Configuración inicial

Si quiere configurar las funciones de Service Provider, lleve a cabo los siguientes procedimientos para editar los objetos de configuración de Identity Manager en el servidor de directorio.

• Editar configuración principal

• Editar la configuración de búsqueda de usuarios

Antes de continuar, asegúrese de que tiene lo siguiente:

• Recurso LDAP definido. El recurso de ejemplo Directorio de usuario final de Service Provider se importa de forma predeterminada. Puede configurar varios recursos si la información de usuario y configuración se va a almacenar en directorios diferentes.

• El esquema debe incluir la asignación para un objeto XML.

  Si quiere, puede configurar la directiva de cuentas de Service Provider.

• El contexto base configurado para el recurso del directorio sólo se aplica a los usuarios almacenados en el directorio.

Editar configuración principal

Para editar objetos de configuración de una implementación Service Provider

1. En la interfaz del administrador, haga clic en la opción Service Provider del menú.

2. Haga clic en Editar configuración principal.

   Se abre la página de configuración de Service Provider.

3. Rellene el formulario de configuración de Service Provider.

   Utilice las instrucciones que se proporcionan en las secciones siguientes:

   • Configuración de directorio

   • Formularios de usuario y directiva

   • Base de datos de transacciones

   • Configuración de eventos objeto de seguimiento

   • Índices de cuenta de sincronización

   • Configuración de llamadas

Configuración de directorio

En la sección Configuración de directorio, introduzca información para configurar el directorio LDAP y especifique los atributos de Identity Manager correspondientes a los usuarios del proveedor de servicios.

En la Figura 17–1 se muestra esta sección de la página de configuración de Service Provider, así como la sección de formularios de usuario y directiva que se explica en la sección siguiente.

Figura 17–1 Configuración de Service Provider (directorio, formularios de usuario y directiva)

Para rellenar el formulario de configuración del directorio

1. Seleccione el directorio de usuario final de Service Provider en la lista.

   Seleccione el recurso del directorio LDAP en el que están almacenados los datos de todos los usuarios de Service Provider.

2. Introduzca el nombre del atributo de ID de cuenta.

   Se trata del nombre del atributo de la cuenta LDAP, que contiene un identificador corto único para la cuenta. Se considera el nombre del usuario para la autenticación y el acceso de la cuenta a través de la API. El nombre del atributo debe definirse en el mapa del esquema.

3. Especifique el nombre del atributo de la organización IDM.

   Se trata del nombre del atributo de la cuenta LDAP que contiene el nombre o ID de una organización dentro de Identity Manager al que pertenece la cuenta LDAP. Se usa para la administración delegada de cuentas de LDAP. El nombre de atributo debe definirse en el mapa de esquema de recurso LDAP y es el nombre de atributo del sistema Identity Manager (el nombre a la izquierda del mapa de esquema).

   ---

   Nota –

   Especifique el nombre del atributo de la organización de Identity Manager (y El nombre del atributo de la organización IDM contiene el ID, en caso necesario) si quiere activar la administración delegada por medio de la autorización de la organización.

   ---

4. Si decide seleccionar El nombre del atributo de la organización IDM contiene el ID, active esta opción.

   Seleccione esta opción si el atributo del recurso LDAP que hace referencia a la organización de Identity Manager al que pertenece la cuenta de LDAP contiene el ID de la organización de Identity Manager, en lugar de su nombre.

5. Si decide seleccionar Comprimir XML de usuario, active esta opción.

   Seleccione esta opción para comprimir el XML de usuario almacenado en el directorio.

6. Haga clic en Configuración de directorio de prueba para verificar los valores introducidos en la configuración.

   ---

   Nota –

   Puede comprobar que la configuración de directorio, transacción y auditoría se adecua a sus necesidades. Para probar completamente las tres configuraciones, haga clic en los botones de prueba.

   ---

Formularios de usuario y directiva

En la sección de formularios de usuario y directiva, mostrada en la Figura 17–1 anterior, especifique los formularios y las directivas que se van a utilizar en la administración de usuarios del proveedor de servicios.

Para especificar formularios y directivas para la administración de usuarios de Service Provider

1. Seleccione Formulario del usuario final en la lista.

   Este formulario se usa en cualquier lugar, excepto en las páginas del administrador delegado y durante la sincronización. Si se selecciona Ninguno, no se usará ningún formulario predeterminado de usuario.

2. Seleccione Formulario del usuario administrador en la lista.

   Se trata del formulario de usuario predeterminado que se utiliza en los contextos de administrador. Se incluyen las páginas de edición de cuentas de Service Provider. Si se selecciona Ninguno, no se usará ningún formulario predeterminado de usuario.

   ---

   Nota –

   Si no selecciona un formulario de usuario del administrador, los administradores no podrán crear ni editar los usuarios de Service Provider Edition en Identity Manager

   ---

3. Seleccione un Formulario de usuario de sincronización de la lista.

   Este es el formulario predeterminado que se utiliza cuando no se especifica ninguno para un recurso donde se ejecuta sincronización de Service Provider. Si se especifica un formulario de entrada en una directiva de sincronización de un recurso, se utilizará dicho formulario. Los recursos suelen requerir distintos formularios de entrada para la sincronización. En tal caso, deberá definir el formulario de usuario de sincronización para cada recurso, en vez de seleccionar un formulario de la lista.

4. Seleccione una Directiva de cuentas de la lista.

   En las opciones se incluyen las directivas de cuentas de identidad definidas mediante Configurar > Directivas.

5. Seleccione Es una regla de cuenta bloqueada en la lista.

   Seleccione una regla para ejecutarla en la vista de usuario de Service Provider que permita determinar si una cuenta está bloqueada.

6. Seleccione una Regla de bloqueo de cuenta.

   Seleccione una regla para ejecutarla en la vista de usuario de Service Provider que permita definir atributos en la vista que hagan que la cuenta se bloquee.

7. Seleccione una Regla de desbloqueo de cuenta.

   Seleccione una regla para ejecutarla en la vista de usuario de Service Provider que permita definir atributos en la vista que hagan que la cuenta se desbloquee.

Base de datos de transacciones

Esta sección de la página de configuración de Service Provider, que se muestra en la Figura 17–2, se utiliza para configurar una base de datos de transacciones. Estas opciones sólo son necesarias cuando se utiliza el almacén persistente de transacciones JDBC. Si cambia cualquiera de estos valores, debe reiniciar el servidor para que se apliquen los cambios.

La tabla de base de datos correspondiente a las transacciones se tiene que configurar con arreglo al esquema mostrado en las secuencias de comandos DDL create_spe_tables (situadas en el directorio de ejemplo de la instalación de Identity Manager). Quizá haya que personalizar la secuencia de comandos adecuada para el entorno de destino.

Figura 17–2 Configuración de Service Provider (base de datos de transacciones)

Para configurar una base de datos de transacciones

1. Indique la siguiente información de la base de datos:

   • Clase del controlador. Especifique el nombre de la clase del controlador JDBC.

   • Prefijo del controlador. Este campo es opcional. Si se especifica, se consultará al administrador de controladores JDBC antes de registrar un nuevo controlador.

   • Plantilla URL de conexión. Este campo es opcional. Si se especifica, se consultará al administrador de controladores JDBC antes de registrar un nuevo controlador.

   • Host. Introduzca el nombre de host en el que se está ejecutando la base de datos.

   • Puerto. Introduzca el número de puerto al que está conectado el servidor de base de datos.

   • Nombre de la base de datos. Introduzca el nombre de la base de datos que se utilizará.

   • Nombre de usuario. Introduzca el ID de un usuario de base de datos con permiso para leer, actualizar y eliminar filas de las tablas de transacciones y auditoría de la base de datos seleccionada.

   • Contraseña. Introduzca la contraseña del usuario de base de datos.

   • Tabla de transacciones. Introduzca el nombre de la tabla de la base de datos seleccionada que se utilizará para almacenar las transacciones pendientes.

2. Si es preciso, haga clic en Configuración de transacción de prueba para verificar la información introducida.

   Continúe con la sección siguiente de la página de configuración de Service Provider para configurar eventos objeto de seguimiento.

Configuración de eventos objeto de seguimiento

Si la recopilación de eventos está activada, permite realizar un seguimiento de las estadísticas en tiempo real; por consiguiente, ayuda a mantener los niveles de servicio previstos o acordados. La recopilación de eventos está activada de forma predeterminada, como se muestra en la Figura 17–3. La recopilación se desactiva cuando se quita la marca de selección de la casilla Habilitar colección de eventos.

Figura 17–3 Configuración de Service Provider (configuración de eventos objeto de seguimiento, índices de cuenta y llamadas)

Para especificar una zona horaria e intervalos de recopilación de eventos objeto de seguimiento de Service Provider

1. Seleccione la zona horaria en la lista.

   Seleccione la zona horaria para utilizarla al registrar eventos, o Definido en la configuración predeterminada del servidor para usar la zona horaria definida en el servidor.

2. Seleccione las opciones de Escalas de tiempo para recopilación.

   La recopilación tiene lugar en los siguientes intervalos de tiempo: cada 10 segundos, cada minuto, cada hora, a diario, semanal o mensualmente. Desactive los intervalos de tiempo en los que no quiere que se recopilen eventos.

Índices de cuenta de sincronización

Cuando se sincronizan recursos en una implementación de Service Provider, puede que sea preciso definir índices de cuenta para correlacionar correctamente los eventos enviados por el recurso a los usuarios incluidos en el directorio de Service Provider.

De forma predeterminada, los eventos de los recursos deben contener un atributo de ID de cuenta (accountId ) cuyo valor coincida con el mismo atributo del directorio. En algunos recursos no se envía este atributo de forma coherente. Por ejemplo, la eliminación de eventos de ActiveDirectory sólo contiene la GUID de cuenta generada en ActiveDirectory.

Los recursos que no incluyen el atributo de ID de cuenta (accountId) deben contener el valor de cualquiera de los atributos siguientes.

• guid. Este atributo suele contener un identificador único generado por el sistema.

• identidad. Este atributo suele coincidir con el atributo de ID de cuenta (accountId) de todos los recursos, excepto los recursos LDAP, en los que la identidad será el DN completo.

Si necesita establecer la correlación mediante el uso de guid o identidad, debe definir un índice de cuenta para esos atributos. El índice es la serie formada por uno o varios atributos de usuario de directorio que pueden utilizarse para almacenar identidades específicas de recursos. Una vez que las identidades se almacenan en el directorio, se pueden utilizar en filtros de búsqueda para correlacionar los eventos de sincronización.

Para definir índices de cuenta, primero determine los recursos que se utilizarán en la sincronización y cuáles de ellos necesitan un índice. Luego edite la definición de los recursos del directorio de Service Provider y agregue atributos al mapa de esquema de la GUID o atributos de identidad para cada recurso de Active Sync. Por ejemplo, si realiza la sincronización desde ActiveDirectory, puede definir un atributo denominado AD-GUID asignado a un atributo de directorio no utilizado, como un gestor.

Para definir atributos de índice para un recurso

Después de definir todos los atributos de índice en el recurso de Service Provider, lleve a cabo los pasos siguientes:

1. En la sección Índices de cuenta de sincronización de la página de configuración, haga clic en el botón Nuevo índice.

   El formulario se amplía para abarcar un campo de selección de recursos, seguido de dos campos de selección de atributos. Los campos de selección de atributos permanecen vacíos hasta que se selecciona un recurso.

2. Seleccione un recurso de la lista.

   Los campos de atributos presentan ahora los valores definidos en el mapa de esquema del recurso seleccionado.

3. Seleccione el atributo de índice adecuado para el atributo Guid o el atributo de identidad completa.

   Por lo general no es necesario definir ambos. Cuando se definen los dos, el programa intenta establecer la correlación utilizando la GUID en primer lugar, y luego la identidad completa.

4. Para definir atributos de índice de otros recursos, puede hacer clic en Nuevo índice otra vez.

5. Para eliminar un índice, haga clic en el botón Eliminar situado a la derecha del campo de selección de recursos.

   Al eliminar un índice sólo se quita de la configuración; no se modifican los usuarios del directorio existente que puedan tener valores almacenados en los atributos de índice.

   ---

   Nota –

   Al eliminar un índice sólo se quita de la configuración; no se modifican los usuarios del directorio existente que puedan tener valores almacenados en los atributos de índice.

   ---

Configuración de llamadas

Seleccione esta opción en la sección Configuración de llamadas para activar las llamadas. Cuando están activadas, aparecen las asignaciones de llamadas, que permiten seleccionar las llamadas anteriores y posteriores a la operación de cada tipo de transacción de la lista.

Las opciones de llamadas anteriores y posteriores a la operación se configuran en Ninguno de forma predeterminada.

Cuando seleccione las llamadas posteriores a la operación, utilice la opción Esperar a la llamada posterior a la operación para especificar la espera de la transacción hasta que se haya completado el procesamiento de la llamada posterior a la operación. De esta forma se garantiza que las transacciones dependientes se ejecuten sólo una vez completada correctamente la llamada posterior a la operación.

Después de seleccionar opciones en todas las secciones de la página de configuración de Service Provider, haga clic en Guardar para completar la configuración.

Editar la configuración de búsqueda de usuarios

La página que se muestra en la Figura 17–4 permite configurar los valores predeterminados de las búsquedas que realicen los administradores delegados en la página Administrar los usuarios de Service Provider. Aunque estos valores predeterminados se aplican a todos los usuarios de la página Administrar los usuarios de Service Provider, pueden anularse por sesión.

Figura 17–4 Configuración de búsqueda

Para configurar los valores predeterminados de búsqueda de usuarios de Service Provider

1. Haga clic en Service Provider en la barra de menús.

2. Haga clic en Editar configuración de búsquedas de usuario.

3. Introduzca un valor en Número máximo de resultados (valor predeterminado 100).

4. Introduzca un valor en Resultados por página (valor predeterminado 10).

5. Utilice las teclas de flecha para seleccionar la opción Atributos disponibles, que está situada junto a Atributos de resultado para mostrar.

6. Seleccione el Atributo para buscar en la lista.

7. Seleccione la Operación de búsqueda en la lista.

8. Haga clic en Guardar.

   ---

   Nota –

   los cambios realizados en la configuración de búsqueda no se aplicarán hasta que cierre la sesión y vuelva a iniciarla.

   Estos objetos de configuración no están disponibles si el directorio de Service Provider no está configurado.

   ---