Conceptos y administración de recursos de Identity Manager

En esta sección encontrará información y procedimientos para configurar los recursos de Product_IDMgr;.

¿Qué son los recursos?

Los recursos de Identity Manager almacenan información sobre cómo conectarse a un recurso o un sistema en el que se crean las cuentas. Los recursos de Identity Manager definen los atributos relevantes de un recurso y ayudan a especificar cómo se muestra la información de los recursos en Identity Manager.

Identity Manager ofrece recursos para una gran variedad de tipos, entre ellos:

• Administradores de seguridad de sistemas centrales (mainframe)

• Bases de datos

• Servicios de directorio

• Sistemas operativos

• Sistemas ERP (Planificación de recursos empresariales)

• Plataformas de mensajería

El área Recursos de la interfaz

Identity Manager muestra información sobre los recursos existentes en la página Recursos.

Para acceder a los recursos, seleccione Recursos en la barra de menús.

Los recursos de la lista se agrupan por tipos. Cada tipo de recurso se representa mediante un icono de carpeta. Para ver los recursos definidos actualmente, haga clic en el indicador existente junto a la carpeta. Haga clic de nuevo en el indicador para contraer la vista.

Cuando se expande una carpeta de tipo de recurso, se actualiza dinámicamente y muestra el número de objetos de recurso que contiene (si se trata de un tipo de recurso que admite grupos).

Algunos recursos tienen otros objetos que puede administrar, por ejemplo:

• Organizaciones

• Unidades organizativas

• Grupos

• Roles

Elija un objeto en la lista de recursos y después seleccione en las listas de opciones siguientes para iniciar una tarea de administración:

• Acciones de recurso. Permite efectuar numerosas acciones en los recursos, como edición, sincronización activa, cambio de nombre y eliminación, además de trabajar con objetos de recurso y gestionar conexiones de recursos.

• Acciones de objeto de recurso. Edición, creación, eliminación, cambio de nombre, guardar como y búsqueda de objetos de recurso.

• Acciones de tipo de recurso. Edición de directivas de recursos, uso del índice de cuentas y configuración de los recursos administrados.

Cuando se crea o edita un recurso, Identity Manager inicia el flujo de trabajo ManageResource. Este flujo de trabajo guarda el recurso nuevo o actualizado en el depósito y le permite insertar aprobaciones u otras acciones antes de crear o guardar el recurso.

Administración de la lista de recursos

Para poder crear un recurso nuevo, debe indicar a Identity Manager qué tipos de recursos desea poder administrar. Para habilitar recursos y crear recursos personalizados, utilice la página Configurar recursos administrados.

Para abrir la página Configurar recursos administrados

Siga estos pasos para abrir la página Configurar recursos administrados:

1. Inicie la sesión en la interfaz de administración.

2. Haga clic en la ficha Recursos.

   Utilice uno de estos métodos para abrir la página Configurar recursos administrados:

   • Busque la lista desplegable Acciones de tipo de recurso y elija Configurar recursos administrados.

   • Haga clic en la ficha Configurar tipos.

   Aparece la página Configurar recursos administrados.

   Esta página consta de tres secciones:

   • Conectores de recursos. Esta sección contiene los tipos de conectores de recursos, la versión del conector y el servidor de conectores.

   • Adaptadores de recursos. En esta sección aparecen los tipos de recursos que suelen encontrarse en los grandes entornos de empresa. En la columna Versión se indica la versión del adaptador de Identity Manager que se conecta al recurso.

   • Adaptadores de recursos personalizados. En esta sección se agregan recursos personalizados a la lista Recursos.

Para habilitar tipos de recursos

Puede habilitar un tipo de recurso desde la página Configurar recursos administrados como se indica a continuación.

1. Abra la página Configurar recursos administrados si aún no está abierta (Administración de la lista de recursos).

2. En la sección Recursos, marque la casilla de la columna ¿Administrado? correspondiente al tipo de recurso que desea habilitar.

   Para habilitar todo los tipos de recursos enumerados, seleccione Administrar todos los recursos.

3. Haga clic en Guardar en la parte inferior de la página.

   El recurso se agrega a la lista Recursos.

Para agregar un recurso personalizado

Puede agregar un recurso personalizado desde la página Configurar recursos administrados como se indica a continuación.

1. Abra la página Configurar recursos administrados si aún no está abierta (Administración de la lista de recursos).

2. En la sección Recursos personalizados, seleccione Añadir recurso personalizado

3. Introduzca la ruta de clase del recurso o un recurso personalizado creado. En el caso de los adaptadores suministrados con Identity Manager, consulte la ruta de clase completa en Sun Identity Manager 8.1 Resources Reference .

4. Pulse Guardar para añadir el recurso a la lista Recursos.

Para crear un recurso

Una vez habilitado un tipo de recurso, puede crear una instancia del recurso en Identity Manager. Use el Asistente de recursos para crear un recurso.

El Asistente de recursos le guía por la configuración de los siguientes elementos.

• Parámetros específicos del recurso. Estos valores se pueden modificar mediante la interfaz de Identity Manager al crear una instancia concreta de este tipo de recurso.

• Atributos de cuenta. Se definen en la asignación de esquemas para el recurso. Determinan cómo se asignan los atributos de usuario de Identity Manager a los atributos del recurso.

• ND de cuenta o plantilla de identidad. Incluye la sintaxis del nombre de cuenta para los usuarios, que adquiere especial importancia con los espacios de nombres jerárquicos.

• Parámetros de Identity Manager para el recurso Configura las directivas, establece los aprobadores de recursos y configura el acceso de la organización al recurso.

1. Inicie la sesión en la interfaz de administración.

2. Haga clic en la ficha Recursos. Asegúrese de que esté seleccionada la ficha secundaria Listar recursos.

3. Busque la lista desplegable Acciones de tipo de recurso y elija Nuevo recurso.

   Aparece la página "Nuevo recurso".

4. Seleccione un tipo de recurso en la lista desplegable. (Si no aparece el tipo de recurso que busca, deberá habilitarlo. Consulte Administración de la lista de recursos.)

5. Pulse Nuevo para acceder a la página de bienvenida del Asistente de recursos.

6. Pulse Siguiente para empezar a definir el recurso.

   El Asistente de recursos recorre y muestra las páginas por el orden siguiente:

   • Parámetros de recurso. Configure los parámetros específicos del recurso que controlan la autenticación y el comportamiento del adaptador de recursos. Introduzca los parámetros y pulse Conexión de prueba para asegurarse de que la conexión es válida. Al confirmar, pulse Siguiente para configurar los atributos de cuenta.

     La figura siguiente muestra la página Parámetros de recurso para recursos de Solaris. Los campos del formulario de esta página varían según los recursos.

     

   • Atributos de cuenta (asignación de esquema). Asigna atributos de cuenta de Identity Manager a atributos de cuenta de recursos. Encontrará más información sobre los atributos de cuentas de recursos en el apartado Para ver o editar atributos de cuentas de recursos.

     • Para agregar un atributo, haga clic en Añadir atributo.

     • Para suprimir uno o varios atributos, marque las casillas correspondientes a los mismos y pulse Suprimir atributos seleccionados.

       La figura siguiente muestra la página Atributos de cuenta en el Asistente de recursos.

       

     ---

     Nota –

     Si desea exportar atributos a la tabla EXT_RESOURCEACCOUNT_ACCTATTR , debe marcar la casilla Auditar para cada atributo que quiera exportar.

     ---

     Cuando termine, pulse Siguiente para configurar la plantilla de identidad.

   • Plantilla de identidad. Define la sintaxis de nombre de cuenta para los usuarios. Esta función adquiere especial relevancia con los espacios de nombres jerárquicos.

     • Para agregar un atributo a la plantilla, selecciónelo en la lista Insertar atributo.

     • Para eliminar un atributo, resáltelo en la cadena y pulse la tecla de supresión. Elimine el nombre de atributo, así como los caracteres $ (símbolo del dólar) que aparecen delante y detrás del nombre.

     • Tipo de cuentas. Identity Manager permite asignar varias cuentas de recursos a un mismo usuario. Por ejemplo, un usuario puede necesitar tanto una cuenta de nivel de administrador como una cuenta normal para un recurso particular. Para permitir varios tipos de cuenta en este recurso, marque la casilla Tipos de cuentas.

       ---

       Nota –

       No es posible seleccionar la casilla Tipos de cuentas sin haber creado una o varias reglas de generación de identidades con el subtipo IdentityRule. Como los id de cuenta deben ser distintos, los diferentes tipos de cuenta deben generar diferentes id de cuenta para un usuario específico. Las reglas de generación de identidades determinan cómo se crean esos id de cuenta únicos.

       ---

       El archivo sample/identityRules.xml ofrece ejemplos de reglas de identidades.

       No es posible suprimir un tipo de cuenta mientras otros objetos hagan referencia a él dentro de Identity Manager. Tampoco es posible cambiar de nombre un tipo de cuenta.

       Encontrará más información para rellenar el formulario de tipo de cuentas en la ayuda en línea de Identity Manager. Para obtener más información sobre la creación de varias cuentas de recursos para un usuario, consulte Creación de varias cuentas de recursos para un usuario.

       

   • Parámetros del sistema Identity. Define los parámetros de Identity Manager para el recurso, incluida la configuración de directivas y reintentos, como se indica en el apartado Para crear un recurso.

     

7. Use Siguiente y Retroceder para moverse entre las páginas. Cuando haya seleccionado todo lo que le interesa, pulse Guardar para guardar el recurso y volver a la página de la lista.

Administración de recursos

A continuación se explica cómo administrar los recursos existentes.

Esta información se ha dividido como sigue:

• Para ver la lista de recursos

• Para editar un recurso con el Asistente de recursos

• Para editar un recurso con comandos de la lista de recursos

Para ver la lista de recursos

Los recursos existentes pueden verse en la Lista de recursos.

1. Inicie la sesión en la interfaz de administración.

2. Seleccione Recursos en el menú principal.

   Aparece la Lista de recursos en la ficha secundaria Listar recursos.

Para editar un recurso con el Asistente de recursos

El Asistente de recursos sirve para editar parámetros de recurso, atributos de cuenta y parámetros del sistema de identidades. También es posible especifique la plantilla de identidad que debe aplicarse a los usuarios creados en el recurso.

1. En la interfaz de administración de Identity Manager, seleccione Recursos en el menú principal.

   Aparece la Lista de recursos en la ficha secundaria Listar recursos.

2. Elija el tipo de recurso que desea editar.

3. En el menú desplegable Acciones de recurso, seleccione Asistente de recursos (dentro de Editar).

   El Asistente de recursos se abre en el modo de edición para el recurso seleccionado.

Para editar un recurso con comandos de la lista de recursos

Además del Asistente de recursos, también se pueden realizar diversas acciones en un recurso con los comandos de la lista de recursos.

1. Seleccione una o más opciones en la lista de recursos.

   Las opciones incluyen:

   • Eliminar recursos. Seleccione uno o varios recursos y después elija Eliminar en la lista Acciones de recurso. Es posible seleccionar recursos de varios tipos simultáneamente. No se puede eliminar un recurso si tiene asociado algún rol o grupo de recursos.

   • Buscar objetos de recurso. Seleccione un recurso y después Buscar objeto de recurso en la lista Acciones de objeto recurso para buscar un objeto de recurso (como una organización, unidad organizativa, grupo o persona) según las características del objeto.

   • Administrar objetos de recurso. Es posible crear objetos nuevos para algunos tipos de recursos. Seleccione el recurso y, a continuación, seleccione Crear objeto de recurso en la lista Acciones de objeto de recurso.

   • Cambiar nombre de recursos. Elija un recurso y seleccione Cambiar nombre en la lista Acciones de recurso. Introduzca un nombre nuevo en el cuadro de entrada que aparece y pulse Cambiar nombre.

   • Clonar recursos. Elija un recurso y seleccione Guardar como en la lista Acciones de recurso. Introduzca un nombre nuevo en el cuadro de entrada que aparece. El recurso clonado aparece en la lista de recursos con el nombre elegido.

   • Operaciones masivas con recursos. Especifique una lista de recursos y acciones (en formato de entrada CSV) para aplicar a todos los recursos de la lista. A continuación, ejecute las operaciones masivas para iniciar la tarea correspondiente en segundo plano.

2. Guarde las modificaciones.

Para ver o editar atributos de cuentas de recursos

Los atributos de cuentas de recursos (o asignaciones de esquemas) ofrecen un método abstracto para hacer referencia a los atributos en los recursos administrados. La asignación de esquemas le permite especificar cómo se hace referencia a los atributos dentro de Identity Manager (la parte izquierda de la asignación de esquema) y cuál será la equivalencia de cada nombre con el nombre del atributo en el recurso real (la parte derecha de la asignación de esquema). Tras ello puede hacer referencia al nombre de atributo de Identity Manager dentro de los formularios y las definiciones de flujo de trabajo, así como referirse efectivamente al atributo en el propio recurso.

Éste es un ejemplo de asignación entre atributos de Identity Manager y de un recurso LDAP:

Atributo de Identity Manager		Atributo de recurso LDAP
firstname	<-->	givenName
lastname	<-->	sn

Cualquier referencia al atributo de Identity Manager, firstname, es en realidad una referencia al atributo LDAP, givenName, cuando se realiza una acción en ese recurso.

Cuando se administran diversos recursos desde Identity Manager, la asignación de un atributo de cuenta común de Identity Manager a muchos atributos de recurso puede simplificar rotundamente la administración de los recursos. Por ejemplo, el atributo fullname de Identity Manager puede asignarse al atributo de recurso displayName de Active Directory. Por otro lado, en un recurso LDAP resource, el mismo atributo fullname de Identity Manager puede asignarse al atributo LDAP cn. En consecuencia, al administrador le basta con suministrar el valor de fullname una vez. Al guardar el usuario, el valor de fullname se transfiere a los recursos que tienen distintos nombres de atributo.

Si configura una asignación de esquemas en la página Atributos de cuenta del Asistente de recursos, puede hacer lo siguiente:

• Definir nombres de atributo y tipos de datos para los atributos procedentes de recursos administrados.

• Limitar los atributos de recursos únicamente a los esenciales para su empresa u organización.

• Crear nombres de atributos comunes de Identity Manager para usarlos con múltiples recursos.

• Identificar los atributos de usuario y los tipos de atributo necesarios.

Para ver o editar atributos de cuentas de recursos, siga estos pasos:

1. En la interfaz de administración, seleccione Recursos.

2. Seleccione el recurso cuyos atributos de cuenta desea ver o editar.

3. En la lista Acciones de recurso, elija Editar esquema de recurso.

   Aparece la página Editar Atributos de cuenta de recursos.

   La columna izquierda de la asignación de esquemas (denominada Atributo de usuario de Identity System (Sistema de identidad)) contiene los nombres de los atributos de cuenta de Identity Manager referenciados en los formularios que se utilizan en las interfaces de administración y de usuario de Identity Manager. La columna derecha de la asignación de esquemas (denominada Atributo de usuario de recurso) contiene los nombres de los atributos del origen externo.

Grupos de recursos

Aproveche el área de recursos para administrar los grupos de recursos, lo que permite actualizar los recursos de los grupos por el orden elegido. Al incluir y ordenar recursos en un grupo y asignarlo a un usuario, determina el orden en que se crean, actualizan y eliminar los recursos de ese usuario.

Las actividades se realizan sucesivamente en cada recurso. Si falla una acción en un recurso, los demás recursos no se actualizan. Este tipo de relación es importante para los recursos relacionados.

Por ejemplo, un recurso de Exchange Server 2007 depende de una cuenta existente de Windows Active Directory. Esta cuenta ya debe existir para poder crear correctamente la cuenta de Exchange. Al crear un grupo de recursos (ordenados) con un recurso de Windows Active Directory y un recurso de Exchange Server 2007, se asegura de que la secuencia es correcta al crear usuarios. Recíprocamente, este orden garantiza que los recursos se eliminan en la secuencia correcta cuando se eliminan usuarios.

Seleccione Recursos y después Listar grupos de recursos para ver una lista de los grupos de recursos definidos actualmente. En esa página, pulse Nuevo para definir un grupo de recursos. Al definir un grupo de recursos, un área de selección permite elegir y después ordenar los recursos elegidos, así como seleccionar las organizaciones para las que debe estar disponible el grupo.

Directiva global de recursos

En esta sección se explica cómo editar la Directiva global de recursos y configurar valores de tiempo de espera para un recurso.

Para editar atributos de directiva

Puede editar atributos de directiva de recursos en la página Editar atributos de directiva de recurso global.

1. Abra la página Editar atributos de directiva de recurso global y edite los atributos como interese.

   Los atributos incluyen:

   • Tiempo predeterminado de espera de captura. Introduzca un valor en milisegundos que especifique el máximo tiempo que el adaptador debe esperar en el indicador de línea de comandos antes de que finalice el tiempo de espera. Este valor se aplica únicamente a los adaptadores GenericScriptResourceAdapter o ShellScriptSourceBase. Utilícelo cuando los resultados de un comando o secuencia de comandos sean importantes y los vaya a analizar el adaptador.

     El valor predeterminado es 30000 (30 segundos).

   • Espera predeterminada para tiempo de espera Introduzca un valor en milisegundos para especificar el máximo tiempo que un adaptador con secuencia de comandos debe esperar entre sondeos antes de comprobar si un comando tiene preparados caracteres (o resultados). Este valor se aplica únicamente a los adaptadores GenericScriptResourceAdapter o ShellScriptSourceBase. Utilícelo cuando el adaptador no examine los resultados de un comando o secuencia de comandos.

   • Tiempo de espera de Ignorar MAY/min. Introduzca un valor en milisegundos para especificar el tiempo máximo que el adaptador debe esperar a recibir el indicador de línea de comandos antes de que finalice el tiempo de espera. Este valor se aplica únicamente a los adaptadores GenericScriptResourceAdapter o ShellScriptSourceBase. Utilícelo cuando la diferenciación entre mayúsculas y minúsculas sea irrelevante.

   • Directiva de contraseñas de cuentas de recursos. Si procede, seleccione una directiva de contraseñas de cuentas de recurso para aplicarla al recurso elegido. La selección predeterminada es Ninguna.

   • Regla de cuentas de recursos excluidos. Si procede, seleccione una regla para regir las cuentas de recursos excluidos. La selección predeterminada es Ninguna.

2. Debe pulsar Guardar para guardar los cambios realizados en la directiva.

Para definir otros valores de tiempo de espera

La propiedad maxWaitMilliseconds se puede modificar editando el archivo Waveset.properties. La propiedad maxWaitMilliseconds determina la frecuencia con que se supervisa el tiempo de espera de una operación. Si especifica este valor, el sistema utilizará un valor predeterminado de 50.

1. Incluya la línea siguiente en el archivo Waveset.properties:

   com.waveset.adapter.ScriptedConnection.ScriptedConnection.maxwaitMilliseconds.

2. Guarde el archivo.

Acciones masivas de recurso

Se pueden realizar operaciones masivas en los recursos utilizando un archivo con formato CSV o creando o especificando los datos que deben aplicarse en la operación.

La Figura 5–13 muestra la página de inicio de operaciones masivas utilizando una acción Crear.

Figura 5–13 Página Iniciar acciones masivas de recurso

Las opciones disponibles para la operación masiva de recurso dependen de la acción seleccionada para la operación. Puede especificar una sola acción para aplicarla a la operación o bien elegir diversas acciones De lista de acciones.

• Acciones. Para especificar una única acción, elija una de estas opciones: crear, clonar, actualizar, eliminar, cambiar contraseña, reinicializar contraseña.

  Si selecciona una sola acción, se le ofrecen opciones para indicar el recurso implicado en la acción. En el caso de una acción Crear, debe especificar el tipo de recurso.

  Si indica De lista de acciones, utilice el área Obtener lista de acciones de para especificar bien el archivo que contiene las acciones o bien las acciones que indique en el área Entrada.

  ---

  Nota –

  Debe utilizar un formato de valores separados por comas para las acciones introducidas en la lista del área de entrada o en el archivo.

  ---

• Número máximo de resultados por página. Con esta opción se especifica el número máximo de resultados de acciones masivas que se deban mostrar en cada página de resultados de tareas. El valor predeterminado es 200.

Pulse Ejecutar para comenzar la operación, que se ejecuta como una tarea en segundo plano.