Grupos e Papéis
Grupos e papéis têm o objetivo de simplificar a parametrização de segurança do sistema. Ao atribuir permissões e privilégios aos grupos e papéis, o administrador se concentra em definir quais grupos de pessoas e funções compartilham o mesmo perfil de acesso ao sistema e concede as permissões mínimas necessárias para esses perfis.
Uma vez realizada essa parametrização inicial, a administração da segurança passa a se concentrar em associar os usuários do sistema a esses grupos e papéis de acordo com a função deles na empresa. Um usuário associado a um grupo ou papel herdará automaticamente todas as permissões concedidas ao grupo ou papel associado.
A atribuição de permissões aos grupos e papéis é mais flexível que a configuração diretamente associada aos usuários. Se um usuário mudar a sua função na empresa ou se precisar de um acesso temporário para cobrir as férias de um outro funcionário, não será necessário revisar as permissões configuradas para os usuários. Bastará o administrador rever as associações desse usuário aos grupos e papéis existentes na base de dados.
Diferenças entre Grupos e Papéis
Para o modelo de segurança, Grupos e Papéis se comportam de forma similar: usuários associados a eles herdam as suas permissões. A existência dessas duas formas de organização das permissões se deve apenas para diferenciar as configurações realizadas pelo Administrador do Sistema, que são específicas de uma base de dados, daquelas que são sugeridas pelo Fornecedor do Sistema e são iguais em todas as bases de dados. A seguir detalhamos cada uma das opções e o seu cenário de uso.
Grupos
Grupos têm a função de agrupar usuários com a mesma necessidade de permissões na perspectiva organizacional da empresa. Normalmente são criados pelo administrador do sistema. Exemplos: Tesouraria Matriz, Tesouraria Filial, Frente de Loja, Recursos Humanos, etc.
As permissões definidas para os grupos são específicas de uma base de dados e não podem ser enviadas para outras bases de dados.
Papéis
Papéis são criados normalmente pelo fornecedor do sistema com o objetivo de pré-configurar um conjunto de permissões necessárias para a execução de uma função específica dentro do sistema. Eles são criados com uma perspectiva genérica de funções organizacionais. Eles nem sempre são adequados para a realidade da empresa e devem ser vistos apenas como sugestões das permissões necessárias para que os usuários possam desempenhar uma determinada função. Exemplos: Atualização do sistema, Desenvolvedor do sistema, Operador de caixa júnior, Estoque de loja, etc.
Uma outra característica importante que difere os Papéis dos Grupos é que as permissões associadas aos Papéis são modificadas pelos processos de atualização do sistema. Papéis vêm como sugestões de permissões junto ao produto, e assim sendo estão sujeitos às atualizações para adequação às novas funcionalidades e possibilidades do sistema. Papéis criados pelo fornecedor do sistema não podem ser alterados pelo administrador, tendo em vista que qualquer modificação realizada seria perdida na próxima atualização do sistema.
Apesar dos papéis normalmente serem criados pelo fornecedor do sistema, há possibilidade da criação de papéis custom. Geralmente esse recurso é utilizado para criar papéis que garantem maior aderência à realidade da empresa, ou para congelar um papel sugerido pelo produto, evitando que ele sofra alterações nas permissões a cada atualização.
Processo Grupos e Papéis
Caminho: Admin > Segurança > Grupos, papéis e usuários > Grupos e papéis.
Interface padrão
Os campos listados aqui fazem parte da interface padrão deste processo, podendo ser estendidos de acordo com os módulos instalados em cada sistema. Para uma melhor explicação individual de cada campo, o usuário deve checar a ajuda do sistema pressionando F1 após posicionar o cursor sobre o campo desejado.
Dados do grupo
Nome: Nome (curto) que permite a identificação do grupo no sistema.
Nome completo: Nome completo do grupo.
Grupos e papéis: Grupos e papéis aos quais este grupo está associado.
Grupos e papéis herdados: Grupos e papéis herdados por meio da inclusão em Grupos e papéis.
Política de segurança: Políticas de segurança que controlam o acesso dos usuários ou servidores associados ao grupo às interfaces do sistema.
E-mail: Endereço de correio eletrônico do grupo.
Atalhos: atribui atalhos personalizados aos processos no menu principal do sistema dos usuários associados a este grupo ou papel.
Escopos de autorização: escopos de autorização atribuídos diretamente ao grupo ou papel.
Escopos de autorização herdados: escopos de autorização atribuídos aos grupos e papéis aos quais o registro está associado.
Servidor SMTP
Servidor SMTP: servidor alternativo para envio de e-mails disponível para esse usuário, permitindo que possa ser utilizado um servidor SMTP diferente do padrão configurado no sistema.
Operações comuns
Adicionando um grupo ou papel
Para adicionar um grupo ou papel, o administrador deve inserir um novo registro na grade Grupos e Papéis, e preencher corretamente seus campos. É necessário informar o nome curto (que o identifica no sistema) e nome completo para o grupo ou papel que se deseja criar.
Excluindo um grupo ou papel
Para excluir um grupo, o administrador deve excluir o registro correspondente na grade. O sistema irá confirmar a exclusão e verificará se existe algum usuário associado àquele grupo ou papel. Caso algum usuário ainda esteja associado ao grupo ou papel que se deseja excluir, o sistema informará que não é possível realizar a operação até que todos os usuários sejam desassociados.
Associação de grupos ou papéis
É possível associar grupos e papéis a outros grupos e papéis, aumentando o potencial e a flexibilidade da estratégia de gerenciamento. Esta função é especialmente útil no gerenciamento de permissões, que costumam ser atribuídas aos grupos. Utilizando esta função, é possível atribuir e herdar permissões ao associar grupos a outros grupos de usuários, somando as permissões dos grupos envolvidos. Para associar grupos a outro grupo, basta adicioná-los no campo Grupos ou papéis do grupo de destino.
Alterando a ordem dos grupos de um grupo
A ordem dos grupos e papéis associados serve para resolver conflitos de permissões de campos. Caso um grupo ou papel faça parte de outros grupos e papéis com permissões conflitantes para determinado campo de uma classe, valerá a permissão daquele com menor ordem.
Por exemplo: suponha que estejamos criando um grupo, chamado Diretores, e que desejamos dar a esse grupo a permissão de todos os demais grupos já cadastrados. Fazemos então com que o grupo Diretores faça parte dos grupos Operadores de Caixa e Gerentes de Loja. Suponha ainda que Operadores de Caixa revoga a permissão de alteração para o campo “Devolução”, e Gerentes de Loja concede permissão de alteração para esse mesmo campo. Se Operadores de Caixa tiver uma ordem menor que Gerentes de Loja no registro de Diretores, então Diretores terá a permissão de alteração do campo revogada. Se Gerentes de Loja for o de menor ordem, Diretores terá a permissão de alteração concedida.
Para mais informações sobre permissões de campos, consulte o manual de permissões.
Grupos especiais
O sistema possui por padrão alguns grupos com propriedades especiais, que desempenham papéis importantes no gerenciamento do acesso e estão listados a seguir.
Todos
Todos os usuários do sistema, exceto o usuário especial anonymous, participam do grupo Todos, por mais que não estejam explicitamente associados a esse grupo. Dessa forma, uma permissão associada ao grupo Todos é concedida para todos os usuários do sistema. O objetivo desse grupo é permitir a concessão de permissões que sejam válidas para todos os usuários, evitando a duplicação dessas regras em diversos grupos de usuários. Ele também é util para configurar uma política de segurança padrão para todos os usuários.
Administradores
Possui as permissões relativas à administração do sistema, referente ao acesso de processos e relatórios do módulo Admin. Permite ao usuário associado, entre outras ações, modificar a senha de outros usuários.
Desenvolvedores
Possui as permissões relativas ao desenvolvimento no sistema, como acesso à IDE. Permite ao usuário associado realizar consultas diretamente no iDBC Sql (ferramenta do banco de dados).
Relatórios auxiliares
Usuários do grupo
Caminho: Admin > Segurança > Grupos, papéis e usuários > Usuários do grupo.
Permite visualizar os usuários que estão em determinados grupos e papéis ou os grupos e papéis aos quais determinados usuários estão associados. É possível refinar a pesquisa determinando os grupos ou usuários desejados nas listas de seleção dos respectivos campos, assim como suas respectivas classes. O formato do resultado pode ser alterado no campo Agrupamento, que permite dividir os resultados em grupos ou usuários.
Usuários habilitados
Caminho: Admin > Segurança > Grupos, papéis e usuários > Usuários habilitados.
Permite visualizar os usuários que estão habilitados a utilizar o sistema em um determinado período informado.