En este capítulo se incluye información y procedimientos para realizar gran variedad de tareas administrativas en el sistema Identity Manager, como crear y gestionar administradores y organizaciones de Identity Manager. También se explica cómo utilizar los roles, las capacidades y los roles administrativos en Identity Manager.
Esta información se ha dividido en los temas siguientes:
Los administradores de Identity Manager son usuarios con privilegios extendidos de Identity Manager.
Los administradores de Identity Manager gestionan:
Cuentas de usuario
Objetos del sistema, como roles y recursos
Organizaciones
A diferencia de los usuarios, los administradores de Identity Manager tienen asignadas capacidades y organizaciones controladas, que se definen así:
Capacidades. Un conjunto de permisos que conceden derechos de acceso a usuarios, organizaciones, roles y recursos de Identity Manager.
Organizaciones controladas. Una vez que tiene asignado el control de una organización, el administrador puede gestionar los objetos de dicha organización y de todas las organizaciones jerárquicamente descendentes de ella.
En la mayoría de las empresas, los empleados que realizan tareas administrativas asumen responsabilidades específicas. En consecuencia, las tareas de administración de cuentas que pueden desempeñar estos administradores tienen un ámbito limitado.
Por ejemplo, un administrador puede encargarse únicamente de crear cuentas de usuario de Identity Manager. Con este ámbito de responsabilidad limitado, es improbable que el administrador necesite información específica sobre los recursos donde se crean las cuentas de usuario o sobre los roles u organizaciones que existen dentro del sistema.
Identity Manager también puede restringir los administradores a determinadas tareas dentro de un ámbito específico definido.
Identity Manager permite separar las responsabilidades y utilizar un modelo de administración delegada así:
Las capacidades asignadas limitan a los administradores a tareas de trabajo específicas.
Las organizaciones controladas asignadas restringen a los administradores a controlar sólo determinadas organizaciones (y los objetos que hay en ellas).
Las vistas filtradas de las páginas Crear usuario y Editar usuario impiden que los administradores vean la información no relevante para sus tareas de trabajo.
Es posible especificar las delegaciones de un usuario en la página Crear usuario al configurar una cuenta de usuario nueva o al editar una existente.
En la ficha Elementos de trabajo también se pueden delegar elementos de trabajo, como solicitudes de aprobación. Para obtener más información sobre las delegaciones, consulte Delegación de elementos de trabajo.
Esta sección consta de los temas siguientes:
Para crear un administrador, asigne una o más capacidades a un usuario y designe las organizaciones a las que se deben aplicar las capacidades.
En la interfaz de administración, seleccione Cuentas en la barra de menús.
Aparece la página Lista de usuarios.
Para conceder privilegios administrativos a un usuario existente, haga clic en el nombre de usuario (se abrirá la página Editar usuario) y después en la ficha Seguridad.
Si hace falta crear una cuenta de usuario nueva, consulte Creación de usuarios y trabajo con cuentas de usuario.
Especifique atributos para establecer el control administrativo.
Los atributos disponibles incluyen:
Capacidades. Seleccione una o más capacidades que deben asignarse a este administrador. Esta información es necesaria. Para obtener más información, consulte Conceptos y administración de capacidades.
Organizaciones controladas. Seleccione una o más organizaciones que deben asignarse a este administrador. El administrador controla los objetos en la organización asignada y en todas aquéllas que se encuentren por debajo de ella en la jerarquía. Esta información es necesaria. Para obtener más información, consulte Qué son las organizaciones en Identity Manager.
Formulario de usuario. Seleccione el formulario de usuario que debe utilizar este administrador al crear y editar usuarios de Identity Manager (si tiene asignada esta capacidad). Si no asigna directamente un formulario de usuario, el administrador heredará el formulario de usuario asignado a la organización a la que pertenece. El formulario que se seleccione aquí sustituirá cualquier formulario seleccionado dentro de la organización del administrador.
Reenviar las solicitudes de aprobación a. Seleccione un usuario para reenviarle todas las solicitudes de aprobación que hay pendientes. Esta configuración de administrador puede ser también establecida desde la página de aprobaciones.
Delegar elementos de trabajo a. Si esta opción se encuentra disponible, úsela para especificar las delegaciones de esta cuenta de usuario. Puede especificar el gestor del administrador, uno o varios usuarios seleccionados, o utilizar una regla de aprobadores delegados.
Al asignar formularios de usuario a organizaciones y administradores, establece vistas de administrador específicas de las información de usuario.
El acceso a la información de usuario se configura en dos niveles:
Organización. Cuando se crea una organización, se asigna el formulario de usuario que todos los administradores de la misma utilizarán al crear y editar usuarios de Identity Manager. Cualquier formulario configurado en el nivel de administrador sustituye al formulario configurado aquí. Si no se selecciona ningún formulario para el administrador o la organización, Identity Manager hereda el formulario seleccionado para la organización principal. Si no se configura aquí ningún formulario, Identity Manager utiliza el formulario predeterminado definido en la configuración del sistema.
Administrador. Cuando se asignan capacidades administrativas a un usuario, se puede asignar directamente un formulario de usuario al administrador. Si no se asigna ningún formulario, el administrador hereda el formulario asignado a esta organización (o el formulario predeterminado definido en la configuración del sistema en caso de que no haya ningún formulario asignado a la organización).
Conceptos y administración de capacidades describe las capacidades integradas de Identity Manager que se pueden asignar.
Las contraseñas de administrador pueden ser cambiadas por un administrador que tenga asignadas capacidades para cambiar las contraseñas administrativas o por el propietario-administrador.
Los administradores pueden cambiar las contraseñas de otros administradores mediante los formularios siguientes:
Formulario Modificar contraseña de usuario Este formulario puede abrirse de dos formas:
Al hacer clic en Cuentas dentro del menú. Aparece la Lista de usuarios. Seleccione un administrador y después elija Cambiar contraseña en la lista Acciones de Usuario. Aparece la página Modificar contraseña de usuario.
Al hacer clic en Contraseñas dentro del menú. Aparece la página Modificar contraseña de usuario.
Formulario de usuario con fichas. Al hacer clic en Cuentas dentro del menú. Aparece la Lista de usuarios. Seleccione un administrador y después elija Editar en el menú Acciones de Usuario. Aparece la página “Editar usuario” (formulario de usuario con fichas). En la ficha Identidad del formulario, escriba una contraseña nueva dentro de los campos Contraseña y Confirmar contraseña.
Un administrador puede cambiar su propia contraseña en el área Contraseñas. Haga clic en Contraseñas dentro del menú y después elija Cambiar mi contraseña.
La directiva de cuentas de Identity Manager que se aplica a la cuenta determina las limitaciones de las contraseñas, como su caducidad, las opciones de reinicialización y las selecciones de notificación. Es posible definir otras limitaciones para las contraseñas mediante las directivas de contraseñas configuradas en los recursos del administrador.
Es posible configurar Identity Manager para que solicite una contraseña a los administradores antes de procesar ciertas modificaciones de las cuentas. Si falla la autenticación, se cancelarán las modificaciones de la cuenta.
Los administradores pueden cambiar las contraseñas de los usuarios con tres formularios: el formulario de usuario con fichas, el de cambio de contraseña de usuario y el de reinicialización de contraseña de usuario. No olvide actualizar los tres formularios para asegurarse de que se solicite a los administradores la introducción de sus contraseñas antes de que Identity Manager procese las modificaciones de las cuentas de usuario.
Para exigir un desafío de contraseña en el formulario de usuario con fichas, siga estos pasos.
En la interfaz de administración, abra la página de depuración de Identity Manager (Página de depuración de Identity Manager) introduciendo la URL siguiente en el navegador. (Para abrir esta página debe tener capacidad de depuración.)
http://<AppServerHost>:< Port>/idm/debug/session.jsp
Aparece la página de configuración del sistema (página de depuración de Identity Manager).
Busque el botón List Objects, elija UserForm en el menú desplegable y haga clic en el botón ListObjects.
Aparece la página List Objects of type: UserForm.
Busque la copia del formulario de usuario con fichas que tenga en producción y haga clic en Edit. (El formulario de usuario con fichas distribuido con Identity Manager es una plantilla que no debe modificarse.)
Agregue el fragmento de código siguiente dentro del elemento <Form>:
<Properties> <Property name=’RequiresChallenge’> <List> <String>password</String> <String>email</String> <String>fullname</String> </List> </Property> </Properties> |
El valor de property es una lista que puede contener uno o más de los siguientes nombres de atributo de vista de usuario:
applications
adminRoles
assignedLhPolicy
capabilities
controlledOrganizations
firstname
fullname
lastname
organization
password
resources
roles
Guarde las modificaciones.
Para exigir un desafío de contraseña en los formularios de cambio de contraseña de usuario y de reinicialización de contraseña de usuario, siga estos pasos:
En la interfaz de administración, abra la página de depuración de Identity Manager (Página de depuración de Identity Manager) introduciendo la URL siguiente en el navegador. (Para abrir esta página debe tener capacidad de depuración.)
http://<AppServerHost>:< Port>/idm/debug/session.jsp
Aparece la página de configuración del sistema (página de depuración de Identity Manager).
Busque el botón List Objects, elija UserForm en el menú desplegable y haga clic en el botón ListObjects.
Aparece la página List Objects of type: UserForm.
Busque la copia del formulario de cambio de contraseña de usuario que tenga en producción y haga clic en Edit. (El formulario de cambio de contraseña de usuario distribuido con Identity Manager es una plantilla que no debe modificarse.)
Busque el elemento <Form> y después vaya al elemento <Properties>.
Agregue la línea siguiente dentro del elemento <Properties> y guarde las modificaciones.
<Property name=’RequiresChallenge’ value=’true’/>
Repita los pasos 3 - 5, pero editando la copia del fromulario de reinicialización de contraseña de usuario que tenga en producción.
Si desea cambiar las respuestas que hay definidas para las preguntas de autenticación de cuentas, use el área Contraseñas. En la barra de menús, seleccione Contraseñas y después Modificar mis respuestas.
Para obtener más información sobre autenticación, consulte la sección Autenticación de usuarios en el Capítulo 3Administración de usuarios y de cuentas.
En algunas páginas y áreas de la interfaz de administración de Identity Manager se puede visualizar el administrador de Identity Manager por atributo (por ejemplo, email o fullname) en lugar de por el ID de cuenta.
Por ejemplo, es posible ver los administradores de Identity Manager por atributo en estas áreas:
Editar usuario (lista de selección de envío de aprobaciones)
Tabla de roles
Crear/Editar rol
Crear/Editar recurso
Crear/Editar unión de directorios
Aprobaciones
Si desea configurar Identity Manager para que use un nombre de visualización, agregue lo siguiente al objeto UserUIConfig :
<AdminDisplayAttribute> <String>attribute_name</String> </AdminDisplayAttribute>
Por ejemplo, para usar el atributo email como nombre de visualización, agregue el siguiente nombre de atributo a UserUIconfig:
<AdminDisplayAttribute> <String>email</String> </AdminDisplayAttribute>
Las organizaciones le permiten:
Gestionar administradores y cuentas de usuario de una manera lógica y segura.
Limitar el acceso a los recursos, aplicaciones, roles y otros objetos de Identity Manager.
Al crear organizaciones y asignar usuarios a diversas ubicaciones en una jerarquía organizativa, se configura la fase de administración delegada. Las organizaciones que a su vez contienen a otras organizaciones se denominan organizaciones principales.
Todos los usuarios de Identity Manager (incluidos los administradores) se asignan estáticamente a una organización. Los usuarios también se pueden asignar dinámicamente a otras organizaciones.
Los administradores de Identity Manager se asignan además para controlar organizaciones.
Las organizaciones se crean en el área Cuentas de Identity Manager.
En la interfaz de administración, seleccione Cuentas en la barra de menús.
Aparece la página Lista de usuarios.
En el menú Nuevas acciones, seleccione Nueva organización.
Para crear una organización en una ubicación específica de la jerarquía organizativa, seleccione una organización en la lista y después elija Nueva organización en el menú Nuevas acciones.
La Figura 6–1 ilustra la página Crear organización.
Cada usuario es un afiliado estático de una sola organización, pero puede ser un afiliado dinámico de varias.
Las afiliaciones organizativas se definen con uno de estos métodos:
Asignación directa (estática). Seleccione la ficha Identidad en la página Crear usuario o Editar usuario para asignar usuarios directamente a una organización. Un usuario se debe asignar directamente a una organización.
Asignación basada en reglas (dinámica). Utilice una regla de usuarios afiliados que esté asignada a una organización para asignar usuarios a dicha organización. Cuando se evalúa la regla, devuelve un conjunto de usuarios afiliados.
Identity Manager evalúa la regla de usuarios afiliados cuando:
Se listan los usuarios de una organización.
Se buscan usuarios (a través de la página Buscar usuarios), incluidos los afiliados a una organización con una regla de usuarios afiliados.
Se solicita acceso a un usuario, siempre que el administrador actual controle una organización con una regla de usuarios afiliados.
Para obtener más información sobre la creación y el uso de reglas en Identity Manager, consulte el Capítulo 4, Working with Rules de Sun Identity Manager Deployment Reference.
Seleccione una regla de usuarios afiliados en el menú Regla de usuarios afiliados de la página Crear organización. La figura siguiente muestra un ejemplo de regla de usuarios afiliados.
A continuación se incluye un ejemplo de sintaxis de regla de usuarios afiliados que se utiliza para controlar dinámicamente la afiliación de usuarios a una organización.
Antes de crear una regla de usuarios afiliados, debe recordar lo siguiente:
Para que una regla aparezca en la casilla Regla de usuarios afiliados, su authType debe configurarse en authType=’UserMembersRule’ .
El contexto es la sesión de usuario de Identity Manager actualmente autenticada.
La variable definida (defvar) Team players obtiene el nombre distinguido (dn) para cada usuario afiliado a la unidad organizativa (ou) Pro Ball Team de Windows Active Directory.
Para cada usuario encontrado, la lógica de append concatenará el dn de cada usuario afiliado a la ou Pro Ball Team con el nombre del recurso de Identity Manager precedido de dos puntos (como :smith-AD ).
Como resultados se devolverá una lista de nombres distinguidos concatenados con el nombre del recurso de Identity Manager en el formato dn :smith-AD.
<Rule name=’Get Team Players’ authType=’UserMembersRule’> <defvar name=’Team players’> <block> <defvar name=’player names’> <list/> </defvar> <dolist name=’users’> <invoke class=’com.waveset.ui.FormUtil’ name=’getResourceObjects’> <ref>context</ref> <s>User</s> <s>singleton-AD</s> <map> <s>searchContext</s> <s>OU=Pro Ball Team,DC=dev-ad,DC=waveset,DC=com</s> <s>searchScope</s> <s>subtree</s> <s>searchAttrsToGet</s> <list> <s>distinguishedName</s> </list> </map> </invoke> <append name=’player names’> <concat> <get> <ref>users</ref> <s>distinguishedName</s> </get> <s>:sampson-AD</s> </concat> </append> </dolist> <ref>player names</ref> </block> </defvar> <ref>Team players</ref> </Rule>
Puede configurar diversas propiedades en Waveset. para controlar la memoria caché de la lista Usuarios afiliados basada en reglas. Encontrará información en Tracing Rule-Driven Members Caches de Sun Identity Manager 8.1 System Administrator’s Guide.
En las páginas Crear usuario y Editar usuario se asigna el control administrativo de una o varias organizaciones. Seleccione la ficha de formulario Seguridad para ver el campo Organizaciones controladas.
También es posible asignar el control administrativo de las organizaciones asignando uno o más roles de administrador mediante el campo Roles de administrador (Admin).
Una unión de directorios es un conjunto de organizaciones relacionadas jerárquicamente que refleja el conjunto real de contenedores jerárquicos de recursos de directorio. Un recurso de directorio es aquél que utiliza un espacio de nombre jerárquico mediante contenedores jerárquicos. Entre los ejemplos de recursos de directorio tenemos los servidores LDAP y los recursos de Windows Active Directory.
Cada organización de una unión de directorios constituye una organización virtual. La organización virtual que ocupa la cima de una unión de directorios refleja el contenedor que representa el contexto base definido en el recurso. Las demás organizaciones virtuales de una unión de directorios son organizaciones secundarias directas o indirectas de la organización virtual principal y también reflejan uno de los contenedores de recurso de directorio que son secundarios respecto al contenedor del contexto base del recurso definido. Esta estructura se ilustra en la Figura 6–2.
La uniones de directorios se pueden acoplar a cualquier punto de la estructura organizativa existente de Identity Manager. Sin embargo, no es posible acoplar uniones de directorios dentro o debajo de una unión de directorios existente.
Una vez incorporada una unión de directorios al árbol organizativo de Identity Manager, puede crear o eliminar organizaciones virtuales en el contexto de la unión de directorios. Asimismo, en cualquier momento puede actualizar el conjunto de organizaciones virtuales que forman una unión de directorios para asegurarse de que permanezcan sincronizadas con los contenedores de recursos de directorio. No es posible crear una organización no virtual dentro de una unión de directorios.
Puede afiliar objetos de Identity Manager (como usuarios, recursos y roles) a una organización virtual y ponerlos a su disposición igual que si fuera una organización física de Identity Manager.
A continuación se explica cómo configurar las uniones de directorios.
En la interfaz de administración, seleccione Cuentas en la barra de menús.
Aparece la página Lista de usuarios.
Seleccione una organización de Identity Manager en la lista Cuentas.
La organización que seleccione constituirá la organización principal de la organización virtual que configure.
En el menú Nuevas acciones, seleccione Nueva Unión de directorios.
Identity Manager abre la página Crear unión de directorios.
Utilice las opciones de la página Crear unión de directorios para configurar la organización virtual.
Las opciones incluyen:
Organización principal. Este campo contiene la organización que ha seleccionado en la lista Cuentas, pero puede elegir otra organización principal en la lista.
Recurso de directorio. Seleccione el recurso de directorio que gestiona el directorio existente cuya estructura desea reflejar en la organización virtual.
Formulario de usuario. Seleccione un formulario de usuario para que se aplique a los administradores de esta organización.
Directiva de cuentas de Identity Manager. Seleccione una directiva o bien la opción predeterminada (heredada) para adoptar la directiva de la organización principal.
Aprobadores. Seleccione los administradores que pueden aprobar solicitudes relacionadas con esta organización.
Mediante este proceso se actualiza y resincroniza la organización virtual con el recurso de directorio asociado, a partir de la organización seleccionada en sentido descendente. Elija la organización virtual en la lista y seleccione Actualizar organización en la lista Acciones de organización.
Hay dos opciones al eliminar organizaciones virtuales:
Eliminar sólo la organización de Identity Manager. Elimina únicamente la unión de directorios de Identity Manager.
Eliminar la organización de Identity Manager y el contenedor de recursos. Eliminar la unión de directorios de Identity Manager y la organización correspondiente en el recurso nativo.
Seleccione una opción y haga clic en Eliminar.
Las capacidades son grupos de derechos en el sistema Identity Manager. Representan responsabilidades de tareas administrativas, como reinicialización de contraseñas o administración de cuentas de usuario. A cada usuario administrativo de Identity Manager se le asignan una o más capacidades, que le proporcionan una serie de privilegios sin riesgo para la seguridad de los datos.
No es preciso asignar capacidades a todos los usuarios de Identity Manager. Sólo las necesitan los usuarios que vayan a desempeñar una o varias acciones administrativas con Identity Manager. Por ejemplo, no hace falta tener una capacidad asignada para permitir que un usuario cambie su contraseña, pero sí para cambiar la contraseña de otro usuario.
Las capacidades asignadas determinan las áreas de la interfaz de administración de Identity Manager a las que se tiene acceso.
Todos los usuarios administrativos de Identity Manager pueden acceder a ciertas áreas de Identity Manager, que incluyen:
Fichas Página de inicio y Ayuda
Ficha Contraseñas (sólo fichas secundarias Cambiar mi contraseña y Modificar mis respuestas)
Informes (limitados a los tipos correspondientes a las responsabilidades concretas del administrador)
Encontrará una lista de las capacidades funcionales (con definiciones) y basadas en tareas predeterminadas de Identity Manager en el Apéndice DDefiniciones de capacidades. En este apéndice también se indican las fichas y fichas secundarias accesibles con cada capacidad basada en tareas.
Las capacidades de Identity Manager se definen así:
Basadas en tareas. Son las capacidades en el nivel de tareas más simple.
Funcionales. Las capacidades funcionales contienen a su vez otra u otras capacidades funcionales o basadas en tareas.
Las capacidades internas (las que se incluyen con el sistema Identity Manager) están protegidas, lo que significa que no son editables. Sin embargo, sí las puede utilizar con las capacidades que usted cree.
Las capacidades protegidas (internas) se señalan en la lista con el icono de una llave roja (o una llave roja y una carpeta). Las capacidades que usted crea y edita se señalan en la lista de capacidades con el icono de una llave verde (o una llave verde y una carpeta).
En esta sección se explica cómo crear, editar, asignar y cambiar de nombre las capacidades. Estas operaciones se realizan en la página Capacidades.
La página Capacidades se encuentra en la ficha Seguridad.
En la interfaz de administración, seleccione Seguridad en el menú principal.
Elija Capacidades en el menú secundario.
Se abre la página Capacidades con una lista de las capacidades de Identity Manager.
Siga el procedimiento indicado a continuación para crear una capacidad. Para clonar una capacidad, consulte Guardar y cambiar de nombre una capacidad.
En la interfaz de administración, seleccione Seguridad en el menú principal.
Elija Capacidades en el menú secundario.
Se abre la página Capacidades con una lista de las capacidades de Identity Manager.
Pulse Nuevo.
Aparece la página Crear Capacidad.
Rellene el formulario así:
Introduzca un nombre para la nueva capacidad.
Use los botones de flecha en el área Capacidades para trasladar al cuadro Capacidades asignadas las capacidades que desea asignar a los usuarios.
En el cuadro Asignadores, seleccione uno o varios usuarios que estarán autorizados para asignar esta capacidad a los demás usuarios.
Si no se selecciona ningún usuario, el único usuario que podrá asignar esta capacidad será el que creó la capacidad.
Si el usuario que creó la capacidad no tiene asignada la capacidad Asignar capacidad de usuario, deberá seleccionar uno o varios usuarios para garantizar que al menos un usuario pueda asignar la capacidad a otro usuario.
En el cuadro Organizaciones, seleccione al menos una organización para la que estará disponible esta capacidad.
Pulse Guardar.
El conjunto de usuarios seleccionables incluye los que tienen asignado el derecho de asignar capacidades.
Puede editar las capacidades no protegidas.
En la interfaz de administración, seleccione Seguridad en el menú principal.
Elija Capacidades en el menú secundario.
Se abre la página Capacidades con una lista de las capacidades de Identity Manager.
Haga clic con el botón secundario sobre la capacidad en la lista y seleccione Editar. Aparece la página Editar Capacidad.
Introduzca las modificaciones y pulse Guardar.
Las capacidades internas no se pueden editar, pero sí puede guardarlas con otros nombres para crear sus propias capacidades. También puede utilizar las capacidades internas en las capacidades que usted cree.
Para crear un capacidad nueva, puede guardar con otro nombre una capacidad que ya exista. Este proceso se denomina clonar la capacidad.
En la interfaz de administración, seleccione Seguridad en el menú principal.
Elija Capacidades en el menú secundario.
Se abre la página Capacidades con una lista de las capacidades de Identity Manager.
Haga clic con el botón secundario sobre la capacidad en la lista y seleccione Guardar como.
Aparece un cuadro de diálogo donde debe escribir un nombre para la nueva capacidad.
Escriba el nombre y pulse Aceptar.
Ahora puede editar la nueva capacidad.
Para asignar capacidades a los usuarios, utilice las páginas Crear usuario(Creación de usuarios y trabajo con cuentas de usuario) o Editar usuario (Edición de usuarios). También se pueden asignar capacidades a los usuarios asignando roles de administrador, que se configuran en el área Seguridad de la interfaz. Encontrará más información en Conceptos y administración de roles de admin.
Encontrará una lista de las capacidades funcionales (con definiciones) y basadas en tareas predeterminadas de Identity Manager en el Apéndice DDefiniciones de capacidades. En este apéndice también se indican las fichas y fichas secundarias accesibles con cada capacidad basada en tareas.
Los roles de administrador definen dos aspectos: un conjunto de capacidades y un ámbito de control. (El término "ámbito de control" se refiere a una o más organizaciones administradas.) Una vez definidos, los roles de administrador pueden asignarse a uno o varios administradores.
No hay que confundir los roles y los roles de administrador. Los roles sirven para administrar el acceso de los usuarios finales a los recursos externos, mientras que los roles de administrador se utilizan sobre todo para gestionar el acceso del administrador a los objetos de Identity Manager.
En esta sección nos limitamos a los roles de administración. Para obtener información sobre los roles, consulte Conceptos y administración de roles.
Es posible asignar varios roles de administrador a un único administrador. Ello permite que un administrador tenga un conjunto de capacidades en un ámbito de control y otro distinto en otro ámbito de control. Por ejemplo, un rol de administrador puede conceder al administrador el derecho a crear y editar usuarios para las organizaciones controladas especificadas en ese rol de administrador. Sin embargo, un segundo rol de administrador asignado al mismo administrador podría garantizar únicamente el derecho a cambiar las contraseñas de los usuarios en un conjunto distinto de organizaciones controladas definidas en el rol de administrador.
Los roles de administrador permiten reutilizar las parejas de capacidades y ámbito de control. También simplifican la gestión de los privilegios de administrador con cifras de usuarios muy elevadas. En lugar de asignar directamente capacidades y organizaciones controladas a los usuarios, conviene utilizar roles de administrador para otorgar privilegios de administrador.
La asignación de capacidades, organizaciones o ambas a un rol de administrador puede ser directa o dinámica (indirecta).
Directo. Con este método, las capacidades y/u organizaciones controladas se asignan explícitamente al rol de administrador. Por ejemplo, a un rol de administrador se le podría asignar la capacidad Administrador de informes de usuario y la organización controlada superior.
Dinámico (indirecto). Este método aplica reglas para asignar capacidades y organizaciones controladas. Las reglas se evalúan cada vez que inicia la sesión un administrador que tiene asignado el rol de administrador. Una vez autenticado un administrador, las reglas determinan dinámicamente qué conjunto de capacidades y/u organizaciones controladas se asigna.
Por ejemplo, cuando un usuario inicia la sesión:
Si su cargo de usuario de Active Directory (AD) es administrador, la regla de capacidades podría devolver Administrador de cuentas como capacidad para ser asignada.
Si su departamento de usuario de Active Directory (AD) es marketing, la regla de organizaciones controladas podría devolver Marketing como organización controlada para ser asignada.
La asignación dinámica de roles de administrador a los usuarios se puede habilitar o inhabilitar para cada interfaz de inicio de sesión (por ejemplo, interfaz de usuario o de administración). Para ello, defina el siguiente atributo de configuración del sistema en true o false:
security.authz.checkDynamicallyAssignedAdminRolesAtLoginTo.logininterface
El valor predeterminado para todas las interfaces es false.
Encontrará instrucciones para editar el objeto de configuración del sistema en Edición de objetos de configuración de Identity Manager.
Identity Manager incluye reglas de ejemplo que puede aprovechar para crear reglas de roles de administrador. Estas reglas se encuentran en el directorio de instalación de Identity Manager dentro del archivo sample/adminRoleRules.xml.
La Tabla 6–1 contiene los nombres de regla y el tipo de autorización (authType) que debe especificar con cada una.
Tabla 6–1 Ejemplos de reglas de roles de administrador
Nombre de regla |
authType |
---|---|
Regla de organizaciones controladas |
ControlledOrganizationsRule |
Regla de capacidades |
CapabilitiesRule |
Regla de usuario con rol de administrador asignado |
UserIsAssignedAdminRoleRule |
Encontrará información sobre las reglas de ejemplo suministradas para los roles de administración de usuarios de proveedores de servicios dentro de Administración delegada para usuarios de Service Provider en el Capítulo 17Administración de Service Provider.
Identity Manager incluye un rol de administrador interno: el rol de administrador de usuarios. Carece de asignaciones predeterminadas de capacidades y organizaciones controladas. No se puede eliminar. Este rol de administrador se asigna implícitamente a todos los usuarios (usuarios finales y administradores) al iniciar la sesión, con independencia de la interfaz donde la inicien (por ejemplo, usuario, administración, consola o Identity Manager IDE).
Encontrará información sobre la creación de roles de administrador para los usuarios de proveedores de servicios dentro de Administración delegada para usuarios de Service Provider en el Capítulo 17Administración de Service Provider.
El rol de administrador de usuarios se puede editar en la interfaz de administración (seleccione Seguridad y después Roles de administrador (Admin).
Como las capacidades u organizaciones controladas asignadas estáticamente mediante este rol de administrador se asignan a todos los usuarios, se recomienda utilizar reglas para asignar capacidades y organizaciones controladas. Así será posible que distintos usuarios tengan distintas (o ninguna) capacidades, mientras que el ámbito de las asignaciones dependerá de factores como quiénes son, en qué departamento trabajan o si son directivos, lo que puede consultarse en el contexto de las reglas.
El rol de administrador de usuarios no impide ni sustituye el uso de la marca authorized=true en los flujos de trabajo. Esta marca sigue siendo apropiada cuando el usuario no debería tener acceso a los objetos a los que se accede en el flujo de trabajo, excepto cuando se está ejecutando el flujo de trabajo. Básicamente, esto permite al usuario introducir un modo de ejecución como superusuario.
No obstante, a veces interesa que un usuario tenga acceso específico a uno o más objetos fuera (y potencialmente dentro) de los flujos de trabajo. En estos casos, el uso de reglas para asignar dinámicamente capacidades y organizaciones controladas permite la autorización minuciosa de dichos objetos.
Para crear o editar un rol de administrador, debe tener asignada la capacidad Administrador de roles de Admin.
Para acceder a los roles de administrador en la interfaz de administración, seleccione Seguridad y después la ficha Roles de administrador (Admin). La lista de la página Roles de administrador (Admin) sirve para crear, editar y eliminar roles de administrador para los usuarios de Identity Manager y los usuarios de proveedores de servicios.
Para editar un rol de administrador existente, haga clic en un nombre de la lista. Pulse Nuevo para crear un rol de administrador. Identity Manager muestra las opciones de la vista Crear rol de administrador (Admin) (ilustrada en la Figura 6–3). La vista Crear rol de administrador (Admin) ofrece cuatro fichas que sirven para especificar los atributos, las capacidades y el ámbito genéricos del nuevo rol de administración, así como asignaciones del rol a los usuarios.
En la ficha General de la vista de creación o edición de rol de administrador se especifican las siguientes características básicas del rol de administrador:
Nombre. Un nombre único para este rol de administrador.
Por ejemplo, podría crear el rol de administrador financiero para los usuarios que vayan a tener capacidades administrativas en el departamento (u organización) financiero.
Tipo. Elija Objetos de Identity o Usuarios de Service Provider como tipo. Este campo es necesario.
Seleccione Objetos de Identity si va a crear un rol de administrador para usuarios (u objetos) de Identity Manager. Seleccione Usuarios de Service Provider si va a crear el rol de administrador para conceder acceso a usuarios de proveedores de servicios.
Encontrará información sobre la creación de roles de administrador para otorgar acceso a los usuarios de proveedores de servicios dentro de Administración delegada para usuarios de Service Provider en el Capítulo 17Administración de Service Provider.
Asignadores. Seleccione o busque los usuarios que estarán autorizados a asignar este rol de administrador a otros usuarios. El conjunto de usuarios seleccionables incluye los que tienen asignado el derecho de asignar capacidades.
Si no se selecciona ningún usuario, el único que podrá asignar el rol de administrador será el que lo haya creado. Si el usuario que creó el rol de administrador no tiene asignada la capacidad Asignar capacidades de usuario, seleccione uno o varios usuarios como Asignadores para garantizar que al menos un usuario pueda asignar el rol de administrador a otro usuario.
Organizaciones. Seleccione una o varias organizaciones para las que estará disponible este rol de administrador. Este campo es necesario.
El administrador puede administrar objetos en la organización asignada y en cualquier organización que pertenezca a ella en la jerarquía.
Identity Manager permite controlar qué usuarios quedan dentro del ámbito de control de un usuario final.
Use la ficha Ámbito de control (Figura 6–4) para especificar las organizaciones que pueden administrar los afiliados a esta organización, o la regla determinante de las organizaciones que deben administrar los usuarios con rol de administrador, así como para seleccionar el formulario de usuario para el rol de administrador.
Organizaciones controladas. En la lista Organizaciones disponibles, seleccione las organizaciones que este rol de administrador tiene derecho a gestionar.
Regla de organizaciones controladas. Seleccione una regla que, al iniciar la sesión, evaluará las organizaciones que deben ser controladas por el usuario al que se le asigne este rol de administrador. La regla seleccionada debe tener el tipo de autenticación ControlledOrganizationsRule. De manera predeterminada no se selecciona ninguna regla de organización controlada.
Puede aplicar la regla EndUserControlledOrganizations para establecer la lógica necesaria para asegurar que el conjunto adecuado de usuarios esté disponible para delegar, de acuerdo con sus necesidades organizativas.
Si prefiere que la lista de usuarios del ámbito sea igual para los administradores, ya utilicen la interfaz de administración o de usuario final, debe cambiar la regla EndUserControlledOrganizations.
Modifique la regla para comprobar primero si el usuario autenticador es un administrador y después configure lo siguiente:
Si el usuario no es un administrador, devolver el conjunto de organizaciones que debe controlar un usuario final, como su propia organización (por ejemplo, waveset.organization).
Si el usuario es un administrador, no devolver ninguna organización, de manera que el usuario sólo controle las organizaciones que se le asignen por ser administrador.
Por ejemplo:
<Rule protectedFromDelete=’true’ authType=’EndUserControlledOrganizationsRule’ id=’#ID#End User Controlled Organizations’ name=’End User Controlled Organizations’> <Comments> If the user logging in is not an Idm administrator, then return the organization that they are a member of. Otherwise, return null. </Comments> <cond> <and> <isnull><ref>waveset.adminRoles</ref></isnull> <isnull><ref>waveset.capabilities</ref></isnull> <isnull><ref>waveset.controlledOrganizations</ref></isnull> </and> <ref>waveset.organization</ref> </cond> <MemberObjectGroups> <ObjectRef type=’ObjectGroup’ id=’#ID#Top’ name=’Top’/> </MemberObjectGroups> </Rule> |
Si el usuario o administrador pertenecen a una organización dinámica, no se devuelven en los resultados de búsqueda.
Sin embargo, es posible crear una regla para devolver usuarios en organizaciones dinámicas. Cambie la regla de ejemplo siguiente añadiendo un atributo nuevo a la definición de esquema de usuario de Identity Manager incluida en el objeto Idm Schema Configuration, importe dicho objeto y después reinicie el servidor de Identity Manager.
<IDMAttributeConfigurations> ... <IDMAttributeConfiguration name='region' syntax='STRING' description='region of the country'/> </IDMAttributeConfigurations> <IDMObjectClassConfigurations> ... <IDMObjectClassConfiguration name='User' extends='Principal' description='User description'> ... <IDMObjectClassAttributeConfiguration name='region' queryable='true'/> </IDMObjectClassConfiguration> </IDMObjectClassConfigurations> Next, import the following Identity Manager objects: <!-- User member rule that will include all users whose region attribute matches the region organization display name --> <Rule name="Region User Member Rule" authType="UserMembersRule"> <Description>User Member Rule</Description> <list> <new class='com.waveset.object.AttributeCondition'> <s>region</s> <s>equals</s> <ref>userMemberRuleOrganizationDisplayName</ref> </new> </list> <MemberObjectGroups> <ObjectRef type="ObjectGroup" id="#ID#All" name="All"/> </MemberObjectGroups> </Rule> <!-- North & South Region organizations with user member rule assigned --> <ObjectGroup id='#ID#North Region' name='North Region' displayName='North Region'> <UserMembersRule cacheTimeout='3600000'> <ObjectRef type='Rule' name='Region User Member Rule'/> </UserMembersRule> <MemberObjectGroups> <ObjectRef type='ObjectGroup' name='Top' id='#ID#Top'/> </MemberObjectGroups> </ObjectGroup> <ObjectGroup id='#ID#South Region' name='South Region' displayName='South Region'> <UserMembersRule cacheTimeout='3600000'> <ObjectRef type='Rule' name='Region User Member Rule'/> </UserMembersRule> <MemberObjectGroups> <ObjectRef type='ObjectGroup' name='Top' id='#ID#Top'/> </MemberObjectGroups> </ObjectGroup> <!-- Organization containing all employees --> <ObjectGroup id='#ID#Employees' name='Employees' displayName='Employees'> <MemberObjectGroups> <ObjectRef type='ObjectGroup' name='Top' id='#ID#Top'/> </MemberObjectGroups> </ObjectGroup> <!-- End user controlled organization rule that give each user control of the regional organization they are a member of --> <Rule protectedFromDelete='true' authType='EndUserControlledOrganizationsRule' id='#ID#End User Controlled Organizations' name='End User Controlled Organizations' primaryObjectClass='Rule'> <switch> <ref>waveset.attributes.region</ref> <case> <s>North Region</s> <s>North Region</s> </case> <case> <s>South Region</s> <s>South Region</s> </case> <case> <s>East Region</s> <s>East Region</s> </case> <case> <s>West Region</s> <s>West Region</s> </case> </switch> <MemberObjectGroups> <ObjectRef type='ObjectGroup' id='#ID#Top' name='Top'/> </MemberObjectGroups> </Rule> <!-- 4 employees (2 in North and 2 in South region) --> <User name='emp1' primaryObjectClass='User' asciipassword='1111'> <Attribute name='firstname' type='string' value='Employee'/> <Attribute name='fullname' type='string' value='Employee One'/> <Attribute name='lastname' type='string' value='One'/> <Attribute name='region' type='string' value='North Region'/> <MemberObjectGroups> <ObjectRef type='ObjectGroup' id='#ID#Employees' name='Employees' displayName='Employees'/> </MemberObjectGroups> </User> <User name='emp2' primaryObjectClass='User' asciipassword='1111'> <Attribute name='firstname' type='string' value='Employee'/> <Attribute name='fullname' type='string' value='Employee Two'/> <Attribute name='lastname' type='string' value='Two'/> <Attribute name='region' type='string' value='North Region'/> <MemberObjectGroups> <ObjectRef type='ObjectGroup' id='#ID#Employees' name='Employees' displayName='Employees'/> </MemberObjectGroups> </User> <User name='emp4' primaryObjectClass='User' asciipassword='1111'> <Attribute name='firstname' type='string' value='Employee'/> <Attribute name='fullname' type='string' value='Employee Four'/> <Attribute name='lastname' type='string' value='Four'/> <Attribute name='region' type='string' value='South Region'/> <MemberObjectGroups> <ObjectRef type='ObjectGroup' id='#ID#Employees' name='Employees' displayName='Employees'/> </MemberObjectGroups> </User> <User name='emp5' primaryObjectClass='User' asciipassword='1111'> <Attribute name='firstname' type='string' value='Employee'/> <Attribute name='fullname' type='string' value='Employee Five'/> <Attribute name='lastname' type='string' value='Five'/> <Attribute name='region' type='string' value='South Region'/> <MemberObjectGroups> <ObjectRef type='ObjectGroup' id='#ID#Employees' name='Employees' displayName='Employees'/> </MemberObjectGroups> </User> |
A continuación, inicie la sesión en la interfaz de usuario final de Identity Manager como emp1 , que se halla al norte del país. Seleccione Delegaciones -> Nuevo. Cambie el criterio de búsqueda a Comienza con y el valor a emp, después elija Buscar. Con este método se debería devolver emp2 en la lista de usuarios disponibles.
Formulario de usuario de organizaciones controladas. Seleccione el formulario de usuario que utilizará un usuario que tenga asignado este rol de administrador cuando cree o edite usuarios afiliados a estas organizaciones controladas del rol de administrador. De manera predeterminada no se selecciona ningún formulario de usuario regla de organizaciones controladas.
Un formulario de usuario asignado mediante un rol de administrador sustituye a cualquier formulario de usuario heredado de la organización a la que pertenece el administrador. No sustituye a los formularios de usuario asignados directamente al administrador.
Las capacidades asignadas al rol de administrador determinan los derechos administrativos que tienen los usuarios asignados al rol de administrador. Por ejemplo, este rol de administrador podría restringirse a la creación de usuarios exclusivamente para las organizaciones controladas especificadas del rol de administrador. En tal caso, deberá asignar la capacidad Crear usuario.
En la ficha Capacidades, seleccione las opciones siguientes.
Capacidades. Son capacidades (derechos administrativos) específicos que los usuarios del rol de administrador tendrán para sus organizaciones controladas. Elija una o más capacidades en la lista de capacidades disponibles y trasládelas a la lista Capacidades asignadas.
Regla de capacidades. Seleccione una regla de manera que, cuando se evalúe al iniciar la sesión el usuario, determine la lista de cero o más capacidades otorgadas a los usuarios que tienen el rol de administrador. La regla seleccionada debe tener el tipo de autenticación CapabilitiesRule.
Puede especificar un formulario de usuario para quienes tienen un rol de administrador. Use la ficha Asignar a usuarios de la vista de creación o edición de rol de administrador para especificar las asignaciones.
El administrador que tiene asignado el rol de administrador utilizará este formulario al crear o editar usuarios en las organizaciones controladas por dicho rol. Un formulario de usuario asignado mediante un rol de administrador sustituye a cualquier formulario de usuario heredado de la organización a la que pertenece el administrador. Este formulario no sustituye a los formularios de usuario asignados directamente al administrador.
El formulario de usuario empleado para editar un usuario se determina por este orden de prioridad:
Si hay un formulario de usuario asignado directamente al administrador, es ése el que se utiliza.
Si no hay ningún formulario de usuario asignado directamente al administrador, pero éste tiene asignado un rol de administrador que controla la organización al que pertenece el usuario que se crea o edita y se especifica un formulario de usuario, es ése el que se utiliza.
Si no hay ningún formulario de usuario asignado directamente al administrador, o asignado indirectamente mediante un rol de administrador, se utiliza el formulario asignado a las organizaciones del administrador (empezando justo después de la Superior).
Sin ninguna de las organizaciones del administrador tiene asignado un formulario, se utiliza el formulario de usuario predeterminado.
Si un administrador tiene asignados varios roles de administrador que controlan la misma organización pero especifican distintos formularios de usuario, aparece un error cuando intenta crear o editar un usuario de dicha organización. Si un administrador intenta asignar dos o más roles de administrador que controlan la misma organización pero especifican distintos formularios de usuario, también aparece un error. Los cambios no pueden guardarse hasta que se resuelve el conflicto.
La organización de usuario final brinda a los administradores un medio práctico para poner a disposición de los usuarios finales determinados objetos, como recursos y roles. Los usuarios finales pueden ver y potencialmente asignarse objetos designados a sí mismos (pendientes de proceso de aprobación) a través de la interfaz de usuario final (Inicio de sesión en la interfaz de usuario final de Identity Manager).
La organización de usuario final se introdujo en la versión 7.1.1 de Identity Manager.
Para poder conceder a los usuarios finales acceso a los objetos de configuración de Identity Manager (como roles, recursos, tareas y demás), antes los administradores tenían que editar los objetos de configuración y utilizar tareas de usuario final, recursos de usuario final y tipos de autenticación de usuario final.
Para seguir avanzando, Sun recomienda utilizar la organización de usuario final para conceder a los usuarios finales acceso a los objetos de configuración de Identity Manager.
La organización de usuario final es controlada implícitamente por todos los usuarios y les permite visualizar varios tipos de objetos, incluyendo tareas, reglas, roles y recursos. Sin embargo, la organización carece inicialmente de objetos.
La organización de usuario final pertenece a la superior y no puede tener organizaciones secundarias. Además, la organización de usuario final no aparece en la lista de la página Cuentas. A pesar de esto, cuando se modifican objetos (como roles, roles de administración, recursos, directivas, tareas, etc.) puede utilizar la interfaz de usuario de administración con el fin de que cualquier objeto esté disponible para la organización de usuario final.
Cuando los usuarios finales inician la sesión en la interfaz de usuario final, ocurre lo siguiente:
Los usuarios finales reciben el control de la organización de usuario final (ObjectGroup).
Identity Manager evalúa la regla interna de organización controlada de usuario final, que automáticamente otorga al usuario el control de todos los nombres de organización que devuelve la regla. (Esta regla se incorporó en la versión 7.1.1 de Identity Manager. Encontrará más información en la sección La regla de organización controlada de usuario final.)
Los usuarios finales reciben derechos sobre los tipos de objeto especificados en la capacidad EndUser.
El argumento de entrada para la regla de organización controlada de usuario final es la vista del usuario que se autentica. Identity Manager espera que la regla devuelva una o varias organizaciones que serán controladas por el usuario que inicia la sesión en la interfaz de usuario final. Identity Manager espera que la regla devuelva una cadena (para una sola organización) o una lista (para varias organizaciones).
Para gestionar estos objetos, los usuarios necesitan la capacidad Administrador de usuario final. Los usuarios que tienen asignada la capacidad Administrador de usuario final pueden ver y modificar el contenido de la regla de organización controlada de usuario final. Estos usuarios también pueden ver y modificar los tipos de objeto especificados en la capacidad de usuario final (EndUser).
La capacidad Administrador de usuario final se asigna de forma predeterminada al usuario Configurator. Los usuarios que han iniciado la sesión no pueden ver de forma dinámica los cambios que se producen en la lista o en las organizaciones que se devuelven al evaluar la regla de organización controlada de usuario final. Para ver los cambios tienen que cerrar la sesión y volver a iniciarla.
Si la regla de organización controlada de usuario final devuelve una organización no válida (por ejemplo, una inexistente en Identity Manager), el problema se incluye en el registro del sistema. Para solucionarlo, inicie la sesión en la interfaz de administración y corrija la regla.
Algunos procesos de flujo de trabajo generados por tareas en Identity Manager crean elementos de acción o elementos de trabajo. Estos elementos de trabajo pueden ser solicitudes de aprobación u otra solicitud de acción asignada a una cuenta de Identity Manager.
Identity Manager agrupa todos los elementos de trabajo en el área Elementos de trabajo de la interfaz, lo que permite ver y responder a todas las solicitudes pendientes desde una única ubicación.
Los elementos de trabajo pueden ser de los siguientes tipos:
Aprobaciones. Solicitudes de aprobaciones de nuevas cuentas o modificaciones de cuentas.
Autenticaciones. Solicitudes para revisar y aprobar derechos de usuario.
Remediaciones. Solicitudes para remediar o mitigar infracciones de directiva de auditoría de cuentas de usuario.
Otros. Solicitudes de elementos de acción de cualquier otro tipo. Pueden ser solicitudes de acción generadas por un flujo de trabajo personalizado.
Para ver los elementos de trabajo pendientes de cada tipo, seleccione Elementos de trabajo en el menú.
Si posee elementos de trabajo pendientes (o delegados), cuando inicie la sesión en la interfaz de usuario de Identity Manager aparecerá su lista de Elementos de trabajo.
Para responder a una solicitud de elemento de trabajo, haga clic en uno de los tipos de elementos de trabajo dentro del área Elementos de trabajo de la interfaz. Seleccione elementos de la lista de solicitudes y después pulse uno de los botones disponibles para indicar la acción que desear realizar. Las opciones de los elementos de trabajo varían según su tipo.
Encontrará más información para responder a las solicitudes en los temas siguientes:
La ficha Historial del área Elementos de trabajo muestra los resultados de las acciones de elementos de trabajo anteriores.
La Figura 6–5 muestra una vista de ejemplo del historial de elementos de trabajo.
Los propietarios de elementos de trabajo pueden manejar las cargas de trabajo delegando elementos de trabajo en otros usuarios durante un periodo concreto. La página Elementos de trabajo -> Delegar mis elementos de trabajo del menú principal sirve para delegar futuros elementos de trabajo (como solicitudes de aprobación) en uno o más usuarios (delegados). No es necesario que los usuarios dispongan de capacidades de aprobador para ser delegados.
La función de delegación se aplica únicamente a elementos de trabajo futuros. Los elementos existentes (los indicados en Mis elementos de trabajo) se deben remitir selectivamente mediante la función de reenvío.
También se pueden delegar elementos de trabajo desde otras páginas:
En las páginas Crear usuario y Editar usuario de la interfaz de administración (Páginas de usuario (Crear/Editar/Ver)). Haga clic en la ficha Delegaciones.
En la interfaz de usuario final (Interfaz de usuario final de Identity Manager), los usuarios pueden seleccionar la opción de menú Delegaciones.
Los delegados pueden aprobar elementos de trabajo en nombre de los propietarios de dichos elementos durante el periodo de delegación efectivo. Los elementos de trabajo delegados incluyen el nombre del delegado.
Cualquier usuario puede crear una o más delegaciones para sus elementos de trabajo futuros. Los administradores que pueden editar un usuario también pueden crear una delegación en nombre de dicho usuario. Sin embargo, un administrador no puede delegar en alguien en quien no pueda delegar el usuario. (En lo que respecta a las delegaciones, el ámbito de control del administrador es igual que el del usuario en cuyo nombre se delega.)
Las entradas del registro de auditoría muestran el nombre del delegador cuando se aprueban o rechazan elementos de trabajo delegados. Los cambios realizados en la información del aprobador delegado de un usuario se registran en la sección de cambios detallados de la entrada de registro de auditoría cuando se crea o se modifica un usuario.
Las delegaciones se ven en la página Delegaciones actuales.
En la interfaz de administración, seleccione Elementos de trabajo en el menú principal.
Elija Delegar mis elementos de trabajo en el menú secundario.
Identity Manager muestra la página Delegaciones actuales, donde puede ver y editar las delegaciones vigentes.
Las delegaciones anteriores se ven en la página Delegaciones anteriores.
En la interfaz de administración, seleccione Elementos de trabajo en el menú principal.
Elija Delegar mis elementos de trabajo en el menú secundario.
Aparece la página Delegaciones actuales.
Haga clic en Anterior.
Aparece la página Delegaciones anteriores. Los elementos de trabajo delegados con anterioridad se pueden aprovechar para configurar nuevas delegaciones.
Las delegaciones se crean en la página Nueva delegación.
En la interfaz de administración, seleccione Elementos de trabajo en el menú principal.
Seleccione Delegar mis elementos de trabajo.
Aparece la página Delegaciones actuales.
Pulse Nuevo.
Aparece la página Nueva delegación.
Rellene el formulario así:
Seleccione un tipo de elemento de trabajo en la lista Seleccionar tipo de elemento de trabajo para delegar. Para delegar todos sus elementos de trabajo, seleccione Todos los tipos de elementos de trabajo.
Si va a delegar un elemento de trabajo de tipo de rol, organización o recurso, especifique los roles, organizaciones o recursos concretos que deben definir esta delegación utilizando las flechas para trasladarlos de la columna Disponible a la columna Seleccionado.
Delegar elementos de trabajo a.
Seleccione una de estas opciones:
Usuarios seleccionados. Le sirve para buscar usuarios de su ámbito de control (por nombre) para convertirlos en delegados. Si alguno de los delegados seleccionados ha delegado también sus elementos de trabajo, las solicitudes de elementos de trabajo futuras se delegarán a los delegados de ese delegado.
Seleccione uno o más usuarios en el área Usuarios seleccionados. Otra posibilidad es elegir Agregar de búsqueda para abrir la función de búsqueda y buscar usuarios. Pulse Agregar para agregar un usuario encontrado a la lista. Para eliminar un delegado de la lista, selecciónelo y, a continuación, haga clic en Eliminar.
Mi administrador. Esta opción delega los elementos de trabajo en su administrador (si está asignado).
Regla de elementos de trabajo delegados. Seleccione una regla que devuelva una lista de nombres de usuario de Identity Manager en quienes pueda delegar el tipo de elemento de trabajo seleccionado.
Fecha de inicio. Seleccione la fecha en la que debe comenzar la delegación del elemento de trabajo. De forma predeterminada, el día seleccionado comienza a las 12:01 a.m.
Fecha final. Seleccione la fecha en la que debe terminar la delegación del elemento de trabajo. De forma predeterminada, el día seleccionado finaliza a las 11:59 p.m.
Puede elegir la misma fecha inicial y final para delegar elementos de trabajo sólo durante un día.
Pulse Aceptar para guardar las selecciones y regresar a la lista de elementos de trabajo en espera de aprobación.
Una vez configurada la delegación, todos los elementos de trabajo que se creen durante el periodo efectivo de delegación se añadirán a la lista del delegado. Si el usuario termina una delegación o el periodo de delegación caduca, los elementos de trabajo delegados se devuelven a su lista. En consecuencia, pueden duplicarse elementos de trabajo en la lista. No obstante, Al aprobar o rechazar un elemento, su duplicado se suprime automáticamente de la lista.
Cuando se elimina un usuario que es propietario de elementos de trabajo pendientes, Identity Manager actúa así:
Si los elementos de trabajo pendientes se han delegado y el delegador no se ha eliminado, dichos elementos se devuelven al delegador.
Si los elementos de trabajo pendientes no se han delegado, o se han delegado y el delegador se ha eliminado, el intento de eliminación no tendrá efecto hasta que los elementos de trabajo pendientes se hayan resuelto o remitido a otro usuario.
Las delegaciones se terminan en la página Delegaciones actuales.
En la interfaz de administración, seleccione Elementos de trabajo en el menú principal.
Elija Delegar mis elementos de trabajo en el menú secundario.
Aparece la página Delegaciones actuales.
Seleccione una o varias delegaciones para terminarlas y después haga clic en Finalizar.
Identity Manager suprime las configuraciones de delegación seleccionadas y devuelve a la lista de elementos pendientes todos los elementos de trabajo delegados del tipo elegido.
Cuando se añade un usuario al sistema Identity Manager, los administradores asignados como aprobadores de nuevas cuentas deben validar la creación de la cuenta.
Identity Manager ofrece tres categorías de aprobación:
Organización. Hace falta aprobación para añadir la cuenta de usuario a la organización.
Rol. Hace falta aprobación para asignar la cuenta de usuario a un rol.
Recurso. Hace falta aprobación para proporcionar acceso a un recurso a la cuenta de usuario.
Además, si se habilitan las aprobaciones de cambio y se efectúan cambios en un rol, se envía un elemento de trabajo de aprobación de cambio a los propietarios de rol designados.
Identity Manager permite aprobaciones de cambios por definición de roles. Si un administrador cambia una definición de rol, se necesita que un propietario del rol apruebe los cambios. Para que el cambio sea efectivo, un propietario del rol debe aprobar el elemento de trabajo.
Identity Manager puede configurarse para aprobaciones por firma digital. Encontrará las instrucciones en Configuración de aprobaciones y acciones por firma digital.
Los nuevos administradores de Identity Manager a veces confunden el concepto de aprobación con el de autenticación. Aunque puedan parecer similares, se producen en contextos distintos.
Las aprobaciones están relacionadas con la validación de nuevas cuentas de usuario. Cuando se añade un usuario a Identity Manager, pueden hacer falta una o más aprobaciones para validar la autorización de la nueva cuenta.
Las autenticaciones están relacionadas con la verificación de que los usuarios existentes sólo tienen los privilegios adecuados en los recursos adecuados. Dentro de un proceso de revisión de acceso periódico, se puede instar a un usuario de Identity Manager (el autenticador) a que certifique si son válidos y correctos los datos de la cuenta de otro usuario (es decir, los recursos que tiene asignados). Este proceso se denomina autenticación.
Configurar aprobadores de cuentas para las aprobaciones de organizaciones, roles y recursos es optativo, pero aconsejable. Por cada categoría donde se configuran aprobadores se necesita al menos una aprobación para crear una cuenta. Si un aprobador rechaza una solicitud de aprobación, no se crea la cuenta.
Es posible asignar más de un aprobador a cada categoría. Como sólo se precisa una aprobación dentro de una categoría, es posible configurar diversos aprobadores para contribuir a impedir que el flujo de trabajo se retrase o detenga. Si un aprobador no está disponible, lo estarán otros para gestionar las aprobaciones. La aprobación sólo se aplica a la creación de cuentas. De manera predeterminada, las actualizaciones y eliminaciones de cuentas no requieren aprobación. Sin embargo, es posible personalizar este proceso para que sí la requiera.
Los flujos de trabajo se pueden personalizar aprovechando Identity Manager IDE para cambiar el flujo de aprobaciones, capturar las eliminaciones de cuentas y las actualizaciones.
Encontrará información sobre Identity Manager IDE en https://identitymanager.dev.java.net. Para obtener información sobre los flujos de trabajo y consultar un ejemplo ilustrado de su alteración, consulte el Capítulo 1, Workflow de Sun Identity Manager Deployment Reference.
Los aprobadores de Identity Manager pueden aprobar o rechazar una solicitud de aprobación.
Los administradores pueden ver y gestionar las aprobaciones pendientes desde el área Elementos de trabajo de la interfaz de Identity Manager. En la página Elementos de trabajo, seleccione Mis elementos de trabajo para ver las aprobaciones pendientes. Haga clic en la ficha Aprobaciones para administrar aprobaciones.
Para aprobar un elemento de trabajo mediante una firma digital, primero debe configurarla como se explica en Configuración de aprobaciones y acciones por firma digital.
En la interfaz de administración de Identity Manager, seleccione Elementos de trabajo.
Haga clic en la ficha Aprobaciones.
Seleccione una o varias aprobaciones en la lista.
Introduzca comentarios referentes a la aprobación y haga clic en Aprobar.
Identity Manager le preguntará si se debe confiar en el applet.
Haga clic en Siempre.
Identity Manager muestra un resumen fechado de la aprobación.
Introduzca o pulse Examinar para buscar la ubicación del almacén de claves. (Esta ubicación se establece al configurar la aprobación mediante firma, como se explica en el paso 10m del procedimiento Para habilitar la configuración del lado del servidor para aprobaciones firmadas mediante PKCS12. )
Introduzca la contraseña del almacén de claves, que se establece al configurar la aprobación mediante firma, como se explica en el paso 10l del procedimiento Para habilitar la configuración del lado del servidor para aprobaciones firmadas mediante PKCS12.
Haga clic en Firmar para aprobar la solicitud.
Tras firmar una aprobación, para las acciones de aprobación posteriores sólo se requerirá que introduzca la contraseña del almacén de claves y que después haga clic en Firmar. (Identity Manager recuerda la ubicación del almacén de claves desde la aprobación anterior.)
Utilice la información y los procedimientos descritos a continuación para configurar la operación de firma digital. Es posible firmar digitalmente:
Aprobaciones (incluidas las de cambios)
Acciones de revisión de acceso
Remediaciones de infracciones de cumplimiento
En esta sección se explica la configuración del lado del servidor y del lado del cliente necesaria para agregar el certificado y la CRL a Identity Manager para las aprobaciones firmadas.
Abra el objeto de configuración del sistema para editarlo y defina security.nonrepudiation.signedApprovals=true
Encontrará instrucciones para editar el objeto de configuración del sistema en Edición de objetos de configuración de Identity Manager.
En caso de utilizar PKCS11, también deberá definir security.nonrepudiation.defaultKeystoreType=PKCS11
Si utiliza un proveedor de claves PKCS11 personalizado, también deberá definir security.nonrepudiation.defaultPKCS11KeyProvider= nombre de su proveedor
Para obtener más información acerca de cuándo es necesario incluir un proveedor personalizado, consulte los elementos siguientes en el kit REF.
com.sun.idm.ui.web.applet.transactionsigner.DefaultPKCS11KeyProvider (Javadoc) REF/transactionsigner/SamplePKCS11KeyProvider |
El kit REF (Resource Extension Facility) se encuentra en el directorio /REF del CD del producto o en la imagen de instalación.
Agregue los certificados de su autoridad de certificación (AC) como certificados de confianza. Para ello debe obtener primero una copia de los certificados.
Por ejemplo, si utiliza una autoridad de certificación de Microsoft, siga un procedimiento como éste:
Agregue el certificado a Identity Manager como un certificado de confianza:
En la interfaz de administración, seleccione Seguridad y después Certificados. Identity Manager muestra la página Certificados.
En el área Certificados de CA en los que se confía, haga clic en Añadir. Identity Manager muestra la página Importar certificado.
Busque y seleccione el certificado de confianza y haga clic en Importar.
Al hacerlo, el certificado aparece en la lista de certificados de confianza.
Agregue la lista de revocación de certificados (CRL) de su AC.
En el área CRLs de la página Certificados, pulse Agregar.
Especifique la URL de la CRL emitida por la autoridad de certificación (AC).
La lista de revocación de certificados (CRL) es una lista de números de serie de certificados que se han revocado o no son válidos.
La URL de la CRL emitida por la autoridad de certificación (AC) puede ser http o LDAP.
Cada AC tiene una URL distinta donde se distribuyen las CRL. Puede averiguar cuál es examinando la extensión de puntos de distribución de CRL del certificado.
Haga clic en Conexión de prueba para verificar la URL.
Haga clic en Guardar.
Firme los applets/ts2.jar mediante jarsigner.
Encontrará más información en http://java.sun.com/j2se/1.5.0/docs/tooldocs/windows/jarsigner.html. El archivo ts2.jar suministrado con Identity Manager se firma mediante un certificado firmado automáticamente y no debe utilizarse con sistemas de producción. En producción conviene volver a firmar este archivo utilizando un certificado de firma codificada emitido por su AC de confianza.
La siguiente información de configuración corresponde a aprobaciones firmadas mediante PKCS12. Obtenga un certificado y una clave privada, y después expórtelos a un almacén de claves PKCS#12. Por ejemplo, si utiliza una autoridad de certificación de Microsoft, siga un procedimiento como éste:
Identity Manager ahora requiere como mínimo JRE 1.5.
Con Internet Explorer, vaya a http://IPAddress/certsrv e inicie la sesión con privilegios administrativos.
Seleccione Request a certificate y pulse Next.
Seleccione Advanced request y pulse Next.
Pulse Next.
Seleccione User for Certificate Template.
Seleccione estas opciones:
Pulse Submit y después OK.
Haga clic en Install this certificate.
Seleccione Run -> mmc para iniciar mmc.
Agregue el componente de certificado:
Seleccione Console -> Add/Remove Snap-in.
Haga clic en Add.
Seleccione Computer account.
Pulse Next y después Finish.
Haga clic en Close.
Haga clic en OK.
Vaya a Certificates -> Personal -> Certificates.
Haga clic con el botón secundario en Administrator All Tasks -> Export.
Pulse Siguiente.
Pulse Next para confirmar la exportación de la clave privada.
Pulse Siguiente.
Introduzca una contraseña y pulse Next.
Archivo CertificateLocation.
Pulse Next y después Finish. Pulse OK para confirmar.
Anote la información utilizada en los pasos 10l (contraseña) y 10m (ubicación del certificado) de la configuración del lado del cliente. Necesitará dicha información para firmar aprobaciones.
Si va a utilizar PKCS11 para las aprobaciones firmadas
Consulte los recursos siguientes en el kit REF para obtener información sobre la configuración:
com.sun.idm.ui.web.applet.transactionsigner.DefaultPKCS11KeyProvider (Javadoc) REF/transactionsigner/SamplePKCS11KeyProvider |
El kit REF (Resource Extension Facility) se encuentra en el directorio /REF del CD del producto o en la imagen de instalación.
A continuación se explica el procedimiento para ver firmas de transacciones en un informe de registro de auditoría de Identity Manager.
En la interfaz de administración de Identity Manager, seleccione Informes.
En la página Ejecutar informes, elija Informe de AuditLog dentro de la lista de opciones Nuevo.
En el campo Título del informe, escriba un título (por ejemplo, Aprobaciones).
En el área de selección Organizaciones, seleccione todas las organizaciones.
Elija la opción Acciones y después Aprobar.
Haga clic en Guardar para guardar el informe y volver a la página Ejecutar informes.
Haga clic en Ejecutar para ejecutar el informe Aprobaciones.
Seleccione el vínculo de detalles para ver la información de la firma de transacción.
La información de la firma de transacción puede incluir:
Emisor
Asunto
Número de serie de certificado
Mensaje firmado
Firma
Algoritmo de firma
Identity Manager le permite agregar a su proceso de aprobación aprobaciones firmadas en formato XMLDSIG, incluida una marca de fecha y hora digital conforme con RFC. Cuando se configura Identity Manager para utilizar aprobaciones firmadas en formato XMLDSIG, los aprobadores no perciben los cambios a no ser que visualicen la aprobación en el registro de auditoría. Sólo varía el formato de la aprobación firmada que se almacena en el registro de auditoría.
Como en el caso de las anteriores aprobaciones firmadas en Identity Manager, en la máquina cliente se ejecuta un applet y se presenta al aprobador la información de aprobación para que la firme. A continuación, elige un almacén de claves y una clave para firmar la aprobación.
Una vez que el aprobador ha firmado la aprobación, se crea un documento XMLDSIG que contiene los datos de la aprobación. Este documento se devuelve al servidor, que valida el documento firmado en XMLDSIG. Si el resultado es satisfactorio y se han configurado marcas digitales de fecha y hora RFC 3161, también se genera una marca digital de fecha y hora para este documento. La marca de fecha y hora emitida por la autoridad de marca de fecha y hora (TSA) se verifica para detectar posibles errores y se validan sus certificados. Por último, si todo es correcto, Identity Manager genera un registro de auditoría que incluye el objeto de la aprobación firmada en formato XMLDSIG dentro de la columna blob XML.
Éste es el formato de un objeto de aprobación en formato XMLDSIG:
<XMLSignedData signedContent="...base64 transaction text ..."> <XMLSignature> <TSATimestamp> ...The base64 encoded PKCS7 timestamp token returned by the TSA... </TSATimestamp <Signature> <SignedInfo>...XMLDSIG stuff...</SignedInfo> <SignatureValue>...base64 signature value</SignatureValue> <KeyInfo>...cert info for signer</KeyInfo> </Signature> </XMLSignature> </XMLSignedData>
donde:
Los datos de aprobación base64 son el texto de los datos de la aprobación real presentado al aprobador en el applet, codificado en formato base64.
El elemento <TSATimestamp> contiene la respuesta de marca de fecha y hora PKCS7 codificada en base64 procedente de la autoridad de marcas de fecha y hora (TSA).
El elemento <Signature> contiene los datos de la firma en XMLDSIG.
Este documento XMLDSIG se almacena en la columna XML del registro de aprobación del registro de auditoría.
Los requisitos de instalación y configuración para utilizar aprobaciones firmadas en formato XMLDSIG son iguales a los descritos dentro del apartado Para habilitar la configuración del lado del servidor para aprobaciones firmadas, pero con un paso más. Debe firmar el archivo xmlsec-1.4.2.jar además del archivo ts2.jar.
Puede utilizar los atributos de configuración del sistema para:
Elegir el formato SignedData o XMLSignedData . Recuerde que sólo puede configurar un único formato simultáneamente, aunque los administradores pueden cambiar este valor según convenga.
Incluir una marca digital de fecha y hora obtenida de una autoridad de marcas de fecha y hora (TSA) configurada conforme con RFC 3161.
Especificar una URL, sólo en HTTP, desde la cual obtener esta marca de fecha y hora.
Si desea editar estos atributos, utilice las páginas de depuración de Identity Manager para editar el objeto de configuración del sistema. Todos estos atributos se encuentran dentro de security.nonrepudiation, junto con otros atributos de aprobación firmada.
Los atributos XMLDSIG incluyen:
security.nonrepudiation.useXmlDigitalSignatures es un valor booleano que habilita las firmas XMLDSIG.
security.nonrepudiation.timestampXmlDigitalSignatures es un valor booleano que incluye marcas digitales de fecha y hora RFC 3161 en firmas XMLDSIG.
security.nonrepudiation.timestampServerURL es un valor de cadena donde la URL señala a la TSA basada en HTTP de la cual se obtienen marcas de fecha y hora.
Para que cualquiera de los atributos anteriores tenga efecto, antes debe configurar el atributo useSignedApprovals existente en true.
Identity Manager no admite varias firmas en una única aprobación ni aprobaciones firmadas para solicitudes de abastecimiento más genéricas.