Capítulo 3 Administración de usuarios y de cuentas

Este capítulo contiene información y procedimientos para crear y administrar usuarios mediante la interfaz de administración de Identity Manager.

Esta información se ha dividido como sigue:

• El área Cuentas de la interfaz

• Creación de usuarios y trabajo con cuentas de usuario

• Acciones masivas de cuenta

• Administración de la seguridad de las cuentas y los privilegios

• Descubrimiento automático

• Registro anónimo

El área Cuentas de la interfaz

Un usuario es cualquiera que detente una cuenta del sistema Identity Manager. Identity Manager almacena diversos datos para cada usuario. En conjunto, esta información constituye una identidad de Identity Manager de un usuario.

En la página Cuentas / Lista de usuarios de Identity Manager puede administrar usuarios de Identity Manager. Para acceder a esta área, haga clic en Cuentas dentro de la barra de menús de la interfaz de administración.

La lista de cuentas muestra todas las cuentas de usuario de Identity Manager. Las cuentas se agrupan en organizaciones y organizaciones virtuales, representadas jerárquicamente en carpetas.

Puede ordenar la lista de cuentas por el nombre completo, los apellidos o el nombre del usuario. Haga clic en la barra de encabezado para ordenar por columna. Al hacer clic en la misma barra de encabezado, el orden cambia entre ascendente y descendente. al ordenar por nombre completo (columna Nombre), todos los elementos de la jerarquía, en todos los niveles, se ordenan alfabéticamente.

Para expandir la vista jerárquica y ver todas las cuentas de una organización, haga clic en el indicador triangular existente junto a la carpeta. Haga clic de nuevo en el indicador para contraer la vista.

Listas de acciones en el área Cuentas

Las listas de acciones situadas en la parte superior e inferior del área de cuentas (ilustradas en Listas de acciones en el área Cuentas) sirven para realizar diversas acciones.

Las listas de acciones están estructuradas así:

• Nuevas acciones. Para crear usuarios, organizaciones y uniones de directorios.

• Acciones de usuario. Para editar, ver y cambiar el estado de los usuarios; cambiar y reinicializar contraseñas; eliminar, habilitar, inhabilitar, desbloquear, mover, actualizar y renombrar usuarios; y ejecutar informes de auditoría de usuarios.

• Acciones de organización. Para efectuar diversas acciones de organización y de usuario.

  

Búsqueda en las listas del área Cuentas

Utilice la función de búsqueda del área de cuentas para encontrar usuarios y organizaciones. Basta con seleccionar Organizaciones o Usuarios en la lista, introducir uno o varios caracteres iniciales del nombre de la organización o el usuario en el área de búsqueda y después hacer clic en Buscar. Para obtener más información sobre las búsquedas en el área de cuentas, consulte Búsqueda y visualización de cuentas de usuario.

Estado de cuenta de usuario

Los iconos que aparecen junto a cada cuenta de usuario indican el estado actual asignado a la cuenta. En la Tabla 3–1 se explica el significado de cada icono.

En la columna Administrador aparece entre paréntesis un nombre de usuario de administrador si Identity Manager no encuentra una cuenta de Identity Manager que coincida con el nombre mostrado.

Páginas de usuario (Crear/Editar/Ver)

En esta sección se describen las páginas Crear usuario, Editar usuario y Ver usuario que están disponibles en la interfaz de administración. Más adelante en este capítulo se incluyen instrucciones para utilizar estas páginas.

En esta documentación se describe el conjunto predeterminado de las páginas Crear usuario, Editar usuario y Ver usuario que se incluye con Identity Manager. Para plasmar mejor sus procesos de negocio o capacidades de administración concretas, le conviene crear formularios de usuario personalizados específicos para su entorno. Para obtener más información sobre la personalización de formularios de usuario, consulte el Capítulo 2, Identity Manager Forms de Sun Identity Manager Deployment Reference.

• Ficha Identidad

• Ficha Recursos

• Ficha Roles

• Ficha Seguridad

• Ficha Delegaciones

• Ficha Atributos

• Ficha Cumplimiento

Las páginas de usuario predeterminadas de Identity Manager están organizadas en las siguientes fichas o secciones:

• Identidad

• Asignaciones

• Seguridad

• Delegaciones

• Atributos

• Cumplimiento

Ficha Identidad

En el área Identidad se define el ID de cuenta de un usuario, su nombre, información de contacto, administrador, la organización pertinente y la contraseña de cuenta de Identity Manager. También identifica los recursos a que tiene acceso el usuario y la directiva de contraseñas que rige cada cuenta de recursos.

Encontrará información sobre la configuración de directivas de contraseñas de cuenta en la sección Administración de la seguridad de las cuentas y los privilegios de este capítulo.

En la figura siguiente se ilustra el área Identidad de la página Crear usuario.

Figura 3–1 Crear usuario - Identidad

Ficha Recursos

El área Recursos permite la asignación directa de recursos y grupos de recursos a un usuario. También se pueden asignar exclusiones de recursos.

Los recursos asignados directamente complementan a los asignados indirectamente al usuario mediante la asignación de roles. La asignación de roles caracteriza a una clase de usuarios. Los roles determinan el acceso de los usuarios a los recursos mediante la asignación indirecta.

Ficha Roles

La ficha Roles sirve para asignar uno o más roles a un usuario y para gestionar dichas asignaciones.

Encontrará información sobre esta ficha dentro de Para asignar roles a un usuario.

Ficha Seguridad

En la terminología de Identity Manager, un usuario que tiene asignadas capacidades extendidas es un administrador de Identity Manager. La ficha Seguridad sirve para asignar privilegios de administrador a un usuario.

Encontrará más información sobre el uso de la ficha Seguridad para crear administradores en Creación y gestión de administradores.

La ficha Seguridad consta de las secciones siguientes:

• Roles de administrador (Admin). Asigna uno o más roles administrativos al usuario. Un rol es una combinación específica de capacidades y organizaciones controladas que facilita la asignación de tareas administrativas a los usuarios de una manera coordinada.

• Capacidades. Habilita derechos en el sistema Identity Manager. A cada administrador de Identity Manager se le asignan una o más capacidades, normalmente asociadas a responsabilidades de tareas.

  Las capacidades se explican en Conceptos y administración de capacidades. El Apéndice DDefiniciones de capacidades,Apéndice DDefiniciones de capacidades contiene una lista de capacidades basadas en tareas junto con sus definiciones. En este apéndice también se indican las fichas y fichas secundarias accesibles con cada capacidad.

• Organizaciones controladas. Asigna organizaciones que este usuario tiene derecho a gestionar como administrador. El administrador puede administrar objetos en la organización asignada y en cualquier organización que pertenezca a ella en la jerarquía.

Para tener capacidades de administrador, el usuario debe tener asignado al menos un rol de administrador, o una o varias capacidades Y ADEMÁS una o varias organizaciones controladas. Para obtener más información sobre los administradores en Identity Manager, consulte Conceptos de administración de Identity Manager .

• Formulario de usuario. Especifica el formulario de usuario que el administrador debe utilizar al crear y editar usuarios. Si se selecciona Ninguno, el administrador heredará el formulario de usuario asignado a su organización.

• Formulario de vista de usuarios. Especifica el formulario de usuario que el administrador debe utilizar al ver usuarios. Si se selecciona Ninguno, el administrador heredará el formulario de vista de usuarios asignado a su organización.

• Directiva de cuenta. Define límites de contraseña y autenticación.

Ficha Delegaciones

La ficha Delegaciones de la página Crear usuario sirve para delegar elementos de trabajo a otros usuarios durante un periodo de tiempo específico. Para obtener más información sobre la delegación de elementos de trabajo, consulte Delegación de elementos de trabajo.

Ficha Atributos

En la ficha Atributos de la página Crear usuario se definen los atributos de cuenta asociados a los recursos asignados. Los atributos aparecen clasificados por recurso asignado y varían según los recursos que estén asignados.

Ficha Cumplimiento

En la ficha Cumplimiento:

• Se eligen los formularios de autenticación y remediación para una cuenta de usuario.

• Se especifican las directivas de auditoría asignadas a la cuenta de usuario, incluidas las que se aplican al asignar la organización del usuario. Estas asignaciones de directivas sólo se pueden cambiar editando la organización actual del usuario o trasladando éste a otra organización.

• Se indica el estado actual de los análisis, las infracciones y las exenciones de directivas (como ilustra la figura siguiente), si es aplicable a la cuenta de usuario. La información incluye la fecha y hora del último análisis de directivas de auditoría para el usuario seleccionado.

  

Para asignar directivas de auditoría, traslade las directivas seleccionadas desde la lista Directivas de auditoría disponibles a la lista Directivas de auditoría actuales.

Si desea ver las infracciones de cumplimiento registradas para un usuario durante un periodo de tiempo concreto, seleccione Ver registro de infracciones de cumplimiento en la lista Acciones de usuario y especifique el rango de entradas que quiere ver.

Creación de usuarios y trabajo con cuentas de usuario

En la página Cuentas/Lista de usuarios de la interfaz de administración se pueden efectuar diversas acciones con los siguientes objetos del sistema:

• Administradores y usuarios. Ver, crear, editar, mover, renombrar, desabastecer, habilitar, inhabilitar, actualizar, desbloquear, eliminar, anular asignación, desvincular y auditar.

  Para obtener más información sobre la creación y edición de cuentas de administrador, consulte Conceptos de administración de Identity Manager .

• Organizaciones. Crear, editar, actualizar y realizar acciones de usuario con afiliados a una organización.

  Para obtener más información sobre las organizaciones, consulte Qué son las organizaciones en Identity Manager.

• Uniones de directorios. Crear un conjunto de organizaciones relacionadas jerárquicamente para reflejar un conjunto real de contenedores jerárquicos de recursos de directorio.

  Para obtener más información sobre las uniones de directorios, consulte Uniones de directorios y organizaciones virtuales.

Habilitación de diagramas de proceso

Los diagramas de proceso representan el flujo de trabajo que sigue Identity Manager al crear o actuar de cualquier otra forma en una cuenta de usuario. Cuando están habilitados, los diagramas de proceso aparecen en la página de resultados o de resumen de tareas que se crea una vez que Identity Manager completa la tarea.

En Identity Manager versión 8.0, los diagramas de proceso se inhabilitaron tanto para las instalaciones nuevas como de actualización.

Para habilitar el uso de diagramas de proceso en Identity Manager

1. Abra el objeto de configuración del sistema para editarlo mediante el procedimiento que se explica en Edición de objetos de configuración de Identity Manager.

2. Busque el siguiente elemento XML:

   <Attribute name=’disableProcessDiagrams’> <Boolean>true</Boolean> </Attribute>

3. Cambie el valor true a false.

4. Pulse Guardar.

5. Reinicie el servidor o servidores para que el cambio surta efecto.

   Los diagramas de proceso también pueden habilitarse en la interfaz de usuario final, pero sólo si antes se han habilitado en la interfaz de administración siguiendo los pasos antes descritos. Encontrará más información en el apartado Para habilitar los diagramas de proceso en la interfaz de usuario final.

Para crear un usuario en Identity Manager

Puede crear y administrar usuarios en la ficha Cuentas de la barra de menús de la interfaz de administración.

1. En la interfaz de administración, seleccione Cuentas.

2. Para crear un usuario en una organización determinada, seleccione la organización y después elija Nuevo usuario en la lista Nuevas acciones.

   Para crear una cuenta de usuario en la organización principal, elija Nuevo usuario en la lista Nuevas acciones.

3. Rellene la información de las fichas o secciones siguientes.

   • Identidad 36. Nombre, organización, contraseña y otros detalles. (Consulte Ficha Identidad.)

   • Recursos. Asignaciones de recursos individuales y de grupos de recursos, así como exclusiones de recursos. (Consulte Ficha Recursos.)

   • Roles. Asignaciones de roles. Para obtener más información sobre los roles, consulte Conceptos y administración de roles. Encontrará instrucciones para rellenar la ficha Roles dentro de Para asignar roles a un usuario.

   • Seguridad. Roles de administrador, organizaciones controladas y capacidades. También, valores de configuración de formularios de usuario y directiva de cuentas. (Consulte Ficha Seguridad.)

   • Delegaciones 110. Delegaciones de elementos de trabajo. (Consulte Ficha Delegaciones.)

   • Atributos. Atributos específicos para los recursos asignados. (Consulte Ficha Atributos.)

   • Cumplimiento. Seleccione los formularios de autenticación y remediación para la cuenta de usuario. El área de cumplimiento también sirve para especificar las directivas de auditoría asignadas a la cuenta de usuario, incluidas las que se aplican al asignar la organización del usuario. Muestra el estado actual de los análisis, las infracciones y las exenciones de directivas, e incluye información sobre el último análisis de directivas de auditoría del usuario. (Consulte Ficha Atributos.)

     Tenga en cuenta que las opciones disponibles en un área pueden depender de las selecciones efectuadas en otra.

   Para plasmar mejor sus procesos de negocio o capacidades de administración concretas, le conviene personalizar el formulario de usuario específicamente para su entorno. Para obtener más información sobre la personalización de formularios de usuario, consulte Customizing Forms de Sun Identity Manager Deployment Reference.

4. Cuando termine, guarde la cuenta.

   Hay dos opciones para guardar una cuenta de usuario:

   • Guardar. Guarda la cuenta de usuario. Si asigna muchos recursos a la cuenta, este proceso puede alargarse.

   • Guardar en segundo plano. Este proceso guarda una cuenta de usuario mediante una tarea en segundo plano, lo que le permite seguir trabajando en Identity Manager. Para cada proceso de guardar que se está realizando, aparece un indicador de estado de la tarea en las páginas Cuentas, Buscar usuario, Resultados e Inicio.

     En la tabla siguiente se describen los indicadores de estado, que le ayudan a supervisar el progreso del proceso de guardar.

   Indicador de estado	Estado
   	El proceso de guardar se está realizando.
   	El proceso de guardar está suspendido. A menudo, esto significa que el proceso está esperando su aprobación.
   	El proceso se ha completado satisfactoriamente. Esto no significa que el usuario se haya guardado con éxito, sino que el proceso se ha completado sin errores.
   	El proceso aún no ha comenzado.
   	El proceso se ha completado con uno o varios errores.

   Si coloca el ratón sobre el icono de usuario que aparece en el indicador de estado, verá información sobre el proceso de guardar en segundo plano.

   ---

   Nota –

   Si se ha configurado la creación, al crear un usuario se creará un elemento de trabajo que puede verse en la ficha Aprobaciones. Al aprobar dicho elemento se anulará la fecha de creación y se creará la cuenta. Si se rechaza el elemento, se cancelará la creación de la cuenta. Para obtener más información sobre la configuración de la creación, consulte Configuración de la ficha Creación y eliminación.

   ---

Creación de varias cuentas de recursos para un usuario

Identity Manager permite asignar varias cuentas de recursos a un mismo usuario. Para ello, ofrece la posibilidad de definir varios tipos de cuentas de recursos o tipos de cuentas para cada recurso. Deben crearse los tipos de cuentas de recursos necesarios en consonancia con cada tipo de cuenta funcional del recurso. Por ejemplo, superusuario de AIX o administrador de negocio de AIX.

¿Por qué asignar varias cuentas por usuario y recurso?

A veces, un usuario de Identity Manager puede necesitar más de una cuenta en un recurso. Un usuario puede tener diversas funciones de trabajo relacionadas con el recurso. Por ejemplo, puede ser a la vez usuario y administrador del recurso. La experiencia aconseja utilizar cuentas distintas para cada función. De esta manera, si una cuenta entraña riesgo, aún sigue siendo seguro el acceso a las otras cuentas.

Configuración de tipos de cuentas

Para que un recurso admita varias cuentas para un mismo usuario, primero hay que definir los tipos de cuentas de recursos en Identity Manager. Use el Asistente de recursos para definir tipos de cuentas de recursos para un recurso. Encontrará información al respecto en Administración de la lista de recursos.

Debe habilitar y configurar los tipos de cuentas de recursos antes de asignarlos a los usuarios.

Asignación de tipos de cuentas

Una vez definidos los tipos de cuentas, es posible asignarlos a un recurso. Identity Manager trata cada asignación de un tipo de cuenta como una cuenta distinta. En consecuencia, cada asignación concreta en un rol puede tener un conjunto de atributos diferente.

Como en el caso de una sola cuenta por recurso, todas las asignaciones de un tipo específico generan una única cuenta, con independencia del número de asignaciones.

Aunque es posible asignar usuarios a un número indeterminado de tipos distintos de cuentas en un recurso, a cada usuario se le puede asignar una sola cuenta de un tipo específico en un recurso. La excepción a esta regla es el tipo predefinido predeterminado. Los usuarios pueden tener cualquier número de cuentas del tipo predeterminado en un recurso. Sin embargo, ello no es recomendable, porque causa ambigüedad al referenciar las cuentas en los formularios y las revisiones.

Búsqueda y visualización de cuentas de usuario

Con la función de búsqueda de Identity Manager puede buscar cuentas de usuario. Una vez que ha introducido y seleccionado los parámetros de búsqueda, Identity Manager busca todas las cuentas que coincidan con sus criterios de selección.

Para buscar cuentas, elija Cuentas -> Buscar usuarios en la barar de menús. Puede buscar cuentas con uno o varios de estos tipos de búsqueda:

• Información de cuenta (como nombre de usuario, dirección de correo electrónico, nombre o apellidos). Estas opciones dependen de la implementación específica de Identity Manager en su empresa.

• Administrador del usuario. El nombre de usuario del administrador aparece entre paréntesis si no coincide con una cuenta existente en Identity Manager.

• Estado de cuenta de recursos. Las opciones incluyen:

  • Inhabilitado. El usuario no puede acceder a ninguna cuenta de recursos asignada o de Identity Manager.

  • Parcialmente inhabilitado. El usuario no puede acceder a una o más cuentas de recursos asignadas.

  • Habilitado. El usuario tiene acceso a todas las cuentas de recursos asignadas.

• Recurso asignado. Las opciones incluyen:

  • Rol (consulte Para buscar usuarios asignados a un rol específico)

  • Organización

  • Control organizativo

  • Capacidades

  • Rol de administrador

• Estado de cuenta de usuario. Las opciones incluyen:

  • Bloqueado. La cuenta de usuario está bloqueada porque se ha superado el máximo número permitido de intentos fallidos de iniciar de sesión con contraseña o pregunta.

  • No bloqueado. El acceso a la cuenta de usuario no está restringido.

• Estado de actualización. Las opciones incluyen:

  • no. Cuentas de usuario que se no han actualizado en ningún recurso.

  • alguno. Cuentas de usuario que se han actualizado al menos en un recurso asignado, pero no en todos.

  • todos. Cuentas de usuario que se han actualizado en todos los recursos asignados.

La lista de resultados de la búsqueda muestra todas las cuentas que coinciden con los criterios de búsqueda.

En la página de resultados puede:

• Seleccionar cuentas de usuario para editarlas. Para editar una cuenta, haga clic en la lista de resultados de la búsqueda o selecciónela en la lista y después elija Editar.

• Realizar acciones con una o más cuentas (como habilitar, inhabilitar, desbloquear, eliminar, actualizar o cambiar/reinicializar contraseñas). Para efectuar una acción, seleccione una o varias cuentas en la lista de resultados de la búsqueda y después haga clic en la acción adecuada.

• Crear cuentas de usuario.

  

Edición de usuarios

En esta sección se explica cómo ver, editar, reasignar y cambiar de nombre las cuentas de usuario.

Para ver cuentas de usuario

Utilice la página Ver usuario y proceda como sigue para ver información de cuentas.

1. En la interfaz de administración, seleccione Cuentas en el menú.

   Aparece la página Lista de usuarios.

2. Marque la casilla adjunta al usuario cuya cuenta desea ver.

3. En el menú desplegable Acciones de usuario, seleccione Ver.

   Aparece la página Ver usuario con un subconjunto de información sobre la identidad del usuario, asignaciones, seguridad, delegaciones, atributos y cumplimiento. La información de la página Ver usuario es de sólo lectura, no puede editarse.

4. Haga clic en Cancelar para regresar a la lista de cuentas.

Para editar cuentas de usuario

Utilice la página Editar usuario y proceda como sigue para editar información de cuentas.

1. En la interfaz de administración, seleccione Cuentas en el menú.

2. Marque la casilla adjunta al usuario cuya cuenta desea editar.

3. En el menú desplegable Acciones de usuario, seleccione Editar.

4. Realice las modificaciones y guárdelas.

   Identity Manager muestra la página de actualización de cuentas de recursos. En ella aparecen las cuentas de recursos asignadas al usuario y los cambios que se aplicarán a la cuenta.

5. Seleccione Actualizar todas las cuentas de recursos para aplicar las modificaciones a todos los recursos asignados, o bien seleccione una, ninguna o varias cuentas de recursos asociadas al usuario para actualizarlas.

6. Vuelva a pulsar Guardar para terminar de editar o haga clic en Regresar a Edición para efectuar más cambios.

   Figura 3–2 Editar usuario (actualización de cuentas de recursos)

   
   

Reasignación de usuarios a otra organización

La acción de mover permite suprimir uno o varios usuarios de una organización y reasignarlos, o moverlos, a otra.

Para mover un usuario

1. En la interfaz de administración, seleccione Cuentas en el menú.

   Aparece la página Lista de usuarios.

2. Marque la casilla adjunta al usuario o usuarios que desea mover.

3. En el menú desplegable Acciones de usuario, seleccione Mover.

   Aparece la página de tareas Cambiar organización de usuarios.

4. Seleccione la organización a la que desea reasignar el usuario y haga clic en Iniciar.

Cambio de nombre de usuarios

Cambiar el nombre de una cuenta en un recurso suele ser complicado. Por este motivo, Identity Manager ofrece una función específica para renombrar una cuenta de usuario de Identity Manager o una o varias cuentas de recursos asociadas al usuario.

Para utilizar la función de cambio de nombre, seleccione una cuenta de usuario en la lista y, a continuación, elija la opción Cambiar nombre en la lista Acciones de usuario.

En la página Cambiar nombre de usuario puede cambiar el nombre de la cuenta de usuario, nombres de cuentas de recursos asociadas y atributos de cuentas de recursos asociadas a la cuenta del usuario en Identity Manager.

Algunos tipos de recursos no se pueden renombrar.

Como muestra la figura siguiente, el usuario tiene asignado un recurso de Active Directory.

Durante el proceso de cambio de nombre puede modificar:

• El nombre de la cuenta de usuario de Identity Manager

• El nombre de la cuenta de recurso de Active Directory

• El atributo de recurso de Active Directory (nombre completo)

  

Actualización de recursos asociados a una cuenta

En una acción de actualización, Identity Manager actualiza los recursos asociados a una cuenta de usuario. Las actualizaciones efectuadas desde el área de cuentas envían a los recursos seleccionados todos los cambios pendientes que se habían realizado previamente para un usuario.

Esta situación puede producirse cuando:

• Un recurso no estaba disponible cuando se efectuaron actualizaciones.

• En un rol o grupo de recursos se ha realizado un cambio que debe propagarse a todos los usuarios asignados a dicho grupo. En tal caso, debe utilizar la página Buscar usuario para encontrar los usuarios y después seleccionar los usuarios a los que desea aplicar la acción de actualización.

Hay las siguientes opciones al actualizar la cuenta de usuario:

• Elegir si las cuentas de recursos asignadas deben recibir la información actualizada.

• Actualizar todas las cuentas de recursos o seleccionar cuentas individuales en una lista.

Actualización de recursos en una sola cuenta de usuario

Para actualizar una cuenta de usuario, selecciónela en la lista y, a continuación, elija Actualizar en la lista Acciones de usuario.

En la página de actualización de cuentas de recursos, elija uno o varios recursos para actualizarlos, o bien seleccione Actualizar todas las cuentas de recursos para actualizar todas las cuentas de recursos asignadas. Cuando termine, pulse Aceptar para comenzar el proceso de actualización. Otra posibilidad es seleccionar Guardar en segundo plano para realizar la acción como un proceso en segundo plano.

Una página de confirmación corrobora los datos enviados a cada recurso.

La Figura 3–3 muestra la página de actualización de cuentas de recursos.

Figura 3–3 Actualizar cuentas de recurso

Actualización de recursos en varias cuentas de usuario

Es posible actualizar dos o más cuentas de usuario de Identity Manager simultáneamente. Seleccione varias cuentas de usuario en la lista y, a continuación, elija Actualizar en la lista Acciones de usuario.

Al actualizar varias cuentas de usuario no es posible seleccionar cuentas de recursos asignadas individualmente en cada cuenta de usuario. En vez de ello, este proceso actualiza todos los recursos en todas las cuentas de usuario seleccionadas.

Eliminación de cuentas de usuario de Identity Manager

En Identity Manager, una cuenta de usuario de Identity Manager se elimina igual que una cuenta de recursos remota. Siga los pasos para eliminar una cuenta de recursos, pero seleccionando la cuenta de Identity Manager en lugar de una cuenta de recursos remota.

Si un usuario tiene elementos de trabajo pendientes propios o delegados a otro usuario, Identity Manager no dejará que se elimine la cuenta del usuario de Identity Manager. Los elementos de trabajo delegados se deben resolver o reenviar a otro usuario para poder eliminar la cuenta del usuario en Identity Manager.

Para obtener más información, consulte Eliminación de recursos de una sola cuenta de usuario y Eliminación de recursos de varias cuentas de usuario.

Eliminación de recursos de cuentas de usuario

Identity Manager ofrece diversas operaciones de eliminación que sirven para eliminar el acceso a una cuenta de usuario de Identity Manager de un recurso:

• Eliminar. Para cada recurso seleccionado, Identity Manager elimina la cuenta del usuario en el recurso remoto. (Para eliminar un usuario de Identity Manager, seleccione Identity Manager como recurso.)

  • Las cuentas de recursos eliminadas se desvinculan automáticamente del usuario de Identity Manager.

  • En el caso de las cuentas de recursos eliminadas, no se anula la asignación del usuario. El recurso permanece asignado al usuario salvo que se seleccione también la acción de anulación de asignación.

• Anular asignación. Identity Manager suprime cada recurso seleccionado de la lista de recursos asignados del usuario.

  • Las cuentas de recursos no asignadas se desvinculan automáticamente del usuario de Identity Manager.

  • La cuenta de usuario en el recurso remoto no se elimina. La cuenta permanece intacta salvo que se seleccione también la acción de eliminación.

• Desvincular. Para cada recurso seleccionado, la información de cuenta de recursos del usuario se suprime de Identity Manager.

  • La cuenta del usuario en el recurso remoto permanece intacta salvo que se seleccione también la acción de eliminación.

  • El recurso permanece en la lista de recursos asignados del usuario salvo que se seleccione también la acción de anulación de asignación.

  • si desvincula una cuenta asignada indirectamente al usuario mediante un rol o un grupo de recursos, el vínculo puede restaurarse al actualizar el usuario.

Aunque el desabastecimiento se incluye como una acción de usuario en los menús de la página Lista de usuarios, en realidad sólo existen tres acciones de eliminación en Identity Manager: eliminar, anular asignación y desvincular.

Para desabastecer un recurso remoto, aplique las acciones de eliminación y anulación de asignación al recurso.

Eliminación de recursos de una sola cuenta de usuario

Siga el procedimiento indicado a continuación para realizar una operación de eliminación con un único usuario de Identity Manager. Si trabaja con una única cuenta de usuario a la vez, puede especificar distintas operaciones de eliminación, anulación de asignación y/o desvinculación para diferentes cuentas de recursos.

Para empezar una acción de eliminación, anulación de asignación o desvinculación en una sola cuenta de usuario

1. En la interfaz de administración, seleccione Cuentas en el menú principal.

   Aparece la página Lista de usuarios en la ficha Listar cuentas.

2. Seleccione un usuario y haga clic en el menú desplegable Acciones de usuario.

3. Elija en la lista cualquiera de las acciones de eliminación (Eliminar, Anular asignación o Desvincular).

   Identity Manager muestra la página de eliminación de cuentas de recursos (Figura 3–4).

4. Rellene el formulario. Encontrará más información sobre las acciones Eliminar, Anular asignación y Desvincular en Eliminación de recursos de cuentas de usuario.

5. Haga clic en Aceptar.

   La Figura 3–4 muestra la página de eliminación de cuentas de recursos. En la captura de pantalla, el usuario jrenfro tiene una sola cuenta activa en un recurso remoto (Simulated Resource). Se ha seleccionado la acción Eliminar, lo que significa que, una vez enviado el formulario, se eliminará la cuenta de jrenfro en el recurso. Como las cuentas eliminadas se desvinculan automáticamente, la información de cuentas de este recurso desaparecerá de Identity Manager. El recurso "Simulated Resource" permanecerá asignado al usuario jrenfro, porque no se ha seleccionado la acción de anulación de asignación.

   Para eliminar la cuenta de Identity Manager de jrenfro, es preciso seleccionar la acción Eliminar en Identity Manager.

   Figura 3–4 Página de eliminación de cuentas de recursos

   
   

Eliminación de recursos de varias cuentas de usuario

Es posible realizar una operación de eliminación con más de una cuenta de usuario de Identity Manager simultáneamente, pero la operación de eliminación seleccionada sólo puede aplicarse a todas las cuentas de recursos del usuario.

Las operaciones de eliminación también pueden efectuarse mediante la función Acciones masivas de cuenta de Identity Manager. Consulte Comandos Delete, DeleteAndUnlink, Disable, Enable, Unassign y Unlink.

Para empezar una acción de eliminación, anulación de asignación o desvinculación en varias cuentas de usuario

1. En la interfaz de administración, seleccione Cuentas en el menú principal.

   Aparece la página Lista de usuarios en la ficha Listar cuentas.

2. Seleccione uno o más usuarios y haga clic en el menú desplegable Acciones de usuario.

3. Elija en la lista cualquiera de las acciones de eliminación (Eliminar, Anular asignación o Desvincular).

   Identity Manager muestra la página Confirmar si Eliminar, Anular asignación o Desvincular (Figura 3–5).

4. Especifique la acción que desea realizar.

   Las opciones incluyen:

   • Eliminar sólo el usuario. Elimina las cuentas de Identity Manager de los usuarios. Esta opción no elimina ni anula la asignación de las cuentas de recursos de los usuarios.

   • Eliminar el usuario y las cuentas de recursos. Elimina las cuentas de Identity Manager de los usuarios y todas las cuentas de recursos de los usuarios.

   • Eliminar sólo las cuentas de recursos. Elimina todas las cuentas de recursos de los usuarios. Esta opción no anula la asignación de las cuentas de recursos ni elimina las cuentas de Identity Manager de los usuarios.

   • Eliminar las cuentas de recursos y anular la asignación de los recursos asignados directamente desde el usuario. Elimina y anula la asignación de todas las cuentas de recursos de los usuarios, pero no elimina las cuentas de Identity Manager de los usuarios.

   • Anular asignación de las cuentas de recursos asignadas directamente desde el usuario. Anula la asignación de las cuentas de recursos asignadas directamente. Esta opción no elimina las cuentas de los usuarios en los recursos remotos. Las cuentas de recursos asignadas a través de un rol o un grupo de recursos no resultan afectadas.

   • Desvincular las cuentas de recursos del usuario. La información de cuenta de recursos del usuario se suprime de Identity Manager. No se eliminan ni se anula la asignación de las cuentas de los usuarios en los recursos remotos. Las cuentas asignadas indirectamente a los usuarios mediante un rol o un grupo de recursos pueden restaurarse al actualizar los usuarios.

5. Haga clic en Aceptar.

   La Figura 3–5 muestra la página Confirmar si Eliminar, Anular asignación o Desvincular. En la parte superior de la página aparecen las seis acciones disponibles que pueden realizarse para varios usuarios. En la parte inferior de la página aparecen los usuarios que resultarán afectados por la acción seleccionada.

   Figura 3–5 Página Confirmar si Eliminar, Anular asignación o Desvincular

   
   

Cambio de contraseñas de usuario

A todos los usuarios de Identity Manager se les asigna una contraseña. Una vez establecida, la contraseña de usuario de Identity Manager se utiliza para sincronizar las contraseñas de las cuentas de recursos del usuario. Si no es posible sincronizar una o varias contraseñas de cuentas de recursos (por ejemplo, para cumplir directivas de contraseñas obligatorias), puede definirlas individualmente.

Encontrará información sobre las directivas de contraseñas de cuenta y sobre la autenticación de usuarios en la sección Administración de la seguridad de las cuentas y los privilegios.

Cambio de contraseñas en la página Lista de usuarios

Puede cambiar la contraseña de una cuenta de usuario con la acción Modificar contraseña de usuario de la página Lista de usuarios (Cuentas -> Listar cuentas). Siga estos pasos:

1. En la interfaz de administración, seleccione Cuentas en el menú principal.

   Aparece la página Lista de usuarios en la ficha Listar cuentas.

2. Seleccione un usuario y haga clic en el menú desplegable Acciones de usuario.

3. Para cambiar la contraseña, seleccione Cambiar contraseña.

   Aparece la página Modificar contraseña de usuario.

4. Escriba la contraseña nueva y pulse el botón Cambiar contraseña.

Para cambiar contraseñas con el menú principal

Siga estos pasos para cambiar la contraseña de una cuenta de usuario desde el menú principal:

1. En la interfaz de administración, seleccione Contraseñas en el menú principal.

   De manera predeterminada, aparece la página Modificar contraseña de usuario.

   Figura 3–6 Modificar contraseña de usuario

   
   

2. Seleccione un término de búsqueda (por ejemplo, nombre de cuenta, dirección de correo electrónico, apellidos o nombre) y un tipo de búsqueda (comienza con, termina con o es).

3. Introduzca uno o varios caracteres de un término de búsqueda en el campo de entrada y, a continuación, haga clic en Buscar. Identity Manager devuelve una lista de todos los usuarios cuyos ID contienen los caracteres especificados. Haga clic para seleccionar un usuario y volver a la página Modificar contraseña de usuario.

4. Introduzca y confirme la información de la nueva contraseña y después haga clic en Cambiar contraseña para modificar la contraseña de usuario en la lista de cuentas de recursos. Identity Manager muestra un diagrama de flujo de trabajo con la secuencia de las acciones realizadas para cambiar la contraseña.

Reinicialización de contraseñas de usuario

Para reinicializar las contraseñas de las cuentas de usuario de Identity Manager se sigue un proceso similar al de cambio de contraseña. Lo que varía en el proceso de reinicialización es que no se especifica una contraseña nueva. En vez de ello, Identity Manager genera aleatoriamente una contraseña nueva (según las directivas de selección y de contraseñas) para la cuenta de usuario, las cuentas de recursos o una combinación de éstas.

La directiva asignada al usuario (ya sea directamente o a través de su organización) controla diversas opciones de reinicialización, entre ellas:

• La frecuencia con que se puede reinicializar una contraseña sin que se inhabilite la reinicialización.

• Dónde aparece o a dónde se envía la nueva contraseña.

  Según la Opción de notificación de reinicialización seleccionada para el rol, Identity Manager enviará la nueva contraseña al usuario por correo electrónico o se la mostrará en la página Resultados al administrador de Identity Manager que ha solicitado la reinicialización.

Reinicialización de contraseñas en la página Lista de usuarios

La acción de usuario Reinicializar contraseña está disponible en la página Lista de usuarios (Cuentas > Listar cuentas).

Siga estos pasos para reinicializar una contraseña en la página Lista de usuarios:

1. En la interfaz de administración, seleccione Cuentas en el menú principal. Aparece la página Lista de usuarios en la ficha Listar cuentas.

2. Seleccione un usuario y haga clic en el menú desplegable Acciones de usuario.

3. Para reinicializar la contraseña, seleccione Reinicializar contraseña.

   Aparece la página Reinicializar contraseña de usuario.

4. Pulse el botón Reinicializar contraseña.

Para caducar contraseñas aplicando la directiva de cuentas de Identity Manager

Cuando se reinicializa una contraseña de usuario, la contraseña caduca inmediatamente de manera predeterminada. Por tanto, la primera vez que los usuarios inician una sesión tras reinicializar la contraseña, han de elegir una contraseña nueva para obtener acceso. Para anular este comportamiento predeterminado, puede editar el formulario de reinicialización de contraseña de usuario, de modo que la contraseña del usuario caducará cuando lo estipule la directiva de caducidad de contraseñas establecida en la directiva de cuentas de Identity Manager asociada a ese usuario.

Proceda como sigue para anular el requisito de cambio de contraseña predeterminado:

1. Edite el formulario de reinicialización de contraseña de usuario y defina en false este valor:

   resourceAccounts.currentResourceAccounts[Lighthouse].expirePassword

2. Use la opción Reinicializar de la directiva de cuentas de Identity Manager para especificar cuándo debe caducar una contraseña.

   Los valores de configuración incluyen:

   • permanente. Identity Manager aplica el periodo especificado en el atributo de directiva passwordExpiry para calcular a partir de la fecha actual en qué fecha debe reinicializarse la contraseña y después asigna la fecha resultante al usuario. Si no se especifica ningún valor, la contraseña cambiada o reinicializada no caduca nunca.

   • temporal. Identity Manager aplica el periodo especificado en el atributo de directiva tempPasswordExpiry para calcular a partir de la fecha actual en qué fecha debe reinicializarse la contraseña y después asigna la fecha resultante al usuario. Si no se especifica ningún valor, la contraseña cambiada o reinicializada no caduca nunca. Si tempPasswordExpiry se define en el valor 0, la contraseña caduca inmediatamente.

     El atributo tempPasswordExpiry sólo se aplica cuando se reinicializan contraseñas (cambian aleatoriamente). No se aplica a las modificaciones de contraseñas.

Inhabilitación, habilitación y desbloqueo de cuentas de usuario

En esta sección se explica cómo inhabilitar y habilitar cuentas de usuario de Identity Manager. También se indica cómo ayudar a los usuarios cuyas cuentas de Identity Manager han quedado bloqueadas.

Para inhabilitar cuentas de usuario

Al inhabilitar una cuenta de usuario, se modifica esa cuenta para que el usuario ya no pueda iniciar la sesión en Identity Manager ni en ninguna cuenta de recursos asignada.

Recuerde que los administradores pueden inhabilitar cuentas de usuario con la interfaz de administración, pero no pueden bloquearlas. Las cuentas sólo se bloquean cuando el usuario supera el número permitido de intentos fallidos de inicio de sesión especificados en la directiva de cuentas de Identity Manager.

Si un recurso asignado carece de soporte nativo para inhabilitar cuentas, pero sí permite cambiar contraseñas, es posible configurar Identity Manager para inhabilitar cuentas de usuario en dicho recurso asignando nuevas contraseñas generadas aleatoriamente.

Siga estos pasos para asegurarse de que esta funcionalidad actúa correctamente:

1. Abra la página “Parámetros de Identity System” en el asistente de edición de recursos. (Dentro de Administración de recursos encontrará instrucciones para iniciar el asistente.)

2. En la tabla “Configuración de funciones de cuenta”, compruebe si las funciones Contraseña e Inhabilitar no tienen marcada la columna ¿Inhabilitar? (Para mostrar la función Inhabilitar, seleccione Mostrar todas las funciones.)

   Si la función Mostrar Inhabilitar tiene marcada la columna ¿Inhabilitar?, no será posible inhabilitar las cuentas del recurso.

Inhabilitación de cuentas de usuario individuales

Para inhabilitar una cuenta de usuario, selecciónela en la lista de usuarios y, a continuación, elija Inhabilitar en el menú desplegable Acciones de usuario.

En la página Inhabilitar que aparece, seleccione las cuentas de recursos que desea inhabilitar y pulse Aceptar. Identity Manager muestra los resultados de inhabilitar la cuenta de usuario de Identity Manager y todas las cuentas de recursos asociadas. La lista de cuentas indica que la cuenta de usuario está inhabilitada.

Inhabilitación de varias cuentas de usuario

Es posible inhabilitar dos o más cuentas de usuario de Identity Manager simultáneamente. Seleccione varias cuentas de usuario en la lista y, a continuación, elija Inhabilitar en la lista Acciones de usuario.

Al inhabilitar varias cuentas de usuario no es posible seleccionar cuentas de recursos asignadas individualmente en cada cuenta de usuario. En vez de ello, este proceso inhabilita todos los recursos en todas las cuentas de usuario seleccionadas.

Para habilitar cuentas de usuario en un recurso mediante reinicializaciones de contraseña

Al habilitar una cuenta de usuario se invierte el proceso de inhabilitación.

Según las opciones de notificación seleccionadas, Identity Manager también muestra la contraseña en la página de resultados del administrador.

El usuario puede reinicializar a continuación la contraseña (mediante el proceso de autenticación), o puede restablecerla un usuario con privilegios de administrador.

Si un recurso asignado carece de soporte nativo para habilitar cuentas, pero sí permite cambiar contraseñas, es posible configurar Identity Manager para habilitar cuentas de usuario en dicho recurso reinicializando las contraseñas.

Siga estos pasos para asegurarse de que esta funcionalidad actúa correctamente:

1. Abra la página “Parámetros de Identity System” en el asistente de edición de recursos. (Dentro de Administración de recursos encontrará instrucciones para iniciar el asistente.)

2. En la tabla “Configuración de funciones de cuenta”, compruebe si las funciones Contraseña e Habilitar no tienen marcada ¿Inhabilitar?. columna ¿Inhabilitar? (Para mostrar la función Habilitar, seleccione Mostrar todas las funciones.)

   Si la función Habilitar tiene marcada la columna ¿Inhabilitar?, no será posible habilitar las cuentas del recurso.

Habilitación de cuentas de usuario individuales

Para habilitar una cuenta de usuario, selecciónela en la lista y, a continuación, elija Habilitar en la lista Acciones de usuario.

En la página Habilitar que aparece, seleccione las cuentas de recursos que desea habilitar y pulse Aceptar. Identity Manager muestra los resultados de habilitar la cuenta de Identity Manager y todas las cuentas de recursos asociadas.

Habilitación de varias cuentas de usuario

Es posible habilitar dos o más cuentas de usuario de Identity Manager simultáneamente. Seleccione varias cuentas de usuario en la lista y, a continuación, elija Habilitar en la lista Acciones de usuario.

Al habilitar varias cuentas de usuario no es posible seleccionar cuentas de recursos asignadas individualmente en cada cuenta de usuario. En vez de ello, este proceso habilita todos los recursos en todas las cuentas de usuario seleccionadas.

Desbloqueo de cuentas de usuario

Los usuarios quedan bloqueados cuando fracasan sus intentos de iniciar una sesión en Identity Manager. Para quedar bloqueado, el usuario debe superar el número permitido de intentos fallidos de inicio de sesión especificados en la directiva de cuentas de Identity Manager.

En la cifra de bloqueo de Identity Manager sólo cuentan los intentos de iniciar la sesión en una interfaz de usuario de Identity Manager (es decir, las interfaces de administración, usuario final, línea de comandos o API SPML). No se cuentan los intentos fallidos de inicio de sesión en cuentas de recursos, que tampoco bloquean la cuenta de Identity Manager del usuario.

La directiva de cuentas de Identity Manager establece el máximo número de intentos fallidos de iniciar la sesión con contraseña o pregunta que se pueden realizar.

• Los usuarios que superan el número máximo de intentos fallidos de inicio de sesión con contraseña quedan bloqueados en todas las interfaces de aplicación de Identity Manager, incluida la de olvido de contraseña.

• Los usuarios que superan el número máximo de intentos fallidos de inicio de sesión con pregunta pueden autenticarse en todas las interfaces de aplicación de Identity Manager, excepto la de olvido de contraseña.

Tentativas de contraseña de inicio de sesión no satisfactorias

Los usuarios que tienen bloqueado el acceso a Identity Manager debido a un exceso de intentos fallidos de inicio de sesión con contraseña no pueden iniciar la sesión hasta que un administrador desbloquee la cuenta o hasta que caduque el bloqueo.

• Un administrador puede desbloquear una cuenta si tiene control administrativo sobre la organización a la que está afiliado el usuario y posee la capacidad Desbloquear usuario.

• Si se define un valor de tiempo de espera de bloqueo en la directiva de cuentas de Identity Manager, el bloqueo de una cuenta acabará caducando. El valor de tiempo de espera de bloqueo para los intentos fallidos de inicio de sesión con contraseña está determinado por el valor de "El bloqueo de cuenta debido a fallos de inicio de sesión con contraseña caduca en".

Tentativas de pregunta de inicio de sesión no satisfactorias

Los usuarios que tienen bloqueado el acceso a la interfaz de olvido de contraseña debido a un exceso de intentos fallidos de inicio de sesión con pregunta no pueden iniciar la sesión en dicha interfaz hasta que un administrador desbloquee la cuenta, o hasta que el usuario bloqueado (o un usuario con capacidades adecuadas) cambie o reinicialice la contraseña del usuario), o hasta que caduque el bloqueo.

• Un administrador puede desbloquear una cuenta si tiene control administrativo sobre la organización a la que está afiliado el usuario y posee la capacidad Desbloquear usuario.

• Si se define un valor de tiempo de espera de bloqueo en la directiva de cuentas de Identity Manager, el bloqueo de una cuenta acabará caducando. El valor de tiempo de espera de bloqueo para los intentos de inicio fallidos de sesión con pregunta está determinado por el valor de "El bloqueo de cuenta debido a fallos de inicio de sesión con pregunta caduca en".

Un administrador con capacidades adecuadas puede aplicar las operaciones siguientes al estado de bloqueo de un usuario.

• Actualizar (incluido el reabastecimiento de recursos).

• Cambiar o reinicializar la contraseña.

• Inhabilitar o habilitar.

• Renombrar

• Desbloquear

Para desbloquear cuentas, seleccione una o varias cuentas de usuario en la lista y, a continuación, elija Desbloquear usuarios en la lista Acciones de usuario o Acciones de organización.

Acciones masivas de cuenta

En las cuentas de Identity Manager se pueden realizar diversas acciones masivas, lo que permite actuar sobre múltiples cuentas a la vez.

Es posible efectuar las siguientes acciones masivas:

• Delete. Elimina, anula asignaciones y desvincula las cuentas de recursos seleccionadas. Seleccione la opción “Cuenta de Identity Manager de destino” para eliminar también la cuenta de Identity Manager de cada usuario.

• Eliminar y desvincular. Elimina todas las cuentas de recursos seleccionadas y desvincula las cuentas de los usuarios.

• Inhabilitar. Inhabilita las cuentas de recursos seleccionadas. Seleccione la opción “Cuenta de Identity Manager de destino” para inhabilitar también la cuenta de Identity Manager de cada usuario.

• Habilitar. Habilita las cuentas de recursos seleccionadas. Seleccione la opción “Cuenta de Identity Manager de destino” para habilitar la cuenta de Identity Manager de cada usuario.

• Anular asignación, Desvincular. Desvincula las cuentas de recursos seleccionadas y suprime las asignaciones de cuentas de usuario de Identity Manager a esos recursos. Al anular una asignación no se elimina la cuenta del recurso. No puede anular la asignación de una cuenta que ha sido asignada indirectamente al usuario de Identity Manager mediante un rol o un grupo de recursos.

• Unlink. Suprime la asociación (vínculo) de una cuenta de recursos con la cuenta de usuario de Identity Manager. Al desvincular no se elimina la cuenta del recurso. Si desvincula una cuenta que ha sido asignada indirectamente al usuario de Identity Manager mediante un rol o un grupo de recursos, el vínculo puede restaurarse al actualizar el usuario.

Las acciones masivas funcionan de forma más eficaz si dispone de una lista de usuarios en un archivo o una aplicación, por ejemplo, un cliente de correo electrónico o un programa de hoja de cálculo. Puede copiar y pegar la lista en un campo de esta página de la interfaz o bien cargar la lista de usuarios desde un archivo.

La mayoría de estas acciones pueden realizarse en los resultados de una búsqueda de usuarios. Utilice la página Buscar usuarios (Cuentas -> Buscar usuarios) para buscar usuarios.

Puede guardar los resultados de una operación masiva de cuentas en un archivo CSV con sólo hacer clic en Descargar CSV cuando aparezcan los resultados de la tarea al terminarla.

Inicio de acciones masivas de cuenta

Para iniciar acciones masivas de cuenta

1. En la interfaz de administración, seleccione Cuentas en el menú principal.

2. Haga clic sobre Iniciar acciones masivas en el menú secundario.

3. Rellene el formulario y pulse Iniciar.

   Identity Manager inicia una tarea en segundo plano para realizar las acciones masivas.

   Para supervisar el estado de la tarea de acciones masivas, elija Tareas del servidor en el menú principal y después Todas las tareas.

Uso de listas de acciones

Puede especificar una lista de acciones masivas con un formato de valores separados por comas (CSV). Esto le permite ofrecer una combinación de diferentes tipos de acciones en una única lista de acciones. Además, puede especificar acciones de creación y actualización más complejas.

El formato CSV está formado por dos o más líneas de entrada. Cada línea consta de una lista de valores separados por comas. La primera línea contiene los nombres de los campos. Cada una de las líneas restantes corresponde a una acción que se debe efectuar en un usuario de Identity Manager, en las cuentas de recursos del usuario o en ambos elementos. Cada línea debe contener el mismo número de valores. Los valores vacíos dejarán sin modificar el valor del campo correspondiente.

Cualquier entrada de acción masiva en formato CSV tiene dos campos obligatorios:

• user. Contiene el nombre del usuario de Identity Manager.

• command. Contiene la acción que se aplica al el usuario de Identity Manager. Los comandos válidos son:

  • Delete. Elimina, anula asignaciones y desvincula las cuentas de recursos, la cuenta de Identity Manager o ambas.

  • DeleteAndUnlink. Elimina y desvincula cuentas de recursos.

  • Disable. Inhabilita las cuentas de recursos, la cuenta de Identity Manager o ambas.

  • Enable. Habilita las cuentas de recursos, la cuenta de Identity Manager o ambas.

  • Unassign. Anula asignaciones y desvincula las cuentas de recursos.

  • Unlink. Desvincula las cuentas de recursos.

  • Create. Crea la cuenta de Identity Manager. También crea de forma opcional cuentas de recursos.

  • Update. Actualiza la cuenta de Identity Manager. También crea, actualiza o elimina de forma opcional cuentas de recursos.

  • CreateOrUpdate. Realiza una acción de creación si la cuenta de Identity Manager no existe aún. De lo contrario, realiza una acción de actualización.

Comandos Delete, DeleteAndUnlink, Disable, Enable, Unassign y Unlink

Para efectuar acciones con los comandos Delete, DeleteAndUnlink, Disable, Enable, Unassign o Unlink, el único campo adicional que hace falta especificar es "resources". En el campo "resources" debe indicar qué cuentas de qué recursos resultarán afectadas.

El campo "resources" admite los siguientes valores:

• all. Procesa todas las cuentas de recursos, incluida la de Identity Manager.

• resonly. Procesa todas las cuentas de recursos excepto la de Identity Manager.

• nombre_recurso [ | nombre_recurso ... ]. Procesa las cuentas de recursos especificadas. Especifique Identity Manager para procesar la cuenta de Identity Manager.

A continuación se muestra un ejemplo del formato CSV para varias de estas acciones:

command,user,resources
Delete,John Doe,all
Disable,Jane Doe,resonly
Enable,Henry Smith,Identity Manager
Unlink,Jill Smith,Windows Active Directory|Solaris Server

Comandos Create, Update y CreateOrUpdate

Si va a realizar acciones con los comandos Create, Update o CreateOrUpdate, puede especificar campos de la vista de usuario además de los campos "user" y "command". Los nombres de campo utilizados son las expresiones de ruta de los atributos en las vistas. Encontrará información sobre los atributos disponibles en la vista de usuario dentro de User View Attributes de Sun Identity Manager Deployment Reference. Si está utilizando un formulario de usuario personalizado, los nombres de campo del formulario contienen algunas de las expresiones de ruta que puede utilizar.

Algunas de las expresiones de ruta más utilizadas en las acciones masivas son:

• waveset.roles. Una lista con uno o varios nombres de rol para asignarlos a la cuenta de Identity Manager.

• waveset.resources. Una lista con uno o varios nombres de recurso para asignarlos a la cuenta de Identity Manager.

• waveset.applications. Una lista con uno o varios nombres de rol para asignarlos a la cuenta de Identity Manager.

• waveset.organization. El nombre de la organización donde debe situarse la cuenta de Identity Manager.

• accounts[ nombre_recurso].nombre_atributo. Un atributo de cuenta de recursos. Los nombres de los atributos aparecen enumerados en el esquema del recurso.

Éste es un ejemplo de uso del formato CSV para realizar acciones de creación y actualización:

command,user,waveset.resources,password.password,
password.confirmPassword,accounts[Windows Active Directory].description,
accounts[Corporate Directory].location Create,John Doe,
Windows Active Directory|Solaris Server,changeit,changeit,John Doe - 888-555-5555,
Create,Jane Smith,Corporate Directory,changeit,changeit,,New York
CreateOrUpdate,Bill Jones,,,,,California

El comando CreateOrUpdate permite especificar un determinado tipo de cuenta en un recurso que admite varios tipos de cuenta. Por tanto, si un usuario tiene varias cuentas en un determinado recurso, cada una de las cuales puede ser de un tipo de cuenta distinto, el ejemplo siguiente ilustra cómo actualizar el tipo de cuenta admin para el usuario UserAye:

command,user,accounts[Sim1|admin].emailAddress
CreateOrUpdate,userAye,bbye8@example.com

Aunque el comando CreateOrUpdate permite configurar atributos específicos de cuenta para las cuentas de un usuario, no olvide que los siguientes valores de la sección global de la vista del usuario se aplicarán a todas las cuentas especificadas:

• accountId

• email

• password

• disable

• Todos los atributos extendidos

En consecuencia, un comando BulkOps con el formato siguiente quizá no actúe como se espera.

command,user,accounts[Sim1].email
CreateOrUpdate,userAye,bbye8@example.com

Si userAye ya tiene un valor para email, dicho valor se aplicará al atributo email en el recurso Sim1. No es posible anular este comportamiento.

Campos con varios valores

Algunos campos pueden tener múltiples valores. Se les conoce como campos de varios valores. Por ejemplo, el campo waveset.resources puede utilizarse para asignar varios recursos a un usuario. Puede emplear el carácter de barra vertical o línea (|) para separar varios valores en un campo. La sintaxis de varios valores puede especificarse de la siguiente forma:

value0 | value1 [ | value2 ... ]

Al actualizar campos de varios valores en usuarios existentes, no es recomendable sustituir los valores actuales del campo por uno o varios valores nuevos. Es posible que desee eliminar algunos valores o agregar nuevos valores a los actuales. Puede utilizar directivas de campo para especificar cómo desea que se utilicen los valores del campo. Las directivas de campo anteceden al valor de campo y suelen ir entre caracteres de barra vertical:

|directive [ ; directive ] | field values

Puede elegir las siguientes directivas:

• Replace. Sustituye los valores actuales por los especificados. Ésta es la directiva predeterminada si no se ha especificado ninguna (o sólo se ha especificado la directiva List, Enumerar).

• Merge. Añade los valores especificados a los valores actuales. Los valores duplicados se filtran.

• Remove. Suprime los valores especificados de los valores actuales.

• List. Impone el valor del campo para que se utilice como si tuviera varios valores, aunque sólo tenga uno. Este directiva no suele ser necesaria, ya que la mayoría de los campos se controlan de forma adecuada, independientemente del número de valores. Ésta es la única directiva que puede especificarse con otra.

En los valores de campo se diferencian mayúsculas de minúsculas. Debe tenerse en cuenta al especificar las directivas Merge (Fusionar) y Remove (Eliminar). Los valores deben coincidir de forma exacta parra eliminarlos correctamente o para impedir que haya varios valores similares al realizar una fusión.

Caracteres especiales en valores de campo

Si un valor de campo incluye una coma (,) o comillas ("), o si desea conservar los espacios iniciales o finales, deberá introducir el valor entre comillas ("valor_campo"). Deberá sustituir las comillas del valor de campo por dos caracteres de comillas ("). Por ejemplo, "John ""Johnny"" Smith" da como resultado el valor de campo John "Johnny" Smith.

Si un valor de campo contiene una barra vertical (|) o inclinada inversa (\), deberá preceder dicho carácter con una barra inclinada inversa (\| o \\).

Atributos de vista de acciones masivas

Cuando se realizan acciones con los comandos Create, Update o CreateOrUpdate, hay otros atributos de la vista de usuario que sólo están disponibles o utilizables al procesar acciones masivas. Se puede hacer referencia a estos atributos en el formulario de usuario para permitir un comportamiento específico en las acciones masivas.

Estos atributos son los siguientes:

• Los atributos waveset.bulk.fields.nombre_campo contienen los valores de los campos leídos en la entrada CSV, donde nombre_campo es el nombre del campo. Por ejemplo, los campos command y user se incluyen en los atributos con las expresiones de ruta waveset.bulk.fields.command y waveset.bulk.fields.user, respectivamente.

• Los atributos waveset.bulk.fieldDirectives.nombre_campo sólo se definen para los campos para los que se ha especificado una directiva. El valor es la cadena de la directiva.

• Configure el atributo booleano waveset.bulk.abort en el valor "true" para anular la acción actual.

• Configure el atributo waveset.bulk.abortMessage en una cadena de mensaje para que aparezca cuando waveset.bulk.abort se haya definido como "true". Si no se ha definido este atributo, se mostrará un mensaje de anulación genérico.

Reglas de correlación y confirmación

Utilice las reglas de correlación y confirmación cuando no disponga del nombre de usuario de Identity Manager para escribirlo en el campo usuario de sus acciones. Si no especifica un valor para el campo Usuario, deberá especificar una regla de correlación al iniciar la acción en masa. Si especifica un valor para el campo Usuario, las reglas de correlación y confirmación no se evaluarán para esa acción.

Una regla de correlación busca los usuarios de Identity Manager que coinciden con los campos de la acción. Una regla de confirmación prueba un usuario de Identity Manager con respecto a los campos de la acción para determinar si coincide o no. Este tratamiento bifásico permite a Identity Manager mejorar la correlación, ya que encuentra rápidamente a posibles usuarios (según el nombre o los atributos) y realiza comprobaciones costosas solamente en el caso de posibles usuarios.

Cree una regla de correlación o de confirmación creando un objeto de regla con un subtipo de SUBTYPE_ACCOUNT_CORRELATION_RULE o SUBTYPE_ACCOUNT_CONFIRMATION_RULE, respectivamente.

Para obtener más información sobre las reglas de correlación y de confirmación, consulte el Capítulo 3, Data Loading and Synchronization de Sun Identity Manager Deployment Guide.

Reglas de correlación

El valor de entrada de una regla de correlación es una asignación de los campos de acción. La salida debe ser uno de los siguientes:

• Cadena (con un nombre o ID de usuario)

• Lista de elementos de cadena (un ID o nombre de usuario cada uno)

• Lista de elementos de WSAttribute

• Lista de elementos de AttributeCondition

Una regla de correlación típica genera una lista de nombres de usuario según los valores de los campos de la acción. Una regla de correlación también puede generar una lista de condiciones de atributo (relacionadas con los atributos de solicitud de Type.USER) que se utilizarán para seleccionar usuarios.

Una regla de correlación debe ser relativamente económica pero lo más selectiva posible. Si es posible, deje el procesamiento costoso para una regla de confirmación.

Las condiciones de atributo deben hacer referencia a atributos de Type.USER que puedan solicitarse. Se configuran en el objeto de configuración de Identity Manager denominado IDM Schema Configuration.

Para realizar la correlación en un atributo extendido es necesario una configuración especial:

El atributo extendido debe especificarse como consultable.

Para configurar como consultable un atributo extendido

1. Abra IDM Schema Configuration. Necesita la capacidad de IDM Schema Configuration para ver o editar IDM Schema Configuration.

2. Busque el elemento <IDMObjectClassConfiguration name=’Usuario’> .

3. Busque el elemento <IDMObjectClassAttributeConfiguration name=’ xyz ’>, donde xyz es el nombre del atributo que desea configurar como consultable.

4. Configure queryable=’true’

   En Reglas de correlación, el atributo extendido email se define como consultable.

Ejemplo 3–1 Extracto de XML donde se define el atributo extendido email como consultable

<IDMSchemaConfiguration>
  <IDMAttributeConfigurations>
    <IDMAttributeConfiguration name=’email’ syntax=’STRING’/>
    </IDMAttributeConfiguration>
  </IDMAttributeConfigurations>
  <IDMObjectClassConfigurations>
    <IDMObjectClassConfiguration name=’User’ extends=’Principal’ description=’User description’>
      <IDMObjectClassAttributeConfiguration name=’email’ queryable=’true’/>
    </IDMObjectClassConfiguration>
  </IDMObjectClassConfigurations>
 </IDMSchemaConfiguration>

Para que el cambio de IDM Schema Configuration surta efecto, debe reiniciar la aplicación de Identity Manager (o el servidor de aplicaciones).

Reglas de confirmación

En cualquier regla de confirmación las entradas son así:

• Use userview para una vista completa de un usuario de Identity Manager.

• Use account para una asignación de campos de acción.

Una regla de confirmación devuelve un valor booleano en forma de cadena de “verdadero” si el usuario coincide con los campos de acción. Si no es así, el valor que devuelve es “falso”.

Una regla de confirmación típica compara los valores internos de la vista del usuario con los valores de los campos de acción. Como segunda fase opcional en el procesamiento de correlación, la regla de confirmación realiza una comprobación que no se puede expresar en una regla de correlación (o que es demasiado costosa para evaluarla en una regla de correlación).

En general, sólo se necesita una regla de confirmación en los siguientes casos:

• La regla de correlación puede devolver más de un usuario coincidente.

• Los valores de usuario que deben compararse no son consultables.

Una regla de confirmación se ejecuta una vez para cada usuario coincidente devuelto por la regla de correlación.

Administración de la seguridad de las cuentas y los privilegios

En esta sección se tratan acciones que pueden realizarse para proporcionar acceso seguro a las cuentas de usuario y para administrar los privilegios de usuario en Identity Manager.

• Definición de directivas de contraseñas

• Autenticación de usuarios

• Asignación de privilegios administrativos

Definición de directivas de contraseñas

Las directivas de contraseñas de recursos establecen las limitaciones de las contraseñas. Las directivas de contraseñas sólidas elevan la seguridad y contribuyen a proteger los recursos frente a los intentos de inicio de sesión no autorizados. Puede editar una directiva de contraseñas para definirla o seleccionar valores con una gama de características.

Para empezar a trabajar con directivas de contraseñas, elija Seguridad en el menú principal y después Directivas.

Para editar una directiva de contraseñas, selecciónela en la lista Directivas. Para crear una directiva de contraseñas, elija Directiva de calidad de cadena en la lista de opciones Nuevo.

Para obtener más información sobre las directivas, consulte Configuración de directivas de Identity Manager.

Creación de directivas

Las directivas de contraseñas son el tipo predeterminado de directivas de calidad de cadena. Tras asignarle nombre y una descripción opcional a la nueva directiva, seleccione las opciones y los parámetros de las reglas que la definen.

Reglas sobre longitud

Las reglas sobre longitud determinan el número mínimo y máximo de caracteres que puede tener una contraseña. Seleccione esta opción para habilitar la regla y después introduzca un valor límite para la regla.

Tipo de directiva

Elija uno de los botones de tipo de directiva. Si elige la opción Otra, deberá introducir el tipo en el campo de texto suministrado.

Reglas de tipo de carácter

Las reglas de tipo de carácter determinan el número mínimo y máximo de caracteres de determinados tipos y cifras que pueden incluirse en una contraseña.

Ello incluye:

• El número mínimo y máximo de caracteres alfabéticos, numéricos, mayúsculas, minúsculas y caracteres especiales.

• El número mínimo y máximo de caracteres numéricos incrustados.

• El número máximo de caracteres repetidos y secuenciales.

• El número mínimo de caracteres alfabéticos y numéricos iniciales.

Introduzca una cifra límite para cada regla de tipo de carácter, o bien indique Todos para especificar que todos los caracteres deben ser de ese tipo.

Número mínimo de reglas de tipo de carácter.

También es posible definir el número mínimo de reglas de tipo de carácter que deben aprobar la validación, como ilustra la Figura 3–7. El número mínimo que se debe aprobar es uno. El máximo no puede superar el número de reglas de tipo de carácter que se han habilitado.

Para definir en el valor máximo el número mínimo que se debe aprobar, introduzca Todos.

Figura 3–7 Reglas de directivas de contraseñas (Tipo de carácter)

Selección de directivas de diccionario

Existe la posibilidad de comprobar las contraseñas con las palabras de un diccionario para protegerse frente a los ataques de diccionario sencillos.

Para poder usar esta opción es preciso:

• Configurar el diccionario

• Cargar palabras del diccionario

El diccionario se configura en la página Directivas. Para obtener más información sobre la configuración del diccionario, consulte ¿Qué es una directiva de diccionario?.

Directiva de historial de contraseñas

Puede prohibir la reutilización de las contraseñas que se han usado justo antes de una contraseñas recién seleccionada.

En el campo Número de contraseñas anteriores que no pueden ser reutilizadas, introduzca un número mayor que 1 para prohibir la reutilización de las contraseñas actual y anterior. Por ejemplo, si introduce 3, la nueva contraseña no puede ser igual que la actual contraseña o las dos contraseñas utilizadas inmediatamente antes.

También se puede prohibir la reutilización de caracteres similares de contraseñas ya usadas. En el campo Número máximo de caracteres similares de contraseñas anteriores que no pueden volver a utilizarse, escriba el número de caracteres consecutivos de las contraseñas anteriores que no pueden repetirse en la nueva contraseña. Por ejemplo, si escribe un valor de 7 y la contraseña anterior era ’password1’, la nueva contraseña no puede ser ’password2’ o ’password3’.

Si escribe un valor 0, todos los caracteres deberán ser diferentes, sea cual sea la secuencia. Por ejemplo, si la contraseña anterior era abcd, la nueva contraseña no puede incluir los caracteres a, b, c ni d.

La regla puede aplicarse a una o varias contraseñas anteriores. El número de contraseñas anteriores comprobadas es el número especificado en el campo ’Número de contraseñas anteriores que no pueden volver a utilizarse’.

No debe contener palabras

Puede introducir una o más palabras que no puede contener la contraseña. Escriba una palabra en cada línea del cuadro de entrada.

También se pueden excluir palabras configurando e implementando la directiva de diccionario. Para obtener más información, consulte ¿Qué es una directiva de diccionario?.

No debe contener atributos

Puede introducir uno o más atributos que no puede contener la contraseña.

Puede especificar los siguientes atributos:

• accountID

• email

• firstname

• fullname

• lastname

Puede cambiar el conjunto de atributos “no debe contener" en el objeto de configuración UserUIConfig. Para obtener más información, consulte No debe contener atributos en directivas.

Implementación de directivas de contraseñas

Las directivas de contraseñas se establecen para cada recurso. Para implementar una directiva de contraseñas para un recurso específico, selecciónelo en la lista de opciones Directiva de contraseñas, que se halla en el área Configuración de directivas de las páginas Parámetros del asistente de creación o edición de recursos: Identity Manager.

Autenticación de usuarios

Si un usuario olvida su contraseña o si ésta se reinicializa, puede responder a una o varias preguntas de autenticación para obtener acceso a Identity Manager. El administrador establece estas preguntas y las reglas por las que se rigen, dentro de la directiva de cuentas de Identity Manager. A diferencia de las directivas de contraseñas, las directivas de cuentas de Identity Manager se asignan directamente al usuario o a través de la organización que tiene asignada (en las páginas Crear y Editar usuario).

Para configurar la autenticación en una directiva de cuentas

1. Elija Seguridad en el menú principal y después Directivas.

2. Seleccione “Directiva de cuentas de Identity Manager” en la lista de directivas.

   La selección se autenticación realiza en el área Opciones de directivas de autenticación secundarias de la página.

   Importante. Cuando se configura por primera vez, el usuario debe iniciar la sesión en la interfaz de usuario e introducir las respuestas iniciales a sus preguntas de autenticación. Si no se establecen estas respuestas, el usuario no podrá iniciar la sesión sin contraseña.

   La directiva de preguntas de autenticación estipula lo que sucede cuando un usuario pulsa el botón '¿Olvidó su contraseña?' en la página de inicio de sesión o al acceder a la página Modificar mis respuestas. Cada opción se describe dentro de Autenticación de usuarios.

   Opción	Descripción
   Todos	Exige que el usuario responda a todas las preguntas personalizadas y definidas en la directiva.
   Cualquiera	Identity Manager muestra todas las preguntas personalizadas y definidas en la directiva. Debe indicar cuántas preguntas debe contestar el usuario.
   Siguiente	Exige que el usuario responda a todas las posibles preguntas definidas en la directiva la primera vez que inicia una sesión.   Si el usuario pulsa el botón '¿Olvidó su contraseña?' durante el inicio de sesión, Identity Manager muestra la primera pregunta. Si el usuario responde de forma incorrecta, Identity Manager presenta la siguiente pregunta, y así sucesivamente, hasta que obtiene la respuesta correcta y permite el inicio de sesión, o bien bloquea la cuenta si se supera el límite especificado de intentos fallidos. Esta directiva no admite preguntas generadas por los usuarios.
   Aleatorio	Permite al administrador especificar cuántas preguntas debe responder el usuario. Identity Manager elige y muestra al azar el número especificado de preguntas definidas en la lista de la directiva, así como las definidas por el usuario. El usuario debe responder a todas las preguntas mostradas.
   Operación por turnos	Identity Manager selecciona la siguiente pregunta en la lista de preguntas configuradas y asigna dicha pregunta al usuario. La primera pregunta de la lista de preguntas de autenticación se asigna al primer usuario, y la segunda se asigna al segundo usuario. Este patrón se sigue aplicando hasta que se supera el número de preguntas. A partir de entonces, las preguntas se asignan a los usuarios por orden consecutivo. Por ejemplo, si hay 10 preguntas, la primera pregunta se asigna al 11º y al 21º usuario.  Sólo se muestra la pregunta seleccionada. Si prefiere que el usuario responda cada vez a una pregunta distinta, utilice la directiva Aleatorio y defina el número de preguntas en 1.  Si prefiere que el usuario responda a una pregunta distinta cada vez, utilice la directiva Aleatorio y defina el número de preguntas en 1. Para obtener más información sobre esta función, consulte Preguntas de autenticación personalizadas.

   Si desea comprobar las opciones de autenticación, inicie la sesión en la interfaz de usuario de Identity Manager, pulse el botón '¿Olvidó su contraseña?' y responda a las preguntas que aparezcan.

   La Figura 3–8 ilustra un ejemplo de la pantalla de autenticación de cuentas de usuario.

   Figura 3–8 Autenticación de cuenta de usuario

   
   

Preguntas de autenticación personalizadas

En la directiva de cuentas de Identity Manager se puede seleccionar una opción que permite a los usuarios definir sus propias preguntas de autenticación en las interfaces de usuario o de administración. También es posible definir el número mínimo de preguntas que el usuario debe suministrar y contestar para iniciar la sesión usando preguntas de autenticación personalizadas.

De esta forma, los usuarios pueden añadir y cambiar respuestas en la página Cambiar las respuestas a las preguntas de autenticación. La Figura 3–9 muestra un ejemplo al respecto.

Figura 3–9 Cambiar las respuestas a preguntas de autenticación personalizadas

Elusión del desafío de cambio de contraseña tras autenticar

Cuando un usuario se autentica correctamente respondiendo a una o varias preguntas, el sistema le plantea un desafío predeterminado para que introduzca una contraseña nueva. No obstante, es posible configurar Identity Manager para eludir el desafío de cambio de contraseña definiendo la propiedad de configuración del sistema bypassChangePassword para una o más aplicaciones de Identity Manager.

Encontrará instrucciones para editar el objeto de configuración del sistema en Edición de objetos de configuración de Identity Manager.

Para eludir el desafío de cambio de contraseña en todas las aplicaciones tras una autenticación correcta, defina la propiedad bypassChangePassword como se indica a continuación en el objeto de configuración del sistema.

Ejemplo 3–2 Definición del atributo para eludir el desafío de cambio de contraseña

<Attribute name="ui" 
 <Object>
   <Attribute name="web">
     <Object> 
       <Attribute name=’questionLogin’>
         <Object>
           <Attribute name=’bypassChangePassword’>
             <Boolean>true</Boolean>
           </Attribute>
         </Object>
       </Attribute>
   ...
 </Object>
...

Para inhabilitar este desafío de contraseña en una aplicación concreta, configúrelo como sigue.

Ejemplo 3–3 Definición del atributo para inhabilitar el desafío de cambio de contraseña

<Attribute name="ui">
  <Object>
    <Attribute name="web">
      <Object>
        <Attribute name=’user’>
          <Object>
            <Attribute name=’questionLogin’>
              <Object>
                <Attribute name=’bypassChangePassword’>
                  <Boolean>true</Boolean>
                </Attribute>
              </Object>
            </Attribute>
         </Object>
       </Attribute>
     ... 
  </Object> 
...

Asignación de privilegios administrativos

Puede asignar privilegios administrativos o capacidades de Identity Manager a los usuarios así:

• Roles de administrador (Admin). Los usuarios que tienen asignado un rol de administrador heredan las capacidades y las organizaciones controladas definidas en el rol. De manera predeterminada, a todas las cuentas de usuario de Identity Manager se les asigna el rol de administrador de usuarios al crearlas. Encontrará información detallada sobre los roles de administrador y su creación dentro de Conceptos y administración de recursos de Identity Manager en el Capítulo 5Roles y recursos.

• Capacidades. Las capacidades están definidas por reglas. Identity Manager proporciona grupos de capacidades funcionales que se pueden seleccionar. La asignación de capacidades aumenta la granularidad al asignar privilegios administrativos. Para obtener más información sobre las capacidades y su creación, consulte Conceptos y administración de capacidades en el Capítulo 6Administración.

• Organizaciones controladas. Las organizaciones controladas conceden privilegios de control administrativos en las organizaciones especificadas. Para obtener más información, consulte Qué son las organizaciones en Identity Manager en el Capítulo 6Administración.

Para obtener más información sobre los administradores de Identity Manager y las tareas administrativas, consulte el Capítulo 6Administración.

Descubrimiento automático

La interfaz de usuario final de Identity Manager permite a los usuarios finales descubrir las cuentas de recursos. Esto significa que un usuario que tenga una identidad de Identity Manager puede asociarla a una cuenta de recursos existente pero no asociada.

Habilitación del descubrimiento automático

Para habilitar el descubrimiento automático, es preciso editar un objeto de configuración especial (EndUserResources) y agregarlo al nombre de cada recurso donde se desee que el usuario pueda descubrir cuentas.

Para habilitar el descubrimiento automático

1. Edite el objeto de configuración “EndUserResources”.

   Encontrará instrucciones para editar objetos de configuración de Identity Manager en Edición de objetos de configuración de Identity Manager.

2. Añada <String>Recurso </String>, donde Recurso es el nombre de un objeto de recurso del depósito, como muestra la Figura 3–10.

   Figura 3–10 Objeto de configuración “EndUserResources”

   
   

3. Pulse Guardar.

   Cuando el descubrimiento automático está habilitado, se muestra una nueva opción al usuario dentro de la ficha de menú Perfil en la interfaz de usuario de Identity Manager (Self Discovery). En este área, el usuario puede seleccionar un recurso en una lista y después introducir el ID de cuenta y una contraseña para vincular la cuenta a su identidad de Identity Manager.

   ---

   Nota –

   Los administradores también pueden utilizar la organización de usuario final para proporcionar a los usuarios finales acceso a los objetos de configuración de Identity Manager. Encontrará más información en La organización de usuario final.

   ---

Registro anónimo

La función de registro anónimo permite que un usuario que no tiene cuenta en Identity Manager la obtenga solicitándola.

Habilitación del registro anónimo

La función de registro anónimo está inhabilitada de manera predeterminada.

Para habilitar la función de registro anónimo

1. En la interfaz de administración, seleccione Configurar y después Interfaz de usuario.

2. En el área Registro anónimo, seleccione la opción Habilitar y pulse Guardar.

   Cuando un usuario inicie la sesión en la interfaz de usuario, la página de inicio de sesión mostrará el texto ¿Es la primera vez que es usuario? seguido de un vínculo Solicitar cuenta.

   ---

   Nota –

   La solicitud de cuenta con ¿Es la primera vez que es usuario? es personalizable. Encontrará información detallada en Sun Identity Manager Deployment Guide.

   ---

   Figura 3–11 Página de la interfaz de usuario con el vínculo "Solicitar cuenta" habilitado.

   
   

Configuración del registro anónimo

En el área Registro anónimo de la página de la interfaz de usuario, puede configurar las siguientes opciones para el proceso de registro anónimo:

• Plantilla de notificación. Especifique el ID de una plantilla de correo electrónico que servirá para enviar notificaciones al usuario solicitante de una cuenta.

• Exigir normas de privacidad. Si se selecciona, el usuario debe aceptar las normas de privacidad antes de solicitar una cuenta. Está activada de forma predeterminada.

• Habilitar validación. Si se selecciona, el usuario debe validar su cargo para poder solicitar una cuenta. Está activada de forma predeterminada.

• URL de inicio de proceso. Introduzca una dirección URL para especificar el flujo de trabajo que se utilizará en el proceso de registro anónimo.

• Habilitar notificaciones. Si se selecciona, se notificará al usuario por correo electrónico cuando se cree su cuenta.

• Dominio de correo electrónico. Introduzca el nombre del dominio de correo electrónico empleado para generar la dirección de correo electrónico del usuario.

Pulse Guardar cuando termine.

Proceso de registro de usuarios

Cuando un usuario inicia la sesión en la interfaz de usuario, puede solicitar una cuenta pulsando Solicitar cuenta en la página de inicio de sesión.

Identity Manager muestra las dos primeras páginas de registro, donde se solicita el nombre, los apellidos y el ID de empleado. Si el atributo Habilitar validación está definido en sí (valor predeterminado), esta información deberá validarse para que el usuario pueda pasar a la siguiente página.

Las reglas verifyFirstname, verifyLastname, verifyEmployeeId y verifyEligibility de EndUserLibrary validan la información de cada atributo.

Quizá tenga que modificar alguna de estas reglas. En concreto, conviene modificar la regla que verifica el ID de empleado de manera que se use una llamada a servicios web o una clase de Java para comprobar la información.

Si el atributo Habilitar validación está inhabilitado, no aparecerá la página de registro inicial. En tal caso, deberá modificar el formulario de registro de usuario final anónimo para que el usuario puede introducir información que normalmente se captura en el formulario de validación inicial.

A partir de la información suministrada en la página Registro, Identity Manager genera:

• Un ID de cuenta (siguiendo la convención: inicial de nombre, inicial de apellido, ID de cuenta).

• Una dirección de correo electrónico con el formato:

  Nombre. Apellido@DominioCorreoE

  Donde DominioCorreoE es el dominio establecido por el atributo Dominio de correo electrónico en la configuración de registro anónimo.

• El atributo de administrador (idmManager). Este atributo puede definirse modificando la regla EndUserRuleLibrary:getIdmManager. El administrador definido de manera predeterminada es Configurator. El administrador designado como "Manager" debe aprobar la solicitud del usuario para que se pueda abastecer su cuenta.

• El atributo de organización. Este atributo puede definirse personalizando la regla EndUserRuleLibrary:getOrganization. Los usuarios se asignan de manera predeterminada a la organización superior de la jerarquía (“Top”).

Si la información suministrada por el usuario en la página Registro se valida correctamente, Identity Manager presenta al usuario la segunda página de registro. En ella deberá introducir una contraseña y su confirmación. Si el atributo Exigir aceptación de directiva de privacidad está definido en sí, el usuario también deberá seleccionar una opción para aceptar los términos de la directiva de privacidad.

Cuando el usuario hace clic en Registrarse, Identity Manager presenta una página de confirmación. Si el atributo Habilitar notificaciones está definido en sí, la página indica que el usuario recibirá una notificación por correo electrónico cuando se haya creado la cuenta.

La cuenta se crea una vez terminado el proceso estándar de creación de usuario (que incluye las aprobaciones exigidas por el atributo idmManager y la configuración de la directiva).