Acciones masivas de cuenta

En las cuentas de Identity Manager se pueden realizar diversas acciones masivas, lo que permite actuar sobre múltiples cuentas a la vez.

Es posible efectuar las siguientes acciones masivas:

• Delete. Elimina, anula asignaciones y desvincula las cuentas de recursos seleccionadas. Seleccione la opción “Cuenta de Identity Manager de destino” para eliminar también la cuenta de Identity Manager de cada usuario.

• Eliminar y desvincular. Elimina todas las cuentas de recursos seleccionadas y desvincula las cuentas de los usuarios.

• Inhabilitar. Inhabilita las cuentas de recursos seleccionadas. Seleccione la opción “Cuenta de Identity Manager de destino” para inhabilitar también la cuenta de Identity Manager de cada usuario.

• Habilitar. Habilita las cuentas de recursos seleccionadas. Seleccione la opción “Cuenta de Identity Manager de destino” para habilitar la cuenta de Identity Manager de cada usuario.

• Anular asignación, Desvincular. Desvincula las cuentas de recursos seleccionadas y suprime las asignaciones de cuentas de usuario de Identity Manager a esos recursos. Al anular una asignación no se elimina la cuenta del recurso. No puede anular la asignación de una cuenta que ha sido asignada indirectamente al usuario de Identity Manager mediante un rol o un grupo de recursos.

• Unlink. Suprime la asociación (vínculo) de una cuenta de recursos con la cuenta de usuario de Identity Manager. Al desvincular no se elimina la cuenta del recurso. Si desvincula una cuenta que ha sido asignada indirectamente al usuario de Identity Manager mediante un rol o un grupo de recursos, el vínculo puede restaurarse al actualizar el usuario.

Las acciones masivas funcionan de forma más eficaz si dispone de una lista de usuarios en un archivo o una aplicación, por ejemplo, un cliente de correo electrónico o un programa de hoja de cálculo. Puede copiar y pegar la lista en un campo de esta página de la interfaz o bien cargar la lista de usuarios desde un archivo.

La mayoría de estas acciones pueden realizarse en los resultados de una búsqueda de usuarios. Utilice la página Buscar usuarios (Cuentas -> Buscar usuarios) para buscar usuarios.

Puede guardar los resultados de una operación masiva de cuentas en un archivo CSV con sólo hacer clic en Descargar CSV cuando aparezcan los resultados de la tarea al terminarla.

Inicio de acciones masivas de cuenta

Para iniciar acciones masivas de cuenta

1. En la interfaz de administración, seleccione Cuentas en el menú principal.

2. Haga clic sobre Iniciar acciones masivas en el menú secundario.

3. Rellene el formulario y pulse Iniciar.

   Identity Manager inicia una tarea en segundo plano para realizar las acciones masivas.

   Para supervisar el estado de la tarea de acciones masivas, elija Tareas del servidor en el menú principal y después Todas las tareas.

Uso de listas de acciones

Puede especificar una lista de acciones masivas con un formato de valores separados por comas (CSV). Esto le permite ofrecer una combinación de diferentes tipos de acciones en una única lista de acciones. Además, puede especificar acciones de creación y actualización más complejas.

El formato CSV está formado por dos o más líneas de entrada. Cada línea consta de una lista de valores separados por comas. La primera línea contiene los nombres de los campos. Cada una de las líneas restantes corresponde a una acción que se debe efectuar en un usuario de Identity Manager, en las cuentas de recursos del usuario o en ambos elementos. Cada línea debe contener el mismo número de valores. Los valores vacíos dejarán sin modificar el valor del campo correspondiente.

Cualquier entrada de acción masiva en formato CSV tiene dos campos obligatorios:

• user. Contiene el nombre del usuario de Identity Manager.

• command. Contiene la acción que se aplica al el usuario de Identity Manager. Los comandos válidos son:

  • Delete. Elimina, anula asignaciones y desvincula las cuentas de recursos, la cuenta de Identity Manager o ambas.

  • DeleteAndUnlink. Elimina y desvincula cuentas de recursos.

  • Disable. Inhabilita las cuentas de recursos, la cuenta de Identity Manager o ambas.

  • Enable. Habilita las cuentas de recursos, la cuenta de Identity Manager o ambas.

  • Unassign. Anula asignaciones y desvincula las cuentas de recursos.

  • Unlink. Desvincula las cuentas de recursos.

  • Create. Crea la cuenta de Identity Manager. También crea de forma opcional cuentas de recursos.

  • Update. Actualiza la cuenta de Identity Manager. También crea, actualiza o elimina de forma opcional cuentas de recursos.

  • CreateOrUpdate. Realiza una acción de creación si la cuenta de Identity Manager no existe aún. De lo contrario, realiza una acción de actualización.

Comandos Delete, DeleteAndUnlink, Disable, Enable, Unassign y Unlink

Para efectuar acciones con los comandos Delete, DeleteAndUnlink, Disable, Enable, Unassign o Unlink, el único campo adicional que hace falta especificar es "resources". En el campo "resources" debe indicar qué cuentas de qué recursos resultarán afectadas.

El campo "resources" admite los siguientes valores:

• all. Procesa todas las cuentas de recursos, incluida la de Identity Manager.

• resonly. Procesa todas las cuentas de recursos excepto la de Identity Manager.

• nombre_recurso [ | nombre_recurso ... ]. Procesa las cuentas de recursos especificadas. Especifique Identity Manager para procesar la cuenta de Identity Manager.

A continuación se muestra un ejemplo del formato CSV para varias de estas acciones:

command,user,resources
Delete,John Doe,all
Disable,Jane Doe,resonly
Enable,Henry Smith,Identity Manager
Unlink,Jill Smith,Windows Active Directory|Solaris Server

Comandos Create, Update y CreateOrUpdate

Si va a realizar acciones con los comandos Create, Update o CreateOrUpdate, puede especificar campos de la vista de usuario además de los campos "user" y "command". Los nombres de campo utilizados son las expresiones de ruta de los atributos en las vistas. Encontrará información sobre los atributos disponibles en la vista de usuario dentro de User View Attributes de Sun Identity Manager Deployment Reference. Si está utilizando un formulario de usuario personalizado, los nombres de campo del formulario contienen algunas de las expresiones de ruta que puede utilizar.

Algunas de las expresiones de ruta más utilizadas en las acciones masivas son:

• waveset.roles. Una lista con uno o varios nombres de rol para asignarlos a la cuenta de Identity Manager.

• waveset.resources. Una lista con uno o varios nombres de recurso para asignarlos a la cuenta de Identity Manager.

• waveset.applications. Una lista con uno o varios nombres de rol para asignarlos a la cuenta de Identity Manager.

• waveset.organization. El nombre de la organización donde debe situarse la cuenta de Identity Manager.

• accounts[ nombre_recurso].nombre_atributo. Un atributo de cuenta de recursos. Los nombres de los atributos aparecen enumerados en el esquema del recurso.

Éste es un ejemplo de uso del formato CSV para realizar acciones de creación y actualización:

command,user,waveset.resources,password.password,
password.confirmPassword,accounts[Windows Active Directory].description,
accounts[Corporate Directory].location Create,John Doe,
Windows Active Directory|Solaris Server,changeit,changeit,John Doe - 888-555-5555,
Create,Jane Smith,Corporate Directory,changeit,changeit,,New York
CreateOrUpdate,Bill Jones,,,,,California

El comando CreateOrUpdate permite especificar un determinado tipo de cuenta en un recurso que admite varios tipos de cuenta. Por tanto, si un usuario tiene varias cuentas en un determinado recurso, cada una de las cuales puede ser de un tipo de cuenta distinto, el ejemplo siguiente ilustra cómo actualizar el tipo de cuenta admin para el usuario UserAye:

command,user,accounts[Sim1|admin].emailAddress
CreateOrUpdate,userAye,bbye8@example.com

---

Nota –

Aunque el comando CreateOrUpdate permite configurar atributos específicos de cuenta para las cuentas de un usuario, no olvide que los siguientes valores de la sección global de la vista del usuario se aplicarán a todas las cuentas especificadas:

• accountId

• email

• password

• disable

• Todos los atributos extendidos

En consecuencia, un comando BulkOps con el formato siguiente quizá no actúe como se espera.

command,user,accounts[Sim1].email
CreateOrUpdate,userAye,bbye8@example.com

Si userAye ya tiene un valor para email, dicho valor se aplicará al atributo email en el recurso Sim1. No es posible anular este comportamiento.

---

Campos con varios valores

Algunos campos pueden tener múltiples valores. Se les conoce como campos de varios valores. Por ejemplo, el campo waveset.resources puede utilizarse para asignar varios recursos a un usuario. Puede emplear el carácter de barra vertical o línea (|) para separar varios valores en un campo. La sintaxis de varios valores puede especificarse de la siguiente forma:

value0 | value1 [ | value2 ... ]

Al actualizar campos de varios valores en usuarios existentes, no es recomendable sustituir los valores actuales del campo por uno o varios valores nuevos. Es posible que desee eliminar algunos valores o agregar nuevos valores a los actuales. Puede utilizar directivas de campo para especificar cómo desea que se utilicen los valores del campo. Las directivas de campo anteceden al valor de campo y suelen ir entre caracteres de barra vertical:

|directive [ ; directive ] | field values

Puede elegir las siguientes directivas:

• Replace. Sustituye los valores actuales por los especificados. Ésta es la directiva predeterminada si no se ha especificado ninguna (o sólo se ha especificado la directiva List, Enumerar).

• Merge. Añade los valores especificados a los valores actuales. Los valores duplicados se filtran.

• Remove. Suprime los valores especificados de los valores actuales.

• List. Impone el valor del campo para que se utilice como si tuviera varios valores, aunque sólo tenga uno. Este directiva no suele ser necesaria, ya que la mayoría de los campos se controlan de forma adecuada, independientemente del número de valores. Ésta es la única directiva que puede especificarse con otra.

---

Nota –

En los valores de campo se diferencian mayúsculas de minúsculas. Debe tenerse en cuenta al especificar las directivas Merge (Fusionar) y Remove (Eliminar). Los valores deben coincidir de forma exacta parra eliminarlos correctamente o para impedir que haya varios valores similares al realizar una fusión.

---

Caracteres especiales en valores de campo

Si un valor de campo incluye una coma (,) o comillas ("), o si desea conservar los espacios iniciales o finales, deberá introducir el valor entre comillas ("valor_campo"). Deberá sustituir las comillas del valor de campo por dos caracteres de comillas ("). Por ejemplo, "John ""Johnny"" Smith" da como resultado el valor de campo John "Johnny" Smith.

Si un valor de campo contiene una barra vertical (|) o inclinada inversa (\), deberá preceder dicho carácter con una barra inclinada inversa (\| o \\).

Atributos de vista de acciones masivas

Cuando se realizan acciones con los comandos Create, Update o CreateOrUpdate, hay otros atributos de la vista de usuario que sólo están disponibles o utilizables al procesar acciones masivas. Se puede hacer referencia a estos atributos en el formulario de usuario para permitir un comportamiento específico en las acciones masivas.

Estos atributos son los siguientes:

• Los atributos waveset.bulk.fields.nombre_campo contienen los valores de los campos leídos en la entrada CSV, donde nombre_campo es el nombre del campo. Por ejemplo, los campos command y user se incluyen en los atributos con las expresiones de ruta waveset.bulk.fields.command y waveset.bulk.fields.user, respectivamente.

• Los atributos waveset.bulk.fieldDirectives.nombre_campo sólo se definen para los campos para los que se ha especificado una directiva. El valor es la cadena de la directiva.

• Configure el atributo booleano waveset.bulk.abort en el valor "true" para anular la acción actual.

• Configure el atributo waveset.bulk.abortMessage en una cadena de mensaje para que aparezca cuando waveset.bulk.abort se haya definido como "true". Si no se ha definido este atributo, se mostrará un mensaje de anulación genérico.

Reglas de correlación y confirmación

Utilice las reglas de correlación y confirmación cuando no disponga del nombre de usuario de Identity Manager para escribirlo en el campo usuario de sus acciones. Si no especifica un valor para el campo Usuario, deberá especificar una regla de correlación al iniciar la acción en masa. Si especifica un valor para el campo Usuario, las reglas de correlación y confirmación no se evaluarán para esa acción.

Una regla de correlación busca los usuarios de Identity Manager que coinciden con los campos de la acción. Una regla de confirmación prueba un usuario de Identity Manager con respecto a los campos de la acción para determinar si coincide o no. Este tratamiento bifásico permite a Identity Manager mejorar la correlación, ya que encuentra rápidamente a posibles usuarios (según el nombre o los atributos) y realiza comprobaciones costosas solamente en el caso de posibles usuarios.

Cree una regla de correlación o de confirmación creando un objeto de regla con un subtipo de SUBTYPE_ACCOUNT_CORRELATION_RULE o SUBTYPE_ACCOUNT_CONFIRMATION_RULE, respectivamente.

Para obtener más información sobre las reglas de correlación y de confirmación, consulte el Capítulo 3, Data Loading and Synchronization de Sun Identity Manager Deployment Guide.

Reglas de correlación

El valor de entrada de una regla de correlación es una asignación de los campos de acción. La salida debe ser uno de los siguientes:

• Cadena (con un nombre o ID de usuario)

• Lista de elementos de cadena (un ID o nombre de usuario cada uno)

• Lista de elementos de WSAttribute

• Lista de elementos de AttributeCondition

Una regla de correlación típica genera una lista de nombres de usuario según los valores de los campos de la acción. Una regla de correlación también puede generar una lista de condiciones de atributo (relacionadas con los atributos de solicitud de Type.USER) que se utilizarán para seleccionar usuarios.

Una regla de correlación debe ser relativamente económica pero lo más selectiva posible. Si es posible, deje el procesamiento costoso para una regla de confirmación.

Las condiciones de atributo deben hacer referencia a atributos de Type.USER que puedan solicitarse. Se configuran en el objeto de configuración de Identity Manager denominado IDM Schema Configuration.

Para realizar la correlación en un atributo extendido es necesario una configuración especial:

El atributo extendido debe especificarse como consultable.

Para configurar como consultable un atributo extendido

1. Abra IDM Schema Configuration. Necesita la capacidad de IDM Schema Configuration para ver o editar IDM Schema Configuration.

2. Busque el elemento <IDMObjectClassConfiguration name=’Usuario’> .

3. Busque el elemento <IDMObjectClassAttributeConfiguration name=’ xyz ’>, donde xyz es el nombre del atributo que desea configurar como consultable.

4. Configure queryable=’true’

   En Reglas de correlación, el atributo extendido email se define como consultable.

---

Ejemplo 3–1 Extracto de XML donde se define el atributo extendido email como consultable

<IDMSchemaConfiguration>
  <IDMAttributeConfigurations>
    <IDMAttributeConfiguration name=’email’ syntax=’STRING’/>
    </IDMAttributeConfiguration>
  </IDMAttributeConfigurations>
  <IDMObjectClassConfigurations>
    <IDMObjectClassConfiguration name=’User’ extends=’Principal’ description=’User description’>
      <IDMObjectClassAttributeConfiguration name=’email’ queryable=’true’/>
    </IDMObjectClassConfiguration>
  </IDMObjectClassConfigurations>
 </IDMSchemaConfiguration>

Para que el cambio de IDM Schema Configuration surta efecto, debe reiniciar la aplicación de Identity Manager (o el servidor de aplicaciones).

---

Reglas de confirmación

En cualquier regla de confirmación las entradas son así:

• Use userview para una vista completa de un usuario de Identity Manager.

• Use account para una asignación de campos de acción.

Una regla de confirmación devuelve un valor booleano en forma de cadena de “verdadero” si el usuario coincide con los campos de acción. Si no es así, el valor que devuelve es “falso”.

Una regla de confirmación típica compara los valores internos de la vista del usuario con los valores de los campos de acción. Como segunda fase opcional en el procesamiento de correlación, la regla de confirmación realiza una comprobación que no se puede expresar en una regla de correlación (o que es demasiado costosa para evaluarla en una regla de correlación).

En general, sólo se necesita una regla de confirmación en los siguientes casos:

• La regla de correlación puede devolver más de un usuario coincidente.

• Los valores de usuario que deben compararse no son consultables.

Una regla de confirmación se ejecuta una vez para cada usuario coincidente devuelto por la regla de correlación.