Conceptos y administración de roles

En esta sección encontrará información para configurar los roles en Identity Manager. Las asignaciones de recursos basadas en roles simplifican drásticamente la administración de recursos en las organizaciones grandes.

---

Nota –

No hay que confundir los roles y los roles de administrador. Los roles sirven para gestionar el acceso de los usuarios finales a los recursos externos. En cambio, los roles de administrador se utilizan principalmente para gestionar el acceso del administrador a los objetos internos de Identity Manager, como usuarios, organizaciones y capacidades.

Aquí nos ocuparemos de los roles. Encontrará información sobre los roles de administrador en Conceptos y administración de roles de admin.

---

¿Qué son los roles?

Un rol es un objeto de Identity Manager que permite agrupar los derechos de acceso a los recursos y asignarlos eficazmente a los usuarios.

Los roles se organizan en cuatro tipos:

• Roles de negocio

• Roles de TI

• Aplicaciones

• Activos

Los roles de negocio sirven para organizar en grupos los derechos de acceso que necesitan las personas que realizan tareas similares en una organización. Los roles de negocio suelen representar funciones de tareas de usuario. Por ejemplo, en una institución financiera, los roles de negocio podrían corresponder a funciones de trabajo como cajero, responsable de préstamos, director de sucursal, secretario, contable o auxiliar administrativo.

Los roles de TI, las aplicaciones y los activos organizan los derechos de recursos en grupos. Para proporcionar a los usuarios finales acceso a los recursos, los roles de negocio se asignan a roles de TI, aplicaciones y activos, lo que permite a los usuarios acceder a los recursos que necesitan para realizar sus tareas. Los roles de TI contienen un conjunto específico de aplicaciones, activos o recursos, incluidos derechos concretos sobre los recursos asignados. Los roles de TI también pueden contener otros roles de TI.

---

Nota –

El concepto de tipos de roles nuevo en la versión 8.0 de Identity Manager. Si su organización ha actualizado a esta versión desde otra anterior de Identity Manager, sus roles anteriores se habrán importado como roles de TI. Para obtener más información, consulte Administración de roles creados en versiones anteriores a la 8.0.

---

Los roles de TI, las aplicaciones y los activos pueden ser requeridos, condicionales u opcionales.

• Los roles requeridos se asignan siempre a usuarios finales.

• Los roles condicionales tienen condiciones que deben evaluarse como verdaderas para poder ser asignados.

• Los roles opcionales se pueden solicitar por separado y, una vez aprobados, asignar a los usuarios finales.

Los roles requeridos, condicionales y opcionales permiten a un diseñador de roles de negocio definir un acceso genérico a los roles contenidos para cumplir las normativas, dejando flexibilidad al administrador para definir con precisión los derechos de acceso del usuario final. Los usuarios que tienen asignados roles condicionales u opcionales pueden compartir el mismo rol de negocio asignado, pero tienen asignados derechos de acceso distintos. Así no hace falta definir un nuevo rol de negocio cada vez que cambian las necesidades de acceso dentro de la organización (problema que se conoce como explosión de roles).

Uso práctico de los roles

A continuación se explica cómo usar los roles con eficacia. Los tipos de roles se describen en la sección anterior.

Administración de roles creados en versiones anteriores a la 8.0

En las organizaciones que han actualizado desde versiones de Identity Manager anteriores a la 8.0, sus roles anteriores se convertirán automáticamente en roles de TI. Estos roles de TI permanecerán asignados directamente a los usuarios. En el proceso de actualización no se asignará ningún propietario de roles a los roles anteriores, aunque sí es posible asignárselo después. (Encontrará información sobre los propietarios de roles en Designación de propietarios y aprobadores de roles.)

De manera predeterminada, las organizaciones que actualizan a la versión 8.0 pueden asignar a los usuarios directamente tanto roles de TI como de negocio (consulte la Figura 5–2).

A las organizaciones que tienen roles anteriores quizá les interese crear nuevos roles con las instrucciones indicadas en la próxima sección.

Uso de tipos de roles para diseñar roles flexibles

Los roles de TI, aplicaciones y activos son las piezas fundamentales de los diseñadores de roles. Estos tres tipos de roles se combinan para confeccionar derechos de usuario (o derechos de acceso). Después, los roles de TI, aplicaciones y activos se asignan a roles de negocio.

Diseño de roles de negocio

En Identity Manager, a un usuario se le puede asignar un rol, varios o ninguno. Con la introducción de los tipos de roles en Identity Manager 8.0, se recomienda sólo asignar directamente roles de negocio a los usuarios. De manera predeterminada, no es posible asignar directamente ningún otro tipo de rol a los usuarios, salvo que previamente se tuviera instalada una versión de Identity Manager anterior y se haya actualizado a la versión 8.0. Esta restricción predeterminada se puede cambiar modificando el objeto de configuración de rol (Configuración de tipos de roles).

Para evitar mayor complejidad, los roles de negocio no pueden anidarse. Es decir, un rol de negocio no puede contener a su vez otros roles de negocio. Además, los roles de negocio no pueden contener directamente recursos ni grupos de recursos. En vez de ello, los recursos y grupos de recursos deben asignarse a un rol de TI o una aplicación, que entonces pueden asignarse a uno o más roles de negocio.

Diseño de roles de TI

Los roles de TI pueden contener aplicaciones, activos y otros roles de TI. Los roles de TI también pueden contener recursos y grupos de recursos.

Los roles de TI deben ser creados y administrados por el personal de TI de la organización o por los propietarios del recurso que conocen los derechos necesarios para habilitar privilegios concretos dentro del recurso.

Diseño de aplicaciones y activos

Las aplicaciones y activos son tipos de roles concebidos para representar términos de negocio habituales descriptivos de lo que necesitan los usuarios finales para realizar sus trabajos. Por ejemplo, un rol de aplicación podría denominarse “Herramientas de atención al cliente” o “Herramienta admin. HHRR Intranet“.

• Las aplicaciones no pueden contener roles, pero sí recursos y grupos de recursos. Las aplicaciones también pueden definir derechos específicos que restrinjan el acceso únicamente a determinadas aplicaciones en los recursos contenidos.

• Los activos suelen ser recursos no conectados o no digitales que requieren abastecimiento manual, como teléfonos móviles y equipos portátiles. Por tanto, los activos no pueden contener roles, recursos ni grupos de recursos.

Las aplicaciones y los activos están pensados para asignarse a roles de negocio y de TI.

---

Nota –

A los administradores de roles se les asigna una o varias de las siguientes capacidades:

• Administrador de activos

• Administrador de aplicaciones

• Administrador de roles de negocio

• Administrador de roles de TI

Para obtener más información, consulte Asignación de capacidades a usuarios.

---

Sinopsis de los tipos de roles

En la figura siguiente se resumen los tipos de roles, recursos y grupos de recursos que pueden asignarse a cada uno de los cuatro tipos de roles. La figura también muestra que es posible asignar exclusiones de tipos de roles a los cuatro tipos de roles. (Las exclusiones de roles se tratan en Para asignar recursos y grupos de recursos.)

Figura 5–1 Los tipos de roles de negocio, TI, aplicación y activo

Los roles contenidos opcionales, condicionales y requeridos (¿Qué son los roles?) aumentan la flexibilidad. Las definiciones de roles flexibles pueden reducir el número total de roles que necesita administrar la organización.

La Figura 5–2 muestra que los roles de negocio y de TI pueden asignarse directamente a los usuarios si se ha actualizado a la versión 8.0 una versión anterior de Identity Manager. Al actualizar, los roles anteriores se convierten en roles de TI y, para garantizar la compatibilidad con versiones anteriores, los roles de TI se asignan directamente a los usuarios. Si Identity Manager no se ha actualizado desde una versión anterior a la 8.0, sólo se podrán asignar directamente a los usuarios roles de negocio.

Figura 5–2 Roles y recursos que se pueden asignar directamente a los usuarios.

Creación de roles

En esta sección se explica cómo crear roles a lo largo de los siguientes apartados:

• Para crear roles con el formulario de creación de roles

• Para asignar recursos y grupos de recursos

• Para editar valores de atributos de recursos asignados

• Para asignar roles y exclusiones de roles

• Designación de propietarios y aprobadores de roles

• Designación de notificaciones

• Inicio de elementos de trabajo de aprobaciones de cambio y de aprobación

---

Nota –

Dentro de Uso de tipos de roles para diseñar roles flexibles encontrará consejos para diseñar roles.

---

Cuando se crea o edita un rol, Identity Manager inicia el flujo de trabajo ManageRole. Este flujo de trabajo guarda el rol nuevo o actualizado en el depósito y le permite insertar aprobaciones u otras acciones antes de crear o guardar el rol.

Para crear roles con el formulario de creación de roles

1. En la interfaz de administración, seleccione Roles en el menú principal.

   Aparece la página Roles (ficha Listar roles).

2. Haga clic en Nuevo en la parte inferior de la página.

   Aparece la página Crear rol de TI. Para crear otro tipo de rol, use el menú desplegable Tipo.

3. Rellene los campos del formulario de la ficha Identidad.

   La figura siguiente muestra la ficha Identidad.

   Figura 5–3 Ficha Identidad en la página Crear rol de TI

   
   

4. Rellene los campos del formulario de la ficha Recursos (si procede. Encontrará ayuda para rellenar los campos de esta ficha en la ayuda en línea y en el apartado Para asignar recursos y grupos de recursos.

   Para aprender a definir valores de atributos extendidos en los roles, consulte el apartado Para ver o editar atributos de cuentas de recursos.

   La figura siguiente muestra la ficha Recursos.

   Figura 5–4 Ficha Recursos en la página Crear rol de TI

   
   

5. Rellene los campos del formulario de la ficha Recursos (si procede). Encontrará ayuda para rellenar los campos de esta ficha en la ayuda en línea y en el apartado Para asignar roles y exclusiones de roles.

   La Figura 5–6 muestra la ficha Roles.

6. Rellene los campos del formulario de la ficha Seguridad. Encontrará ayuda para rellenar los campos de esta ficha en la ayuda en línea y en los apartados Designación de propietarios y aprobadores de roles y Designación de notificaciones.

   Designación de propietarios y aprobadores de roles muestra la ficha Seguridad.

7. Haga clic en Guardar en la parte inferior de la página.

8. Introduza un nombre y una descripción del rol en la ficha Identidad del formulario de creación de roles. Si va a crear un rol nuevo, seleccione el tipo en el menú desplegable Tipo.

   La Figura 5–4 muestra el área Identidad de la ficha Identidad del formulario de creación de roles. En la ayuda en línea se explica cómo utilizar este formulario.

Para asignar recursos y grupos de recursos

Los recursos y grupos de recursos pueden asignarse directamente a roles de TI y de aplicación en la ficha Recursos del formulario de creación de roles. Los recursos se describen más adelante en la sección Conceptos y administración de recursos de Identity Manager. Los grupos de recursos se describen en la sección Grupos de recursos.

• Los recursos y grupos de recursos no se pueden asignar directamente a los roles de negocio, porque a los roles de negocio sólo se les pueden asignar roles de negocio.

• Los recursos y grupos de recursos no se pueden asignar a roles de activo, ya que los roles de activo se reservan para los recursos no conectados o no digitales que requieren abastecimiento manual.

A continuación se explica cómo asignar recursos y grupos de recursos a un rol al rellenar el formulario de creación de roles. Consulte el procedimiento inicial en Para crear roles con el formulario de creación de roles.

1. Haga clic en la ficha Recursos de la página Crear rol.

2. Para asignar un recurso, selecciónelo en la columna Recursos disponibles y trasládelo a la columna Recursos vigentes mediante los botones de flecha.

3. Si va a asignar varios recursos, puede especificar el orden en el que se actualizarán: seleccione la casilla Actualizar recursos en orden y utilice los botones + y - para cambiar el orden de los recursos en la columna Recursos vigentes.

4. Para asignar un grupo de recursos a este rol, selecciónelo en la columna Grupos disponibles de recursos y trasládelo a la columna Grupos vigentes de recursos mediante los botones de flecha. Un grupo de recursos es un conjunto de recursos que ofrece otra manera de especificar el orden en que se crean y actualizan las cuentas de recursos.

5. Para especificar atributos de cuenta para este rol en función del recurso, haga clic en Configurar valores de atributo dentro de la sección Recursos asignados. Encontrará más información en el apartado Para ver o editar atributos de cuentas de recursos.

6. Pulse Guardar para guardar el rol, o bien haga clic en las fichas Identidad, Roles o Seguridad para proseguir con el proceso de creación de roles.

   La figura siguiente muestra la ficha Recursos del formulario de creación de roles.

   Figura 5–5 Área Recursos del formulario con fichas de creación de roles.

   
   

Para editar valores de atributos de recursos asignados

Utilice la tabla Recursos asignados para definir o modificar valores de atributos de recursos asignados a un rol. Un recurso puede adoptar distintos valores de atributo por rol. Al pulsar el botón Configurar valores de atributo, aparece la página Atributos de cuentas de recursos.

La figura siguiente muestra la página Atributos de cuentas de recursos, que sirve para definir valores de atributo extendidos en los recursos asignados a un rol.

1. En la página Atributos de cuentas de recursos, especifique nuevos valores para cada atributo y cómo se definen los valores.

   Identity Manager permite configurar los valores directamente o aplicando una regla, y ofrece diversas opciones para sustituir los valores existentes o fusionarlos con otros. Encontrará información general sobre los valores de atributos de recursos en el apartado Para ver o editar atributos de cuentas de recursos.

   Utilice las opciones siguientes para establecer los valores de cada atributo de cuenta de recursos.

   • Toma de precedencia sobre valor. Elija una de estas opciones:

     • Ninguno (valor predeterminado). No se establece ningún valor.

     • Regla. Utiliza una regla para definir el valor.

       Si selecciona esta opción, debe seleccionar también un nombre de regla de la lista.

     • Texto. Utiliza el texto especificado para definir el valor.

       Si elige esta opción, deberá introducir el texto en el campo Texto adyacente.

   • Cómo configurar. Elija una de estas opciones:

     • Valor predeterminado. Define la regla o texto como el valor de atributo predeterminado.

       El usuario puede cambiar o sustituir este valor.

     • Definir como valor. Define el valor de atributo en la forma especificada por la regla o texto.

       Se definirá el valor y se sustituirán todos los cambios del usuario.

     • Combinar con valor. Fusiona el valor de atributo actual con los valores especificados por la regla o el texto.

     • Combinar con valor, eliminar valor existente. Elimina los valores de atributo actuales, y define el valor como una combinación de los valores especificados por éste y otros roles asignados.

     • Suprimir de valor. Elimina el valor especificado por la regla o el texto del valor de atributo.

     • Configuración autoritativa a valor. Define el valor de atributo en la forma especificada por la regla o texto.

       Se definirá el valor y se sustituirán todos los cambios del usuario. Si elimina el rol, el nuevo valor será nulo, aunque haya existido anteriormente en el atributo.

     • Combinación autoritativa con valor. Fusiona el valor de atributo actual con los valores especificados por la regla o el texto.

       Al eliminar el rol, se suprime el valor asignado al asignar el rol y el valor original del atributo permanece intacto.

     • Combinación autoritativa con valor, eliminar valor existente. Elimina los valores de atributo actuales, y define el valor como una combinación de los valores especificados por éste y otros roles asignados.

       Si se ha eliminado el rol, borra el valor de atributo especificado por ese rol, aunque haya existido anteriormente en el atributo.

   • Nombre de regla. Si selecciona Regla en el área de sustitución de valores, debe seleccionar también una regla de la lista.

   • Texto. Si ha seleccionado "Texto" en el área de sustitución de valores, introduzca un texto para añadirlo al valor de atributo, eliminarlo o utilizarlo como valor.

2. Haga clic en Aceptar para guardar los cambios y regresar a la página de creación o edición de roles.

Para asignar roles y exclusiones de roles

Los roles se pueden asignar a roles de negocio y a roles de TI con la ficha Roles del formulario Crear rol. Los roles asignados deben incluirse en la tabla Roles contenidos.

• No se pueden asignar roles a roles de aplicación ni de activo.

• Los roles de negocio no se pueden asignar a ningún tipo de rol.

Las exclusiones de roles pueden asignarse a los cuatro tipos de roles en la ficha Roles del formulario de creación de roles. Si un usuario tiene asignado un rol con una exclusión de rol, el rol excluido no se puede asignar a dicho usuario. Las exclusiones de roles deben incluirse en la tabla Exclusiones de rol.

A continuación se explica cómo asignar uno o varios recursos a un rol al rellenar el formulario de creación de roles. Consulte el procedimiento inicial en Para crear roles con el formulario de creación de roles.

Para rellenar la ficha Roles

1. Haga clic en la ficha Roles de la página Crear rol.

2. Seleccione Agregar en la sección Roles contenidos.

   La ficha se actualiza con el formulario Buscar roles para contener.

3. Busque el rol o roles que desea asignar a éste. Empiece por los roles requeridos. (Después añadirá los roles condicionales y opcionales.)

   Encontrará información sobre el uso del formulario de búsqueda en el apartado Para buscar roles. Los roles de negocio no se pueden anidar ni asignar a otros tipos de roles.

4. Seleccione los roles que desea asignar mediante las casillas de verificación y después pulse Agregar.

   La ficha se actualiza con el formulario Agregar rol contenido.

5. En el menú desplegable Tipo de asociación, elija el tipo de rol requerido (o condicional u opcional, según proceda).

   Haga clic en Aceptar.

6. Repita los cuatro pasos anteriores para agregar roles condicionales (en su caso). Repita los cuatro pasos anteriores para agregar roles opcionales (en su caso).

7. Pulse Guardar para guardar el rol, o bien haga clic en las fichas Identidad, Recursos o Seguridad para proseguir con el proceso de creación de roles.

   La Figura 5–6 ilustra la ficha Roles del formulario de creación de roles. En la ayuda en línea se explica cómo utilizar este formulario.

   Figura 5–6 Área Roles del formulario con fichas de creación de roles.

   
   

Designación de propietarios y aprobadores de roles

Los roles tienen propietarios y aprobadores designados. Sólo los propietarios de roles pueden autorizar modificaciones en los parámetros que definen el rol, mientras que sólo los aprobadores de roles pueden autorizar la asignación del rol a los usuarios finales.

---

Nota –

Si tiene Identity Manager integrado con Sun^TM Role Manager, debe permitir que Role Manager gestione todas las aprobaciones y notificaciones de cambios, para lo cual deben inhabilitar manualmente la capacidad de realizar estas acciones de Identity Manager.

Debe editar como sigue el objeto de configuración RoleConfiguration en Identity Manager:

• Busque todas las instancias de changeApproval y defina el valor en false.

• Busque todas las instancias de changeNotification y defina el valor en false.

---

Ser propietario de un rol es ser el responsable propietario del negocio para los derechos de la cuenta de recursos subyacente asignados mediante el rol. Si un administrador modifica un rol, un propietario del rol debe aprobar los cambios para que se apliquen. Esta función impide que un administrador cambie un rol sin el conocimiento y la aprobación de un propietario de negocio. No obstante, si se han inhabilitado las aprobaciones de cambios en el objeto de configuración de rol, no se necesita la aprobación de un propietario de rol para que se apliquen los cambios.

Además de aprobar los cambios de rol, los roles no se pueden habilitar, inhabilitar ni eliminar sin la aprobación de su propietario.

Los propietarios y aprobadores de roles pueden agregarse a un rol directamente o bien dinámicamente mediante una regla de asignación de roles. En Identity Manager es posible (pero no aconsejable) crear roles sin propietarios y aprobadores.

---

Nota –

Las reglas de asignación de roles tienen un tipo de autenticación RoleUserRule authType.

Para crear una regla de asignación de roles personalizada, guíese por los tres objetos de regla de asignación de roles predeterminados.

• Aprobadores de roles

• Notificaciones de roles

• Propietarios de roles

---

Cuando un elemento de trabajo requiere la aprobación de los propietarios y los aprobadores, se les notifica por correo electrónico. Los elementos de trabajo de aprobaciones de cambio y de aprobación se tratan en la sección Inicio de elementos de trabajo de aprobaciones de cambio y de aprobación.

Los propietarios y aprobadores se agregan a los roles en la ficha Seguridad del formulario de creación de roles.

Designación de propietarios y aprobadores de roles muestra la ficha Seguridad del formulario de creación de roles. En la ayuda en línea se explica cómo utilizar este formulario.

Designación de notificaciones

Se puede enviar una notificación a uno o varios administradores cuando se asigne un rol a un usuario.

Especificar el destinatario de la notificación es optativo. Puede decidir notificar a un administrador si prefiere no exigir aprobación cuando se asigne un rol a un usuario. O quizá designe un administrador para que actúe como aprobador y otro administrador para que reciba las notificaciones cuando se efectúe la aprobación.

Como los propietarios y aprobadores, las notificaciones pueden agregarse a un rol directamente o bien dinámicamente mediante una regla de asignación de roles. Cuando se asigna un rol a un usuario, se avisa a los destinatarios de la notificación por correo electrónico. Sin embargo, no se crea ningún elemento de trabajo, ya que no se requiere aprobación.

Las notificaciones se asignan a roles en la ficha Seguridad del formulario de creación de roles. Designación de propietarios y aprobadores de roles muestra la ficha Seguridad del formulario de creación de roles.

Inicio de elementos de trabajo de aprobaciones de cambio y de aprobación

Cuando se efectúan cambios en un rol, sus propietarios pueden recibir por correo electrónico una aprobación de cambio, una notificación de cambio o no recibir nada. Cuando se asigna un rol a un usuario, los aprobadores del rol reciben mensajes de aprobación del rol por correo electrónico.

De manera predeterminada, los propietarios de roles reciben mensajes de aprobación de cambio por correo electrónico siempre que se modifican los roles que detentan. No obstante, este comportamiento se puede modificar por tipo de rol. Por ejemplo, puede optar por habilitar aprobaciones de cambio para los roles de negocio y de TI y notificaciones de cambio para los roles de aplicaciones y activos.

En Configuración de tipos de roles encontrará instrucciones para habilitar e inhabilitar los mensajes de aprobación y notificación de cambio por correo electrónico.

Las aprobaciones y las notificaciones de cambio funcionan así:

• Si las aprobaciones de cambio están habilitadas, cuando un administrador modifica un rol se genera un elemento de trabajo y se envía un mensaje de aprobación por correo electrónico al propietario del rol. Para que el cambio sea efectivo, un propietario de roles debe aprobar el elemento de trabajo. Es posible delegar los elementos de trabajo de aprobación de cambio. Para obtener más información, consulte Aprobación de cuentas de usuario.

  Si las aprobaciones de cambio están inhabilitadas, no se genera ningún elemento de trabajo ni se envía ningún mensaje de aprobación por correo electrónico al propietario del rol.

• Si las notificaciones de cambio están habilitadas, cuando un administrador modifica un rol el cambio tiene efecto de inmediato y se envía un mensaje de notificación por correo electrónico al propietario del rol.

  Si las notificaciones de cambio están inhabilitadas, no envía ninguna notificación al propietario del rol.

Cuando se asigna un rol a un usuario, los aprobadores del rol reciben mensajes de aprobación del rol por correo electrónico. En Identity Manager no se puede inhabilitar el correo electrónico de aprobación de roles.

En el caso de las aprobaciones de roles, cuando se asigna un rol a un usuario se genera un elemento de trabajo y se envía un mensaje de aprobación por correo electrónico al aprobador del rol. Para que el rol se asigne al usuario, un aprobador de roles debe aprobar el elemento de trabajo.

Es posible delegar los elementos de trabajo de aprobación de cambio y de aprobación. Para obtener más información sobre la delegación de elementos de trabajo, consulte Delegación de elementos de trabajo.

Edición y administración de roles

La mayoría de las tareas de edición y administración de roles se pueden realizar en las fichas Buscar roles y Listar roles, que se encuentran dentro de la ficha Roles en el menú principal.

Se tratan los temas siguientes:

• Para buscar roles

• Para ver roles

• Para editar roles

• Para clonar roles

• Para asignar un rol a otro rol

• Para suprimir un rol asignado a otro rol

• Para habilitar o inhabilitar roles

• Para eliminar roles

• Para asignar un recurso o un grupo de recursos a un rol

• Para suprimir un recurso o un grupo de recursos asignado a un rol

Para buscar roles

Use la ficha Roles para buscar roles que cumplan los criterios de búsqueda que especifique.

En la ficha Roles puede buscar roles según muy diversos criterios, como propietarios y aprobadores de roles, tipos de cuentas asignados, roles contenidos, etc.

Encontrará información para buscar usuarios asignados a un rol en el apartado Para buscar usuarios asignados a un rol específico.

1. En la interfaz de administración, seleccione la ficha Roles.

   Se abre la ficha Listar roles.

2. Haga clic en la ficha secundaria Buscar roles.

   La Figura 5–7 muestra la ficha Buscar rol. En la ayuda en línea se explica cómo utilizar este formulario.

   Figura 5–7 Ficha Buscar rol

   
   

   Utilice los menús desplegables para definir los parámetros de búsqueda. Pulse el botón Agregar fila para añadir otros parámetros.

Para ver roles

Para ver roles, use la ficha Listar roles. Los campos de filtro situados en la parte superior de la página Listar roles sirven para buscar roles por su nombre o tipo. Al filtrar no se distinguen mayúsculas de minúsculas.

1. En la interfaz de administración, seleccione la ficha Roles.

   Se abre la ficha Listar roles.

   La Figura 5–8 muestra la ficha Listar roles. En la ayuda en línea se explica cómo utilizar este formulario.

   Figura 5–8 Ficha Listar roles

   
   

Para editar roles

Para buscar el rol que desea editar, utilice las fichas Listar roles o Buscar roles. Si modifica un rol y las aprobaciones de cambio están definidas en el valor verdadero (true), un propietario de roles deberá aprobar los cambios para que sean efectivos.

Encontrará información para actualizar los usuarios con los cambios de rol en el apartado Para actualizar roles asignados a usuarios.

1. Para buscar el rol que desea editar, siga las instrucciones de los apartados Para buscar roles o Para ver roles.

2. Haga clic en el nombre del rol que desea editar.

   Aparece la página Editar rol.

3. Edite el rol según convenga. Consulte el procedimiento del apartado Para crear roles con el formulario de creación de roles, donde se explica cómo rellenar las fichas Identidad, Recursos, Roles y Seguridad.

   Pulse Guardar. Aparece la página Confirmar cambios de rol.

4. Si este rol está asignado a usuarios, puede especificar cuándo se actualizan los cambios del rol para los usuarios. Para obtener más información, consulte Para actualizar roles asignados a usuarios.

5. Haga clic en Guardar para guardar los cambios.

Para clonar roles

1. Para buscar el rol que desea editar, siga las instrucciones de los apartados Para buscar roles o Para ver roles.

2. Haga clic en el nombre del rol que desea clonar.

   Aparece la página Editar rol.

3. Introduzca un nombre nuevo en el campo Nombre y haga clic en Guardar.

   Aparece la página Rol: ¿Crear o cambiar nombre? .

4. Haga clic en Crear para hacer una copia del rol.

Para asignar un rol a otro rol

Los requisitos de Identity Manager para asignar roles se explican en ¿Qué son los roles? y en Uso práctico de los roles. Antes de asignar roles debe conocer dicha información.

Identity Manager cambia las asignaciones de rol de un rol si el propietario del rol principal lo aprueba.

1. Busque el rol de negocio o de TI al que desea asignar uno o más roles contenidos. (Los roles sólo pueden asignarse a roles de negocio y de TI.) Para buscar roles, siga las instrucciones de los apartados Para buscar roles o Para ver roles.

2. Haga clic en el rol de negocio o de TI para abrirlo.

   Aparece la página Editar rol.

3. Haga clic en la ficha Roles de la página Editar rol.

4. Seleccione Agregar en la sección Roles contenidos.

   La ficha se actualiza con el formulario Buscar roles para contener.

5. Busque el rol o roles que desea asignar a éste. Empiece por los roles requeridos. (Después añadirá los roles condicionales y opcionales.)

   Encontrará información sobre el uso del formulario de búsqueda en el apartado Para buscar roles. Los roles de negocio no se pueden anidar ni asignar a otros tipos de roles.

6. Seleccione los roles que desea asignar mediante las casillas de verificación y después pulse Agregar.

   La ficha se actualiza con el formulario Agregar rol contenido.

7. En el menú desplegable Tipo de asociación, elija el tipo de rol requerido (o condicional u opcional, según proceda).

   Haga clic en Aceptar.

8. Repita los cuatro pasos anteriores para agregar roles condicionales (en su caso). Repita los cuatro pasos anteriores para agregar roles opcionales (en su caso).

9. Haga clic en Guardar para abrir la página Confirmar cambios de rol.

   Aparece la página Confirmar cambios de rol.

10. En el área Actualizar usuarios asignados, elija una opción del menú Actualizar usuarios asignados y haga clic en Guardar para guardar las asignaciones de rol.

    Para obtener más información, consulte Para actualizar roles asignados a usuarios.

Para suprimir un rol asignado a otro rol

Identity Manager suprime un rol contenido de otro rol si el propietario del rol principal lo aprueba. El rol suprimido se eliminará de los usuarios cuando éstos reciban actualizaciones de roles. (Para obtener más información, consulte Para actualizar roles asignados a usuarios.) Una vez eliminado el rol, los usuarios pierden los derechos que les otorgaba.

• Encontrará información sobre la supresión de roles asignados a uno o más usuarios en el apartado Para suprimir uno o más roles de un usuario.

• Para obtener información sobre la inhabilitación de roles, consulte Para habilitar o inhabilitar roles.

• Para obtener información sobre la eliminación de roles de Identity Manager, consulte Para eliminar roles.

1. Busque el rol de negocio o de TI del que desea suprimir un rol. Para buscar roles, siga las instrucciones de los apartados Para buscar roles o Para ver roles.

2. Haga clic en el rol para abrirlo.

   Aparece la página Editar rol.

3. Haga clic en la ficha Roles de la página Editar rol.

4. En el área Roles contenidos, marque la casilla de verificación adjunta al rol que desea suprimir y haga clic en Suprimir. Para suprimir varios roles, marque varias casillas.

   La tabla se actualiza para mostrar los roles contenidos que quedan.

5. Pulse Guardar.

   Aparece la página Confirmar cambios de rol.

6. En el área Actualizar usuarios asignados, elija una opción del menú Actualizar usuarios asignados. Para obtener más información, consulte Para actualizar roles asignados a usuarios.

7. Haga clic en Guardar para terminar los cambios.

Para habilitar o inhabilitar roles

Los roles se pueden habilitar e inhabilitar en la ficha Listar roles. El estado del rol aparece en la columna Estado. Haga clic en el encabezado de la columna Estado para ordenar la tabla por estado de rol.

Los roles inhabilitados no aparecen en la ficha Roles del formulario Crear/Editar usuario y no se pueden asignar directamente a los usuarios. Los roles que contienen roles inhabilitados se pueden asignar a los usuarios, pero los roles inhabilitados no se pueden asignar.

Los usuarios que tienen asignados roles que después se inhabilitan no pierden sus derechos. La inhabilitación de roles sólo impide futuras asignaciones de roles.

Para inhabilitar y rehabilitar un rol se requiere el permiso de su propietario.

Cuando se habilita o inhabilita un rol que está asignado a usuarios, Identity Manager pide que se actualicen dichos usuarios. Encontrará información al respecto en el apartado Para actualizar roles asignados a usuarios.

1. Para buscar el rol que desea eliminar, siga las instrucciones de los apartados Para buscar roles o Para ver roles.

2. Marque las casillas de verificación adjuntas a los roles que desea habilitar o inhabilitar.

3. Haga clic en Habilitar o Inhabilitar en la parte inferior de la tabla Roles.

   Se abre la página de confirmación para habilitar o inhabilitar los roles.

4. Haga clic en Aceptar para habilitar o inhabilitar los roles.

Para eliminar roles

A continuación se explica cómo eliminar un rol de Identity Manager.

• Encontrará información para suprimir roles asignados a otros roles en el apartado Para suprimir un rol asignado a otro rol.

• Encontrará información sobre la supresión de roles asignados a uno o más usuarios en el apartado Para suprimir uno o más roles de un usuario.

Si se va a eliminar un rol que está asignado a un usuario, Identity Manager impide la eliminación cuando se intenta guardar el rol. Para que Identity Manager puede eliminar un rol, antes hay que anular la asignación (o reasignar) de todos los usuarios asignados al rol. También debe eliminar el rol de cualquier otro rol.

Identity Manager requiere la aprobación de un propietario de rol para eliminar un rol.

1. Para buscar el rol que desea eliminar, siga las instrucciones de los apartados Para buscar roles o Para ver roles.

2. Marque la casilla de verificación adjunta a cada rol que desee eliminar.

3. Haga clic en Eliminar.

   Aparece la página de confirmación de eliminación de roles.

4. Haga clic en Aceptar para eliminar uno o varios roles.

Para asignar un recurso o un grupo de recursos a un rol

Los requisitos de Identity Manager para asignar recursos y grupos de recursos se explican en ¿Qué son los roles? y en Uso práctico de los roles. Antes de asignar recursos a roles debe conocer dicha información.

Identity Manager cambia las asignaciones de recursos y grupos de recursos de un rol si el propietario del rol lo aprueba.

1. Busque el rol de TI o de aplicación al que desea agregar un recurso o un grupo de recursos. Para buscar un rol, siga las instrucciones de los apartados Para buscar roles o Para ver roles.

2. Haga clic en el rol para abrirlo.

3. Haga clic en la ficha Recursos de la página Editar rol.

4. Para asignar un recurso, selecciónelo en la columna Recursos disponibles y trasládelo a la columna Recursos vigentes mediante los botones de flecha.

5. Si va a asignar varios recursos, puede especificar el orden en el que se actualizarán: seleccione la casilla Actualizar recursos en orden y utilice los botones + y - para cambiar el orden de los recursos en la columna Recursos vigentes.

6. Para asignar un grupo de recursos a este rol, selecciónelo en la columna Grupos disponibles de recursos y trasládelo a la columna Grupos vigentes de recursos mediante los botones de flecha. Un grupo de recursos es un conjunto de recursos que ofrece otra manera de especificar el orden en que se crean y actualizan las cuentas de recursos.

7. Para especificar atributos de cuenta para este rol en función del recurso, haga clic en Configurar valores de atributo dentro de la sección Recursos asignados. Encontrá más información en el apartado Para ver o editar atributos de cuentas de recursos.

8. Haga clic en Guardar para abrir la página Confirmar cambios de rol.

   Aparece la página Confirmar cambios de rol.

9. En el área Actualizar usuarios asignados, elija una opción del menú Actualizar usuarios asignados. Para obtener más información, consulte Para actualizar roles asignados a usuarios.

10. Haga clic en Guardar para guardar las asignaciones de recursos.

Para suprimir un recurso o un grupo de recursos asignado a un rol

Identity Manager suprime un recurso o un grupo de recursos de un rol si el propietario del rol lo aprueba. El recurso suprimido se eliminará de los usuarios cuando éstos reciban actualizaciones de roles. (Para obtener más información, consulte Para actualizar roles asignados a usuarios.) Cuando se elimina un recurso, los usuarios pierden sus derechos sobre él, a no ser que el recurso también esté asignado directamente al usuario.

1. Busque el rol de TI o de aplicación del que desea suprimir un recurso o un grupo de recursos. Para buscar roles, siga las instrucciones de los apartados Para buscar roles o Para ver roles.

2. Haga clic en el rol para abrirlo.

   Aparece la página Editar rol.

3. Haga clic en la ficha Recursos de la página Editar rol.

4. Para suprimir un recurso, selecciónelo en la columna Recursos vigentes y trasládelo a la columna Recursos disponibles mediante los botones de flecha.

   Para suprimir un grupo de recursos, selecciónelo en la columna Grupos vigentes de recursos y trasládelo a la columna Grupos disponibles de recursos mediante los botones de flecha.

5. Pulse Guardar.

   Aparece la página Confirmar cambios de rol.

6. En el área Actualizar usuarios asignados, elija una opción del menú Actualizar usuarios asignados. Para obtener más información, consulte Para actualizar roles asignados a usuarios.

7. Haga clic en Guardar para terminar los cambios.

Administración de asignaciones de roles

Los roles se asignan a los usuarios en el área Cuentas de Identity Manager.

Para asignar roles a un usuario

A continuación se indica el procedimiento para asignar uno o más roles a uno o varios usuarios.

Los usuarios finales también pueden solicitar asignaciones de roles. (Sólo pueden solicitar los roles opcionales cuyo rol principal ya se les haya asignado.) Encontrará información sobre cómo los usuarios finales pueden solicitar roles disponibles en el apartado Ficha Solicitudes de la sección Interfaz de usuario final de Identity Manager.

1. En la interfaz de administración, seleccione la ficha Cuentas.

   Se abre la ficha secundaria Listar cuentas.

2. Para asignar un rol a un usuario existente, siga estos pasos:

   1. Seleccione el nombre del usuario en la Lista de usuarios.

   2. Haga clic en la ficha Roles.

   3. Pulse Agregar para agregar uno o más roles a la cuenta del usuario.

      De manera predeterminada, sólo es posible asignar directamente roles de negocio a los usuarios. (Si ha actualizado la instalación de Identity Manager desde una versión anterior a la 8.0, podrá asignar directamente a los usuarios roles de negocio y de TI.)

   4. En la tabla de roles, elija los que desea asignar al usuario y pulse Aceptar.

      Para ordenar la tabla alfabéticamente por Nombre, Tipo o Descripción, haga clic en los encabezados de columna. Si vuelve a hacer clic se invertirá el orden. Para filtrar la lista por tipo de rol, selecciónelo en el menú desplegable Actual.

      La tabla se actualiza con las asignaciones de roles seleccionadas y todas las asignaciones de roles necesarias que estén conectadas con las asignaciones del rol principal.

   5. Haga clic en Agregar para ver las asignaciones de roles opcionales que también pueden asignarse al usuario.

      Elija los roles opcionales que desea asignar al usuario y pulse Aceptar.

   6. (Opcional) En la columna Activar en, seleccione la fecha en que debe activarse el rol. Si no especifica ninguna fecha, la asignación del rol se activará en cuanto la apruebe un aprobador designado.

      Para que la asignación de rol sea temporal, seleccione la fecha en que debe inactivarse el rol en la columna Desactivar en. La desactivación del rol se producirá al empezar el día seleccionado.

      Para obtener más información, consulte Para activar y desactivar roles en fechas específicas.

   7. Pulse Guardar.

Para activar y desactivar roles en fechas específicas

Al asignar un rol a un usuario, puede especificar una fecha de activación y otra de desactivación. Las solicitudes de elementos de trabajo de asignación de roles se crean al efectuar la asignación. No obstante, si una asignación de roles no se ha aprobado para la fecha de activación programada, el rol no se asigna. Las activaciones y desactivaciones de roles se producen un poco después de la media noche (12:01 AM) en la fecha programada.

De manera predeterminada, sólo los roles de negocio pueden tener fechas de activación y de desactivación. Todos los demás tipos de roles heredan las fechas de activación y desactivación del rol de negocio que está asignado directamente al usuario. Identity Manager se puede configurar para que otros tipos de roles tengan fechas de activación y desactivación directamente asignables. Consulte las instrucciones en Configuración de tipos de roles.

Para editar la programación del Analizador de tareas aplazadas

El Analizador de tareas aplazadas explora las asignaciones de roles de usuario y las activa y desactiva según proceda. De manera predeterminada, la tarea del Analizador de tareas aplazadas se ejecuta cada hora.

1. En la interfaz de administración, seleccione Tareas del servidor.

2. Elija Administrar programación en el menú secundario.

3. Dentro de la sección Tareas disponibles para programación, haga clic en la definición de tarea Analizador de tareas aplazadas.

   Aparece la página “Crear nueva programación de tareas Analizador de tareas aplazadas”.

4. Rellene el formulario. Para obtener información, consulte los elementos i-Help y la ayuda en línea.

   Para especificar la fecha y la hora en que debe ejecutarse la tarea, utilice el formato mm/dd/aaaa hh:mm:ss en Fecha de inicio. Por ejemplo, para programar el inicio de la ejecución de una tarea a las 7:00 P.M. del 29 de septiembre de 2009, escriba 09/29/2009 19:00:00.

   En el menú desplegable Opciones de resultados, seleccione cambiar nombre. Si elige esperar, las futuras instancias de esta tarea no se ejecutarán hasta que suprima los resultados anteriores. Encontrará más información sobre los distintos valores de configuración de Opciones de resultados en la ayuda en línea.

5. Haga clic en Guardar para guardar la tarea.

   La Figura 5–9 muestra el formulario de la tarea programada para el Analizador de tareas aplazadas.

   Figura 5–9 Formulario de la tarea programada para el Analizador de tareas aplazadas

   
   

Para actualizar roles asignados a usuarios

Al editar roles asignados a usuarios tiene la opción de actualizar los usuarios con los nuevos roles inmediatamente o bien aplazar la actualización para ejecutarla durante un periodo de mantenimiento programado.

Tras modificar un rol, aparece la página Confirmar cambios de rol. La página Confirmar cambios de rol se muestra en Para actualizar roles asignados a usuarios.

• En dicha página, el área Actualizar usuarios asignados indica el número de usuarios a los que está asignado el rol actualmente.

• El menú Actualizar usuarios asignados permite especificar si los usuarios se actualizan de inmediato con los nuevos cambios de rol (Actualizar), si se aplaza dicha actualización (No actualizar) o si se elige una tarea de actualización programada y personalizada.

  • Como Actualizar actualiza los usuarios inmediatamente, conviene evitar esta opción si afecta a muchos usuarios. La actualización de los usuarios puede tardar y acaparar muchos recursos. Cuando hay que actualizar muchos usuarios, es preferible programar la actualización para las horas de poca actividad.

  • Si se elige No actualizar para un rol, los usuarios que lo tienen asignado no recibirán las actualizaciones del rol hasta que un administrador visualice el perfil de usuario o hasta que el usuario se actualice con una tarea de actualización de usuarios de rol. Para obtener información sobre la programación de tareas de actualización de usuarios de rol, consulte la próxima sección.

  • Si ha programado una tarea de actualización de usuarios de rol, puede seleccionarla en el menú. Dicha tarea actualizará los usuarios asignados al rol tal como ha sido programada. Para obtener más información, consulte la próxima sección.

    Para actualizar roles asignados a usuarios muestra la página Confirmar cambios de rol. El área Actualizar usuarios asignados indica el número de usuarios a los que está asignado el rol actualmente. El menú Actualizar usuarios asignados tiene dos opciones predeterminadas: No actualizar y Actualizar. También es posible seleccionar en una lista de tareas de actualización de usuarios de rol programadas. Encontrará instrucciones para crear tareas de actualización de usuarios de rol programadas en el apartado Para programar una tarea de actualización de usuarios de rol.

    

Para actualizar a mano usuarios asignados

Los usuarios que tienen roles asignados se pueden actualizar seleccionando uno o varios y pulsando el botón Actualizar usuarios asignados. Mediante este procedimiento se ejecuta una instancia de la tarea Actualizar roles de usuario para los roles especificados.

1. Para buscar el rol (o roles) cuyos usuarios desea actualizar, siga las instrucciones de los apartados Para buscar roles o Para ver roles.

2. Seleccione los roles mediante las casillas de verificación.

3. Haga clic en Actualizar usuarios asignados.

   Aparece la página Actualizar usuarios asignados a los roles (Figura 5–10).

4. Pulse Ejecutar para iniciar la actualización.

5. Para comprobar el estado de la tarea Actualizar roles de usuario, elija Tareas del servidor en el menú principal y después Todas las tareas en el menú secundario.

   Figura 5–10 Página Actualizar usuarios asignados a los roles

   
   

Para programar una tarea de actualización de usuarios de rol

---

Nota –

Conviene programar una tarea de actualización de usuarios de rol para que se ejecute periódicamente.

---

Una tarea de actualización de usuarios de rol se programa así para actualizar los usuarios con los cambios de rol:

1. En la interfaz de administración, seleccione Tareas del servidor.

2. Elija Administrar programación en el menú secundario.

3. Dentro de la sección Tareas disponibles para programación, haga clic en la definición de tarea Actualizar roles de usuario.

   Aparece la página “Crear nueva programación de tareas Actualizar roles de usuario” o, si está editando una tarea existente, la página “Editar programación de tareas” (Figura 5–11).

4. Rellene el formulario. Para obtener información, consulte los elementos i-Help y la ayuda en línea.

   Para especificar la fecha y la hora en que debe ejecutarse la tarea, utilice el formato mm/dd/aaaa hh:mm:ss en Fecha de inicio. Por ejemplo, para programar el inicio de la ejecución de una tarea a las 7:00 P.M. del 29 de septiembre de 2009, escriba 09/29/2009 19:00:00.

   En el menú desplegable Opciones de resultados, seleccione cambiar nombre. Si elige esperar, las futuras instancias de esta tarea no se ejecutarán hasta que suprima los resultados anteriores. Encontrará más información sobre los distintos valores de configuración de Opciones de resultados en la ayuda en línea.

5. Haga clic en Guardar para guardar la tarea.

   La Figura 5–11 muestra el formulario de la tarea programada para Actualizar roles de usuario. Se pueden asignar roles a tareas Actualizar roles de usuario específicas (como se explica en la sección Parámetros de tarea). Para obtener más información, consulte Para actualizar roles asignados a usuarios.

   Figura 5–11 Formulario de la tarea programada para Actualizar roles de usuario

   
   

Para buscar usuarios asignados a un rol específico

Es posible buscar usuarios que tienen asignado un rol específico.

1. En la interfaz de administración, seleccione Cuentas.

2. Elija Buscar usuarios en el menú secundario. Aparece la página Buscar usuarios.

3. Elija el tipo de búsqueda El usuario tiene [seleccione el tipo de rol] roles asignados.

4. Marque la casilla correspondiente y filtre la lista de roles disponibles con el menú desplegable Seleccionar tipo de rol.

   Aparece otro menú de roles.

5. Seleccione un rol.

6. Desactive las demás casillas de tipo de búsqueda si no quiere delimitar más la búsqueda.

7. Haga clic en Buscar.

   Figura 5–12 Búsqueda de usuarios que tienen un rol asignado en la página Buscar usuarios

   
   

Para suprimir uno o más roles de un usuario

En la página Editar usuario se pueden suprimir uno o varios roles de una cuenta de usuario. Sólo es posible suprimir los roles asignados directamente. Los roles asignados indirectamente (es decir, roles contenidos condicionales o requeridos) se eliminan al eliminar el rol principal. Otra forma de suprimir un rol asignado indirectamente de un usuario es quitar dicho rol del rol principal (consulte Para suprimir un rol asignado a otro rol).

Los usuarios finales también pueden solicitar que se les supriman roles asignados de sus cuentas de usuario. Consulte la ficha Ficha Solicitudes en la sección Interfaz de usuario final de Identity Manager.

Encontrará información para suprimir un rol aplicando una fecha de desactivación programada en el apartado Para activar y desactivar roles en fechas específicas.

1. En la interfaz de administración, seleccione la ficha Cuentas.

   Se abre la ficha secundaria Listar cuentas.

2. Seleccione el usuario de quien desea suprimir una o más reglas.

   Aparece la página Editar usuario.

3. Haga clic en la ficha Roles.

4. En la tabla de roles, elija los que desea quitar al usuario y pulse Aceptar.

   Para ordenar la tabla alfabéticamente por Nombre, Tipo, Activar en, Desactivar en, Asignados por o Estado, haga clic en los encabezados de columna. Si vuelve a hacer clic se invertirá el orden. Para filtrar la lista por tipo de rol, selecciónelo en el menú desplegable Actual.

   La tabla muestra las asignaciones de roles principales (los roles que pueden seleccionarse) y todas las asignaciones de roles que estén conectadas con las asignaciones del rol principal (los roles que no pueden seleccionarse).

5. Pulse Suprimir.

   La tabla de roles asignados se actualiza para mostrar los roles asignados que quedan.

6. Pulse Guardar.

   Aparece la página de actualización de cuentas de recursos. Deseleccione las cuentas de recursos que no quiera eliminar.

7. Haga clic en Guardar para guardar los cambios.

Configuración de tipos de roles

La funcionalidad de tipo de rol puede modificarse editando el objeto de configuración de rol.

Para configurar tipos de roles como directamente asignables a los usuarios

De manera predeterminada, sólo es posible asignar directamente tipos de roles concretos a los usuarios. Para cambiar esta configuración, proceda como sigue.

---

Nota –

Es una práctica recomendada sólo asignar directamente roles de negocio a los usuarios. Encontrará más información en Uso de tipos de roles para diseñar roles flexibles.

---

Para cambiar los tipos de roles que se pueden asignar directamente a los usuarios, siga estos pasos:

1. Abra el objeto de configuración de rol para editarlo mediante el procedimiento que se explica en Edición de objetos de configuración de Identity Manager.

2. Busque el objeto de rol correspondiente al tipo de rol que desea editar.

   • Para editar un rol de TI, busque Object name=’ITRole’

   • Para editar un rol de aplicación, busque Object name=’ApplicationRole’

   • Para editar un rol de activo, busque Object name=’AssetRole’

3. Especifique un conjunto de instrucciones para actualizar la configuración.

   Elija uno de los siguientes según cómo quiera actualizar la configuración:

   • Para modificar un tipo de rol con el fin de poderlo asignar directamente a un usuario, busque el atributo userAssignment siguiente dentro del objeto de rol:

     <Attribute name=’userAssignment’> <Object/> </Attribute>

     Y sustitúyalo por esto:

     <Attribute name=’userAssignment’> <Object> <Attribute name=’manual’ value=’true’/> </Object> </Attribute>

   • Para modificar un tipo de rol con el fin de impedir su asignación directa a un usuario, busque el atributo userAssignment dentro del objeto de rol y elimine el atributo manual así:

     <Attribute name=’userAssignment’> <Object> </Object> </Attribute>

4. Guarde el objeto de configuración de rol. No es necesario reiniciar los servidores de aplicaciones para que los cambios surtan efecto.

Para habilitar tipos de roles con fechas de activación y desactivación asignables

De manera predeterminada, sólo los roles de negocio pueden tener fechas de activación y de desactivación que se especifican al asignar los roles. Todos los demás roles heredan las fechas de activación y desactivación del rol de negocio que está asignado directamente al usuario.

---

Nota –

Es una práctica recomendada sólo asignar directamente roles de negocio a los usuarios. Encontrará más información en Uso de tipos de roles para diseñar roles flexibles.

Si decide que otro tipo de rol sea directamente asignable a los usuarios (por ejemplo, el rol de TI), quizá también le interese poder asignar fechas de activación y de desactivación a ese tipo de rol.

---

Proceda como se indica a continuación para cambiar los tipos de roles que pueden tener fechas de activación y desactivación asignables.

1. Abra el objeto de configuración de rol para editarlo mediante el procedimiento que se explica en Edición de objetos de configuración de Identity Manager.

2. Busque el objeto de rol correspondiente al tipo de rol que desea editar.

   • Para editar un rol de negocio, busque Object name=’BusinessRole’

   • Para editar un rol de TI, busque Object name=’ITRole’

   • Para editar un rol de aplicación, busque Object name=’ApplicationRole’

   • Para editar un rol de activo, busque Object name=’AssetRole’

3. Especifique un conjunto de instrucciones para actualizar la configuración.

   Elija uno de los siguientes según cómo quiera actualizar la configuración:

   • Para modificar un tipo de rol con el fin de que pueda tener fechas de activación y de desactivación directamente asignables, busque el atributo userAssignment siguiente dentro del objeto de rol:

     <Attribute name=’userAssignment’> <Attribute name=’manual’ value=’true’/> </Attribute>

     Y sustitúyalo por esto:

     <Attribute name=’userAssignment’> <Object> <Attribute name=’activateDate’ value=’true’/> <Attribute name=’deactivateDate’ value=’true’/> <Attribute name=’manual’ value=’true’/> </Object> </Attribute>

   • Para modificar un tipo de rol con el fin de impedir que tenga fechas de activación y de desactivación directamente asignables, busque el atributo userAssignment dentro del objeto de rol y elimine los atributos activateDate y deactivateDate así:

     <Attribute name=’userAssignment’> <Object> </Object> </Attribute>

4. Guarde el objeto de configuración de rol. No es necesario reiniciar los servidores de aplicaciones para que los cambios surtan efecto.

Para habilitar o inhabilitar elementos de trabajo de aprobaciones de cambio y notificaciones de cambio

Los elementos de trabajo de aprobaciones de cambio están habilitados de manera predeterminada para todos los tipos de roles. Esto significa que cada vez que se cambia un rol (ya sea de negocio, TI, aplicación o activo), si tiene un propietario éste debe aprobar el cambio para que sea efectivo.

Para obtener más información sobre elementos de trabajo de aprobaciones de cambio y de notificaciones de cambios, consulte Inicio de elementos de trabajo de aprobaciones de cambio y de aprobación.

Para habilitar o inhabilitar elementos de trabajo de aprobaciones de cambio y notificaciones de cambio para tipos de roles, siga estos pasos:

1. Abra el objeto de configuración de rol para editarlo mediante el procedimiento que se explica en Edición de objetos de configuración de Identity Manager.

2. Busque el objeto de rol correspondiente al tipo de rol que desea editar.

   • Para editar un rol de negocio, busque Object name=’BusinessRole’

   • Para editar un rol de TI, busque Object name=’ITRole’

   • Para editar un rol de aplicación, busque Object name=’ApplicationRole’

   • Para editar un rol de activo, busque Object name=’AssetRole’

3. Busque los siguientes atributos en el elemento <Object> , que se encuentra en el elemento <Attribute name=’features’>:

   <Attribute name=’changeApproval’ value=’true’/> <Attribute name=’changeNotification’ value=’true’/>

4. Defina los valores de atributo en true o false según convenga.

5. Si es preciso, repita los pasos 2 - 4 para configurar otro tipo de rol.

6. Guarde el objeto de configuración de rol. No es necesario reiniciar los servidores de aplicaciones para que los cambios surtan efecto.

Para configurar el número máximo de filas que pueden cargarse en la página Listar roles

La página Listar roles de la interfaz de administración puede mostrar un número máximo de filas que es configurable. El número predeterminado es 500. Utilice los pasos indicados en la sección para cambiar el número.

Proceda como sigue para cambiar el número máximo de filas que puede mostrar la página Listar roles.

1. Abra el objeto de configuración de rol para editarlo mediante el procedimiento que se explica en Edición de objetos de configuración de Identity Manager.

2. Busque el atributo siguiente y cambie el valor:

   <Attribute name=’roleListMaxRows’ value=’500’/>

3. Guarde el objeto de configuración de rol. No es necesario reiniciar los servidores de aplicaciones para que los cambios surtan efecto.

Sincronización de roles y roles de recursos de Identity Manager

Los roles de Identity Manager pueden sincronizarse con los roles creados nativamente en un recurso. Al sincronizarlo, el recurso se asigna al rol de manera predeterminada. Esto se aplica a los roles creados con la tarea de sincronización y a los roles de Identity Manager que coinciden con uno de los nombres de rol de recursos.

Para sincronizar un rol de Identity Manager con un rol de recursos

1. En la interfaz de administración, seleccione Tareas de servidor en el menú principal.

2. Haga clic en Ejecutar tareas. Aparece la página Tareas disponibles.

3. Haga clic en la tarea Sincronizar roles de Identity System (Sistema de identidad) con los roles de recursos.

4. Rellene el formulario. Haga clic en Ayuda para obtener más información.

5. Seleccione Ejecutar.