Para garantizar que los usuarios de Service Provider tengan capacidades precisas y un ámbito de control, utilice el rol de administración de usuarios de Service Provider. Los roles de administración se pueden configurar para asignarse de forma dinámica a uno o varios usuarios de Identity Manager o Service Provider al inicio de la sesión.
Puede definir y asignar reglas a roles de administración que determinen las capacidades (como Crear usuario de Service Provider) otorgadas a los usuarios que tienen asignado el rol de administración.
Para utilizar la delegación de roles de administración con usuarios del proveedor de servicios, debe activar esta opción en el objeto de configuración del sistema Identity Manager (Edición de objetos de configuración de Identity Manager).
Cuando se activa la delegación mediante la asignación de roles de administración, no es necesario definir Nombre del atributo de la organización IDM en la configuración de Service Provider.
Para activar la delegación de roles de administración del proveedor de servicios (administración delegada de Service Provider), abra el objeto de configuración del sistema para modificarlo (Edición de objetos de configuración de Identity Manager) y defina la siguiente propiedad en true:
security.authz.external.app name.object type
donde nombre apl es la aplicación Identity Manager (como la interfaz del administrador) y tipo de objeto corresponde a los usuarios de Service Provider.
Esta propiedad se puede activar por aplicación Identity Manager (por ejemplo, para la interfaz del administrador o la interfaz de usuario) y por tipo de objeto. En la actualidad sólo se admite el tipo de objeto Usuarios de Service Provider. El valor predeterminado es false.
Por ejemplo, si quiere activar la administración delegada de Service Provider para los administradores de Identity Manager, defina los siguientes atributos en "true" en el objeto de configuración del sistema.
security.authz.external.Administrator Interface.Service Provider Users
Cuando la administración delegada de Service Provider está desactivada (definida en false) para una aplicación Identity Manager o Service Provider determinada, se utiliza el modelo de autorización basado en la organización.
Si está activada, los eventos objeto de seguimiento capturan información acerca del número y la duración de las reglas de autorización ejecutadas. Estas estadísticas están disponibles en el panel de control.
Para configurar un rol de administración de usuarios de Service Provider, cree un rol de administración y especifique el ámbito de control, las capacidades y a quién se debe asignar.
Antes de crear un rol de administración de usuarios de Service Provider, defina el contexto de búsqueda, el filtro de búsqueda, el filtro tras la búsqueda, las capacidades y las reglas de asignación de usuarios del rol de administración
Para utilizar las reglas siguientes, tiene que especificar el atributo authType de la regla:
SPEUsersSearchContextRule
SPEUsersSearchFilterRule
SPEUsersAfterSearchFilterRule
CapabilitiesOnSPEUserRule
UserIsAssignedAdminRoleRule
SPEUserIsAssignedAdminRoleRule
Identity Manager ofrece reglas de ejemplo que se pueden utilizar para crear las reglas de los roles de administración de usuarios de Service Provider. Las reglas se encuentran disponibles en el archivo sample/adminRoleRules.xml del directorio de instalación de Identity Manager.
Para obtener más información sobre la creación de estas reglas en su entorno, consulte Sun Identity Manager Service Provider 8.1 Deployment.
En la interfaz del administrador, haga clic en la opción Seguridad del menú y luego en Roles de administrador.
Se abre la página Roles de administrador.
Pulse Nuevo.
Se abre la página Crear rol de Admin.
Especifique el nombre del rol de administración y seleccione Usuarios de Service Provider como tipo.
Especifique las opciones Ámbito de control, Capacidades y Asignar a usuarios como se describe en las secciones siguientes.
El ámbito de control del rol de administración de usuarios del proveedor de servicios establece los usuarios del proveedor que puede ver un administrador de Identity Manager, un usuario final de Identity Manager o un usuario final del proveedor de servicios de Identity Manager. Se aplica cuando se realiza una petición para que aparezca la lista de usuarios de Service Provider en el directorio.
En el ámbito de control de roles de administración de usuarios de Service Provider, puede especificar una o varias configuraciones:
Contexto de búsqueda de usuarios. Especifique si se va a utilizar una regla o una cadena de texto para iniciar una búsqueda.
Si se especifica Ninguno, el contexto de búsqueda predeterminado será el contexto base establecido en el recurso de Identity Manager, configurado como directorio de usuarios de Service Provider.
Filtro de búsqueda de usuarios. Especifique si se va a aplicar una regla o una cadena de texto al filtro de búsqueda.
La cadena de texto especificada o devuelta por la regla seleccionada debe ser una cadena de filtro de búsqueda conforme a LDAP que represente el conjunto de usuarios, dentro del contexto de búsqueda, que controlarán los usuarios que tengan este rol de administrador asignado. El filtro indicado se combinará con el de búsqueda especificado por el usuario para garantizar que los usuarios que devuelve la búsqueda no incluyen aquéllos que los usuarios asignados a este rol de administrador no pueden enumerar.
Regla de filtro tras búsqueda de usuarios. Seleccione la regla que se aplicará después de utilizar el filtro de búsqueda de usuarios.
Esta regla se ejecuta después de realizar la búsqueda LDAP inicial en el directorio de usuarios de Service Provider y evalúa los resultados para determinar los nombres distinguidos (dn) a los que puede acceder el usuario solicitante.
Este tipo de regla se puede utilizar cuando es necesario determinar si un usuario debe encontrarse en el ámbito de control del usuario solicitante mediante atributos de usuario no LDAP (por ejemplo, pertenencia a un grupo) o cuando se utiliza un repositorio distinto del directorio de usuarios de Service Provider (por ejemplo, una base de datos Oracle o RACF) para elegir el filtro.
En la opción Capacidades del rol de administración de usuarios de Service Provider se especifican las capacidades y los derechos que tiene el usuario solicitante con respecto al usuario de Service Provider al que se pide acceder. Se aplica cuando se realiza una petición para ver, crear, modificar o eliminar un usuario de Service Provider.
En la ficha Capacidades, seleccione la Regla de capacidades que quiere aplicar a este rol de administración.
Los roles de administración de usuarios de Service Provider se pueden asignar dinámicamente a usuarios del proveedor de servicios especificando una regla, que se evaluará al iniciar la sesión para determinar si se asignará el rol de administrador al usuario de autenticación.
Haga clic en la ficha Asignar a usuarios y seleccione la regla de asignación que se va a aplicar.
Para activar la asignación dinámica de roles de administración a usuarios en cada interfaz de inicio de sesión (por ejemplo, la interfaz de usuario y la interfaz del administrador), configure los siguientes objetos de configuración del sistema (Edición de objetos de configuración de Identity Manager) en true:
security.authz.checkDynamicallyAssignedAdminRolesAtLoginTo. logininterface
El valor predeterminado para todas las interfaces es false.