Objetos de Identity Manager

Para administrar e implementar satisfactoriamente el sistema, es fundamental tener una visión nítida de los objetos de Identity Manager y cómo interactúan. Estos objetos son:

• Cuentas de usuario de Identity Manager

• Roles de Identity Manager

• Recursos y grupos de recursos

• Organizaciones y organizaciones virtuales

• Uniones de directorios

• Capacidades de Identity Manager

• Roles de administrador

• Directivas de Identity Manager

• Directivas de auditoría

• Relaciones entre objetos

---

Nota –

Al asignar nombre a los objetos de Identity Manager, no utilice los caracteres siguientes:

’ (apóstrofo), .. (punto), |(línea), [ (corchete izquierdo), ] (corchete derecho), , (coma), : (dos puntos), $ (símbolo de dólar), " (comillas), \ (barra inclinada inversa) y = (signo de igual).

También deben evitarse los caracteres siguientes: _ (subrayado), % (porcentaje), ^ (acento circunflejo) y * (almohadilla).

---

Cuentas de usuario de Identity Manager

Un usuario es cualquiera que detente una cuenta del sistema Identity Manager. Identity Manager almacena diversos datos para cada usuario. En conjunto, esta información constituye una identidad de Identity Manager de un usuario.

Cuentas de usuario de Identity Manager

• Proporcionan a los usuarios acceso a uno o varios recursos, y administran los datos de las cuentas de usuario en esos recursos.

• Se les asignan roles, que condicionan el acceso de cada usuario a los distintos recursos.

• Forman parte de una organización, que determina cómo y quién administra las cuentas de usuario.

Configurar una cuenta de usuario es un proceso dinámico. Según los roles que seleccione al configurar la cuenta, podrá suministrar información de recurso más o menos específica para crear la cuenta. El número y el tipo de recursos asociados al rol asignado determinan la cantidad de información necesaria para crear la cuenta.

Los administradores son usuarios que poseen privilegios adicionales para administrar cuentas de usuario, recursos y otros objetos y tareas del sistema Identity Manager. Los administradores de Identity Manager gestionan las organizaciones y se les asigna una gama de capacidades que se aplican a los objetos en cada organización administrada.

Para obtener más información sobre las cuentas de usuario, consulte el Capítulo 3Administración de usuarios y de cuentas. Para obtener más información sobre las cuentas de administrador, consulte el Capítulo 6Administración.

Roles de Identity Manager

Un rol es un objeto de Identity Manager que permite agrupar los derechos de acceso a los recursos y asignarlos eficazmente a los usuarios. Los roles se organizan en cuatro tipos:

• Roles de negocio

• Roles de TI

• Aplicaciones

• Activos

Los roles de negocio sirven para organizar en grupos los derechos de acceso que necesitan las personas que realizan tareas similares en una organización. Los roles de negocio suelen representar funciones de tareas de usuario.

Los roles de TI, las aplicaciones y los activos organizan los derechos de recursos (o derechos de acceso) en grupos. Para proporcionar a los usuarios acceso a los recursos, los roles de negocio se asignan a roles de TI, aplicaciones y activos, lo que permite a los usuarios acceder a los recursos que necesitan para realizar sus tareas.

Los roles de TI, las aplicaciones y los activos pueden ser requeridos, condicionales u opcionales.

• Los roles requeridos se asignan siempre al usuario.

• Los roles condicionales tienen condiciones que deben evaluarse como verdaderas para poder ser asignados.

• Los roles opcionales se pueden solicitar por separado y, una vez aprobados, asignar al usuario.

Como los roles pueden ser condicionales u opcionales, los usuarios que tienen la misma descripción general de tareas pueden tener el mismo rol de negocio y, sin embargo, poseer derechos de acceso diferentes. Ello permite a un diseñador de roles de negocio definir un acceso genérico a los roles para cumplir las normativas, dejando flexibilidad al administrador para definir con precisión los derechos de acceso del usuario. Así no hace falta definir un nuevo rol de negocio cada vez que cambian las necesidades de acceso en la empresa, problema que se conoce como explosión de roles.

A un usuario se le puede asignar un rol, varios o ninguno.

---

Nota –

Para obtener más información sobre los roles, consulte Conceptos y administración de roles.

---

Recursos y grupos de recursos

Identity Manager almacena información sobre cómo conectarse a un recurso o un sistema. Los recursos a los que Identity Manager proporciona acceso incluyen:

• Recursos digitales, como:

  • Administradores de seguridad de sistemas centrales (mainframe)

  • Bases de datos

  • Servicios de directorio (como LDAP)

  • Aplicaciones

  • Sistemas operativos

  • Sistemas ERP (como SAP^TM)

• Recursos no digitales o externos a Identity Manager, por ejemplo:

  • Teléfonos móviles

  • Equipos de sobremesa

  • Equipos portátiles

  • Identificadores de seguridad

Cada recurso de Identity Manager almacena los siguientes tipos de información:

• Parámetros de recurso

• Parámetros de Identity Manager

• Información de cuenta (incluidos los atributos de cuenta y la plantilla de identidad)

Hay dos formas de asignar recursos a los usuarios: directamente (asignación individual o directa) o bien asignando el recurso a un rol, que a su vez se asigna a un recurso (asignación basada en roles o indirecta).

• Asignación individual. Los distintos recursos se asignan directamente a las cuentas de usuario.

• Asignación basada en roles. Uno o más recursos se asignan a un rol (aplicación, activo o rol de TI). A continuación, la aplicación, el activo o el rol de TI se asigna a un rol de negocio. Por último, se asignan uno o más roles de negocio a una cuenta de usuario.

Un objeto relacionado de Identity Manager, el grupo de recursos, se puede asignar a las cuentas de usuario del mismo modo que los recursos. Los grupos de recursos correlacionan los recursos para que pueda crear cuentas por un orden concreto en los recursos. También simplifican el proceso de asignación de múltiples recursos a las cuentas de usuario.

Para obtener más información sobre los grupos de recursos, consulte Grupos de recursos.

Organizaciones y organizaciones virtuales

Las organizaciones son contenedores de Identity Manager que sirven para habilitar la delegación administrativa. Definen el ámbito de las entidades que administra o controla un administrador de Identity Manager.

Las organizaciones también pueden representar vínculos a recursos basados en directorios. En tal caso, se denominan organizaciones virtuales. Las organizaciones virtuales permiten administrar directamente los datos de los recursos sin cargar información en el depósito de Identity Manager. Con una organización virtual, Identity Manager refleja la estructura de directorios existente y la afiliación de usuarios y, en consecuencia, elimina las tareas de configuración repetidas y lentas.

Las organizaciones que a su vez contienen a otras organizaciones se denominan organizaciones principales. Las organizaciones se pueden crear con estructura plana o jerárquica. La jerarquía puede representar departamentos, áreas geográficas u otras divisiones lógicas por las que se administran las cuentas de usuario.

Para obtener más información sobre las organizaciones, consulte Qué son las organizaciones en Identity Manager.

Uniones de directorios

Una unión de directorios es un conjunto de organizaciones relacionadas jerárquicamente que refleja el conjunto real de contenedores jerárquicos de recursos de directorio. Un recurso de directorio es aquél que utiliza un espacio de nombre jerárquico mediante contenedores jerárquicos. Entre los ejemplos de recursos de directorio tenemos los servidores LDAP y los recursos de Windows Active Directory.

Cada organización de una unión de directorios constituye una organización virtual. La organización virtual que ocupa la cima de una unión de directorios refleja el contenedor que representa el contexto base definido en el recurso. Las demás organizaciones virtuales de una unión de directorios son organizaciones secundarias directas o indirectas de la organización virtual principal y también reflejan uno de los contenedores de recurso de directorio que son secundarios respecto al contenedor del contexto base del recurso definido.

Puede afiliar los usuarios de Identity Manager a una organización virtual y ponerlos a su disposición igual que si fuera una organización física.

Para obtener más información sobre las uniones de directorios, consulte Uniones de directorios y organizaciones virtuales.

Capacidades de Identity Manager

A cada usuario se le pueden asignar capacidades, o grupos de derechos, para permitirle realizar acciones administrativas en Identity Manager. Las capacidades permiten a los usuarios administrativos efectuar determinadas tareas en el sistema y actuar sobre los objetos de Identity Manager.

Las capacidades se asignan normalmente según responsabilidades de tareas específicas, como reinicialización de contraseñas o aprobación de cuentas. Al asignar capacidades y derechos a usuarios individuales, crea una estructura administrativa jerárquica que proporciona acceso y privilegios focalizados sin riesgo para la seguridad de los datos.

Identity Manager ofrece un conjunto de capacidades predeterminadas para funciones administrativas habituales. También puede crear y asignar capacidades que respondan a sus necesidades concretas.

Para obtener más información sobre las capacidades, consulte Conceptos y administración de capacidades.

Roles de administrador

Los roles de administrador de Identity Manager le permiten definir un conjunto único de capacidades para cada conjunto de organizaciones gestionadas por un usuario administrativo. A un rol de administrador se le asignan capacidades y organizaciones controladas, que a su vez pueden asignarse a un usuario administrativo.

Las capacidades y organizaciones controladas pueden asignarse directamente a un rol de administrador. También se pueden asignar indirectamente (dinámicamente) cada vez que el usuario administrativo inicia una sesión en Identity Manager. Las reglas de Identity Manager controlan la asignación dinámica.

Para obtener más información sobre los roles de administrador, consulte Conceptos y administración de roles de admin.

Directivas de Identity Manager

Las directivas establecen limitaciones para los usuarios de Identity Manager mediante la definición de restricciones sobre las características de ID de cuenta, inicio de sesión y contraseña. Las directivas de cuentas del sistema Identity definen opciones y restricciones de directivas de usuario, contraseña y autenticación. Las directivas de contraseñas de recurso y de ID de cuenta definen las reglas de longitud y de tipo de caracteres, además de las palabras permitidas y los valores de atributo. Una directiva de diccionario permite a Identity Auditor comparar las contraseñas con una base de datos de palabras para asegurarse de que estén protegidas frente a posibles ataques simples de diccionario.

Para obtener más información sobre las directivas, consulte ¿Qué son las directivas?.

Directivas de auditoría

A diferencia de otras directivas del sistema, una directiva de auditoría define una infracción de directiva para un grupo de usuarios de un recurso determinado. Las directivas de auditoría establecen una o varias reglas con las que se evalúa a los usuarios para detectar infracciones de cumplimiento. Estas reglas dependen de condiciones basadas en uno o varios atributos definidos por un recurso. Cuando el sistema analiza un usuario, aplica los criterios definidos en las directivas de auditoría asignadas a dicho usuario para averiguar si se han producido infracciones de cumplimiento.

Para obtener más información sobre las directivas de auditoría, consulte Qué son las directivas de auditoría.

Relaciones entre objetos

En la tabla siguiente se resumen los objetos de Identity Manager y sus relaciones.

Tabla 1–1 Relaciones entre objetos de Identity Manager

Objeto de Identity Manager	¿Qué es?	¿Dónde se usa?
Cuenta de usuario	Una cuenta en Identity Manager y en uno o más recursos. Los datos de usuario se pueden cargar en Identity Manager desde los recursos.  Una clase especial de usuarios, los administradores de Identity Manager, tienen privilegios extendidos.	Rol. En general, a cada cuenta de usuario se le asigna uno o varios roles. Organización. Las cuentas de usuario se estructuran jerárquicamente dentro de una organización. Los administradores de Identity Manager además gestionan las organizaciones. Recurso. Los distintos recursos se pueden asignar a cuentas de usuario. Capacidad. A los administradores se le asignan capacidades para las organizaciones que gestionan.
Rol	Los roles de negocio sirven para organizar en grupos los derechos de acceso que necesitan las personas que realizan tareas similares en una organización. Los roles de aplicaciones y de TI agrupan los recursos para poder asignarlos a los usuarios mediante roles de negocio. Las asignaciones de recursos basadas en roles simplifican la administración de recursos en las organizaciones grandes.	Recursos y grupos de recursos. Los recursos y grupos de recursos se asignan a roles de activos, aplicaciones y TI. Cuenta de usuario. Las cuentas de usuario con características similares se asignan a roles de negocio. Roles de activos, de aplicaciones y de TI, Los roles de activos, de aplicaciones y de TI se asignan a roles de negocio.
Recurso	Almacena información sobre un sistema, aplicación u otro recurso donde se administran cuentas.	Rol. Los recursos se asignan a aplicaciones y roles de TI, que a su vez se asignan a roles de negocio. Una cuenta de usuario hereda libremente el acceso a los recursos de sus asignaciones de roles de negocio. Cuenta de usuario. Los recursos se pueden asignar individualmente a cuentas de usuario.
Grupo de recursos	Grupo ordenado de recursos.	Rol. Los grupos de recursos se asignan a roles; una cuenta de usuario hereda libremente el acceso a los recursos de sus asignaciones de roles de negocio. Cuenta de usuario. Los grupos de recursos se pueden asignar directamente a cuentas de usuario.
Organización	Define el ámbito de las entidades que gestiona un administrador; es jerárquica.	Recurso. Los administradores de una organización pueden tener acceso a algunos o todos los recursos. Administrador. Las organizaciones están gestionadas (controladas) por los usuarios que poseen privilegios administrativos. Los administradores pueden gestionar una o varias organizaciones. Los privilegios administrativos de una organización se transmiten a sus organizaciones secundarias. Cuenta de usuario. Cada cuenta de usuario se puede asignar a una organización de Identity Manager y a una o varias organizaciones de directorios.
Unión de directorios	Conjunto de organizaciones relacionadas jerárquicamente que refleja el conjunto real de contenedores jerárquicos de recursos de directorio.	Organización. Cada organización de una unión de directorios constituye una organización virtual.
Rol de administrador (Admin)	Define un conjunto único de capacidades para cada conjunto de organizaciones asignadas a un administrador.	Administrador. Los roles de administrador se asignan a administradores. Capacidades y organizaciones. Las capacidades y organizaciones se asignan directa o indirectamente (dinámicamente) a roles de administrador.
Capacidad	Define un grupo de derechos del sistema.	Administrador. Las capacidades se asignan a administradores.
Directiva	Define límites de contraseña y autenticación.	Cuenta de usuario. Las directivas se asignan a cuentas de usuario. Organización. Las directivas se asignan o transmiten por herencia a las organizaciones.
Directiva de auditoría	Establece reglas con las que se evalúa a los usuarios para detectar infracciones de cumplimiento.	Cuenta de usuario. Las directivas de auditoría se asignan a cuentas de usuario. Organización. Las directivas de auditoría se asignan a organizaciones.