Gestão dos Papéis

Combinação de permissões

O usuário joão.silva está relacionado ao papel colaborador. Esse papel possui autorização para realização da ação Consulta no recurso de campo personalizado.

O usuário pedro.santos está relacionado ao papel colaborador e analista. Além das definições do papel de colaborador (acima), o papel de analista possui permissão de Criar, Editar e Excluir no recurso de campo personalizado.

O usuário maria.silva possui o papel admin, que não contém nenhum filtro, ou seja, não impõe restrições específicas. Portanto, um usuário com o papel admin tem visibilidade de todas as empresas e filiais. No entanto, ao adicionar um papel adicional, como administrador filial 1 (que filtra empresa 1 com filial 1), o sistema passa a aplicar restrições de acordo com os filtros desse papel específico (limitando as informações à empresa 1 com filial 1), mesmo com a presença do papel mais abrangente.

Se um terceiro papel for adicionado, por exemplo, com um filtro para empresa 2 com filial 2, o sistema deve levar em consideração todos os papéis, resultando em uma filtragem que engloba empresa 1 com filial 1 e empresa 2 com filial 2.

Negação de permissão

O usuário rosa.maria está relacionado apenas ao papel analista; como o papel de analista possui permissão de Criar, Editar e Excluir no recurso de campo personalizado, mas não possui permissão de Consulta, esse usuário não conseguirá realizar consultas de campos personalizados.

O RBAC (Role-Based Authorization Control) é um controle de permissões baseado em papéis. É o primeiro nível de permissões de acesso e também o mais simples. Basta informar quais recursos um papel pode acessar e quais ações podem ser realizadas em cada recurso.

É possível que existam necessidades além do que o RBAC disponibiliza, por isso, criou-se o conceito de ABAC.

Complementando o RBAC, a autorização pode se dar pela validação de atributos. Durante a definição do recurso, o serviço de negócio poderá vincular atributos, tornando possível a validação durante a verificação da autorização. Quando o recurso possuir atributos, durante a gestão das permissões, o usuário final poderá incluir um script (javascript) que deverá validar os atributos, podendo assim autorizar ou negar acesso.

Na XPlatform, o ABAC é utilizado para permissões mais complexas, como hora do dia e localização geográfica do usuário, para permitir utilizar o sistema de uma forma dinâmica e distribuída.

Para o gerenciamento de autorizações mais complexas, filtros podem ser vinculados a permissões ou papéis para que os serviços de negócio possam permitir um acesso parcial a um recurso/ação. Assim como o ABAC, os filtros existentes são definidos pelo serviço de negócio, sem interação do usuário. Por exemplo, determinado papel só pode acessar as notas fiscais emitidas pela empresa à qual está associado, ou então só pode acessar os dados da empresa X, filial X.

A plataforma hoje permite definir dois tipos de filtros:

• Filtro de recurso: os filtros de recurso ou booleanos são vinculados a ações durante a gestão de permissões para ativar ou desativar uma funcionalidade, como por exemplo: o recurso usuário com ação Visualizar retorna uma lista de todos usuários e possui o filtro restringir filial. Durante a gestão da permissão, posso adicionar o filtro no papel gerente, mas não no diretor, já que o diretor pode visualizar os usuários de todas as filiais.
• Filtro de serviço: são mais complexos que os de recurso, pois permitem adicionar conjunto de valores vinculados diretamente ao papel e ao serviço do recurso em questão. Seguindo o exemplo anterior, o recurso usuário com ação Visualizar retorna uma lista de todos usuários e possui o filtro código da filial. Dado que um gerente pertence a uma filial e um gerente regional a uma ou mais filiais, posso adicionar os filtros da seguinte forma:

Após vinculados ao papel, os filtros serão retornados na verificação de permissão para que o negócio possa consumir esses dados.

1. Acesse Tecnologia > Administração > Autorização > Gestão dos papéis;
2. Clique em Novo papel;
3. Informe o Nome do papel e a Descrição do papel para identificá-lo;
4. Na guia Usuários, selecione os usuários que farão parte do papel:
   • Encontre o usuário que deseja incluir no papel e utilize o toggle da coluna Associado;
   • Marque a caixa de seleção Incluir usuários bloqueados se precisar visualizar os usuários bloqueados da plataforma.

5. Na guia Permissões, selecione os recursos e as ações a que os usuários associados ao papel terão acesso:
   • Clique sobre um domínio/serviço para visualizar os recursos e suas ações nele contidos;
   • Clique na caixa de seleção para definir os recursos e acessos do papel;
   • Alguns recursos podem possuir filtros, que serão exibidos ao lado da ação. Clicando neles é possível criar filtros booleanos;

6. Na guia Filtros, visualize os domínios/serviços que possuem filtros customizados e defina um ou mais conjuntos de valores, sendo cada página um conjunto:
   • Clique sobre um domínio/serviço;
   • Informe os valores dos filtros;
   • Repita o procedimento quantas vezes forem necessárias.

7. Na guia Propriedades, adicione um conjunto de chaves/valores para um papel, atribuindo-lhe metadados que podem ser utilizados em customizações:
   • Adicione o Nome e depois defina o Valor;
   • Clique no botão de adicionar para concluir.

8. Na guia Aplicações, selecione as aplicações de acesso que farão parte do papel:
   • Encontre a aplicação que deseja incluir no papel e utilize toggle da coluna associado.
9. Caso possua papéis criados na X Plataforma de Soluções, e pretenda integrar um papel de mesmo nome cadastrado na G5/LDAP, a toggle deve ser marcada, dessa forma o integrador tem permissão para editar o papel existente. Caso não marque, será exibida a mensagem o papel já existe e não será integrado até que o usuário efetue a correção dos nomes.
10. Após configurado o papel, clique em salvar.

1. Acesse Tecnologia > Administração > Autorização > Gestão dos papéis;
2. Localize o papel que deseja alterar;
3. Clique em Editar;
4. Realize as mudanças necessárias;
5. Clique em Salvar.

A qualquer momento clique em Cancelar para descartar as alterações.

1. Acesse Tecnologia > Administração > Autorização > Gestão dos papéis;
2. Localize o papel que deseja excluir;
3. Clique em Editar;
4. Clique em Excluir;
5. Confirme a exclusão.

A qualquer momento clique em Cancelar para descartar as alterações.

Duplicar um papel facilita a criação de um novo papel que tenha permissões semelhantes a outro. Quando duplicado, ele cria um novo papel com as mesmas permissões. Porém, os usuários associados ao papel não serão copiados para o papel duplicado.

1. Acesse Tecnologia > Administração > Autorização > Gestão dos papéis;
2. Localize o papel que deseja duplicar;
3. Clique em Editar;
4. Clique em Duplicar;
5. Informe o Nome do papel e Descrição do papel que será criado;
6. Clique em Salvar para confirmar a operação.

A qualquer momento clique em Cancelar para descartar as alterações

1. Acesse Tecnologia > Administração > Autorização > Gestão dos Papéis.
2. Localize o papel desejado para associar/desassociar todos os usuários.
3. Marque a caixa de seleção ao lado do papel desejado.
4. Na parte superior, ao lado do botão Novo Papel, serão exibidos os botões Associar todos os usuários e Desassociar todos os usuários.
5. Escolha a operação desejada clicando no botão correspondente.