La revisión de acceso puede ser un proceso laborioso y largo para las empresas. El proceso de revisión de acceso periódica de Identity Manager ayuda a reducir al mínimo el coste y el tiempo que conlleva automatizar muchas partes del proceso. Sin embargo, algunos procesos siguen siendo largos. Por ejemplo, la obtención de datos de cuentas de usuario de una serie de ubicaciones de miles de usuarios es un proceso que puede durar una cantidad de tiempo considerable. La autenticación manual de registros también puede durar mucho. Una planificación adecuada mejora la efectividad del proceso y reduce en gran medida el esfuerzo que supone.
Para planificar una revisión de acceso periódica hay que tener en cuenta lo siguiente:
La duración de la exploración puede variar mucho en función del número de usuarios y de recursos implicados.
En una única revisión de acceso periódica de una organización grande, la exploración puede tardar uno o varios días en realizarse, mientras que la autenticación manual puede tardar en completarse una o varias semanas.
Por ejemplo, en una organización con 50.000 usuarios y diez recursos, la exploración de acceso puede tardar aproximadamente un día en completarse, de acuerdo con los cálculos siguientes:
1 seg/recurso * 50 K usuarios * 10 recursos / 5 subprocesos simultáneos = 28 horas
Si los recursos están dispersos geográficamente, las latencias de red pueden incrementar la duración del proceso.
El procesamiento paralelo mediante el uso de varios servidores de Identity Manager puede acelerar el proceso de revisión de acceso.
La realización de exploraciones paralelas resulta más eficaz cuando las exploraciones no comparten recursos. Cuando defina una revisión de acceso, cree varias exploraciones, limite los recursos a un conjunto específico y utilice diferentes recursos en cada exploración. Cuando inicie la tarea, seleccione varias exploraciones y prográmelas para que se ejecuten de inmediato.
La personalización del flujo de trabajo de autenticación y las reglas garantiza más control y puede ser más eficaz:
Por ejemplo, personalice la regla de autenticador para que las tareas de autenticación se propaguen a varios autenticadores. El proceso de autenticación asigna elementos de trabajo y envía notificaciones como corresponde.
Las reglas de escalación de autenticador ayudan a mejorar el tiempo de respuesta de las solicitudes de autenticación.
Para configurar una cadena de escalación de autenticadores, defina la regla de autenticador de escalación predeterminado o utilice una regla personalizada. También tendrá que especificar los valores de tiempo de espera de escalación.
Además, es necesario saber cómo utilizar las reglas de determinación de revisión para ahorrar tiempo, y establecer de modo automático los registros de derechos que deben revisarse manualmente.
Especifique un flujo de trabajo de notificación en el nivel de exploración para agrupar la notificación de solicitudes de autenticación correspondientes a una exploración.
Durante el proceso de exploración, varios subprocesos acceden a la vista del usuario, con lo que posiblemente acceden a los recursos en los que el usuario tiene cuentas. La evaluación de varias directivas y reglas de auditoría después de acceder a la vista podría dar lugar a infracciones del cumplimiento.
Para impedir que dos subprocesos actualicen la misma vista de usuario a la vez, el proceso bloquea en la memoria el nombre de usuario. Si no es posible establecer el bloqueo en 5 segundos (valor predeterminado), la tarea de exploración generará un error y se omitirá el usuario, con lo que se protegerán las exploraciones simultáneas en las que se procese el mismo conjunto de usuarios.
Puede editar los valores de varios “parámetros ajustables” que actúan como argumentos de tarea en la tarea de exploración:
clearUserLocks (booleano). Si tiene el valor true, se liberan todos los bloqueos de usuarios actuales antes del inicio de la exploración.
userLock (entero). Tiempo de espera (en milisegundos) cuando se intenta bloquear un usuario. El valor predeterminado es 5 segundos. Los valores negativos desactivan el bloqueo en esa exploración.
scanDelay (entero). Tiempo de espera (en milisegundos) entre la distribución de subprocesos de exploración. El valor predeterminado es 0 (sin retraso). Si introduce un valor en este argumento, la exploración se ralentiza, pero el sistema responde mejor a otras operaciones.
maxThreads (entero). Número de subprocesos simultáneos que se utilizan para procesar una exploración. El valor predeterminado es 5. Si los recursos tardan mucho en responder, puede aumentar este número para mejorar el rendimiento de la exploración.
Para cambiar los valores de estos parámetros, edite el formulario de definición de tarea correspondiente. Para obtener más información, consulte el Capítulo 2, Identity Manager Forms de Sun Identity Manager Deployment Reference.