Introduzca el nombre de la nueva directiva y una breve descripción en el Asistente de directiva de auditoría (Figura 14–1).
Los nombres de directiva de auditoría no pueden contener los siguientes caracteres: ' (apóstrofo), . (punto), | (línea), [ (corchete izquierdo), ] (corchete derecho), , (coma), : (dos puntos), $ (símbolo del dólar), " (comillas), \ (barra inclinada inversa) y = (signo igual).
También conviene evitar los caracteres: _ (subrayado), % (signo de porcentaje), ^ (acento circunflejo) y * (asterisco).
Si prefiere que sólo se acceda a determinados recursos al ejecutar la exploración, seleccione la opción Restringir recursos de destino.
Para que tras remediar una infracción se produzca una reexploración inmediata del usuario, elija Permitir volver a explorar infracciones.
Si la directiva de auditoría no restringe los recursos, durante la exploración se accederá a todos los recursos donde tenga cuentas un usuario. Si la regla utiliza únicamente algunos recursos, resulta más eficaz restringir la directiva a dichos recursos.
Pulse Siguiente para continuar en la próxima página.
En esta página se inicia el proceso de definición o inclusión de reglas en la directiva. (La mayor parte del trabajo de creación de directivas consiste en definir y crear reglas.)
Como ilustra la figura siguiente, tiene la posibilidad de crear su propia regla con el Asistente para reglas de Identity Manager o de incorporar una regla existente. El Asistente para reglas sólo permite utilizar un tipo de recurso en una regla. Las reglas importadas pueden referenciar cuantos recursos sean necesarios.
Decida si prefiere crear una regla nueva o usar una existente.
Elija una de estas opciones:
Para crear una regla nueva, elija la opción Asistente para reglas (valor predeterminado).
Para incorporar una regla previamente creada con Identity Manager IDE, elija Regla existente.
Haga clic en Siguiente.
Según lo que haya seleccionado en el paso 1, continúe en una de estas secciones:
Si eligió Asistente para reglas, siga las instrucciones de la sección Para crear una regla nueva con el Asistente para reglas.
Si eligió Regla existente, siga las instrucciones de la sección Para seleccionar una regla existente.
Si desea incluir una regla existente en la nueva directiva, elija Regla existente en la pantalla Seleccionar tipo de regla y pulse Siguiente. A continuación, elija una regla de directiva de auditoría existente en el menú desplegable Seleccionar regla existente.
Si no ve el nombre de una regla que ya había importado a Identity Manager, compruebe si ha añadido a la regla los atributos adicionales que se describen en Creación de directivas con reglas de directiva de auditoría.
Haga clic en Siguiente.
Continúe en la sección Incorporación de reglas.
Si decide crear una regla con el Asistente para reglas en Asistente de directiva de auditoría, introduzca la información indicada en las páginas de las próximas secciones.
Existe la opción de asignar nombre y describir la nueva regla. En esta página puede introducir texto descriptivo que aparecerá junto al nombre de la regla siempre que Identity Manager la muestre. Escriba una descripción concisa y clara de la regla. Esta descripción aparece en la página Revisar infracciones de directivas de Identity Manager.
Por ejemplo, si va a crear una regla para identificar a los usuarios que tengan simultáneamente los valores Payable User y Receivable User para el atributo responsibilityKey en Oracle ERP, podría escribir la descripción siguiente: Identifica los usuarios con responsabilidades simultáneas de usuarios por pagar y usuarios por cobrar.
En el campo Comentario puede introducir cualquier otra información sobre la regla.
En esta página debe seleccionar el recurso al que hará referencia la regla. Cada variable de la regla debe corresponder a un atributo de este recurso. En esta lista de opciones aparecerán todos los recursos sobre los que tenga acceso de visualización. En este ejemplo está seleccionado Oracle ERP.
Aunque no todos, se admiten la mayoría de los atributos de cada adaptador de recursos disponible. Los atributos específicos disponibles se describen en Sun Identity Manager 8.1 Resources Reference .
Pulse Siguiente para continuar en la próxima página.
Esta pantalla sirve para introducir la expresión de la nueva regla. En este ejemplo se crea una regla que impide que un usuario tenga simultáneamente el atributo responsibilityKey de Oracle ERP con el valor Payable User y con el valor Receivable User.
Seleccione un atributo de usuario en la lista de atributos variables. Este atributo corresponderá directamente a una variable de regla.
Seleccione una condición lógica en la lista. Las condiciones válidas son "=" (igual a), "!=" (distinto a), "<" (menor que), "<=" (menor o igual que), ">" (mayor que), ">=" (mayor o igual que), "es verdadero", "es nulo", "no es nulo", "está vacío" y "contiene". En este ejemplo podría seleccionar contiene en la lista de posibles condiciones de atributo.
Introduzca un valor para la expresión. Por ejemplo, si introduce Payable user, estará especificando un usuario de Oracle ERP con el valor Payable user para el atributo responsibilityKeys.
Si lo desea, haga clic en el operador Y u O para añadir otra línea y crear otra expresión.
Esta regla devuelve un valor booleano. Si ambas instrucciones son verdaderas, la regla de directiva devuelve el valor TRUE, que ocasiona una infracción de directiva.
Identity Manager no permite controlar reglas anidadas. Además, el uso del Asistente de directiva de auditoría para crear directivas con distintos operadores booleanos entre las reglas puede tener resultados imprevisibles, porque no se especifica el orden de evaluación.
Para crear expresiones de regla complejas, utilice un editor XML en lugar del Asistente de directiva de auditoría. Con un editor XML puede negar donde sea preciso para utilizar un único operador booleano entre reglas.
El ejemplo de código siguiente ilustra en formato XML la regla creada en esta pantalla:
<Description>Payable User/Receivable User</Description> <RuleArgument name=’resource’ value=’Oracle ERP’> <Comments>Resource specified when audit policy was created.</Comments> <String>Oracle ERP</String> </RuleArgument> <and> <contains> <ref>accounts[Oracle ERP].responsibilityKeys</ref> <s>Receivable User</s> </contains> <contains> <ref>accounts[Oracle ERP].responsibilityKeys</ref> <s>Payables User</s> </contains> </and> <MemberObjectGroups> <ObjectRef type=’ObjectGroup’ id=’#ID#Top’ name=’Top’/> </MemberObjectGroups> </Rule> |
Para eliminar una expresión de la regla, seleccione la condición del atributo y pulse Suprimir.
Pulse Siguiente para continuar en el Asistente de directiva de auditoría. Tiene la oportunidad de agregar más reglas, ya sea incorporando reglas existentes o volviendo a usar el asistente.