Skip to content

SIGA_GI

Jump to bottom Edit New page
Markenson edited this page Nov 24, 2014 · 2 revisions

Reúne as informações sobre o módulo SIGA-GI.

Introdução

Este documento é o ponto de partida para as informações relevante ao projeto SIGA-GI

Esquema geral

Informações Gerais

  • O sincronismo é feito pelo programa sinc-ldap em /home/tomcat na máquina SCENIC

  • O sincronismo está programado no CRON para ocorrer de 8 às 20:30, a cada 30 minutos

  • O backup do AD está sendo feito pela SERED, aproximadamente às 2h da manhã

  • Todas os objetos dentro do container GESTÃO DE IDENTIDADES no AD estão sendo gerenciados pelo SIGA-GI, exceto a OU=EXTRAS (deve ser gerenciada manualmente)

  • A cada sincronismo, o siga-gi envia um e-mail para tssesia@, tsseope@, tssered@ com o relatório

  • O SIGA-GI baseia-se nas informações do RH (via base de dados do CORPORATIVO)

Usuário

Criação de contas de usuários

  • O SIGA-GI cria automaticamente contas de usuários quando eles são cadastrados no RH e após a importação do CORPORATIVO

  • Após isso, o usuário deve entrar na funcionalidade "Sou um novo usuário do SIGA" para definir uma senha. A senha definida será utilizada pelo AD

  • A conta do usuário já fará parte dos grupos de sua lotação

Desativação de contas pelo SIGA-GI

  • O SIGA-GI desativa as contas dos usuários que estão com a situação diferente de ATIVO (1) no RH

Ao desativar, o SIGA-GI:

  1. move a conta do usuário do container USUARIOS para o container USUARIO INATIVOS
  2. o atributo samAccountName é alterado (é inserido delete_ antes da sigla)
  3. a conta é desabilitada no AD

Reativando uma conta

  • Se a pessoa estive no container USUARIO INATIVOS (com a situação funcional diferente de ativo) e o RH alterar a situação para ativo, o SIGA-GI:
  1. moverá a conta do usuário do container USUARIO INATIVOS para o container USUARIOS
  2. O prefixo "delete_" é removido do atributo samAccountName
  3. a conta é habilitada no AD
  • Se for necessário ativar uma conta de uma pessoa que esteja com situação APONSENTADO, lotado no TRF ou qualquer outra situação fora da normalidade, é necessário fazer o seguinte:
  1. mova a conta do usuário do container USUARIO INATIVOS para o container "EXTRAS" (ou qualquer OU dentro de EXTRAS)
  2. Ative a conta do usuário no AD
  3. Abra a ferramenta AdExplorer e modifique o atributo samAccountName removendo o prefixo "delete_" ou utilize a ferramenta "Active Directory Users and Computers" para o alterar o atributo User logon name (pre-Windows 2000) da aba Account

Grupos

  • Há dois tipos de grupos gerenciados pelo SIGA-GI: DISTRIBUIÇÃO (e-mail) e SEGURANÇA (drive k)

  • Os grupos de distribuição e de segurança podem ser AUTOMÁTICOS ou MANUAIS

Grupos de distribuição

  • Grupos de DISTRIBUIÇÃO AUTOMÁTICOS são aqueles que seus membros são exatamente as pessoas lotadas ou sublotações previstas no organograma. Eles começam com o prefixo "ts" terminam com o sufixo "_gd"
  • Grupos de DISTRIBUIÇÃO MANUAIS são grupos sem correspondência com a lotação ou uma redefinição do e-mail de uma lotação. Eles terminam com o sufixo "_email_gd" e, se for uma redefinição de e-mail de lotação, começa com o prefixo "ts"

Grupos de segurança

  • Grupos de SEGURANÇA AUTOMÁTICOS são aqueles que seus membros são exatamente as pessoas lotadas ou sublotações previstas no organograma. Eles terminam com o sufixo _gs
  • Grupos de SEGURANÇA MANUAIS são grupos sem correspondência com a lotação. Eles terminam com o sufixo _perfil_gs ou _perfil_jee_gs

= Criando, redefinindo ou excluindo um grupo de distribuição =

  • Acesse o http://siga/siga
  • Clique no menu SIGA\Gestão de Identidade\Grupo de distribuição
  • Clique no botão Incluir
  • Digite a sigla do grupo. Esta será usada no e-mail do grupo, por exemplo, se for digitado "inventario2012", será criado o e-mail "[email protected]"
  • Para redefinir um grupo automático, coloque "ts" + "sigla lotação". Por exemplo, para redefinir a lotação SESIA ([email protected]) digite "tssesia" no campo sigla.
  • Na lista na parte de baixo da tela, selecione quem receberá o e-mail do grupo e clique no botão "Gravar" (faça isso para cada novo membro do grupo)
  • Para remover um membro, na lista de seleção correspondente ao membro, selecione "Remover" e clique no botão Gravar
  • Para remover o grupo inteiro, clique no botão "Excluir"

OBS: se você for redefinir um grupo de uma lotação e quiser manter todas as pessoas da lotação no grupo, use a seguinte fórmula como membro do grupo. Por exemplo: pessoa.lotacao.sigla.equalsIgnoreCase("SEOPE")

= Definindo membros dos grupos de segurança =

  • Por padrão, as pessoas devem ter a permissão explicitamente aplicada para ter acesso ao drive K

  • Atualmente, somente SUPERVIDORES, COORDENADORES e DIRETORES podem permitir acesso ao drive K e cada um só pode definir as permissões de sua própria lotação

  1. Acesse o http://siga/siga
  2. Clique no menu SIGA\Gestão de Identidade\Acesso a serviços
  3. No campo FS-RAIZ, informe quem pode ter acesso ao drive K
  4. Se for necessário incluir alguém fora da lotação informe na parte de baixo da tela e clique em "Inserir pessoa" (é necessário informar que ela PODE explicitamente)

= Criando, redefinindo ou excluindo um grupo de segurança MANUAL =

  1. Acesse o http://siga/siga
  2. Clique no menu SIGA\Gestão de Identidade\Perfil de acesso (SIGA\Gestão de Identidade\Perfil de acesso do JEE)
  3. Clique no botão Incluir
  4. Digite a sigla do grupo
  5. Na lista na parte de baixo da tela, selecione quem receberá o e-mail do grupo e clique no botão "Gravar" (faça isso para cada novo membro do grupo)
  6. Para remover um membro, na lista de seleção correspondente ao membro, selecione "Remover" e clique no botão Gravar
  7. Para remover o grupo inteiro, clique no botão "Excluir"

OBS: As definições somente passarão a valer depois do sincronismo do SIGA-GI, para os grupos de segurança é recomendável que as pessoas façam LOGOFF na estação para que as permissões sejam aplicadas corretamente.

Resolução de problemas

Se o siga-gi apresentar erro no sincronismo, algumas medidas devem ser tomadas

Caso o erro aconteça na inclusão de um usuário:

  • Provavelmente a sigla usada para cadastrar o usuário já está sendo utilizada no AD. Verifique se a conta não está no container EXTRAS ou outro local do AD. Se estiver, basta movê-la para o container USUÁRIOS ATIVOS e executar o sincronismo novamente.

  • Se o usuário já estiver cadastrado no RH, mas a conta não estiver sendo criada, verifique se já ocorreu o sincronismo entre o RH e o CORPORATIVO.

  • Se a conta de algum usuário for desativada, verifique se o RH atualizou a situação funcional para algo diferente de ATIVO. Se for o caso, coloque a conta na OU=EXTRAS e ative a conta como descrito anteriormente.

  • Após a pessoa entrar na função "Sou um novo usuário" do siga, o sistema tem até 24 para lançar a senha definida no AD. Se isso não ocorrer por algum motivo (desabilitado o sincronismo, por exemplo) pode acontecer da aplicação informar que a senha excedeu o tempo limite de sincronismo. Para resolver esse problema, verifique se a conta do usuário já existe no AD e no CORPORATIVO, defina como NULL o campo SENHA_IDENTIDADE_CRIPTO_SINC e SENHA_IDENTIDADE_CRIPTO em CP_IDENTIDADE com o LOGIN_IDENTIDADE relativo ao usuário antes de executar o sincronismo novamente

Procedimento para ativar um grupo de distribuição (remover da estrutura paralela)

= Ativando um grupo de distribuição =

GRUPO NOVO

  1. Criar atributo showInAddressBook com os valores CN=Default Global Address List,CN=All Global Address Lists,CN=Address Lists Container,CN=JFRJ,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=corp,DC=jfrj,DC=gov,DC=br CN=All Groups,CN=All Address Lists,CN=Address Lists Container,CN=JFRJ,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=corp,DC=jfrj,DC=gov,DC=br
  2. Passar o atributo msExchHideFromAddressLists para FALSE
  3. Ajustar o atributo displayName
  • Remova o sufixo "_gd"
  1. Ajustar o atributo proxyAddresses
  • Remova o sufixo "_gd"
  1. Ajustar o atributo mail
  • Remova o sufixo "_gd"
  1. Ajustar o atributo mailNickname
  • Remova o sufixo "_gd"

REAPROVEITAR GRUPO ANTIGO (PESSOAS DO GRUPO CORRESPONDEM À LOTAÇÃO)

  1. Apagar o grupo criado automaticamente pelo siga-gi (que contém _gd no final do nome) anote o nome do grupo

  2. Mover o grupo a ser reaproveitado para o container GI e renomeá-lo para o nome anotado no item 1 (acrescentar _gd no final, ficando no formato tsXXXX_gd)

REAPROVEITAR GRUPO ANTIGO (PESSOAS QUE NÃO SÃO DA LOTAÇÃO PRESENTES NO GRUPO)

  1. Verificar e anotar quem são as pessoas que estão no grupo antigo lista do _gd atual para confirmação com o usuário?

  2. Criar uma redefinção do e-mail da lotação (tsXXXX)

  3. Colocar as pessoas anotadas no passo 1 no grupo criado para redefinição no passo 2

  4. Mover o grupo atual para o container da gestão de identidade e colocar o sufixo _email_gd

Manuais

** Configuração de unidades de rede - Drive K

** Gerenciamento de Contas

Outros Documentos

Add a custom footer
Clone this wiki locally