Configuración de auditoría
La configuración de auditoría consta de uno o varios publicadores y varios grupos predefinidos.
Un grupo de auditoría define un subconjunto de todos los eventos de auditoría basados en tipos de objeto, acciones y resultados de acción. A cada publicador se le asigna uno o varios grupos de auditoría. El publicador del depósito se asigna de manera predeterminada a todos los grupos de auditoría.
Un publicador de auditoría entrega eventos de auditoría a un destino de auditoría concreto. El publicador del depósito predeterminado escribe registros de auditoría en el depósito. Cada publicador de auditoría puede tener opciones de implementación específicas. A los publicadores de auditoría se les puede asignar un formateador de texto. (Los formateadores de texto aportan una representación textual de los eventos de auditoría.)
El objeto de configuración de auditoría (#ID#Configuration:AuditConfiguration) se define en el archivo sample/auditconfig.xml. Este objeto de configuración tiene una extensión que es un objeto genérico.
En el nivel superior, este objeto de configuración tiene los siguientes atributos:
El atributo filterConfiguration
El atributo filterConfiguration ofrece una lista de grupos de eventos, que sirven para habilitar la transferencia de uno o más eventos al filtro de eventos. Cada grupo de la lista del atributo filterConfiguration contiene los atributos indicados en la Tabla 10–2.
Tabla 10–2 Atributos de filterConfiguration
El Ejemplo 10–5 ilustra el grupo de administración de recursos predeterminado.
Ejemplo 10–5 Grupo de administración de recursos predeterminado
<Object name=’Resource Management’> <Attribute name=’enabled’ value=’true’/> <Attribute name=’displayName’ value=’UI_RESOURCE_MGMT_GROUP_DISPLAYNAME’/> <Attribute name=’enabledEvents’> <List> <Object> <Attribute name=’objectType’ value=’Resource’/> <Attribute name=’actions’ value=’ALL’/> <Attribute name=’results’ value=’ALL’/> </Object> <Object> <Attribute name=’objectType’ value=’ResourceObject’/> <Attribute name=’actions’ value=’ALL’/> <Attribute name=’results’ value=’ALL’/> </Object> </List> </Attribute> </Object> |
Identity Manager proporciona grupos de eventos de auditoría predeterminados. Estos grupos y los eventos que habilitan se describen en las próximas secciones:
Puede configurar grupos de eventos de auditoría en la página Configuración de auditoría de la interfaz de administración de Identity Manager (Configurar > Auditoría). Consulte las instrucciones en Configuración de grupos y eventos de auditoría.
También es posible configurar eventos satisfactorios o fallidos para cada grupo en la página Configuración de auditoría. La interfaz no permite agregar o modificar eventos habilitados para grupos, pero para ello puede utilizar las páginas de depuración de Identity Manager (Página de depuración de Identity Manager).
Nota –
No todas las acciones seleccionables para un grupo de eventos de auditoría producen un registro. Además, la opción con la que se eligen todas las acciones no significa que todas las acciones de la lista estén disponibles o sean factibles para todos los grupos de eventos de auditoría.
Grupo de administración de cuentas
Este grupo está habilitado de manera predeterminada.
Tabla 10–3 Grupos de eventos de administración de cuentas predeterminados|
Tipo |
Acciones |
|---|---|
|
Clave de cifrado |
Todas las acciones |
|
Cuenta de Identity System |
Todas las acciones |
|
Cuenta de recursos |
Aprobar, Crear, Eliminar, Inhabilitar, Habilitar, Modificar, Rechazar, Cambiar nombre, Desbloquear |
|
Caso de flujo de trabajo |
Finalizar actividad, Finalizar proceso, Finalizar flujo de trabajo, Iniciar actividad, Iniciar proceso, Iniciar flujo de trabajo |
|
Usuario |
Aprobar, Crear, Eliminar, Inhabilitar, Habilitar, Modificar, Rechazar, Cambiar nombre |
Grupo de cambios fuera de Identity System
Este grupo está inhabilitado de manera predeterminada.
Tabla 10–4 Eventos y grupos de eventos de cambios fuera de Identity Identity Manager|
Tipo |
Acciones |
|---|---|
|
Cuenta de recursos |
Cambio nativo |
Grupo de administración del cumplimiento
Este grupo está habilitado de manera predeterminada.
Tabla 10–5 Eventos del grupo de administración del cumplimiento predeterminado|
Tipo |
Acciones |
|---|---|
|
Directiva de auditoría |
Todas las acciones |
|
Exploración de acceso |
Todas las acciones |
|
Infracción del cumplimiento |
Todas las acciones |
|
Exportador de datos |
Todas las acciones |
|
Derecho de usuario |
Autenticador aprobado, Autenticador rechazado, Remediación solicitada, Nuevo análisis solicitado, Terminar |
|
Flujo de trabajo de revisión de acceso |
Todas las acciones |
|
Flujo de trabajo de remediación |
Todas las acciones |
Grupo de administración de la configuración
Este grupo está habilitado de manera predeterminada.
Tabla 10–6 Grupos de eventos de administración de la configuración predeterminados|
Tipo |
Acciones |
|---|---|
|
Configuración |
Todas las acciones |
|
Formulario de usuario |
Todas las acciones |
|
Rule |
Todas las acciones |
|
Plantilla de correo electrónico |
Todas las acciones |
|
Configuración de inicio de sesión |
Todas las acciones |
|
Directiva |
Todas las acciones |
|
Datos XML |
Importar |
|
Registro |
Todas las acciones |
Grupo de administración de eventos
Este grupo está habilitado de manera predeterminada.
Tabla 10–7 Grupos de eventos de administración de eventos configuración predeterminados|
Tipo |
Acciones |
|---|---|
|
Correo electrónico |
Notificar |
|
Notificación de prueba |
Notificar |
Grupo de inicios/cierres de sesión
Este grupo está habilitado de manera predeterminada.
Tabla 10–8 Grupos de eventos de inicio/cierre de sesión de Identity Manager predeterminados|
Tipo |
Acciones |
|---|---|
|
Usuario |
Las credenciales caducaron, Bloquear, Iniciar sesión, Cerrar sesión, Desbloquear, Recuperación del nombre de usuario |
Grupo de administración de contraseñas
Este grupo está habilitado de manera predeterminada.
Tabla 10–9 Eventos y grupos de eventos de administración de contraseñas predeterminados|
Tipo |
Acciones |
|---|---|
|
Cuenta de recursos |
Cambiar contraseña, Reinicializar contraseña |
Grupo de administración de recursos
Este grupo está habilitado de manera predeterminada.
Tabla 10–10 Eventos y grupos de eventos de administración de recursos predeterminados|
Tipo |
Acciones |
|---|---|
|
Recurso |
Todas las acciones |
|
Objeto de recurso |
Todas las acciones |
|
Formulario de recurso |
Todas las acciones |
|
Acción de recurso |
Todas las acciones |
|
Análisis de atributos |
Todas las acciones |
|
Caso de flujo de trabajo |
Finalizar actividad, Finalizar proceso, Finalizar flujo de trabajo, Iniciar actividad, Iniciar proceso, Iniciar flujo de trabajo |
Grupo de administración de roles
Este grupo está inhabilitado de manera predeterminada.
Tabla 10–11 Eventos y grupos de eventos de administración de roles predeterminados|
Tipo |
Acciones |
|---|---|
|
Rol |
Todas las acciones |
Grupo de administración de la seguridad
Este grupo está habilitado de manera predeterminada.
Tabla 10–12 Eventos y grupos de eventos de administración de la seguridad predeterminados|
Tipo |
Acciones |
|---|---|
|
Capacidad |
Todas las acciones |
|
Clave de cifrado |
Todas las acciones |
|
Organización |
Todas las acciones |
|
Rol de administrador |
Todas las acciones |
Grupo de Service Provider
Este grupo está habilitado de manera predeterminada.
Tabla 10–13 Eventos y grupos de eventos de de Service Provider|
Tipo |
Acciones |
|---|---|
|
Usuario del directorio |
Respuesta de desafío, Crear, Eliminar, Modificar, Llamada posterior a la operación, Llamada previa a la operación, Actualizar respuestas de autenticación, Recuperación del nombre de usuario |
Grupo de administración de tareas
Este grupo está inhabilitado de manera predeterminada.
Tabla 10–14 Eventos y grupos de eventos de administración de tareas|
Tipo |
Acciones |
|---|---|
|
Instancia de tarea |
Todas las acciones |
|
Definición de tareas |
Todas las acciones |
|
Programación de tareas |
Todas las acciones |
|
Resultado de tareas |
Todas las acciones |
|
Tarea de abastecimiento |
Todas las acciones |
El atributo extendedTypes
Es posible auditar cada tipo nuevo que se agrega a la clase com.waveset.object.Type. A un tipo nuevo se le debe asignar una clave de base de datos única formada por dos caracteres, que se almacena en la base de datos. Todos los tipos nuevos se agregan a las distintas interfaces de informes de auditoría. Cada tipo nuevo que se deba registrar en la base de datos sin filtrar ha de añadirse a un atributo enabledEvents de grupos de eventos de auditoría (como se describe con el atributo enabledEvents).
A veces interesa auditar algo que no tiene asociada una clase com.waveset.object.Type, o representar un tipo existente con más detalles.
Por ejemplo, el objeto WSUser almacena toda la información de la cuenta del usuario en el depósito. En lugar de marcar cada evento con el tipo USER, el proceso de auditoría divide el objeto WSUser en dos tipos de auditoría distintos (cuenta de recursos y cuenta de Identity Manager). Al dividir así el objeto, resulta más fácil buscar información de cuenta específica en el registro de auditoría.
Para agregar tipos de auditoría extendidos, inclúyalos en el atributo . Cada objeto extendido debe tener los atributos indicados en la tabla siguiente.
Tabla 10–15 Atributos de objeto extendidos|
Argumento |
Tipo |
Descripción |
|---|---|---|
|
name |
Cadena |
El nombre del tipo, que se usa al construir los eventos de auditoría y durante la filtración de eventos. |
|
displayName |
Cadena |
Clave del catálogo de mensajes que representa el nombre del tipo. |
|
logDbKey |
Cadena |
Clave de base de datos formada por dos caracteres que se usa al almacenar el objeto en la tabla de registro. Los valores reservados se indican en Asignaciones de base de datos de registros de auditoría. |
|
supportedActions |
Lista |
Acciones que admite el tipo de objeto. Este atributo se usa al crear consultas de auditoría desde la interfaz de usuario. Si este valor es nulo, todas las acciones se mostrarán como posibles valores de consulta para este tipo de objeto. |
|
mapsToType |
Cadena |
(Opcional) El nombre de la clase com.waveset.object.Type que se asigna a este tipo, si procede. Este atributo se utiliza para intentar resolver la afiliación organizativa de un objeto si aún no está especificada en el evento. |
|
organizationalMembership |
Lista |
(Opcional) Una lista predeterminada de IDs de organización donde deben situarse los eventos de este tipo, si aún no tienen asignada una afiliación organizativa. |
Todas las claves específicas del cliente deben empezar por el símbolo # para evitar la duplicación de claves al añadir nuevas claves internas.
El Ejemplo 10–6 ilustra el tipo extendido de cuenta de Identity Manager.
Ejemplo 10–6 Tipo extendido de cuenta de Identity Manager
<Object name=’LighthouseAccount’> <Attribute name=’displayName’ value=’LG_LIGHTHOUSE_ACCOUNT’/> <Attribute name=’logDbKey’ value=’LA’/> <Attribute name=’mapsToType’ value=’User’/> <Attribute name=’supportedActions’> <List> <String>Disable</String> <String>Enable</String> <String>Create</String> <String>Modify</String> <String>Delete</String> <String>Rename</String> </List> </Attribute> </Object> |
El atributo extendedActions
Las acciones de auditoría suelen asignarse a objetos com.waveset.security.Right. Al agregar nuevos objetos de derechos (Right), debe especificar una clave única logDbKey de dos caracteres, que se almacenará en la base de datos. A veces no hay ningún derecho que corresponda a una acción concreta que debe auditarse. Puede extender las acciones incluyéndolas en la lista de objetos del atributo extendedActions.
Cada objeto de extendedActions debe tener los atributos enumerados en la Tabla 10–16.
Tabla 10–16 Atributos de extendedAction|
Atributo |
Tipo |
Descripción |
|---|---|---|
|
name |
Cadena |
El nombre de la acción, que se usa al construir los eventos de auditoría y durante la filtración de eventos. |
|
displayName |
Cadena |
Clave del catálogo de mensajes que representa el nombre de la acción. |
|
logDbKey |
Cadena |
Clave de base de datos formada por dos caracteres que se usa al almacenar la acción en la tabla de registro. Los valores reservados se indican en Asignaciones de base de datos de registros de auditoría. |
Todas las claves específicas del cliente deben empezar por el símbolo # para evitar la duplicación de claves al añadir nuevas claves internas.
El Tabla 10–16 muestra la inclusión de una acción para el cierre de sesión.
Ejemplo 10–7 Inclusión de una acción para el cierre de sesión
<Object name=’Logout’> <Attribute name=’displayName’ value=’LG_LOGOUT’/> <Attribute name=’logDbKey’ value=’LO’/> </Object> |
El atributo extendedResults
Además de extender tipos y acciones, puede añadir resultados. Hay dos resultados predeterminados: Satisfactorio y No satisfactorio. Puede extender los resultados incluyéndolos en la lista de objetos del atributo extendedResults.
Cada objeto de extendedResults debe tener los atributos descritos en la Tabla 10–17.
Tabla 10–17 Atributos de extendedResults|
Atributo |
Tipo |
Descripción |
|---|---|---|
|
name |
Cadena |
El nombre del resultado, que se usa al definir el estado en los eventos de auditoría y durante la filtración de eventos. |
|
displayName |
Cadena |
Clave del catálogo de mensajes que representa el nombre del resultado. |
|
logDbKey |
Cadena |
Clave de base de datos formada por un carácter que se usa al almacenar el resultado en la tabla de registro. Consulte los valores reservados en la sección Claves de base de datos. |
Todas las claves específicas del cliente deben tener cifras del 0 al 9 para evitar la duplicación de claves al añadir nuevas claves internas.
El atributo publishers
Cada elemento de la lista publishers es un objeto genérico. Cada objeto publishers tiene los atributos siguientes.
Tabla 10–18 Atributos de publishers|
Atributo |
Tipo |
Descripción |
|---|---|---|
|
class |
Cadena |
El nombre de la clase de publicador. |
|
displayName |
Cadena |
Clave del catálogo de mensajes que representa el nombre del publicador. |
|
description |
Cadena |
Descripción del publicador. |
|
filters |
Lista |
Una lista de grupos de auditoría asignados a este publicador. |
|
formatter |
Cadena |
El nombre del formateador de texto (en su caso). |
|
options |
Lista |
Una lista de opciones del publicador. Estas opciones son específicas del publicador; cada elemento de la lista representa una asignación de PublisherOption. Consulte los ejemplos del archivo sample/auditconfig.xml. |
- © 2010, Oracle Corporation and/or its affiliates