Usuários
Para utilizar o sistema, cada colaborador deve ser cadastrado com uma conta de usuário e senha individuais e intransferíveis. Em seguida, este usuário deve ser associado a um ou mais grupos ou papéis que definirão seu nível de acesso ao sistema. A importância dessa tarefa exige que seu responsável tenha pleno conhecimento das configurações e suas consequências. Além disso, é preciso que seja alguém que conheça o fluxo de trabalho da empresa e seja de confiança. O manual a seguir descreve os principais processos e relatórios envolvidos na gestão de usuários do sistema.
Processo Usuários
Caminho: Admin > Segurança > Grupos, papéis e usuários > Usuários.
Interface padrão
Os campos listados aqui fazem parte da interface padrão deste processo, podendo ser estendidos de acordo com os módulos instalados em cada sistema. Para uma melhor explicação individual de cada campo, o usuário deve checar a ajuda do sistema pressionando F1 enquanto o campo desejado está selecionado.
Dados do usuário
Nome: nome (curto) que permite o sistema autenticar e identificar o usuário no sistema. Este campo não permite acentos, possui limite de 50 caracteres e não diferencia letras maiúsculas de minúsculas.
Nome completo: nome completo do usuário.
Política de segurança: regras especiais de segurança que controlam o acesso do usuário.
Entidade: entidades são referências responsáveis por identificar pessoas (físicas e jurídicas) e locais internamente no sistema. Ao contrário de usuários, entidades não podem ser excluídas enquanto estão referenciadas no sistema.
Grupos e papéis: grupos e papéis aos quais o usuário está associado. Este pode ser uma tabela quando em modo formulário ou um campo quando em modo tabela.
Grupos e papéis herdados: grupos e papéis herdados pelo usuário por meio da inclusão em Grupos e papéis.
E-mail: endereço de correio eletrônico do usuário.
Processo inicial: determina qual será o processo aberto logo que o usuário entrar no sistema.
Atalhos: atribui atalhos personalizados aos processos no menu principal do sistema.
Escopos de autorização: escopos de autorização atribuídos diretamente ao usuário.
Escopos de autorização herdados: escopos de autorização atribuídos aos grupos e papéis aos quais o usuário está associado.
Servidor SMTP
Servidor SMTP: servidor alternativo para envio de e-mails disponível para esse usuário, permitindo que possa ser utilizado um servidor SMTP diferente do padrão configurado no sistema.
Ações da grade
Alterar senha: muda a senha do usuário para um valor informado.
Bloquear: impede o acesso do usuário ao sistema em caráter provisório. Um usuário é bloqueado automaticamente após ultrapassar o limite de tentativas falhas de login, limite esse determinado pela Política de Autenticação.
Desativar: impede o acesso do usuário ao sistema. Utilizado por exemplo quando um usuário sai da empresa e seu acesso é finalizado.
Desbloquear / Ativar: altera o estado do usuário para ativo independente do estado atual.
Operações comuns
Adicionando um usuário
Para adicionar um usuário, o administrador deve inserir um novo registro na grade Usuários e preencher corretamente seus campos. É necessário informar o nome (que o identifica no sistema), nome completo e entidade à qual ele será associado. Um novo usuário pode ser associado a uma entidade já existente ou a uma nova entidade, que pode ser criada clicando-se duas vezes sobre a caixa de texto do campo Entidades e inserindo um novo registro na grade correspondente.
Após confirmar a edição do registro, é aberto um relatório informando a senha randomicamente gerada e atribuída ao novo usuário, que será obrigado a mudá-la logo após o seu primeiro acesso ao sistema.
Alterando a senha de um usuário
Para alterar a senha de um usuário, basta selecionar o registro correspondente na grade Usuários e clicar no botão Alterar senha. Na nova grade que será aberta, é possível determinar uma senha específica ou pedir para que o que sistema gere uma senha randômica. Além disso, é possível forçar o usuário a alterar a senha após o seu primeiro acesso ao sistema com a nova senha marcando a caixa correspondente.
O fluxo citado acima é utilizado quando o Administrador deseja alterar a senha de um outro
usuário. Para o usuário alterar a sua própria senha, ele deve utilizar o processo
Perfil do usuário > Alterar senha
.
Importante: usuários do grupo Administradores podem alterar a senha de qualquer usuário, exceto a do usuário administrator, que somente pode ser modificada pelo próprio usuário. O processo Redefinir senha do administrator deve ser utilizado caso seja necessário redefinir a senha do usuário administrator.
Excluindo um usuário
Para excluir um usuário, o administrador deve excluir o seu registro correspondente na grade Usuários. O sistema irá confirmar a exclusão do usuário e em seguida apagará as permissões associadas a ele. Mesmo após a exclusão de um usuário, a entidade à qual ele está associado permanece nos registros, garantindo sua integridade referencial.
Associando o usuário a um grupo ou papel
É extremamente recomendável associar o usuário a determinados grupos ou papéis, que por sua vez ficarão responsáveis por definir suas permissões de acesso e políticas de segurança no sistema. É possível escolher múltiplos grupos já existentes ou criar um novo grupo a partir do processo Grupos (clicando duas vezes sobre o campo correspondente).
Alterando a ordem dos grupos e papéis de um usuário
A ordem dos grupos e papéis serve para resolver conflitos de permissões de campos. Caso um usuário faça parte de grupos e papéis com permissões conflitantes para determinado campo de uma classe, valerá a permissão daquele com menor ordem.
Associando o usuário a uma política de segurança
Caso o usuário não esteja associado a nenhuma política de segurança, o sistema permite por
padrão que ele tenha acesso a todas as interfaces do sistema, em qualquer horário, a partir
de qualquer computador e qualquer rede. Para associar o usuário a uma política de segurança
existente, basta escolher entre as opções da lista de seleção Política de segurança. É
possível criar uma nova política de segurança no processo Políticas de segurança, que pode
ser acessado clicando duas vezes sobre o campo correspondente ou pelo caminho
Admin > Segurança > Políticas de segurança > Políticas de usuários
.
Usuários especiais
Toda base instalada da Nginstack possui três contas de usuário especiais, de chave negativa. São utilizadas para operações internas do sistema e algumas delas não possuem senha, não sendo possível utilizá-las para realizar o login do sistema.
Anonymous
O usuário “anonymous” não pode acessar a base de dados e não pode fazer uso do Web Framework. Ele é utilizado para indicar as permissões de um usuário que nunca logou no sistema. Exemplo: um usuário que está acessando a página inicial do sistema será identificado como “anonymous”.
Normalmente não devem ser dadas permissões para o usuário anonymous.
A chave deste usuário é a “-1”, um valor que é normalmente tratado pelos processos como um usuário não autorizado. A senha do usuário anonymous não pode ser alterada e esta conta não pode ser utilizada para realizar login do sistema, sendo de uso exclusivo do Engine.
System
O usuário System é um usuário utilizado pelo servidor Engine. Quando o sistema precisa acessar o banco de dados de forma autônoma (por exemplo, para atualizar seu cache local), ele utiliza esse usuário. A senha do usuário system não pode ser alterada e esta conta não pode ser utilizada para realizar login do sistema, sendo de uso exclusivo do Engine.
Administrator
O usuário administrator é uma conta especial com acesso total e irrestrito a todas as funcionalidades do sistema. Ela deve ser utilizada somente para a configuração das permissões dos administradores do sistema e para procedimentos de alto impacto, como licenciamento e descarte do cache local e de chaves.
Semelhante as boas práticas utilizadas em outros sistemas com o conceito de super usuário, como o root do Unix ou o administrator do Windows, não é recomendável utilizá-lo rotineiramente. Com esta conta, o administrador deverá criar o seu usuário participando do grupo Administrators e a partir daí deve utilizar a sua própria conta.
Processos auxiliares
Redefinição da senha do usuário administrator
Caminho: Admin > Segurança > Grupos, papéis e usuários > Redefinir senha do administrator
.
O usuário administrator é especial e tem permissões irrestritas ao sistema. Por questões de segurança, sua senha não pode ser alterada por outros usuários do sistema. Como seu uso no dia-a-dia é desaconselhado, recomenda-se que a senha dele seja guardada em um local seguro. Eventualmente essa senha é perdida e o processo descrito nesse guia deve ser utilizado para redefiní-la. Atualmente ele exige que a fornecedor do sistema autorize a redefinição como uma forma de garantir que o processo não esteja sendo utilizado indevidamente.
Ao entrar no processo será exibida uma grade contendo as solicitações de redefinições de senhas realizadas nos últimos 90 dias. Essa grade tem o propósito de informar ao usuário a utilização recente do processo. Basicamente ela consiste dos seguintes campos:
- Usuário: usuário que terá a senha alterada. No contexto de uso desse processo, será o administrator.
- Data e hora: data e hora da criação da solicitação de redefinição da senha.
- Solicitante: usuário que solicitou a redefinição da senha.
- Status: indicada o status da solicitação, podendo assumir os seguintes valores: pendente, concluída ou expirada. Uma solicitação é criada com status pendente e tem validade de 5 dias. Se o usuário concluir a autorização dessa solicitação dentro desse prazo, ela mudará o seu status para concluída. Caso o prazo seja ultrapassado sem que haja a autorização, ela mudará o status para expirada.
- Data e Hora Expiração: data e hora em que a solicitação perderá a sua validade e irá expirar.
- Data e Hora Finalização: data e hora em que a solicitação foi autorizada e concluída.
Não é permitido inserir ou alterar registros nessa grade, sendo permitido apenas remover solicitações criadas previamente que não tenham sido concluídas.
Para criar uma nova solicitação, deve ser utilizado o botão Solicitar redefinição. Ao clicar nesse botão será exibido um código da solicitação. Esse código deve ser enviado para o fornecedor do sistema para que ele autorize a solicitação. A autorização deve ocorrer em até 5 dias, caso contrário a solicitarão expirará.
Após autorizar a solicitação, o fornecedor do sistema informará o código de autorização. Esse código deve ser informado por meio do botão Informar código de autorização. Ao clicar nesse botão será exibida uma grade onde o usuário deverá informar o código recebido do fornecedor do sistema, a nova senha do usuário administrator e a confirmação dessa nova senha. Ao clicar no botão Confirmar, a senha do usuário administrator será alterada e a solicitação será marcada como concluída.
Para autorizar uma solicitação, deve ser utilizado o botão Autorizar redefinição. No entanto, na versão atual do sistema, essa opção está disponível apenas para o fornecedor do sistema e exige o conhecimento de uma chave privada RSA específica para esse processo. O uso do fornecedor do sistema como uma terceira parte no processo de autorização é um mecanismo de segurança adicional a fim criar uma confirmação externa de que o processo de fato deve ser utilizado. Ao autorizar a solicitação, o fornecedor do sistema receberá os dados da solicitação que indicarão a empresa, a base de dados e o solicitante da redefinição de senha, permitindo que ele faça uma consulta manual com o administrador responsável pela empresa para confirmar se a solicitação deve ou não ser atendida. Apesar do processo de redefinição de senha exigir o envolvimento do fornecedor do sistema, não é requerido que ele tenha acesso ao ambiente de produção para autorizar a solicitação. O processo de autorização é realizado exclusivamente por meio dos códigos textuais de solicitação e autorização.
Estados dos usuários
Caminho: Admin > Segurança > Grupos, papéis e usuários > Estados dos usuários
.
Cadastro com todos os estados que os usuários podem ter no sistema. Nesse cadastro, há um campo que descreve o significado de cada estado.
Relatórios auxiliares
Registro de login de usuário
Caminho: Admin > Segurança > Grupos, papéis e usuários > Registro de login do usuário
.
Permite visualizar o registro de acesso dos usuários ao sistema de diversas formas. A grade Variáveis permite ao usuário limitar o período que será analisado, selecionar o tipo de relatório que será gerado e agrupar o resultado por estabelecimento. Existem três tipos distintos de relatório de registro de acesso:
-
Analítico: informa o nome e a hora da conexão de cada usuário durante o período informado (separados por dia).
-
Sintético: informa a quantidade (total e por dia) de usuários, acessos e pico de sessões simultâneas durante o período informado.
-
Acessos simultâneos: informa a quantidade de usuários que estiveram conectados simultaneamente no sistema durante o período informado (separados por dia) e no intervalo informado (o padrão é 10 minutos).
Usuários inativos no período
Caminho: Admin > Segurança > Grupos, Papéis e Usuários > Usuários inativos no período
.
Relaciona as contas de usuários que não foram utilizadas durante um período e simplifica a desativação dessas contas por meio de um atalho exibido no relatório.