Para configurar un rol de administración de usuarios de Service Provider, cree un rol de administración y especifique el ámbito de control, las capacidades y a quién se debe asignar.
Antes de crear un rol de administración de usuarios de Service Provider, defina el contexto de búsqueda, el filtro de búsqueda, el filtro tras la búsqueda, las capacidades y las reglas de asignación de usuarios del rol de administración
Para utilizar las reglas siguientes, tiene que especificar el atributo authType de la regla:
SPEUsersSearchContextRule
SPEUsersSearchFilterRule
SPEUsersAfterSearchFilterRule
CapabilitiesOnSPEUserRule
UserIsAssignedAdminRoleRule
SPEUserIsAssignedAdminRoleRule
Identity Manager ofrece reglas de ejemplo que se pueden utilizar para crear las reglas de los roles de administración de usuarios de Service Provider. Las reglas se encuentran disponibles en el archivo sample/adminRoleRules.xml del directorio de instalación de Identity Manager.
Para obtener más información sobre la creación de estas reglas en su entorno, consulte Sun Identity Manager Service Provider 8.1 Deployment.
En la interfaz del administrador, haga clic en la opción Seguridad del menú y luego en Roles de administrador.
Se abre la página Roles de administrador.
Pulse Nuevo.
Se abre la página Crear rol de Admin.
Especifique el nombre del rol de administración y seleccione Usuarios de Service Provider como tipo.
Especifique las opciones Ámbito de control, Capacidades y Asignar a usuarios como se describe en las secciones siguientes.
El ámbito de control del rol de administración de usuarios del proveedor de servicios establece los usuarios del proveedor que puede ver un administrador de Identity Manager, un usuario final de Identity Manager o un usuario final del proveedor de servicios de Identity Manager. Se aplica cuando se realiza una petición para que aparezca la lista de usuarios de Service Provider en el directorio.
En el ámbito de control de roles de administración de usuarios de Service Provider, puede especificar una o varias configuraciones:
Contexto de búsqueda de usuarios. Especifique si se va a utilizar una regla o una cadena de texto para iniciar una búsqueda.
Si se especifica Ninguno, el contexto de búsqueda predeterminado será el contexto base establecido en el recurso de Identity Manager, configurado como directorio de usuarios de Service Provider.
Filtro de búsqueda de usuarios. Especifique si se va a aplicar una regla o una cadena de texto al filtro de búsqueda.
La cadena de texto especificada o devuelta por la regla seleccionada debe ser una cadena de filtro de búsqueda conforme a LDAP que represente el conjunto de usuarios, dentro del contexto de búsqueda, que controlarán los usuarios que tengan este rol de administrador asignado. El filtro indicado se combinará con el de búsqueda especificado por el usuario para garantizar que los usuarios que devuelve la búsqueda no incluyen aquéllos que los usuarios asignados a este rol de administrador no pueden enumerar.
Regla de filtro tras búsqueda de usuarios. Seleccione la regla que se aplicará después de utilizar el filtro de búsqueda de usuarios.
Esta regla se ejecuta después de realizar la búsqueda LDAP inicial en el directorio de usuarios de Service Provider y evalúa los resultados para determinar los nombres distinguidos (dn) a los que puede acceder el usuario solicitante.
Este tipo de regla se puede utilizar cuando es necesario determinar si un usuario debe encontrarse en el ámbito de control del usuario solicitante mediante atributos de usuario no LDAP (por ejemplo, pertenencia a un grupo) o cuando se utiliza un repositorio distinto del directorio de usuarios de Service Provider (por ejemplo, una base de datos Oracle o RACF) para elegir el filtro.
En la opción Capacidades del rol de administración de usuarios de Service Provider se especifican las capacidades y los derechos que tiene el usuario solicitante con respecto al usuario de Service Provider al que se pide acceder. Se aplica cuando se realiza una petición para ver, crear, modificar o eliminar un usuario de Service Provider.
En la ficha Capacidades, seleccione la Regla de capacidades que quiere aplicar a este rol de administración.
Los roles de administración de usuarios de Service Provider se pueden asignar dinámicamente a usuarios del proveedor de servicios especificando una regla, que se evaluará al iniciar la sesión para determinar si se asignará el rol de administrador al usuario de autenticación.
Haga clic en la ficha Asignar a usuarios y seleccione la regla de asignación que se va a aplicar.
Para activar la asignación dinámica de roles de administración a usuarios en cada interfaz de inicio de sesión (por ejemplo, la interfaz de usuario y la interfaz del administrador), configure los siguientes objetos de configuración del sistema (Edición de objetos de configuración de Identity Manager) en true:
security.authz.checkDynamicallyAssignedAdminRolesAtLoginTo. logininterface
El valor predeterminado para todas las interfaces es false.