Capítulo 1 Introducción a Identity Manager

El sistema Sun Identity Manager le permite administrar y auditar el acceso a las cuentas y los recursos. Como le proporciona capacidades y herramientas para gestionar ágilmente las tareas periódicas y diarias de auditoría y abastecimiento de usuarios, Identity Manager le ayuda a prestar un servicio excepcional tanto a los clientes internos como externos.

Este capítulo contiene los temas siguientes:

• Visión global

• Objetos de Identity Manager

Visión global

Las empresas actuales exigen más flexibilidad y prestaciones a sus servicios de TI. La administración del acceso a la información y los sistemas de empresa ha exigido tradicionalmente una interacción directa con un número restringido de cuentas. En la actualidad, administrar el acceso significa gestionar no sólo muchos más clientes internos, sino también colaboradores y clientes fuera de la empresa.

Esta mayor necesidad de acceso puede generar una carga adicional indirecta considerable. Como administrador, debe posibilitar de una manera efectiva y segura que los usuarios hagan su trabajo fuera y dentro de la empresa. Tras darles el acceso inicial, se enfrenta a constantes dificultades, como olvido de contraseñas o cambios de funciones y relaciones empresariales.

Además, las compañías actuales deben cumplir normativas estrictas que rigen la seguridad y la integridad de la información crítica de la empresa. En un entorno dictaminado por la legislación relativa al cumplimiento –como las leyes Sarbanes-Oxley (SOX), Health Insurance Portability and Accountability Act (HIPAA) y Gramm-Leach-Bliley (GLB) en EE.UU.–, las actividades de supervisión y producción de informes engendran una carga adicional indirecta cuantiosa y muy cara. Usted necesita capacidad para poder responder rápidamente a los cambios del control de acceso y para satisfacer las demandas de recopilación de datos y generación de informes que contribuyen a mantener segura a su empresa.

Identity Manager está específicamente desarrollado para ayudarle a superar estas dificultades administrativas en un entorno dinámico. Al utilizar Identity Manager para distribuir la carga adicional indirecta que supone administrar el acceso y para acometer los retos del cumplimiento, aporta una solución a sus problemas primordiales: ¿cómo definir el acceso? Una vez definido, ¿cómo mantener la flexibilidad y el control?

Por su diseño seguro y flexible a la vez, puede configurar Identity Manager adaptándolo a la estructura de su empresa para solucionar estos problemas. La asignación de los objetos de Identity Manager a las entidades que usted administra (usuarios y recursos) le permite elevar drásticamente su eficiencia operativa.

En un entorno de proveedor de servicios, Identity Manager amplía estas capacidades para administrar también los usuarios de extranet.

Objetivos del sistema Identity Manager

La solución Identity Manager le permite cumplir los siguientes objetivos:

• Administrar el acceso a las cuentas para una enorme variedad de sistemas y recursos.

• Administrar de forma segura la información de cuenta dinámica para cada matriz de cuentas de usuario.

• Configurar derechos delegados para crear y administrar datos de cuentas de usuario.

• Gestionar grandes volúmenes de recursos empresariales y un número cada vez mayor de clientes y colaboradores de extranet.

• Autorizar el acceso seguro de los usuarios a los sistemas de información de la empresa. Identity Manager le proporciona funcionalidad completamente integrada para conceder, administrar y revocar privilegios de acceso en la totalidad de las organizaciones internas y externas.

• Mantener sincronizados los datos sin conservar los datos. La solución Identity Manager sustenta dos principios claves que deberían respetar las mejores herramientas de administración de sistemas:

  • El producto apenas debe causar impacto en el sistema que administra.

  • El producto no debe aumentar la complejidad de la empresa incorporando otro recurso que administrar.

  Definir directivas de auditoría para gestionar el cumplimiento con privilegios de acceso de usuario y administrar las infracciones automatizando las acciones de remediación y las alertas de correo electrónico.

• Efectuar revisiones de acceso periódicas y definir procedimientos de aprobación y de revisión de autenticación para automatizar el proceso de certificación de privilegios de usuario.

• Supervisar la información clave y auditar y revisar las estadísticas mediante el panel de control.

Definición del acceso de los usuarios a los recursos

Pueden ser usuarios de su empresa extendida todas las personas relacionadas con ella, incluidos empleados, clientes, colaboradores, proveedores o adquisiciones. En el sistema Identity Manager, los usuarios se representan con cuentas de usuario.

Según las relaciones que tengan con su empresa y otras entidades, los usuarios necesitarán acceso a distintas cosas, como sistemas informáticos, datos almacenados en bases de datos o aplicaciones informáticas concretas. En la terminología de Identity Manager, esas cosas se denominan recursos.

Como los usuarios suelen tener una o más identidades en cada recurso al que acceden, Identity Manager crea una única identidad virtual que se asigna a distintos recursos. Ello le permite administrar los usuarios como una única entidad. Consulte la Figura 1–1.

Figura 1–1 Relación entre los recursos de cuenta de usuario en Identity Manager

Para administrar eficazmente muchos usuarios, hay que agruparlos de una manera lógica. En la mayoría de las empresas, los usuarios se agrupan por departamentos funcionales o divisiones geográficas. Normalmente, cada uno de estos departamentos necesita acceso a diferentes recursos. En la terminología de Identity Manager, este tipo de grupo de denomina organización.

Otra manera de agrupar los usuarios es por características similares, como las relaciones con la empresa o las funciones del cargo. Estos agrupamientos se consideran roles en Identity Manager.

Dentro del sistema Identity Manager, se asignan roles a las cuentas de usuario para facilitar la habilitación e inhabilitación eficientes del acceso a los recursos. Asignar las cuentas a organizaciones permite una delegación eficiente de las responsabilidades administrativas.

Los usuarios de Identity Manager también se administran de forma directa o indirecta aplicando directivas, que determinan reglas, contraseñas y opciones de autenticación de los usuarios.

Tipos de usuario

Identity Manager ofrece dos tipos de usuario: usuarios de Identity Manager y usuarios de Service Provider, en caso de que configure el sistema Identity Manager para una implementación de proveedor de servicios. Estos tipos le permiten diferenciar usuarios que pueden tener distintos requisitos de abastecimiento según su relación con la empresa, por ejemplo, usuarios de extranet frente a usuarios de intranet.

Un escenario típico para una implementación de proveedor de servicios es una empresa proveedora de servicios que tiene usuarios internos y externos (clientes) que desea administrar mediante Identity Manager. Encontrará información para configurar una implementación de proveedor de servicios en la guía Sun Identity Manager Service Provider 8.1 Deployment .

El tipo de usuario de Identity Manager se especifica al configurar una cuenta de usuario. Para obtener más información sobre los usuarios de proveedor de servicios, consulte el Capítulo 17Administración de Service Provider.

Delegación de la administración

Para distribuir satisfactoriamente la responsabilidad de administrar identidades de usuario, necesita el equilibrio adecuado de flexibilidad y control. Si concede determinados privilegios de administración de usuarios y delega tareas administrativas en Identity Manager, reducirá la carga adicional indirecta y aumentará la eficiencia al depositar la responsabilidad de administrar las identidades en aquellas personas que mejor conocen las necesidades de los usuarios, por ejemplo, un gerente de contratación. Los usuarios que poseen estos privilegios ampliados se denominan administradores de Identity Manager.

Sin embargo, la delegación sigue un patrón de seguridad. Para conservar un control adecuado, Identity Manager le permite asignar distintos niveles de capacidades a los administradores. Las capacidades autorizan niveles variables de acceso y acciones dentro del sistema.

El modelo de flujo de trabajo de Identity Manager incluye además un método para garantizar que se exija aprobación a determinadas acciones. El flujo de trabajo permite a los administradores de Identity Manager ejercer control sobre las tareas y llevar un seguimiento de su evolución. Para obtener más información sobre el flujo de trabajo, consulte el Capítulo 1, Workflow de Sun Identity Manager Deployment Reference.

Objetos de Identity Manager

Para administrar e implementar satisfactoriamente el sistema, es fundamental tener una visión nítida de los objetos de Identity Manager y cómo interactúan. Estos objetos son:

• Cuentas de usuario de Identity Manager

• Roles de Identity Manager

• Recursos y grupos de recursos

• Organizaciones y organizaciones virtuales

• Uniones de directorios

• Capacidades de Identity Manager

• Roles de administrador

• Directivas de Identity Manager

• Directivas de auditoría

• Relaciones entre objetos

---

Nota –

Al asignar nombre a los objetos de Identity Manager, no utilice los caracteres siguientes:

’ (apóstrofo), .. (punto), |(línea), [ (corchete izquierdo), ] (corchete derecho), , (coma), : (dos puntos), $ (símbolo de dólar), " (comillas), \ (barra inclinada inversa) y = (signo de igual).

También deben evitarse los caracteres siguientes: _ (subrayado), % (porcentaje), ^ (acento circunflejo) y * (almohadilla).

---

Cuentas de usuario de Identity Manager

Un usuario es cualquiera que detente una cuenta del sistema Identity Manager. Identity Manager almacena diversos datos para cada usuario. En conjunto, esta información constituye una identidad de Identity Manager de un usuario.

Cuentas de usuario de Identity Manager

• Proporcionan a los usuarios acceso a uno o varios recursos, y administran los datos de las cuentas de usuario en esos recursos.

• Se les asignan roles, que condicionan el acceso de cada usuario a los distintos recursos.

• Forman parte de una organización, que determina cómo y quién administra las cuentas de usuario.

Configurar una cuenta de usuario es un proceso dinámico. Según los roles que seleccione al configurar la cuenta, podrá suministrar información de recurso más o menos específica para crear la cuenta. El número y el tipo de recursos asociados al rol asignado determinan la cantidad de información necesaria para crear la cuenta.

Los administradores son usuarios que poseen privilegios adicionales para administrar cuentas de usuario, recursos y otros objetos y tareas del sistema Identity Manager. Los administradores de Identity Manager gestionan las organizaciones y se les asigna una gama de capacidades que se aplican a los objetos en cada organización administrada.

Para obtener más información sobre las cuentas de usuario, consulte el Capítulo 3Administración de usuarios y de cuentas. Para obtener más información sobre las cuentas de administrador, consulte el Capítulo 6Administración.

Roles de Identity Manager

Un rol es un objeto de Identity Manager que permite agrupar los derechos de acceso a los recursos y asignarlos eficazmente a los usuarios. Los roles se organizan en cuatro tipos:

• Roles de negocio

• Roles de TI

• Aplicaciones

• Activos

Los roles de negocio sirven para organizar en grupos los derechos de acceso que necesitan las personas que realizan tareas similares en una organización. Los roles de negocio suelen representar funciones de tareas de usuario.

Los roles de TI, las aplicaciones y los activos organizan los derechos de recursos (o derechos de acceso) en grupos. Para proporcionar a los usuarios acceso a los recursos, los roles de negocio se asignan a roles de TI, aplicaciones y activos, lo que permite a los usuarios acceder a los recursos que necesitan para realizar sus tareas.

Los roles de TI, las aplicaciones y los activos pueden ser requeridos, condicionales u opcionales.

• Los roles requeridos se asignan siempre al usuario.

• Los roles condicionales tienen condiciones que deben evaluarse como verdaderas para poder ser asignados.

• Los roles opcionales se pueden solicitar por separado y, una vez aprobados, asignar al usuario.

Como los roles pueden ser condicionales u opcionales, los usuarios que tienen la misma descripción general de tareas pueden tener el mismo rol de negocio y, sin embargo, poseer derechos de acceso diferentes. Ello permite a un diseñador de roles de negocio definir un acceso genérico a los roles para cumplir las normativas, dejando flexibilidad al administrador para definir con precisión los derechos de acceso del usuario. Así no hace falta definir un nuevo rol de negocio cada vez que cambian las necesidades de acceso en la empresa, problema que se conoce como explosión de roles.

A un usuario se le puede asignar un rol, varios o ninguno.

---

Nota –

Para obtener más información sobre los roles, consulte Conceptos y administración de roles.

---

Recursos y grupos de recursos

Identity Manager almacena información sobre cómo conectarse a un recurso o un sistema. Los recursos a los que Identity Manager proporciona acceso incluyen:

• Recursos digitales, como:

  • Administradores de seguridad de sistemas centrales (mainframe)

  • Bases de datos

  • Servicios de directorio (como LDAP)

  • Aplicaciones

  • Sistemas operativos

  • Sistemas ERP (como SAP^TM)

• Recursos no digitales o externos a Identity Manager, por ejemplo:

  • Teléfonos móviles

  • Equipos de sobremesa

  • Equipos portátiles

  • Identificadores de seguridad

Cada recurso de Identity Manager almacena los siguientes tipos de información:

• Parámetros de recurso

• Parámetros de Identity Manager

• Información de cuenta (incluidos los atributos de cuenta y la plantilla de identidad)

Hay dos formas de asignar recursos a los usuarios: directamente (asignación individual o directa) o bien asignando el recurso a un rol, que a su vez se asigna a un recurso (asignación basada en roles o indirecta).

• Asignación individual. Los distintos recursos se asignan directamente a las cuentas de usuario.

• Asignación basada en roles. Uno o más recursos se asignan a un rol (aplicación, activo o rol de TI). A continuación, la aplicación, el activo o el rol de TI se asigna a un rol de negocio. Por último, se asignan uno o más roles de negocio a una cuenta de usuario.

Un objeto relacionado de Identity Manager, el grupo de recursos, se puede asignar a las cuentas de usuario del mismo modo que los recursos. Los grupos de recursos correlacionan los recursos para que pueda crear cuentas por un orden concreto en los recursos. También simplifican el proceso de asignación de múltiples recursos a las cuentas de usuario.

Para obtener más información sobre los grupos de recursos, consulte Grupos de recursos.

Organizaciones y organizaciones virtuales

Las organizaciones son contenedores de Identity Manager que sirven para habilitar la delegación administrativa. Definen el ámbito de las entidades que administra o controla un administrador de Identity Manager.

Las organizaciones también pueden representar vínculos a recursos basados en directorios. En tal caso, se denominan organizaciones virtuales. Las organizaciones virtuales permiten administrar directamente los datos de los recursos sin cargar información en el depósito de Identity Manager. Con una organización virtual, Identity Manager refleja la estructura de directorios existente y la afiliación de usuarios y, en consecuencia, elimina las tareas de configuración repetidas y lentas.

Las organizaciones que a su vez contienen a otras organizaciones se denominan organizaciones principales. Las organizaciones se pueden crear con estructura plana o jerárquica. La jerarquía puede representar departamentos, áreas geográficas u otras divisiones lógicas por las que se administran las cuentas de usuario.

Para obtener más información sobre las organizaciones, consulte Qué son las organizaciones en Identity Manager.

Uniones de directorios

Una unión de directorios es un conjunto de organizaciones relacionadas jerárquicamente que refleja el conjunto real de contenedores jerárquicos de recursos de directorio. Un recurso de directorio es aquél que utiliza un espacio de nombre jerárquico mediante contenedores jerárquicos. Entre los ejemplos de recursos de directorio tenemos los servidores LDAP y los recursos de Windows Active Directory.

Cada organización de una unión de directorios constituye una organización virtual. La organización virtual que ocupa la cima de una unión de directorios refleja el contenedor que representa el contexto base definido en el recurso. Las demás organizaciones virtuales de una unión de directorios son organizaciones secundarias directas o indirectas de la organización virtual principal y también reflejan uno de los contenedores de recurso de directorio que son secundarios respecto al contenedor del contexto base del recurso definido.

Puede afiliar los usuarios de Identity Manager a una organización virtual y ponerlos a su disposición igual que si fuera una organización física.

Para obtener más información sobre las uniones de directorios, consulte Uniones de directorios y organizaciones virtuales.

Capacidades de Identity Manager

A cada usuario se le pueden asignar capacidades, o grupos de derechos, para permitirle realizar acciones administrativas en Identity Manager. Las capacidades permiten a los usuarios administrativos efectuar determinadas tareas en el sistema y actuar sobre los objetos de Identity Manager.

Las capacidades se asignan normalmente según responsabilidades de tareas específicas, como reinicialización de contraseñas o aprobación de cuentas. Al asignar capacidades y derechos a usuarios individuales, crea una estructura administrativa jerárquica que proporciona acceso y privilegios focalizados sin riesgo para la seguridad de los datos.

Identity Manager ofrece un conjunto de capacidades predeterminadas para funciones administrativas habituales. También puede crear y asignar capacidades que respondan a sus necesidades concretas.

Para obtener más información sobre las capacidades, consulte Conceptos y administración de capacidades.

Roles de administrador

Los roles de administrador de Identity Manager le permiten definir un conjunto único de capacidades para cada conjunto de organizaciones gestionadas por un usuario administrativo. A un rol de administrador se le asignan capacidades y organizaciones controladas, que a su vez pueden asignarse a un usuario administrativo.

Las capacidades y organizaciones controladas pueden asignarse directamente a un rol de administrador. También se pueden asignar indirectamente (dinámicamente) cada vez que el usuario administrativo inicia una sesión en Identity Manager. Las reglas de Identity Manager controlan la asignación dinámica.

Para obtener más información sobre los roles de administrador, consulte Conceptos y administración de roles de admin.

Directivas de Identity Manager

Las directivas establecen limitaciones para los usuarios de Identity Manager mediante la definición de restricciones sobre las características de ID de cuenta, inicio de sesión y contraseña. Las directivas de cuentas del sistema Identity definen opciones y restricciones de directivas de usuario, contraseña y autenticación. Las directivas de contraseñas de recurso y de ID de cuenta definen las reglas de longitud y de tipo de caracteres, además de las palabras permitidas y los valores de atributo. Una directiva de diccionario permite a Identity Auditor comparar las contraseñas con una base de datos de palabras para asegurarse de que estén protegidas frente a posibles ataques simples de diccionario.

Para obtener más información sobre las directivas, consulte ¿Qué son las directivas?.

Directivas de auditoría

A diferencia de otras directivas del sistema, una directiva de auditoría define una infracción de directiva para un grupo de usuarios de un recurso determinado. Las directivas de auditoría establecen una o varias reglas con las que se evalúa a los usuarios para detectar infracciones de cumplimiento. Estas reglas dependen de condiciones basadas en uno o varios atributos definidos por un recurso. Cuando el sistema analiza un usuario, aplica los criterios definidos en las directivas de auditoría asignadas a dicho usuario para averiguar si se han producido infracciones de cumplimiento.

Para obtener más información sobre las directivas de auditoría, consulte Qué son las directivas de auditoría.

Relaciones entre objetos

En la tabla siguiente se resumen los objetos de Identity Manager y sus relaciones.

Tabla 1–1 Relaciones entre objetos de Identity Manager

Objeto de Identity Manager	¿Qué es?	¿Dónde se usa?
Cuenta de usuario	Una cuenta en Identity Manager y en uno o más recursos. Los datos de usuario se pueden cargar en Identity Manager desde los recursos.  Una clase especial de usuarios, los administradores de Identity Manager, tienen privilegios extendidos.	Rol. En general, a cada cuenta de usuario se le asigna uno o varios roles. Organización. Las cuentas de usuario se estructuran jerárquicamente dentro de una organización. Los administradores de Identity Manager además gestionan las organizaciones. Recurso. Los distintos recursos se pueden asignar a cuentas de usuario. Capacidad. A los administradores se le asignan capacidades para las organizaciones que gestionan.
Rol	Los roles de negocio sirven para organizar en grupos los derechos de acceso que necesitan las personas que realizan tareas similares en una organización. Los roles de aplicaciones y de TI agrupan los recursos para poder asignarlos a los usuarios mediante roles de negocio. Las asignaciones de recursos basadas en roles simplifican la administración de recursos en las organizaciones grandes.	Recursos y grupos de recursos. Los recursos y grupos de recursos se asignan a roles de activos, aplicaciones y TI. Cuenta de usuario. Las cuentas de usuario con características similares se asignan a roles de negocio. Roles de activos, de aplicaciones y de TI, Los roles de activos, de aplicaciones y de TI se asignan a roles de negocio.
Recurso	Almacena información sobre un sistema, aplicación u otro recurso donde se administran cuentas.	Rol. Los recursos se asignan a aplicaciones y roles de TI, que a su vez se asignan a roles de negocio. Una cuenta de usuario hereda libremente el acceso a los recursos de sus asignaciones de roles de negocio. Cuenta de usuario. Los recursos se pueden asignar individualmente a cuentas de usuario.
Grupo de recursos	Grupo ordenado de recursos.	Rol. Los grupos de recursos se asignan a roles; una cuenta de usuario hereda libremente el acceso a los recursos de sus asignaciones de roles de negocio. Cuenta de usuario. Los grupos de recursos se pueden asignar directamente a cuentas de usuario.
Organización	Define el ámbito de las entidades que gestiona un administrador; es jerárquica.	Recurso. Los administradores de una organización pueden tener acceso a algunos o todos los recursos. Administrador. Las organizaciones están gestionadas (controladas) por los usuarios que poseen privilegios administrativos. Los administradores pueden gestionar una o varias organizaciones. Los privilegios administrativos de una organización se transmiten a sus organizaciones secundarias. Cuenta de usuario. Cada cuenta de usuario se puede asignar a una organización de Identity Manager y a una o varias organizaciones de directorios.
Unión de directorios	Conjunto de organizaciones relacionadas jerárquicamente que refleja el conjunto real de contenedores jerárquicos de recursos de directorio.	Organización. Cada organización de una unión de directorios constituye una organización virtual.
Rol de administrador (Admin)	Define un conjunto único de capacidades para cada conjunto de organizaciones asignadas a un administrador.	Administrador. Los roles de administrador se asignan a administradores. Capacidades y organizaciones. Las capacidades y organizaciones se asignan directa o indirectamente (dinámicamente) a roles de administrador.
Capacidad	Define un grupo de derechos del sistema.	Administrador. Las capacidades se asignan a administradores.
Directiva	Define límites de contraseña y autenticación.	Cuenta de usuario. Las directivas se asignan a cuentas de usuario. Organización. Las directivas se asignan o transmiten por herencia a las organizaciones.
Directiva de auditoría	Establece reglas con las que se evalúa a los usuarios para detectar infracciones de cumplimiento.	Cuenta de usuario. Las directivas de auditoría se asignan a cuentas de usuario. Organización. Las directivas de auditoría se asignan a organizaciones.