Aprobación de cuentas de usuario

Cuando se añade un usuario al sistema Identity Manager, los administradores asignados como aprobadores de nuevas cuentas deben validar la creación de la cuenta.

Identity Manager ofrece tres categorías de aprobación:

• Organización. Hace falta aprobación para añadir la cuenta de usuario a la organización.

• Rol. Hace falta aprobación para asignar la cuenta de usuario a un rol.

• Recurso. Hace falta aprobación para proporcionar acceso a un recurso a la cuenta de usuario.

Además, si se habilitan las aprobaciones de cambio y se efectúan cambios en un rol, se envía un elemento de trabajo de aprobación de cambio a los propietarios de rol designados.

Identity Manager permite aprobaciones de cambios por definición de roles. Si un administrador cambia una definición de rol, se necesita que un propietario del rol apruebe los cambios. Para que el cambio sea efectivo, un propietario del rol debe aprobar el elemento de trabajo.

• Identity Manager puede configurarse para aprobaciones por firma digital. Encontrará las instrucciones en Configuración de aprobaciones y acciones por firma digital.

• Los nuevos administradores de Identity Manager a veces confunden el concepto de aprobación con el de autenticación. Aunque puedan parecer similares, se producen en contextos distintos.

  Las aprobaciones están relacionadas con la validación de nuevas cuentas de usuario. Cuando se añade un usuario a Identity Manager, pueden hacer falta una o más aprobaciones para validar la autorización de la nueva cuenta.

  Las autenticaciones están relacionadas con la verificación de que los usuarios existentes sólo tienen los privilegios adecuados en los recursos adecuados. Dentro de un proceso de revisión de acceso periódico, se puede instar a un usuario de Identity Manager (el autenticador) a que certifique si son válidos y correctos los datos de la cuenta de otro usuario (es decir, los recursos que tiene asignados). Este proceso se denomina autenticación.

Configuración de aprobadores de cuentas

Configurar aprobadores de cuentas para las aprobaciones de organizaciones, roles y recursos es optativo, pero aconsejable. Por cada categoría donde se configuran aprobadores se necesita al menos una aprobación para crear una cuenta. Si un aprobador rechaza una solicitud de aprobación, no se crea la cuenta.

Es posible asignar más de un aprobador a cada categoría. Como sólo se precisa una aprobación dentro de una categoría, es posible configurar diversos aprobadores para contribuir a impedir que el flujo de trabajo se retrase o detenga. Si un aprobador no está disponible, lo estarán otros para gestionar las aprobaciones. La aprobación sólo se aplica a la creación de cuentas. De manera predeterminada, las actualizaciones y eliminaciones de cuentas no requieren aprobación. Sin embargo, es posible personalizar este proceso para que sí la requiera.

Los flujos de trabajo se pueden personalizar aprovechando Identity Manager IDE para cambiar el flujo de aprobaciones, capturar las eliminaciones de cuentas y las actualizaciones.

Encontrará información sobre Identity Manager IDE en https://identitymanager.dev.java.net. Para obtener información sobre los flujos de trabajo y consultar un ejemplo ilustrado de su alteración, consulte el Capítulo 1, Workflow de Sun Identity Manager Deployment Reference.

Los aprobadores de Identity Manager pueden aprobar o rechazar una solicitud de aprobación.

Los administradores pueden ver y gestionar las aprobaciones pendientes desde el área Elementos de trabajo de la interfaz de Identity Manager. En la página Elementos de trabajo, seleccione Mis elementos de trabajo para ver las aprobaciones pendientes. Haga clic en la ficha Aprobaciones para administrar aprobaciones.

Firma de aprobaciones

Para aprobar un elemento de trabajo mediante una firma digital, primero debe configurarla como se explica en Configuración de aprobaciones y acciones por firma digital.

Para firmar una aprobación

1. En la interfaz de administración de Identity Manager, seleccione Elementos de trabajo.

2. Haga clic en la ficha Aprobaciones.

3. Seleccione una o varias aprobaciones en la lista.

4. Introduzca comentarios referentes a la aprobación y haga clic en Aprobar.

   Identity Manager le preguntará si se debe confiar en el applet.

5. Haga clic en Siempre.

   Identity Manager muestra un resumen fechado de la aprobación.

6. Introduzca o pulse Examinar para buscar la ubicación del almacén de claves. (Esta ubicación se establece al configurar la aprobación mediante firma, como se explica en el paso 10m del procedimiento Para habilitar la configuración del lado del servidor para aprobaciones firmadas mediante PKCS12. )

7. Introduzca la contraseña del almacén de claves, que se establece al configurar la aprobación mediante firma, como se explica en el paso 10l del procedimiento Para habilitar la configuración del lado del servidor para aprobaciones firmadas mediante PKCS12.

8. Haga clic en Firmar para aprobar la solicitud.

Firma de aprobaciones posteriores

Tras firmar una aprobación, para las acciones de aprobación posteriores sólo se requerirá que introduzca la contraseña del almacén de claves y que después haga clic en Firmar. (Identity Manager recuerda la ubicación del almacén de claves desde la aprobación anterior.)

Configuración de aprobaciones y acciones por firma digital

Utilice la información y los procedimientos descritos a continuación para configurar la operación de firma digital. Es posible firmar digitalmente:

• Aprobaciones (incluidas las de cambios)

• Acciones de revisión de acceso

• Remediaciones de infracciones de cumplimiento

En esta sección se explica la configuración del lado del servidor y del lado del cliente necesaria para agregar el certificado y la CRL a Identity Manager para las aprobaciones firmadas.

Para habilitar la configuración del lado del servidor para aprobaciones firmadas

1. Abra el objeto de configuración del sistema para editarlo y defina security.nonrepudiation.signedApprovals=true

   Encontrará instrucciones para editar el objeto de configuración del sistema en Edición de objetos de configuración de Identity Manager.

   En caso de utilizar PKCS11, también deberá definir security.nonrepudiation.defaultKeystoreType=PKCS11

   Si utiliza un proveedor de claves PKCS11 personalizado, también deberá definir security.nonrepudiation.defaultPKCS11KeyProvider= nombre de su proveedor

   ---

   Nota –

   Para obtener más información acerca de cuándo es necesario incluir un proveedor personalizado, consulte los elementos siguientes en el kit REF.

   com.sun.idm.ui.web.applet.transactionsigner.DefaultPKCS11KeyProvider (Javadoc) REF/transactionsigner/SamplePKCS11KeyProvider

   El kit REF (Resource Extension Facility) se encuentra en el directorio /REF del CD del producto o en la imagen de instalación.

   ---

2. Agregue los certificados de su autoridad de certificación (AC) como certificados de confianza. Para ello debe obtener primero una copia de los certificados.

   Por ejemplo, si utiliza una autoridad de certificación de Microsoft, siga un procedimiento como éste:

   1. Vaya a http://IPAddress/certsrv e inicie la sesión con privilegios administrativos.

   2. Elija recuperar el certificado de AC o la lista de revocación de certificados y pulse Next.

   3. Descargue el certificado de AC y guárdelo.

3. Agregue el certificado a Identity Manager como un certificado de confianza:

   1. En la interfaz de administración, seleccione Seguridad y después Certificados. Identity Manager muestra la página Certificados.

      Figura 6–6 Página Certificados

      
      

   2. En el área Certificados de CA en los que se confía, haga clic en Añadir. Identity Manager muestra la página Importar certificado.

   3. Busque y seleccione el certificado de confianza y haga clic en Importar.

      Al hacerlo, el certificado aparece en la lista de certificados de confianza.

4. Agregue la lista de revocación de certificados (CRL) de su AC.

   1. En el área CRLs de la página Certificados, pulse Agregar.

   2. Especifique la URL de la CRL emitida por la autoridad de certificación (AC).

      ---

      Nota –

      • La lista de revocación de certificados (CRL) es una lista de números de serie de certificados que se han revocado o no son válidos.

      • La URL de la CRL emitida por la autoridad de certificación (AC) puede ser http o LDAP.

      • Cada AC tiene una URL distinta donde se distribuyen las CRL. Puede averiguar cuál es examinando la extensión de puntos de distribución de CRL del certificado.

      ---

5. Haga clic en Conexión de prueba para verificar la URL.

6. Haga clic en Guardar.

7. Firme los applets/ts2.jar mediante jarsigner.

   ---

   Nota –

   Encontrará más información en http://java.sun.com/j2se/1.5.0/docs/tooldocs/windows/jarsigner.html. El archivo ts2.jar suministrado con Identity Manager se firma mediante un certificado firmado automáticamente y no debe utilizarse con sistemas de producción. En producción conviene volver a firmar este archivo utilizando un certificado de firma codificada emitido por su AC de confianza.

   ---

Para habilitar la configuración del lado del servidor para aprobaciones firmadas mediante PKCS12

La siguiente información de configuración corresponde a aprobaciones firmadas mediante PKCS12. Obtenga un certificado y una clave privada, y después expórtelos a un almacén de claves PKCS#12. Por ejemplo, si utiliza una autoridad de certificación de Microsoft, siga un procedimiento como éste:

Antes de empezar

Identity Manager ahora requiere como mínimo JRE 1.5.

1. Con Internet Explorer, vaya a http://IPAddress/certsrv e inicie la sesión con privilegios administrativos.

2. Seleccione Request a certificate y pulse Next.

3. Seleccione Advanced request y pulse Next.

4. Pulse Next.

5. Seleccione User for Certificate Template.

6. Seleccione estas opciones:

   1. Mark keys as exportable.

   2. Enable strong key protection.

   3. Use local machine store.

7. Pulse Submit y después OK.

8. Haga clic en Install this certificate.

9. Seleccione Run -> mmc para iniciar mmc.

10. Agregue el componente de certificado:

    1. Seleccione Console -> Add/Remove Snap-in.

    2. Haga clic en Add.

    3. Seleccione Computer account.

    4. Pulse Next y después Finish.

    5. Haga clic en Close.

    6. Haga clic en OK.

    7. Vaya a Certificates -> Personal -> Certificates.

    8. Haga clic con el botón secundario en Administrator All Tasks -> Export.

    9. Pulse Siguiente.

    10. Pulse Next para confirmar la exportación de la clave privada.

    11. Pulse Siguiente.

    12. Introduzca una contraseña y pulse Next.

    13. Archivo CertificateLocation.

    14. Pulse Next y después Finish. Pulse OK para confirmar.

        ---

        Nota –

        Anote la información utilizada en los pasos 10l (contraseña) y 10m (ubicación del certificado) de la configuración del lado del cliente. Necesitará dicha información para firmar aprobaciones.

        ---

Para habilitar la configuración del lado del cliente para aprobaciones firmadas mediante PKCS11

Si va a utilizar PKCS11 para las aprobaciones firmadas

1. Consulte los recursos siguientes en el kit REF para obtener información sobre la configuración:

   com.sun.idm.ui.web.applet.transactionsigner.DefaultPKCS11KeyProvider (Javadoc) REF/transactionsigner/SamplePKCS11KeyProvider

   El kit REF (Resource Extension Facility) se encuentra en el directorio /REF del CD del producto o en la imagen de instalación.

Visualización de la firma de transacción

A continuación se explica el procedimiento para ver firmas de transacciones en un informe de registro de auditoría de Identity Manager.

Para ver una firma de transacción

1. En la interfaz de administración de Identity Manager, seleccione Informes.

2. En la página Ejecutar informes, elija Informe de AuditLog dentro de la lista de opciones Nuevo.

3. En el campo Título del informe, escriba un título (por ejemplo, Aprobaciones).

4. En el área de selección Organizaciones, seleccione todas las organizaciones.

5. Elija la opción Acciones y después Aprobar.

6. Haga clic en Guardar para guardar el informe y volver a la página Ejecutar informes.

7. Haga clic en Ejecutar para ejecutar el informe Aprobaciones.

8. Seleccione el vínculo de detalles para ver la información de la firma de transacción.

   La información de la firma de transacción puede incluir:

   • Emisor

   • Asunto

   • Número de serie de certificado

   • Mensaje firmado

   • Firma

   • Algoritmo de firma

Configuración de aprobaciones firmadas en formato XMLDSIG

Identity Manager le permite agregar a su proceso de aprobación aprobaciones firmadas en formato XMLDSIG, incluida una marca de fecha y hora digital conforme con RFC. Cuando se configura Identity Manager para utilizar aprobaciones firmadas en formato XMLDSIG, los aprobadores no perciben los cambios a no ser que visualicen la aprobación en el registro de auditoría. Sólo varía el formato de la aprobación firmada que se almacena en el registro de auditoría.

Como en el caso de las anteriores aprobaciones firmadas en Identity Manager, en la máquina cliente se ejecuta un applet y se presenta al aprobador la información de aprobación para que la firme. A continuación, elige un almacén de claves y una clave para firmar la aprobación.

Una vez que el aprobador ha firmado la aprobación, se crea un documento XMLDSIG que contiene los datos de la aprobación. Este documento se devuelve al servidor, que valida el documento firmado en XMLDSIG. Si el resultado es satisfactorio y se han configurado marcas digitales de fecha y hora RFC 3161, también se genera una marca digital de fecha y hora para este documento. La marca de fecha y hora emitida por la autoridad de marca de fecha y hora (TSA) se verifica para detectar posibles errores y se validan sus certificados. Por último, si todo es correcto, Identity Manager genera un registro de auditoría que incluye el objeto de la aprobación firmada en formato XMLDSIG dentro de la columna blob XML.

Formato de datos de aprobación

Éste es el formato de un objeto de aprobación en formato XMLDSIG:

<XMLSignedData signedContent="...base64 transaction text ...">
   <XMLSignature>
      <TSATimestamp>
         ...The base64 encoded PKCS7 timestamp token returned by the TSA...
      </TSATimestamp
      <Signature>
        <SignedInfo>...XMLDSIG stuff...</SignedInfo>
        <SignatureValue>...base64 signature value</SignatureValue>
        <KeyInfo>...cert info for signer</KeyInfo>
      </Signature>
   </XMLSignature>
</XMLSignedData>

donde:

• Los datos de aprobación base64 son el texto de los datos de la aprobación real presentado al aprobador en el applet, codificado en formato base64.

• El elemento <TSATimestamp> contiene la respuesta de marca de fecha y hora PKCS7 codificada en base64 procedente de la autoridad de marcas de fecha y hora (TSA).

• El elemento <Signature> contiene los datos de la firma en XMLDSIG.

Este documento XMLDSIG se almacena en la columna XML del registro de aprobación del registro de auditoría.

Instalación y configuración

Los requisitos de instalación y configuración para utilizar aprobaciones firmadas en formato XMLDSIG son iguales a los descritos dentro del apartado Para habilitar la configuración del lado del servidor para aprobaciones firmadas, pero con un paso más. Debe firmar el archivo xmlsec-1.4.2.jar además del archivo ts2.jar.

Configuración de aprobación

Puede utilizar los atributos de configuración del sistema para:

• Elegir el formato SignedData o XMLSignedData . Recuerde que sólo puede configurar un único formato simultáneamente, aunque los administradores pueden cambiar este valor según convenga.

• Incluir una marca digital de fecha y hora obtenida de una autoridad de marcas de fecha y hora (TSA) configurada conforme con RFC 3161.

• Especificar una URL, sólo en HTTP, desde la cual obtener esta marca de fecha y hora.

Si desea editar estos atributos, utilice las páginas de depuración de Identity Manager para editar el objeto de configuración del sistema. Todos estos atributos se encuentran dentro de security.nonrepudiation, junto con otros atributos de aprobación firmada.

Los atributos XMLDSIG incluyen:

• security.nonrepudiation.useXmlDigitalSignatures es un valor booleano que habilita las firmas XMLDSIG.

• security.nonrepudiation.timestampXmlDigitalSignatures es un valor booleano que incluye marcas digitales de fecha y hora RFC 3161 en firmas XMLDSIG.

• security.nonrepudiation.timestampServerURL es un valor de cadena donde la URL señala a la TSA basada en HTTP de la cual se obtienen marcas de fecha y hora.

• Para que cualquiera de los atributos anteriores tenga efecto, antes debe configurar el atributo useSignedApprovals existente en true.

• Identity Manager no admite varias firmas en una única aprobación ni aprobaciones firmadas para solicitudes de abastecimiento más genéricas.