En esta sección encontrará información para configurar las directivas de usuario.
Se tratan los temas siguientes:
Las directivas de Identity Manager establecen limitaciones para los usuarios de Identity Manager mediante la definición de restricciones sobre sus características de ID de cuenta, inicio de sesión y contraseña.
Identity Manager también ofrece directivas de auditoría ideadas específicamente para auditar el cumplimiento de los usuarios. Las directivas de auditoría se trata en el Capítulo 13Auditoría de identidades: Conceptos básicos
Las directivas se clasifican en los tipos siguientes:
Directivas de cuentas de Identity System. Definen opciones y restricciones de directivas de usuario, contraseña y autenticación. Las directivas de cuentas de Identity System se asignan a las organizaciones en las páginas Crear y Editar organización, o a los usuarios en las páginas Crear y Editar usuarios.
Puede configurar o seleccionar las siguientes opciones:
Opciones de directivas de cuenta de usuario. Especifique cómo trata las cuentas de usuario Identity Manager si un usuario no responde correctamente a las preguntas de autenticación.
Opciones de directivas de contraseña. Puede definir las opciones de caducidad de la contraseña, tiempo de advertencia antes de que caduque y reinicialización.
Opciones de directivas de autenticación secundarias. Permiten especificar cómo se presentan las preguntas de autenticación al usuario, si éste puede aportar sus propias preguntas de autenticación, imponer la necesidad de autenticación al iniciar la sesión y establecer el conjunto de preguntas que pueden plantearse a un usuario.
Directiva de cuentas de sistema de Service Provider. Este tipo de directiva se aplica en una implementación de proveedor de servicios para definir opciones y restricciones de usuario, contraseña y directiva de autenticación para los usuarios del proveedor de servicios. Las directivas se asignan a las organizaciones en las páginas Crear y Editar organización, o a los usuarios en las páginas Crear y Editar usuario de Service Provider.
Directivas de calidad de cadena. Son tipos de directivas como las de contraseña, Id de cuenta y autenticación. Sirven para definir reglas de longitud y de tipo de caracteres, palabras permitidas y valores de atributo. Este tipo de directiva va ligado a cada recurso de Identity Manager y se configura en la página de cada recurso. La figura siguiente ofrece un ejemplo al respecto.
Es posible definir las siguientes opciones y reglas para las contraseñas e ID de cuenta:
Reglas sobre longitud. Determinan la longitud máxima y mínima.
Reglas de tipo de carácter. Establecen el número mínimo y máximo permitidos de caracteres alfabéticos, numéricos, mayúsculas, minúsculas, repetitivos y secuenciales.
Límites de reutilización de contraseñas Especifican el número de contraseñas anteriores a la actual que no pueden reutilizarse. Cuando un usuario intenta cambiar su contraseña, la nueva se coteja con el historial de contraseñas para asegurarse de que sea única. Por razones de seguridad, se guarda una firma digital de la contraseña anterior, con la que se comparan las contraseñas nuevas.
Palabras y valores de atributo prohibidos. Especifique las palabras y atributos que no pueden incluirse en un ID o una contraseña.
Se pueden crear y editar directivas de usuario de Identity Manager en la página Directivas. Para abrir esta página, siga estos pasos:
Inicie la sesión en la interfaz de administración.
Seleccione la ficha Seguridad y después la ficha secundaria Directivas.
Aparece la página Directivas, ilustrada en la figura siguiente.
Puede cambiar el conjunto de atributos “no debe contener" permitidos en el objeto de configuración UserUIConfig.
Los atributos se indican en UserUIConfig así:
Atributo <PolicyPasswordAttributeNames>. Tipo de directiva: contraseña.
Atributo <PolicyAccountAttributeNames>. Tipo de directiva: ID de cuenta.
Atributo <PolicyOtherAttributeNames>. Tipo de directiva: otras.
Una directiva de diccionario permite a Identity Manager comparar las contraseñas con una base de datos de palabras para asegurarse de que estén protegidas frente a posibles ataques simples de diccionario. Si se utiliza esta directiva con otras preferencias de directiva para asegurar la longitud y formación de las contraseñas, Identity Manager dificulta el uso de un diccionario para averiguar las contraseñas generadas o cambiadas en el sistema.
La directiva de diccionario amplía la lista de exclusión de contraseñas que se puede configurar con la directiva. (Esta lista se implementa con la opción "No debe contener palabras" de la página de edición de directivas de contraseña de la interfaz de administración.)
Para configurar una directiva de diccionario, es preciso:
Configurar el soporte de servidor del diccionario.
Cargar el diccionario.
Abra la página Directivas como se explica en Para abrir la página Directivas
Seleccione Configurar diccionario para acceder a la página Configuración del diccionario.
Seleccione e introduzca la información sobre la base de datos.
La información sobre la base de datos incluye:
Tipo de base de datos. Seleccione el tipo de base de datos (Oracle, DB2, SQLServer o MySQL) que utilizará para almacenar el diccionario.
Host. Introduzca el nombre de host en el que se está ejecutando la base de datos.
Usuario. Introduzca el nombre de usuario que se utilizará para conectarse a la base de datos.
Contraseña. Introduzca la contraseña que se utilizará para conectarse a la base de datos.
Puerto. Introduzca el puerto en el que la base de datos recibe las consultas.
URL de conexión. Introduzca la dirección URL que se utilizará para la conexión. Están disponibles las siguientes variables de plantilla:
%h - host
%p - puerto
%d – nombre de la base de datos
Clase del controlador. Introduzca la clase del controlador JDBC que se utilizará al interactuar con la base de datos.
Nombre de la base de datos. Introduzca el nombre de la base de datos en la que se cargará el diccionario.
Nombre de archivo del diccionario. Introduzca el nombre del archivo que se utilizará al cargar el diccionario.
Haga clic en Probar para comprobar la conexión de la base de datos.
Si se realiza con éxito la prueba de conexión, haga clic en Cargar palabras para cargar el diccionario. es posible que el proceso de carga tarde unos minutos en completarse.
Haga clic en Probar para asegurarse de que el diccionario se ha cargado con éxito.
Siga estos pasos para implementar una directiva de diccionario:
Abra la página Directivas como se explica en Para abrir la página Directivas.
Seleccione el vínculo Directiva de contraseñas para editar la directiva de contraseñas.
En la página "Editar directiva", seleccione la opción "Comparar contraseñas con las palabras del diccionario".
Haga clic en Guardar para guardar los cambios.
Una vez implementada, todas las contraseñas generadas y cambiadas se comprobarán en el diccionario.