Regras e restrições do Gerenciamento global de titulares de cartões - Security Center 5.9

Guia do Administrador do Security Center 5.9

series
Security Center 5.9
revised_modified
2020-01-20

Existem algumas regras e restrições que se aplicam ao usar o Gerenciamento global de titulares de cartões.

Antes de começar a gerenciar globalmente os seus titulares de cartão, leia as seguintes regras e restrições.

Regras relativas a partições locais e globais

  • Um convidado de compartilhamento não pode ter mais de um host. Apenas uma instância da função GCS é permitida por sistema.
  • Uma partição global não pode ser modificada em um convidado de compartilhamento, mas seus membros podem. O que o convidado de compartilhamento está realmente autorizado a modificar está sujeito aos privilégios do usuário atribuídos à função GCS.
  • Nenhum sistema tem permissão para compartilhar o que não possui. Não é permitido o compartilhamento em duas camadas. Um efeito desta regra é que uma partição local não pode ser convertida em uma partição global se ela contiver entidades globais, a menos que seja executada no sistema host.
  • Adicionar uma entidade local a uma partição global transfere a propriedade dessa entidade do seu proprietário local (convidado do compartilhamento) para o proprietário da partição (host de compartilhamento).
  • A exclusão de uma entidade global em um convidado de compartilhamento também a exclui no host de compartilhamento, a menos que essa entidade também pertença a outra partição global, nesse caso, somente sua associação será removida da primeira partição.

Regras relativas a entidades locais e globais

  • Uma entidade é global em virtude de sua associação a uma partição global. Isso significa que um titular de cartão não se torna automaticamente global simplesmente porque seu grupo de titulares de cartão pai é global.
  • As regras de acesso local também podem ser aplicadas a titulares de cartão locais e globais. As regras de acesso nunca são compartilhadas. Isso garante que os administradores locais sempre tenham total controle sobre a segurança de suas instalações locais.
  • Os titulares/grupos de titulares de cartão globais podem se tornar membros de grupos de titulares de cartão locais.
  • Os titulares/grupos locais não podem se tornar membros de grupos de titulares de cartão globais. Uma exceção a esta regra é quando ambas as entidades pertencem ao mesmo sistema. Neste caso, o titular de cartão local não pode ser compartilhado, embora o grupo de titulares de cartão possa.
  • As credenciais globais e locais podem ser atribuídas a titulares de cartão globais.
  • As credenciais globais não podem ser atribuídas a titulares de cartão locais.
  • As credenciais globais usando formatos de cartão personalizados podem ser usadas e editadas no convidado do compartilhamento. No entanto, os dados de credenciais só seriam visíveis se o formato de cartão personalizado correspondente (arquivo XML) também estiver definido no convidado de compartilhamento usando a ferramenta Editor de formato de cartão personalizado.
MELHOR PRÁTICA: É sempre recomendável aplicar regras de acesso a grupos do titulares de cartão, em vez de titulares individuais. Por este motivo, recomenda-se o compartilhamento de titulares de cartão juntamente com os seus grupos de titulares de cartão pais. Se isso não for possível por qualquer motivo, recomendamos que você crie um grupo de titulares de cartão local para os titulares de cartão globais.

Regras relativas a campos personalizados e tipos de dados globais

  • Campos personalizados e tipos de dados definidos para entidades globais são automaticamente compartilhados quando as entidades globais são compartilhadas.
  • As definições de campos personalizados e tipos de dados globais não podem ser modificadas no convidado do compartilhamento.
  • Os campos personalizados globais e locais permanecem separados, mesmo quando eles usam o mesmo nome. Eles são diferenciados pelo seu proprietário, que é o sistema que os define.
  • Os tipos de dados globais não podem ser usados para definir campos personalizados locais.
  • Os valores de campos personalizados de entidades globais podem ser modificados em convidados de compartilhamento.
  • Os campos personalizados globais também se aplicam a entidades locais, mas seus valores permanecem locais.
  • Os campos personalizados locais também se aplicam a entidades globais, mas seus valores permanecem locais.
  • Quando um sistema convidado deixa de compartilhar uma partição global, todas as cópias locais das entidades globais compartilhadas e os valores de campos personalizados das entidades locais são excluídos.
MELHOR PRÁTICA: Se você quiser implementar o GCM em sua organização, recomendamos que defina todos os campos personalizados e tipos de dados para entidades globais no host de compartilhamento.

Regras relativas a Federation™ e entidades globais

  • Se um host de compartilhamento também federar seu convidado de compartilhamento, somente as entidades locais pertencentes ao convidado de compartilhamento são federadas. As entidades que são compartilhadas não serão federadas no host de compartilhamento.
  • O host de compartilhamento que também é um host de federação não deve compartilhar as entidades que federa adicionando-as a uma partição global, porque não possui as entidades federadas. Uma entidade só pode ser compartilhada pelo seu proprietário legítimo. Para que as entidades federadas sejam compartilhadas, o sistema federado precisa ser um convidado de compartilhamento do host do Federation™. Isso dá ao host do Federation™ o direito de compartilhar qualquer uma das entidades federadas.
  • Um convidado de compartilhamento que passa a federar um terceiro sistema não pode compartilhar suas entidades federadas com o host de compartilhamento, porque ele não é o proprietário das entidades federadas.
  • Se um convidado de compartilhamento for federado por outro sistema, suas entidades locais e globais aparecerão como entidades federadas no host do Federation™.

Regras relativas ao Active Directory e a entidades globais

  • Os titulares de cartão e os grupos de titulares de cartão importados de um Active Directory podem ser adicionados a uma partição global no host de compartilhamento.
  • Os portadores de cartão e os grupos de portadores de cartão importados de um Active Directory local para o convidado de compartilhamento não podem ser adicionados a uma partição global porque o Active Directory e o host de compartilhamento não podem ambos ser proprietários dos titulares compartilhados.
  • Os titulares de cartão e grupos de titulares de cartão globais importados de um Active Directory só devem ser modificados através do serviço de diretório que os possui.
CUIDADO:
Embora seja possível modificar titulares de cartão e grupos de titulares de cartão globais importados de um Active Directory no convidado de compartilhamento, essas alterações são temporárias. Você perde as alterações feitas quando o host de compartilhamento é sincronizado com o Active Directory.
MELHOR PRÁTICA: Se toda a entrada de dados de titulares de cartão tiver de ser centralizada, o sistema que importa titulares de cartão do Active Directory corporativo deve atuar como host de compartilhamento e todas as modificações devem ser feitas usando o serviço de diretório.