Documentação CeTI

Appearance

Sistema de Gestão de Identidades (SGI)

O Sistema de Gestão de Identidades (SGI) da PMDF atua de forma orquestrada com o Active Directory corporativo. O propósito é o provisionamento, gerenciamento e auditoria do ciclo de vida de acesso de cada colaborador e terceiro à rede corporativa.

Integração Futura com Microsoft Exchange

A integração automatizada do SGI com a criação e suspensão de Caixas Postais no Microsoft Exchange encontra-se na fase de planejamento/implementação. Atualmente, o SGI comanda o fluxo principal apenas para base do Active Directory.

Arquitetura de Provisionamento

O SGI realiza as seguintes operações chave na infraestrutura tecnológica:

  1. Provisionamento Automático (Onboarding): Criação de usuário no AD e concessão de grupos base em caso de posse, designação ou liberação por contrato no RH.
  2. Atualização (Update): Mudanças de cargo/unidade ou alteração de dados sensíveis da identidade física.
  3. Desligamento/Revogação (Offboarding): Retirada do acesso (desativação do AD) em decorrência de inatividade, reserva corporativa ou demissão.

Regras do Motor de Identidade

mermaid
graph TD;
    RH[Base do RH / Contratos] -->|Sincronização Diária| SGI
    SGI -->|CRUD AD User| AD[Active Directory]
    SGI -.->|Integração Pendente| Exchange[MS Exchange]
    SGI -->|Auditorias de Privilégios| Wazuh[SIEM Wazuh]

Monitoria de Privilégios

Monitoramos diariamente por anomalias (Ex., escalações de privilégio inesperadas) junto ao Wazuh sobre a integridade e precisão dos espelhos dos bancos de identidades. Todo grupo administrativo superior e sensível (ex: Domain Admins) devem ter auditoria extra.

Ações Manuais vs Sistema

A Seção de Segurança, Serviços e Inteligência atua apenas no suporte de segundo e terceiro níveis sobre a ferramenta do SGI, contudo, é proibida a criação manual de usuários em OUs e domínios corporativos fora da esteira do SGI para garantir compliance da malha de identidades.

Resolução Rápida (SGI)

Cenário: O usuário não consegue acesso e o sistema SGI não fez o provisionamento na data de hoje.

  1. Investigar o Logon: O serviço pode apenas não ter processado ou a fila travou na integração de RH.
  2. Execute e monitore via Zabbix o status atual dos conectores (API do SGI para a rede principal).
  3. Caso a conta tenha bloqueado no AD por erro na base de dados de revogação de identidade, encaminhe um chamado emergencial ao nível 3 para verificar a retrolimentação das identidades e evite ativar a conta manualmente sem autorização.