Reconciliación de cuentas

Use la función de reconciliación para comparar periódicamente cuentas de recursos en Identity Manager con las cuentas que realmente hay en los recursos. La reconciliación correlaciona los datos de cuenta y resalta las diferencias.

---

Nota –

En esta sección se explica cómo realizar tareas de reconciliación con la interfaz de administración. Para obtener información detallada sobre la reconciliación, consulte el Capítulo 3, Data Loading and Synchronization de Sun Identity Manager Deployment Guide.

---

Nociones sobre reconciliación

Como la reconciliación está concebida para comparaciones continuas, sus características son:

• Realiza un diagnóstico más específico de la situación de las cuentas y admite un abanico de respuestas más amplio que el proceso de descubrimiento.

• Se puede programar (el descubrimiento no).

• Ofrece un modo incremental (el descubrimiento siempre se efectúa en modo completo).

• Puede detectar cambios nativos (el descubrimiento no).

También es posible configurar la reconciliación para iniciar un flujo de trabajo arbitrario en cada uno de los siguientes puntos del procesamiento de un recurso:

• Antes de reconciliar una cuenta

• Con cada cuenta

• Tras reconciliar todas las cuentas

Se accede a las funciones de reconciliación de Identity Manager desde el área Recursos. La lista Recursos indica cuándo se reconcilió por última vez cada recurso y su estado de reconciliación actual.

---

Nota –

De la reconciliación se encarga el componente reconciliador de Identity Manager. Los valores de configuración del reconciliador se explican en .

---

Acerca de las directivas de reconciliación

Las directivas de reconciliación le permiten establecer un conjunto de respuestas, por recurso, para cada una de las tareas de reconciliación. En una directiva, puede seleccionar el servidor que ejecutará la reconciliación, determinar cuándo se debe realizar la reconciliación y con qué frecuencia, y definir respuestas para cada situación que se presente durante la reconciliación. También puede configurar la reconciliación para que detecte los cambios realizados de forma nativa (no a través de Identity Manager) en los atributos de cuenta.

Edición de directivas de reconciliación

Para editar una directiva de reconciliación

1. En la interfaz de administración, seleccione Recursos en el menú.

2. Seleccione un recurso de la lista Recursos.

3. En la lista Acciones de recurso, elija Editar directiva de reconciliación.

   Identity Manager muestra la página Editar directiva de reconciliación, donde puede seleccionar las siguientes opciones para la directiva:

   • Servidores de reconciliación. En un entorno de clúster, cada servidor puede ejecutar la reconciliación. Especifique qué servidor de Identity Manager ejecutará la reconciliación con respecto a los recursos de la directiva.

   • Modos de reconciliación. La reconciliación se puede llevar a cabo en distintos modos, lo que optimiza las diferentes cualidades.

     • Reconciliación completa. Optimiza la exactitud del proceso en detrimento de la velocidad.

     • Reconciliación incremental. Optimiza la velocidad en detrimento de la exactitud del proceso.

       Seleccione el modo en el que Identity Manager debe ejecutar la reconciliación con respecto a los recursos de la directiva. Seleccione No reconciliar para inhabilitar la reconciliación para los recursos de destino.

   • Programa de reconciliación completa. Si se habilita el modo de reconciliación completa, la misma se efectuará automáticamente según una programación fija. Especifique cuán frecuentemente deberá ejecutarse la reconciliación completa frente a los recursos de la directiva.

     • Seleccione la opción Heredar directiva predeterminada para heredar la programación indicada desde una directiva de nivel superior.

     • Desactive la opción Heredar directiva predeterminada para especificar un programa. Use los campos suministrados establecer un programa recurrente, o una regla de repetición de programación de tareas para personalizar el programa de reconciliación. Encontrará información para crear una regla de repetición de programación de tarea en Uso de reglas de repetición de programación de tareas.

   • Programa de reconciliación incremental. Si se habilita el modo de reconciliación incremental, la misma se efectuará automáticamente según una programación fija.

     • Seleccione la opción Heredar directiva predeterminada para heredar la programación desde una directiva de nivel superior.

     • Desactive la opción Heredar directiva predeterminada para especificar un programa. Use los campos suministrados establecer un programa recurrente, o una regla de repetición de programación de tareas para personalizar el programa de reconciliación. Encontrará información para crear una regla de repetición de programación de tarea en Uso de reglas de repetición de programación de tareas.

     ---

     Nota –

     No todos los recursos admiten reconciliación incremental.

     ---

   • Reconciliación a nivel de atributos. Es posible configurar la reconciliación para que detecte los cambios realizados de forma nativa (no a través de Identity Manager) en los atributos de cuenta. Especifique si desea que la reconciliación detecte los cambios nativos realizados en los atributos especificados en Atributos reconciliados de cuenta.

   • Regla de correlación de cuentas. Una regla de correlación de cuentas selecciona los usuarios que pueden poseer las cuentas de recursos sin propietario. Una vez especificados los atributos de una cuenta de recursos sin propietario, la regla de correlación devolverá una lista de nombres o una lista de condiciones de atributo que se utilizará para seleccionar posibles propietarios. Seleccione una regla para buscar usuarios de Identity Manager que puedan ser propietarios de recursos que no sean propiedad de nadie.

   • Regla de confirmación de cuenta. Una regla de confirmación de cuenta elimina a cualquier usuario que no sea propietario de la lista de propietarios en potencia que selecciona la regla de correlación. Si se proporciona una vista completa del usuario de Identity Manager y de los atributos de una cuenta de recursos que no sea propiedad de nadie, una regla de confirmación devuelve el valor 'true' si el usuario es propietario de la cuenta y 'false' si no lo es. Seleccione una regla para probar cada propietario en potencia de una cuenta de recursos. Si selecciona Ninguna regla de confirmación, Identity Manager aceptará todos los propietarios potenciales sin necesidad de confirmación.

     ---

     Nota –

     Si en el entorno la regla de correlación va a seleccionar como máximo un propietario, no será necesario establecer ninguna regla de confirmación.

     ---

   • Administrador de proxy. Especifique el administrador que utilizar cuando se lleven a cabo respuestas de reconciliación. La reconciliación sólo puede realizar aquellas acciones que le estén permitidas al administrador de proxy designado. La respuesta utilizará el formulario de usuario (si fuese necesario) asociado con este administrador.

     También puede seleccionar la opción No existe administrador del proxy. Cuando está seleccionada esta opción, pueden verse los resultados de la reconciliación pero no se ejecuta ninguna medida de respuesta o flujo de trabajo.

   • Opciones de situación (y respuesta) La reconciliación reconoce diversos tipos de situaciones, que se describen a continuación. Especifique en la columna Respuesta cualquier acción que deba efectuar la reconciliación.

     • CONFIRMADO. La cuenta esperada existe.

       Para que se marque como CONFIRMADO, debe cumplirse lo siguiente:

       • Identity Manager espera que la cuenta exista.

       • La cuenta existe en el recurso.

     • COLISIÓN. Dos o más usuarios de Identity Manager tienen asignada la misma cuenta en un recurso.

     • ELIMINADO. La cuenta esperada no existe.

       Para que se marque como ELIMINADO, debe cumplirse lo siguiente:

       • Identity Manager espera que la cuenta exista.

       • La cuenta no existe en el recurso.

     • ENCONTRADO. El proceso de reconciliación ha encontrado una cuenta coincidente en un recurso asignado.

       Para que se marque como ENCONTRADO, debe cumplirse lo siguiente:

       • Identity Manager espera que la cuenta pueda o no existir. (Una cuenta puede existir o no en un recurso si éste se ha asignado al usuario, pero aún no se ha abastecido.)

       • La cuenta existe en el recurso.

     • FALTA. No existe ninguna cuenta coincidente en un recurso asignado al usuario.

       Para que se marque como FALTA, debe cumplirse lo siguiente:

       • Identity Manager espera que la cuenta pueda o no existir. (Una cuenta puede existir o no en un recurso si éste se ha asignado al usuario, pero aún no se ha abastecido.)

       • La cuenta no existe en el recurso.

     • SIN ASIGNAR. El proceso de reconciliación ha encontrado una cuenta coincidente en un recurso no asignado al usuario.

       Para que se marque como SIN ASIGNAR, debe cumplirse lo siguiente:

       • Identity Manager no espera que la cuenta exista. (Identity Manager no espera que una cuenta exista si el recurso no está asignado al usuario.)

       • La cuenta existe en el recurso.

     • SIN COINCIDENCIAS. La cuenta del recurso no coincide con ningún usuario.

     • EN CONFLICTO. La cuenta del recurso coincide con más de un usuario.

       Seleccione una de las siguientes opciones de respuesta disponibles, que pueden variar según la situación:

       • Crear un nuevo usuario de Identity Manager basado en la cuenta de recursos. Ejecuta el formulario del usuario en los atributos de la cuenta de recursos para crear un nuevo usuario. La cuenta de recurso no se actualiza como resultado de los cambios.

       • Crear cuenta de recursos para el usuario de Identity Manager Vuelve a crear la cuenta de recurso que falta con el formulario de usuario para generar de nuevo los atributos de cuenta de recurso.

       • Eliminar cuenta de recursos e Inhabilitar cuenta de recursos Elimina/Inhabilita la cuenta en el recurso.

       • Vincular cuenta de recursos con usuario de Identity Manager y Desvincular cuenta de recursos de usuario de Identity Manager. Añade o quita la asignación de cuenta de recursos al usuario. No se efectúa ningún procesamiento del formulario.

       • No hacer nada. Elija esta opción si prefiere que la reconciliación no efectúe ninguna reparación.

         Puede reparar manualmente cualquier situación de cuenta descubierta mediante reconciliación. Seleccione Recursos -> Examinar índice de cuenta en el menú. Desde aquí puede examinar la situación registrada para todas las cuentas que se han reconciliado. Haga clic con el botón secundario en una cuenta y aparecerá una lista con las opciones de reparación válidas. Para obtener más información, consulte Examen del índice de cuenta.

   • Flujo de trabajo de pre-reconciliación. La reconciliación puede ser configurada para ejecutar un flujo de trabajo especificado por el usuario antes de reconciliar un recurso. Especifique el flujo de trabajo que deberá ejecutar la reconciliación. Seleccione No ejecutar flujo de trabajo si no se debe ejecutar ningún flujo de trabajo.

   • Flujo de trabajo por cuenta. La reconciliación se puede configurar para ejecutar un flujo de trabajo especificado por el usuario después de responder a la situación de una cuenta de recursos. Especifique el flujo de trabajo que deberá ejecutar la reconciliación. Seleccione No ejecutar flujo de trabajo si no se debe ejecutar ningún flujo de trabajo.

   • Flujo de trabajo de post-reconciliación. La reconciliación se puede configurar para ejecutar un flujo de trabajo especificado por el usuario tras completar la reconciliación de un recurso. Especifique el flujo de trabajo que deberá ejecutar la reconciliación. Seleccione No ejecutar flujo de trabajo si no se debe ejecutar ningún flujo de trabajo.

   • Explicar la situación. Si se habilita, la reconciliación registrará información adicional sobre cómo se clasifican las situaciones de cuentas. Esta opción está inhabilitada de forma predeterminada. El registro de las explicaciones puede hacer que el proceso de reconciliación tarde más tiempo en completarse.

   • Límite de errores. Si está habilitada esta opción, la reconciliación terminará automáticamente cuando se haya producido el número de errores especificado durante el procesamiento. Un valor de 0 indica que no hay límite de errores. Desactive la opción Heredar directiva predeterminada para ver el campo Máximo de errores permitidos y escribir un valor.

   • Número máximo de cuentas suprimidas nativamente. Esta opción actúa como protección, porque evalúa el número de cuentas que faltan en el recurso y, si se supera un umbral, impide que el reconciliador desvincule las cuentas.

     Para habilitar esta función, desactive la casilla Heredar directiva predeterminada e introduzca un porcentaje en el campo Número máximo de cuentas suprimidas nativamente. El umbral debe configurarse con un porcentaje completo situado entre 0 y 100 (el 0 desactiva la función).

     Si el porcentaje de cuentas eliminadas supera el umbral, la reconciliación continúa todo el procesamiento no relacionado con las cuentas que faltan y termina con un error.

   Haga clic en Guardar para guardar los cambios de directiva.

Inicio de la reconciliación

A continuación se describen dos opciones para iniciar tareas de reconciliación.

• Reconciliación a intervalos programados

• Reconciliación inmediata

Para ejecutar la reconciliación a intervalos regulares

1. Abra la página Editar directiva de reconciliación como se explica en Edición de directivas de reconciliación.

2. Especifique los parámetros de programación de la reconciliación.

   La reconciliación se ejecutará en función de los parámetros definidos en la directiva.

Para ejecutar la reconciliación inmediatamente

1. En la interfaz de administración, seleccione Recursos en el menú.

2. Seleccione un recurso de la lista Recursos.

3. Elija una opción en la lista Acciones de recurso.

   Las opciones incluyen:

   • Reconciliación completa ahora

   • Reconciliación incremental ahora

     La reconciliación se ejecutará en función de los parámetros definidos en la directiva. Si la directiva incluye un programa definido para tareas de reconciliación a intervalos regulares, se seguirá ejecutando tal y como se especificó.

Para cancelar la reconciliación

1. En la interfaz de administración, seleccione Recursos en el menú.

2. Elija en la Lista de recursos el recurso cuya reconciliación desea cancelar.

3. Busque la lista Acciones de recurso y elija Cancelar la reconciliación.

Visualización del estado de la reconciliación

Hay dos formas principales de ver el estado de la reconciliación. Para ver el estado detallado de la reconciliación, abra la página Resultados de resumen de reconciliación para un recurso determinado. La Lista de recursos también ofrece directamente el estado resumido de la reconciliación.

Para ver el estado de la reconciliación

El estado detallado de la reconciliación aparece en la página Resultados de resumen de reconciliación.

1. En la interfaz de administración, seleccione Recursos en el menú.

2. Elija en la Lista de recursos el recurso cuyo estado de reconciliación desea ver.

3. Busque la lista Acciones de recurso y elija Ver estado de la reconciliación.

   Aparece la página Resultados de resumen de reconciliación para el recurso.

Para ver el estado de la reconciliación en la Lista Recursos

También puede ver el estado de la reconciliación en la Lista Recursos.

1. Abra la interfaz de administración.

2. Seleccione Recursos en el menú principal.

   La columna Estado indica las siguientes condiciones de estado de la reconciliación:

   • desconocido. No se conoce el estado. Los resultados de la tarea de reconciliación más reciente no están disponibles.

   • inhabilitado. La reconciliación está inhabilitada.

   • fallida. La última reconciliación no se ha podido completar.

   • satisfactorio. La última reconciliación se ha completado satisfactoriamente.

   • completado con errores. La última reconciliación se ha completado, pero con errores.

   ---

   Nota –

   Para ver los cambios del estado debe actualizar esta página. (La información no se actualiza automáticamente.)

   ---

Uso del índice de cuenta

El índice de cuenta registra el último estado conocido para cada cuenta de recurso reconocida por Identity Manager. Se mantiene sobre todo mediante reconciliación, pero otras funciones de Identity Manager también lo actualizan conforme es preciso.

Las herramientas de descubrimiento no actualizan el índice de cuenta.

Para buscar el índice de cuenta

Busque el índice de cuenta para ver el último estado conocido de una cuenta de recurso determinada.

1. En la interfaz de administración, seleccione Recursos en el menú.

2. Elija en la Lista de recursos el recurso cuyo índice de cuenta desea buscar.

3. Busque la lista Acciones de recurso y elija Buscar índice de cuenta.

   Aparece la página Buscar índice de cuenta.

4. Seleccione un tipo de búsqueda y, a continuación, escriba o seleccione los atributos de búsqueda.

   • Nombre de cuenta de recursos. Seleccione esta opción, elija un modificador (“comienza por”, “contiene” o “es”) y, a continuación, introduzca el nombre completo de una cuenta o sólo una parte.

   • El recurso es uno de. Seleccione esta opción y, a continuación, seleccione uno o varios recursos de la lista para encontrar las cuentas reconciliadas que residen en los recursos especificados.

   • Propietario. Seleccione esta opción, elija un modificador (“comienza por”, “contiene” o “es”) y, a continuación, introduzca el nombre completo de un propietario o sólo una parte. Para buscar cuentas sin propietario, busque cuentas que estén en la situación SIN ASIGNAR o EN TRÁMITE.

   • La situación es una de. Seleccione esta opción y, a continuación, seleccione una o varias situaciones de la lista para encontrar las cuentas reconciliadas en las situaciones especificadas.

5. Haga clic en Buscar para buscar cuentas que se ajusten a los parámetros de la búsqueda. Para limitar los resultados de la búsqueda puede especificar un número en el primer campo "Limitar resultados a". Por defecto, los resultados se limitan a las 1.000 primeras cuentas encontradas.

   Haga clic en Reinicializar consulta para borrar la página y realizar nuevas selecciones.

Examen del índice de cuenta

También es posible ver todas las cuentas de usuario de Identity Manager, con la posibilidad de reconciliarlas por usuario.

Para examinar el índice de cuenta

1. En la interfaz de administración, seleccione Recursos en el menú.

2. Elija Examinar índice de cuenta en el menú secundario.

   Aparece la página Examinar índice de cuenta.

   La tabla muestra todas las cuentas de recursos que conoce Identity Manager (pertenezcan o no a usuarios de Identity Manager). Esta información se agrupa por recurso o por organización de Identity Manager. Para cambiar esta vista, elija una opción en la lista Modificar vista del índice.

Operaciones con cuentas

Para trabajar con las cuentas de un recurso, seleccione la vista del índice Agrupar por recursos. Identity Manager muestra carpetas para cada tipo de recurso. Para ir a un recurso concreto, expanda su carpeta. Haga clic en + o - junto al recurso para ver todas las cuentas de recursos que conoce Identity Manager.

No aparecerán las cuentas que se hayan añadido directamente al recurso después de la última reconciliación con él.

Es posible realizar diversas acciones según la situación actual de la cuenta. Haga clic con el botón secundario en una cuenta y aparecerá una lista con las opciones de reparación válidas. También se pueden ver los detalles de la cuenta o elegir reconciliarla individualmente.

Operaciones con usuarios

Para trabajar con usuarios de Identity Manager , seleccione la vista del índice Agrupar por usuarios. En esta vista, los usuarios y las organizaciones de Identity Manager aparecen con una jerarquía similar a la de la página Lista de cuentas. Para ver las cuentas asignadas actualmente a un usuario en Identity Manager, vaya hasta él y haga clic en el indicador adjunto a su nombre. Bajo el nombre del usuario aparecen sus cuentas y el estado actual de las que conoce Identity Manager.

Es posible realizar diversas acciones según la situación actual de la cuenta. También se pueden ver los detalles de la cuenta o elegir reconciliarla individualmente.

Uso de reglas de repetición de programación de tareas

Las reglas de repetición de programación de tareas sirven para ajustar las programaciones de tareas. Por ejemplo, si quiere que las reconciliaciones previstas para el sábado se retrasen hasta el lunes siguiente, aplique una regla de repetición de programación de tareas.

Las reglas de repetición de programación de tareas permiten ajustar la programación tanto de reconciliaciones completas como incrementales.

Encontrará información para seleccionar reglas de repetición de programación de tareas en Edición de directivas de reconciliación.

Cómo se programan los horarios de reconciliación

Al terminar un trabajo de reconciliación, el componente reconciliador comprueba cuál es su próxima hora de ejecución programada.

Primero la obtiene de la programación predeterminada. Después ejecuta todas las reglas de repetición de programación de tareas aplicables para comprobar si hay que ajustar la programación. Si es preciso ajustar la programación, la programación de las reglas sustituye a la predeterminada para esa reconciliación.

---

Nota –

Las reglas de repetición de programación de tareas no pueden sustituir a la programación predeterminad. Sólo sustituyen las horas de inicio previstas para trabajos concretos.

---

Para ver la regla de ejemplo Acepta todas las fechas

A continuación se describe la regla de ejemplo interna Acepta todas las fechas.

1. En un editor de texto, abra el archivo ReconRules.xml, que se halla en el directorio sample de Identity Manager.

2. Busque la regla SCHEDULING_RULE_ACCEPT_ALL_DATES.

   Para que una regla se incluya en la lista del menú desplegable Regla de repetición de TaskSchedule (en la página Editar directiva de reconciliación), el atributo subtype de dicha regla debe configurarse en SUBTYPE_TASKSCHEDULE_REPETITION_RULE:

   <Rule subtype=’SUBTYPE_TASKSCHEDULE_REPETITION_RULE’ name=’SCHEDULING_RULE_ACCEPT_ALL_DATES’>

   Como hemos mencionado antes, las reglas de repetición de programación de tareas pueden modificar la programación de reconciliación predeterminada.

   La variable calculatedNextDate puede aceptar la siguiente fecha, que se calcula de la manera predeterminada, o devolver otra fecha. Como especifica la regla de ejemplo, calculatedNextDate acepta incondicionalmente la fecha predeterminada, lo que se aprecia en este extracto:

   <RuleArgument name=’calculatedNextDate’/> <block> <ref>calculatedNextDate</ref> </block>

   Para crear una programación personalizada, sustituya la lógica de la regla entre los elementos <block>. Por ejemplo, para cambiar la hora de inicio de la reconciliación a las 10:00 AM del sábado, incluya esta secuencia JavaScript entre los elementos <block>:

   <block> <script> var calculatedNextDate = env.get(’calculatedNextDate’); // Test to see if this task is scheduled for a Saturday // (Note that 6 is used to denote Saturday in JavaScript) if(calculatedNextDate.getDay() == 6) { // If so, set the time to 10:00:00 calculatedNextDate.setHours(10); calculatedNextDate.setMinutes(0); calculatedNextDate.setSeconds(0); } // Return the modified date calculatedNextDate; </script> </block>

   En Para ver la regla de ejemplo Acepta todas las fechas, calculatedNextDate se define inicialmente en la hora de programación predeterminada. Si la siguiente fecha de ejecución programada es un sábado, la regla programa la reconciliación para que empiece a las 10:00. Si la siguiente fecha de ejecución programada no es un sábado, Para ver la regla de ejemplo Acepta todas las fechas devuelve calculatedNextDate sin realizar ningún cambio y se utiliza la programación predeterminada.

   Para obtener más información sobre la creación de reglas personalizadas para usarlas en Identity Manager, consulte el Capítulo 4, Working with Rules de Sun Identity Manager Deployment Reference.