En este capítulo se describe la forma de realizar revisiones de auditoría e implementar prácticas que ayudan a controlar la conformidad con las normas exigidas por las autoridades federales.
En este capítulo examinaremos los conceptos y las tareas siguientes:
Además de incluir información sobre la exploración de directivas de auditoría, en esta sección se describen los procedimientos para ejecutar y administrar las exploraciones de auditoría.
Las exploraciones ejecutan las directivas de auditoría seleccionadas en usuarios u organizaciones particulares. Puede explorar un usuario o una organización para detectar una infracción determinada o ejecutar directivas no asignadas al usuario o la organización. Las exploraciones se inician desde la sección Cuentas de la interfaz.
También puede iniciar o programar la exploración de directivas de auditoría desde la ficha Tareas del servidor.
En la interfaz de administración, seleccione la opción Cuentas del menú principal.
En la lista Cuentas, lleve a cabo una de las acciones siguientes:
Seleccione uno o varios usuarios y elija Explorar en la lista de opciones Acciones de Usuario.
Seleccione una o varias organizaciones y elija Explorar en la lista de opciones Acciones de Organización.
Aparece el cuadro de diálogo Iniciar tarea. En la Figura 15–1 se muestra un ejemplo de la página Iniciar tarea de una exploración de usuario de directivas de auditoría.
Introduzca el nombre de la exploración en el campo Título del informe. (imprescindible)
Especifique las demás opciones.
Las opciones incluyen:
Resumen del informe: introduzca la descripción de la exploración.
Añadir directivas: seleccione una o varias directivas de auditoría para ejecutarlas. Es necesario que especifique al menos una directiva.
Modo de directiva: seleccione un modo de directiva para determinar la manera en que las directivas seleccionadas interaccionan con usuarios que disponen de asignaciones de directivas. Las asignaciones pueden proceder directamente del usuario o de la organización a la que esté asignado el usuario.
No crear infracciones: active este cuadro si quiere que se evalúen las directivas de auditoría y se informe de las infracciones, pero no desea que se creen ni actualicen las infracciones del cumplimiento y tampoco que se ejecuten los flujos de trabajo de remediación. Esta opción resulta útil para probar directivas de auditoría porque las infracciones generadas aparecen en los resultados de la tarea de exploración.
¿Ejecutar flujo de trabajo de remediación?: active este cuadro para ejecutar el flujo de trabajo de remediación asignado en la directiva de auditoría. Si la directiva de auditoría no define un flujo de trabajo de remediación, no se ejecutará ninguno.
Límite de infracción: edite este cuadro para definir el número máximo de infracciones del cumplimiento que puede emitir esta exploración antes de que se anule. Este valor es una medida de seguridad para limitar el riesgo cuando se ejecute una directiva de auditoría que pueda ser demasiado agresiva en sus comprobaciones. Un valor vacío indica que no se establece ningún límite.
}Informe de correo electrónico: active este cuadro para especificar los destinatarios del informe. Si también tiene Identity Manager, adjunte un archivo que contenga un informe en formato CSV (valores separados por coma).
Ignorar opciones predeterminadas de PDF: active este cuadro para que se ignoren las opciones predeterminadas de PDF.
Haga clic en Iniciar para comenzar la exploración.
Para ver los informes que genera la exploración de auditoría, abra Informes de Auditor.
Identity Manager proporciona una serie de informes de auditor. Estos informes se describen en la tabla siguiente.
Tabla 15–1 Descripción de informes de auditor
Tipo de informe de auditor |
Descripción |
---|---|
Cobertura de revisión de acceso |
Muestra la coincidencia parcial o las diferencias que existen entre los usuarios implicados en las revisiones de acceso seleccionadas. Como la mayoría de revisiones de acceso tienen un ámbito de usuario especificado por una consulta o por cualquier operación de pertenencia, el conjunto exacto de usuarios cambia con el tiempo. Este informe puede mostrar las coincidencias parciales, las diferencias, o ambas, que existen entre los usuarios especificados por dos revisiones de acceso distintas (para comprobar la eficacia de las revisiones en funcionamiento), entre los derechos que generan dos revisiones de acceso diferentes (para comprobar si la cobertura cambia con el tiempo) o entre los usuarios y los derechos (para que pueda determinar si se han generado derechos para todos los usuarios incluidos en el ámbito de la revisión). |
Detalle de revisión de acceso |
Muestra el estado actual de todos los registros de derechos de usuario. Este informe se puede filtrar por organización de usuario, revisión de acceso, instancia de revisión de acceso, estado de un registro de derechos y autenticador. |
Resumen de revisión de acceso |
Ofrece información resumida sobre todas las revisiones de acceso. Incluye un resumen de los usuarios explorados, las directivas exploradas y las actividades de autenticación de cada exploración de revisión de acceso de la lista. |
Cobertura de ámbito de usuario de exploración de acceso |
Compara las exploraciones seleccionadas para determinar qué usuarios están incluidos en el ámbito de exploración. Muestra la superposición (usuarios incluidos en todas las exploraciones) o la diferencia (usuarios no incluidos en todas las exploraciones, pero sí en más de una). Este informe resulta útil cuando se intentan organizar múltiples exploraciones de acceso para cubrir los mismos o distintos usuarios, según las necesidades de exploración. |
Resumen de directivas de auditoría |
Ofrece un resumen de los elementos fundamentales de todas las directivas de auditoría, lo que incluye las reglas, los remediadores y el flujo de trabajo de cada directiva. |
Atributo auditado |
Muestra todos los registros de auditoría que reflejan un cambio en un atributo de cuenta de recurso específico. Este informe extrae datos de auditoría para atributos auditables que se han almacenado. Los datos se extraen en función de cualquier atributo ampliado, que puede especificarse en WorkflowServices o en atributos de recurso marcados como auditables. Para obtener información sobre la configuración de este informe, consulte Configuración del informe de atributos auditados. |
Historial de infracciones de directivas de auditoría |
Es una vista gráfica en la que aparecen todas las infracciones del cumplimiento por directiva que se han creado durante un periodo de tiempo concreto. Este informe se puede filtrar por directiva y agrupar por día, semana, mes o trimestre. |
Acceso de usuario |
Muestra el registro de auditoría y los atributos de usuario de un usuario determinado. |
Historial de infracciones de la organización |
Es una vista gráfica en la que aparecen todas las infracciones del cumplimiento por recurso que se han creado durante un periodo de tiempo concreto. Se puede filtrar por organización y agrupar por día, semana, mes o trimestre. |
Historial de infracciones del recurso |
Es una vista gráfica en la que aparecen todas las infracciones del cumplimiento por recurso que se han creado durante un periodo de tiempo concreto. |
Separación de tareas |
Muestra la separación de las infracciones de tareas en una tabla de conflictos. Mediante los vínculos de la interfaz web puede acceder a información adicional. Este informe se puede filtrar por organización y agrupar por día, semana, mes o trimestre. |
Resumen de infracciones |
Muestra todas las infracciones de cumplimiento actuales. Este informe se puede filtrar por remediador, recurso, regla, usuario o directiva. |
Estos informes se encuentran disponibles en la ficha Informes de la interfaz de Identity Manager.
El valor de RULE_EVAL_COUNT equivale al número de reglas que se han evaluado durante una exploración de directiva. A veces se incluye en los informes.
Identity Manager calcula el valor de RULE_EVAL_COUNT de la siguiente manera.
nº de usuarios explorados x (nº de reglas de la directiva + 1)
+1 se incluye en el cálculo porque Identity Manager también tiene en cuenta la regla de directiva, ya que es la regla que permite determinar realmente si se infringe una directiva. La regla de directiva examina los resultados de la regla de auditoría y utiliza la lógica booleana para generar el resultado de la directiva.
Por ejemplo, si tiene una directiva A con tres reglas y una directiva B con dos reglas, y ha realizado exploraciones en diez usuarios, el valor de RULE_EVAL_COUNT será 70 porque
10 usuarios x (3 + 1 + 2 + 1 reglas).
Para ejecutar un informe, primero tiene que crear la plantilla del mismo. Puede especificar varios criterios, incluso los destinatarios de correo electrónico que recibirán los resultados del informe. La plantilla del informe creada y guardada se encuentra disponible en la página Ejecutar informes.
En la figura siguiente se muestra un ejemplo de la página Ejecutar informes, en la que aparece la lista de informes de auditor definidos.
En la interfaz de administración, seleccione Informes en el menú principal.
Aparece la página Ejecutar informes.
Seleccione Informes de Auditor como tipo de informe.
En la nueva lista de informes, seleccione un informe.
Aparece la página Definir un informe. Los campos y la distribución del cuadro de diálogo de informes varía según el tipo de informe. Consulte la Ayuda de Identity Manager para obtener información sobre la definición de los criterios del informe.
Después de escribir y seleccionar el criterio de informe podrá:
Ejecutar el informe sin guardarlo.
Haga clic en Ejecutar para empezar a ejecutar el informe. Identity Manager no guarda el informe (si ha definido un nuevo informe) ni los criterios de informe modificados (si ha editado un informe existente).
Guardar el informe.
Haga clic en Guardar para guardar el informe. Después de guardar el informe, puede ejecutarlo desde la página Ejecutar informes (lista de informes). Una vez que ejecuta el informe en la página Ejecutar informes, puede ver el resultado de inmediato o posteriormente en la ficha Ver informes.
Para obtener información sobre la programación de un informe, consulte Programación de informes.
En el informe de atributos auditados (consulte la Tabla 15–1) pueden aparecer los cambos de nivel de atributo experimentados por los usuarios y las cuentas de Identity Manager. Sin embargo, el registro de auditoría estándar no genera suficientes datos de auditoría como para admitir una expresión de consulta completa.
El registro de auditoría estándar introduce realmente los atributos modificados en el campo acctAttrChanges del registro de auditoría, pero de manera que al consultar el informe sólo se encuentran los registros basados en el nombre del atributo cambiado. En la consulta del informe no se encuentra exactamente el valor del atributo.
Es posible configurar este informe para encontrar los registros que contienen modificaciones del atributo lastname especificando los parámetros siguientes:
Attribute Name = ’acctAttrChanges’ Condition = ’contains’ Value = ’lastname’
Por la forma en que se almacenan los datos en el campo acctAttrChanges, es necesario utilizar Condition=’contains’. Este campo no admite varios valores. Básicamente, se trata de una estructura de datos que contiene los valores before/after de todos los atributos modificados con la sintaxis attrname=value. Por consiguiente, los valores anteriores permiten encontrar cualquier instancia de lastname= xxx en la consulta del informe.
También es posible encontrar los registros de auditoría que tienen un atributo específico con valor determinado solamente. Para esto, realice el procedimiento que se describe en la sección Configuración de la ficha Auditoría. Seleccione la casilla Auditar todo el flujo de trabajo, haga clic en el botón Añadir atributo para elegir los atributos que deben quedar registrados para el informe y haga clic en Guardar.
A continuación, active la configuración de la plantilla de tareas (si no está activada). Para esto, realice el procedimiento que se describe en la sección Habilitación de las plantillas de tarea. Haga clic en Guardar sin cambiar el valor predeterminado de la lista Tipos de procesos seleccionados.
El flujo de trabajo ahora puede suministrar los registros de auditoría que corresponden tanto al nombre de atributo como al valor. Aunque con este nivel de auditoría se obtiene mucha información, hay que tener en cuenta que se produce una notable pérdida de rendimiento y que los flujos de trabajo se ralentizan drásticamente.
En esta sección se describe la forma de utilizar la remediación de Identity Manager para proteger los activos críticos.
En los temas siguientes se explican los elementos del proceso de remediación de Identity Manager:
Cuando Identity Manager detecta un infracción del cumplimiento de directivas de auditoría sin resolver (mitigar), crea una solicitud de remediación que debe enviar un remediador. El remediador es el usuario designado que puede evaluar y responder a las infracciones de directivas de auditoría.
Identity Manager permite definir tres niveles de escalación. Las solicitudes de remediación se envían inicialmente a los remediadores de nivel 1. Si el remediador de nivel 1 no responde a la solicitud de remediación antes de que expire el tiempo establecido, Identity Manager remite la infracción a los remediadores de nivel 2 y comienza un intervalo de espera nuevo. Si el remediador de nivel 2 tampoco responde antes del tiempo establecido, se pasa la solicitud al remediador de nivel 3.
Para llevar a cabo la remediación, debe designar al menos un designador dentro de la organización. Aunque se recomienda designar más de un remediador en cada nivel, es opcional. La existencia de varios remediadores evita que el flujo de trabajo se retrase o interrumpa.
Las opciones de autorización están relacionadas con elementos de trabajo del tipo de autenticación (authType) RemediationWorkItem.
Propietario del elemento de trabajo de remediación
Administrador directo o indirecto del propietario del elemento de trabajo de remediación
Administrador que controla la organización a la que pertenece el propietario del elemento de trabajo de remediación
De forma predeterminada, el comportamiento de las comprobaciones de autorización es uno de los siguientes:
El propietario es el usuario que intenta realizar la acción.
El propietario es una organización que controla el usuario que intenta realizar la acción.
El propietario es un subordinado del usuario que intenta realizar la acción.
Las comprobaciones segunda y tercera se pueden configurar por separado cambiando estas opciones:
controlOrg. Los valores válidos son true o false.
subordinate. Los valores válidos son true o false.
lastLevel. Último nivel de subordinación que se incluye en el resultado; -1 corresponde a todos los niveles. El valor entero de lastLevel es -1 de forma predeterminada, y hace referencia a los subordinados directos e indirectos.
Estas opciones se pueden agregar o modificar en:
Formulario de usuario: Lista de remediación
Identity Manager proporciona el flujo de trabajo de remediación estándar a fin de garantizar procesos de remediación para todas las exploraciones de directivas de auditoría.
El flujo de trabajo de remediación estándar genera una solicitud de remediación (elemento de trabajo de tipo revisión), que contiene información sobre la infracción del cumplimiento, y envía una notificación por correo electrónico a los remediadores de nivel 1 mencionados en la directiva de auditoría. Cuando un remediador mitiga la infracción, el flujo de trabajo cambia el estado del objeto de infracción del cumplimiento existente y el asigna una caducidad.
La infracción del cumplimiento solamente se puede identificar mediante la combinación del usuario, el nombre de la directiva y el nombre de la regla. Cuando el resultado de evaluar la directiva de auditoría es true, se crea una infracción del cumplimiento nueva por cada combinación de usuario/directiva/regla, si no existe una infracción para esta combinación. Si no existe una infracción para esa combinación y la infracción se encuentra en estado mitigado, el proceso del flujo de trabajo no se realiza. Si la infracción no está mitigada, su recuento de recurrencia aumenta.
Para obtener más información sobre los flujos de trabajo de remediación, consulte Qué son las directivas de auditoría.
Cada remediador tiene tres opciones de forma predeterminada:
Remediar. El remediador indica que se ha realizado alguna acción para solucionar el problema en el recurso.
Cuando se modifica una infracción del cumplimiento, Identity Manager crea un evento de auditoría para registrar la remediación. Además, Identity Manager almacena el nombre del remediador y los comentarios introducidos.
Después de la remediación, la infracción no se elimina hasta la siguiente exploración de auditoría. Si la directiva de auditoría se configura para permitir reexploraciones, el usuario se volverá a explorar en cuanto se remedie la infracción.
Mitigar. El remediador permite la infracción y exime al usuario de la infracción durante un periodo de tiempo determinado.
Si la infracción se comete de forma deliberada (por ejemplo, hay un caso de pertenencia a dos grupos), puede mitigar la infracción durante un periodo de tiempo mayor. También puede mitigar la infracción durante un breve periodo de tiempo (por ejemplo, si el administrador del sistema del recurso está de vacaciones y no sabe cómo solucionar el problema).
Identity Manager almacena el nombre del remediador que mitiga la infracción, junto con la fecha de caducidad asignada a la exención y los comentarios introducidos.
Cuando Identity Manager detecta una exención caducada, cambia el estado de la infracción de mitigado a pendiente.
Reenviar. El remediador reasigna a otra persona la responsabilidad de solucionar la infracción.
La organización establece una regla según la cual un usuario no puede ser responsable de las cuentas por pagar y por cobrar, y se le informa de que un usuario está infringiendo esta regla.
Si el usuario es un supervisor, responsable de ambas funciones hasta que la organización contrate a otra persona para desempeñar ese cargo, podrá mitigar la infracción y generar una exención durante un máximo de seis meses.
Si el usuario está infringiendo la regla, puede solicitar al administrador de Oracle ERP que solucione el conflicto y luego remediar la infracción una vez que se haya resuelto el problema de ese recurso. También puede reenviar la solicitud de remediación al administrador de Oracle ERP.
Identity Manager proporciona una plantilla de notificación por correo electrónico de infracciones de directiva (disponible mediante la selección de la ficha Configuración y, a continuación, Plantillas de correo electrónico). Puede configurar esta plantilla para notificar a los remediadores las infracciones pendientes. Para obtener más información, consulte Personalización de plantillas de correo electrónico en el Capítulo 4Configuración de objetos de administración de negocio.
Seleccione Elementos de trabajo -> Remediaciones para acceder a la página Remediaciones.
Puede utilizar esta página para:
Ver infracciones pendientes.
Priorizar las infracciones de directiva.
Mitigar una o varias infracciones de directiva.
Remediar una o varias infracciones de directiva.
Reenviar una o varias infracciones de directiva.
Editar usuarios desde un elemento de trabajo de remediación.
En la página Remediaciones puede consultar los detalles de las infracciones antes de realizar cualquier acción.
Dependiendo de sus capacidades o del lugar que ocupe en la jerarquía de capacidades de Identity Manager, podrá ver y realizar acciones en las infracciones asignadas a otros remediadores.
Los temas siguientes están relacionados con la visualización de infracciones:
Las solicitudes pendientes que se le asignan aparecen en la tabla Remediaciones de forma predeterminada.
Si quiere ver las solicitudes de remediación pendientes de otro remediador, puede utilizar la opción Lista de remediaciones para.
Seleccione Mis informes directos para ver las solicitudes pendientes de usuarios de la organización que le informan directamente.
Seleccione Buscar usuarios para introducir o localizar uno o varios usuarios, cuyas solicitudes pendientes desea ver. Introduzca un ID de usuario y haga clic en Aplicar para ver las solicitudes pendientes de ese usuario. También puede hacer clic en ... (Más) para buscar un usuario. Después de localizar y seleccionar un usuario, haga clic en Descartar para cerrar la sección de búsqueda.
En la tabla resultante se proporciona la siguiente información sobre cada solicitud:
Remediador. Nombre del remediador asignado. Esta columna sólo aparece cuando se visualizan las solicitudes de remediación de otros remediadores.
Usuario. Usuario objeto de la solicitud.
Directiva/Solicitud de auditoría. Acción solicitada al remediador.
Regla/Descripción de auditoría. Comentarios de remediación relacionados con la solicitud.
Estado de infracción. Estado actual de la infracción.
Gravedad. Gravedad asignada a la solicitud (ninguna, baja, media, alta o crítica).
Prioridad. Prioridad asignada a la solicitud (ninguna, baja, media, alta o urgente).
Fecha de la solicitud: fecha y hora en que se envió la solicitud de remediación.
Cada usuario puede elegir un formulario personalizado para presentar los datos de remediación relacionados con ese remediador concreto. Para asignar un formulario personalizado, seleccione la ficha Cumplimiento en el formulario de usuario.
Para ver las solicitudes de remediación completadas, haga clic en la ficha Mis elementos de trabajo y luego en la ficha Historial. Se muestra la lista de elementos de trabajo remediados previamente.
En la tabla resultante (que genera un informe AuditLog) se proporciona la siguiente información sobre cada una de las solicitudes de remediación:
Tiempo. Fecha y hora en que se resuelve la solicitud.
Sujeto. Nombre del remediador que procesa la solicitud.
Acción. Si el remediador ha mitigado o remediado la solicitud.
Tipo. Infracción de cumplimiento o Derecho de usuario.
Nombre de objeto. Nombre de la directiva de auditoría que se ha infringido.
Recurso. ID de cuenta del remediador (o n/d).
ID. ID de cuenta relacionado con la infracción de directiva.
Resultado. Siempre satisfactorio.
Cuando se hace clic en una indicación de tiempo de la tabla, se abre la página Detalles de incidente de auditoría.
En la página Detalles de incidente de auditoría se proporciona información sobre la solicitud completada, con información sobre la remediación o la mitigación, los parámetros de evento (si procede) y los atributos auditables.
Para actualizar la información de la tabla Remediaciones, haga clic en Actualizar. La página Remediaciones actualiza la tabla con las nuevas solicitudes de remediación.
Puede priorizar las infracciones de directiva mediante la asignación de una prioridad, una gravedad o ambas. Utilice la página Remediaciones para priorizar las infracciones.
Seleccione una o varias infracciones en la lista.
Haga clic en Priorizar.
Aparece la página Priorizar infracciones de directiva.
También puede definir la gravedad de la infracción. Las opciones disponibles son Ninguna, Baja, Media, Alta o Crítica.
Además, puede establecer la prioridad de la infracción. Las opciones disponibles son Ninguna, Baja, Media, Alta o Urgente.
Haga clic en Aceptar cuando termine de seleccionar opciones. Identity Manager devuelve la lista de remediaciones.
Sólo se pueden definir valores de gravedad y prioridad en remediaciones de tipo IC (infracción de cumplimiento).
En las páginas Remediaciones y Revisar infracción de directiva puede mitigar las infracciones de directiva.
Seleccione filas de la tabla para especificar las solicitudes que deben mitigarse.
Active una o varias opciones separadas para especificar las solicitudes que se van a mitigar.
Active la opción del encabezado de la tabla para mitigar todas las solicitudes incluidas en la tabla.
Identity Manager sólo permite introducir una serie de comentarios para describir un acción de mitigación. Es posible que no desee realizar una acción de mitigación en masa, a menos que las infracciones estén relacionadas y que un solo comentario sea aceptable para todas ellas.
Puede mitigar las solicitudes que incluyan infracciones del cumplimiento solamente. No se pueden mitigar otras solicitudes de mitigación.
Haga clic en Mitigar.
Aparece la página Mitigar infracción de directiva (o la página Mitigar varias infracciones de directiva).
Introduzca comentarios sobre la mitigación en el campo Explicación. (imprescindible)
Puesto que los comentarios permiten realizar un seguimiento de auditoría de esta acción, asegúrese de introducir información completa e importante. Por ejemplo, explique por qué está mitigando la infracción de directiva, la fecha y el motivo de la elección del periodo de exención.
Para proporciona la fecha de caducidad de la exención, introduzca la fecha (en formato AAAA-MM-DD) directamente en el campo Fecha de caducidad o haga clic en el botón de fecha y seleccione una fecha del calendario.
Si no introduce la fecha, la exención tendrá una validez indefinida.
Haga clic en Aceptar para guardar los cambios y regresar a la página Remediaciones.
Utilice las casillas de la tabla para especificar las solicitudes que se van a remediar.
Para esto, active una o varias casillas de la tabla.
Active la casilla del encabezado de la tabla para remediar todas las solicitudes incluidas en la tabla.
Cuando seleccione más de una solicitud, recuerde que Identity Manager sólo permite introducir una serie de comentarios para describir una acción de remediación. Es posible que no desee realizar una acción de mitigación en masa, a menos que las infracciones estén relacionadas y que un solo comentario sea aceptable para todas ellas.
Haga clic en Remediar.
Aparece la página Remediar infracción de directiva (o la página Remediar varias infracciones de directiva).
Introduzca los comentarios relacionados con la remediación en el campo Comentarios.
Haga clic en Aceptar para guardar los cambios y regresar a la página Remediaciones.
Las directivas de auditoría que se asignan directamente a un usuario (mediante una cuenta de usuario o asignación de organización) siempre vuelven a evaluarse cuando se remedia una infracción de dicho usuario.
Puede reenviar una o varias solicitudes de remediación a otro remediador.
Utilice las casillas de la tabla para especificar las solicitudes que se van a reenviar.
Active la casilla del encabezado de la tabla para reenviar todas las solicitudes de la tabla.
Active casillas separadas de la tabla para reenviar una o varias solicitudes.
Haga clic en Reenviar.
Aparece la página Seleccionar y confirmar reenvío.
Introduzca el nombre del remediador en el campo Remitir a y haga clic en Aceptar. También puede hacer clic en ... (Más) para buscar el nombre de un remediador. Seleccione un nombre en la lista de búsqueda y haga clic en Definir para introducir ese nombre en el campo Remitir a. Haga clic en Descartar para cerrar la sección de búsqueda.
Cuando vuelva a aparecer la página Remediaciones, el nombre del nuevo remediador aparecerá en la columna Remediador de la tabla.
Si dispone de las capacidades de edición de usuarios oportunas, en el elemento de trabajo de remediación puede editar un usuario para remediar los problemas (descritos en el historial de derechos asociados).
Para editar un usuario, haga clic en Editar usuario en la página Solicitud de remediación de revisión. En la página Editar usuario que se abre aparece lo siguiente:
Historial de derechos asociados con el usuario, para este elemento de trabajo
Atributos del usuario
Las opciones que se muestran aquí coinciden con las del formulario Editar usuario de la sección Cuentas.
Después de realizar cambios en el usuario, haga clic en Guardar.
Cuando se guardan los cambios, se ejecuta el flujo de trabajo de actualización de usuarios. Como este flujo de trabajo puede estar sujeto a aprobación, es posible que los cambios efectuados en las cuentas de usuario no se apliquen durante un periodo de tiempo después de guardarlos. Si la directiva de auditoría permite realizar reexploraciones y el flujo de trabajo de actualización de usuarios no ha terminado, puede detectarse la misma infracción en la exploración de directiva siguiente.
Identity Manager proporciona un proceso para realizar revisiones de acceso que permiten a los administradores u otros responsables revisar y verificar los privilegios de acceso de los usuarios. Este proceso ayuda a identificar y administrar la acumulación de privilegios de usuario a lo largo del tiempo, además de contribuir a mantener el cumplimiento de la ley Sarbanes-Oxley, la ley GLBA y otras disposiciones de los reglamentos federales.
Las revisiones de acceso se pueden realizar conforme se necesitan, pero también puede planificarse para ejecutarlas periódicamente. Por ejemplo, se pueden programar trimestralmente, lo que permite realizar revisiones de acceso periódicas para mantener el nivel adecuado de privilegios de usuario. Como alternativa, cada revisión de acceso puede incluir exploraciones de directivas de auditoría.
La revisión de acceso periódica es el proceso por el que se autentica que un conjunto de empleados tiene los privilegios adecuados en los recursos oportunos en un momento concreto.
La revisión de acceso periódica conlleva las siguientes actividades:
Exploraciones de revisión de acceso. Exploraciones en las que se realizan evaluaciones de los derechos de usuario basadas en reglas para determinar si se requiere autenticación.
Autenticación. Proceso por el que se responde a la solicitud de autenticación aprobando o rechazando los derechos de usuario.
Un derecho de usuario es un registro detallado de las cuentas de un usuario en una serie concreta de recursos.
Para iniciar una revisión de acceso periódica, primero debe definir una exploración de acceso como mínimo.
La exploración de acceso define quién va a ser objeto de la exploración, los recursos que se incluirán en la exploración, las directivas de auditoría opcionales que se van a evaluar durante la exploración y las reglas que determinan los registros de derechos que se van a autenticar manualmente y por quién.
En general, el flujo de trabajo de revisión de acceso de Identity Manager:
Crea una lista de usuarios, obtiene información de la cuenta de cada usuario y evalúa las directivas de auditoría opcionales.
Crea registros de derechos de usuario.
Determina si es necesario autenticar cada registro de derechos de usuario.
Asigna elementos de trabajo a cada autenticador.
Espera la aprobación de todos los autenticadores o el primer rechazo.
Delega en el siguiente autenticador si no se obtiene respuesta a una solicitud en un periodo de tiempo determinado.
Actualiza los registros de derechos de usuario con resoluciones.
Consulte la descripción de las capacidades de remediación en Remediación de revisión de acceso.
Para realizar una revisión de acceso periódica y controlar los procesos de revisión, el usuario debe tener la capacidad Administrador de revisiones de acceso periódico de Auditor. Los usuarios que tienen la capacidad Administrador de exploraciones de acceso de Auditor pueden crear y administrar exploraciones de acceso.
Para asignar estas capacidades, edite la cuenta de usuario y modifique los atributos de seguridad. Para obtener más información sobre éstas y otras capacidades, consulte Conceptos y administración de capacidades en el Capítulo 6Administración.
La autenticación es el proceso de certificación que realiza uno o varios de los autenticadores designados para confirmar un derecho de usuario tal y como existe en una fecha determinada. Durante la revisión de acceso, el autenticador (o autenticadores) recibe por correo electrónico una notificación con las solicitudes de autenticación de revisión de acceso. El autenticador debe ser un usuario de Identity Manager, pero no hace falta que sea un administrador de Identity Manager.
Identity Manager emplea un flujo de trabajo de autenticación que se inicia cuando una exploración de acceso identifica los registros de derechos que deben revisarse. La exploración de acceso determina la necesidad de efectuar la revisión basándose en las reglas definidas en la misma exploración.
La regla evaluada en la exploración de acceso determina si el registro de derechos de usuario tiene que autenticarse de forma manual o si se puede aprobar o rechazar automáticamente. Cuando el registro de derechos de usuario necesita autenticarse de forma manual, la exploración de acceso utiliza una segunda regla para determinar quiénes son los autenticadores adecuados.
Cada registro de derechos de usuario que se debe autenticar manualmente se asigna a un flujo de trabajo, con un elemento de trabajo por autenticador. La notificación sobre estos elementos de trabajo se puede enviar al autenticador mediante un flujo de trabajo ScanNotification, que agrupa los elementos en una notificación por autenticador y exploración. A menos que seleccione este flujo de trabajo, se enviará una notificación por derecho de usuario. Esto significa que un autenticador puede recibir varias notificaciones por exploración, y posiblemente en gran cantidad en función del número de usuarios explorados.
Estas opciones de autorización están relacionadas con elementos de trabajo del tipo de autenticación (authType) AttestationWorkItem.
Propietario del elemento de trabajo
Administrador directo o indirecto del propietario del elemento de trabajo
Administrador que controla la organización a la que pertenece el propietario del elemento de trabajo
Usuarios validados mediante las comprobaciones de autenticación
De forma predeterminada, el comportamiento de las comprobaciones de autorización es uno de los siguientes:
El propietario es el usuario que intenta realizar la acción.
El propietario está en la organización controlada por el usuario que intenta realizar la acción.
El propietario es un subordinado del usuario que intenta realizar la acción.
Las comprobaciones segunda y tercera se pueden configurar por separado cambiando estas propiedades de formulario:
controlOrg: los valores válidos son true o false.
subordinate: los valores válidos son true o false.
lastLevel: último nivel de subordinación que se incluye en el resultado; -1 corresponde a todos los niveles.
El valor entero de lastLevel es -1 de forma predeterminada, y hace referencia a los subordinados directos e indirectos.
Estas opciones se pueden agregar o modificar en:
Formulario de usuario: AccessApprovalList
Si define la seguridad de las autenticaciones en controlada por la organización, también se requiere la capacidad Autenticador de Auditor para modificar las autenticaciones de otros usuarios.
De forma predeterminada, el flujo de trabajo de exploración de acceso respeta las delegaciones correspondientes a los elementos de trabajo del tipo Autenticación de revisión de acceso y Remediación de revisión de acceso, que crea el usuario para elementos de trabajo y notificaciones de autenticación. El administrador de exploración de acceso puede anular la selección de la opción Seguir delegación para que se ignoren las configuraciones de delegación. Si un autenticador ha delegado todos los elementos de trabajo a otro usuario, pero no se ha configurado la opción Seguir delegación para una exploración de revisión de acceso, el autenticador recibirá las notificaciones de solicitud de autenticación y los elementos de trabajo, no el usuario en el que se ha delegado.
La revisión de acceso puede ser un proceso laborioso y largo para las empresas. El proceso de revisión de acceso periódica de Identity Manager ayuda a reducir al mínimo el coste y el tiempo que conlleva automatizar muchas partes del proceso. Sin embargo, algunos procesos siguen siendo largos. Por ejemplo, la obtención de datos de cuentas de usuario de una serie de ubicaciones de miles de usuarios es un proceso que puede durar una cantidad de tiempo considerable. La autenticación manual de registros también puede durar mucho. Una planificación adecuada mejora la efectividad del proceso y reduce en gran medida el esfuerzo que supone.
Para planificar una revisión de acceso periódica hay que tener en cuenta lo siguiente:
La duración de la exploración puede variar mucho en función del número de usuarios y de recursos implicados.
En una única revisión de acceso periódica de una organización grande, la exploración puede tardar uno o varios días en realizarse, mientras que la autenticación manual puede tardar en completarse una o varias semanas.
Por ejemplo, en una organización con 50.000 usuarios y diez recursos, la exploración de acceso puede tardar aproximadamente un día en completarse, de acuerdo con los cálculos siguientes:
1 seg/recurso * 50 K usuarios * 10 recursos / 5 subprocesos simultáneos = 28 horas
Si los recursos están dispersos geográficamente, las latencias de red pueden incrementar la duración del proceso.
El procesamiento paralelo mediante el uso de varios servidores de Identity Manager puede acelerar el proceso de revisión de acceso.
La realización de exploraciones paralelas resulta más eficaz cuando las exploraciones no comparten recursos. Cuando defina una revisión de acceso, cree varias exploraciones, limite los recursos a un conjunto específico y utilice diferentes recursos en cada exploración. Cuando inicie la tarea, seleccione varias exploraciones y prográmelas para que se ejecuten de inmediato.
La personalización del flujo de trabajo de autenticación y las reglas garantiza más control y puede ser más eficaz:
Por ejemplo, personalice la regla de autenticador para que las tareas de autenticación se propaguen a varios autenticadores. El proceso de autenticación asigna elementos de trabajo y envía notificaciones como corresponde.
Las reglas de escalación de autenticador ayudan a mejorar el tiempo de respuesta de las solicitudes de autenticación.
Para configurar una cadena de escalación de autenticadores, defina la regla de autenticador de escalación predeterminado o utilice una regla personalizada. También tendrá que especificar los valores de tiempo de espera de escalación.
Además, es necesario saber cómo utilizar las reglas de determinación de revisión para ahorrar tiempo, y establecer de modo automático los registros de derechos que deben revisarse manualmente.
Especifique un flujo de trabajo de notificación en el nivel de exploración para agrupar la notificación de solicitudes de autenticación correspondientes a una exploración.
Durante el proceso de exploración, varios subprocesos acceden a la vista del usuario, con lo que posiblemente acceden a los recursos en los que el usuario tiene cuentas. La evaluación de varias directivas y reglas de auditoría después de acceder a la vista podría dar lugar a infracciones del cumplimiento.
Para impedir que dos subprocesos actualicen la misma vista de usuario a la vez, el proceso bloquea en la memoria el nombre de usuario. Si no es posible establecer el bloqueo en 5 segundos (valor predeterminado), la tarea de exploración generará un error y se omitirá el usuario, con lo que se protegerán las exploraciones simultáneas en las que se procese el mismo conjunto de usuarios.
Puede editar los valores de varios “parámetros ajustables” que actúan como argumentos de tarea en la tarea de exploración:
clearUserLocks (booleano). Si tiene el valor true, se liberan todos los bloqueos de usuarios actuales antes del inicio de la exploración.
userLock (entero). Tiempo de espera (en milisegundos) cuando se intenta bloquear un usuario. El valor predeterminado es 5 segundos. Los valores negativos desactivan el bloqueo en esa exploración.
scanDelay (entero). Tiempo de espera (en milisegundos) entre la distribución de subprocesos de exploración. El valor predeterminado es 0 (sin retraso). Si introduce un valor en este argumento, la exploración se ralentiza, pero el sistema responde mejor a otras operaciones.
maxThreads (entero). Número de subprocesos simultáneos que se utilizan para procesar una exploración. El valor predeterminado es 5. Si los recursos tardan mucho en responder, puede aumentar este número para mejorar el rendimiento de la exploración.
Para cambiar los valores de estos parámetros, edite el formulario de definición de tarea correspondiente. Para obtener más información, consulte el Capítulo 2, Identity Manager Forms de Sun Identity Manager Deployment Reference.
Seleccione Cumplimiento -> Administrar exploraciones de acceso.
Haga clic en Nuevo para que aparezca la página Crear exploración de acceso.
Asigne un nombre a la exploración de acceso.
Los nombres de las exploraciones de acceso no deben contener estos caracteres:
’ (apóstrofo), . (punto), | (línea), [ (corchete izquierdo), ] (corchete derecho), , (coma), : (dos puntos), $ (símbolo del dólar), " (comillas), \ (barra diagonal inversa) y = (signo igual)
También se debe evitar el uso de estos caracteres: _ (subrayado), % (porcentaje), ^ (acento circunflejo) y * (asterisco).
Agregue una descripción explicativa en la identificación de la exploración (opcional).
Active la opción Derechos dinámicos para que los autenticadores tengan estas otras posibilidades:
Las opciones incluyen:
Una autenticación pendiente se puede reexplorar inmediatamente para actualizar los datos de derechos y reevaluar la necesidad de autenticación.
Una autenticación pendiente se puede enrutar a otro usuario para remediación. Después de la remediación, los datos de derechos se actualizan y reevalúan para determinar si se necesita autenticación.
Especifique el Tipo de ámbito de usuario (imprescindible).
Elija una de las opciones siguientes:
Según regla de condición de atributo. Se exploran usuarios en función de la regla de ámbito de usuario seleccionada.
Identity Manager ofrece varias reglas predeterminadas:
Todos los administradores
Mediante el uso de Identity Manager IDE puede agregar reglas de definición de ámbitos de usuario. Para obtener información sobre Identity Manager IDE, visite https://identitymanageride.dev.java.net/.
Todos mis informes
Todos los no administradores
Mis informes directos
Usuarios sin administrador
Asignado a recursos. Se exploran todos los usuarios que tienen una cuenta en uno o varios de los recursos seleccionados. Cuando se elige esta opción, la página muestra los recursos de ámbito de usuario para que pueda especificar recursos.
Según un rol específico. Se exploran todos los miembros que tienen al menos un rol o todos los roles que ha especificado.
Miembros de organizaciones. Elija esta opción para explorar todos los miembros de una o varias organizaciones seleccionadas.
Informa a administrador. Se exploran todos los usuarios que rinden cuentas a los administradores seleccionados. El atributo de cuenta de Lighthouse de usuario de Identity Manager determina la jerarquía de administración.
Si el ámbito de usuario es organización o administración, la opción Ámbito recursivo se encuentra disponible. Esta opción permite seleccionar usuarios de forma recursiva mediante la cadena de miembros controlados.
Si además elige explorar directivas de auditoría para detectar infracciones durante la exploración de revisión de acceso, seleccione las directivas de auditoría que deben aplicarse a esta exploración. Para esto, mueva las opciones que ha elegido en la lista Directivas de auditoría disponibles hasta la lista Directivas de auditoría actuales.
Al agregar directivas de auditoría a una exploración de acceso se obtiene el mismo resultado que cuando se realiza una exploración de auditoría en el mismo conjunto de usuarios. Sin embargo, las infracciones que detectan las directivas de auditoría se almacenan en el registro de derechos de usuario. Esta información puede facilitar la aprobación o el rechazo automáticos, ya que la regla puede utilizar la presencia o ausencia de infracciones en el registro de derechos de usuario como parte de su lógica.
Si ha explorado directivas de auditoría en el paso anterior, puede utilizar la opción Modo de directiva para especificar cómo determina la exploración de acceso las directivas de auditoría que se van a ejecutar con un usuario determinado. Los usuarios pueden tener directivas asignadas en el nivel de usuario, en el nivel de organización o ambos. De forma predeterminada, la exploración de acceso sólo aplica las directivas especificadas para la exploración cuando el usuario no tiene asignadas directivas.
(Opcional) Especificar propietario del proceso de revisión. Utilice esta opción para especificar el propietario de la tarea de revisión de acceso que se está definiendo. Cuando se especifica el propietario del proceso de revisión, cualquier autenticador que encuentre un posible conflicto a la hora de responder a una solicitud de autenticación puede abstenerse en lugar de aprobar o rechazar el derecho de usuario; la solicitud de autenticación se reenviará al propietario del proceso de revisión. Haga clic en el cuadro de selección (elíptico) para buscar las cuentas de usuario y realizar la selección.
Seguir delegación. Seleccione esta opción para activar la delegación para la exploración de acceso. Cuando marque esta opción, la exploración de acceso respetará las configuraciones de delegación. Esta opción está activada de forma predeterminada.
Restringir recursos destino. Seleccione esta opción para limitar la exploración a los recursos de destino.
Esta opción está directamente relacionada con la eficacia de la exploración de acceso. Si no limita los recursos de destino, cada registro de derechos de usuario incluirá información de las cuentas de todos los recursos a los que esté vinculado el usuario. Esto significa que se consultan todos los recursos asignados de cada usuario durante la exploración. Si utiliza esta opción para especificar un subconjunto de recursos, puede reducir en gran medida el tiempo de procesamiento que necesita Identity Manager para crear los registros de derechos de usuario.
Ejecutar remediación de infracción. Seleccione esta opción para que se active el flujo de trabajo de remediación de la directiva de auditoría cuando se detecte una infracción.
Cuando se selecciona esta opción, se ejecuta el flujo de trabajo de remediación de la directiva de auditoría cuya infracción se ha detectado.
Normalmente no debe seleccionarse esta opción, a menos que se trate de casos avanzados.
Flujo de trabajo de aprobación de acceso. Seleccione el flujo de trabajo de autenticación estándar predeterminado o un flujo de trabajo personalizado, si está disponible.
Este flujo de trabajo permite presentar el registro de derechos de usuario a los autenticadores apropiados (según la regla de autenticador) para que lo revisen. El flujo de trabajo de autenticación estándar predeterminado crea un elemento de trabajo por autenticador. Si se especifica la escalación en la exploración de acceso, este flujo de trabajo se encarga de asignar los elementos de trabajo que han estado inactivos durante mucho tiempo. Cuando no se especifique ningún flujo de trabajo, la autenticación de usuario permanecerá en estado pendiente de forma indefinida.
.
Para obtener más información sobre las reglas de Identity Auditor mencionadas en este paso y en los pasos siguientes, consulte el Capítulo 4, Working with Rules de Sun Identity Manager Deployment Reference.
Regla de autenticador. Seleccione la regla Autenticador predeterminado o una regla de autenticador personalizada, si existe.
La regla de autenticador en la que se introduce el registro de derechos de usuario, devuelve una lista con los nombres de los autenticadores. Cuando se selecciona Seguir delegación, la exploración de acceso cambia la lista de nombres por los nombres adecuados después de que cada usuario configure la información de delegación en la lista original de nombres. Si la delegación de un usuario de Identity Manager produce un ciclo de direccionamiento, la información de delegación se descarta y el elemento de trabajo se envía al autenticador inicial. La regla de Autenticador predeterminado establece que el autenticador debe ser el administrador (idmManager) del usuario al que representa el registro de derechos, o la cuenta de configuración si el idmManager del usuario es nulo. Cuando sea necesario incluir a los propietarios de recursos y los administradores en la autenticación, tendrá que utilizar una regla personalizada.
Regla de escalación de autenticador. Utilice esta opción para especificar la regla de autenticador de escalación predeterminado o seleccionar una regla personalizada, si existe. También puede especificar el valor de Tiempo de espera de escalada de la regla. El valor predeterminado es 0 días.
Esta regla especifica la cadena de escalación que se utiliza con cualquier elemento de trabajo que haya superado el tiempo de espera de escalación. La regla de autenticador de escalación predeterminado delega las solicitudes en el administrador del autenticador designado (idmManager), o en el usuario Configurator si el valor idmManager del autenticador es nulo.
Puede especificar el tiempo de espera de escalación en minutos, horas o días.
El documento contiene información adicional sobre la regla de escalación de autenticador.
Regla de determinación de revisión. (imprescindible)
Seleccione una de las reglas siguientes para especificar la forma en que el proceso de exploración determinará la disposición de un registro de derechos:
Rechazar usuarios cambiados. Rechaza automáticamente un registro de derechos de usuario si el último derecho de usuario de la misma definición de exploración de acceso no coincide y este derecho está aprobado. En caso contrario, fuerza una autenticación manual y aprueba todos los derechos de usuario que no han sufrido cambios con respecto al derecho de usuario previamente aprobado. De forma predeterminada, sólo se compara la parte correspondiente a las “cuentas” de la vista de usuario.
Revisar usuarios cambiados. Fuerza la autenticación manual de cualquier registro de derechos de usuario si el último derecho de usuario de la misma definición de exploración de acceso no coincide y este derecho está aprobado. Aprueba todos los derechos de usuario que no han experimentado cambios con respecto al derecho de usuario aprobado anteriormente. De forma predeterminada, sólo se compara la parte correspondiente a las “cuentas” de la vista de usuario.
Revisar todos. Fuerza la autenticación manual de todos los registros de derechos de usuario.
En las reglas Rechazar usuarios cambiados y Revisar usuarios cambiados se compara el derecho de usuario con la última instancia de la misma exploración de acceso en la que se ha aprobado el registro de derechos.
Si quiere cambiar este comportamiento, puede copiar y modificar las reglas para limitar la comparación a la parte que elija de la vista del usuario.
Esta regla puede devolver los siguientes valores:
-1. No se requiere autenticación.
0. La autenticación se rechaza automáticamente.
1. Se requiere autenticación manual.
2. La autenticación se aprueba automáticamente.
3. La autenticación se remedia automáticamente.
El documento contiene información adicional sobre la regla de determinación de revisión.
Regla de remediador. Seleccione la regla que se va a utilizar para determinar quién debe remediar un derecho de un determinado usuario en caso de remediación automática. La regla puede examinar los derechos e infracciones del usuario actual, y debe devolver una lista de usuarios que deben remediar. Si no se especifica ninguna regla, no se realizará ninguna remediación. Esta regla suele utilizarse cuando el derecho infringe el cumplimiento.
Regla de formulario de usuario de remediación. Seleccione la regla que se va a utilizar para seleccionar el formulario que deben utilizar los remediadores de autenticación para editar usuarios. Los remediadores pueden tener un formulario propio, que anula éste. Esta regla de formulario se configura cuando en la exploración se recopilan datos muy específicos que coinciden con los de un formulario personalizado.
Flujo de trabajo de notificación.
Seleccione una de las opciones siguientes para especificar el comportamiento de notificación de cada elemento de trabajo:
Ninguno. Es el valor predeterminado. Con este valor, el autenticador recibe una notificación por correo electrónico por cada derecho de usuario que debe autenticar.
ScanNotification. Esta opción agrupa las solicitudes de autenticación en una sola notificación. En la notificación se indica la cantidad de solicitudes de autenticación asignadas al destinatario.
Si se ha especificado el propietario del proceso de revisión en la exploración de acceso, el flujo de trabajo ScanNotification también enviará una notificación a ese propietario al principio y al final de la exploración. Consulte Creación de una exploración de acceso.
El flujo de trabajo ScanNotification utiliza las plantillas de correo electrónico siguientes:
Aviso de inicio de exploración de acceso
Aviso de finalización de exploración de acceso
Aviso de autenticación masiva
El flujo de trabajo ScanNotification se puede personalizar.
Límite de infracción. Utilice esta opción para especificar el número máximo de infracciones de cumplimiento que puede emitir esta exploración antes de que se anule. El límite predeterminado es 1000. No existe ningún límite si el campo se deja vacío.
Aunque el número de infracciones de directiva suele ser bajo en comparación con el número de usuarios durante las exploraciones de acceso o auditoría, la configuración de este valor podría evitar la repercusión que tendría una directiva defectuosa que incrementara el número de infracciones de forma significativa. Por ejemplo, imagínese la siguiente situación:
Si una exploración de acceso incluye 50.000 usuarios y genera de dos a tres infracciones por usuario, el coste de remediar cada infracción del cumplimiento podría repercutir negativamente en el sistema Identity Manager.
Organizaciones. Seleccione las organizaciones para las que está disponible este objeto de exploración de acceso. Se trata de un campo obligatorio.
Haga clic en Guardar para guardar la definición de exploración.
Puede eliminar una o varias exploraciones de acceso. Para eliminar una exploración de acceso, seleccione Administrar exploraciones de acceso en la ficha Cumplimiento, elija el nombre de la exploración y haga clic en Eliminar.
Después de definir una exploración de acceso, puede utilizarla o programarla como parte de una revisión de acceso. Tras iniciar la revisión de acceso, aparecen varias opciones para administrar el proceso de revisión.
Consulte las secciones siguientes para obtener más información sobre:
Para iniciar una revisión de acceso desde la interfaz de administración, utilice uno de estos métodos:
Haga clic en Iniciar revisión en la página Cumplimiento -> Revisiones de acceso.
Seleccione todas las tareas de revisión de acceso en la página Tareas del servidor -> Ejecutar tareas.
En la página Iniciar tarea que aparece, especifique el nombre de la revisión de acceso. Seleccione exploraciones en la lista exploraciones de acceso disponibles y trasládelas a la lista Seleccionado.
Si selecciona más de una exploración, puede elegir una de las opciones de inicio siguientes:
inmediatamente. La exploración comienza a ejecutarse inmediatamente después de hacer clic en el botón Iniciar. Si selecciona esta opción para varias exploraciones en la tarea de inicio, las exploraciones se ejecutarán en paralelo.
tras una espera. Esta opción permite especificar el tiempo de espera que debe transcurrir antes de que se inicie la exploración, lo que depende del inicio de la tarea de revisión de acceso.
Puede iniciar varias exploraciones durante la sesión de revisión de acceso. Sin embargo, debe tener en cuenta que cada exploración puede incluir un gran número de usuarios y, por consiguiente, el proceso de exploración puede tardar varias horas en finalizar. Se recomienda planificar las exploraciones en función de esto. Por ejemplo, puede iniciar una exploración de ejecución inmediata y programar otras exploraciones de forma escalonada.
Haga clic en Iniciar para que el proceso de revisión de acceso comience.
El nombre que asigna a la revisión de acceso es importante. En algunos informes se pueden comparar las revisiones de acceso que se ejecutan de forma periódica y tienen el mismo nombre.
Cuando se inicia la revisión de acceso, aparece el diagrama del proceso del flujo de trabajo, donde se muestran los pasos del proceso.
Las tareas de revisión de acceso se pueden programar en la sección Tareas del servidor. Por ejemplo, para configurar revisiones de acceso periódicas, seleccione Administrar programa y defina el programa. Puede programar la tarea para que se realice cada mes o cada trimestre.
Para definir el programa, seleccione la tarea Revisión de acceso en la página Programar tareas y rellena la información de la página Crear programa de tareas.
Haga clic en Guardar para guardar la tarea programada.
Identity Manager conserva los resultados de las tareas de revisión de acceso durante una semana, de forma predeterminada. Si decide programar una revisión con una frecuencia más alta que la semanal, configure Opciones de resultados en Eliminar. Si no se configura de esta manera, la nueva revisión no se ejecutará debido a que todavía existe la tarea anterior.
Utilice la ficha Revisiones de acceso para supervisar el desarrollo de la revisión de acceso. La ficha Cumplimiento proporciona acceso a esta función.
En la ficha Revisiones de acceso puede revisar el resumen de todas las revisiones de acceso activas y procesadas previamente. Por cada revisión de acceso de la lista se proporciona la siguiente información:
Estado. Estado actual del proceso de revisión: inicializando, terminando, terminado, número de exploraciones en curso, número de exploraciones programadas, en espera de autenticación o completado.
Fecha de inicio. Fecha (indicación de tiempo) de inicio de la tarea de revisión de acceso.
Usuarios totales. Número total de usuarios que se van a explorar.
Detalles de derechos. Columnas adicionales de la tabla en las que se proporcionan todos los derechos por estado. Se incluyen detalles, como pendiente, aprobado, rechazado, terminado, derechos remediados y derechos totales.
En la columna Remediación se indica el número de derechos que se encuentran en el estado REMEDIANDO. Cuando se remedia un derecho, pasa al estado PENDIENTE; por consiguiente, el valor de esta columna es cero cuando concluye la revisión de acceso.
Si quiere consultar información más detallada sobre la revisión, puede seleccionar la revisión para acceder al informe de resumen.
En la Figura 15–5 se muestra un ejemplo de informe de resumen de revisión de acceso.
Haga clic en la ficha de formulario Organización o Autenticadores para ver la información de exploración clasificada por dichos objetos.
Si ejecuta el informe de resumen de revisión de acceso, también puede revisar y descargar la información de un informe.
Después de configurar una exploración de acceso, puede editarla para especificar nuevas opciones, como recursos de destino por explorar o directivas de auditoría para buscar infracciones mientras se ejecuta la exploración de acceso.
Para editar una definición de exploración, selecciónela en la lista de exploraciones de acceso y modifique los atributos en la página Editar exploración de revisión de acceso.
Para guardar los cambios en la definición, haga clic en Guardar.
El cambio del ámbito de una exploración de acceso puede modificar la información de los registros de derechos de usuario recién adquiridos, ya que puede afectar a la regla de determinación de revisión si esa regla compara los derechos de usuario con registros de derechos de usuario anteriores.
En la página Revisiones de acceso, haga clic en Terminar para detener la revisión en curso seleccionada.
Al terminar la revisión, ocurre lo siguiente:
Se cancela la programación de las exploraciones programadas.
Se detienen las exploraciones activas.
Se eliminan todos los flujos de trabajo y elementos de trabajo pendientes.
Todas las autenticaciones pendientes se marcan como canceladas.
No se modifican las autenticaciones completadas por usuarios.
En la página Revisiones de acceso, haga clic en Eliminar para borrar la revisión seleccionada.
La revisión de acceso se puede eliminar si la tarea se encuentra en el estado terminado o completado. Las tareas de revisión de acceso que se están ejecutando no se pueden eliminar a menos que se terminen antes.
Al eliminar una revisión de acceso se borran todos los registros de derechos de usuario que ha generado la revisión. La operación de eliminación queda reflejada en el registro de auditoría.
Para eliminar una revisión de acceso, haga clic en Eliminar en la página Revisiones de acceso.
La cancelación y la eliminación de una revisión de acceso puede hacer que se actualice un gran número de objetos y tareas de Identity Manager, operación que puede tardar varios minutos en completarse. Para comprobar el desarrollo de la operación, puede consultar los resultados de la tarea en Tareas del servidor -> Todas las tareas.
Puede administrar las solicitudes de autenticación en la interfaz de usuario o administración de Identity Manager. En esta sección se proporciona información relacionada con la respuesta a solicitudes de autenticación y las tareas que incluye la autenticación.
Durante la exploración, Identity Manager notifica a los autenticadores si las solicitudes de autenticación requieren aprobación. Si las responsabilidades de autenticación se han delegado, las solicitudes se envían al delegado. Cuando se definen varios autenticadores, cada uno de ellos recibe una notificación por correo electrónico.
Las solicitudes aparecen como elementos de trabajo de autenticación en la interfaz de Identity Manager. Los elementos de trabajo de autenticación pendientes se muestran cuando el autenticador asignado inicia una sesión en Identity Manager.
Los elementos de trabajo de autenticación se pueden ver en la sección Elementos de trabajo de la interfaz. Cuando se selecciona la ficha Autenticación en la sección Elementos de trabajo, se muestran todos los registros de derechos que requieren aprobación. En la página Autenticaciones también puede ver la lista de los registros de derechos correspondientes a todos los informes directos y a los usuarios especificados, que puede controlar de forma directa o indirecta.
Los elementos de trabajo de autenticación contienen los registros de derechos de usuario que deben revisarse. Los registros de derechos proporcionan información sobre los privilegios de acceso de usuario, los recursos asignados y las infracciones del cumplimiento.
A continuación se indican las posibles respuestas a una solicitud de autenticación:
Aprobar. Permite confirmar que el derecho es correcto conforme a la fecha que aparece en el registro de derechos.
Rechazar. El registro de derechos indica posibles discrepancias que no se pueden validar o remediar en este momento.
Reexplorar. Se solicita una reexploración para volver a evaluar el derecho de usuario.
Reenviar. Permite especificar un destinatario de la revisión diferente.
Abstener. La autenticación para este registro no es apropiada y no se conoce un autenticador más adecuado. El elemento de trabajo de autenticación se reenvía al propietario del proceso de revisión. Esta opción sólo se encuentra disponible cuando se define el propietario del proceso de revisión en la tarea Revisión de acceso.
Si un autenticador no responde a una solicitud mediante una de estas acciones antes del tiempo de espera de escalación especificado, se enviará un aviso al siguiente autenticador incluido en la cadena de escalación. El proceso de notificación continúa hasta que se obtiene una respuesta.
El estado de autenticación se puede supervisar en la ficha Cumplimiento -> Revisiones de acceso.
Puede evitar que se rechacen derechos de usuario si:
Marca un derecho como que requiere corrección mediante la solicitud de una corrección a otro usuario (remediación de solicitud). En este caso se crea un elemento de trabajo de remediación nuevo, que se asigna a uno o varios remediadores especificados.
El nuevo remediador puede editar el usuario, ya sea mediante el uso de Identity Manager o de forma independiente, y luego marcar el elemento de trabajo como remediado cuando esté satisfecho con el resultado. En ese momento se vuelve a explorar y evaluar el derecho de usuario.
Solicita reevaluar el derecho (reexploración). En tal caso, el derecho de usuario se volverá a explorar y evaluar. El elemento de autenticación original se cierra. Si el derecho sigue requiriendo autenticación conforme a las reglas definidas en la exploración de acceso, se creará un elemento de trabajo de autenticación nuevo.
Si se define mediante la exploración de acceso, puede dirigir una autenticación pendiente a otro usuario para su remediación.
Esta función se activa con la opción Derechos dinámicos de las páginas Crear o Editar exploración de acceso.
Seleccione uno o varios derechos en la lista de autenticaciones y haga clic en Solicitar remediación.
Aparece la página Seleccione y confirme la solicitud de remediación.
Introduzca un nombre de usuario y haga clic en Añadir para incluir al usuario en el campo Remitir a. También puede hacer clic en ... (Más) para buscar usuarios. Seleccione el usuario en la lista de búsqueda y haga clic en Añadir para incluir al usuario en la lista Remitir a. Haga clic en Descartar para cerrar la sección de búsqueda.
Introduzca comentarios en el campo correspondiente y haga clic en Continuar.
Identity Manager regresa a la lista de autenticaciones.
La sección Historial del derecho de usuario específico muestra información detallada sobre la solicitud de remediación.
Si la exploración de acceso lo establece, puede volver a explorar y evaluar las autenticaciones pendientes.
Esta función se activa con la opción Derechos dinámicos de las páginas Crear o Editar exploración de acceso.
Seleccione uno o varios derechos en la lista de autenticaciones y haga clic en Reexplorar.
Aparece la página Reexplorar derechos de usuario.
Introduzca comentarios sobre la acción de reexploración en la sección correspondiente y haga clic en Continuar.
Puede remitir uno o varios elementos de trabajo de autenticación a otro usuario.
Seleccione uno o varios elementos de trabajo en la lista de autenticaciones y haga clic en Reenviar.
Aparece la página Seleccionar y confirmar reenvío.
Introduzca un nombre de usuario en el campo Remitir a. Como alternativa, haga clic en ... (Más) para buscar un nombre de usuario.
Introduzca comentarios sobre la acción de reenvío en el área Comentarios.
Haga clic en Continuar.
Identity Manager regresa a la lista de autenticaciones.
El área Historial del derecho de usuario específico muestra información sobre la acción de reenvío.
Puede configurar la firma digital para controlar las acciones de revisión de acceso. Para obtener información sobre la configuración de la firma digital, consulte Firma de aprobaciones. En los temas que se tratan aquí se explica la configuración de servidor y cliente que se necesita para agregar el certificado y el CRL a Identity Manager para firmar aprobaciones.
Identity Manager proporciona los siguientes informes, que puede utilizar para evaluar los resultados de una revisión de acceso:
Informe de cobertura de revisión de acceso. Proporciona una lista de usuarios con coincidencias o diferencias de derechos de usuario, o ambas opciones, en formato de tabla, dependiendo de la forma en que se defina el informe. Este informe también puede contener columnas adicionales que muestran las revisiones de acceso que contienen coincidencias, diferencias o ambas cosas.
Informe de detalle de revisión de acceso. Este informe presenta una tabla con la siguiente información:
Nombre. Nombre del registro de derechos de usuario.
Estado. Estado actual del proceso de revisión: inicializando, terminando, terminado, número de exploraciones en curso, número de exploraciones programadas, en espera de autenticación o completado.
Autenticador. Usuarios de Identity Manager asignados al registro en calidad de autenticador.
Fecha de exploración. Indicación de tiempo que se registra en el momento en que se realiza la exploración.
Fecha de disposición. Fecha (indicación de tiempo) en la que se autentica el registro de derechos.
Organización. Organización del usuario incluido en los registros de derechos.
Administrador. Administrador del usuario explorado.
Recursos. Recursos en los que el usuario tiene cuentas que se han registrado en este derecho de usuario.
Infracciones. Número de infracción detectadas durante la revisión.
Haga clic en un nombre del informe para abrir el registro de derechos de usuario. En los Informes de revisión de acceso se muestra un ejemplo de la información proporcionada en la vista del registro de derechos de usuario.
Informe de resumen de revisión de acceso.
En este informe, que también se describe en Administración del desarrollo de la revisión de acceso y se muestra en la Figura 15–5, aparece la siguiente información resumida sobre las exploraciones de acceso seleccionadas para el informe:
Nombre de revisión. Nombre de la exploración de acceso.
Fecha. Indicación de tiempo del inicio de la revisión.
Recuento de usuarios. Número de usuarios explorados para revisión.
Recuento de derechos. Número de registros de derechos generados.
Aprobado. Número de registros de derechos aprobados.
Rechazado. Número de registros de derechos rechazados.
Pendiente. Número de registros de derechos todavía pendientes.
Cancelado. Número de registros de derechos cancelados.
Estos informes se pueden descargar en formato PDF (Portable Document Format) o CSV (valores separados por coma) desde la página Ejecutar informes.
La remediación y mitigación de infracciones del cumplimiento, así como la remediación de revisión de acceso, se pueden administrar en la sección Remediaciones de la ficha Elementos de trabajo. No obstante, existen diferencias entre los dos tipos de remediación. En esta sección se explica el comportamiento exclusivo de la remediación de revisión de acceso, así como la diferencia que existe con las tareas de remediación y la información descritas en Remediación y mitigación de infracciones del cumplimiento.
Cuando un autenticador solicita remediar un derecho de usuario, el flujo de trabajo de autenticación estándar crea una solicitud de remediación que debe controlar un remediador (el usuario designado al que se permite evaluar y responder a las solicitudes de remediación).
El problema sólo se puede remediar; no se puede mitigar. La autenticación no puede continuar hasta que el problema se resuelve.
Cuando las remediaciones son resultado de una revisión de acceso, el panel de control Revisión de accesos realiza un seguimiento de todos los autenticadores y remediadores involucrados en la revisión.
Las solicitudes de remediación de revisión de acceso no se delegan más allá del remediador inicial.
La lógica de la remediación de revisión de acceso se define en el flujo de trabajo de autenticación estándar.
Cuando un autenticador solicita remediar un derecho de usuario, el flujo de trabajo de autenticación estándar:
Genera una solicitud de remediación (del tipo accessReviewRemediation) que contiene información sobre el derecho de usuario que requiere remediación .
Envía una notificación al remediador solicitado por correo electrónico.
El nuevo remediador puede editar el usuario, ya sea mediante el uso de Identity Manager o de forma independiente, y marcar el elemento de trabajo como remediado cuando esté satisfecho con el resultado. En ese momento se vuelve a explorar y evaluar el derecho de usuario.
El remediador de revisión de acceso dispone de tres opciones de respuesta de forma predeterminada:
Remediar. Un remediador indica que se ha realizado alguna acción para solucionar el problema.
El derecho de usuario se vuelve a explorar y evaluar. Si el derecho de usuario se vuelve a marcar por requerir autenticación, el autenticador original verá que el derecho de usuario vuelve a aparecer en la lista del elemento de trabajo Autenticaciones.
Los detalles de la acción de solicitud de remediación aparecen en la sección Historial del derecho de usuario en concreto.
Reenviar. Un remediador reasigna la responsabilidad de resolver la solicitud de remediación a otra persona.
El área Historial del derecho de usuario específico muestra información sobre la acción de reenvío.
Editar usuario. Un remediador elige editar directamente el usuario para remediar el problema.
Este botón sólo se muestra cuando el remediador tiene permiso para modificar usuarios. Después de realizar cambios en el usuario y de hacer clic en Guardar, el remediador accede a la página de confirmación de remediación para introducir un comentario en el que se describa el cambio realizado en el usuario.
Entonces se vuelve a explorar y evaluar el derecho de usuario. Si el derecho de usuario se vuelve a marcar por requerir autenticación, el autenticador original verá que el derecho de usuario vuelve a aparecer en la lista del elemento de trabajo Autenticaciones.
La sección Historial del derecho de usuario específico muestra información detallada sobre la acción de edición.
En la columna Tipo aparece UE (derecho de usuario) para todos los elementos de trabajo de remediación que son de revisión de acceso.
La funciones de priorización y mitigación no son compatibles con las remediaciones de revisión de acceso.