Privilégios, Funções e Grupos
A habilidade de um usuário para acessar contêineres e documentos e executar ações no iManage Work é controlada usando privilégios, funções, grupos e níveis de acesso de segurança.
O relacionamento entre privilégios e níveis de acesso de segurança é frequentemente mal compreendido. Os dois estão relacionados, mas não são os mesmos.
Privilégio | Nível de acesso de segurança |
|---|---|
Os privilégios definem quais ações os usuários têm permissão para executar em contêineres e documentos aos quais eles têm acesso. | Os níveis de acesso de segurança definem a quais contêineres e documentos os usuários têm acesso e a que ponto eles podem modificar estes itens. |
Os tópicos a seguir descrevem estes conceitos com mais detalhes:
Funções
Uma função o habilita a agrupar um conjunto de privilégios. Ao criar uma função, você a atribui a um ou mais usuários.
Para obter mais informações, consulte Funções.
As funções podem ser criadas, excluídas ou modificadas conforme necessário, com exceção da função Padrão; consulte Função Padrão. Um conjunto de privilégios de uma função pode ser mudado em qualquer ponto posteriormente por um NRTADMIN.
Função padrão: O iManage Work automaticamente cria uma Função padrão. Esta função não pode ser excluída e o administrador do sistema iManage pode editar esse conjunto de privilégios a qualquer momento. Todos os usuários são automaticamente atribuídos a este grupo e eles não podem ser excluídos dele. Como resultado, cada usuário terá um conjunto padrão de privilégios, tipicamente mínimo por razões de segurança.
Privilégios globais: Um conjunto separado de privilégios é fornecido para funções globais. Esses privilégios controlam as permissões que os usuários têm para executar tarefas específicas no Control Center. Consulte Descrições dos privilégios globais para uma lista desses privilégios.
Privilégios
Os privilégios são ações individuais que um usuário pode executar em contêineres, documentos ou no sistema do iManage Work. Há um número definido de privilégios definidos pelo sistema do iManage Work. Os privilégios não podem ser criados ou excluídos. Somente é possível concedê-los ou negá-los. Os privilégios estão contidos apenas em funções. Funções são conjuntos nomeados de privilégios. As funções são então atribuídas aos usuários. Há categorias que incluem privilégios para contêiner e documentos individuais, como Criar/Importar conteúdo como arquivos, Excluir conteúdo como arquivos e Criar espaços de trabalho públicos, entre outros. Os privilégios permitem o acesso ao Control Center no Nível 1 (o qual fornece recursos básicos de suporte técnico) ou no Nível 2 (o qual fornece a habilidade de gerenciar metadados, administradores e modelos, além de fornecer recursos do Nível 1).
Os privilégios são divididos nas seguintes categorias, baseados nas operações executadas:
Privilégios do aplicativo Work
- Documento: Privilégios para trabalhar com documentos.
- Espaço de trabalho: Privilégios para trabalhar com espaços de trabalho e gerenciar metadados personalizados.
- Pasta: Privilégios para trabalhar com pastas públicas.
Privilégios do Centro de Controle
- Acesso ao Control Center: Privilégios para acessar os recursos do Control Center de Nível 1 ou Nível 2.
Para uma lista detalhada de privilégios que podem ser atribuídos aos usuários, consulte Funções.
Privilégios em níveis
Os níveis são conjuntos predefinidos de privilégios para administradores de sistema, suporte de produto ou membros da equipe de suporte técnico do sistema do iManage Work ao executar atividades no Control Center e são atribuídos por biblioteca do iManage Work.
Para obter mais informações, consulte Entender os níveis.
Grupos
Os grupos são conjuntos de vários usuários. Os grupos podem ser atribuídos a espaços de trabalho, a pastas e guias e a documentos, e com uma permissão de acesso específica. Isso permite que um conjunto específico de usuários seja atribuído ao mesmo item, e todos com a mesma permissão de acesso. Os grupos podem ser mantidos adicionando-se ou removendo-se usuários, ou alterando a permissão de acesso em vez de modificar os usuários individuais e suas permissões de acesso. Os usuários podem ser membros de vários grupos.
Os grupos não têm privilégios de acesso atribuídos a eles. Tenha em mente que a cada usuário será atribuída uma função (a qual tem privilégios associados) e que esta função é independente de ser atribuída a um grupo.
Os grupos podem ser criados e modificados conforme necessário, com exceção do grupo NRTADMIN. Consulte Grupo NRTADMINpara maiores informações. Os grupos não podem ser excluídos.
Se o servidor de diretório do qual a lista de usuário é mantida já inclui grupos, esses grupos e membros podem ser importados para o iManage Work. Essa é uma sincronização de sentido único somente; grupos e associações não podem ser atualizados do iManage Work de volta para o serviço de diretório.
Usar grupos em permissões de acesso de segurança ao invés de usuários individuais também resulta em uma melhora implícita de desempenho em pesquisa. Ao usar grupos para gerenciar segurança, a segurança do objeto somente precisa estar indexada uma vez no indexador quando o grupo é atribuído. Mudanças feitas no grupo subjacente não acionam uma reindexação. Ao passo que se você gerenciasse a segurança de usuário individualmente nos objetos, cada mudança exigiria que o objeto fosse re-indexado.
Grupo NRTADMIN
O grupo NRTADMIN está disponível pelo sistema iManage Work automaticamente, ele não precisa ser criado. Qualquer usuário atribuído ao grupo NRTADMIN se torna por definição um NRTADMIN, independentemente da sua função atual. Um usuário que é removido do grupo NRTADMIN retém a função biblioteca que ele tinha anteriormente. Apenas a outro NRTADMIN é permitido adicionar ou remover usuários deste grupo. Consulte também Privilégios em níveis.
Um administrador provisional é um NRTADMIN com privilégios adicionais. Estes são definidos no momento de uma instalação do iManage Work e fornecidos pelo seu gerente de atendimento ao consumidor (CSM) ou provedor de serviços designado.
Atributos de documento, espaço de trabalho e pasta
Os itens a seguir representam atributos associados com documentos, espaços de trabalho e pastas:
- Proprietário: O proprietário é uma função atribuída automaticamente ao usuário que cria um novo espaço de trabalho ou pasta. Aquele usuário tem privilégios de Acesso Completo ao espaço de trabalho/pasta. Um espaço de trabalho/pasta pode ter apenas um proprietário, e o atual proprietário pode atribuir a função a outro usuário.
- Operador: O operador, é uma função atribuída automaticamente ao usuário que cria um novo documento ou inicialmente faz upload de um documento. Aquele usuário tem privilégios de Acesso Completo ao documento. Um documento pode ter apenas um proprietário, e o atual proprietário pode atribuir a função a outro usuário.
Autor: Um autor de um documento é uma função atribuída automaticamente ao usuário que cria um novo documento ou inicialmente faz upload de um documento. O autor pode ser alterado pelo operador de um documento ou por outro usuário que possui acesso total ao documento. A função do autor não concede propriedade ao documento (consulte Operador), mas concede acesso total implícito a ele.
Níveis de acesso de segurança
Níveis de acesso de segurança é um termo que coletivamente se refere a segurança padrão e direitos de acesso. Os níveis de acesso de segurança definem o acesso que um usuário tem ao conteúdo de contêineres e documentos.
Consulte Contêiner e Segurança do Documento para obter mais informações.
Modelos de conflito de acesso
Um conflito de acesso é quando um usuário tem acesso conflitante ou contraditório a um objeto, como um contêiner ou um documento.
Dependendo do seu ambiente iManage Work, um dos seguintes modelos é usado para resolver conflitos de acesso:
- Um modelo otimista resolve conflitos aplicando o nível de acesso mais permissivo dos níveis conflitantes.
- Um modelo pessimista resolve conflitos aplicando o nível de acesso mais restritivo dos níveis conflitantes.
- Um modelo híbrido usa o modelo otimista a não ser que todos os níveis de acesso conflitantes sejam Sem Acesso. Se um dos conflitos de níveis de acesso de segurança for Sem Acesso, o acesso do usuário ao objeto é revogado.
Consulte os exemplos abaixo para obter mais informações sobre estes modelos diferentes.
Para o iManage Work na nuvem, entre em contato com cloudsupport@imanage.com para confirmar qual modelo de segurança é aplicado no seu ambiente.
Exemplo 1
Para um documento específico, o usuário Antônio pode ter o seguinte acesso a um documento já que pertence tanto ao GRUPO1 e ao GRUPO2:
Usuário | Ler |
GRUPO1 | Leitura/gravação |
GRUPO2 | Sem acesso |
Há um conflito porque pelo menos dois dos níveis de acesso são contraditórios. Isso se resolve automaticamente dependendo do Modelo de conflito de acesso.
Modelos de conflito de acesso | Resolução | Razão |
|---|---|---|
Otimista | Ler/Gravar | O nível mais acessível das três possibilidades é Ler/Gravar do Grupo1. |
Pessimista | Sem acesso | O nível mais restritivo das três possibilidades é Sem Acesso do Grupo2. |
Híbrido | Sem acesso | O nível mais restritivo das três possibilidades é Sem Acesso do Grupo2. Isso é porque o acesso Híbrido dá o resultado Otimista se não há recusa (Sem Acesso) de todas as opções. Se há uma opção de recusa, o Híbrido concede essa recusa. |
Exemplo 2
Para um documento específico, a usuária Ana pode ter o seguinte acesso a um documento já que pertence tanto ao GRUPO1 e ao GRUPO2:
Usuário | Ler |
GRUPO1 | Leitura/gravação |
GRUPO2 | Acesso completo |
Há um conflito porque pelo menos dois dos níveis de acesso são contraditórios. Isso se resolve automaticamente dependendo do Modelo de conflito de acesso.
Modelos de conflito de acesso | Resolução | Razão |
|---|---|---|
Otimista | Acesso completo | O nível mais acessível das três possibilidades é Acesso Completo do Grupo2. |
Pessimista | Ler | O nível mais restritivo das três possibilidades é Ler das permissões diretas do usuário. |
Híbrido | Acesso completo | O nível mais acessível das três possibilidades é Acesso Completo do Grupo2. Isso é porque o acesso Híbrido dá o resultado Otimista se não há recusa (Sem Acesso) de todas as opções. |