En esta sección se tratan acciones que pueden realizarse para proporcionar acceso seguro a las cuentas de usuario y para administrar los privilegios de usuario en Identity Manager.
Las directivas de contraseñas de recursos establecen las limitaciones de las contraseñas. Las directivas de contraseñas sólidas elevan la seguridad y contribuyen a proteger los recursos frente a los intentos de inicio de sesión no autorizados. Puede editar una directiva de contraseñas para definirla o seleccionar valores con una gama de características.
Para empezar a trabajar con directivas de contraseñas, elija Seguridad en el menú principal y después Directivas.
Para editar una directiva de contraseñas, selecciónela en la lista Directivas. Para crear una directiva de contraseñas, elija Directiva de calidad de cadena en la lista de opciones Nuevo.
Para obtener más información sobre las directivas, consulte Configuración de directivas de Identity Manager.
Las directivas de contraseñas son el tipo predeterminado de directivas de calidad de cadena. Tras asignarle nombre y una descripción opcional a la nueva directiva, seleccione las opciones y los parámetros de las reglas que la definen.
Las reglas sobre longitud determinan el número mínimo y máximo de caracteres que puede tener una contraseña. Seleccione esta opción para habilitar la regla y después introduzca un valor límite para la regla.
Elija uno de los botones de tipo de directiva. Si elige la opción Otra, deberá introducir el tipo en el campo de texto suministrado.
Las reglas de tipo de carácter determinan el número mínimo y máximo de caracteres de determinados tipos y cifras que pueden incluirse en una contraseña.
Ello incluye:
El número mínimo y máximo de caracteres alfabéticos, numéricos, mayúsculas, minúsculas y caracteres especiales.
El número mínimo y máximo de caracteres numéricos incrustados.
El número máximo de caracteres repetidos y secuenciales.
El número mínimo de caracteres alfabéticos y numéricos iniciales.
Introduzca una cifra límite para cada regla de tipo de carácter, o bien indique Todos para especificar que todos los caracteres deben ser de ese tipo.
Número mínimo de reglas de tipo de carácter.
También es posible definir el número mínimo de reglas de tipo de carácter que deben aprobar la validación, como ilustra la Figura 3–7. El número mínimo que se debe aprobar es uno. El máximo no puede superar el número de reglas de tipo de carácter que se han habilitado.
Para definir en el valor máximo el número mínimo que se debe aprobar, introduzca Todos.
Existe la posibilidad de comprobar las contraseñas con las palabras de un diccionario para protegerse frente a los ataques de diccionario sencillos.
Para poder usar esta opción es preciso:
Configurar el diccionario
Cargar palabras del diccionario
El diccionario se configura en la página Directivas. Para obtener más información sobre la configuración del diccionario, consulte ¿Qué es una directiva de diccionario?.
Puede prohibir la reutilización de las contraseñas que se han usado justo antes de una contraseñas recién seleccionada.
En el campo Número de contraseñas anteriores que no pueden ser reutilizadas, introduzca un número mayor que 1 para prohibir la reutilización de las contraseñas actual y anterior. Por ejemplo, si introduce 3, la nueva contraseña no puede ser igual que la actual contraseña o las dos contraseñas utilizadas inmediatamente antes.
También se puede prohibir la reutilización de caracteres similares de contraseñas ya usadas. En el campo Número máximo de caracteres similares de contraseñas anteriores que no pueden volver a utilizarse, escriba el número de caracteres consecutivos de las contraseñas anteriores que no pueden repetirse en la nueva contraseña. Por ejemplo, si escribe un valor de 7 y la contraseña anterior era ’password1’, la nueva contraseña no puede ser ’password2’ o ’password3’.
Si escribe un valor 0, todos los caracteres deberán ser diferentes, sea cual sea la secuencia. Por ejemplo, si la contraseña anterior era abcd, la nueva contraseña no puede incluir los caracteres a, b, c ni d.
La regla puede aplicarse a una o varias contraseñas anteriores. El número de contraseñas anteriores comprobadas es el número especificado en el campo ’Número de contraseñas anteriores que no pueden volver a utilizarse’.
Puede introducir una o más palabras que no puede contener la contraseña. Escriba una palabra en cada línea del cuadro de entrada.
También se pueden excluir palabras configurando e implementando la directiva de diccionario. Para obtener más información, consulte ¿Qué es una directiva de diccionario?.
Puede introducir uno o más atributos que no puede contener la contraseña.
Puede especificar los siguientes atributos:
accountID
firstname
fullname
lastname
Puede cambiar el conjunto de atributos “no debe contener" en el objeto de configuración UserUIConfig. Para obtener más información, consulte No debe contener atributos en directivas.
Las directivas de contraseñas se establecen para cada recurso. Para implementar una directiva de contraseñas para un recurso específico, selecciónelo en la lista de opciones Directiva de contraseñas, que se halla en el área Configuración de directivas de las páginas Parámetros del asistente de creación o edición de recursos: Identity Manager.
Si un usuario olvida su contraseña o si ésta se reinicializa, puede responder a una o varias preguntas de autenticación para obtener acceso a Identity Manager. El administrador establece estas preguntas y las reglas por las que se rigen, dentro de la directiva de cuentas de Identity Manager. A diferencia de las directivas de contraseñas, las directivas de cuentas de Identity Manager se asignan directamente al usuario o a través de la organización que tiene asignada (en las páginas Crear y Editar usuario).
Elija Seguridad en el menú principal y después Directivas.
Seleccione “Directiva de cuentas de Identity Manager” en la lista de directivas.
La selección se autenticación realiza en el área Opciones de directivas de autenticación secundarias de la página.
Importante. Cuando se configura por primera vez, el usuario debe iniciar la sesión en la interfaz de usuario e introducir las respuestas iniciales a sus preguntas de autenticación. Si no se establecen estas respuestas, el usuario no podrá iniciar la sesión sin contraseña.
La directiva de preguntas de autenticación estipula lo que sucede cuando un usuario pulsa el botón '¿Olvidó su contraseña?' en la página de inicio de sesión o al acceder a la página Modificar mis respuestas. Cada opción se describe dentro de Autenticación de usuarios.
Opción |
Descripción |
---|---|
Todos |
Exige que el usuario responda a todas las preguntas personalizadas y definidas en la directiva. |
Cualquiera |
Identity Manager muestra todas las preguntas personalizadas y definidas en la directiva. Debe indicar cuántas preguntas debe contestar el usuario. |
Siguiente |
Exige que el usuario responda a todas las posibles preguntas definidas en la directiva la primera vez que inicia una sesión. Si el usuario pulsa el botón '¿Olvidó su contraseña?' durante el inicio de sesión, Identity Manager muestra la primera pregunta. Si el usuario responde de forma incorrecta, Identity Manager presenta la siguiente pregunta, y así sucesivamente, hasta que obtiene la respuesta correcta y permite el inicio de sesión, o bien bloquea la cuenta si se supera el límite especificado de intentos fallidos. Esta directiva no admite preguntas generadas por los usuarios. |
Aleatorio |
Permite al administrador especificar cuántas preguntas debe responder el usuario. Identity Manager elige y muestra al azar el número especificado de preguntas definidas en la lista de la directiva, así como las definidas por el usuario. El usuario debe responder a todas las preguntas mostradas. |
Operación por turnos |
Identity Manager selecciona la siguiente pregunta en la lista de preguntas configuradas y asigna dicha pregunta al usuario. La primera pregunta de la lista de preguntas de autenticación se asigna al primer usuario, y la segunda se asigna al segundo usuario. Este patrón se sigue aplicando hasta que se supera el número de preguntas. A partir de entonces, las preguntas se asignan a los usuarios por orden consecutivo. Por ejemplo, si hay 10 preguntas, la primera pregunta se asigna al 11º y al 21º usuario. Sólo se muestra la pregunta seleccionada. Si prefiere que el usuario responda cada vez a una pregunta distinta, utilice la directiva Aleatorio y defina el número de preguntas en 1. Si prefiere que el usuario responda a una pregunta distinta cada vez, utilice la directiva Aleatorio y defina el número de preguntas en 1. Para obtener más información sobre esta función, consulte Preguntas de autenticación personalizadas. |
Si desea comprobar las opciones de autenticación, inicie la sesión en la interfaz de usuario de Identity Manager, pulse el botón '¿Olvidó su contraseña?' y responda a las preguntas que aparezcan.
La Figura 3–8 ilustra un ejemplo de la pantalla de autenticación de cuentas de usuario.
En la directiva de cuentas de Identity Manager se puede seleccionar una opción que permite a los usuarios definir sus propias preguntas de autenticación en las interfaces de usuario o de administración. También es posible definir el número mínimo de preguntas que el usuario debe suministrar y contestar para iniciar la sesión usando preguntas de autenticación personalizadas.
De esta forma, los usuarios pueden añadir y cambiar respuestas en la página Cambiar las respuestas a las preguntas de autenticación. La Figura 3–9 muestra un ejemplo al respecto.
Cuando un usuario se autentica correctamente respondiendo a una o varias preguntas, el sistema le plantea un desafío predeterminado para que introduzca una contraseña nueva. No obstante, es posible configurar Identity Manager para eludir el desafío de cambio de contraseña definiendo la propiedad de configuración del sistema bypassChangePassword para una o más aplicaciones de Identity Manager.
Encontrará instrucciones para editar el objeto de configuración del sistema en Edición de objetos de configuración de Identity Manager.
Para eludir el desafío de cambio de contraseña en todas las aplicaciones tras una autenticación correcta, defina la propiedad bypassChangePassword como se indica a continuación en el objeto de configuración del sistema.
<Attribute name="ui" <Object> <Attribute name="web"> <Object> <Attribute name=’questionLogin’> <Object> <Attribute name=’bypassChangePassword’> <Boolean>true</Boolean> </Attribute> </Object> </Attribute> ... </Object> ...
Para inhabilitar este desafío de contraseña en una aplicación concreta, configúrelo como sigue.
<Attribute name="ui"> <Object> <Attribute name="web"> <Object> <Attribute name=’user’> <Object> <Attribute name=’questionLogin’> <Object> <Attribute name=’bypassChangePassword’> <Boolean>true</Boolean> </Attribute> </Object> </Attribute> </Object> </Attribute> ... </Object> ... |
Puede asignar privilegios administrativos o capacidades de Identity Manager a los usuarios así:
Roles de administrador (Admin). Los usuarios que tienen asignado un rol de administrador heredan las capacidades y las organizaciones controladas definidas en el rol. De manera predeterminada, a todas las cuentas de usuario de Identity Manager se les asigna el rol de administrador de usuarios al crearlas. Encontrará información detallada sobre los roles de administrador y su creación dentro de Conceptos y administración de recursos de Identity Manager en el Capítulo 5Roles y recursos.
Capacidades. Las capacidades están definidas por reglas. Identity Manager proporciona grupos de capacidades funcionales que se pueden seleccionar. La asignación de capacidades aumenta la granularidad al asignar privilegios administrativos. Para obtener más información sobre las capacidades y su creación, consulte Conceptos y administración de capacidades en el Capítulo 6Administración.
Organizaciones controladas. Las organizaciones controladas conceden privilegios de control administrativos en las organizaciones especificadas. Para obtener más información, consulte Qué son las organizaciones en Identity Manager en el Capítulo 6Administración.
Para obtener más información sobre los administradores de Identity Manager y las tareas administrativas, consulte el Capítulo 6Administración.