Capítulo 17 Administración de Service Provider

En este capítulo se proporciona la información necesaria para administrar Service Provider en Sun Identity Manager. Para utilizar esta información resulta útil conocer los directorios LDAP (Protocolo de acceso a directorios ligeros) y la administración de federación. Para obtener una explicación más extensa de la implementación de Sun Identity Manager Service Provider (Service Provider), consulte Sun Identity Manager Service Provider 8.1 Deployment.

Este capítulo contiene los temas siguientes:

• Descripción de las funciones de Service Provider

• Configuración inicial

• Administración de transacciones

• Administración delegada para usuarios de Service Provider

• Administración de usuarios de Service Provider

• Sincronización de usuarios de Service Provider

• Configuración de los eventos de auditoría de Service Provider

Descripción de las funciones de Service Provider

En un entorno de proveedor de servicios es necesario ser capaz de administrar el aprovisionamiento de todos los usuarios finales, incluidos los usuarios de las extranet y las intranet. Las funciones de Service Provider permiten a los administradores de la organización clasificar las cuentas de identidad en dos categorías distintas: usuarios de Identity Manager y usuarios de Service Provider. En Identity Manager, los usuarios de Service Provider están incluidos en cuentas de usuario configuradas como usuario de Service Provider.

Las capacidades de aprovisionamiento de usuario y auditoría de Identity Manager se extienden a las implementaciones del proveedor de servicios para ofrecer las siguientes funciones:

Páginas de usuario final mejoradas

Se proporcionan páginas de usuario final mejoradas que se pueden personalizar en función de la implementación de Service Provider.

Directiva de contraseña e ID de cuenta

Puede definir las directivas de ID de cuenta y contraseña que se aplicarán a los usuarios y las cuentas de recursos de Service Provider, así como a otros usuarios de Identity Manager.

Se activa el código de comprobación de directivas correspondiente a los usuarios que tienen la directiva de cuentas del sistema Service Provider, que se ha añadido a la tabla principal de directivas.

Sincronización de Identity Manager y Service Provider

La sincronización de las cuentas de Identity Manager y Service Provider se puede configurar para que se ejecute en cualquier servidor Identity Manager o en los servidores seleccionados solamente.

Al igual que ocurre con Identity Manager, la sincronización de Service Provider se puede detener y reiniciar fácilmente con las opciones Acciones de recurso de la página Recursos. Consulte Iniciar y detener la sincronización.

Los formularios de entrada para sincronización de usuarios de Identity Manager y Service Provider son distintos. Consulte Interfaz de usuario final.

Integración de Access Manager

Puede utilizar Sun Access Manager 7 2005Q4 para realizar la autenticación en las páginas de usuario final de Service Provider. Si se configura la integración con Access Manager, esta aplicación garantiza el acceso de los usuarios autenticados a las páginas de usuario final.

Service Provider necesita que se introduzca el nombre de usuario para efectuar la auditoría. Actualice el archivo AMAgent.properties para agregar el ID de usuario a los encabezados HTTP; por ejemplo:

com.sun.identity.agents.config.response.attribute.mapping[uid] = HEADER_speuid

El filtro de autenticación de las páginas de usuario final incluye el valor del encabezado HTTP en la sesión HTTP, donde debe estar el resto del código.

Configuración inicial

Si quiere configurar las funciones de Service Provider, lleve a cabo los siguientes procedimientos para editar los objetos de configuración de Identity Manager en el servidor de directorio.

• Editar configuración principal

• Editar la configuración de búsqueda de usuarios

---

Nota –

Antes de continuar, asegúrese de que tiene lo siguiente:

• Recurso LDAP definido. El recurso de ejemplo Directorio de usuario final de Service Provider se importa de forma predeterminada. Puede configurar varios recursos si la información de usuario y configuración se va a almacenar en directorios diferentes.

• El esquema debe incluir la asignación para un objeto XML.

  Si quiere, puede configurar la directiva de cuentas de Service Provider.

• El contexto base configurado para el recurso del directorio sólo se aplica a los usuarios almacenados en el directorio.

---

Editar configuración principal

Para editar objetos de configuración de una implementación Service Provider

1. En la interfaz del administrador, haga clic en la opción Service Provider del menú.

2. Haga clic en Editar configuración principal.

   Se abre la página de configuración de Service Provider.

3. Rellene el formulario de configuración de Service Provider.

   Utilice las instrucciones que se proporcionan en las secciones siguientes:

   • Configuración de directorio

   • Formularios de usuario y directiva

   • Base de datos de transacciones

   • Configuración de eventos objeto de seguimiento

   • Índices de cuenta de sincronización

   • Configuración de llamadas

Configuración de directorio

En la sección Configuración de directorio, introduzca información para configurar el directorio LDAP y especifique los atributos de Identity Manager correspondientes a los usuarios del proveedor de servicios.

En la Figura 17–1 se muestra esta sección de la página de configuración de Service Provider, así como la sección de formularios de usuario y directiva que se explica en la sección siguiente.

Figura 17–1 Configuración de Service Provider (directorio, formularios de usuario y directiva)

Para rellenar el formulario de configuración del directorio

1. Seleccione el directorio de usuario final de Service Provider en la lista.

   Seleccione el recurso del directorio LDAP en el que están almacenados los datos de todos los usuarios de Service Provider.

2. Introduzca el nombre del atributo de ID de cuenta.

   Se trata del nombre del atributo de la cuenta LDAP, que contiene un identificador corto único para la cuenta. Se considera el nombre del usuario para la autenticación y el acceso de la cuenta a través de la API. El nombre del atributo debe definirse en el mapa del esquema.

3. Especifique el nombre del atributo de la organización IDM.

   Se trata del nombre del atributo de la cuenta LDAP que contiene el nombre o ID de una organización dentro de Identity Manager al que pertenece la cuenta LDAP. Se usa para la administración delegada de cuentas de LDAP. El nombre de atributo debe definirse en el mapa de esquema de recurso LDAP y es el nombre de atributo del sistema Identity Manager (el nombre a la izquierda del mapa de esquema).

   ---

   Nota –

   Especifique el nombre del atributo de la organización de Identity Manager (y El nombre del atributo de la organización IDM contiene el ID, en caso necesario) si quiere activar la administración delegada por medio de la autorización de la organización.

   ---

4. Si decide seleccionar El nombre del atributo de la organización IDM contiene el ID, active esta opción.

   Seleccione esta opción si el atributo del recurso LDAP que hace referencia a la organización de Identity Manager al que pertenece la cuenta de LDAP contiene el ID de la organización de Identity Manager, en lugar de su nombre.

5. Si decide seleccionar Comprimir XML de usuario, active esta opción.

   Seleccione esta opción para comprimir el XML de usuario almacenado en el directorio.

6. Haga clic en Configuración de directorio de prueba para verificar los valores introducidos en la configuración.

   ---

   Nota –

   Puede comprobar que la configuración de directorio, transacción y auditoría se adecua a sus necesidades. Para probar completamente las tres configuraciones, haga clic en los botones de prueba.

   ---

Formularios de usuario y directiva

En la sección de formularios de usuario y directiva, mostrada en la Figura 17–1 anterior, especifique los formularios y las directivas que se van a utilizar en la administración de usuarios del proveedor de servicios.

Para especificar formularios y directivas para la administración de usuarios de Service Provider

1. Seleccione Formulario del usuario final en la lista.

   Este formulario se usa en cualquier lugar, excepto en las páginas del administrador delegado y durante la sincronización. Si se selecciona Ninguno, no se usará ningún formulario predeterminado de usuario.

2. Seleccione Formulario del usuario administrador en la lista.

   Se trata del formulario de usuario predeterminado que se utiliza en los contextos de administrador. Se incluyen las páginas de edición de cuentas de Service Provider. Si se selecciona Ninguno, no se usará ningún formulario predeterminado de usuario.

   ---

   Nota –

   Si no selecciona un formulario de usuario del administrador, los administradores no podrán crear ni editar los usuarios de Service Provider Edition en Identity Manager

   ---

3. Seleccione un Formulario de usuario de sincronización de la lista.

   Este es el formulario predeterminado que se utiliza cuando no se especifica ninguno para un recurso donde se ejecuta sincronización de Service Provider. Si se especifica un formulario de entrada en una directiva de sincronización de un recurso, se utilizará dicho formulario. Los recursos suelen requerir distintos formularios de entrada para la sincronización. En tal caso, deberá definir el formulario de usuario de sincronización para cada recurso, en vez de seleccionar un formulario de la lista.

4. Seleccione una Directiva de cuentas de la lista.

   En las opciones se incluyen las directivas de cuentas de identidad definidas mediante Configurar > Directivas.

5. Seleccione Es una regla de cuenta bloqueada en la lista.

   Seleccione una regla para ejecutarla en la vista de usuario de Service Provider que permita determinar si una cuenta está bloqueada.

6. Seleccione una Regla de bloqueo de cuenta.

   Seleccione una regla para ejecutarla en la vista de usuario de Service Provider que permita definir atributos en la vista que hagan que la cuenta se bloquee.

7. Seleccione una Regla de desbloqueo de cuenta.

   Seleccione una regla para ejecutarla en la vista de usuario de Service Provider que permita definir atributos en la vista que hagan que la cuenta se desbloquee.

Base de datos de transacciones

Esta sección de la página de configuración de Service Provider, que se muestra en la Figura 17–2, se utiliza para configurar una base de datos de transacciones. Estas opciones sólo son necesarias cuando se utiliza el almacén persistente de transacciones JDBC. Si cambia cualquiera de estos valores, debe reiniciar el servidor para que se apliquen los cambios.

La tabla de base de datos correspondiente a las transacciones se tiene que configurar con arreglo al esquema mostrado en las secuencias de comandos DDL create_spe_tables (situadas en el directorio de ejemplo de la instalación de Identity Manager). Quizá haya que personalizar la secuencia de comandos adecuada para el entorno de destino.

Figura 17–2 Configuración de Service Provider (base de datos de transacciones)

Para configurar una base de datos de transacciones

1. Indique la siguiente información de la base de datos:

   • Clase del controlador. Especifique el nombre de la clase del controlador JDBC.

   • Prefijo del controlador. Este campo es opcional. Si se especifica, se consultará al administrador de controladores JDBC antes de registrar un nuevo controlador.

   • Plantilla URL de conexión. Este campo es opcional. Si se especifica, se consultará al administrador de controladores JDBC antes de registrar un nuevo controlador.

   • Host. Introduzca el nombre de host en el que se está ejecutando la base de datos.

   • Puerto. Introduzca el número de puerto al que está conectado el servidor de base de datos.

   • Nombre de la base de datos. Introduzca el nombre de la base de datos que se utilizará.

   • Nombre de usuario. Introduzca el ID de un usuario de base de datos con permiso para leer, actualizar y eliminar filas de las tablas de transacciones y auditoría de la base de datos seleccionada.

   • Contraseña. Introduzca la contraseña del usuario de base de datos.

   • Tabla de transacciones. Introduzca el nombre de la tabla de la base de datos seleccionada que se utilizará para almacenar las transacciones pendientes.

2. Si es preciso, haga clic en Configuración de transacción de prueba para verificar la información introducida.

   Continúe con la sección siguiente de la página de configuración de Service Provider para configurar eventos objeto de seguimiento.

Configuración de eventos objeto de seguimiento

Si la recopilación de eventos está activada, permite realizar un seguimiento de las estadísticas en tiempo real; por consiguiente, ayuda a mantener los niveles de servicio previstos o acordados. La recopilación de eventos está activada de forma predeterminada, como se muestra en la Figura 17–3. La recopilación se desactiva cuando se quita la marca de selección de la casilla Habilitar colección de eventos.

Figura 17–3 Configuración de Service Provider (configuración de eventos objeto de seguimiento, índices de cuenta y llamadas)

Para especificar una zona horaria e intervalos de recopilación de eventos objeto de seguimiento de Service Provider

1. Seleccione la zona horaria en la lista.

   Seleccione la zona horaria para utilizarla al registrar eventos, o Definido en la configuración predeterminada del servidor para usar la zona horaria definida en el servidor.

2. Seleccione las opciones de Escalas de tiempo para recopilación.

   La recopilación tiene lugar en los siguientes intervalos de tiempo: cada 10 segundos, cada minuto, cada hora, a diario, semanal o mensualmente. Desactive los intervalos de tiempo en los que no quiere que se recopilen eventos.

Índices de cuenta de sincronización

Cuando se sincronizan recursos en una implementación de Service Provider, puede que sea preciso definir índices de cuenta para correlacionar correctamente los eventos enviados por el recurso a los usuarios incluidos en el directorio de Service Provider.

De forma predeterminada, los eventos de los recursos deben contener un atributo de ID de cuenta (accountId ) cuyo valor coincida con el mismo atributo del directorio. En algunos recursos no se envía este atributo de forma coherente. Por ejemplo, la eliminación de eventos de ActiveDirectory sólo contiene la GUID de cuenta generada en ActiveDirectory.

Los recursos que no incluyen el atributo de ID de cuenta (accountId) deben contener el valor de cualquiera de los atributos siguientes.

• guid. Este atributo suele contener un identificador único generado por el sistema.

• identidad. Este atributo suele coincidir con el atributo de ID de cuenta (accountId) de todos los recursos, excepto los recursos LDAP, en los que la identidad será el DN completo.

Si necesita establecer la correlación mediante el uso de guid o identidad, debe definir un índice de cuenta para esos atributos. El índice es la serie formada por uno o varios atributos de usuario de directorio que pueden utilizarse para almacenar identidades específicas de recursos. Una vez que las identidades se almacenan en el directorio, se pueden utilizar en filtros de búsqueda para correlacionar los eventos de sincronización.

Para definir índices de cuenta, primero determine los recursos que se utilizarán en la sincronización y cuáles de ellos necesitan un índice. Luego edite la definición de los recursos del directorio de Service Provider y agregue atributos al mapa de esquema de la GUID o atributos de identidad para cada recurso de Active Sync. Por ejemplo, si realiza la sincronización desde ActiveDirectory, puede definir un atributo denominado AD-GUID asignado a un atributo de directorio no utilizado, como un gestor.

Para definir atributos de índice para un recurso

Después de definir todos los atributos de índice en el recurso de Service Provider, lleve a cabo los pasos siguientes:

1. En la sección Índices de cuenta de sincronización de la página de configuración, haga clic en el botón Nuevo índice.

   El formulario se amplía para abarcar un campo de selección de recursos, seguido de dos campos de selección de atributos. Los campos de selección de atributos permanecen vacíos hasta que se selecciona un recurso.

2. Seleccione un recurso de la lista.

   Los campos de atributos presentan ahora los valores definidos en el mapa de esquema del recurso seleccionado.

3. Seleccione el atributo de índice adecuado para el atributo Guid o el atributo de identidad completa.

   Por lo general no es necesario definir ambos. Cuando se definen los dos, el programa intenta establecer la correlación utilizando la GUID en primer lugar, y luego la identidad completa.

4. Para definir atributos de índice de otros recursos, puede hacer clic en Nuevo índice otra vez.

5. Para eliminar un índice, haga clic en el botón Eliminar situado a la derecha del campo de selección de recursos.

   Al eliminar un índice sólo se quita de la configuración; no se modifican los usuarios del directorio existente que puedan tener valores almacenados en los atributos de índice.

   ---

   Nota –

   Al eliminar un índice sólo se quita de la configuración; no se modifican los usuarios del directorio existente que puedan tener valores almacenados en los atributos de índice.

   ---

Configuración de llamadas

Seleccione esta opción en la sección Configuración de llamadas para activar las llamadas. Cuando están activadas, aparecen las asignaciones de llamadas, que permiten seleccionar las llamadas anteriores y posteriores a la operación de cada tipo de transacción de la lista.

Las opciones de llamadas anteriores y posteriores a la operación se configuran en Ninguno de forma predeterminada.

Cuando seleccione las llamadas posteriores a la operación, utilice la opción Esperar a la llamada posterior a la operación para especificar la espera de la transacción hasta que se haya completado el procesamiento de la llamada posterior a la operación. De esta forma se garantiza que las transacciones dependientes se ejecuten sólo una vez completada correctamente la llamada posterior a la operación.

---

Nota –

Después de seleccionar opciones en todas las secciones de la página de configuración de Service Provider, haga clic en Guardar para completar la configuración.

---

Editar la configuración de búsqueda de usuarios

La página que se muestra en la Figura 17–4 permite configurar los valores predeterminados de las búsquedas que realicen los administradores delegados en la página Administrar los usuarios de Service Provider. Aunque estos valores predeterminados se aplican a todos los usuarios de la página Administrar los usuarios de Service Provider, pueden anularse por sesión.

Figura 17–4 Configuración de búsqueda

Para configurar los valores predeterminados de búsqueda de usuarios de Service Provider

1. Haga clic en Service Provider en la barra de menús.

2. Haga clic en Editar configuración de búsquedas de usuario.

3. Introduzca un valor en Número máximo de resultados (valor predeterminado 100).

4. Introduzca un valor en Resultados por página (valor predeterminado 10).

5. Utilice las teclas de flecha para seleccionar la opción Atributos disponibles, que está situada junto a Atributos de resultado para mostrar.

6. Seleccione el Atributo para buscar en la lista.

7. Seleccione la Operación de búsqueda en la lista.

8. Haga clic en Guardar.

   ---

   Nota –

   los cambios realizados en la configuración de búsqueda no se aplicarán hasta que cierre la sesión y vuelva a iniciarla.

   Estos objetos de configuración no están disponibles si el directorio de Service Provider no está configurado.

   ---

Administración de transacciones

Una transacción encapsula una única operación de configuración como, por ejemplo, la creación de un nuevo usuario o la asignación de nuevos recursos. Para asegurarse de que estas transacciones se completan cuando los recursos no están disponibles, se escriben en el almacén persistente de transacciones.

En los temas siguientes de esta sección se incluyen los procedimientos para administrar las transacciones del proveedor de servicios:

• Configuración de las opciones predeterminadas de ejecución de la transacción

• Configuración del almacén persistente de transacciones

• Establecer la configuración avanzada de procesamiento de transacciones

• Supervisión de transacciones

Configuración de las opciones predeterminadas de ejecución de la transacción

Estas opciones controlan el modo de ejecución de las transacciones, incluido el procesamiento síncrono o asíncrono y cuándo se mantienen en el almacén persistente de transacciones. Pueden sustituirse en la vista IDMXUser o a través de la forma empleada para el proceso. Para obtener más información, consulte Sun Identity Manager Service Provider 8.1 Deployment.

Para configurar transacciones de Service Provider

1. Haga clic en Service Provider -> Editar configuración de transacciones.

   Aparece la página de configuración de transacciones de Service Provider.

   En la Figura 17–5 se muestra la sección Opciones predeterminadas de ejecución de la transacción.

   Figura 17–5 Configuración de transacciones

   
   

2. Seleccione opciones adecuadas en Nivel de coherencia garantizada para especificar el nivel de coherencia de transacción de las actualizaciones de usuario.

   Las opciones incluyen:

   • Ninguno. No se garantiza el ordenamiento de actualizaciones de recursos para un usuario.

   • Local. Se garantiza que las actualizaciones de los recursos de un usuario que se está procesando en el mismo servidor estén en orden.

   • Completa. Se garantiza el ordenamiento de todas las actualizaciones de recursos para un usuario en todos los servidores. Para ello, es necesario que todas las transacciones se mantengan antes de intentar la transacción o antes del procesamiento asíncrono.

3. Active las opciones predeterminadas de ejecución de la transacción conforme necesite.

   Las opciones incluyen:

   • Espere al primer intento. Determina el modo en el que el control regresa al llamador cuando se comprueba un objeto de vista IDMXUser. Si la opción está activada, la operación de comprobación se bloqueará hasta que la transacción de configuración haya realizado un único intento. Si se desactiva un proceso asíncrono, la transacción puede tener éxito o no cuando se devuelve el control. Si el procesamiento asíncrono está activo, se seguirá intentando la transacción en segundo plano. Si se desactiva la opción, la operación de comprobación devolverá el control al llamante antes de intentar la transacción de configuración. Plantéese activar esta opción.

   • Habilitar procesamiento así­ncrono. Controla si el procesamiento de las transacciones de configuración continúa después de la devolución de la llamada de comprobación.

     La habilitación del procesamiento asíncrono permite que el sistema reintente las transacciones. También mejora el resultado porque permite que se ejecuten de forma asíncrona los subprocesos de trabajo configurados en Establecer la configuración avanzada de procesamiento de transacciones. Si selecciona esta opción, utilice los formularios de entrada para sincronización para configurar los intervalos de reintento y los intentos de aprovisionamiento o actualización de recursos.

     Cuando seleccione Habilitar procesamiento así­ncrono, introduzca un valor en Tiempo de espera de reintento. Dicho valor establece el límite de tiempo máximo en milisegundos que el servidor intentará completar una transacción de configuración fallida. Esta configuración complementa los parámetros de reintento de los recursos individuales, incluido el directorio LDAP de usuarios de Service Provider. Por ejemplo, si se llega a este límite antes de que se alcancen los límites de reintentos del recurso, se anulará la transacción. Si el valor es negativo, sólo se limita el número de reintentos por los parámetros de los recursos individuales.

   • Mantener las transacciones antes de intentarlo. Si se activa, las transacciones de configuración se escriben en el almacén persistente de transacciones antes de intentar ejecutarlas. Al activar esta opción puede producirse una sobrecarga innecesaria, ya que la mayorí­a de las transacciones de configuración se realizarán correctamente al primer intento. Plantéese desactivar esta opción, a menos que la opción Espere al primer intento se encuentre desactivada. Esta opción no está disponible cuando se selecciona el nivel de coherencia Completa.

   • Mantener las transacciones antes del procesamiento asíncrono(opción predeterminada). Si se activa, las transacciones de configuración se escriben en el almacén persistente de transacciones antes de procesarlas de forma asíncrona. Si se ha activado la opción Espere al primer intento, se mantendrán las transacciones que deben reintentarse antes de que el control se devuelva al llamador. Si, por el contrario, se ha desactivado esta opción, se mantendrán siempre las transacciones antes de intentar ejecutarlas. Se recomienda la habilitación de esta opción. Esta opción no está disponible cuando se selecciona el nivel de coherencia Completa.

   • Mantener las transacciones en cada actualización Si se activa esta opción, se mantendrán las transacciones de configuración después de cada intento de reintento. Esto puede ayudar a identificar los problemas, ya que el almacén persistente de transacciones, en el que pueden realizarse búsquedas desde la página de búsqueda de transacciones, está siempre actualizado.

Configuración del almacén persistente de transacciones

Las opciones de la página de configuración de transacciones de Service Provider hacen referencia al almacén persistente de transacciones. Puede configurarse el tipo de almacén, así­ como los atributos adicionales que permiten consulta y que aparecerán en el almacén, como se muestra en la figura siguiente.

Figura 17–6 Configuración del almacén persistente de transacciones de Service Provider

Para definir las opciones de la página de configuración de transacciones de Service Provider

1. Seleccione el Tipo de almacén persistente de transacciones de la lista que desee.

   Si se selecciona la opción Base de datos, el RDBMS establecido en la página de configuración principal de Service Provider se utilizará para el mantenimiento de las transacciones de configuración. De este modo, se garantiza que las transacciones que deben reintentarse no se pierdan con el reinicio de un servidor. Para seleccionar esta opción, se necesita la configuración del RDBMS en la página de configuración principal de Service Provider. Si se selecciona la opción Basado en memoria simulada, las transacciones que deben reintentarse se almacenarán en la memoria solamente, y se perderán al reiniciar el servidor. Active la opción Base de datos para los entornos de producción.

   ---

   Nota –

   No es conveniente utilizar el almacén persistente de transacciones basado en la memoria en entornos de clúster.

   Cuando cambie el Tipo de almacén persistente de transacciones, tendrá que reiniciar todas las instancias de Identity Manager en ejecución para que se aplique el cambio.

   ---

2. Si lo desea, introduzca los atributos de usuario personalizados y que permiten consulta.

   Seleccione los atributos adicionales del objeto IDMXUser para mostrarlos en los resúmenes de las transacciones. Estos atributos permiten consultas desde la página de transacción de búsqueda y se muestran en los resultados de la búsqueda.

   Los atributos incluyen:

   • Expresión de la ruta del usuario. Introduzca una expresión de ruta en el objeto IDMXUser.

   • Nombre exhibido. Seleccione el nombre de visualización correspondiente a la expresión de ruta. El nombre que se muestra aparece en la página de búsqueda de la transacción.

Establecer la configuración avanzada de procesamiento de transacciones

Estas opciones avanzadas controlan el funcionamiento interno del administrador de transacciones. No cambie la configuración predeterminada, a menos que un análisis de rendimiento indique que no es óptima. Todas las entradas son obligatorias.

En la Figura 17–5 se muestra la sección Configuración avanzada de procesamiento de transacciones de la página Editar configuración de transacciones.

Figura 17–7 Configuración avanzada de procesamiento de transacciones

Para especificar la configuración avanzada de procesamiento de transacciones

1. Introduzca el número de subprocesos de trabajo que desee (valor predeterminado 100).

   Se trata del número de subprocesos utilizado para el procesamiento de las transacciones. Este valor limita el número de transacciones que pueden procesarse simultáneamente. Estos subprocesos se asignan de forma estática al inicio.

   ---

   Nota –

   Cuando cambia la configuración de subprocesos de trabajo, tendrá que reiniciar todas las instancias de Identity Manager que se estén ejecutando para que se aplique el cambio.

   ---

2. Introduzca la Duración de la concesión (ms) que desee (valor predeterminado 600000).

   Esta opción controla durante cuánto tiempo un servidor debe bloquear una transacción que se está reintentando. La concesión puede renovarse como sea pertinente. Sin embargo, si el servidor no se cierra de forma correcta, ningún otro servidor podrá bloquear la transacción hasta que caduque la concesión del servidor original. La duración mínima debe ser de un minuto. Si establece un valor menor, puede repercutir sobre la carga del almacén persistente de transacciones.

3. Introduzca la Renovación de la concesión (ms) que desee (valor predeterminado 300000).

   Esta opción controla el momento en que se debe renovar la concesión de una transacción bloqueada. Se renovará cuando quede el intervalo de tiempo especificado en milisegundos en la concesión.

4. Introduzca el tiempo que desee en Retener las transacciones completadas en el almacén (ms) (valor predeterminado 360000).

   Indica el número de milisegundos de espera antes de la eliminación de las transacciones completadas del almacén persistente de transacciones. Salvo que las transacciones se hayan configurado para mantenerse inmediatamente, el almacén persistente de transacciones no mantendrá todas las transacciones completadas.

5. Introduzca la Marca de agua inferior de la cola de transacciones preparadas que desee (valor predeterminado 400).

   Cuando la cola de transacciones preparadas para la ejecución del programador de transacciones cae por debajo de este lí­mite, se vuelve a cargar con transacciones preparadas hasta el lí­mite de la marca de agua superior.

6. Introduzca la Marca de agua superior de la cola de transacciones preparadas (valor predeterminado 800).

   Cuando la cola de transacciones preparadas para la ejecución del programador de transacciones cae por debajo del lí­mite de la marca de agua inferior definido, se vuelve a cargar con transacciones preparadas hasta este lí­mite.

7. Introduzca la Marca de agua inferior de la cola de transacciones pendientes{ (valor predeterminado 2000).

   La cola de transacciones pendientes del programador de transacciones contiene las transacciones fallidas que están pendientes de reintentarse. Si el tamaño de la cola supera la marca de agua superior, todas las transacciones que superen la marca de agua inferior se vaciarán en el almacén persistente de transacciones.

8. Introduzca la Marca de agua superior de la cola de transacciones pendientes (valor predeterminado 2000).

   La cola de transacciones pendientes del programador de transacciones contiene las transacciones fallidas que están pendientes de reintentarse. Si el tamaño de la cola supera la marca de agua superior, todas las transacciones que superen la marca de agua inferior se vaciarán en el almacén persistente de transacciones.

9. Introduzca el Tiempo del programador (ms) (valor predeterminado 500).

   Esta opción permite especificar la frecuencia con que debe ejecutarse el programador de transacciones (milisegundos). Cuando se ejecuta, el programador de transacciones desplaza las transacciones preparadas para ejecutar de la cola de elementos pendientes a la cola de elementos preparados y realiza otras tareas periódicas, como las transacciones persistentes del almacén persistente de transacciones.

10. Haga clic en Guardar para aceptar la configuración.

Supervisión de transacciones

Las transacciones de Service Provider se escriben en el almacén persistente de transacciones. Puede buscar transacciones en el almacén persistente de transacciones para ver el estado en que se encuentran.

---

Nota –

Mediante la página Editar configuración de transacciones (consulte Administración de transacciones), el administrador puede controlar el momento en que deben mantenerse las transacciones. Por ejemplo, pueden mantenerse inmediatamente, incluso antes del primer intento.

---

En la página de búsqueda de transacciones puede especificar las condiciones de búsqueda que permiten filtrar las transacciones que se van a mostrar en función de criterios específicos relacionados con el evento de transacción, como usuario, tipo, estado, ID de transacción, estado actual y éxito o fallo de la transacción. Entre ellas, se incluyen las transacciones que aún se están reintentando, así como las que ya se han completado. Las transacciones que todavía no se han completado se pueden cancelar para evitar que se vuelvan intentar.

Para buscar transacciones

1. En la interfaz del administrador, haga clic en Tareas del servidor -> Transacciones de proveedor de servicios.

   Se abre la página de búsqueda de transacciones de Service Provider, en la que puede especificar las condiciones de búsqueda.

   ---

   Nota –

   La búsqueda devuelve sólo transacciones que cumplen todas las condiciones seleccionadas abajo. Es similar a la página Cuentas -> Buscar usuarios.

   ---

2. Configure la búsqueda.

   Elija una o varias de las opciones siguientes:

   • Nombre de usuario. Permite buscar las transacciones que sólo se aplican a los usuarios con el ID de cuenta especificado.

     ---

     Nota –

     Si ha configurado atributos del usuario personalizados y que permiten consulta en la página de configuración de Service Provider, aparecerán aquí. Por ejemplo, puede realizar una búsqueda por apellido o nombre completo si se han configurado como atributos del usuario personalizados que permiten consulta.

     ---

   • Tipo. Permite buscar transacciones del tipo o los tipos seleccionados.

   • Estado. Permite buscar transacciones que se encuentran en el estado o los estados seleccionados:

     • No se ha intentado: transacciones que aún no se han intentado ejecutar.

     • Reintento pendiente: transacciones que se han intentado ejecutar una o varias veces y han generado uno o varios errores. Estas transacciones se reintentarán hasta el lí­mite de reintentos configurado para los recursos individuales.

     • Satisfactorio: transacciones que se han completado correctamente.

     • No satisfactorio: transacciones que se han completado con uno o varios fallos.

   • Intentos. Permite buscar transacciones en función del número de veces que se han intentado ejecutar. Las transacciones que han fallado se reintentarán hasta el lí­mite de reintentos configurado para los recursos individuales.

   • Enviado. Permite buscar transacciones en función del momento en que se envían inicialmente, en incrementos de horas, minutos o dí­as.

   • Completada. Permite buscar transacciones en función del momento en que se han completado, en incrementos de horas, minutos o dí­as.

   • Estado cancelado. Permite buscar transacciones en función de si se han cancelado o no.

   • ID de transacción. Permite buscar transacciones en función de su ID único. Utilí­cela para encontrar transacciones en función del ID que ha introducido y que aparece en todos los registros de auditorí­a.

   • Ejecución. Permite buscar transacciones en función del servidor Service Provider en el que se ejecutan. El identificador del servidor se basa en el nombre del equipo correspondiente, salvo que se haya sustituido en el archivoWaveset.properties.

   • Limite los resultados de búsqueda al primer número de entradas seleccionado en la lista. Sólo se devolverán los resultados hasta el lí­mite especificado. No se realizan indicaciones si se dispone de resultados adicionales.

   Figura 17–8 Buscar transacciones

   
   

3. Haga clic en Buscar.

   Se mostrarán los resultados de búsqueda.

4. Puede hacer clic en Descargar todas las transacciones coincidentes en la parte inferior de la página de resultados para guardar los resultados en un archivo con formato XML.

   ---

   Nota –

   Para cancelar las transacciones que aparecen en los resultados de búsqueda, seleccione la transacción en los resultados y haga clic en Cancelar selección. Las transacciones completadas o ya canceladas no se pueden cancelar.

   ---

Administración delegada para usuarios de Service Provider

La administración delegada para usuarios de Service Provider se activa mediante el uso de roles de administración de Identity Manager o mediante el modelo de autorización basado en la organización.

Delegación mediante la autorización de la organización

Identity Manager permite delegar las obligaciones administrativas mediante el modelo de autorización basado en la organización, de forma predeterminada.

Tenga en cuenta lo siguiente cuando cree administradores delegados en un modelo de autorización basado en la organización:

• Los administradores de Service Provider son usuarios de Identity Manager con capacidades específicas y organizaciones controladas.

• Los valores de atributo de la organización de los usuarios pueden ser el nombre de la organización de Identity Manager o el ID de objeto. Esto depende de cómo se configure el campo El nombre del atributo de la organización contiene el ID de Identity Manager en la pantalla de configuración principal de Identity Manager.

• Puede crear una jerarquía de Identity Manager e incluir las organizaciones en esa jerarquía en función de como quiera delegar la administración de esas organizaciones. Utilice identificadores específicos para las organizaciones en lugar de nombres de organización.

• La organización a la que pertenecen los usuarios de Service Provider se toma de los atributos de usuario del servidor de directorio.

  • Debe definir los atributos en el mapa del esquema del recurso del servidor de directorio.

  • Los atributos se comparan con la lista de la organización del administrador por coincidencia exacta. El valor almacenado en el directorio debe coincidir con el nombre de las organizaciones, en lugar de con la jerarquía entera. Si un administrador controla Top:orgA:sub1, entonces sub1 debe tener el valor almacenado en el atributo de la organización para el usuario de Service Provider.

  • Si el atributo no se define o no coincide con una organización de Identity Manager, el usuario de Service Provider se considera un miembro de la organización principal (Top). Esto exige que los administradores de Service Provider tengan capacidades de usuario de Service Provider en Top para administrar los usuarios.

  La configuración del atributo determina el alcance de las búsquedas realizadas por los administradores de Service Provider.

• Para crear una cuenta de administrador delegado, cree un administrador de Identity Manager y luego agregue capacidades de administrador de Service Provider. Existen capacidades específicas de las tareas de Service Provider que se pueden asignar al usuario (mediante la ficha de seguridad de la página de edición de usuarios). Las organizaciones controladas especifican los usuarios de Service Provider que puede modificar el administrador. Todos los administradores de Identity Manager tendrán acceso a los recursos que estén a disposición de los usuarios de Service Provider.

---

Nota –

Para obtener más información sobre la administración delegada de Identity Manager, consulte Administración delegada en el Capítulo 6Administración.

---

Delegación mediante la asignación de roles de administración

Para garantizar que los usuarios de Service Provider tengan capacidades precisas y un ámbito de control, utilice el rol de administración de usuarios de Service Provider. Los roles de administración se pueden configurar para asignarse de forma dinámica a uno o varios usuarios de Identity Manager o Service Provider al inicio de la sesión.

Puede definir y asignar reglas a roles de administración que determinen las capacidades (como Crear usuario de Service Provider) otorgadas a los usuarios que tienen asignado el rol de administración.

Para utilizar la delegación de roles de administración con usuarios del proveedor de servicios, debe activar esta opción en el objeto de configuración del sistema Identity Manager (Edición de objetos de configuración de Identity Manager).

Cuando se activa la delegación mediante la asignación de roles de administración, no es necesario definir Nombre del atributo de la organización IDM en la configuración de Service Provider.

Activación de la delegación de roles de administración de Service Provider

Para activar la delegación de roles de administración del proveedor de servicios (administración delegada de Service Provider), abra el objeto de configuración del sistema para modificarlo (Edición de objetos de configuración de Identity Manager) y defina la siguiente propiedad en true:

security.authz.external.app name.object type

donde nombre apl es la aplicación Identity Manager (como la interfaz del administrador) y tipo de objeto corresponde a los usuarios de Service Provider.

Esta propiedad se puede activar por aplicación Identity Manager (por ejemplo, para la interfaz del administrador o la interfaz de usuario) y por tipo de objeto. En la actualidad sólo se admite el tipo de objeto Usuarios de Service Provider. El valor predeterminado es false.

Por ejemplo, si quiere activar la administración delegada de Service Provider para los administradores de Identity Manager, defina los siguientes atributos en "true" en el objeto de configuración del sistema.

security.authz.external.Administrator Interface.Service Provider Users

Cuando la administración delegada de Service Provider está desactivada (definida en false) para una aplicación Identity Manager o Service Provider determinada, se utiliza el modelo de autorización basado en la organización.

Si está activada, los eventos objeto de seguimiento capturan información acerca del número y la duración de las reglas de autorización ejecutadas. Estas estadísticas están disponibles en el panel de control.

Configuración de un rol de administración de usuarios de Service Provider

Para configurar un rol de administración de usuarios de Service Provider, cree un rol de administración y especifique el ámbito de control, las capacidades y a quién se debe asignar.

---

Nota –

Antes de crear un rol de administración de usuarios de Service Provider, defina el contexto de búsqueda, el filtro de búsqueda, el filtro tras la búsqueda, las capacidades y las reglas de asignación de usuarios del rol de administración

Para utilizar las reglas siguientes, tiene que especificar el atributo authType de la regla:

• SPEUsersSearchContextRule

• SPEUsersSearchFilterRule

• SPEUsersAfterSearchFilterRule

• CapabilitiesOnSPEUserRule

• UserIsAssignedAdminRoleRule

• SPEUserIsAssignedAdminRoleRule

Identity Manager ofrece reglas de ejemplo que se pueden utilizar para crear las reglas de los roles de administración de usuarios de Service Provider. Las reglas se encuentran disponibles en el archivo sample/adminRoleRules.xml del directorio de instalación de Identity Manager.

Para obtener más información sobre la creación de estas reglas en su entorno, consulte Sun Identity Manager Service Provider 8.1 Deployment.

---

Para configurar un rol de administración de usuarios de Service Provider

1. En la interfaz del administrador, haga clic en la opción Seguridad del menú y luego en Roles de administrador.

   Se abre la página Roles de administrador.

2. Pulse Nuevo.

   Se abre la página Crear rol de Admin.

3. Especifique el nombre del rol de administración y seleccione Usuarios de Service Provider como tipo.

4. Especifique las opciones Ámbito de control, Capacidades y Asignar a usuarios como se describe en las secciones siguientes.

Especificación del ámbito de control

El ámbito de control del rol de administración de usuarios del proveedor de servicios establece los usuarios del proveedor que puede ver un administrador de Identity Manager, un usuario final de Identity Manager o un usuario final del proveedor de servicios de Identity Manager. Se aplica cuando se realiza una petición para que aparezca la lista de usuarios de Service Provider en el directorio.

En el ámbito de control de roles de administración de usuarios de Service Provider, puede especificar una o varias configuraciones:

• Contexto de búsqueda de usuarios. Especifique si se va a utilizar una regla o una cadena de texto para iniciar una búsqueda.

  Si se especifica Ninguno, el contexto de búsqueda predeterminado será el contexto base establecido en el recurso de Identity Manager, configurado como directorio de usuarios de Service Provider.

• Filtro de búsqueda de usuarios. Especifique si se va a aplicar una regla o una cadena de texto al filtro de búsqueda.

  La cadena de texto especificada o devuelta por la regla seleccionada debe ser una cadena de filtro de búsqueda conforme a LDAP que represente el conjunto de usuarios, dentro del contexto de búsqueda, que controlarán los usuarios que tengan este rol de administrador asignado. El filtro indicado se combinará con el de búsqueda especificado por el usuario para garantizar que los usuarios que devuelve la búsqueda no incluyen aquéllos que los usuarios asignados a este rol de administrador no pueden enumerar.

• Regla de filtro tras búsqueda de usuarios. Seleccione la regla que se aplicará después de utilizar el filtro de búsqueda de usuarios.

  Esta regla se ejecuta después de realizar la búsqueda LDAP inicial en el directorio de usuarios de Service Provider y evalúa los resultados para determinar los nombres distinguidos (dn) a los que puede acceder el usuario solicitante.

  Este tipo de regla se puede utilizar cuando es necesario determinar si un usuario debe encontrarse en el ámbito de control del usuario solicitante mediante atributos de usuario no LDAP (por ejemplo, pertenencia a un grupo) o cuando se utiliza un repositorio distinto del directorio de usuarios de Service Provider (por ejemplo, una base de datos Oracle o RACF) para elegir el filtro.

Especificación de capacidades

En la opción Capacidades del rol de administración de usuarios de Service Provider se especifican las capacidades y los derechos que tiene el usuario solicitante con respecto al usuario de Service Provider al que se pide acceder. Se aplica cuando se realiza una petición para ver, crear, modificar o eliminar un usuario de Service Provider.

En la ficha Capacidades, seleccione la Regla de capacidades que quiere aplicar a este rol de administración.

Asignación de roles de administración a usuarios

Los roles de administración de usuarios de Service Provider se pueden asignar dinámicamente a usuarios del proveedor de servicios especificando una regla, que se evaluará al iniciar la sesión para determinar si se asignará el rol de administrador al usuario de autenticación.

Haga clic en la ficha Asignar a usuarios y seleccione la regla de asignación que se va a aplicar.

---

Nota –

Para activar la asignación dinámica de roles de administración a usuarios en cada interfaz de inicio de sesión (por ejemplo, la interfaz de usuario y la interfaz del administrador), configure los siguientes objetos de configuración del sistema (Edición de objetos de configuración de Identity Manager) en true:

security.authz.checkDynamicallyAssignedAdminRolesAtLoginTo. logininterface

El valor predeterminado para todas las interfaces es false.

---

Delegación de roles de administración de usuarios de Service Provider

De forma predeterminada, los usuarios de Service Provider pueden asignar (o delegar) los roles de administración de usuarios que se les han concedido a otros usuarios de Service Provider incluidos en su ámbito de control.

De hecho, cualquier usuario de Identity Manager que pueda editar los usuarios de Service Provider puede asignar los roles de administración de usuarios de Service Provider que se le han concedido a los usuarios del proveedor de servicios que estén en su ámbito de control.

Los roles de administración de usuarios de Service Provider también pueden incluir una lista de Asignadores, que pueden asignar el rol de administración con independencia del ámbito de control. Estas asignaciones directas garantizan que haya al menos una cuenta de usuario conocida con capacidad para asignar el rol de administración.

Administración de usuarios de Service Provider

En esta sección se describen los procedimientos y la información que se requieren para administrar usuarios de Service Provider mediante Identity Manager.

Se tratan los temas siguientes:

• Organizaciones de usuarios

• Crear usuarios y cuentas

• Buscar usuarios de Service Provider

• Interfaz de usuario final

Organizaciones de usuarios

Con Service Provider, el valor de un atributo de un usuario determina la organización a la que se asigna. Esto se especifica mediante el campo El nombre del atributo de la organización contiene el ID de Identity Manager de la pantalla de configuración principal de Service Provider (consulte Configuración inicial). Sin embargo, los nombres de esas organizaciones deben coincidir con el valor del atributo de usuario asignado en el servidor de directorio.

Si el nombre del atributo de la organización de Identity Manager se ha definido, en las páginas Crear usuario y Editar usuario aparece una lista de selección múltiple con las organizaciones disponibles. Se muestran los nombres de organización cortos de forma predeterminada. Puede modificar el formulario de usuario de Service Provider para que presente la ruta completa de la organización.

Además, puede elegir el atributo que se convertirá en el atributo de nombre de la organización. El atributo de nombre de la organización se utiliza en las páginas de administración de usuarios de Service Provider para limitar la búsqueda y administración de un usuario por los administradores.

---

Nota –

Existen directivas de contraseña e ID de cuenta para Service Provider y cuentas de recursos.

La directiva de cuentas del sistema Service Provider se encuentra disponible en la tabla principal de directivas.

---

Crear usuarios y cuentas

Todos los usuarios de proveedores de servicios deben tener una cuenta en el directorio de Service Provider. Si un usuario tiene cuentas en otros recursos, los vínculos con estas cuentas se almacenan en la entrada del directorio del usuario, con lo que la información sobre estas cuentas está disponible cuando se visualiza el usuario.

---

Nota –

Se proporciona un ejemplo de formulario de usuario de Service Provider para crear y editar usuarios. Este formulario se puede personalizar para que cumpla los requisitos de la administración de usuarios en el entorno de Service Provider. Para obtener más información, consulte el Capítulo 2, Identity Manager Forms de Sun Identity Manager Deployment Reference.

---

Para crear una cuenta de Service Provider

1. En la interfaz del administrador, haga clic en la opción Cuentas de la barra de menús.

2. Haga clic en la ficha Administrar los usuarios de Service Provider.

3. Haga clic en Crear usuario.

   ---

   Nota –

   Cuando se utiliza el formulario de usuario predeterminado de Service Provider, la aparición de los campos depende de los atributos configurados en la tabla Atributos de cuenta (mapa del esquema) del recurso de directorio de Service Provider. Además, cuando asigne recursos al usuario (como un administrador delegado) tendrá que consultar las nuevas secciones que se han añadido a la presentación, en las que puede especificar los valores de atributo de esos recursos. También puede personalizar los campos.

   ---

4. Especifique valores de atributo para los recursos conforme sea necesario.

   En los valores de atributo se incluyen:

   • ID de cuenta (imprescindible)

   • password

   • confirmación (confirmación de contraseña)

   • nombre (imprescindible)

   • apellido (imprescindible)

   • fullname

   • email

   • teléfono fijo

   • teléfono móvil

   • nº de intentos de contraseña

   • tiempo de desbloqueo de cuenta

5. Utilice las teclas de flecha para asignar los recursos que desee de la lista disponible.

6. En Estado de la cuenta se indica si la cuenta está bloqueada o desbloqueada. Haga clic en esta opción para bloquear o desbloquear la cuenta.

   Figura 17–9 Crear usuarios y cuentas de Service Provider

   
   

   ---

   Nota –

   Este formulario se rellena automática con valores correspondientes a atributos de cuentas de recursos basados en los atributos definidos para la cuenta del directorio. Por ejemplo, si el recurso define firstName, en el producto se introduce el valor de firstName de la cuenta del directorio. Sin embargo, las modificaciones realizadas en estos atributos no se propagan a las cuentas de recursos una vez que el formulario se rellena inicialmente. Si quiere, puede personalizar el formulario de usuario de ejemplo de Service Provider.

   ---

7. Haga clic en Guardar para crear la cuenta de usuario.

Buscar usuarios de Service Provider

Service Provider incluye una función de búsqueda que se puede configurar para facilitar la administración de cuentas de usuario. En la búsqueda sólo se encuentran los usuarios incluidos en su ámbito (conforme a lo definido por la organización, y posiblemente por otros factores).

Para realizar una búsqueda básica de usuarios del proveedor de servicios, haga clic en Administrar los usuarios de Service Provider en la sección Cuentas de la interfaz de Identity Manager; a continuación, introduzca el valor de la búsqueda y haga clic en Buscar.

En los temas siguientes se explican las funciones de búsqueda de Service Provider:

• Búsqueda avanzada

• Resultado de la búsqueda

• Vincular cuentas

• Eliminar, anular asignación o desvincular cuentas

• Establecer opciones de búsqueda

Búsqueda avanzada

Para realizar una búsqueda avanzada de usuarios de Service Provider, utilice las instrucciones siguientes.

Para realizar una búsqueda avanzada de usuarios de Service Provider

1. En la página Búsqueda de usuarios de Service Provider, haga clic en Avanzado.

2. Elija el atributo de la lista que desee.

3. Elija la operación que desee en la lista.

   Está especificando un conjunto de condiciones para filtrar los usuarios devueltos por la búsqueda e indicando que los usuarios devueltos deben cumplir todas las condiciones especificadas.

4. Introduzca el valor de búsqueda que desee y haga clic en Buscar.

   Figura 17–10 Buscar usuarios

   
   

   Con las opciones siguientes puede agregar o eliminar condiciones de atributo:

   • Haga clic en Añadir condición y especifique un atributo nuevo.

   • Seleccione la condición y haga clic en Eliminar la condición seleccionada.

Resultado de la búsqueda

Los resultados de la búsqueda de Service Provider se muestran en una tabla como la que aparece en la Figura 17–11. Los resultados ordenarse por cualquier atributo haciendo clic en el encabezado de columna del atributo. La presentación de resultados depende de los atributos seleccionados.

Los botones de flecha permiten desplazarse hasta las distintas páginas de resultados (primera, anterior, siguiente o última). Si introduce un número en el cuadro de texto y pulsa Intro, puede mostrar directamente una página específica.

Para editar un usuario, haga clic en el nombre de usuario en la tabla.

Figura 17–11 Ejemplo de resultados de la búsqueda

La página de resultados de la búsqueda permite eliminar usuarios o desvincular cuentas de recursos. Para esto es preciso seleccionar uno o varios usuarios y hacer clic en el botón Eliminar. Se mostrará la página de usuario de eliminación, que incluye opciones adicionales (consulte Eliminar, anular asignación o desvincular cuentas).

Vincular cuentas

Service Provider se puede instalar en entornos en los que los usuarios tienen cuentas en varios recursos. La función de vinculación de cuentas de Service Provider permite asignar cuentas de recursos existentes a usuarios de Service Provider de forma progresiva. La directiva de vinculación de Service Provider, que define una regla de correlación de vínculos, una regla de confirmación de vínculos y una opción de verificación de vínculos, controla este proceso,

Para vincular cuentas de usuario

1. En la interfaz del administrador, haga clic en la opción Recursos de la barra de menús.

2. Seleccione el recurso que desee.

3. Seleccione Editar directiva de vinculación de proveedor de servicios en el menú Acción de recurso.

4. Seleccione una regla de correlación de vínculos. Esta regla permite buscar cuentas en los recursos que pueda tener el usuario.

5. Seleccione una regla de confirmación de vínculos. Esta regla permite eliminar cualquier cuenta de recursos de la lista de posibles cuentas que selecciona la regla de correlación de vínculos.

   ---

   Nota –

   Si la regla de correlación de vínculos selecciona una cuenta solamente, no se necesita la regla de confirmación de vínculos.

   ---

6. Seleccione Se necesita verificar el ví­nculo para vincular la cuenta del recurso de destino al usuario de Service Provider.

Eliminar, anular asignación o desvincular cuentas

Para eliminar, anular la asignación o desvincular cuentas de usuario

1. Haga clic en Cuentas en la barra de menús.

2. Haga clic en Administrar los usuarios de Service Provider.

3. Realice una búsqueda básica o avanzada.

4. Seleccione el usuario o los usuarios que desee.

5. Haga clic en el botón Eliminar.

6. Seleccione una de las opciones globales.

   Las opciones incluyen:

   • Eliminar todas las cuentas de recursos

     ---

     Nota –

     Aunque al eliminar un recurso se elimina también la cuenta, la asignación de recurso continúa existiendo. Una actualización posterior del usuario volverá a crear la cuenta. La eliminación implica siempre una desvinculación de la cuenta de recurso.

     ---

   • Anular asignación de todas las cuentas de recursos

     ---

     Nota –

     Al anular la asignación de un recurso, se elimina también dicha asignación de recurso. Asimismo, esta anulación implica siempre una desvinculación de la cuenta de recurso. Sin embargo, la cuenta de recurso no se elimina al anular la asignación de un recurso.

     ---

   • Desvincular todas las cuentas de recurso

     ---

     Nota –

     La desvinculación elimina el vínculo entre un usuario y la cuenta de recurso, pero no la propia cuenta. Como tampoco se elimina la asignación de recurso, una actualización posterior del usuario volverá a vincular la cuenta o creará una cuenta nueva en el recurso.

     ---

7. También, puede seleccionar una acción para una o varias de las cuentas de recursos en las columnas Eliminar, Anular asignación o Desvincular.

8. Una vez que seleccione las cuentas de usuario que desee, haga clic en Aceptar.

   Figura 17–12 Eliminar, anular asignación o desvincular cuentas

   
   

Establecer opciones de búsqueda

Para definir las opciones de búsqueda de los usuarios de Service Provider

1. En la interfaz de administración, seleccione Cuentas en la barra de menús.

2. Haga clic en Service Provider.

3. Haga clic en Opciones.

   ---

   Nota –

   Estas opciones sólo son válidas para la sesión actual. Estas opciones afectan al modo en que se muestran los resultados de la búsqueda, tanto en una búsqueda básica como avanzada. Asimismo, algunos valores de configuración sólo se aplican en nuevas búsquedas.

   ---

4. Introduzca el Número máximo de resultados.

5. Introduzca el Número de resultados por página.

6. Seleccione la opción que desee en el campo Mostrar atributos de Atributos disponibles mediante las teclas de flecha.

   Figura 17–13 Establecer opciones de búsqueda para usuarios de Service Provider

   
   

Interfaz de usuario final

En las página de usuario final de ejemplo se ofrecen ejemplos de registro y autoservicio típicas de los entornos xSP. Estos ejemplos son extensibles y se pueden personalizar. Puede cambiar el estilo de la interfaz, modificar las reglas de desplazamiento entre páginas o mostrar mensajes regionales específicos de la implementación. Para obtener más información sobre la personalización de las páginas de usuario final, consulte Sun Identity Manager Service Provider 8.1 Deployment.

Además de auditar los eventos de autoservicio y registro, se puede enviar una notificación al usuario afectado mediante el uso de plantillas de correo electrónico. También se ofrecen ejemplos de uso de las directivas de ID de cuenta y contraseña, así como de bloqueo de cuentas. Los desarrolladores de aplicaciones pueden aprovechar los formularios de Identity Manager. El servicio de autenticación modular implementado como filtro de servlet que se puede ampliar o sustituir en caso necesario. Esto permite la integración con sistemas de administración de acceso, como Sun Access Manager.

Páginas de usuario final de ejemplo

Las páginas de usuario final de ejemplo permiten al usuario registrar y mantener información básica de usuario mediante una serie de pantallas de fácil desplazamiento, además de recibir notificación de sus acciones por correo electrónico.

Las páginas de ejemplo incluyen las siguientes funciones:

• Inicio (y cierre) de sesión, incluida autenticación mediante preguntas de desafío

• Registro e inscripción

• Cambio de contraseña

• Cambio de nombre de usuario

• Cambio de preguntas de desafío

• Cambio de dirección de notificación

• Gestión de olvido del nombre de usuario

• Gestión de olvido de la contraseña

• Notificación por correo electrónico

• Auditoría

---

Nota –

Identity Manager utiliza una tabla de validación para el registro. Sólo pueden registrarse los usuarios incluidos en la tabla. Por ejemplo, cuando se registra el usuario Betty Childs, se localiza la entrada Betty Childs con dirección de correo electrónico bchilds@example.com en la tabla de validación y se permite el registro.

---

Estas páginas se pueden personalizar fácilmente en la implementación.

Para esto, realice lo siguiente:

• Cambie la información de personalización.

• Modifique las opciones de configuración (por ejemplo, el número de intentos de acceso fallidos).

• Agregue o elimine páginas.

Para obtener más información sobre la personalización de las páginas, consulte Sun Identity Manager Service Provider 8.1 Deployment.

Registro de nuevos usuarios

Los usuarios nuevos tienen que registrarse. Durante la operación, los usuarios pueden configurar el inicio de sesión, las preguntas de desafío y la información de notificación.

Figura 17–14 Página de registro

Pantallas principal y de perfil

En la Figura 17–15 se muestra la ficha principal del usuario final y la página de perfil. El usuario puede cambiar el ID de inicio de sesión y la contraseña, administrar la notificación y crear preguntas de desafío.

Figura 17–15 Página Mi perfil

Sincronización de usuarios de Service Provider

La sincronización de usuarios de Service Provider se activa mediante la directiva de sincronización. Para sincronizar los cambios de atributos en recursos con Identity Manager para usuarios de proveedores de servicios, debe configurar la sincronización de Service Provider.

En los temas siguientes se explica la forma de activar la sincronización en una implementación del proveedor de servicios:

• Configurar la sincronización

• Supervisar la sincronización

• Iniciar y detener la sincronización

• Migrar usuarios

---

Nota –

La sincronización de Service Provider se configura desde la lista de recursos de la sección Recursos de Identity Manager.

---

Configurar la sincronización

Para configurar la sincronización de Service Provider. edite la directiva de sincronización de los recursos que se describen en Para editar o configurar la sincronización.

Cuando edite la directiva de sincronización, tendrá que especificar las siguientes opciones para activar los procesos de sincronización en los usuarios de proveedores de servicios.

• Seleccione Usuarios de Service Provider como Tipo de objeto destino.

• En la sección Ajustes de programación, seleccione Habilitar sincronización.

Para especificar otras opciones que convengan al entorno que utiliza, siga las instrucciones que se incluyen en Para editar o configurar la sincronización. Las tareas de sincronización de Service Provider tienen una duración predeterminada de 1 minuto.

---

Nota –

La regla y el formulario de confirmación deben utilizar la vista de IDMXUser, en lugar de la vista de entrada de usuario de Identity Manager (consulte Sun Identity Manager Service Provider 8.1 Deployment para obtener más información).

Esto se debe a que las reglas de confirmación acceden a una vista de usuario cada vez que se identifica a un usuario en la regla de correlación, lo que afecta al rendimiento de la sincronización.

---

Haga clic en Guardar para guardar la definición de la directiva. Si la sincronización no está desactivada en la directiva, se programa como se ha especificado. Cuando se desactiva la sincronización, el servicio de sincronización se detiene (en caso de que esté funcionando). Si está activada, la sincronización se inicia al reiniciar el servidor Identity Manager o cuando se selecciona iniciar Service Provider en la sección de acciones de recursos de sincronización.

Supervisar la sincronización

Identity Manager ofrece los métodos siguientes para supervisar la sincronización de Service Provider.

• El estado de la sincronización aparece en el campo de descripción de la lista de recursos.

• Utilice la interfaz JMX para supervisar las unidades de sincronización.

Iniciar y detener la sincronización

La sincronización de Service Provider se activa de forma predeterminada cuando se configura Identity Manager para una implementación del proveedor de servicios.

Para desactivar la sincronización activa de Service Provider

1. En la interfaz del administrador, haga clic en la opción Recursos del menú.

   Se abre la página con la lista de recursos.

2. En la sección Service Provider, seleccione el recurso y haga clic en Editar directiva de sincronización para editar la directiva.

3. Quite la marca de la casilla Habilitar sincronización.

4. Haga clic en Guardar.

   La sincronización se detiene cuando se guarda la directiva.

   Para detener la sincronización sin desactivarla, seleccione Detención de Service Provider en la acción del recurso de sincronización.

   ---

   Nota –

   Si utiliza la acción del recurso para detener la sincronización, sin desactivarla, se volverá a iniciar cuando se ponga en marcha cualquier servidor Identity Manager.

   ---

Migrar usuarios

Esta función de Service Provider contiene un ejemplo de tarea de migración de usuarios y de las secuencias de comandos asociadas. Mediante esta tarea, los usuarios de Identity Manager se migran al directorio de usuarios de Service Provider. En esta sección se describe la forma de utilizar la tarea de migración de ejemplo. Es conveniente que modifique este ejemplo para adaptarlo a sus circunstancias.

Para migrar usuarios de Identity Manager existentes

1. En la interfaz del administrador, haga clic en la opción Tareas del servidor del menú.

   Se abre la página Buscar tareas.

2. Haga clic en Ejecutar tareas en el menú secundario.

3. Haga clic en Migración SPE.

4. Introduzca un nombre de tarea único.

5. Seleccione un recurso de la lista.

   Este es un recurso de Identity Manager que representa al servidor de directorio Service Provider. Los vínculos con este recurso encontrados en los usuarios de Identity Manager no se migran.

6. Introduzca un atributo de identidad.

   Este es el atributo de usuario de Identity Manager que contiene la identidad exclusiva abreviada del usuario del directorio.

7. Seleccione una regla de identidad de la lista.

   Esta es una regla opcional que puede calcular el nombre del usuario del directorio a partir de los atributos del usuario de Identity Manager. La regla de identidad puede calcular un nombre simple (normalmente UID), que luego se procesa mediante la plantilla de identidad del recurso para formar el nombre distinguido (DN) del servidor de directorio. La regla también puede devolver un DN con todas las especificaciones que evita utilizar la plantilla de ID.

8. Haga clic en Iniciar para empezar a ejecutar la tarea de migración en segundo plano.

Configuración de los eventos de auditoría de Service Provider

En una implementación de Service Provider, el sistema de registro de auditoría de Identity Manager examina los eventos relacionados con las actividades de los usuarios de la extranet. Identity Manager proporciona el grupo de configuración de auditoría (activado de forma predeterminada) que especifica los eventos de auditoría de los usuarios de Service Provider que se registran. Consulte la Figura 17–16.

Para obtener más información sobre el registro de auditoría y la modificación de eventos en el grupo de configuración de auditoría de Service Provider, consulte el Capítulo 10Registro de auditoría.

Figura 17–16 Página de edición del grupo de configuración de auditoría de Service Provider