista todas as configurações de Execuções
99VisualizaExecuções.Configurações.VisualizarVisualizar configurações de Execuções
100EscritaExecutions.Settings.WriteCriar e atualizar configurações de Execuções
101VisualizaExecuções.Configurações.ExcluirExcluir configurações de Execuções

Go Endpoint Manager

Cód.TipoPermissãoDescrição
102VisualizaGo.Dashboards.ViewVisualizar dashboards go
103DeletaGo.Linux.DeleteExcluir recursos do Linux
104ListaGo.Linux.ListListar todos os recursos do Linux
105VisualizaGo.Linux.ViewVer todos os detalhes dos recursos do Linux
106EscritaGo.Linux.WriteCriar e atualizar recursos Linux
107ListaGo.Reports.ListLista todos os relatórios e eventos
108VisualizaGo.Reports.ViewVer todos os relatórios e detalhes dos eventos
109DeletaGo.Settings.DeleteDelete go settings
110AçãoGo.Settings.InstallationKey.ViewVer chave de instalação
111ListaGo.Settings.ListLista todas as configurações de go
112VisualizaGo.Settings.ViewVer todas as configurações do módulo go
113EscritaGo.Settings.WriteCriar e atualizar configurações go
114DeletaGo.Users.DeleteExcluir e reprovar usuários
115ListaGo.Users.ListListar todos os usuários
116VisualizaGo.Users.ViewVer todos os usuários
117EscritaGo.Users.WriteEscrever e aprovar usuários
118DeletaGo.Windows.DeleteEliminar os recursos do Windows
119ListaGo.Windows.ListLista de recursos do Windows
120VisualizaGo.Windows.ViewVer detalhes dos recursos do Windows
121EscritaGo.Windows.WriteCriar e atualizar recursos do go Windows
122DeletaGo.Workstations.DeleteExcluir recursos de estações de trabalho
123ListaGo.Workstations.ListListar todos os recursos de estações de trabalho
124VisualizaGo.Workstations.ViewVer todos os detalhes dos recursos das estações de trabalho
125EscritaGo.Workstations.WriteCriar e atualizar recursos de estações de trabalho

Informação

Cód.TipoPermissãoDescrição
126VisualizaPersonalVault.Dashboards.ViewVisualizar informações Dashboard
127DeletaPersonalVault.Information.DeleteExcluir recursos de informação
128ListaPersonalVault.Information.ListListar todos os recursos de informação
129VisualizaPersonalVault.Information.ReadMostrar detalhes dos recursos de informação
130EscritaPersonalVault.Information.WriteCriar e atualizar recursos de informação
131ListaPersonalVault.Reports.ListListar todos os relatórios
132DeletaPersonalVault.Settings.DeleteExcluir recursos de configurações
133ListaPersonalVault.Settings.ListLista todos os recursos de configurações
134VisualizaPersonalVault.Settings.ReadMostrar detalhes dos recursos de configuração
135EscritaPersonalVault.Settings.WriteCriar e atualizar recursos de configurações
226VisualizaPersonalVault.PersonalCredential.ViewMostrar detalhes de recursos de credenciais pessoais

PAM Core

Cód.TipoPermissãoDescrição
136VisualizaPAM.Dashboards.ViewVer todos os dashboards PAM
137ListaPAM.PrivilegedAccounts.Custody.ListLista todas as credenciais sob custódia do usuário
138DeletaPAM.PrivilegedAccounts.Credentials.DeleteExcluir credenciais
139ListaPAM.PrivilegedAccounts.Credentials.ListLista todas as credenciais
140VisualizaPAM.PrivilegedAccounts.Credentials.ViewMostrar todos os detalhes da credencial
141VisualizaPAM.PrivilegedAccounts.Credentials.Password.ViewObter credencial ou valor de chave SSH ou parte
142EscritaPAM.PrivilegedAccounts.Credentials.WriteCriar e atualizar credenciais
143VisualizaPAM.PrivilegedAccounts.PasswordChange.ViewMostrar todos os detalhes das alterações de senha
144ListaPAM.PrivilegedAccounts.PasswordChange.ListLista todas as alterações de senha
145AçãoPAM.PrivilegedAccounts.PasswordChange.RequestCriar solicitação de rotação de senha
146ListaPAM.SessionManagement.ListLista todas as informações da sessão
147AçãoPAM.SessionManagement.StartIniciar uma sessão
148AçãoPAM.SessionManagement.DropSoltar uma sessão
149VisualizaPAM.SessionManagement.ViewMostrar detalhes de todas as sessões
150AçãoPAM.SessionManagement.WriteCriar e atualizar recursos de Gerenciamento de Sessão
151VisualizaPAM.SessionManagement.DeleteExcluir recursos de gerenciamento de sessão
152AçãoPAM.SessionManagement.AuditListar e executar ações de auditoria
153DeletaPAM.Devices.DeleteDelete devices
154ListaPAM.Devices.ListListar todas as informações do dispositivo
155VisualizaPAM.Devices.ViewMostrar detalhes do dispositivo
156EscritaPAM.Devices.WriteCriar e atualizar dispositivos
157ListaPAM.Reports.ListListar todos os relatórios PAM
158DeletaPAM.Settings.DeleteExcluir configurações do PAM
159ListaPAM.Settings.ListListar todas as configurações do PAM
160VisualizaPAM.Settings.ViewMostrar todos os detalhes das configurações do PAM
161EscritaPAM.Settings.WriteCriar e atualizar configurações do PAM

Provisioning

Cód.TipoPermissãoDescrição
162DeletaProvisioning.DeleteExcluir recursos de provisionamento
163ListaProvisioning.ListListar acesso a todos os recursos do módulo Provisioning
164VisualizaProvisioning.ReadMostrar detalhes dos recursos de aprovisionamento
165EscritaProvisioning.WriteCriar e atualizar todos os recursos de provisionamento


Configurações

Cód.TipoPermissãoDescrição
167DeletaSettings.Authentication.DeleteExcluir recursos de autenticação
168ListaSettings.Authentication.ListListar todos os recursos de autenticação
169VisualizaSettings.Authentication.ViewVer detalhes dos recursos de autenticação
170EscritaSettings.Authentication.WriteCriar e atualizar recursos de autenticação
171DeletaSettings.Backup.DeleteExcluir recursos de backup
172ListaSettings.Backup.ListListar todos os recursos de backup
173VisualizaSettings.Backup.ViewVer detalhes dos recursos de backup
174EscritaSettings.Backup.WriteCriar e Atualizar Recursos de Backup
175ListaSettings.Eula.ListListar todos os recursos do Eula
176VisualizaSettings.Eula.ViewVer detalhes dos recursos do Eula
177DeletaSettings.Notification.DeleteExcluir recursos de notificação
178ListaSettings.Notification.ListListar todos os recursos de notificação
179VisualizaSettings.Notification.ViewVer detalhes dos recursos de notificação
180EscritaSettings.Notification.WriteCriar e atualizar recursos de notificação
181DeletaSettings.Services.DeleteExcluir recursos de serviços e processos de execução
182ListaSettings.Services.ListLista todos os recursos de serviços e processos de execução
183VisualizaSettings.Services.ViewVer detalhes de recursos de serviços e processos de execução
184EscritaSettings.Services.WriteCriar e Atualizar recursos de serviços e processos de execução
185DeletaSettings.SystemParameters.DeleteExcluir recursos de parâmetros do sistema
186ListaSettings.SystemParameters.ListListar todos os recursos de Parâmetros do Sistema
187VisualizaSettings.SystemParameters.ViewExibir detalhes dos recursos dos parâmetros do sistema
188EscritaSettings.SystemParameters.WriteCriar e atualizar recursos de parâmetros do sistema
189DeletaSettings.UserManagement.DeleteExcluir recursos de gerenciamento de usuários
190ListaSettings.UserManagement.ListListar todos os recursos de gerenciamento de usuários
191VisualizaSettings.UserManagement.ViewVer detalhes dos recursos de gerenciamento de usuários
192EscritaSettings.UserManagement.WriteCriar e atualizar recursos de gerenciamento de usuários
193ListaUser.Desktop.ListListar relatórios da área de trabalho do usuário
194VisualizaUser.Desktop.ViewVisualizar desktop e dashboards do usuário
195EscritaUser.Settings.WriteEditar configurações do usuário
224ExibirSystem.Dashboards.AdminExibir painéis administrativos
166AçãoReports.Schedule
Ação para agendar o envio de relatórios periodicamente
225
Lista
Reports.Telemetry.List
Ver relatório de telemetria
20EscritaSystem.EmergencyPanel.Controlcontrole do painel de emergência

Task Manager

Cód.TipoPermissãoDescrição
196VisualizaTaskManager.Dashboards.ViewVer todos os dashboards do módulo Gerenciador de Tarefas
197ListaTaskManager.Executions.ListListar execuções e operações do Gerenciador de Tarefas
198VisualizaTaskManager.Executions.ViewVisualizar execuções e detalhes de operações do Gerenciador de Tarefas
199DeletaTaskManager.Settings.DeleteExcluir recursos de configurações do módulo Gerenciador de tarefas
200ListaTaskManager.Settings.ListLista todos os recursos de configurações do módulo Gerenciador de Tarefas
201VisualizaTaskManager.Settings.ViewMostrar detalhes dos recursos de configurações do módulo Gerenciador de Tarefas
202EscritaTaskManager.Settings.WriteCriar e atualizar recursos de configurações do módulo Gerenciador de Tarefas.
203DeletaTaskManager.Tasks.DeleteExcluir tarefas do Gerenciador de Tarefas
204ListaTaskManager.Tasks.ListListar todas as tarefas do Gerenciador de Tarefas
205VisualizaTaskManager.Tasks.ViewVer todos os detalhes das tarefas do Gerenciador de Tarefas
206AçãoTaskManager.Tasks.ExecutePermitir que o usuário execute uma tarefa
207EscritaTaskManager.Tasks.WriteCriar e atualizar tarefas do Gerenciador de Tarefas

Controle de Acesso

Cód.TipoPermissãoDescrição
208DeletaAccessControl.DeleteExcluir recursos de controle de acesso de todos os módulos
209ListaAccessControl.ListLista todos os recursos de Controle de Acesso de todos os módulos
210VisualizaAccessControl.ViewVer detalhes dos recursos de Controle de Acesso de todos os módulos
211EscritaAccessControl.WriteCriar e atualizar recursos de Controle de Acesso de todos os módulos
212AçãoAccessControl.ApprovalAprovar e reprovar solicitações

Configurações

Cód.TipoPermissãoDescrição
213VisualizaSystem.AuditTracking.ViewVer trilha de auditoria do sistema
214EscritaSystem.Settings.WriteEscrever configurações do sistema

Controle de Acesso

Cód.TipoPermissãoDescrição
215ListaAccessControl.AuditEscrever configurações do sistema
216ListaAccessControl.CurrentUser.ListLista todas as solicitações de controle de acesso para o usuário atual

Configurações

Cód.TipoPermissãoDescrição
217ListaSystem.Common.ListLista de configurações comuns do sistema
218EscritaSystem.Common.WriteEscrever configurações comuns do sistema
219ListaSettings.Tenants.ListLista de configurações de Tenants
220EscritaSettings.Tenants.WriteEscrita de configurações de Tenants
221EscritaSystem.Settings.OrbitOrbit acesso as configurações do sistema
222EscritaSystem.Settings.EulaEula aceita e gerencia configurações

Cloud

Cód.TipoPermissãoDescrição
223VisualizaCloud.Operations.ViewVer todas as operações do Cloud IAM

PAM Operator - Multitenant

Para o usuário operador do PAM em cenários de multitenant.

Este usuário é capaz apenas de cadastrar e gerenciar dispositivos e credenciais do seu tenant.

Permite que o usuário gerencie dispositivos e credenciais de seu próprio tenant (para cenários multitenant).

TipoPermissãoDescrição
DeletePAM.PrivilegedAccounts.Credentials.DeleteExcluir credenciais

Lista

PAM.PrivilegedAccounts.Credentials.ListLista todas as credenciais
VisualizaPAM.PrivilegedAccounts.Credentials.ViewMostrar todos os detalhes da credencial

Escrita

PAM.PrivilegedAccounts.Credentials.WriteCriar e atualizar credenciais

Deleta

PAM.Devices.Delete Deletar dispositivos

Lista

PAM.Devices.ListListar todas as informações do dispositivo
VisualizaPAM.Devices.ViewMostrar detalhes do dispositivo
EscritaPAM.Devices.WriteCriar e atualizar dispositivos
  • Permitir selecionar múltiplas credenciais no relatório para desabilitar em massa todas as credenciais selecionadas
  • Permitir selecionar múltiplas credenciais no relatório para habilitar em massa todas as credenciais selecionadas
  • Permitir selecionar múltiplas credenciais no relatório para editar em massa todas as credenciais selecionadas

Requisitos

  • PAM.PrivilegedAccounts.Credentials.Delete
  • PAM.PrivilegedAccounts.Credentials.Write

Estas permissões deverão ser concedidas por padrão aos perfis de System Administrator, PAM Administrator e PAM Operator.

Auditoria

Gerar eventos no relatório Audit Tracking, para as seguintes ações em massa realizadas em Credenciais:

  • Alteração de credenciais em massa
  • Desativação de credenciais em massa
  • Inativação em massa da credencial do dispositivo

Syslog

Os eventos do Audit Tracking também devem ser ecoados para o Syslog, os logs do SIEM:

  • Alteração de credenciais em massa
  • Desativação de credenciais em massa
  • Desativação em massa da credencial do dispositivo

No menu PAM → Credentials → All para as ações em massa,

  • Editar credenciais,
  • Ativar credenciais
  • Desativar credenciais

Approval Workflow

  • PAM Core
  • Bulk Actions
    • All requests
    • My requests
    • Pending approvals
  • Domum Remote Access
  • Certicate Manager
  • Task Manager
  • DevOps Secret Manager
  • Cloud IAM
  • GO Endpoint Manager
  • Dicovery
  • Executions
  • Settings

Criação de novos papéis

Cuidado

O processo de atualização do senhasegura irá atualizar automaticamente os papéis e permissões definidos na instalação padrão. Os papéis tenham sido criados pelo administrador não serão alterados pela atualização! Cabe ao administrador a constante revisão de usuários e papéis customizados para garantir a correta atribuição de poderes.

Info

Criar novos papéis pode aumentar a superfície de risco, pois um pequeno erro, como uma permissão a mais pode conceder a um usuário mais poder do que este poderia ter. Por isso o senhasegura disponibiliza papéis de acordo com os tipos mais comuns de usuário. Se possível utilize um dos 25 papéis pré-cadastrados e evite criar novos.

Os papéis entregues pelo senhasegura são adequados para que o administrador possa distribui-los os usuários. Mas às vezes pode ser necessário que um usuário receba menos acesso do que os papéis registrados oferecem.

Uma divisão apropriada de responsabilidades é refletida nos privilégios de acesso concedidos aos usuários torna-se necessária para a execução adequada, eficiente e segura das atividades do senhasegura , para isso utilizamos o conceito de Segregação de Funções (SoD).

Vamos usar como exemplo um consultor que precisa observar apenas os relatórios operacionais do módulo Certificate Manager sem poder realizar ações.

Neste caso, não recomendamos que os papéis System Administrator, Certificates Administrator e PAM Auditor sejam atribuídos. Isso seria um grande risco para a empresa, já que lhe concederia mais acesso que o necessário.

Vamos então criar um novo Papel para este usuário.

  1. Vá para o menu Configurações ➔ Gestão de usuários ➔ Papéis para listar as funções registradas

  2. Através da ação de relatório, acesse o formulário de registro e registre uma nova função denominada Auditoria de certificados

  3. Descreva o objetivo deste papel

  4. Vá para a aba Permissões

  5. Adicione as permissões que este papel poderá realizar
    Você poderá filtrar as permissões por: Tipo, Módulo e até Descrição.
    No caso deste exemplo as permissões que serão adicionadas serão:

    • CertificateManager.Dashboards.View: Ver dashboards do Certificate Manager

    • CertificateManager.Reports.List: Listar todos os relatórios e eventos relacionados a certificados

    • CertificateManager.Reports.View: Ver todos os relatórios e eventos relacionados a certificado

    • Para que as permissões sejam concedidas corretamente se atente ao tipo de cada:
      • List: Permissões para listagem em relatórios

      • View: Permissões para exibição de detalhes de operações

      • Write: Permissões para configuração, cadastro e alteração de registros do sistema

      • Delete: Permissões para inativação de registros do sistema

      • Action: Esse tipo concentra ações de operações administrativas específicas de cada módulo

  6. Na guia Usuários adicione os usuários que devem ser associados a este papel. Caso o usuário que deseja associar ainda não esteja criado, você pode pular essa etapa

  7. Clique em Salvar

Clonando Papéis existentes

Você também pode criar um novo Papel baseado em um Papel já existente. No relatório de Papéis, cada registro possui uma ação Clonar. Ao clicar nesta ação, o senhasegura criará um novo registro baseado no Papel selecionado.

Este novo papel poderá ser editado pelo Administrador, adicionando ou removendo permissões e usuários.

Cuidado

Um papel clonado não irá herdar os usuários vinculados ao registro de papel originador.

Registrando usuário

Para criar um usuário, clique no botão de ação rápida Usuário, e na tela aparecerão os seguintes passos:

  1. Defina um nome de usuário. Este nome é a representação do usuário nas outras telas

  2. Defina o username de usuário

  3. No campo senha:

  4. Deixe o campo da senha em branco se o serviço de e-mail foi definido

  5. Digite manualmente a senha enquanto o serviço de e-mail não estiver definido

  6. O campo Ignorar multifator de autenticação? indica se este usuário não tem obrigação de se registrar e usar o token MFA OTP ao usar a senhasegura

    Cuidado

    Este campo não está disponível se o usuário atual estiver tentando alterar sua própria conta e só aparece durante a edição de um usuário.

  7. Confirme se o status do usuário está ativo no campo Status

  8. Confirmar que o usuário administrador tem acesso a Orbit através do campo Acesso ao Orbit

Cuidado

Tenha cuidado com as contas encarregadas de gerenciar o Portal Orbit. Não conceda este acesso a um usuário sem preocupação. O Portal Orbit tem muitos serviços de controle. Veja a documentação do Orbit Web para mais detalhes.

9. Na aba Papéis, selecione os papéis que devem ser atribuídos a este usuário.
Como exemplo, imagine que este usuário deva apenas consultar credenciais e realizar sessões remotas, nesta tela deverá ser adicionado o papel PAM User.

Cuidado

É possível adicionar mais de um papel a um usuário, entretanto o administrador deve ter cautela para que os papéis adicionados não entrem em conflito com as atividades do usuário, entregando poderes maiores que suas responsabilidades.

10. Na aba Grupos de acesso, selecione o grupo de acesso que ele fará parte, ou seja, o limite de credenciais que o usuário poderá interagir

11. Salvar usuário com o botão Salvar

Agora é necessário realizar esta validação do usuário. Peça ao usuário que possui esta conta para acessar o senhasegura e fazer o primeiro login. Ele será solicitado a alterar a senha temporária, de acordo com os critérios de segurança padrão.

Esquecer um usuário

senhasegura fornece um mecanismo para garantir o direito de ser esquecido, ao ser notificado por um usuário que deseja que seus dados sejam removidos da aplicação.

Além disso, se solicitado pelo usuário senhasegura pode fornecer um relatório completo dos dados que foram coletados dele, como por exemplo:

  • Nome

  • Telefone

  • E-mail

  • Lista de acessos com IP, navegador, localização e horário

Este relatório pode ser extraído como uma ação da tela do usuário.

Sempre que um relatório é emitido ou um usuário é esquecido os alertas são enviados ao Syslog e as notificações por e-mail também podem ser registradas.

Para esquecer um usuário vá ao relatório de usuário do sistema em: Configurações ➔ Gestão de usuários ➔ Usuários, encontre o registro do usuário que deseja esquecer, na coluna Ação clique na opção Esquecer usuário.


Formulário de usuários

 


Importar usuários

1. Para importar usuários para senhasegura , vá para o menu: Configurações ➔ Usuários do sistema ➔ Importação em lote.

2. Clique no botão Escolher arquivo para selecionar o arquivo a ser importado, selecione o arquivo desejado e clique no botão Abrir.

3. Clique no botão Import Users para concluir a importação.

Info

Modelos de planilhas de importação podem ser obtidos clicando no botão Com usuários, para um modelo com exemplos de usuários e Vazio, para um arquivo de modelo não preenchido.

Tokens

Qualquer usuário pode configurar sua própria conta para usar a autenticação em duas etapas. Você também pode forçar todos os usuários a usá-lo em ações específicas.

Você pode ver quantos usuários estão usando a autenticação em duas etapas e cancelar tokens no relatório Configurações ➔ Autenticação ➔ multifator de autenticação.

Inativar um usuário

Para inativar um usuário, siga as seguintes etapas:

  1. Vá ao relatório de usuários através do menu Configurações ➔ Usuários do sistema ➔ Usuários

  2. Filtre o relatório com o filtro desejado e localize o registro do usuário a ser inativado

  3. Clique no botão de ação Alterar

  4. No formulário do usuário, altere a chave Estado para Inativo

  5. Salve o registro no botão Salvar

Cuidado

Ao inativar um usuário, este será desconectado de sua sessão Web assim como de todas sessões proxy em execução. Para o senhasegura.go, será necessário aguardar o tempo de atualização de registros da aplicação.

Apenas a conta de usuário no senhasegura será inativada. Caso o senhasegura esteja configurado para utilizar um provedor de autenticação externo, esse provedor não será informado da inativação.

Auditoria

Os relatórios de auditoria do sistema de permissão são divididos em relatórios que ajudam a identificar as permissões que um usuário tem, e relatórios que ajudam a identificar as mudanças que ocorreram no sistema de permissão.

Assim, o administrador será capaz de identificar falhas de segurança que ocorreram ou ainda são vulneráveis.

Através do módulo Relatórios, você terá acesso a vários relatórios de auditoria do senhasegura. Neste livro, nos concentraremos apenas nos relatórios pertinentes a Camada de Controle de Acesso.

No menu Permissões você tem acesso aos seguintes relatórios:

  • Papéis por usuário:

    • Verifique a quais papéis foram atribuídos para cada usuário

    • Mesmo usuários inativos são considerados

    • O filtro pode ser baseado no usuário, no papel ou em ambos

  • Permissões por usuário:

    • Verificar quais permissões foram concedidas para cada usuário

    • O filtro pode ser baseado no usuário, permissão ou ambos

  • Logs de auditoria:

    • Ver histórico das modificações feitas nos papéis

    • Você pode identificar qual usuário realizou a modificação quando a realizou, e que mudança foi feita

    • Filtrar por período, usuário e operação

  • Permissões de migração:

    • Consultar quais papéis foram adicionados, mantidos ou removidos em comparação ao sistema de permissionamento de versões anteriores do senhasegura 

    • O filtro pode ser baseado no código de usuários, permissão ou status


Este artigo foi útil?