Creación y gestión de administradores

Esta sección consta de los temas siguientes:

• Creación de un administrador

• Filtración de vistas de administrador

• Cambio de contraseñas de administrador

• Acciones de desafío del administrador

• Cambio de respuestas a preguntas de autenticación

• Personalización de la visualización del nombre del administrador en la interfaz de administración

Creación de un administrador

Para crear un administrador, asigne una o más capacidades a un usuario y designe las organizaciones a las que se deben aplicar las capacidades.

1. En la interfaz de administración, seleccione Cuentas en la barra de menús.

   Aparece la página Lista de usuarios.

2. Para conceder privilegios administrativos a un usuario existente, haga clic en el nombre de usuario (se abrirá la página Editar usuario) y después en la ficha Seguridad.

   Si hace falta crear una cuenta de usuario nueva, consulte Creación de usuarios y trabajo con cuentas de usuario.

3. Especifique atributos para establecer el control administrativo.

   Los atributos disponibles incluyen:

   • Capacidades. Seleccione una o más capacidades que deben asignarse a este administrador. Esta información es necesaria. Para obtener más información, consulte Conceptos y administración de capacidades.

   • Organizaciones controladas. Seleccione una o más organizaciones que deben asignarse a este administrador. El administrador controla los objetos en la organización asignada y en todas aquéllas que se encuentren por debajo de ella en la jerarquía. Esta información es necesaria. Para obtener más información, consulte Qué son las organizaciones en Identity Manager.

   • Formulario de usuario. Seleccione el formulario de usuario que debe utilizar este administrador al crear y editar usuarios de Identity Manager (si tiene asignada esta capacidad). Si no asigna directamente un formulario de usuario, el administrador heredará el formulario de usuario asignado a la organización a la que pertenece. El formulario que se seleccione aquí sustituirá cualquier formulario seleccionado dentro de la organización del administrador.

   • Reenviar las solicitudes de aprobación a. Seleccione un usuario para reenviarle todas las solicitudes de aprobación que hay pendientes. Esta configuración de administrador puede ser también establecida desde la página de aprobaciones.

   • Delegar elementos de trabajo a. Si esta opción se encuentra disponible, úsela para especificar las delegaciones de esta cuenta de usuario. Puede especificar el gestor del administrador, uno o varios usuarios seleccionados, o utilizar una regla de aprobadores delegados.

     

Filtración de vistas de administrador

Al asignar formularios de usuario a organizaciones y administradores, establece vistas de administrador específicas de las información de usuario.

El acceso a la información de usuario se configura en dos niveles:

• Organización. Cuando se crea una organización, se asigna el formulario de usuario que todos los administradores de la misma utilizarán al crear y editar usuarios de Identity Manager. Cualquier formulario configurado en el nivel de administrador sustituye al formulario configurado aquí. Si no se selecciona ningún formulario para el administrador o la organización, Identity Manager hereda el formulario seleccionado para la organización principal. Si no se configura aquí ningún formulario, Identity Manager utiliza el formulario predeterminado definido en la configuración del sistema.

• Administrador. Cuando se asignan capacidades administrativas a un usuario, se puede asignar directamente un formulario de usuario al administrador. Si no se asigna ningún formulario, el administrador hereda el formulario asignado a esta organización (o el formulario predeterminado definido en la configuración del sistema en caso de que no haya ningún formulario asignado a la organización).

Conceptos y administración de capacidades describe las capacidades integradas de Identity Manager que se pueden asignar.

Cambio de contraseñas de administrador

Las contraseñas de administrador pueden ser cambiadas por un administrador que tenga asignadas capacidades para cambiar las contraseñas administrativas o por el propietario-administrador.

Los administradores pueden cambiar las contraseñas de otros administradores mediante los formularios siguientes:

• Formulario Modificar contraseña de usuario Este formulario puede abrirse de dos formas:

  • Al hacer clic en Cuentas dentro del menú. Aparece la Lista de usuarios. Seleccione un administrador y después elija Cambiar contraseña en la lista Acciones de Usuario. Aparece la página Modificar contraseña de usuario.

  • Al hacer clic en Contraseñas dentro del menú. Aparece la página Modificar contraseña de usuario.

• Formulario de usuario con fichas. Al hacer clic en Cuentas dentro del menú. Aparece la Lista de usuarios. Seleccione un administrador y después elija Editar en el menú Acciones de Usuario. Aparece la página “Editar usuario” (formulario de usuario con fichas). En la ficha Identidad del formulario, escriba una contraseña nueva dentro de los campos Contraseña y Confirmar contraseña.

Un administrador puede cambiar su propia contraseña en el área Contraseñas. Haga clic en Contraseñas dentro del menú y después elija Cambiar mi contraseña.

La directiva de cuentas de Identity Manager que se aplica a la cuenta determina las limitaciones de las contraseñas, como su caducidad, las opciones de reinicialización y las selecciones de notificación. Es posible definir otras limitaciones para las contraseñas mediante las directivas de contraseñas configuradas en los recursos del administrador.

Acciones de desafío del administrador

Es posible configurar Identity Manager para que solicite una contraseña a los administradores antes de procesar ciertas modificaciones de las cuentas. Si falla la autenticación, se cancelarán las modificaciones de la cuenta.

Los administradores pueden cambiar las contraseñas de los usuarios con tres formularios: el formulario de usuario con fichas, el de cambio de contraseña de usuario y el de reinicialización de contraseña de usuario. No olvide actualizar los tres formularios para asegurarse de que se solicite a los administradores la introducción de sus contraseñas antes de que Identity Manager procese las modificaciones de las cuentas de usuario.

Habilitación de la opción de desafío para los formularios de usuario con fichas

Para exigir un desafío de contraseña en el formulario de usuario con fichas, siga estos pasos.

1. En la interfaz de administración, abra la página de depuración de Identity Manager (Página de depuración de Identity Manager) introduciendo la URL siguiente en el navegador. (Para abrir esta página debe tener capacidad de depuración.)

   http://<AppServerHost>:< Port>/idm/debug/session.jsp

   Aparece la página de configuración del sistema (página de depuración de Identity Manager).

2. Busque el botón List Objects, elija UserForm en el menú desplegable y haga clic en el botón ListObjects.

   Aparece la página List Objects of type: UserForm.

3. Busque la copia del formulario de usuario con fichas que tenga en producción y haga clic en Edit. (El formulario de usuario con fichas distribuido con Identity Manager es una plantilla que no debe modificarse.)

4. Agregue el fragmento de código siguiente dentro del elemento <Form>:

   <Properties> <Property name=’RequiresChallenge’> <List> <String>password</String> <String>email</String> <String>fullname</String> </List> </Property> </Properties>

   El valor de property es una lista que puede contener uno o más de los siguientes nombres de atributo de vista de usuario:

   • applications

   • adminRoles

   • assignedLhPolicy

   • capabilities

   • controlledOrganizations

   • email

   • firstname

   • fullname

   • lastname

   • organization

   • password

   • resources

   • roles

5. Guarde las modificaciones.

Habilitación de la opción de desafío para los formularios de cambio de contraseña de usuario y de reinicialización de contraseña de usuario

Para exigir un desafío de contraseña en los formularios de cambio de contraseña de usuario y de reinicialización de contraseña de usuario, siga estos pasos:

1. En la interfaz de administración, abra la página de depuración de Identity Manager (Página de depuración de Identity Manager) introduciendo la URL siguiente en el navegador. (Para abrir esta página debe tener capacidad de depuración.)

   http://<AppServerHost>:< Port>/idm/debug/session.jsp

   Aparece la página de configuración del sistema (página de depuración de Identity Manager).

2. Busque el botón List Objects, elija UserForm en el menú desplegable y haga clic en el botón ListObjects.

   Aparece la página List Objects of type: UserForm.

3. Busque la copia del formulario de cambio de contraseña de usuario que tenga en producción y haga clic en Edit. (El formulario de cambio de contraseña de usuario distribuido con Identity Manager es una plantilla que no debe modificarse.)

4. Busque el elemento <Form> y después vaya al elemento <Properties>.

5. Agregue la línea siguiente dentro del elemento <Properties> y guarde las modificaciones.

   <Property name=’RequiresChallenge’ value=’true’/>

6. Repita los pasos 3 - 5, pero editando la copia del fromulario de reinicialización de contraseña de usuario que tenga en producción.

Cambio de respuestas a preguntas de autenticación

Si desea cambiar las respuestas que hay definidas para las preguntas de autenticación de cuentas, use el área Contraseñas. En la barra de menús, seleccione Contraseñas y después Modificar mis respuestas.

Para obtener más información sobre autenticación, consulte la sección Autenticación de usuarios en el Capítulo 3Administración de usuarios y de cuentas.

Personalización de la visualización del nombre del administrador en la interfaz de administración

En algunas páginas y áreas de la interfaz de administración de Identity Manager se puede visualizar el administrador de Identity Manager por atributo (por ejemplo, email o fullname) en lugar de por el ID de cuenta.

Por ejemplo, es posible ver los administradores de Identity Manager por atributo en estas áreas:

• Editar usuario (lista de selección de envío de aprobaciones)

• Tabla de roles

• Crear/Editar rol

• Crear/Editar recurso

• Crear/Editar unión de directorios

• Aprobaciones

Si desea configurar Identity Manager para que use un nombre de visualización, agregue lo siguiente al objeto UserUIConfig :

<AdminDisplayAttribute>
  <String>attribute_name</String>
</AdminDisplayAttribute>

Por ejemplo, para usar el atributo email como nombre de visualización, agregue el siguiente nombre de atributo a UserUIconfig:

<AdminDisplayAttribute>
  <String>email</String>
</AdminDisplayAttribute>