Este capítulo contiene información y procedimientos para configurar y mantener Identity Manager mediante la interfaz de administración. Para obtener más información sobre los objetos de Identity Manager, consulte Objetos de Identity Manager en el capítulo Introducción.
Encontrará información para configurar Identity Manager en una implementación de proveedor de servicios en el Capítulo 17Administración de Service Provider.
Este capítulo consta de los temas siguientes:
En esta sección encontrará información para configurar las directivas de usuario.
Se tratan los temas siguientes:
Las directivas de Identity Manager establecen limitaciones para los usuarios de Identity Manager mediante la definición de restricciones sobre sus características de ID de cuenta, inicio de sesión y contraseña.
Identity Manager también ofrece directivas de auditoría ideadas específicamente para auditar el cumplimiento de los usuarios. Las directivas de auditoría se trata en el Capítulo 13Auditoría de identidades: Conceptos básicos
Las directivas se clasifican en los tipos siguientes:
Directivas de cuentas de Identity System. Definen opciones y restricciones de directivas de usuario, contraseña y autenticación. Las directivas de cuentas de Identity System se asignan a las organizaciones en las páginas Crear y Editar organización, o a los usuarios en las páginas Crear y Editar usuarios.
Puede configurar o seleccionar las siguientes opciones:
Opciones de directivas de cuenta de usuario. Especifique cómo trata las cuentas de usuario Identity Manager si un usuario no responde correctamente a las preguntas de autenticación.
Opciones de directivas de contraseña. Puede definir las opciones de caducidad de la contraseña, tiempo de advertencia antes de que caduque y reinicialización.
Opciones de directivas de autenticación secundarias. Permiten especificar cómo se presentan las preguntas de autenticación al usuario, si éste puede aportar sus propias preguntas de autenticación, imponer la necesidad de autenticación al iniciar la sesión y establecer el conjunto de preguntas que pueden plantearse a un usuario.
Directiva de cuentas de sistema de Service Provider. Este tipo de directiva se aplica en una implementación de proveedor de servicios para definir opciones y restricciones de usuario, contraseña y directiva de autenticación para los usuarios del proveedor de servicios. Las directivas se asignan a las organizaciones en las páginas Crear y Editar organización, o a los usuarios en las páginas Crear y Editar usuario de Service Provider.
Directivas de calidad de cadena. Son tipos de directivas como las de contraseña, Id de cuenta y autenticación. Sirven para definir reglas de longitud y de tipo de caracteres, palabras permitidas y valores de atributo. Este tipo de directiva va ligado a cada recurso de Identity Manager y se configura en la página de cada recurso. La figura siguiente ofrece un ejemplo al respecto.
Es posible definir las siguientes opciones y reglas para las contraseñas e ID de cuenta:
Reglas sobre longitud. Determinan la longitud máxima y mínima.
Reglas de tipo de carácter. Establecen el número mínimo y máximo permitidos de caracteres alfabéticos, numéricos, mayúsculas, minúsculas, repetitivos y secuenciales.
Límites de reutilización de contraseñas Especifican el número de contraseñas anteriores a la actual que no pueden reutilizarse. Cuando un usuario intenta cambiar su contraseña, la nueva se coteja con el historial de contraseñas para asegurarse de que sea única. Por razones de seguridad, se guarda una firma digital de la contraseña anterior, con la que se comparan las contraseñas nuevas.
Palabras y valores de atributo prohibidos. Especifique las palabras y atributos que no pueden incluirse en un ID o una contraseña.
Se pueden crear y editar directivas de usuario de Identity Manager en la página Directivas. Para abrir esta página, siga estos pasos:
Inicie la sesión en la interfaz de administración.
Seleccione la ficha Seguridad y después la ficha secundaria Directivas.
Aparece la página Directivas, ilustrada en la figura siguiente.
Puede cambiar el conjunto de atributos “no debe contener" permitidos en el objeto de configuración UserUIConfig.
Los atributos se indican en UserUIConfig así:
Atributo <PolicyPasswordAttributeNames>. Tipo de directiva: contraseña.
Atributo <PolicyAccountAttributeNames>. Tipo de directiva: ID de cuenta.
Atributo <PolicyOtherAttributeNames>. Tipo de directiva: otras.
Una directiva de diccionario permite a Identity Manager comparar las contraseñas con una base de datos de palabras para asegurarse de que estén protegidas frente a posibles ataques simples de diccionario. Si se utiliza esta directiva con otras preferencias de directiva para asegurar la longitud y formación de las contraseñas, Identity Manager dificulta el uso de un diccionario para averiguar las contraseñas generadas o cambiadas en el sistema.
La directiva de diccionario amplía la lista de exclusión de contraseñas que se puede configurar con la directiva. (Esta lista se implementa con la opción "No debe contener palabras" de la página de edición de directivas de contraseña de la interfaz de administración.)
Para configurar una directiva de diccionario, es preciso:
Configurar el soporte de servidor del diccionario.
Cargar el diccionario.
Abra la página Directivas como se explica en Para abrir la página Directivas
Seleccione Configurar diccionario para acceder a la página Configuración del diccionario.
Seleccione e introduzca la información sobre la base de datos.
La información sobre la base de datos incluye:
Tipo de base de datos. Seleccione el tipo de base de datos (Oracle, DB2, SQLServer o MySQL) que utilizará para almacenar el diccionario.
Host. Introduzca el nombre de host en el que se está ejecutando la base de datos.
Usuario. Introduzca el nombre de usuario que se utilizará para conectarse a la base de datos.
Contraseña. Introduzca la contraseña que se utilizará para conectarse a la base de datos.
Puerto. Introduzca el puerto en el que la base de datos recibe las consultas.
URL de conexión. Introduzca la dirección URL que se utilizará para la conexión. Están disponibles las siguientes variables de plantilla:
%h - host
%p - puerto
%d – nombre de la base de datos
Clase del controlador. Introduzca la clase del controlador JDBC que se utilizará al interactuar con la base de datos.
Nombre de la base de datos. Introduzca el nombre de la base de datos en la que se cargará el diccionario.
Nombre de archivo del diccionario. Introduzca el nombre del archivo que se utilizará al cargar el diccionario.
Haga clic en Probar para comprobar la conexión de la base de datos.
Si se realiza con éxito la prueba de conexión, haga clic en Cargar palabras para cargar el diccionario. es posible que el proceso de carga tarde unos minutos en completarse.
Haga clic en Probar para asegurarse de que el diccionario se ha cargado con éxito.
Siga estos pasos para implementar una directiva de diccionario:
Abra la página Directivas como se explica en Para abrir la página Directivas.
Seleccione el vínculo Directiva de contraseñas para editar la directiva de contraseñas.
En la página "Editar directiva", seleccione la opción "Comparar contraseñas con las palabras del diccionario".
Haga clic en Guardar para guardar los cambios.
Una vez implementada, todas las contraseñas generadas y cambiadas se comprobarán en el diccionario.
Identity Manager usa plantillas de correo electrónico para suministrar información y solicitudes de acciones a aprobadores y usuarios. El sistema incluye plantillas de:
Aviso de revisión de acceso. Envía un notificación de que es preciso revisar los derechos de acceso de un usuario. El sistema envía esta notificación cuando hace falta remediar o mitigar una infracción de una directiva de acceso.
Aprobación de creación de cuenta. Envía una notificación al aprobador en la que se indica que hay una nueva cuenta que espera su aprobación. El sistema envía esta aprobación cuando se ha definido la opción de notificación de abastecimiento para el rol asociado como aprobación.
Notificación de creación de cuenta. Envía una notificación en la que se indica que se ha creado una cuenta con una asignación de rol específica. El sistema envía esta notificación cuando se seleccionan uno o varios administradores en el campo "Destinatarios de la notificación" en las páginas "Crear rol" o "Editar rol".
Aprobación de eliminación de cuenta. Envía una notificación a un aprobador en la que se indica que hay una acción de eliminación de cuenta de usuario que espera su aprobación. El sistema envía esta notificación cuando se seleccionan uno o varios administradores en el campo "Destinatarios de la notificación" en las páginas "Crear rol" o "Editar rol".
Notificación de eliminación de cuenta. Envía una notificación en la que se indica que se ha eliminado una cuenta.
Notificación de actualización de cuenta. Notifica a las direcciones de correo electrónico o cuentas de usuario especificadas que se ha actualizado una cuenta.
Recurso externo. Notifica a un abastecedor de recursos externos que es necesario realizar una tarea de abastecimiento.
Reinicialización de contraseña. Notifica que se ha reinicializado una contraseña de Identity Manager. En función del valor seleccionado en Opción de notificación de reinicialización para la directiva de Identity Manager asociada, el sistema muestra inmediatamente una notificación (en el explorador web) al administrador que reinicializa la contraseña o envía un mensaje de correo electrónico al usuario cuya contraseña se está reinicializando.
Aviso de sincronización de contraseña. Notifica al usuario que una contraseña se ha cambiado correctamente en todos los recursos. La notificación indica qué recursos se han actualizado correctamente y de dónde procede la solicitud para cambiar la contraseña.
Aviso de fallo de flujo de trabajo de sincronización. Notifica al usuario que la contraseña no se ha cambiado correctamente en todos los recursos. La notificación incluye una lista de los errores e indica de dónde procede la solicitud para cambiar la contraseña.
Aviso de infracción de directiva. Notifica la infracción de una directiva de cuentas.
Reconciliar evento de cuenta. Reconciliar evento de recurso, Resumen de reconciliación. Se activa, respectivamente, desde los flujos de trabajo predeterminados Notificar respuesta de reconciliación, Notificar inicio de reconciliación y Notificar fin de reconciliación. La notificación se envía tal como se ha configurado en cada flujo de trabajo.
Informe. Envía un informe generado a una lista de destinatarios especificados.
Solicitud de recurso. Envía una notificación a un administrador de recursos para informarle de que se ha solicitado un recurso. El sistema envía esta notificación cuando el administrador solicita un recurso en el área "Recursos".
Los recursos de solicitud han sido rechazados en favor de los recursos externos a partir de la versión 8.1 de Identity Manager. Ya no se pueden crear nuevas conexiones utilizando el adaptador de peticiones. Utilice el adaptador de recursos externos en su lugar. Para obtener más información, consulte Conceptos y administración de recursos externos.
Notificación de reintento. Envía una notificación a un administrador para informarle de que se ha intentado realizar sin éxito una determinada operación en un recurso un número especificado de veces.
Análisis de riesgo. Envía un informe de análisis de riesgo. El sistema envía este informe cuando se especifican uno o varios destinatarios de correo electrónico como parte de una exploración de recursos.
Restablecimiento de contraseña temporal. Envía una notificación al usuario o al aprobador de roles indicándole que se ha proporcionado una contraseña temporal para la cuenta. En función del valor seleccionado en la opción de notificación de reinicialización de contraseña para la directiva de Identity Manager asociada, el sistema muestra inmediatamente una notificación al usuario (en el explorador web) o envía un mensaje de correo electrónico al usuario o a los aprobadores de roles.
Recuperar ID de usuario. Envía un ID de usuario recuperado a la dirección de correo electrónico especificada.
Las plantillas de correo electrónico se pueden personalizar para dar instrucciones concretas a los destinatarios, indicándoles cómo realizar una tarea o ver resultados. Por ejemplo, es posible que desee personalizar la plantilla de aprobación de creación de cuenta para enviar a un aprobador a una página de aprobación de cuentas con el mensaje:
Vaya a http://host.example.com:8080/idm/approval/approval.jsp para aprobar la creación de una cuenta para $(fullname).
Siga el procedimiento indicado a continuación para personalizar una plantilla de correo electrónico tomando como ejemplo la plantilla Aprobación de creación de cuenta.
En la interfaz de administración, seleccione la ficha Configurar y después la ficha secundaria Plantillas de correo electrónico.
Aparece la página Plantillas de correo electrónico.
Seleccione la plantilla Aprobación de creación de cuenta.
Introduzca información para la plantilla.
Puede introducir la información siguiente:
En el campo Host SMTP, escriba el nombre del servidor SMTP para poder enviar la notificación de correo electrónico.
En el campo De, personalice la dirección de correo electrónico originaria.
En los campos Para y CC, escriba una o varias direcciones de correo electrónico o cuentas de Identity Manager a las que se deba destinar la notificación.
En el campo Cuerpo del mensaje de correo electrónico, personalice el texto incluyendo un puntero a su ubicación de Identity Manager.
Pulse Guardar.
También es posible modificar las plantillas de correo electrónico con Sun Identity Manager Integrated Development Environment (Identity Manager IDE). Encontrará información sobre Identity Manager IDE en el sitio web: https://identitymanageride.dev.java.net/.
Es necesario registrarse e iniciar la sesión en este sitio.
Puede introducir contenido con formato HTML en una plantilla de correo electrónico para mostrarlo en el cuerpo del mensaje. Este tipo de contenido puede incluir texto, gráficos y enlaces Web a la información. Para habilitar contenido en formato HTML, seleccione la opción HTML habilitada.
En el cuerpo de la plantilla de correo electrónico también se pueden incluir referencias a variables, con la sintaxis $(Nombre); por ejemplo: Su contraseña $(contraseña) ha sido reinicializada.
En la tabla se enumeran las variables permitidas en cada plantilla.
.
Tabla 4–1 Variables de plantillas de correo electrónico
Plantilla |
Variables permitidas |
---|---|
Reinicialización de contraseña |
$(password): contraseña recién generada |
Aprobación de actualización |
$(fullname): nombre completo del usuario $(role): rol del usuario |
Notificación de actualización |
$(fullname): nombre completo del usuario $(role): rol del usuario |
Informe |
$(report): informe generado $(id): ID cifrado de la instancia de la tarea $(timestamp): hora a la que se envió el correo electrónico |
Solicitud de recurso |
$(fullname): nombre completo del usuario $(resource): tipo de recurso |
Análisis de riesgo |
$(report): informe de análisis de riesgo |
Restablecimiento de contraseña temporal |
$(password): contraseña recién generada $(expiry): fecha de caducidad de la contraseña |
Configurar grupos de auditoría le permite registrar e informar sobre los eventos del sistema que seleccione. También le sirve para ejecutar informes de registro de auditoría posteriormente.
En la página Configuración de auditoría se configuran los grupos de auditoría. Para abrir la página Configuración de auditoría, siga estos pasos:
Abra la interfaz de administración.
Seleccione la ficha Configurar y después la ficha secundaria Auditoría.
Aparece la página Configuración de auditoría.
Para configurar de grupos y eventos de auditoría se necesita la capacidad administrativa Configurar auditorías.
Abra la página Configuración de auditoría como se explica en el apartado anterior.
La página Configuración de auditoría muestra la lista de grupos de auditoría, cada uno de los cuales puede contener uno o varios eventos. Es posible registrar los eventos correctos, fallidos o ambos para cada grupo.
Seleccione un grupo de auditoría en la lista para acceder a la página Editar grupo de configuración de auditoría. En esta página se seleccionan los tipos de eventos de auditoría que se van a registrar como parte del grupo de configuración de auditoría en el registro de auditoría del sistema.
Asegúrese de que esté marcada la casilla de verificación Habilitar auditoría. Desactive la casilla para inhabilitar el sistema de auditoría.
Para obtener más información sobre las grupos de auditoría, consulte Configuración de auditoría en el Capítulo 10Registro de auditoría.
Siga estos pasos para agregar un evento al grupo:
Pulse Nuevo.
Identity Manager añade un evento al final de la página.
Seleccione un tipo de objeto de la lista de la columna Tipo de objeto y, después, mueva uno o más elementos del área Disponibles de la columna Acciones al área Seleccionados para el nuevo tipo de objeto.
Pulse Aceptar para añadir el evento al grupo.
Puede editar eventos en un grupo añadiendo o eliminando acciones para un tipo de objeto, así:
Traslade los elementos de la columna Acciones desde el área Disponible hasta el área Seleccionado correspondiente a ese tipo de objeto.
Haga clic en Aceptar.
Identity Manager puede integrarse con un servidor de Remedy, lo que le permitirá enviar tickets de Remedy según una plantilla especificada.
La integración de Remedy se configura en dos áreas de la interfaz de administración:
Parámetros del servidor de Remedy. La configuración de Remedy se lleva a cabo creando un recurso de Remedy en el área Recursos. (Consulte Administración de la lista de recursos.) Un vez configurado el recurso, compruebe la conexión para asegurarse de que la integración está habilitada.
Plantilla de Remedy. Una vez configurado el recurso de Remedy, defina una plantilla de Remedy. Para ello, abra la interfaz de administración, seleccione la ficha Configurar y después Integración de Remedy. A continuación deberá seleccionar el esquema y el recurso de Remedy.
La creación de tickets de Remedy se configura mediante el flujo de trabajo de Identity Manager. Según sus preferencias, puede efectuar una llamada en el momento adecuado utilizando la plantilla definida para abrir un ticket de Remedy. Para obtener más información sobre la configuración de flujos de trabajo, consulte el Capítulo 1, Workflow de Sun Identity Manager Deployment Reference.
Los administradores pueden configurar ciertos aspectos de la interfaz de usuario final modificando un formulario en la interfaz de administración.
En la interfaz de administración, seleccione Configurar en el menú principal.
Elija Interfaz de usuario en el menú secundario.
Aparece la página Interfaz de usuario.
Rellene y guarde el Panel de usuario final del formulario. Haga clic en Ayuda si necesita ayuda con el formulario.
Encontrará información para rellenar el Registro anónimo del formulario en Registro anónimo.
Los diagramas de proceso reflejan el flujo de trabajo que sigue Identity Manager cuando los usuarios finales inician una solicitud o actualizan sus perfiles. Si están habilitados, los diagramas de proceso aparecen en la página de resultados después de que el usuario final haya enviado un formulario.
Los diagramas de proceso deben habilitarse en la interfaz de administrador para poder habilitarse en la interfaz de usuario final. Para obtener más información, consulte Habilitación de diagramas de proceso.
Abra la página de configuración de la interfaz de usuario siguiendo los pasos de Configuración de la interfaz de usuario final.
Seleccione la opción Habilitar diagramas de proceso de usuario final, que se encuentra en la sección Páginas de resultado del formulario.
Si la opción Habilitar diagramas de proceso de usuario final no está disponible, primero deberá habilitar los diagramas de proceso en la interfaz de administración. Consulte Habilitación de diagramas de proceso.
Pulse Guardar.
Se recomienda a los administradores que registren su instalación de Identity Manager.
Para registrarse hace falta una cuenta y una contraseña en Sun Online. Si no tiene una cuenta de Sun Online, puede registrarse rellenando el formulario en esta dirección:
Identity Manager puede registrarse desde la consola o mediante la interfaz de administración.
Registrarse desde la consola permite crear también una etiqueta de servicio local, que puede usarse con software Sun Service Tag para seguimiento de inventario de sistemas, software y servicios de Sun. El paquete de cliente de etiquetas de servicio debe instalarse antes de crear una etiqueta de servicio local. Para descargar este paquete, puede pulsar el botón Download Service Tags en la dirección:
http://inventory.sun.com/inventory
Para registrar Identity Manager, debe iniciar la sesión con una cuenta de administrador que le permita configurar objetos de Identity Manager. Esta cuenta debe tener la capacidad Registro del producto. Para obtener información sobre las capacidades, consulte Asignación de capacidades a usuarios.
Para que la función de registro del producto funcione, debe tener Java correctamente configurado para SSL en los servidores de aplicaciones de Identity Manager. Todos los archivos JAR referenciados en el archivo java.security (o equivalente) deben estar presentes.
En resto de esta sección contiene información e instrucciones para registrar Identity Manager. Esta información se ha dividido en los temas siguientes:
En este apartado encontrará información necesaria para registrar Identity Manager desde la consola.
Para registrar Identity Manager desde la consola se utiliza el comando register. A continuación se explica cómo utilizar dicho comando.
register -local register -remote [-u <userid> [-p <password>]] [-prompt] -userSOA <userid> -passSOA <password> [-proxy <proxyHost> [-port <proxyPortNumber>]] register [-help | -?]
En la tabla siguiente se describen las opciones que se pueden usar con el comando register.
Tabla 4–2 Opciones del comando
Opción |
Descripción |
---|---|
-local |
Crea una etiqueta de servicio en este host. |
-remote |
Registra la instalación de Identity Manager a través de la red directamente con Sun. |
-u <userid> |
El ID de usuario de Identity Manager del administrador Identity Manager que tiene autorización para efectuar el registro. |
-p <password> |
La contraseña de Identity Manager del administrador Identity Manager que tiene autorización para efectuar el registro. |
-prompt |
Solicitud interactiva de la contraseña cuando falta. |
-userSOA <userid> |
Id de usuario de la cuenta de Sun Online que se utilizará para registrar. Es necesario en caso de registrarse con la opción -remote. |
-passSOA <password> |
La contraseña de la cuenta de Sun Online que se utilizará para registrar. Es necesario en caso de registrarse con la opción -remote. |
-proxy <proxyHost> |
El proxy de red que debe usarse para acceder al servicio de registro online de Sun. Es necesario para registrarse con la opción -remote cuando la red está configurada para usar un proxy para conectarse a direcciones de Internet externas. |
-port <proxyPortNumber> |
El puerto del proxy de red que debe usarse para acceder al servicio de registro online de Sun. Es necesario para registrarse con la opción -remote cuando la red está configurada para usar un proxy para conectarse a direcciones de Internet externas. |
-help | -? |
Muestra ayuda para este comando en la consola. |
Para registrar Identity Manager desde la consola debe crear una etiqueta de servicio local o registrarse con Sun a través de Internet. Siga estas instrucciones:
Inicie la interfaz de consola (línea de comandos) de Identity Manager.
En una línea de comandos de Windows, escriba:
%WSHOME%\bin\lh
En una línea de comandos de UNIX, escriba:
$WSHOME/bin/lh
Utilice el comando register así:
Para crear una etiqueta de servicio local,
register -local
Para registrar Identity Manager por Internet, use este comando:
register -remote -u <userid> -p <password> -userSOA <soaUserid> -passSOA <soaPassword > -proxy <proxyHost> -port < proxyPortNumber>
donde:
userid es el ID de usuario del administrador Identity Manager que tiene autorización para efectuar el registro.
password es la contraseña de Identity Manager del administrador Identity Manager que tiene autorización para efectuar el registro.
soaUserid es el ID de usuario de la cuenta de Sun Online que se utilizará para registrar.
soaPassword es la contraseña de la cuenta de Sun Online que se utilizará para registrar.
proxyHost es el proxy de red que debe usarse para acceder al servicio de registro online de Sun. Sólo es necesario cuando la red está configurada para usar un proxy para conectarse a direcciones de Internet externas.
proxyPortNumber es el puerto del proxy de red que debe usarse para acceder al servicio de registro online de Sun. Sólo es necesario cuando la red está configurada para usar un proxy para conectarse a direcciones de Internet externas.
Si no necesita crear una etiqueta de servicio local, registre Identity Manager desde la interfaz de administración.
En la interfaz de administración, seleccione Configurar.
En el menú secundario, elija Registro del producto.
Aparece la página Registro del producto.
Rellene el formulario y haga clic en Registrarse ahora. Haga clic en los elementos i-Help para obtener información sobre los distintos campos.
Si el servidor de aplicaciones no está configurado para permitir conexiones SSL de salida, puede aparecer el mensaje de error siguiente:
Failed to register on Sun Connection server due to invalid Sun Online Account user/password. |
Para resolver este problema, incluya los correspondientes certificados raíz acreditados en el almacén de claves del servidor de aplicaciones. Consulte los detalles en la documentación del servidor de aplicaciones.
Si la ruta de clase del servidor de aplicaciones contiene versiones antiguas de xml-apis.jar y xercesImpl.jar, quizá reciba este mensaje de error:
java.lang.NoSuchMethodError:org.w3c.dom.Node.getTextContent()Ljava/lang/String; |
Para resolver este problema, modifique la ruta de clase de manera que sólo aparezcan las versiones más recientes de xml-apis.jar y xercesImpl.jar.
Mientras administra Identity Manager, a veces se le pedirá que edite el objeto de configuración del sistema de Identity Manager (también denominado archivo de configuración del sistema) u otros objetos similares.
Escriba la URL siguiente en el navegador para abrir la página de depuración de Identity Manager:
http://< AppServerHost>:<Port>/idm/debug/session.jsp
Aparece la página Configuración del sistema.
Para ver las páginas /idm/debug/ se necesita capacidad de depuración.
Busque el botón List Objects y seleccione Configuration en la lista desplegable Type adyacente.
Pulse el botón List Objects.
Aparece la página List Objects of type: Configuration.
En la lista de objetos, busque el que le interesa y haga clic en edit.
Por ejemplo, para editar el objeto de configuración del sistema, busque System Configuration y después haga clic en edit.
Edite el objeto como se indica y haga clic en Save.
Reinicie el servidor o servidores si así se le indica.