- 16 minutos de leitura
- Imprimir
- Tema escuroTema claro
- Pdf
Camada de controle de acesso
- 16 minutos de leitura
- Imprimir
- Tema escuroTema claro
- Pdf
A Camada de Controle de Acesso do senhasegura é baseada em papéis de permissão.
O senhasegura disponibiliza papéis que facilitam a concessão de superpoderes aos administradores, assim como o uso de funções técnicas para diferentes tipos de usuário.
Quando o usuário tem acesso a um módulo ou possui permissão de executar uma ação, isso significa que o senhasegura já validou que este usuário está associado a um papel que lhe concede esses poderes.
Um papel pode conceder ao usuário os seguintes poderes:
Quais módulos ele poderá acessar
Operar ações relacionados ao módulo
Quais recursos do módulo o usuário poderá listar
Ver detalhes de um registro relacionado ao módulo
Imagine que um usuário possa consultar todas as credenciais e dispositivos registrados no senhasegura , porém não pode registrar novos ou excluir os que já existem. Será necessário observar e tomar cuidado para atribuir ao usuário as permissões corretas para evitar um abuso de privilégios.
Como algumas operações dizem respeito a certos perfis de usuário, o que dificulta a atribuição direta, o senhasegura entrega uma lista de 25 Papéis pré-cadastrados com modelos de acesso que reforçam o principio do privilégio minimo.
Ou seja, cada papel irá receber apenas as permissões que condizem com sua responsabilidade.
Cada Papel é nomeado como uma posição ou responsabilidade que uma pessoa tem.
Ao atribuir permissões ao Papel, e mais tarde atribuir estes papéis a um usuário, somos capazes de gerenciar de forma muito mais prática as operações do senhasegura utilizando apenas os 25 Papéis que o senhasegura fornece em sua instalação padrão. O administrador simplesmente relaciona os usuários aos papéis desejados para que o usuário tenha acesso aos módulos, telas e operações relevantes.
Papéis Padrão
Agora que você está ciente de como as entidades que compõem as camadas de controle de acesso senhasegura funcionam e estão relacionadas, vamos introduzir os 25 papéis padrão da senhasegura.
Acesse o menu Configurações ➔ Gestão de Usuários ➔ Papéis e clique no botão de ação Detalhes para verificar quais permissões cada papel possui.
System Administrator: Acesso administrativo a todos os módulos e Orbit
System User: Usuário básico com acesso a todos os módulos
System Auditor: Acesso para auditores a todos os módulos
Read only: Acesso apenas para leitura a todos os módulos
DSM Administrator: Gerencia todos os recursos do módulo DSM
Cloud Administrator: Gerencia todos os recursos do módulo Cloud
Information Administrator: Gerencia todos os recursos de informação
Behavior Administrator: Gerencia todos os parâmetros do User Bahavior
Domum Administrator: Gerencia todos os parâmetros, grupos e fornecedores do Domum
Domum Operator: Papel responsável para solicitar acesso para funcionários e usuários de terceiros
Domum Operator - Third-party: Papel responsável para solicitar acesso para usuários de terceiros
Domum Third-party user: Área de trabalho de terceiros
Domum Basic internal user: acesso básico para usuários internos no Domum. Com esse papel os usuários podem iniciar sessões, visualizar senhas e criar credenciais.
Task Manager Administrator: Gerencia todos os recursos do módulo Task Manager
Executions Administrator: Gerencia todos os recursos do sistema de Execuções
go Administrator: Gerenciar todos os recursos do sistema senhasegura.go
go Auditor: Acesso do auditor ao sistema senhasegura.go
Scan Discovery Administrator: Gerenciar todos os recursos do Discovery
Certificates Administrator: Gerenciar todos os recursos do módulo Certificate Manager
Certificates Approver: Papel responsável para aprovar uma solicitação relacionadas com o módulo Certificate Manager
Certificates Operator: Papel responsável para solicitar ações relacionadas com o módulo Certificate Manager
PAM Administrator: Gerencia todos os recursos do PAM
PAM Operator: Gerenciar os recursos do PAM como dispositivos, credenciais, sessão e parâmetros de controle de acesso
PAM User: Usuário padrão do PAM, capaz de ver as credenciais e iniciar sessões
PAM Auditor: Acesso dos auditores ao PAM
PAM Approver: Papel responsável por aprovação da credencial e da sessão
Permissões
Acesse o menu Configurações ➔ Gestão de Usuários ➔ Permissões para visualizar as permissões existentes no sistema e suas respectivas funções:
A2A
Cód. | Tipo | Permissão | Descrição |
---|---|---|---|
1 | Deleta | A2A.Delete | Excluir recursos A2A |
2 | Lista | A2A.List | Listar todos os recursos A2A |
3 | Visualiza | A2A.View | Ver detalhes dos recursos A2A |
4 | Escrita | A2A.Write | Criar e atualizar recursos A2A |
Comportamento
Cód. | Tipo | Permissão | Descrição |
---|---|---|---|
5 | Lista | Behavior.List | Lista todos os recursos de comportamento |
6 | Escrita | Behavior.Settings.Write | Atualizar parâmetros de comportamento |
7 | Visualiza | Behavior.View | Ver detalhes dos recursos de comportamento |
Certificates
Cód. | Tipo | Permissão | Descrição |
---|---|---|---|
8 | Deleta | CertificateManager.Certificates.Delete | Excluir certificados |
9 | Ação | CertificateManager.Certificates.Link | Vincular certificados a dispositivos |
10 | Lista | CertificateManager.Certificates.List | Listar todos os certificados |
11 | Ação | CertificateManager.Certificates.Publish | Publicar certificados |
12 | Ação | CertificateManager.Certificates.Revocation.Check | Verifica a revogação de todos os certificados no OCSP |
13 | Visualiza | CertificateManager.Certificates.View | Mostrar detalhes do certificado |
14 | Escrita | CertificateManager.Certificates.Write | Criar e atualizar certificados |
15 | Visualiza | CertificateManager.Dashboards.View | Visualizar dashboards do Certificate Manager |
16 | Lista | CertificateManager.Publishing.List | Lista de publicação de certificados |
17 | Visualiza | CertificateManager.Publishing.View | Ver detalhes de publicação de certificados |
18 | Lista | CertificateManager.Reports.List | Lista todos os relatórios e eventos de certificados |
19 | Visualiza | CertificateManager.Reports.View | Ver todos os relatórios e eventos de certificados |
20 | Lista | CertificateManager.Requests.Approval.List | Lista todos os pedidos pessoais pendentes de aprovação |
21 | Visualiza | CertificateManager.Requests.Approval.View | Lista todas as solicitações pendentes de aprovação |
22 | Ação | Gerente de Certificados.Requests.Approve | Aprovar solicitações |
23 | Deleta | CertificateManager.Requests.Delete | Excluir solicitações de certificados |
24 | Lista | CertificateManager.Requests.List | Lista todas as solicitações |
25 | Visualiza | CertificateManager.Requests.View | Mostrar detalhes dos pedidos |
26 | Escrita | CertificateManager.Requests.Write | Editar pedidos de certificados |
27 | Deleta | CertificateManager.Settings.Delete | Excluir configurações |
28 | Lista | CertificateManager.Settings.List | Lista todas as configurações |
29 | Visualiza | CertificateManager.Settings.View | Ver todos os detalhes das configurações |
30 | Escrita | CertificateManager.Settings.Write | Criar e atualizar configurações |
Change Audit
Cód. | Tipo | Permissão | Descrição |
---|---|---|---|
31 | Visualiza | ChangeAudit.Dashboards.View | Visualizar dashboards de auditoria de alteração |
32 | Deleta | ChangeAudit.Delete | Excluir recursos de auditoria de alteração |
33 | Lista | ChangeAudit.List | Listar todos os recursos de Auditoria de Mudanças |
34 | Visualiza | ChangeAudit.View | Ver detalhes dos recursos de auditoria de alteração |
35 | Escrita | ChangeAudit.Write | Criar e atualizar recursos de Auditoria de Mudanças |
Cloud
Cód. | Tipo | Permissão | Descrição |
---|---|---|---|
36 | Visualiza | Cloud.Dashboards.View | Ver todos os dashboards de nuvem |
37 | Deleta | Cloud.Iam.Delete | Excluir recursos do Cloud IAM |
38 | Lista | Cloud.Iam.List | Listar todos os recursos do Cloud IAM |
39 | Visualiza | Cloud.Iam.View | Ver detalhes dos recursos do Cloud IAM |
40 | Escrita | Cloud.Iam.Write | Criar e atualizar recursos do Cloud IAM |
41 | Deleta | Cloud.Settings.Delete | Excluir configurações do módulo Cloud |
42 | Lista | Cloud.Settings.List | Lista todas as configurações do módulo Cloud |
43 | Visualiza | Cloud.Settings.View | Ver detalhes das configurações do módulo Cloud |
44 | Escrita | Cloud.Settings.Write | Criar e atualizar as configurações do módulo Cloud |
45 | Lista | Cloud.VirtualMachines.List | Lista todos os recursos de Máquinas Virtuais |
46 | Ação | Cloud.VirtualMachines.Session.Start | Iniciar sessões de Máquinas Virtuais |
47 | Visualiza | Cloud.VirtualMachines.View | Ver detalhes dos recursos de Máquinas Virtuais |
48 | Ação | Cloud.VirtualMachines.Sync | Solicitar sincronização de recursos de Máquinas Virtuais |
Discovery
Cód. | Tipo | Permissão | Descrição |
---|---|---|---|
49 | Deleta | ScanDiscovery.Discovery.Delete | Excluir recursos de descoberta |
50 | Lista | ScanDiscovery.Discovery.List | Listar recursos de descoberta |
51 | Visualiza | ScanDiscovery.Discovery.View | Ver detalhes dos recursos de descoberta |
52 | Escrita | ScanDiscovery.Discovery.Write | Criar e atualizar recursos do Discovery |
53 | Lista | ScanDiscovery.Reports.List | Lista todos os relatórios de auditoria e logs de execuções |
54 | Visualiza | ScanDiscovery.Reports.View | Ver todos os relatórios de auditoria e logs de execuções |
55 | Deleta | ScanDiscovery.Settings.Delete | Delete Discovery settings |
56 | Lista | ScanDiscovery.Settings.List | Lista todas as configurações de descoberta |
57 | Visualiza | ScanDiscovery.Settings.View | Ver todos os detalhes das configurações do Discovery |
58 | Escrita | ScanDiscovery.Settings.Write | Criar e atualizar as configurações do Discovery |
Domum Remote Access
Cód. | Tipo | Permissão | Descrição |
---|---|---|---|
59 | Deleta | Domum.Access.InternalUsers.Delete | Excluir solicitação de acesso dos usuários internos. |
60 | Lista | Domum.Access.InternalUsers.List | Listar solicitações de acesso para os usuários internos. |
61 | Visualiza | Domum.Access.InternalUsers.View | Ver detalhes de acesso dos usuários internos. |
62 | Escrita | Domum.Access.InternalUsers.Write | Criar e atualizar o acesso dos usuários internos. |
63 | Lista | Domum.Access.Requests.List | Lista de pedidos e aprovações próprias |
64 | Visualiza | Domum.Access.Requests.View | Ver todos os detalhes dos seus pedidos e aprovações |
65 | Deleta | Domum.Access.ThirdPartyUsers.Delete | Excluir uma solicitação de acesso de usuário de terceiros |
66 | Lista | Domum.Access.ThirdPartyUsers.List | Listar solicitações de acesso para usuários de terceiros |
67 | Visualiza | Domum.Access.ThirdPartyUsers.View | Detalhe detalhes de acesso de usuários de terceiros |
68 | Escrita | Domum.Access.ThirdPartyUsers.Write | Criar e atualizar o acesso de usuário de terceiros |
69 | Visualiza | Domum.Dashboards.View | Ver todos os dashboards do Domum |
70 | Lista | Domum.Reports.List | Listar todos os relatórios do Domum |
71 | Lista | Domum.Settings.List | Lista todas as configurações e parâmetros do Domum |
72 | Ação | Domum.Settings.PanicButton | Eliminar todos os acessos de um grupo ou fornecedor |
73 | Lista | Domum.Settings.ThirdPartyUsers.List | Lista de usuários de terceiros |
74 | Escrita | Domum.Settings.ThirdPartyUsers.Write | Criar e atualizar usuários de terceiros |
75 | Deleta | Domum.Settings.ThirdPartyUsers.Delete | Excluir usuários de terceiros |
76 | Escrita | Domum.Settings.Write | Criar e atualizar configurações do Domum |
77 | Deleta | Domum.Settings.Delete | Excluir configurações do Domum |
78 | Visualiza | Domum.ThirdPartyUsers.Desktop.View | Visualizar desktop de usuário de terceiros |
DevOps Secret Manager
Cód. | Tipo | Permissão | Descrição |
---|---|---|---|
79 | Excluir | DSM.Applications.Delete | Excluir aplicativo CI/CD e autorizações de recursos |
80 | Lista | DSM.Applications.List | Lista todos os recursos de CI/CD e autorizações de aplicativos |
81 | Visualiza | DSM.Applications.View | Exibir autorizações de aplicativos e detalhes de recursos CI/CD |
82 | Escrita | DSM.Applications.Write | Criar e atualizar autorizações de aplicativos e CI/CD |
83 | Deleta | DSM.Automations.Delete | Excluir módulo de Automações DSM |
84 | Lista | DSM.Automations.List | Listar todas as Automações do módulo DSM |
85 | Visualiza | DSM.Automations.View | Exibir detalhes de automações do módulo DSM |
86 | Escrita | DSM.Automations.Write | Criar e atualizar o módulo DSM Automations |
87 | Visualiza | DSM.Dashboards.View | Exibir todos os dashboards do DSM |
88 | Deleta | DSM.Secrets.Delete | Excluir segredos do módulo DSM |
89 | Lista | DSM.Secrets.List | Lista todos os segredos do módulo DSM |
90 | Visualiza | DSM.Secrets.View | Exibir detalhes dos segredos do módulo DSM |
91 | Escrita | DSM.Secrets.Write | Criar e atualizar o módulo DSM Secrets |
Execuções
Cód. | Tipo | Permissão | Descrição |
---|---|---|---|
92 | Lista | Executions.Reports.List | Lista todos os relatórios de Execuções |
93 | Visualiza | Executions.Reports.View | Ver detalhes dos relatórios de Execuções |
94 | Deleta | Executions.Operations.Delete | Excluir recursos de operações de Execuções |
95 | Escrita | Executions.Operations.Write | Criar e Atualizar Recursos de Operações de Execuções |
96 | Lista | Executions.Operations.List | Lista todos os recursos de operações de Execuções |
97 | Visualiza | Executions.Operations.View | Visualizar recursos de operações de Execuções |
98 | Lista | Executions.Settings.List | Lista todas as configurações de Execuções |
99 | Visualiza | Execuções.Configurações.Visualizar | Visualizar configurações de Execuções |
100 | Escrita | Executions.Settings.Write | Criar e atualizar configurações de Execuções |
101 | Visualiza | Execuções.Configurações.Excluir | Excluir configurações de Execuções |
Go Endpoint Manager
Cód. | Tipo | Permissão | Descrição |
---|---|---|---|
102 | Visualiza | Go.Dashboards.View | Visualizar dashboards go |
103 | Deleta | Go.Linux.Delete | Excluir recursos do Linux |
104 | Lista | Go.Linux.List | Listar todos os recursos do Linux |
105 | Visualiza | Go.Linux.View | Ver todos os detalhes dos recursos do Linux |
106 | Escrita | Go.Linux.Write | Criar e atualizar recursos Linux |
107 | Lista | Go.Reports.List | Lista todos os relatórios e eventos |
108 | Visualiza | Go.Reports.View | Ver todos os relatórios e detalhes dos eventos |
109 | Deleta | Go.Settings.Delete | Delete go settings |
110 | Ação | Go.Settings.InstallationKey.View | Ver chave de instalação |
111 | Lista | Go.Settings.List | Lista todas as configurações de go |
112 | Visualiza | Go.Settings.View | Ver todas as configurações do módulo go |
113 | Escrita | Go.Settings.Write | Criar e atualizar configurações go |
114 | Deleta | Go.Users.Delete | Excluir e reprovar usuários |
115 | Lista | Go.Users.List | Listar todos os usuários |
116 | Visualiza | Go.Users.View | Ver todos os usuários |
117 | Escrita | Go.Users.Write | Escrever e aprovar usuários |
118 | Deleta | Go.Windows.Delete | Eliminar os recursos do Windows |
119 | Lista | Go.Windows.List | Lista de recursos do Windows |
120 | Visualiza | Go.Windows.View | Ver detalhes dos recursos do Windows |
121 | Escrita | Go.Windows.Write | Criar e atualizar recursos do go Windows |
122 | Deleta | Go.Workstations.Delete | Excluir recursos de estações de trabalho |
123 | Lista | Go.Workstations.List | Listar todos os recursos de estações de trabalho |
124 | Visualiza | Go.Workstations.View | Ver todos os detalhes dos recursos das estações de trabalho |
125 | Escrita | Go.Workstations.Write | Criar e atualizar recursos de estações de trabalho |
Informação
Cód. | Tipo | Permissão | Descrição |
---|---|---|---|
126 | Visualiza | PersonalVault.Dashboards.View | Visualizar informações Dashboard |
127 | Deleta | PersonalVault.Information.Delete | Excluir recursos de informação |
128 | Lista | PersonalVault.Information.List | Listar todos os recursos de informação |
129 | Visualiza | PersonalVault.Information.Read | Mostrar detalhes dos recursos de informação |
130 | Escrita | PersonalVault.Information.Write | Criar e atualizar recursos de informação |
131 | Lista | PersonalVault.Reports.List | Listar todos os relatórios |
132 | Deleta | PersonalVault.Settings.Delete | Excluir recursos de configurações |
133 | Lista | PersonalVault.Settings.List | Lista todos os recursos de configurações |
134 | Visualiza | PersonalVault.Settings.Read | Mostrar detalhes dos recursos de configuração |
135 | Escrita | PersonalVault.Settings.Write | Criar e atualizar recursos de configurações |
226 | Visualiza | PersonalVault.PersonalCredential.View | Mostrar detalhes de recursos de credenciais pessoais |
PAM Core
Cód. | Tipo | Permissão | Descrição |
---|---|---|---|
136 | Visualiza | PAM.Dashboards.View | Ver todos os dashboards PAM |
137 | Lista | PAM.PrivilegedAccounts.Custody.List | Lista todas as credenciais sob custódia do usuário |
138 | Deleta | PAM.PrivilegedAccounts.Credentials.Delete | Excluir credenciais |
139 | Lista | PAM.PrivilegedAccounts.Credentials.List | Lista todas as credenciais |
140 | Visualiza | PAM.PrivilegedAccounts.Credentials.View | Mostrar todos os detalhes da credencial |
141 | Visualiza | PAM.PrivilegedAccounts.Credentials.Password.View | Obter credencial ou valor de chave SSH ou parte |
142 | Escrita | PAM.PrivilegedAccounts.Credentials.Write | Criar e atualizar credenciais |
143 | Visualiza | PAM.PrivilegedAccounts.PasswordChange.View | Mostrar todos os detalhes das alterações de senha |
144 | Lista | PAM.PrivilegedAccounts.PasswordChange.List | Lista todas as alterações de senha |
145 | Ação | PAM.PrivilegedAccounts.PasswordChange.Request | Criar solicitação de rotação de senha |
146 | Lista | PAM.SessionManagement.List | Lista todas as informações da sessão |
147 | Ação | PAM.SessionManagement.Start | Iniciar uma sessão |
148 | Ação | PAM.SessionManagement.Drop | Soltar uma sessão |
149 | Visualiza | PAM.SessionManagement.View | Mostrar detalhes de todas as sessões |
150 | Ação | PAM.SessionManagement.Write | Criar e atualizar recursos de Gerenciamento de Sessão |
151 | Visualiza | PAM.SessionManagement.Delete | Excluir recursos de gerenciamento de sessão |
152 | Ação | PAM.SessionManagement.Audit | Listar e executar ações de auditoria |
153 | Deleta | PAM.Devices.Delete | Delete devices |
154 | Lista | PAM.Devices.List | Listar todas as informações do dispositivo |
155 | Visualiza | PAM.Devices.View | Mostrar detalhes do dispositivo |
156 | Escrita | PAM.Devices.Write | Criar e atualizar dispositivos |
157 | Lista | PAM.Reports.List | Listar todos os relatórios PAM |
158 | Deleta | PAM.Settings.Delete | Excluir configurações do PAM |
159 | Lista | PAM.Settings.List | Listar todas as configurações do PAM |
160 | Visualiza | PAM.Settings.View | Mostrar todos os detalhes das configurações do PAM |
161 | Escrita | PAM.Settings.Write | Criar e atualizar configurações do PAM |
Provisioning
Cód. | Tipo | Permissão | Descrição |
---|---|---|---|
162 | Deleta | Provisioning.Delete | Excluir recursos de provisionamento |
163 | Lista | Provisioning.List | Listar acesso a todos os recursos do módulo Provisioning |
164 | Visualiza | Provisioning.Read | Mostrar detalhes dos recursos de aprovisionamento |
165 | Escrita | Provisioning.Write | Criar e atualizar todos os recursos de provisionamento |
Configurações
Cód. | Tipo | Permissão | Descrição |
---|---|---|---|
167 | Deleta | Settings.Authentication.Delete | Excluir recursos de autenticação |
168 | Lista | Settings.Authentication.List | Listar todos os recursos de autenticação |
169 | Visualiza | Settings.Authentication.View | Ver detalhes dos recursos de autenticação |
170 | Escrita | Settings.Authentication.Write | Criar e atualizar recursos de autenticação |
171 | Deleta | Settings.Backup.Delete | Excluir recursos de backup |
172 | Lista | Settings.Backup.List | Listar todos os recursos de backup |
173 | Visualiza | Settings.Backup.View | Ver detalhes dos recursos de backup |
174 | Escrita | Settings.Backup.Write | Criar e Atualizar Recursos de Backup |
175 | Lista | Settings.Eula.List | Listar todos os recursos do Eula |
176 | Visualiza | Settings.Eula.View | Ver detalhes dos recursos do Eula |
177 | Deleta | Settings.Notification.Delete | Excluir recursos de notificação |
178 | Lista | Settings.Notification.List | Listar todos os recursos de notificação |
179 | Visualiza | Settings.Notification.View | Ver detalhes dos recursos de notificação |
180 | Escrita | Settings.Notification.Write | Criar e atualizar recursos de notificação |
181 | Deleta | Settings.Services.Delete | Excluir recursos de serviços e processos de execução |
182 | Lista | Settings.Services.List | Lista todos os recursos de serviços e processos de execução |
183 | Visualiza | Settings.Services.View | Ver detalhes de recursos de serviços e processos de execução |
184 | Escrita | Settings.Services.Write | Criar e Atualizar recursos de serviços e processos de execução |
185 | Deleta | Settings.SystemParameters.Delete | Excluir recursos de parâmetros do sistema |
186 | Lista | Settings.SystemParameters.List | Listar todos os recursos de Parâmetros do Sistema |
187 | Visualiza | Settings.SystemParameters.View | Exibir detalhes dos recursos dos parâmetros do sistema |
188 | Escrita | Settings.SystemParameters.Write | Criar e atualizar recursos de parâmetros do sistema |
189 | Deleta | Settings.UserManagement.Delete | Excluir recursos de gerenciamento de usuários |
190 | Lista | Settings.UserManagement.List | Listar todos os recursos de gerenciamento de usuários |
191 | Visualiza | Settings.UserManagement.View | Ver detalhes dos recursos de gerenciamento de usuários |
192 | Escrita | Settings.UserManagement.Write | Criar e atualizar recursos de gerenciamento de usuários |
193 | Lista | User.Desktop.List | Listar relatórios da área de trabalho do usuário |
194 | Visualiza | User.Desktop.View | Visualizar desktop e dashboards do usuário |
195 | Escrita | User.Settings.Write | Editar configurações do usuário |
224 | Exibir | System.Dashboards.Admin | Exibir painéis administrativos |
166 | Ação | Reports.Schedule | Ação para agendar o envio de relatórios periodicamente |
225 | Lista | Reports.Telemetry.List | Ver relatório de telemetria |
20 | Escrita | System.EmergencyPanel.Control | controle do painel de emergência |
Task Manager
Cód. | Tipo | Permissão | Descrição |
---|---|---|---|
196 | Visualiza | TaskManager.Dashboards.View | Ver todos os dashboards do módulo Gerenciador de Tarefas |
197 | Lista | TaskManager.Executions.List | Listar execuções e operações do Gerenciador de Tarefas |
198 | Visualiza | TaskManager.Executions.View | Visualizar execuções e detalhes de operações do Gerenciador de Tarefas |
199 | Deleta | TaskManager.Settings.Delete | Excluir recursos de configurações do módulo Gerenciador de tarefas |
200 | Lista | TaskManager.Settings.List | Lista todos os recursos de configurações do módulo Gerenciador de Tarefas |
201 | Visualiza | TaskManager.Settings.View | Mostrar detalhes dos recursos de configurações do módulo Gerenciador de Tarefas |
202 | Escrita | TaskManager.Settings.Write | Criar e atualizar recursos de configurações do módulo Gerenciador de Tarefas. |
203 | Deleta | TaskManager.Tasks.Delete | Excluir tarefas do Gerenciador de Tarefas |
204 | Lista | TaskManager.Tasks.List | Listar todas as tarefas do Gerenciador de Tarefas |
205 | Visualiza | TaskManager.Tasks.View | Ver todos os detalhes das tarefas do Gerenciador de Tarefas |
206 | Ação | TaskManager.Tasks.Execute | Permitir que o usuário execute uma tarefa |
207 | Escrita | TaskManager.Tasks.Write | Criar e atualizar tarefas do Gerenciador de Tarefas |
Controle de Acesso
Cód. | Tipo | Permissão | Descrição |
---|---|---|---|
208 | Deleta | AccessControl.Delete | Excluir recursos de controle de acesso de todos os módulos |
209 | Lista | AccessControl.List | Lista todos os recursos de Controle de Acesso de todos os módulos |
210 | Visualiza | AccessControl.View | Ver detalhes dos recursos de Controle de Acesso de todos os módulos |
211 | Escrita | AccessControl.Write | Criar e atualizar recursos de Controle de Acesso de todos os módulos |
212 | Ação | AccessControl.Approval | Aprovar e reprovar solicitações |
Configurações
Cód. | Tipo | Permissão | Descrição |
---|---|---|---|
213 | Visualiza | System.AuditTracking.View | Ver trilha de auditoria do sistema |
214 | Escrita | System.Settings.Write | Escrever configurações do sistema |
Controle de Acesso
Cód. | Tipo | Permissão | Descrição |
---|---|---|---|
215 | Lista | AccessControl.Audit | Escrever configurações do sistema |
216 | Lista | AccessControl.CurrentUser.List | Lista todas as solicitações de controle de acesso para o usuário atual |
Configurações
Cód. | Tipo | Permissão | Descrição |
---|---|---|---|
217 | Lista | System.Common.List | Lista de configurações comuns do sistema |
218 | Escrita | System.Common.Write | Escrever configurações comuns do sistema |
219 | Lista | Settings.Tenants.List | Lista de configurações de Tenants |
220 | Escrita | Settings.Tenants.Write | Escrita de configurações de Tenants |
221 | Escrita | System.Settings.Orbit | Orbit acesso as configurações do sistema |
222 | Escrita | System.Settings.Eula | Eula aceita e gerencia configurações |
Cloud
Cód. | Tipo | Permissão | Descrição |
---|---|---|---|
223 | Visualiza | Cloud.Operations.View | Ver todas as operações do Cloud IAM |
PAM Operator - Multitenant
Para o usuário operador do PAM em cenários de multitenant.
Este usuário é capaz apenas de cadastrar e gerenciar dispositivos e credenciais do seu tenant.
Permite que o usuário gerencie dispositivos e credenciais de seu próprio tenant (para cenários multitenant).
Tipo | Permissão | Descrição |
---|---|---|
Delete | PAM.PrivilegedAccounts.Credentials.Delete | Excluir credenciais |
Lista | PAM.PrivilegedAccounts.Credentials.List | Lista todas as credenciais |
Visualiza | PAM.PrivilegedAccounts.Credentials.View | Mostrar todos os detalhes da credencial |
Escrita | PAM.PrivilegedAccounts.Credentials.Write | Criar e atualizar credenciais |
Deleta | PAM.Devices.Delete | Deletar dispositivos |
Lista | PAM.Devices.List | Listar todas as informações do dispositivo |
Visualiza | PAM.Devices.View | Mostrar detalhes do dispositivo |
Escrita | PAM.Devices.Write | Criar e atualizar dispositivos |
- Permitir selecionar múltiplas credenciais no relatório para desabilitar em massa todas as credenciais selecionadas
- Permitir selecionar múltiplas credenciais no relatório para habilitar em massa todas as credenciais selecionadas
- Permitir selecionar múltiplas credenciais no relatório para editar em massa todas as credenciais selecionadas
Requisitos
- PAM.PrivilegedAccounts.Credentials.Delete
- PAM.PrivilegedAccounts.Credentials.Write
Estas permissões deverão ser concedidas por padrão aos perfis de System Administrator, PAM Administrator e PAM Operator.
Auditoria
Gerar eventos no relatório Audit Tracking, para as seguintes ações em massa realizadas em Credenciais:
- Alteração de credenciais em massa
- Desativação de credenciais em massa
- Inativação em massa da credencial do dispositivo
Syslog
Os eventos do Audit Tracking também devem ser ecoados para o Syslog, os logs do SIEM:
- Alteração de credenciais em massa
- Desativação de credenciais em massa
- Desativação em massa da credencial do dispositivo
No menu PAM → Credentials → All para as ações em massa,
- Editar credenciais,
- Ativar credenciais
- Desativar credenciais
Approval Workflow
- PAM Core
- Bulk Actions
- All requests
- My requests
- Pending approvals
- Domum Remote Access
- Certicate Manager
- Task Manager
- DevOps Secret Manager
- Cloud IAM
- GO Endpoint Manager
- Dicovery
- Executions
- Settings
Criação de novos papéis
O processo de atualização do senhasegura irá atualizar automaticamente os papéis e permissões definidos na instalação padrão. Os papéis tenham sido criados pelo administrador não serão alterados pela atualização! Cabe ao administrador a constante revisão de usuários e papéis customizados para garantir a correta atribuição de poderes.
Criar novos papéis pode aumentar a superfície de risco, pois um pequeno erro, como uma permissão a mais pode conceder a um usuário mais poder do que este poderia ter. Por isso o senhasegura disponibiliza papéis de acordo com os tipos mais comuns de usuário. Se possível utilize um dos 25 papéis pré-cadastrados e evite criar novos.
Os papéis entregues pelo senhasegura são adequados para que o administrador possa distribui-los os usuários. Mas às vezes pode ser necessário que um usuário receba menos acesso do que os papéis registrados oferecem.
Uma divisão apropriada de responsabilidades é refletida nos privilégios de acesso concedidos aos usuários torna-se necessária para a execução adequada, eficiente e segura das atividades do senhasegura , para isso utilizamos o conceito de Segregação de Funções (SoD).
Vamos usar como exemplo um consultor que precisa observar apenas os relatórios operacionais do módulo Certificate Manager sem poder realizar ações.
Neste caso, não recomendamos que os papéis System Administrator, Certificates Administrator e PAM Auditor sejam atribuídos. Isso seria um grande risco para a empresa, já que lhe concederia mais acesso que o necessário.
Vamos então criar um novo Papel para este usuário.
Vá para o menu Configurações ➔ Gestão de usuários ➔ Papéis para listar as funções registradas
Através da ação de relatório, acesse o formulário de registro e registre uma nova função denominada Auditoria de certificados
Descreva o objetivo deste papel
Vá para a aba Permissões
Adicione as permissões que este papel poderá realizar
Você poderá filtrar as permissões por: Tipo, Módulo e até Descrição.
No caso deste exemplo as permissões que serão adicionadas serão:CertificateManager.Dashboards.View: Ver dashboards do Certificate Manager
CertificateManager.Reports.List: Listar todos os relatórios e eventos relacionados a certificados
CertificateManager.Reports.View: Ver todos os relatórios e eventos relacionados a certificado
- Para que as permissões sejam concedidas corretamente se atente ao tipo de cada:
List: Permissões para listagem em relatórios
View: Permissões para exibição de detalhes de operações
Write: Permissões para configuração, cadastro e alteração de registros do sistema
Delete: Permissões para inativação de registros do sistema
Action: Esse tipo concentra ações de operações administrativas específicas de cada módulo
Na guia Usuários adicione os usuários que devem ser associados a este papel. Caso o usuário que deseja associar ainda não esteja criado, você pode pular essa etapa
Clique em Salvar
Clonando Papéis existentes
Você também pode criar um novo Papel baseado em um Papel já existente. No relatório de Papéis, cada registro possui uma ação Clonar. Ao clicar nesta ação, o senhasegura criará um novo registro baseado no Papel selecionado.
Este novo papel poderá ser editado pelo Administrador, adicionando ou removendo permissões e usuários.
Um papel clonado não irá herdar os usuários vinculados ao registro de papel originador.
Registrando usuário
Para criar um usuário, clique no botão de ação rápida Usuário, e na tela aparecerão os seguintes passos:
Defina um nome de usuário. Este nome é a representação do usuário nas outras telas
Defina o username de usuário
No campo senha:
Deixe o campo da senha em branco se o serviço de e-mail foi definido
Digite manualmente a senha enquanto o serviço de e-mail não estiver definido
O campo Ignorar multifator de autenticação? indica se este usuário não tem obrigação de se registrar e usar o token MFA OTP ao usar a senhasegura
CuidadoEste campo não está disponível se o usuário atual estiver tentando alterar sua própria conta e só aparece durante a edição de um usuário.
Confirme se o status do usuário está ativo no campo Status
Confirmar que o usuário administrador tem acesso a Orbit através do campo Acesso ao Orbit
Tenha cuidado com as contas encarregadas de gerenciar o Portal Orbit. Não conceda este acesso a um usuário sem preocupação. O Portal Orbit tem muitos serviços de controle. Veja a documentação do Orbit Web para mais detalhes.
9. Na aba Papéis, selecione os papéis que devem ser atribuídos a este usuário.
Como exemplo, imagine que este usuário deva apenas consultar credenciais e realizar sessões remotas, nesta tela deverá ser adicionado o papel PAM User.
É possível adicionar mais de um papel a um usuário, entretanto o administrador deve ter cautela para que os papéis adicionados não entrem em conflito com as atividades do usuário, entregando poderes maiores que suas responsabilidades.
10. Na aba Grupos de acesso, selecione o grupo de acesso que ele fará parte, ou seja, o limite de credenciais que o usuário poderá interagir
11. Salvar usuário com o botão Salvar
Agora é necessário realizar esta validação do usuário. Peça ao usuário que possui esta conta para acessar o senhasegura e fazer o primeiro login. Ele será solicitado a alterar a senha temporária, de acordo com os critérios de segurança padrão.
Esquecer um usuário
senhasegura fornece um mecanismo para garantir o direito de ser esquecido, ao ser notificado por um usuário que deseja que seus dados sejam removidos da aplicação.
Além disso, se solicitado pelo usuário senhasegura pode fornecer um relatório completo dos dados que foram coletados dele, como por exemplo:
Nome
Telefone
E-mail
Lista de acessos com IP, navegador, localização e horário
Este relatório pode ser extraído como uma ação da tela do usuário.
Sempre que um relatório é emitido ou um usuário é esquecido os alertas são enviados ao Syslog e as notificações por e-mail também podem ser registradas.
Para esquecer um usuário vá ao relatório de usuário do sistema em: Configurações ➔ Gestão de usuários ➔ Usuários, encontre o registro do usuário que deseja esquecer, na coluna Ação clique na opção Esquecer usuário.
Importar usuários
1. Para importar usuários para senhasegura , vá para o menu: Configurações ➔ Usuários do sistema ➔ Importação em lote.
2. Clique no botão Escolher arquivo para selecionar o arquivo a ser importado, selecione o arquivo desejado e clique no botão Abrir.
3. Clique no botão Import Users para concluir a importação.
Modelos de planilhas de importação podem ser obtidos clicando no botão Com usuários, para um modelo com exemplos de usuários e Vazio, para um arquivo de modelo não preenchido.
Tokens
Qualquer usuário pode configurar sua própria conta para usar a autenticação em duas etapas. Você também pode forçar todos os usuários a usá-lo em ações específicas.
Você pode ver quantos usuários estão usando a autenticação em duas etapas e cancelar tokens no relatório Configurações ➔ Autenticação ➔ multifator de autenticação.
Inativar um usuário
Para inativar um usuário, siga as seguintes etapas:
Vá ao relatório de usuários através do menu Configurações ➔ Usuários do sistema ➔ Usuários
Filtre o relatório com o filtro desejado e localize o registro do usuário a ser inativado
Clique no botão de ação Alterar
No formulário do usuário, altere a chave Estado para Inativo
Salve o registro no botão Salvar
Ao inativar um usuário, este será desconectado de sua sessão Web assim como de todas sessões proxy em execução. Para o senhasegura.go, será necessário aguardar o tempo de atualização de registros da aplicação.
Apenas a conta de usuário no senhasegura será inativada. Caso o senhasegura esteja configurado para utilizar um provedor de autenticação externo, esse provedor não será informado da inativação.
Auditoria
Os relatórios de auditoria do sistema de permissão são divididos em relatórios que ajudam a identificar as permissões que um usuário tem, e relatórios que ajudam a identificar as mudanças que ocorreram no sistema de permissão.
Assim, o administrador será capaz de identificar falhas de segurança que ocorreram ou ainda são vulneráveis.
Através do módulo Relatórios, você terá acesso a vários relatórios de auditoria do senhasegura. Neste livro, nos concentraremos apenas nos relatórios pertinentes a Camada de Controle de Acesso.
No menu Permissões você tem acesso aos seguintes relatórios:
Papéis por usuário:
Verifique a quais papéis foram atribuídos para cada usuário
Mesmo usuários inativos são considerados
O filtro pode ser baseado no usuário, no papel ou em ambos
Permissões por usuário:
Verificar quais permissões foram concedidas para cada usuário
O filtro pode ser baseado no usuário, permissão ou ambos
Logs de auditoria:
Ver histórico das modificações feitas nos papéis
Você pode identificar qual usuário realizou a modificação quando a realizou, e que mudança foi feita
Filtrar por período, usuário e operação
Permissões de migração:
Consultar quais papéis foram adicionados, mantidos ou removidos em comparação ao sistema de permissionamento de versões anteriores do senhasegura
O filtro pode ser baseado no código de usuários, permissão ou status