Ativar a segurança com base na organização

Este artigo contém os seguintes tópicos:

O recurso de segurança com base na organização permite restringir o acesso de usuários à organização à qual pertencem. Quando ativa a segurança com base na organização, os usuários só podem exibir os dados de suas próprias organizações. Por exemplo, um analista que pertence à Organização1 só pode exibir um ticket que o Usuário1 da Organização1 gera. A segurança com base na organização substitui as permissões de controle de acesso do ServiceAide Cloud Service Management.

Observe os seguintes pontos ao ativar a segurança com base na organização:

Não se aplica aos administradores. Os administradores podem exibir todos os tickets em todas as organizações.
Implicitamente aplicado a usuários de autoatendimento. Os usuários de autoatendimento podem exibir somente os tickets em sua organização e em níveis inferiores de sua hierarquia organizacional.

A segurança com base na organização depende do relacionamento entre várias entidades do aplicativo. O diagrama a seguir ilustra a relação entre as organizações e os outros componentes do aplicativo.

Dependências de relacionamento

A eficácia da implementação de segurança com base na organização depende do relacionamento entre várias entidades do aplicativo. Considere os seguintes relacionamentos:

Organização-Contato-Grupo de suporte: é possível relacionar um contato a uma organização ou a um grupo de suporte que está relacionado a uma organização.
Organização-Item de configuração: é possível relacionar um item de configuração a apenas uma organização. A organização do proprietário do IC não tem impacto sobre a relação do item organização-configuração.
Organização-Ticket: quando o usuário final registra um ticket, a organização do usuário Solicitante e Solicitado por se torna a organização. Se a organização estiver ausente para o usuário Solicitante e Solicitado por, o ticket é registrado sem uma organização.
Organização-Ativo:

Impacto da ativação da segurança com base na organização

A implementação de segurança com base na organização afeta os seguintes itens:

Tickets, ICs e ativos

Visualizações e pesquisas de tickets: um analista pode exibir e pesquisar os tickets e ICs relacionados a tickets que estão relacionados à organização do analista.
Criação de ticket: um analista pode registrar tickets somente em nome dos usuários que compartilham a organização a partir do analista.
Atribuição do ticket: o aplicativo atribui os tickets com nenhuma empresa para o grupo de suporte padrão. O aplicativo atribui tickets de tarefa para o grupo de atribuição padrão do ticket pai. É possível atribuir tickets a contatos ou grupos de suporte que têm uma organização relacionada semelhante no ticket.
Aprovações de mudança: a lista Minhas aprovações pendentes exibe somente os tickets de aprovação de mudança que estão relacionados à mesma organização do aprovador. Como administrador, tenha cuidado ao configurar grupos de aprovação para tickets. As aprovações e comentários em tickets são visíveis para os aprovadores e revisores de mudança, independentemente da organização relacionada.
Encaminhamentos de SLA: uma violação da meta do SLA falha quando o grupo de suporte de destino ou o contato não está relacionado à organização do ticket. O aplicativo atribui esses tickets ao grupo de suporte padrão.
Atividades do ticket: a guia Atividade do ticket exibe todas as ações e comunicações do ticket, independentemente da organização relacionada. A opção Exibir relacionados na guia Atividade exibe os tickets da organização que está relacionada ao usuário conectado.
Serviços afetados em tickets: os serviços afetados relacionados do ticket são visíveis, independentemente da organização. As permissões do usuário controlam o acesso para exibir e alterar ações no serviço afetado. Quando o usuário Solicitante ou Solicitado por não pertencer a uma organização relacionada, o analista não pode exibir seus registros de contato.
Central de ativos: um gerente de ativos ou um analista pode exibir apenas os ativos que estão relacionados à organização da qual eles fazem parte, por meio de um relacionamento direto ou por meio de um relacionamento de grupo de suporte.
Ações em massa para ativos: um gerente de ativos ou um analista pode usar as seguintes ações em massa para modificar ou atualizar ativos na organização.
- Atualizar empresa: ao aplicar essa ação em massa, um gerente de ativos ou um analista pode exibir apenas as organizações relacionadas à sua organização.
- Atualização do proprietário: ao aplicar essa ação em massa, um gerente de ativos ou um analista pode visualizar os proprietários da lista que fazem parte de sua organização.
- Criar IC: Quando um IC é criado a partir de um ativo, o campo Organização é preenchido automaticamente, com base na organização de gerentes de ativos.
Criar/editar ativo: Todos os ativos devem ser vinculados a uma organização. Durante a criação do ativo, os campos Organização/local, Fornecedor, Proprietário são exibidos com base na organização do gerenciador de ativos.

Comunicação por email

Notificações automáticas de tickets: os emails de saída são enviados aos destinatários identificados pelo modelo de comunicação, independentemente das organizações relacionadas.
Notificações manuais de tickets: o aplicativo envia notificações manuais, independentemente da organização.
Notificações de aprovação: uma diferença na organização do aprovador e o ticket não envia notificações de aprovação para o destinatário.
Ações de email de entrada: o aplicativo cria novos tickets dos emails de entrada. Uma diferença na organização do ticket, contato atribuído ou grupo de suporte resulta em falha de roteamentos automáticos. Nesse caso, o ticket é atribuído ao grupo de suporte padrão.
Observação: ao configurar os modelos de comunicação, certifique-se de que os destinatários especificados no modelo possam exibir o ticket.

Pesquisas

Pesquisas definidas: as pesquisas definidas disponíveis por padrão não oferecem suporte à segurança com base na organização. Para restringir os resultados da pesquisa da segurança com base na organização, modifique a consulta.

Exemplo:

Consulta antiga

SELECT <columns> FROM <table>[INNER JOIN <table having org Id>] WHERE <existing where clause> ${@eval. 
"${usercache.usergroup.is_user_an_administrator}".equals ("false") && 
"${syssliceconfig.enable_organization_based_access_control}".equalsIgnoreCase ("true"))?(AND EXISTS 
(SELECT 1 FROM vorg_contact_group_derived_relations WHERE slice=<outer table alias>.slice AND org_id 
=<outer table alias>.<outer table org id> AND user_id=${usercache.userprofile.user_id})):))eval}

Consulta alterada

SELECT row_id AS ''ID'', lvl1_name AS ''Company Name'', lvl2_name AS ''Site Name'', lvl3_name AS 
''Building'', floor AS ''Floor'', suite AS ''Suite'', office_cube AS ''Office/Cube'', closet AS 
Closet FROM vorg_attrb_location v WITH(NOLOCK) WHERE slice=${usercache.userslice.active_slice} 
${@eval.("${usercache.usergroup.is_user_an_administrator}".equals ("false") 
&& "${syssliceconfig.enable_organization_based_access_control}".equalsIgnoreCase ("true"))?(AND 
EXISTS (SELECT 1 FROM vorg_contact_group_derived_relations WHERE slice=v.slice AND org_id = 
v.lvl1_id AND user_id=${usercache.userprofile.user_id})):))eval}

Pesquisas pessoais: as pesquisas pessoais que o usuário conectado configura para tickets e itens de configuração respeitam a segurança com base na organização.
Pesquisar histórico de comunicações: os analistas que têm acesso a essa opção podem exibir os registros de tickets ou organizações relacionadas.

Relatórios, painéis e gráficos

Relatórios, painéis e gráficos exibem os resultados de tickets, ativos e itens de configuração que pertencem à organização do usuário conectado.

Artigos de conhecimento

A segurança com base na organização não controla o acesso aos artigos de conhecimento. Depois de ativar a segurança com base na organização, a guia Itens relacionados exibe os ativos, os ICs e as organizações do usuário conectado.

Serviços web

Os usuários de serviços da web estão relacionados a uma organização, site e local. Ao ativar a segurança com base na organização, o usuário de serviços da web pode exibir somente os registros da organização relacionada. O mesmo é aplicável aos registros que as chamadas de serviço da web retornam para registros de IC e ticket.

Configuração do registro por usuários que não são administradores

É possível atribuir permissões administrativas para analistas e grupos de suporte para as seguintes ações:

Gerenciar contato
Gerenciar organização
Criar item de configuração

A segurança com base na organização apresenta as seguintes implicações as configurações por usuários que não são administradores:

Gerenciar organização

A lista Gerenciar organização exibirá todas as organizações. A guia Informações do local lista todos os sites e locais, independentemente da organização do analista. A guia Contatos lista somente os contatos que têm a mesma organização do usuário conectado. Quando o usuário executa a ação Adicionar contatos, a pesquisa de nome exibe os contatos apenas da organização relacionada. A pesquisa Grupos exibe todos os grupos de suporte, independentemente da organização do usuário conectado.

Gerenciar grupos de suporte

A lista Gerenciar grupos de suporte exibe todos os grupos de suporte, independentemente da organização do usuário conectado. A guia Local exibe somente as organizações com as quais o usuário conectado estiver relacionado. Quando um usuário executa a ação Adicionar local, a pesquisa Local do grupo exibe os locais relacionados a usuários conectados. A lista Integrantes exibirá todos os contatos relacionados ao grupo de suporte. Ao adicionar contatos ao grupo de suporte, a pesquisa de nome exibe somente os contatos da organização relacionada.

O grupo de suporte permanece não afetado quando a organização relacionada é excluída.

Gerenciar contatos

A lista de contatos exibe somente os contatos que pertencem às organizações relacionadas ao usuário conectado. Se um contato estiver relacionado a várias organizações, o aplicativo exibe apenas as organizações relacionadas ao usuário conectado. Ao adicionar um local para relacionar um contato a uma organização, a pesquisa exibe apenas a organização relacionada ao usuário conectado. As guias Itens abertos e IC relacionado exibem os tickets e os ICs que pertencem à organização do usuário.

Configurações de detecção

Especifica uma organização, ao definir a configuração de detecção. Quando a detecção é executada, todos os ativos que são detectados como parte da configuração com a organização fornecida sobre a configuração de detecção.

Item de configuração

Ao relacionar uma organização a um IC na pesquisa Organização, a pesquisa exibe a organização do usuário. A Pesquisa de nome exibe somente os contatos e grupos de suporte relacionados à organização.

A caixa de seleção Exibir tickets da organização no registro do grupo de suporte só é funcional para o grupo de autoatendimento. O aplicativo exibe a guia Grupos de suporte nos registros da organização. O aplicativo também exibe a guia Local no formulário do Grupo de suporte, independentemente do status da segurança com base na organização.

Ativar a segurança com base na organização

Siga estas etapas:

Vá para GERENCIAR, ADMINISTRAÇÃO, Ferramentas, Parâmetros de configuração.
Selecione o parâmetro ENABLE_ORGANIZATION_BASED_ACCESS_CONTROL da categoria Sistema.
Defina o Valor do parâmetro como Sim e clique em Aplicar mudanças.
O controle de acesso com base na organização é ativado.

Cenários de segurança com base na organização

Cenário: OBS implícito para os usuários de autoatendimento

Nesse cenário, os usuários podem exibir tickets solicitados por eles e os outros tickets dentro de sua organização ou abaixo na hierarquia. O exemplo a seguir descreve como o controle implícito padrão é implementado para usuários de autoatendimento:

ABC Inc. é a organização de nível raiz.
Bruce Adams é o usuário de autoatendimento que está diretamente relacionado à organização de nível raiz.
Head Quaters é a organização filha, sob ABC Inc.
Cat Taylor e Colter Ames são os usuários de autoatendimento relacionados à organização filha.

Configurações:

Categoria do parâmetro = Categoria de parâmetro de autoatendimento
Nome do parâmetro = SSU_VIEW_MY_REQUESTS_ONLY
Valor do parâmetro = Não

No grupo de suporte padrão de autoatendimento, selecione a opção Exibir tickets da organização.

A tabela mostra como os usuários relacionados a cada organização podem exibir os tickets:

Usuário	Exibir tickets de ABC Inc.	Exibir tickets da matriz
Bruce Adams	Sim	Sim
Cat Taylor	Não	Sim
Colter Ames	Não	Sim

Cenário: OBS específico para usuários de autoatendimento

Nesse cenário, podemos restringir o que pode ser exibido ao usuário. O exemplo a seguir descreve como configurar OBS específico para usuários de autoatendimento:

Temos duas organizações: Royal Mail e Parcel Force.
Os usuários de autoatendimento Lynn Parker e Mary Newburg estão relacionados à organização Royal Mail.
Os usuários de autoatendimento Jeff Hardy e Joe Smith estão relacionados à organização Parcel Force.
Requisito:
- Lynn Parker e Mary Newburg da Royal Mail deveriam exibir os tickets solicitados por eles próprios. Lynn Parker não deveria exibir os tickets reportados por Mary Newburgl.
- Jeff Hardy e Joe Smith da Parcel Force deveriam exibir os tickets que eles solicitaram e os outros tickets solicitados dentro da organização Parcel Force.

Configurações:

Lynn Parker e Maria Newburg estão relacionados a um grupo de suporte, o Royal Mail SSU Group, e o grupo padrão de autoatendimento.
Jeff Hardy e Joe Smith estão relacionados a um grupo de suporte, o Parcel Force SSU Group, e o grupo padrão de autoatendimento.
Categoria do parâmetro = Categoria de parâmetro de autoatendimento
Nome do parâmetro = SSU_VIEW_MY_REQUESTS_ONLY
Valor do parâmetro = Não
No grupo de suporte padrão de autoatendimento, desmarque a seleção para Exibir tickets da organização.
No grupo de suporte Royal Mail SSU Group, desmarque a seleção para Exibir tickets da organização.
No grupo de suporte Parcel Force SSU Group, selecione a opção Exibir tickets da organização.

A tabela mostra como os usuários relacionados a cada organização podem exibir os tickets:

Usuário	Exibir tickets que solicitei	Ver outros tickets na mesma organização
Jeff Hardy	Sim	Sim
Joe Smith	Sim	Sim
Lynn Parker	Sim	Sim
Mary Newburg	Sim	Não

Os usuários podem exibir os tickets da organização deles em Meus tickets.

Siga estas etapas:

Vá para Central de serviços e clique em Meus tickets.
Clique em Filtrar e selecione Mostrar os tickets da minha organização.

Observação: se essa opção de filtro não estiver disponível, os usuários não poderão exibir outros tickets em sua organização.

Cenário: OBS para analistas – Relacionamentos diretos da organização

Esse cenário descreve o impacto de OBS nos analistas com relacionamento direto com a organização.

Paul Martin é um integrante do grupo de suporte Parcel Force Support.
Paul Martin também é um integrante da empresa Parcel Force.
O grupo de suporte Parcel Force Support está diretamente relacionado à empresa Parcel Force.

Configurações:

Categoria do parâmetro = Sistema
Nome do parâmetro = ENABLE_ORGANIZATION_BASED_ACCESS_CONTROL
Valor do parâmetro = Sim

Resultado:

Na Central de tickets, Paul Martin pode visualizar os tickets em que assigned_to_group no ticket é o grupo de suporte da Parcel Force.
Paul Martin pode executar uma pesquisa global para tickets que estão relacionados à organização Parcel Force, o que significa que o solicitante do ticket OU o solicitado do ticket tem a organização definida para a organização Parcel Force.

Cenário: OBS para analistas – Relacionamentos indiretos da organização

Esse cenário descreve o impacto de OBS nos analistas com relacionamento indireto com as organizações.

Sue Sponsor está diretamente relacionada à organização Royal Mail.
Sue Sponsor é um integrante do grupo de suporte do banco de dados.
O grupo de suporte do banco de dados, por sua vez, está relacionado à organização Oscar Inc e, portanto, Sue Sponsor está indiretamente relacionada à organização Oscar Inc.
O grupo de suporte do banco de dados NÃO está relacionado à organização Royal Mail.

Sue Sponsor pode fazer as seguintes tarefas:

Na Central de tickets, pode exibir os tickets atribuídos ao grupo de suporte do banco de dados.
Exibir os tickets das organizações às quais o usuário está direta ou indiretamente relacionado.
Pesquisar todos os tickets relacionados à organização Royal Mail e Oscar Inc. A pesquisa global irá procurar tickets em que o solicitante ou solicitado tem a organização definida para a organização Royal Mail ou Oscar Inc.

Resumo:

Na central de tickets, os analistas podem exibir os tickets atribuídos a qualquer um dos grupos de suporte dos quais eles são integrantes.
Os analistas que fazem parte de várias organizações, podem ver os tickets de todas as organizações associadas.
Os analistas não podem exibir os tickets atribuídos a grupos de suporte aos quais eles não estão associados.
Os analistas relacionados direta ou indiretamente à organização do solicitante ou solicitado no ticket podem executar as seguintes tarefas:
- Pesquisar tickets não listados por um número de ticket ou palavra-chave.
- Abrir e editar o ticket.
Se a organização do solicitante for diferente da do solicitado no ticket e se o analista for um integrante de qualquer uma dessas organizações, o ticket estará acessível ao agente.
Se um analista tiver acesso ao ticket, mas um dos contatos (solicitante ou solicitado) não pertencer a uma organização relacionada, os detalhes de contato continuarão a ser exibidos no ticket, mas o usuário não poderá exibir o registro de contato. A mensagem "O contato que você está solicitando não existe ou você não tem permissão para acessá-lo" será exibida.