Creación de usuarios y trabajo con cuentas de usuario

En la página Cuentas/Lista de usuarios de la interfaz de administración se pueden efectuar diversas acciones con los siguientes objetos del sistema:

• Administradores y usuarios. Ver, crear, editar, mover, renombrar, desabastecer, habilitar, inhabilitar, actualizar, desbloquear, eliminar, anular asignación, desvincular y auditar.

  Para obtener más información sobre la creación y edición de cuentas de administrador, consulte Conceptos de administración de Identity Manager .

• Organizaciones. Crear, editar, actualizar y realizar acciones de usuario con afiliados a una organización.

  Para obtener más información sobre las organizaciones, consulte Qué son las organizaciones en Identity Manager.

• Uniones de directorios. Crear un conjunto de organizaciones relacionadas jerárquicamente para reflejar un conjunto real de contenedores jerárquicos de recursos de directorio.

  Para obtener más información sobre las uniones de directorios, consulte Uniones de directorios y organizaciones virtuales.

Habilitación de diagramas de proceso

Los diagramas de proceso representan el flujo de trabajo que sigue Identity Manager al crear o actuar de cualquier otra forma en una cuenta de usuario. Cuando están habilitados, los diagramas de proceso aparecen en la página de resultados o de resumen de tareas que se crea una vez que Identity Manager completa la tarea.

En Identity Manager versión 8.0, los diagramas de proceso se inhabilitaron tanto para las instalaciones nuevas como de actualización.

Para habilitar el uso de diagramas de proceso en Identity Manager

1. Abra el objeto de configuración del sistema para editarlo mediante el procedimiento que se explica en Edición de objetos de configuración de Identity Manager.

2. Busque el siguiente elemento XML:

   <Attribute name=’disableProcessDiagrams’> <Boolean>true</Boolean> </Attribute>

3. Cambie el valor true a false.

4. Pulse Guardar.

5. Reinicie el servidor o servidores para que el cambio surta efecto.

   Los diagramas de proceso también pueden habilitarse en la interfaz de usuario final, pero sólo si antes se han habilitado en la interfaz de administración siguiendo los pasos antes descritos. Encontrará más información en el apartado Para habilitar los diagramas de proceso en la interfaz de usuario final.

Para crear un usuario en Identity Manager

Puede crear y administrar usuarios en la ficha Cuentas de la barra de menús de la interfaz de administración.

1. En la interfaz de administración, seleccione Cuentas.

2. Para crear un usuario en una organización determinada, seleccione la organización y después elija Nuevo usuario en la lista Nuevas acciones.

   Para crear una cuenta de usuario en la organización principal, elija Nuevo usuario en la lista Nuevas acciones.

3. Rellene la información de las fichas o secciones siguientes.

   • Identidad 36. Nombre, organización, contraseña y otros detalles. (Consulte Ficha Identidad.)

   • Recursos. Asignaciones de recursos individuales y de grupos de recursos, así como exclusiones de recursos. (Consulte Ficha Recursos.)

   • Roles. Asignaciones de roles. Para obtener más información sobre los roles, consulte Conceptos y administración de roles. Encontrará instrucciones para rellenar la ficha Roles dentro de Para asignar roles a un usuario.

   • Seguridad. Roles de administrador, organizaciones controladas y capacidades. También, valores de configuración de formularios de usuario y directiva de cuentas. (Consulte Ficha Seguridad.)

   • Delegaciones 110. Delegaciones de elementos de trabajo. (Consulte Ficha Delegaciones.)

   • Atributos. Atributos específicos para los recursos asignados. (Consulte Ficha Atributos.)

   • Cumplimiento. Seleccione los formularios de autenticación y remediación para la cuenta de usuario. El área de cumplimiento también sirve para especificar las directivas de auditoría asignadas a la cuenta de usuario, incluidas las que se aplican al asignar la organización del usuario. Muestra el estado actual de los análisis, las infracciones y las exenciones de directivas, e incluye información sobre el último análisis de directivas de auditoría del usuario. (Consulte Ficha Atributos.)

     Tenga en cuenta que las opciones disponibles en un área pueden depender de las selecciones efectuadas en otra.

   Para plasmar mejor sus procesos de negocio o capacidades de administración concretas, le conviene personalizar el formulario de usuario específicamente para su entorno. Para obtener más información sobre la personalización de formularios de usuario, consulte Customizing Forms de Sun Identity Manager Deployment Reference.

4. Cuando termine, guarde la cuenta.

   Hay dos opciones para guardar una cuenta de usuario:

   • Guardar. Guarda la cuenta de usuario. Si asigna muchos recursos a la cuenta, este proceso puede alargarse.

   • Guardar en segundo plano. Este proceso guarda una cuenta de usuario mediante una tarea en segundo plano, lo que le permite seguir trabajando en Identity Manager. Para cada proceso de guardar que se está realizando, aparece un indicador de estado de la tarea en las páginas Cuentas, Buscar usuario, Resultados e Inicio.

     En la tabla siguiente se describen los indicadores de estado, que le ayudan a supervisar el progreso del proceso de guardar.

   Indicador de estado	Estado
   	El proceso de guardar se está realizando.
   	El proceso de guardar está suspendido. A menudo, esto significa que el proceso está esperando su aprobación.
   	El proceso se ha completado satisfactoriamente. Esto no significa que el usuario se haya guardado con éxito, sino que el proceso se ha completado sin errores.
   	El proceso aún no ha comenzado.
   	El proceso se ha completado con uno o varios errores.

   Si coloca el ratón sobre el icono de usuario que aparece en el indicador de estado, verá información sobre el proceso de guardar en segundo plano.

   ---

   Nota –

   Si se ha configurado la creación, al crear un usuario se creará un elemento de trabajo que puede verse en la ficha Aprobaciones. Al aprobar dicho elemento se anulará la fecha de creación y se creará la cuenta. Si se rechaza el elemento, se cancelará la creación de la cuenta. Para obtener más información sobre la configuración de la creación, consulte Configuración de la ficha Creación y eliminación.

   ---

Creación de varias cuentas de recursos para un usuario

Identity Manager permite asignar varias cuentas de recursos a un mismo usuario. Para ello, ofrece la posibilidad de definir varios tipos de cuentas de recursos o tipos de cuentas para cada recurso. Deben crearse los tipos de cuentas de recursos necesarios en consonancia con cada tipo de cuenta funcional del recurso. Por ejemplo, superusuario de AIX o administrador de negocio de AIX.

¿Por qué asignar varias cuentas por usuario y recurso?

A veces, un usuario de Identity Manager puede necesitar más de una cuenta en un recurso. Un usuario puede tener diversas funciones de trabajo relacionadas con el recurso. Por ejemplo, puede ser a la vez usuario y administrador del recurso. La experiencia aconseja utilizar cuentas distintas para cada función. De esta manera, si una cuenta entraña riesgo, aún sigue siendo seguro el acceso a las otras cuentas.

Configuración de tipos de cuentas

Para que un recurso admita varias cuentas para un mismo usuario, primero hay que definir los tipos de cuentas de recursos en Identity Manager. Use el Asistente de recursos para definir tipos de cuentas de recursos para un recurso. Encontrará información al respecto en Administración de la lista de recursos.

Debe habilitar y configurar los tipos de cuentas de recursos antes de asignarlos a los usuarios.

Asignación de tipos de cuentas

Una vez definidos los tipos de cuentas, es posible asignarlos a un recurso. Identity Manager trata cada asignación de un tipo de cuenta como una cuenta distinta. En consecuencia, cada asignación concreta en un rol puede tener un conjunto de atributos diferente.

Como en el caso de una sola cuenta por recurso, todas las asignaciones de un tipo específico generan una única cuenta, con independencia del número de asignaciones.

Aunque es posible asignar usuarios a un número indeterminado de tipos distintos de cuentas en un recurso, a cada usuario se le puede asignar una sola cuenta de un tipo específico en un recurso. La excepción a esta regla es el tipo predefinido predeterminado. Los usuarios pueden tener cualquier número de cuentas del tipo predeterminado en un recurso. Sin embargo, ello no es recomendable, porque causa ambigüedad al referenciar las cuentas en los formularios y las revisiones.

Búsqueda y visualización de cuentas de usuario

Con la función de búsqueda de Identity Manager puede buscar cuentas de usuario. Una vez que ha introducido y seleccionado los parámetros de búsqueda, Identity Manager busca todas las cuentas que coincidan con sus criterios de selección.

Para buscar cuentas, elija Cuentas -> Buscar usuarios en la barar de menús. Puede buscar cuentas con uno o varios de estos tipos de búsqueda:

• Información de cuenta (como nombre de usuario, dirección de correo electrónico, nombre o apellidos). Estas opciones dependen de la implementación específica de Identity Manager en su empresa.

• Administrador del usuario. El nombre de usuario del administrador aparece entre paréntesis si no coincide con una cuenta existente en Identity Manager.

• Estado de cuenta de recursos. Las opciones incluyen:

  • Inhabilitado. El usuario no puede acceder a ninguna cuenta de recursos asignada o de Identity Manager.

  • Parcialmente inhabilitado. El usuario no puede acceder a una o más cuentas de recursos asignadas.

  • Habilitado. El usuario tiene acceso a todas las cuentas de recursos asignadas.

• Recurso asignado. Las opciones incluyen:

  • Rol (consulte Para buscar usuarios asignados a un rol específico)

  • Organización

  • Control organizativo

  • Capacidades

  • Rol de administrador

• Estado de cuenta de usuario. Las opciones incluyen:

  • Bloqueado. La cuenta de usuario está bloqueada porque se ha superado el máximo número permitido de intentos fallidos de iniciar de sesión con contraseña o pregunta.

  • No bloqueado. El acceso a la cuenta de usuario no está restringido.

• Estado de actualización. Las opciones incluyen:

  • no. Cuentas de usuario que se no han actualizado en ningún recurso.

  • alguno. Cuentas de usuario que se han actualizado al menos en un recurso asignado, pero no en todos.

  • todos. Cuentas de usuario que se han actualizado en todos los recursos asignados.

La lista de resultados de la búsqueda muestra todas las cuentas que coinciden con los criterios de búsqueda.

En la página de resultados puede:

• Seleccionar cuentas de usuario para editarlas. Para editar una cuenta, haga clic en la lista de resultados de la búsqueda o selecciónela en la lista y después elija Editar.

• Realizar acciones con una o más cuentas (como habilitar, inhabilitar, desbloquear, eliminar, actualizar o cambiar/reinicializar contraseñas). Para efectuar una acción, seleccione una o varias cuentas en la lista de resultados de la búsqueda y después haga clic en la acción adecuada.

• Crear cuentas de usuario.

  

Edición de usuarios

En esta sección se explica cómo ver, editar, reasignar y cambiar de nombre las cuentas de usuario.

Para ver cuentas de usuario

Utilice la página Ver usuario y proceda como sigue para ver información de cuentas.

1. En la interfaz de administración, seleccione Cuentas en el menú.

   Aparece la página Lista de usuarios.

2. Marque la casilla adjunta al usuario cuya cuenta desea ver.

3. En el menú desplegable Acciones de usuario, seleccione Ver.

   Aparece la página Ver usuario con un subconjunto de información sobre la identidad del usuario, asignaciones, seguridad, delegaciones, atributos y cumplimiento. La información de la página Ver usuario es de sólo lectura, no puede editarse.

4. Haga clic en Cancelar para regresar a la lista de cuentas.

Para editar cuentas de usuario

Utilice la página Editar usuario y proceda como sigue para editar información de cuentas.

1. En la interfaz de administración, seleccione Cuentas en el menú.

2. Marque la casilla adjunta al usuario cuya cuenta desea editar.

3. En el menú desplegable Acciones de usuario, seleccione Editar.

4. Realice las modificaciones y guárdelas.

   Identity Manager muestra la página de actualización de cuentas de recursos. En ella aparecen las cuentas de recursos asignadas al usuario y los cambios que se aplicarán a la cuenta.

5. Seleccione Actualizar todas las cuentas de recursos para aplicar las modificaciones a todos los recursos asignados, o bien seleccione una, ninguna o varias cuentas de recursos asociadas al usuario para actualizarlas.

6. Vuelva a pulsar Guardar para terminar de editar o haga clic en Regresar a Edición para efectuar más cambios.

   Figura 3–2 Editar usuario (actualización de cuentas de recursos)

   
   

Reasignación de usuarios a otra organización

La acción de mover permite suprimir uno o varios usuarios de una organización y reasignarlos, o moverlos, a otra.

Para mover un usuario

1. En la interfaz de administración, seleccione Cuentas en el menú.

   Aparece la página Lista de usuarios.

2. Marque la casilla adjunta al usuario o usuarios que desea mover.

3. En el menú desplegable Acciones de usuario, seleccione Mover.

   Aparece la página de tareas Cambiar organización de usuarios.

4. Seleccione la organización a la que desea reasignar el usuario y haga clic en Iniciar.

Cambio de nombre de usuarios

Cambiar el nombre de una cuenta en un recurso suele ser complicado. Por este motivo, Identity Manager ofrece una función específica para renombrar una cuenta de usuario de Identity Manager o una o varias cuentas de recursos asociadas al usuario.

Para utilizar la función de cambio de nombre, seleccione una cuenta de usuario en la lista y, a continuación, elija la opción Cambiar nombre en la lista Acciones de usuario.

En la página Cambiar nombre de usuario puede cambiar el nombre de la cuenta de usuario, nombres de cuentas de recursos asociadas y atributos de cuentas de recursos asociadas a la cuenta del usuario en Identity Manager.

---

Nota –

Algunos tipos de recursos no se pueden renombrar.

---

Como muestra la figura siguiente, el usuario tiene asignado un recurso de Active Directory.

Durante el proceso de cambio de nombre puede modificar:

• El nombre de la cuenta de usuario de Identity Manager

• El nombre de la cuenta de recurso de Active Directory

• El atributo de recurso de Active Directory (nombre completo)

  

Actualización de recursos asociados a una cuenta

En una acción de actualización, Identity Manager actualiza los recursos asociados a una cuenta de usuario. Las actualizaciones efectuadas desde el área de cuentas envían a los recursos seleccionados todos los cambios pendientes que se habían realizado previamente para un usuario.

Esta situación puede producirse cuando:

• Un recurso no estaba disponible cuando se efectuaron actualizaciones.

• En un rol o grupo de recursos se ha realizado un cambio que debe propagarse a todos los usuarios asignados a dicho grupo. En tal caso, debe utilizar la página Buscar usuario para encontrar los usuarios y después seleccionar los usuarios a los que desea aplicar la acción de actualización.

Hay las siguientes opciones al actualizar la cuenta de usuario:

• Elegir si las cuentas de recursos asignadas deben recibir la información actualizada.

• Actualizar todas las cuentas de recursos o seleccionar cuentas individuales en una lista.

Actualización de recursos en una sola cuenta de usuario

Para actualizar una cuenta de usuario, selecciónela en la lista y, a continuación, elija Actualizar en la lista Acciones de usuario.

En la página de actualización de cuentas de recursos, elija uno o varios recursos para actualizarlos, o bien seleccione Actualizar todas las cuentas de recursos para actualizar todas las cuentas de recursos asignadas. Cuando termine, pulse Aceptar para comenzar el proceso de actualización. Otra posibilidad es seleccionar Guardar en segundo plano para realizar la acción como un proceso en segundo plano.

Una página de confirmación corrobora los datos enviados a cada recurso.

La Figura 3–3 muestra la página de actualización de cuentas de recursos.

Figura 3–3 Actualizar cuentas de recurso

Actualización de recursos en varias cuentas de usuario

Es posible actualizar dos o más cuentas de usuario de Identity Manager simultáneamente. Seleccione varias cuentas de usuario en la lista y, a continuación, elija Actualizar en la lista Acciones de usuario.

---

Nota –

Al actualizar varias cuentas de usuario no es posible seleccionar cuentas de recursos asignadas individualmente en cada cuenta de usuario. En vez de ello, este proceso actualiza todos los recursos en todas las cuentas de usuario seleccionadas.

---

Eliminación de cuentas de usuario de Identity Manager

En Identity Manager, una cuenta de usuario de Identity Manager se elimina igual que una cuenta de recursos remota. Siga los pasos para eliminar una cuenta de recursos, pero seleccionando la cuenta de Identity Manager en lugar de una cuenta de recursos remota.

---

Nota –

Si un usuario tiene elementos de trabajo pendientes propios o delegados a otro usuario, Identity Manager no dejará que se elimine la cuenta del usuario de Identity Manager. Los elementos de trabajo delegados se deben resolver o reenviar a otro usuario para poder eliminar la cuenta del usuario en Identity Manager.

---

Para obtener más información, consulte Eliminación de recursos de una sola cuenta de usuario y Eliminación de recursos de varias cuentas de usuario.

Eliminación de recursos de cuentas de usuario

Identity Manager ofrece diversas operaciones de eliminación que sirven para eliminar el acceso a una cuenta de usuario de Identity Manager de un recurso:

• Eliminar. Para cada recurso seleccionado, Identity Manager elimina la cuenta del usuario en el recurso remoto. (Para eliminar un usuario de Identity Manager, seleccione Identity Manager como recurso.)

  • Las cuentas de recursos eliminadas se desvinculan automáticamente del usuario de Identity Manager.

  • En el caso de las cuentas de recursos eliminadas, no se anula la asignación del usuario. El recurso permanece asignado al usuario salvo que se seleccione también la acción de anulación de asignación.

• Anular asignación. Identity Manager suprime cada recurso seleccionado de la lista de recursos asignados del usuario.

  • Las cuentas de recursos no asignadas se desvinculan automáticamente del usuario de Identity Manager.

  • La cuenta de usuario en el recurso remoto no se elimina. La cuenta permanece intacta salvo que se seleccione también la acción de eliminación.

• Desvincular. Para cada recurso seleccionado, la información de cuenta de recursos del usuario se suprime de Identity Manager.

  • La cuenta del usuario en el recurso remoto permanece intacta salvo que se seleccione también la acción de eliminación.

  • El recurso permanece en la lista de recursos asignados del usuario salvo que se seleccione también la acción de anulación de asignación.

  • si desvincula una cuenta asignada indirectamente al usuario mediante un rol o un grupo de recursos, el vínculo puede restaurarse al actualizar el usuario.

Aunque el desabastecimiento se incluye como una acción de usuario en los menús de la página Lista de usuarios, en realidad sólo existen tres acciones de eliminación en Identity Manager: eliminar, anular asignación y desvincular.

Para desabastecer un recurso remoto, aplique las acciones de eliminación y anulación de asignación al recurso.

Eliminación de recursos de una sola cuenta de usuario

Siga el procedimiento indicado a continuación para realizar una operación de eliminación con un único usuario de Identity Manager. Si trabaja con una única cuenta de usuario a la vez, puede especificar distintas operaciones de eliminación, anulación de asignación y/o desvinculación para diferentes cuentas de recursos.

Para empezar una acción de eliminación, anulación de asignación o desvinculación en una sola cuenta de usuario

1. En la interfaz de administración, seleccione Cuentas en el menú principal.

   Aparece la página Lista de usuarios en la ficha Listar cuentas.

2. Seleccione un usuario y haga clic en el menú desplegable Acciones de usuario.

3. Elija en la lista cualquiera de las acciones de eliminación (Eliminar, Anular asignación o Desvincular).

   Identity Manager muestra la página de eliminación de cuentas de recursos (Figura 3–4).

4. Rellene el formulario. Encontrará más información sobre las acciones Eliminar, Anular asignación y Desvincular en Eliminación de recursos de cuentas de usuario.

5. Haga clic en Aceptar.

   La Figura 3–4 muestra la página de eliminación de cuentas de recursos. En la captura de pantalla, el usuario jrenfro tiene una sola cuenta activa en un recurso remoto (Simulated Resource). Se ha seleccionado la acción Eliminar, lo que significa que, una vez enviado el formulario, se eliminará la cuenta de jrenfro en el recurso. Como las cuentas eliminadas se desvinculan automáticamente, la información de cuentas de este recurso desaparecerá de Identity Manager. El recurso "Simulated Resource" permanecerá asignado al usuario jrenfro, porque no se ha seleccionado la acción de anulación de asignación.

   Para eliminar la cuenta de Identity Manager de jrenfro, es preciso seleccionar la acción Eliminar en Identity Manager.

   Figura 3–4 Página de eliminación de cuentas de recursos

   
   

Eliminación de recursos de varias cuentas de usuario

Es posible realizar una operación de eliminación con más de una cuenta de usuario de Identity Manager simultáneamente, pero la operación de eliminación seleccionada sólo puede aplicarse a todas las cuentas de recursos del usuario.

Las operaciones de eliminación también pueden efectuarse mediante la función Acciones masivas de cuenta de Identity Manager. Consulte Comandos Delete, DeleteAndUnlink, Disable, Enable, Unassign y Unlink.

Para empezar una acción de eliminación, anulación de asignación o desvinculación en varias cuentas de usuario

1. En la interfaz de administración, seleccione Cuentas en el menú principal.

   Aparece la página Lista de usuarios en la ficha Listar cuentas.

2. Seleccione uno o más usuarios y haga clic en el menú desplegable Acciones de usuario.

3. Elija en la lista cualquiera de las acciones de eliminación (Eliminar, Anular asignación o Desvincular).

   Identity Manager muestra la página Confirmar si Eliminar, Anular asignación o Desvincular (Figura 3–5).

4. Especifique la acción que desea realizar.

   Las opciones incluyen:

   • Eliminar sólo el usuario. Elimina las cuentas de Identity Manager de los usuarios. Esta opción no elimina ni anula la asignación de las cuentas de recursos de los usuarios.

   • Eliminar el usuario y las cuentas de recursos. Elimina las cuentas de Identity Manager de los usuarios y todas las cuentas de recursos de los usuarios.

   • Eliminar sólo las cuentas de recursos. Elimina todas las cuentas de recursos de los usuarios. Esta opción no anula la asignación de las cuentas de recursos ni elimina las cuentas de Identity Manager de los usuarios.

   • Eliminar las cuentas de recursos y anular la asignación de los recursos asignados directamente desde el usuario. Elimina y anula la asignación de todas las cuentas de recursos de los usuarios, pero no elimina las cuentas de Identity Manager de los usuarios.

   • Anular asignación de las cuentas de recursos asignadas directamente desde el usuario. Anula la asignación de las cuentas de recursos asignadas directamente. Esta opción no elimina las cuentas de los usuarios en los recursos remotos. Las cuentas de recursos asignadas a través de un rol o un grupo de recursos no resultan afectadas.

   • Desvincular las cuentas de recursos del usuario. La información de cuenta de recursos del usuario se suprime de Identity Manager. No se eliminan ni se anula la asignación de las cuentas de los usuarios en los recursos remotos. Las cuentas asignadas indirectamente a los usuarios mediante un rol o un grupo de recursos pueden restaurarse al actualizar los usuarios.

5. Haga clic en Aceptar.

   La Figura 3–5 muestra la página Confirmar si Eliminar, Anular asignación o Desvincular. En la parte superior de la página aparecen las seis acciones disponibles que pueden realizarse para varios usuarios. En la parte inferior de la página aparecen los usuarios que resultarán afectados por la acción seleccionada.

   Figura 3–5 Página Confirmar si Eliminar, Anular asignación o Desvincular

   
   

Cambio de contraseñas de usuario

A todos los usuarios de Identity Manager se les asigna una contraseña. Una vez establecida, la contraseña de usuario de Identity Manager se utiliza para sincronizar las contraseñas de las cuentas de recursos del usuario. Si no es posible sincronizar una o varias contraseñas de cuentas de recursos (por ejemplo, para cumplir directivas de contraseñas obligatorias), puede definirlas individualmente.

---

Nota –

Encontrará información sobre las directivas de contraseñas de cuenta y sobre la autenticación de usuarios en la sección Administración de la seguridad de las cuentas y los privilegios.

---

Cambio de contraseñas en la página Lista de usuarios

Puede cambiar la contraseña de una cuenta de usuario con la acción Modificar contraseña de usuario de la página Lista de usuarios (Cuentas -> Listar cuentas). Siga estos pasos:

1. En la interfaz de administración, seleccione Cuentas en el menú principal.

   Aparece la página Lista de usuarios en la ficha Listar cuentas.

2. Seleccione un usuario y haga clic en el menú desplegable Acciones de usuario.

3. Para cambiar la contraseña, seleccione Cambiar contraseña.

   Aparece la página Modificar contraseña de usuario.

4. Escriba la contraseña nueva y pulse el botón Cambiar contraseña.

Para cambiar contraseñas con el menú principal

Siga estos pasos para cambiar la contraseña de una cuenta de usuario desde el menú principal:

1. En la interfaz de administración, seleccione Contraseñas en el menú principal.

   De manera predeterminada, aparece la página Modificar contraseña de usuario.

   Figura 3–6 Modificar contraseña de usuario

   
   

2. Seleccione un término de búsqueda (por ejemplo, nombre de cuenta, dirección de correo electrónico, apellidos o nombre) y un tipo de búsqueda (comienza con, termina con o es).

3. Introduzca uno o varios caracteres de un término de búsqueda en el campo de entrada y, a continuación, haga clic en Buscar. Identity Manager devuelve una lista de todos los usuarios cuyos ID contienen los caracteres especificados. Haga clic para seleccionar un usuario y volver a la página Modificar contraseña de usuario.

4. Introduzca y confirme la información de la nueva contraseña y después haga clic en Cambiar contraseña para modificar la contraseña de usuario en la lista de cuentas de recursos. Identity Manager muestra un diagrama de flujo de trabajo con la secuencia de las acciones realizadas para cambiar la contraseña.

Reinicialización de contraseñas de usuario

Para reinicializar las contraseñas de las cuentas de usuario de Identity Manager se sigue un proceso similar al de cambio de contraseña. Lo que varía en el proceso de reinicialización es que no se especifica una contraseña nueva. En vez de ello, Identity Manager genera aleatoriamente una contraseña nueva (según las directivas de selección y de contraseñas) para la cuenta de usuario, las cuentas de recursos o una combinación de éstas.

La directiva asignada al usuario (ya sea directamente o a través de su organización) controla diversas opciones de reinicialización, entre ellas:

• La frecuencia con que se puede reinicializar una contraseña sin que se inhabilite la reinicialización.

• Dónde aparece o a dónde se envía la nueva contraseña.

  Según la Opción de notificación de reinicialización seleccionada para el rol, Identity Manager enviará la nueva contraseña al usuario por correo electrónico o se la mostrará en la página Resultados al administrador de Identity Manager que ha solicitado la reinicialización.

Reinicialización de contraseñas en la página Lista de usuarios

La acción de usuario Reinicializar contraseña está disponible en la página Lista de usuarios (Cuentas > Listar cuentas).

Siga estos pasos para reinicializar una contraseña en la página Lista de usuarios:

1. En la interfaz de administración, seleccione Cuentas en el menú principal. Aparece la página Lista de usuarios en la ficha Listar cuentas.

2. Seleccione un usuario y haga clic en el menú desplegable Acciones de usuario.

3. Para reinicializar la contraseña, seleccione Reinicializar contraseña.

   Aparece la página Reinicializar contraseña de usuario.

4. Pulse el botón Reinicializar contraseña.

Para caducar contraseñas aplicando la directiva de cuentas de Identity Manager

Cuando se reinicializa una contraseña de usuario, la contraseña caduca inmediatamente de manera predeterminada. Por tanto, la primera vez que los usuarios inician una sesión tras reinicializar la contraseña, han de elegir una contraseña nueva para obtener acceso. Para anular este comportamiento predeterminado, puede editar el formulario de reinicialización de contraseña de usuario, de modo que la contraseña del usuario caducará cuando lo estipule la directiva de caducidad de contraseñas establecida en la directiva de cuentas de Identity Manager asociada a ese usuario.

Proceda como sigue para anular el requisito de cambio de contraseña predeterminado:

1. Edite el formulario de reinicialización de contraseña de usuario y defina en false este valor:

   resourceAccounts.currentResourceAccounts[Lighthouse].expirePassword

2. Use la opción Reinicializar de la directiva de cuentas de Identity Manager para especificar cuándo debe caducar una contraseña.

   Los valores de configuración incluyen:

   • permanente. Identity Manager aplica el periodo especificado en el atributo de directiva passwordExpiry para calcular a partir de la fecha actual en qué fecha debe reinicializarse la contraseña y después asigna la fecha resultante al usuario. Si no se especifica ningún valor, la contraseña cambiada o reinicializada no caduca nunca.

   • temporal. Identity Manager aplica el periodo especificado en el atributo de directiva tempPasswordExpiry para calcular a partir de la fecha actual en qué fecha debe reinicializarse la contraseña y después asigna la fecha resultante al usuario. Si no se especifica ningún valor, la contraseña cambiada o reinicializada no caduca nunca. Si tempPasswordExpiry se define en el valor 0, la contraseña caduca inmediatamente.

     El atributo tempPasswordExpiry sólo se aplica cuando se reinicializan contraseñas (cambian aleatoriamente). No se aplica a las modificaciones de contraseñas.

Inhabilitación, habilitación y desbloqueo de cuentas de usuario

En esta sección se explica cómo inhabilitar y habilitar cuentas de usuario de Identity Manager. También se indica cómo ayudar a los usuarios cuyas cuentas de Identity Manager han quedado bloqueadas.

Para inhabilitar cuentas de usuario

Al inhabilitar una cuenta de usuario, se modifica esa cuenta para que el usuario ya no pueda iniciar la sesión en Identity Manager ni en ninguna cuenta de recursos asignada.

Recuerde que los administradores pueden inhabilitar cuentas de usuario con la interfaz de administración, pero no pueden bloquearlas. Las cuentas sólo se bloquean cuando el usuario supera el número permitido de intentos fallidos de inicio de sesión especificados en la directiva de cuentas de Identity Manager.

---

Nota –

Si un recurso asignado carece de soporte nativo para inhabilitar cuentas, pero sí permite cambiar contraseñas, es posible configurar Identity Manager para inhabilitar cuentas de usuario en dicho recurso asignando nuevas contraseñas generadas aleatoriamente.

---

Siga estos pasos para asegurarse de que esta funcionalidad actúa correctamente:

1. Abra la página “Parámetros de Identity System” en el asistente de edición de recursos. (Dentro de Administración de recursos encontrará instrucciones para iniciar el asistente.)

2. En la tabla “Configuración de funciones de cuenta”, compruebe si las funciones Contraseña e Inhabilitar no tienen marcada la columna ¿Inhabilitar? (Para mostrar la función Inhabilitar, seleccione Mostrar todas las funciones.)

   Si la función Mostrar Inhabilitar tiene marcada la columna ¿Inhabilitar?, no será posible inhabilitar las cuentas del recurso.

Inhabilitación de cuentas de usuario individuales

Para inhabilitar una cuenta de usuario, selecciónela en la lista de usuarios y, a continuación, elija Inhabilitar en el menú desplegable Acciones de usuario.

En la página Inhabilitar que aparece, seleccione las cuentas de recursos que desea inhabilitar y pulse Aceptar. Identity Manager muestra los resultados de inhabilitar la cuenta de usuario de Identity Manager y todas las cuentas de recursos asociadas. La lista de cuentas indica que la cuenta de usuario está inhabilitada.

Inhabilitación de varias cuentas de usuario

Es posible inhabilitar dos o más cuentas de usuario de Identity Manager simultáneamente. Seleccione varias cuentas de usuario en la lista y, a continuación, elija Inhabilitar en la lista Acciones de usuario.

---

Nota –

Al inhabilitar varias cuentas de usuario no es posible seleccionar cuentas de recursos asignadas individualmente en cada cuenta de usuario. En vez de ello, este proceso inhabilita todos los recursos en todas las cuentas de usuario seleccionadas.

---

Para habilitar cuentas de usuario en un recurso mediante reinicializaciones de contraseña

Al habilitar una cuenta de usuario se invierte el proceso de inhabilitación.

Según las opciones de notificación seleccionadas, Identity Manager también muestra la contraseña en la página de resultados del administrador.

El usuario puede reinicializar a continuación la contraseña (mediante el proceso de autenticación), o puede restablecerla un usuario con privilegios de administrador.

---

Nota –

Si un recurso asignado carece de soporte nativo para habilitar cuentas, pero sí permite cambiar contraseñas, es posible configurar Identity Manager para habilitar cuentas de usuario en dicho recurso reinicializando las contraseñas.

Siga estos pasos para asegurarse de que esta funcionalidad actúa correctamente:

---

1. Abra la página “Parámetros de Identity System” en el asistente de edición de recursos. (Dentro de Administración de recursos encontrará instrucciones para iniciar el asistente.)

2. En la tabla “Configuración de funciones de cuenta”, compruebe si las funciones Contraseña e Habilitar no tienen marcada ¿Inhabilitar?. columna ¿Inhabilitar? (Para mostrar la función Habilitar, seleccione Mostrar todas las funciones.)

   Si la función Habilitar tiene marcada la columna ¿Inhabilitar?, no será posible habilitar las cuentas del recurso.

Habilitación de cuentas de usuario individuales

Para habilitar una cuenta de usuario, selecciónela en la lista y, a continuación, elija Habilitar en la lista Acciones de usuario.

En la página Habilitar que aparece, seleccione las cuentas de recursos que desea habilitar y pulse Aceptar. Identity Manager muestra los resultados de habilitar la cuenta de Identity Manager y todas las cuentas de recursos asociadas.

Habilitación de varias cuentas de usuario

Es posible habilitar dos o más cuentas de usuario de Identity Manager simultáneamente. Seleccione varias cuentas de usuario en la lista y, a continuación, elija Habilitar en la lista Acciones de usuario.

---

Nota –

Al habilitar varias cuentas de usuario no es posible seleccionar cuentas de recursos asignadas individualmente en cada cuenta de usuario. En vez de ello, este proceso habilita todos los recursos en todas las cuentas de usuario seleccionadas.

---

Desbloqueo de cuentas de usuario

Los usuarios quedan bloqueados cuando fracasan sus intentos de iniciar una sesión en Identity Manager. Para quedar bloqueado, el usuario debe superar el número permitido de intentos fallidos de inicio de sesión especificados en la directiva de cuentas de Identity Manager.

---

Nota –

En la cifra de bloqueo de Identity Manager sólo cuentan los intentos de iniciar la sesión en una interfaz de usuario de Identity Manager (es decir, las interfaces de administración, usuario final, línea de comandos o API SPML). No se cuentan los intentos fallidos de inicio de sesión en cuentas de recursos, que tampoco bloquean la cuenta de Identity Manager del usuario.

---

La directiva de cuentas de Identity Manager establece el máximo número de intentos fallidos de iniciar la sesión con contraseña o pregunta que se pueden realizar.

• Los usuarios que superan el número máximo de intentos fallidos de inicio de sesión con contraseña quedan bloqueados en todas las interfaces de aplicación de Identity Manager, incluida la de olvido de contraseña.

• Los usuarios que superan el número máximo de intentos fallidos de inicio de sesión con pregunta pueden autenticarse en todas las interfaces de aplicación de Identity Manager, excepto la de olvido de contraseña.

Tentativas de contraseña de inicio de sesión no satisfactorias

Los usuarios que tienen bloqueado el acceso a Identity Manager debido a un exceso de intentos fallidos de inicio de sesión con contraseña no pueden iniciar la sesión hasta que un administrador desbloquee la cuenta o hasta que caduque el bloqueo.

• Un administrador puede desbloquear una cuenta si tiene control administrativo sobre la organización a la que está afiliado el usuario y posee la capacidad Desbloquear usuario.

• Si se define un valor de tiempo de espera de bloqueo en la directiva de cuentas de Identity Manager, el bloqueo de una cuenta acabará caducando. El valor de tiempo de espera de bloqueo para los intentos fallidos de inicio de sesión con contraseña está determinado por el valor de "El bloqueo de cuenta debido a fallos de inicio de sesión con contraseña caduca en".

Tentativas de pregunta de inicio de sesión no satisfactorias

Los usuarios que tienen bloqueado el acceso a la interfaz de olvido de contraseña debido a un exceso de intentos fallidos de inicio de sesión con pregunta no pueden iniciar la sesión en dicha interfaz hasta que un administrador desbloquee la cuenta, o hasta que el usuario bloqueado (o un usuario con capacidades adecuadas) cambie o reinicialice la contraseña del usuario), o hasta que caduque el bloqueo.

• Un administrador puede desbloquear una cuenta si tiene control administrativo sobre la organización a la que está afiliado el usuario y posee la capacidad Desbloquear usuario.

• Si se define un valor de tiempo de espera de bloqueo en la directiva de cuentas de Identity Manager, el bloqueo de una cuenta acabará caducando. El valor de tiempo de espera de bloqueo para los intentos de inicio fallidos de sesión con pregunta está determinado por el valor de "El bloqueo de cuenta debido a fallos de inicio de sesión con pregunta caduca en".

Un administrador con capacidades adecuadas puede aplicar las operaciones siguientes al estado de bloqueo de un usuario.

• Actualizar (incluido el reabastecimiento de recursos).

• Cambiar o reinicializar la contraseña.

• Inhabilitar o habilitar.

• Renombrar

• Desbloquear

Para desbloquear cuentas, seleccione una o varias cuentas de usuario en la lista y, a continuación, elija Desbloquear usuarios en la lista Acciones de usuario o Acciones de organización.