Visión global

Las empresas actuales exigen más flexibilidad y prestaciones a sus servicios de TI. La administración del acceso a la información y los sistemas de empresa ha exigido tradicionalmente una interacción directa con un número restringido de cuentas. En la actualidad, administrar el acceso significa gestionar no sólo muchos más clientes internos, sino también colaboradores y clientes fuera de la empresa.

Esta mayor necesidad de acceso puede generar una carga adicional indirecta considerable. Como administrador, debe posibilitar de una manera efectiva y segura que los usuarios hagan su trabajo fuera y dentro de la empresa. Tras darles el acceso inicial, se enfrenta a constantes dificultades, como olvido de contraseñas o cambios de funciones y relaciones empresariales.

Además, las compañías actuales deben cumplir normativas estrictas que rigen la seguridad y la integridad de la información crítica de la empresa. En un entorno dictaminado por la legislación relativa al cumplimiento –como las leyes Sarbanes-Oxley (SOX), Health Insurance Portability and Accountability Act (HIPAA) y Gramm-Leach-Bliley (GLB) en EE.UU.–, las actividades de supervisión y producción de informes engendran una carga adicional indirecta cuantiosa y muy cara. Usted necesita capacidad para poder responder rápidamente a los cambios del control de acceso y para satisfacer las demandas de recopilación de datos y generación de informes que contribuyen a mantener segura a su empresa.

Identity Manager está específicamente desarrollado para ayudarle a superar estas dificultades administrativas en un entorno dinámico. Al utilizar Identity Manager para distribuir la carga adicional indirecta que supone administrar el acceso y para acometer los retos del cumplimiento, aporta una solución a sus problemas primordiales: ¿cómo definir el acceso? Una vez definido, ¿cómo mantener la flexibilidad y el control?

Por su diseño seguro y flexible a la vez, puede configurar Identity Manager adaptándolo a la estructura de su empresa para solucionar estos problemas. La asignación de los objetos de Identity Manager a las entidades que usted administra (usuarios y recursos) le permite elevar drásticamente su eficiencia operativa.

En un entorno de proveedor de servicios, Identity Manager amplía estas capacidades para administrar también los usuarios de extranet.

Objetivos del sistema Identity Manager

La solución Identity Manager le permite cumplir los siguientes objetivos:

• Administrar el acceso a las cuentas para una enorme variedad de sistemas y recursos.

• Administrar de forma segura la información de cuenta dinámica para cada matriz de cuentas de usuario.

• Configurar derechos delegados para crear y administrar datos de cuentas de usuario.

• Gestionar grandes volúmenes de recursos empresariales y un número cada vez mayor de clientes y colaboradores de extranet.

• Autorizar el acceso seguro de los usuarios a los sistemas de información de la empresa. Identity Manager le proporciona funcionalidad completamente integrada para conceder, administrar y revocar privilegios de acceso en la totalidad de las organizaciones internas y externas.

• Mantener sincronizados los datos sin conservar los datos. La solución Identity Manager sustenta dos principios claves que deberían respetar las mejores herramientas de administración de sistemas:

  • El producto apenas debe causar impacto en el sistema que administra.

  • El producto no debe aumentar la complejidad de la empresa incorporando otro recurso que administrar.

  Definir directivas de auditoría para gestionar el cumplimiento con privilegios de acceso de usuario y administrar las infracciones automatizando las acciones de remediación y las alertas de correo electrónico.

• Efectuar revisiones de acceso periódicas y definir procedimientos de aprobación y de revisión de autenticación para automatizar el proceso de certificación de privilegios de usuario.

• Supervisar la información clave y auditar y revisar las estadísticas mediante el panel de control.

Definición del acceso de los usuarios a los recursos

Pueden ser usuarios de su empresa extendida todas las personas relacionadas con ella, incluidos empleados, clientes, colaboradores, proveedores o adquisiciones. En el sistema Identity Manager, los usuarios se representan con cuentas de usuario.

Según las relaciones que tengan con su empresa y otras entidades, los usuarios necesitarán acceso a distintas cosas, como sistemas informáticos, datos almacenados en bases de datos o aplicaciones informáticas concretas. En la terminología de Identity Manager, esas cosas se denominan recursos.

Como los usuarios suelen tener una o más identidades en cada recurso al que acceden, Identity Manager crea una única identidad virtual que se asigna a distintos recursos. Ello le permite administrar los usuarios como una única entidad. Consulte la Figura 1–1.

Figura 1–1 Relación entre los recursos de cuenta de usuario en Identity Manager

Para administrar eficazmente muchos usuarios, hay que agruparlos de una manera lógica. En la mayoría de las empresas, los usuarios se agrupan por departamentos funcionales o divisiones geográficas. Normalmente, cada uno de estos departamentos necesita acceso a diferentes recursos. En la terminología de Identity Manager, este tipo de grupo de denomina organización.

Otra manera de agrupar los usuarios es por características similares, como las relaciones con la empresa o las funciones del cargo. Estos agrupamientos se consideran roles en Identity Manager.

Dentro del sistema Identity Manager, se asignan roles a las cuentas de usuario para facilitar la habilitación e inhabilitación eficientes del acceso a los recursos. Asignar las cuentas a organizaciones permite una delegación eficiente de las responsabilidades administrativas.

Los usuarios de Identity Manager también se administran de forma directa o indirecta aplicando directivas, que determinan reglas, contraseñas y opciones de autenticación de los usuarios.

Tipos de usuario

Identity Manager ofrece dos tipos de usuario: usuarios de Identity Manager y usuarios de Service Provider, en caso de que configure el sistema Identity Manager para una implementación de proveedor de servicios. Estos tipos le permiten diferenciar usuarios que pueden tener distintos requisitos de abastecimiento según su relación con la empresa, por ejemplo, usuarios de extranet frente a usuarios de intranet.

Un escenario típico para una implementación de proveedor de servicios es una empresa proveedora de servicios que tiene usuarios internos y externos (clientes) que desea administrar mediante Identity Manager. Encontrará información para configurar una implementación de proveedor de servicios en la guía Sun Identity Manager Service Provider 8.1 Deployment .

El tipo de usuario de Identity Manager se especifica al configurar una cuenta de usuario. Para obtener más información sobre los usuarios de proveedor de servicios, consulte el Capítulo 17Administración de Service Provider.

Delegación de la administración

Para distribuir satisfactoriamente la responsabilidad de administrar identidades de usuario, necesita el equilibrio adecuado de flexibilidad y control. Si concede determinados privilegios de administración de usuarios y delega tareas administrativas en Identity Manager, reducirá la carga adicional indirecta y aumentará la eficiencia al depositar la responsabilidad de administrar las identidades en aquellas personas que mejor conocen las necesidades de los usuarios, por ejemplo, un gerente de contratación. Los usuarios que poseen estos privilegios ampliados se denominan administradores de Identity Manager.

Sin embargo, la delegación sigue un patrón de seguridad. Para conservar un control adecuado, Identity Manager le permite asignar distintos niveles de capacidades a los administradores. Las capacidades autorizan niveles variables de acceso y acciones dentro del sistema.

El modelo de flujo de trabajo de Identity Manager incluye además un método para garantizar que se exija aprobación a determinadas acciones. El flujo de trabajo permite a los administradores de Identity Manager ejercer control sobre las tareas y llevar un seguimiento de su evolución. Para obtener más información sobre el flujo de trabajo, consulte el Capítulo 1, Workflow de Sun Identity Manager Deployment Reference.