Features

Visão Geral

A seção Features controla a habilitação e configuração de módulos funcionais avançados do PAM FSafer. Cada aba representa uma funcionalidade independente que pode ser ativada ou parametrizada conforme as necessidades da organização.

As cinco abas disponíveis são: Access requests (fluxo de aprovação de acessos via tíquete), Job center (execução de comandos e scripts em lote), Account storage (integração com cofres de senhas externos), Chat AI (assistente de inteligência artificial integrado) e VirtualApp (habilitação de aplicações remotas virtuais).

Aba Access Requests

Configura o módulo de solicitação de acesso via tíquete. Quando habilitado, usuários que não possuem permissão direta a um ativo podem abrir um tíquete de solicitação. O acesso é liberado somente após aprovação de um administrador ou gestor designado, garantindo rastreabilidade e controle no provisionamento de acessos privilegiados.

Seção Basic

Ticket — Checkbox. Padrão: habilitado. Ativa o sistema de tíquetes de solicitação de acesso. Com esta opção ativa, usuários sem permissão direta a um ativo podem solicitar acesso temporário via tíquete. O fluxo de aprovação é configurado nas regras de autorização do SYSADMIN. Altamente recomendado em produção para conformidade com ISO 27001 (A.9.2 — User access provisioning) e para garantir governança de acesso just-in-time.

Approval without login — Checkbox. Padrão: desabilitado. Quando habilitado, permite que aprovadores autorizem tíquetes de acesso sem precisar realizar login no PAM. O aprovador recebe um link de aprovação direta por e-mail. Indicado para aprovadores executivos ou externos que não acessam o PAM cotidianamente. Atenção: exige configuração segura do sistema de e-mail para evitar que links de aprovação sejam interceptados ou reutilizados indevidamente.

Seção Authorization

Period — Campo numérico. Padrão: 7. Define o período padrão de validade de uma autorização concedida via tíquete — ou seja, por quanto tempo o acesso ao ativo ficará disponível após a aprovação. Aceita valores inteiros positivos. Deve ser usado em conjunto com o campo Unit. Exemplo: com Period=7 e Unit=day, o acesso expira automaticamente após 7 dias da aprovação.

Unit — Radio button. Padrão: day. Define a unidade de tempo do período de autorização. Opções: day (dias) ou hour (horas). Para acessos emergenciais de curta duração (ex.: acesso de plantão), prefira hour. Para projetos ou demandas recorrentes, use day com período adequado ao ciclo do projeto.

Aba Job Center

Configura o módulo de centro de tarefas, que permite execução de comandos e scripts em lote em múltiplos ativos simultaneamente. O Job Center suporta execução ad hoc (imediata) e agendada, sendo uma ferramenta de alta capacidade operacional que requer controle rigoroso de acesso e uma lista de bloqueio de comandos perigosos bem definida.

Adhoc — Checkbox. Padrão: habilitado. Habilita a execução ad hoc de comandos no Job Center, permitindo que operadores autorizados executem comandos imediatos em múltiplos ativos sem necessidade de agendamento prévio. Ideal para operações de manutenção em massa e respostas a incidentes. Requer controle cuidadoso de permissões para evitar uso indevido.

Command blocklist — Campo de tags (obrigatório). Padrão: reboot, shutdown, poweroff, halt, dd, half, top. Lista de comandos que são proibidos de execução via ad hoc no Job Center, independentemente das permissões do usuário. Os valores padrão bloqueiam comandos de alto impacto: reboot e shutdown (reinicialização e desligamento de servidores), poweroff e halt (desligamento forçado), dd (cópia/sobrescrita de disco, potencialmente destrutivo), half (variante de halt) e top (monitoramento interativo que impede a conclusão automática do job). Adicione ao blocklist todos os comandos de acordo com as políticas de segurança e gestão de mudanças da organização.

Aba Account Storage

Configura a integração com cofres de senhas externos (Vault) para armazenamento seguro de credenciais privilegiadas fora do banco de dados local do PAM. Quando ativo, as senhas das contas gerenciadas são armazenadas e recuperadas diretamente do cofre externo. Suporta HashiCorp Vault (HCP), Microsoft Azure Key Vault e Amazon AWS Secrets Manager.

Pré-requisitos de configuração no servidor

Antes de habilitar o Vault pela interface gráfica, é obrigatório configurar os parâmetros no arquivo de configuração do servidor PAM. O processo segue quatro etapas: (1) Adicionar VAULT_ENABLED=true e VAULT_BACKEND=hcp/azure/aws no arquivo de configuração para ativar o suporte ao cofre; (2) Após habilitado, preencher as configurações de conexão e realizar testes de integração; (3) Executar a sincronização de dados — operação unidirecional, do banco de dados local para o Vault remoto; após a conclusão, o banco de dados local não armazenará mais senhas, sendo essencial realizar backup completo dos dados antes desta etapa; (4) Após qualquer modificação secundária na configuração do Vault, reiniciar o serviço do PAM para aplicar as mudanças.

Seção Basic

Vault — Checkbox. Padrão: desabilitado. Habilita a integração com o cofre de senhas externo configurado. Requer que o parâmetro VAULT_ENABLED=true esteja definido no arquivo de configuração do servidor antes da ativação. IMPORTANTE: ao habilitar e sincronizar, o banco de dados local do PAM deixa de armazenar senhas. Esta ação é irreversível sem novo processo de migração.

Record limit — Campo numérico. Padrão: 999. Limite máximo de registros de conta histórica mantidos no sistema. Se o valor configurado for menor que 999, o sistema executa automaticamente uma tarefa noturna que verifica e exclui registros históricos excedentes. Se o valor for 999 ou superior, nenhuma exclusão automática de histórico é realizada. Para ambientes com alto volume de rotações de senha (ex.: rotação diária automatizada em centenas de contas), reduza este valor para controlar o crescimento do banco de dados.

Aba Chat AI

Configura o assistente de inteligência artificial integrado ao PAM FSafer. Quando habilitado, os usuários têm acesso a um chat com IA dentro da plataforma para auxiliar em tarefas como geração de scripts, explicação de comandos, análise de logs e suporte operacional. A integração é feita via API OpenAI-compatível.

Chat AI — Checkbox. Padrão: desabilitado. Habilita o módulo de chat com IA na interface do PAM. Requer preenchimento das demais configurações desta aba (modelo, URL base e API key) para funcionar corretamente.

GPT model — Radio button. Define o modelo de linguagem utilizado. Opções disponíveis: GPT-4o-mini (menor custo, resposta mais rápida, indicado para uso geral), GPT-4o (balanceado entre capacidade e custo, recomendado para a maioria dos casos) e GPT-4 Turbo (maior capacidade, maior custo, indicado para tarefas complexas como análise de código e scripts extensos). A escolha impacta diretamente no custo de uso da API e na qualidade das respostas.

GPT base URL — Campo de texto (textarea). URL base da API OpenAI ou de um serviço compatível (ex.: Azure OpenAI, proxies privados, serviços auto-hospedados como LM Studio). Para a API oficial da OpenAI, o valor padrão é https://api.openai.com/v1. Para implantações em ambientes air-gapped ou que exijam dados on-premises, configure uma URL de um serviço OpenAI-compatível hospedado internamente.

API key — Campo de texto. Chave de autenticação da API do serviço de IA configurado. Para a API oficial da OpenAI, obtenha em platform.openai.com. Trate esta chave como credencial sensível: não a compartilhe, não a versione em repositórios de código e monitore seu uso para detectar consumo anômalo. Recomenda-se usar chaves com limites de uso (spending limits) para controlar custos.

Agent — Campo de texto (textarea). Prompt de sistema (system prompt) que define o comportamento e personalidade do assistente de IA. Permite customizar o assistente para o contexto específico da equipe, como restringir o escopo de respostas ao domínio de infraestrutura, definir o idioma de resposta (ex.: "Responda sempre em português") ou incluir contexto sobre os sistemas gerenciados. Se deixado em branco, o modelo usará seu comportamento padrão.

Ações disponíveis: Submit (salva a configuração) e Test (testa a conectividade com a API de IA configurada usando as credenciais fornecidas).

Aba VirtualApp

Controla a habilitação global do módulo de aplicações virtuais remotas do PAM FSafer. Quando ativo, permite que usuários acessem aplicações instaladas em servidores remotos (como navegadores, clientes de banco de dados, ferramentas de administração) diretamente pelo PAM, sem necessidade de cliente RDP completo. O servidor Linux pode atuar como servidor de aplicações para publicação de RemoteApps.

Virtual app — Checkbox. Padrão: habilitado. Ativa o módulo VirtualApp globalmente. Com este módulo habilitado, as configurações de aplicações virtuais, máquinas de execução e provedores de aplicação ficam disponíveis em System Settings > Virtual access applications. A desabilitação desta opção remove o acesso ao módulo VirtualApp em toda a plataforma.

Boas Práticas

Access Requests: Habilite sempre o módulo Ticket em produção. O uso de tíquetes é um controle essencial de acesso just-in-time (JIT), requisito do NIST SP 800-53 (AC-2) e uma das práticas mais recomendadas em frameworks PAM como o CyberArk Privileged Access Security. Configure períodos de autorização curtos e revise tíquetes expirados periodicamente.

Job Center: Revise e expanda o Command blocklist regularmente com base nos incidentes e nas políticas de gestão de mudanças. Considere adicionar comandos como rm -rf, mkfs, fdisk, iptables e outros que possam causar interrupções irreversíveis. Restrinja o acesso ao Job Center apenas para contas com perfil de operação aprovado.

Account Storage (Vault): Realize sempre um backup completo antes de habilitar e sincronizar o Vault. Teste a integração em ambiente de homologação antes de produção. O uso de cofre externo é recomendado por ISO 27001 (A.9.4.3) e PCI-DSS (Req. 8.2.2) para separação do armazenamento de credenciais do sistema que as utiliza.

Chat AI: Avalie o impacto de privacidade antes de habilitar. As consultas enviadas ao Chat AI podem conter informações sobre infraestrutura interna. Para ambientes com requisitos estritos de LGPD ou sigilo de dados, prefira uma instância de modelo hospedada internamente (on-premises) em vez da API pública da OpenAI. Configure o campo Agent com um prompt de sistema que limite o escopo do assistente ao domínio de TI.