Para usar o Gerenciador de Autorização para controlar efetivamente o acesso a recursos, é necessário primeiro definir as funções, as tarefas e as operações.

  • Uma função é um conjunto de permissões que o usuário deve possuir para executar um trabalho. Funções adequadamente criadas devem corresponder a uma categoria de trabalho ou responsabilidade (por exemplo, recepcionista, gerente de recrutamento ou arquivista) e receber um nome correlativo. Com o Gerenciador de Autorização, é possível adicionar usuários a uma função para autorizá-los a executar um trabalho.

  • Uma tarefa é um conjunto de operações e, às vezes, outras tarefas. Tarefas adequadamente criadas são abrangentes o bastante para representar itens de trabalho reconhecíveis (por exemplo, "alterar senha" ou "enviar despesa").

  • A operação é um conjunto de permissões que você associa aos procedimentos de segurança no nível do sistema ou da API, como WriteAttributes ou ReadAttribute. As operações são usadas como blocos de construção para as tarefas.

É possível definir funções, tarefas e operações somente no modo de desenvolvedor, não no modo de administrador. Para definir o modo de desenvolvedor, consulte Definir opções do Gerenciador de Autorização.

Definições de função

A criação de definições de funções apropriadas depende da estrutura e dos objetivos da organização. As funções aceitam herança de outras funções.

Para definir uma função, especifique um nome, uma descrição amigável e algumas tarefas, funções e operações específicas que façam parte da função. Isso fornece um mecanismo para herança de funções. Por exemplo, a função Atendimento pode incluir a função Suporte ao produto.

Você pode especificar uma regra de autorização, que pode ser VBScript ou JScript. Para obter mais informações, consulte VBScript (a página pode estar em inglês) (https://go.microsoft.com/fwlink/?linkid=65964) e JScript (a página pode estar em inglês) (https://go.microsoft.com/fwlink/?LinkId=65963).

Se houver várias regras de autorização associadas a uma definição de função (por exemplo, a definição de função possui várias subfunções e tarefas), as regras de autorização serão executadas em sincronia. No Gerenciador de autorização, o ordem não influencia a autorização.

Definições de tarefa

A definição de tarefa é menor que a definição de função e pode ser usada para definir funções e outras tarefas.

Com o Gerenciador de Autorização, você associa tarefas a funções de forma intuitiva. Por exemplo, a função Recrutador pode incluir a tarefa Entrevista.

As tarefas, assim como as funções, são definidas da forma mais apropriada à organização. Para definir uma tarefa, especifique um nome, uma descrição e algumas tarefas e operações específicas que façam parte da tarefa. Também é possível especificar uma regra de autorização VBScript ou JScript.

Definições de operação

As operações são pequenas ações no nível de computador utilizadas para definir tarefas. Geralmente não são relevantes para o administrador. As operações somente podem ser definidas no modo de desenvolvedor.

Você pode determinar definições de operação no nível de aplicativo, mas não no nível de repositório de autorização nem no nível de escopo.

A definição de operação contém um nome, uma descrição e um número de operação. O número de operação X deve ser um inteiro de 1 a 2.147.483.647 (ou seja, 1 ≤ X ≤ 2^31 - 1). O número de operação é usado pelo aplicativo para identificar a operação. Portanto, se for digitado um número de operação errado, o acesso será concedido ou negado incorretamente. Isso, por sua vez, pode levar a violações de segurança ou a um comportamento não desejado do aplicativo cliente.


Sumário