Novedades de esta versión

Para obtener una lista de las nuevas funciones de las revisiones de Access Manager, consulte Versiones de las revisiones de Access Manager 7 2005Q4. La revisión inicial de Access Manager 7 2005Q4 incluía las siguientes nuevas funciones:

• Modos de Access Manager

• Nueva consola de Access Manager

• Repositorio de identidades

• Árbol de información de Access Manager

• Cambios en la conmutación por error de la sesión

• Notificación de cambio de propiedad de sesión

• Restricciones de cuota de sesión

• Autenticación distribuida

• Compatibilidad con varias instancias del módulo de autenticación

• Espacio de nombre de “cadena” o “configuración con nombre” de autenticación

• Mejoras del módulo de directivas

• Configuración del sitio

• Federación en masa

• Mejoras del registro

Modos de Access Manager

Access Manager 7 2005Q4 incluye los modos tradicional y de dominio. Ambos modos admiten:

• Las nuevas funciones de Access Manager 7 2005Q4

• Las funciones de Access Manager 6 2005Q1, excepto las siguientes limitaciones:

  • Al crear los dominios, no se crean las organizaciones correspondientes en Sun Java System Directory Server.

  • La nueva consola de Access Manager 7 2005Q4 no puede establecer una prioridad de plantilla de Clase de servicio (CoS). Consulte La nueva consola de Access Manager no puede establecer las prioridades de plantilla de CoS (6309262).

• Repositorios de identidades en Sun Java System Directory Server y otros almacenes de datos

El modo tradicional es necesario para:

• Sun Java System Portal Server

• Los servidores de Sun Java System Communications Services, incluidos Messaging Server, Calendar Server, Instant Messaging o Delegated Administrator

• La coexistencia de implementaciones cuando Access Manager 6 2005Q1 y Access Manager 7 2005Q4 acceden al mismo Directory Server

Nueva consola de Access Manager

Se ha rediseñado la consola de Access Manager para esta versión. Sin embargo, si Access Manager se implementa con Portal Server, Messaging Server, Calendar Server, Instant Messaging o Delegated Administrator, deberá instalar Access Manager en el modo tradicional y utilizar la consola de Access Manager 6 2005Q1:

Para obtener más información, consulte Problemas de compatibilidad.

Repositorio de identidades

Un repositorio de identidades de Access Manager contiene información relativa a las identidades como, por ejemplo, los usuarios, grupos y roles. Puede crear y mantener un repositorio de identidades mediante Access Manager u otro producto de configuración como Sun Java System Identity Manager.

En la versión actual, el repositorio de identidades puede residir en Sun Java System Directory Server o Microsoft Active Directory. Access Manager puede tener acceso de lectura y escritura, o de sólo lectura al repositorio de identidades.

Árbol de información de Access Manager

El árbol de información de Access Manager contiene información sobre el acceso al sistema. Cada instancia de Access Manager crea y mantiene un árbol de información independiente en Sun Java System Directory Server. A estos árboles se les puede asignar cualquier nombre (sufijo). El árbol de información de Access Manager incluye dominios (y subdominios, si es necesario), como se describe en la siguiente sección.

Dominios de Access Manager

Un dominio y sus subdominios forman parte del árbol de información de Access Manager y pueden contener información de configuración para definir un conjunto de usuarios o grupos, la forma en que se autentican los usuarios, los recursos a los que pueden acceder y la información disponible para las aplicaciones una vez que los usuarios obtienen acceso a los recursos. También pueden contener otro tipo de información de configuración, incluidas la configuración de globalización, restablecimiento de contraseña, sesión y consola, y las preferencias del usuario. Un dominio o subdominio también puede estar vacío.

Puede crear un dominio mediante la consola de Access Manager o la utilidad de CLI amadmin. Para obtener más información, consulte la ayuda en línea de la consola o el Capítulo 14, The amadmin Command Line Tool de Sun Java System Access Manager 7 2005Q4 Administration Guide.

Cambios en la conmutación por error de la sesión

Access Manager proporciona una implementación independiente del servicio de conmutación por error de sesión del contenedor web utilizando Sun Java System Message Queue (Message Queue) como agente de comunicaciones y Berkeley DB de Sleepycat Software, Inc. como base de datos de almacenamiento de sesiones. Entre las mejoras de Access Manager 7 2005Q4 se incluyen la secuencia de comandos amsfoconfig, que permite configurar el entorno de conmutación por error de sesión, y la secuencia de comandos amsfo, que permite iniciar y detener el agente de Message Queue y el cliente de Berkeley DB.

Para obtener más información, consulte Implementing Access Manager Session Failover de Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.

Notificación de cambio de propiedad de sesión

La función de notificación de cambio de propiedad de sesión permite a Access Manager enviar una notificación a las escuchas específicas cuando se produce un cambio en una determinada propiedad de sesión. Esta función se aplica al activar el atributo “Activar notificaciones de cambio de propiedad” (Enable Property Change Notifications) en la consola de administrador de Access Manager. Por ejemplo, en un entorno de inicio de sesión único (SSO), varias aplicaciones pueden compartir una sesión de Access Manager. Cuando se produce un cambio en una propiedad de sesión específica definida en la lista de propiedades de notificación, Access Manager envía una notificación a todas las escuchas registradas.

Para obtener más información, consulte Enabling Session Property Change Notifications de Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.

Restricciones de cuota de sesión

La función de restricciones de cuota de sesión permite al administrador de Access Manager (amadmin) establecer el atributo “Activar sesiones de usuario” (Active User Sessions) para limitar el número máximo de sesiones simultáneas permitidas para un usuario. El administrador puede establecer una restricción de cuota de sesión en un nivel global para todos los usuarios o para una entidad como, por ejemplo, una organización, un dominio, un rol o un usuario, que se aplique sólo a uno o varios usuarios específicos.

Las restricciones de cuota de sesión están desactivadas (OFF) de forma predeterminada, pero el administrador puede habilitarlas estableciendo el atributo “Habilitar restricciones de cuota” (Enable Quota Constraints) en la consola de administrador de Access Manager.

El administrador también puede configurar el comportamiento cuando se agote la cuota de sesión de la restricción. Para ello, debe establecer el atributo “Comportamiento resultante si se agota la cuota de la sesión” (Resulting Behavior If Session Quota Exhausted):

• DENY_ACCESS. Access Manager rechaza la solicitud de inicio de una nueva sesión.

• DESTROY_OLD_SESSION. Access Manager destruye la sesión existente que va a caducar para el mismo usuario y permite que se realice una nueva solicitud de inicio de sesión.

El atributo “Exención de los administradores de nivel superior de la comprobación de restricción” (Exempt Top-Level Admins From Constraint Checking) especifica si deben aplicarse las cuotas de sesión de la restricción a los usuarios con un rol de administración de nivel superior.

Para obtener más información, consulte Setting Session Quota Constraints de Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide

Autenticación distribuida

Access Manager 7 2005Q4 incluye la IU de autenticación distribuida, que es el componente de la IU de autenticación remota que proporciona una autenticación segura y distribuida entre dos servidores de seguridad en una implementación. Sin el componente de la IU de autenticación distribuida, las URL de los servicios de Access Manager quedarían expuestas a los usuarios finales. Para evitar esta exposición, puede utilizarse un servidor proxy. Sin embargo, en muchas implementaciones, el servidor proxy no es necesariamente una solución adecuada.

El componente de la IU de autenticación distribuida se instala en uno o varios servidores en el nivel no seguro (DMZ) de la implementación de Access Manager. El servidor de la IU de autenticación distribuida no ejecuta Access Manager; simplemente proporciona la interfaz de autenticación para los usuarios finales mediante un explorador web.

El usuario final envía una solicitud HTTP a la IU de autenticación distribuida que, a su vez, presenta una página de inicio de sesión al usuario. El componente de autenticación distribuida envía a continuación la solicitud del usuario, a través de un segundo servidor de seguridad, al servidor de Access Manager, lo que suprime la necesidad de abrir agujeros en los servidores de seguridad entre los usuarios finales y el servidor de Access Manager.

Para obtener más información, consulte Technical Note: Using Access Manager Distributed Authentication .

Compatibilidad con varias instancias del módulo de autenticación

Se han ampliado todos los módulos de autenticación para que admitan el subesquema con compatibilidad para la IU de la consola. Se pueden crear varias instancias del módulo de autenticación para cada tipo de módulo (clase de módulo cargada). Por ejemplo, en el caso de instancias de un tipo de módulo LDAP con los nombres ldap1 y ldap2, cada instancia puede señalar a un servidor de directorios LDAP diferente. Se admiten instancias del módulo con nombres iguales a los de sus tipos para obtener compatibilidad con versiones anteriores. Se debe llamar a:

server_deploy_uri/UI/Login?module=module-instance-name

Espacio de nombre de “cadena” o “configuración con nombre” de autenticación

Se crea un espacio de nombre diferente en una organización/dominio, es decir, una cadena de instancias del módulo de autenticación. Esta misma cadena puede utilizarse de nuevo y asignarse a una organización/dominio, rol o usuario. La instancia del servicio de autenticación es igual a la cadena de autenticación. Se debe llamar a:

server_deploy_uri/UI/Login?service=authentication-chain-name

Mejoras del módulo de directivas

Atributos de personalización

Además de reglas, asuntos y condiciones, las directivas pueden tener ahora atributos de personalización (IDResponseProvider). La decisión de directiva enviada al cliente desde el servicio de evaluación de directivas incluye ahora atributos de personalización de respuestas basados en directivas en las directivas pertinentes. Se admiten dos tipos de atributos de personalización:

• Atributos estáticos. Puede definir el nombre y el valor del atributo en la directiva.

• Atributos dinámicos. Puede mostrar los nombres de atributos en las directivas, mientras que los valores se obtienen de los almacenes de datos del repositorio de identidades durante la evaluación de las directivas.

Los puntos de aplicación de directivas (o agentes) reenvían normalmente los valores de estos atributos en forma de atributos de solicitud, cookies o encabezados HTTP a la aplicación protegida.

Access Manager 7 2005Q4 no permite que los clientes utilicen implementaciones personalizadas de la interfaz del proveedor de respuesta.

Condición de propiedad de sesión

La implementación de la condición de propiedad de sesión (SessionPropertyCondition ) decide si se debe aplicar una directiva a la solicitud en función de los valores de propiedades establecidos en la sesión de Access Manager del usuario. Durante la evaluación de directivas, la condición devuelve “true” sólo si se han definido todos los valores de propiedades de la condición en la sesión de Access Manager del usuario. En las propiedades definidas con varios valores en la condición, sólo es necesario que la sesión de usuario presente, como mínimo, un valor de la propiedad en la condición.

Asunto de directiva

La implementación del asunto de directiva (asunto de identidad de Access Manager) permite utilizar las entradas del repositorio de identidades configurado como valores de asunto de directiva.

Exportación de directivas

Puede exportar directivas en formato XML con el comando amadmin. Los nuevos elementos GetPolices y RealmGetPolicies del archivo amAdmin.dtd admiten esta función.

Estado de la directiva

Ahora, la directiva incluye un atributo de estado, que puede establecerse como activo o inactivo. Se omitirán todas las directivas inactivas durante la evaluación de directivas.

Configuración del sitio

Access Manager 7 2005Q4 presenta el “concepto de sitio”, que permite una administración centralizada de la configuración para la implementación de Access Manager. Al configurar Access Manager como sitio, las solicitudes de cliente se transfieren siempre al equilibrador de carga, que simplifica la implementación y soluciona determinados problemas, como el servidor de seguridad entre el cliente y los servidores de servicios de fondo de Access Manager.

Para obtener más información, consulte Configuring an Access Manager Deployment as a Site de Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.

Federación en masa

Access Manager 7 2005Q4 proporciona un servicio de federación en masa de cuentas de usuario para las aplicaciones que se derivan a socios empresariales. Anteriormente, para llevar a cabo la federación de cuentas entre un proveedor de servicios (SP) y un proveedor de identidades (IDP), era necesario que cada usuario accediera tanto a los sitios del SP como del IDP, creara las cuentas (si aún no existían) y realizase el proceso de federación de las dos cuentas mediante un vínculo web. Este proceso requería mucho tiempo y no siempre era el más adecuado para una implementación con cuentas existentes o un sitio que funcionase como proveedor de identidades, o utilizase uno de sus asociados como proveedor de autenticación.

Para obtener más información, consulte Sun Java System Access Manager 7 2005Q4 Federation and SAML Administration Guide .

Mejoras del registro

Se han mejorado algunos aspectos del registro en Access Manager 7 2005Q4:

• Nuevos campos (o columnas): el campo MessageID contiene el identificador de mensaje del evento registrado. El campo ContextID contiene el identificador de contexto, que es análogo al identificador de sesión y se aplica a todos los eventos de un determinado inicio de sesión del usuario. Para cada inicio de sesión específico del usuario, el valor de ContextID será el mismo en todos los archivos de registro de los eventos registrados.

• API de registro. La API de registro incluye funciones adicionales para la lectura de los registros, incluso desde una base de datos (BD), cuando se haya configurado el servicio de registro en DB. Consulte LogReaderSample.java en el directorio /opt/SUNWam/samples/logging, que muestra los resultados recuperados de los registros desde un archivo sin formato o un repositorio de tabla de base de datos.

---

Precaución –

El tamaño de las tablas de base de datos suele ser mayor que los registros de archivo sin formato. Por tanto, en una solicitud específica, no recupere todos los registros de la base de datos, ya que la cantidad de datos puede consumir todos los recursos del servidor de Access Manager.

---