Contas de suporte

O sistema possibilita que os acessos dos funcionários e colaboradores do fornecedor do sistema sejam geridos de uma forma diferenciada das contas dos usuários normais da base de dados. Essa gestão requer uma atenção especial, pois esses acessos normalmente são temporários e necessários apenas no atendimento de uma determinada atividade de suporte. Eles também são realizados por profissionais que não têm vínculo direto com a empresa e que precisam ser autorizados tanto pelo administrador como pelo fornecedor do sistema. Para isso, o sistema tem um tipo de conta especial chamado de “Conta de suporte”.

Usuários com esse tipo de conta sempre são autenticados por um provedor de identidade do fornecedor do sistema que garante a autorização desse usuário em acessar a base de dados para a realização de um suporte. O uso dessas contas também requer a autorização do administrador do sistema, que pode realizar essa autorização de forma manual, fluxo recomendado para bases de produção, ou de forma automática em ambientes de desenvolvimento e homologação, se assim o desejar.

Importante: esta funcionalidade somente estará disponível na versão 71 ou superior do Engine.

Configurações das contas de suporte

O administrador do sistema pode gerenciar as configurações gerais de contas de suporte por meio do processo “Admin > Segurança > Contas de suporte > Configurações”.

Configurações gerais

• “Acesso habilitado”: habilita o uso de contas de suporte no sistema.
• “Autorização automática”: habilita a autorização automática de contas de suporte.
• “Gerencia usuários e segurança?": habilita aos usuários de suporte a edição de permissões, grupos, papéis e usuários. Por padrão, essa edição não é permitida, salvo alguns campos da própria conta do usuário de suporte. Para configuração de permissões mais detalhada, habilitar esta configuração e definir grupos ou papéis próprios para as contas de suporte.
• “Provedor de identidade”: o provedor de identidade que será usado para o acesso das contas de suporte. Via de regra, o administrador terá apenas um provedor a ser escolhido, definido pelo fornecedor do sistema.
• “Solicitantes bloqueados”: contador de usuários impedidos de realizar novas solicitações de autorização. O campo conta com link para o cadastro da classe “Solicitantes de autorização de suporte bloqueados” (-1898139431).
• “Validade do pedido de autorização (dias)": indica em quantos dias as solicitações de autorização devem expirar.

Modelo para criação de contas

• “Vigência (dias)”.
• “Política de segurança”.
• “Grupos e papéis”.

Todas as contas são criadas com a vigência, a política de segurança, os grupos e os papéis que estiverem no modelo de criação de contas. Uma conta de suporte eventualmente pode ter seus campos alterados e, diferente das outras configurações, o modelo de criação não é automaticamente aplicado a essas contas quando alterado neste processo. Para aplicar essas configurações, utilizar o botão “Aplicar modelo às contas atuais”.

Email de autorização

• “Destinatários”: grade que lista os registros da classe “Destinatários dos emails de autorização de contas de suporte” (-1898139430).

Quando uma solicitação é realizada ou aceita, um email é enviado a todos os destinatários com as informações da solicitação. Emails de solicitação realizada também contam com links para aceitar ou rejeitar a solicitação. Para ser considerado um destinatário válido, o usuário deve ter endereço de email configurado, não pode ser uma conta de suporte e deve possuir o escopo security.authorizeSupportAccount.

Configurando um provedor de identidade

Contas de suporte acessam o sistema apenas por meio de provedores de identidade configurados para este tipo de conta. O fornecedor deve cadastrar um provedor de identidade através do processo “Admin > Segurança > Provedores de identidade”, preenchendo o campo “Tipo de conta” com “Suporte”. Mais informações no manual de provedores de identidade.

Provedores de identidade para contas de suporte são assinados digitalmente pelo fornecedor. No momento da gravação de um provedor de identidade, caso esteja configurado para contas de suporte, o sistema requisitará a chave privada de posse do fornecedor para assinar digitalmente aquele provedor. Isto se faz necessário para que dados sensíveis de tais provedores não sejam alterados por qualquer usuário, de modo que apenas funcionários do fornecedor possam ter acesso ao sistema por meio de contas de suporte.

Provedores de identidade para contas de suporte nunca são listados na tela de login e por padrão não são exibidos na grade inicial do processo “Admin > Segurança > Provedores de identidade”. Para exibi-los na grade do processo, deve-se utilizar o botão “Exibir provedores de suporte”.

Realizando acesso com conta de suporte

O usuário de suporte acessa o sistema utilizando a opção “Entrar com conta de suporte” (disponível em outras opções, no canto inferior direito da tela), e inserindo os mesmos nome de usuário e senha configurados no provedor de identidade. No momento do acesso, caso a conta não esteja autorizada, uma solicitação de autorização é criada.

• No primeiro acesso, nome completo e CPF são colhidos para realizar a solicitação.
• Contas desativadas não podem solicitar autorização. Um aviso é exibido na tela caso um usuário tente acessar o sistema com uma conta desativada.
• Usuários cuja última solicitação de autorização foi rejeitada são avisados no momento do acesso, e podem realizar nova solicitação.

Autorizando contas de suporte

As solicitações de autorização pendentes podem ser visualizadas e resolvidas através do processo “Admin > Segurança > Contas de suporte > Solicitações de autorização”. Neste processo, o o administrador deve selecionar as solicitações desejadas e clicar em “Aceitar” ou “Rejeitar”. As solicitações são separadas em duas grades:

• Solicitações de reautorização: lista as solicitações de usuários que já acessaram o sistema anteriormente mas suas contas encontram-se expiradas. Contém um campo com lookup para o cadastro do usuário.
• Solicitações de autorização de novos usuários: lista as solicitações de usuários que farão seu primeiro acesso, ou seja, que possuem conta no provedor de identidade, mas ainda não tiveram uma conta criada na base de dados. Contém campos com as informações de nome completo e documento de identificação.

Este processo também contém atalhos para os relatórios de usuários de suporte e de histórico de solicitações, acessados respectivamente pelos botões “ver usuários de suporte” e “ver solicitações recentes”.

Solicitantes bloqueados

Ao clicar em “Rejeitar”, o administrador é perguntado se também deseja bloquear os usuários selecionados, e caso positivo, os usuários são adicionados a uma lista de bloqueio. Esta é uma lista de registros da classe “Solicitantes de autorização de suporte bloqueados” (-1898139431), que guarda o email do solicitante e a data do bloqueio.

Solicitantes bloqueados ficam impedidos de realizar novas solicitações de autorização.

Links de autorização

Além deste processo, outra opção mais ágil para aceitar ou rejeitar solicitações é através de links. Estes links estão presentes nos emails de aviso de solicitação de autorização que são enviados aos usuários cadastrados como destinatários desses emails.

Autorização automática

Outra maneira de autorizar o acesso de usuários de suporte é através da configuração “Autorização automática”. Esta configuração pula a etapa em que o administrador avalia e aceita as solicitações, permitindo que todos os usuários autorizados pelo provedor de identidade de suporte do fornecedor do sistema tenham acesso imediato à base de dados.

Ao habilitar a autorização automática nas configurações, o processo solicitará a definição de um usuário autorizador. Este é o usuário que será registrado no sistema como o responsável pelas autorizações realizadas automaticamente. O autorizador pode ser a conta logada ou outra conta. Caso seja outra conta, é necessário inserir nome de usuário e senha da conta desejada.

Essa opção torna mais ágil o suporte, em especial nas bases de desenvolvimento e homologação. No entanto, não é recomendado o seu uso em bases de produção, pois é importante que o administrador tenha ciência e controle de todos os acessos à base de dados.

Auditoria

Existem dois relatórios no menu “Admin > Segurança > Contas de suporte” que o administrador do sistema pode usar para auditar as contas de suporte criadas no sistema e o histórico de solicitações de autorização. São eles, respectivamente, “Usuários de suporte” e “Histórico de solicitações”.

Usuários de suporte

Este relatório lista as contas de suporte atualmente criadas no sistema agrupando-as por contas ativas e inativas. O relatório informa o estado das contas e o período de vigência.

Histórico de solicitações

Este relatório lista as solicitações de autorização dentro de um período definido nos filtros da busca. Este período considera a data da última modificação, ou seja, a data de criação para as solicitações pendentes e a data de finalização para as resolvidas.

Também é possível filtrar por usuários solicitantes, emails de solicitantes, estados da solicitação, e se solicitações expiradas devem ser exibidas.

O relatório pode ser agrupado por estado de solicitação e por usuário solicitante. Caso seja agrupado por solicitante, o título do agrupamento é um link para o cadastro do usuário, caso ele exista. Caso um agrupamento não seja escolhido, todas as solicitações são listadas em apenas um bloco, ordenados por data da última modificação.

Configurações a cargo do fornecedor

• Fornecedores parceiros podem querer omitir de seus clientes finais provedores de suporte que já vêm configurados no produto. Neste caso, basta configurar a propriedade disabledIdentityProviders em um x-config na classe “/Configuração/Segurança/Contas de suporte” (-1898139444). Esta propriedade recebe um array com a lista de chaves de provedores que se queira omitir.
• Quando uma nova conta é criada na base de dados devido a uma autorização de novo usuário de suporte, um evento do tipo createAccount é emitido com as informações de chave do usuário (userKey), documento de identificação (legalId) e nome completo (fullName). Caso deseje realizar algum tratamento utilizando essas informações, o fornecedor pode configurar um listener para este evento em um .config na classe “Configuração/Segurança/Contas de suporte” (-1898139444).