Desativação Automatizada de Usuários | Gestão de Licenças com API

Olá pessoal, tudo bom? Espero que sim!

Aqui na nossa empresa não utilizamos a integração da suíte Atlassian com o AD, então o processo de gestão de acesso dos usuários costumava gerar um overload operacional bem alto.

Este ano - muito graças à pandemia - tivemos um aumento substancial de usuários em nossas ferramentas, e a automação da criação/desativação/reativação e inclusão em grupos tornou-se extremamente necessária.

Desenvolvi diversos scripts recentemente, e hoje trouxe pra vocês um dos mais simples de ser configurado: A desativação automatizada de usuários via REST API.

• Por que? Tivemos um problema antes de aumentarmos a nossa licença com a questão da limitação de usuários, já que o processo de coleta/desativação de usuários inativos por x dias não havia amadurecido o suficiente para ser utilizado com a frequência que estava sendo utilizada (quase diariamente).
• Pré-requisitos técnicos: 
  • Acesso administrativo à aplicação do Jira (para acesso às API's de gerenciamento de usuários);
  • Acesso administrativo ao servidor de Banco de Dados do JIRA;
  • BD deve estar hospedado em um servidor Linux.
• Limitações: Não sei como funciona a parte de gestão de acessos no Jira Cloud, então não sei dizer como replicar o script nem se ele funciona para a Cloud. Sorry. =(
• Versão do Jira: Jira v8.5.1
• Versão do SQLPlus: Release 12.1.0.2.0 Production

Vamos começar?

OS ARQUIVOS

Tenho 2 recomendações sobre o local dos arquivos: 

• Preferível que estejam no mesmo diretório;
• Preferível que fiquem em /home/oracle.

Caso opte por deixá-los em outros locais, prepare-se para resolver alguns problemas de permissionamento.

Arquivo query.sql:

Esta query coleta uma lista com o nome de usuário dos usuários que estão a X dias sem acesso e foram criados/reativados há mais de Y dias.

set pagesize 999
set heading off
set echo off
set feedback off
set verify off
SELECT "USER_NAME" FROM
(SELECT "USER_NAME","ACTIVE","CREATED_DATE","UPDATED_DATE",NVL(B.LOGIN_COUNT,0)
AS LOGIN_COUNT, TO_CHAR(C.LAST_LOGIN,'DD/MM/YYYY') AS LAST_LOGIN,
ROUND(CURRENT_DATE - LAST_LOGIN,0) AS LASTLOGINCOUNT,
ROUND(CURRENT_DATE - UPDATED_DATE,0) AS UPDATEDCOUNT,
ROUND(CURRENT_DATE - CREATED_DATE,0) AS COUNTCREATION FROM "CWD_USER" A
LEFT JOIN
(SELECT "USER_ID","ATTRIBUTE_NAME","ATTRIBUTE_VALUE" AS LOGIN_COUNT FROM "CWD_USER_ATTRIBUTES" WHERE ATTRIBUTE_NAME = 'login.count') B
ON A.ID = B.USER_ID
LEFT JOIN
(SELECT "USER_ID","ATTRIBUTE_NAME", TO_DATE('01.01.1970','dd.mm.yyyy') + TO_NUMBER("ATTRIBUTE_VALUE")/1000/60/60/24 AS LAST_LOGIN FROM "CWD_USER_ATTRIBUTES" WHERE ATTRIBUTE_NAME = 'lastAuthenticated') C
ON A.ID = C.USER_ID)
WHERE "ACTIVE"=1
AND (("LASTLOGINCOUNT" IS NULL AND ("COUNTCREATION">$dias_desde_a_criação AND "UPDATEDCOUNT">$dias_desde_a reativação)) OR "LASTLOGINCOUNT">$dias_desde_ultimo_login AND "UPDATEDCOUNT">$dias_desde_a reativação)
ORDER BY USER_NAME;
exit

Variáveis para customização:

• dias_desde_a_criação: Espaço de dias que o usuário pode ficar sem acessar desde que o usuário é criado - para evitar a desativação de usuários que ainda não tiveram tempo de acessar desde a solicitação de acesso, nós deixamos 10 por aqui;
• dias_desde_a_reativação: A mesma coisa que o bullet acima, mas referente a reativação do usuário, nós deixamos 10 por aqui;
• dias_desde_ultimo_login: Dias sem acesso para que o usuário seja desativado, nós deixamos 40 por aqui - para evitar desativar usuários que estão de férias.

Arquivo script.sh:

Este script lê a lista coletada acima e acessa as APIs do jira para desativá-los. As entradas de log são opcionais. Por favor tome nota do comentário inserido antes do comando "tail -n +18 users_1.csv > users_2.csv", já que a não adaptação desta linha pode fazer com que a coleta de usuários não seja bem sucedida.

#!/bin/bash

# Salvando o diretório de execução do script.
EXEC_PATH=$PWD
# Fazendo login com o usuário do oracle e rodando a query de coleta dos usuários.
sudo su - oracle -c "sqlplus -s $usuario_do_BD_do_jira/$senha_do_usuario_do_BD_do_jira @$EXEC_PATH/querr.sql" > users_1.csv

# O comando acima faz o login com o usuário do oracle e recarrega as 
# variáveis de ambiente, temos um banner de login que - no meu caso - 
# ocupa 18 linhas. Ao rodar na primeira vez, comente todas as linhas 
# abaixo deste comentário e cheque o arquivo users_1.csv para verificar 
# se você precisará remover alguma linha do cabeçalho, se sim substitua 
# o 18 no comando abaixo pela quantidade de linhas que deverão ser 
# removidas do arquivo.
tail -n +18 users_1.csv > users_2.csv

# Coletando dia e hora para log.
function getdate() {date +"%F %T"}

# Entradas de execução para log.
echo "########################################################################"
echo "$(getdate) Inicio da execução do script de clean-up de usuários"

# Leitura do arquivo com os usuários e execução.
while IFS="," read user_name
do
echo -e "Desativando usuario: $user_name..."
curl -s -X PUT $url_do_jira/rest/api/2/user?username=${user_name} \
-u $usuario_administrativo_do_jira:$senha_do_usuario_administrativo_do_jira \
-H 'Content-Type: application/json; charset=utf-8' \
--data '{"active": "false"}'
sleep 2
done < users_2.csv

# Deleção de arquivos criados
rm -f *.csv

# Entradas de execução para log.
echo "$(getdate) Término da execução do script de clean-up de usuários"

Variáveis para customização:

• usuario_do_BD_do_jira: nome auto-explicativo;
• senha_do_usuario_do_BD_do_jira: nome auto-explicativo;
• url_do_jira:nome auto-explicativo;
• usuario_administrativo_do_jira: nome auto-explicativo;
• senha_do_usuario_administrativo_do_jira: nome auto-explicativo;

PERMISSÕES

Caso opte por deixar o usuário/senha hardcoded no script, recomendo ajustar as permissões dos arquivos conforme abaixo:

-r-x------ 1 oracle oinstall 1027 Aug 24 11:52 query.sql
-r-x------ 1 root root 341 Aug 24 11:56 script.sh

Desta forma os únicos com acesso para execução e leitura são os owners/grupos dos arquivos:

chmod 500 query.sql
chmod 500 script.sh

Note também que alterei o owner/grupo do arquivo query.sql:

chown oracle query.sql
chgrp oinstall query.sql

Fiz isto pois por padrão só é possível agendar tarefas no crontab do root, portanto o script será executado com o usuário do root.

No entanto precisaremos fazer login dentro do script com o usuário do oracle, e ele não conseguirá acessar o arquivo caso não seja o owner.

AGENDAMENTO

Para configurar a execução diária deste script, basta incluir uma linha no cron do servidor:

crontab -e

O formato de agendamento do crontab pode variar dependendo do tipo e versão do seu SO, mas aqui no nosso servidor, configuramos desta forma: execução diária às 06 da manhã, com output salvo no arquivo de log logdoscript.log, salvo no mesmo diretório dos scripts.

00 06 * * * $diretorio_do_script/script.sh >> $diretorio_do_script/logdoscript.log

Variáveis para customização:

• diretorio_do_script: nome auto-explicativo;

Fui aprendendo algumas coisas na tentativa e erro ao longo de tempo e apanhei bastante pra descobrir alguns pontos descritos aqui em cima, então espero ter coberto a maioria das dúvidas/problemas que vocês possam ter.

Disclaimer: não sou nem tenho experiência com a área de Desenvolvimento, então provavelmente existe espaço pra melhoria no código e na documentação do código. Sugestões serão sempre bem vindas. =)