En este capítulo se tratan los roles y recursos de Identity Manager.
Se ha dividido en los temas siguientes:
En esta sección encontrará información para configurar los roles en Identity Manager. Las asignaciones de recursos basadas en roles simplifican drásticamente la administración de recursos en las organizaciones grandes.
No hay que confundir los roles y los roles de administrador. Los roles sirven para gestionar el acceso de los usuarios finales a los recursos externos. En cambio, los roles de administrador se utilizan principalmente para gestionar el acceso del administrador a los objetos internos de Identity Manager, como usuarios, organizaciones y capacidades.
Aquí nos ocuparemos de los roles. Encontrará información sobre los roles de administrador en Conceptos y administración de roles de admin.
Un rol es un objeto de Identity Manager que permite agrupar los derechos de acceso a los recursos y asignarlos eficazmente a los usuarios.
Los roles se organizan en cuatro tipos:
Roles de negocio
Roles de TI
Aplicaciones
Activos
Los roles de negocio sirven para organizar en grupos los derechos de acceso que necesitan las personas que realizan tareas similares en una organización. Los roles de negocio suelen representar funciones de tareas de usuario. Por ejemplo, en una institución financiera, los roles de negocio podrían corresponder a funciones de trabajo como cajero, responsable de préstamos, director de sucursal, secretario, contable o auxiliar administrativo.
Los roles de TI, las aplicaciones y los activos organizan los derechos de recursos en grupos. Para proporcionar a los usuarios finales acceso a los recursos, los roles de negocio se asignan a roles de TI, aplicaciones y activos, lo que permite a los usuarios acceder a los recursos que necesitan para realizar sus tareas. Los roles de TI contienen un conjunto específico de aplicaciones, activos o recursos, incluidos derechos concretos sobre los recursos asignados. Los roles de TI también pueden contener otros roles de TI.
El concepto de tipos de roles nuevo en la versión 8.0 de Identity Manager. Si su organización ha actualizado a esta versión desde otra anterior de Identity Manager, sus roles anteriores se habrán importado como roles de TI. Para obtener más información, consulte Administración de roles creados en versiones anteriores a la 8.0.
Los roles de TI, las aplicaciones y los activos pueden ser requeridos, condicionales u opcionales.
Los roles requeridos se asignan siempre a usuarios finales.
Los roles condicionales tienen condiciones que deben evaluarse como verdaderas para poder ser asignados.
Los roles opcionales se pueden solicitar por separado y, una vez aprobados, asignar a los usuarios finales.
Los roles requeridos, condicionales y opcionales permiten a un diseñador de roles de negocio definir un acceso genérico a los roles contenidos para cumplir las normativas, dejando flexibilidad al administrador para definir con precisión los derechos de acceso del usuario final. Los usuarios que tienen asignados roles condicionales u opcionales pueden compartir el mismo rol de negocio asignado, pero tienen asignados derechos de acceso distintos. Así no hace falta definir un nuevo rol de negocio cada vez que cambian las necesidades de acceso dentro de la organización (problema que se conoce como explosión de roles).
A continuación se explica cómo usar los roles con eficacia. Los tipos de roles se describen en la sección anterior.
En las organizaciones que han actualizado desde versiones de Identity Manager anteriores a la 8.0, sus roles anteriores se convertirán automáticamente en roles de TI. Estos roles de TI permanecerán asignados directamente a los usuarios. En el proceso de actualización no se asignará ningún propietario de roles a los roles anteriores, aunque sí es posible asignárselo después. (Encontrará información sobre los propietarios de roles en Designación de propietarios y aprobadores de roles.)
De manera predeterminada, las organizaciones que actualizan a la versión 8.0 pueden asignar a los usuarios directamente tanto roles de TI como de negocio (consulte la Figura 5–2).
A las organizaciones que tienen roles anteriores quizá les interese crear nuevos roles con las instrucciones indicadas en la próxima sección.
Los roles de TI, aplicaciones y activos son las piezas fundamentales de los diseñadores de roles. Estos tres tipos de roles se combinan para confeccionar derechos de usuario (o derechos de acceso). Después, los roles de TI, aplicaciones y activos se asignan a roles de negocio.
En Identity Manager, a un usuario se le puede asignar un rol, varios o ninguno. Con la introducción de los tipos de roles en Identity Manager 8.0, se recomienda sólo asignar directamente roles de negocio a los usuarios. De manera predeterminada, no es posible asignar directamente ningún otro tipo de rol a los usuarios, salvo que previamente se tuviera instalada una versión de Identity Manager anterior y se haya actualizado a la versión 8.0. Esta restricción predeterminada se puede cambiar modificando el objeto de configuración de rol (Configuración de tipos de roles).
Para evitar mayor complejidad, los roles de negocio no pueden anidarse. Es decir, un rol de negocio no puede contener a su vez otros roles de negocio. Además, los roles de negocio no pueden contener directamente recursos ni grupos de recursos. En vez de ello, los recursos y grupos de recursos deben asignarse a un rol de TI o una aplicación, que entonces pueden asignarse a uno o más roles de negocio.
Los roles de TI pueden contener aplicaciones, activos y otros roles de TI. Los roles de TI también pueden contener recursos y grupos de recursos.
Los roles de TI deben ser creados y administrados por el personal de TI de la organización o por los propietarios del recurso que conocen los derechos necesarios para habilitar privilegios concretos dentro del recurso.
Las aplicaciones y activos son tipos de roles concebidos para representar términos de negocio habituales descriptivos de lo que necesitan los usuarios finales para realizar sus trabajos. Por ejemplo, un rol de aplicación podría denominarse “Herramientas de atención al cliente” o “Herramienta admin. HHRR Intranet“.
Las aplicaciones no pueden contener roles, pero sí recursos y grupos de recursos. Las aplicaciones también pueden definir derechos específicos que restrinjan el acceso únicamente a determinadas aplicaciones en los recursos contenidos.
Los activos suelen ser recursos no conectados o no digitales que requieren abastecimiento manual, como teléfonos móviles y equipos portátiles. Por tanto, los activos no pueden contener roles, recursos ni grupos de recursos.
Las aplicaciones y los activos están pensados para asignarse a roles de negocio y de TI.
A los administradores de roles se les asigna una o varias de las siguientes capacidades:
Administrador de activos
Administrador de aplicaciones
Administrador de roles de negocio
Administrador de roles de TI
Para obtener más información, consulte Asignación de capacidades a usuarios.
En la figura siguiente se resumen los tipos de roles, recursos y grupos de recursos que pueden asignarse a cada uno de los cuatro tipos de roles. La figura también muestra que es posible asignar exclusiones de tipos de roles a los cuatro tipos de roles. (Las exclusiones de roles se tratan en Para asignar recursos y grupos de recursos.)
Los roles contenidos opcionales, condicionales y requeridos (¿Qué son los roles?) aumentan la flexibilidad. Las definiciones de roles flexibles pueden reducir el número total de roles que necesita administrar la organización.
La Figura 5–2 muestra que los roles de negocio y de TI pueden asignarse directamente a los usuarios si se ha actualizado a la versión 8.0 una versión anterior de Identity Manager. Al actualizar, los roles anteriores se convierten en roles de TI y, para garantizar la compatibilidad con versiones anteriores, los roles de TI se asignan directamente a los usuarios. Si Identity Manager no se ha actualizado desde una versión anterior a la 8.0, sólo se podrán asignar directamente a los usuarios roles de negocio.
En esta sección se explica cómo crear roles a lo largo de los siguientes apartados:
Dentro de Uso de tipos de roles para diseñar roles flexibles encontrará consejos para diseñar roles.
Cuando se crea o edita un rol, Identity Manager inicia el flujo de trabajo ManageRole. Este flujo de trabajo guarda el rol nuevo o actualizado en el depósito y le permite insertar aprobaciones u otras acciones antes de crear o guardar el rol.
En la interfaz de administración, seleccione Roles en el menú principal.
Aparece la página Roles (ficha Listar roles).
Haga clic en Nuevo en la parte inferior de la página.
Aparece la página Crear rol de TI. Para crear otro tipo de rol, use el menú desplegable Tipo.
Rellene los campos del formulario de la ficha Identidad.
La figura siguiente muestra la ficha Identidad.
Rellene los campos del formulario de la ficha Recursos (si procede. Encontrará ayuda para rellenar los campos de esta ficha en la ayuda en línea y en el apartado Para asignar recursos y grupos de recursos.
Para aprender a definir valores de atributos extendidos en los roles, consulte el apartado Para ver o editar atributos de cuentas de recursos.
La figura siguiente muestra la ficha Recursos.
Rellene los campos del formulario de la ficha Recursos (si procede). Encontrará ayuda para rellenar los campos de esta ficha en la ayuda en línea y en el apartado Para asignar roles y exclusiones de roles.
La Figura 5–6 muestra la ficha Roles.
Rellene los campos del formulario de la ficha Seguridad. Encontrará ayuda para rellenar los campos de esta ficha en la ayuda en línea y en los apartados Designación de propietarios y aprobadores de roles y Designación de notificaciones.
Designación de propietarios y aprobadores de roles muestra la ficha Seguridad.
Haga clic en Guardar en la parte inferior de la página.
Introduza un nombre y una descripción del rol en la ficha Identidad del formulario de creación de roles. Si va a crear un rol nuevo, seleccione el tipo en el menú desplegable Tipo.
La Figura 5–4 muestra el área Identidad de la ficha Identidad del formulario de creación de roles. En la ayuda en línea se explica cómo utilizar este formulario.
Los recursos y grupos de recursos pueden asignarse directamente a roles de TI y de aplicación en la ficha Recursos del formulario de creación de roles. Los recursos se describen más adelante en la sección Conceptos y administración de recursos de Identity Manager. Los grupos de recursos se describen en la sección Grupos de recursos.
Los recursos y grupos de recursos no se pueden asignar directamente a los roles de negocio, porque a los roles de negocio sólo se les pueden asignar roles de negocio.
Los recursos y grupos de recursos no se pueden asignar a roles de activo, ya que los roles de activo se reservan para los recursos no conectados o no digitales que requieren abastecimiento manual.
A continuación se explica cómo asignar recursos y grupos de recursos a un rol al rellenar el formulario de creación de roles. Consulte el procedimiento inicial en Para crear roles con el formulario de creación de roles.
Haga clic en la ficha Recursos de la página Crear rol.
Para asignar un recurso, selecciónelo en la columna Recursos disponibles y trasládelo a la columna Recursos vigentes mediante los botones de flecha.
Si va a asignar varios recursos, puede especificar el orden en el que se actualizarán: seleccione la casilla Actualizar recursos en orden y utilice los botones + y - para cambiar el orden de los recursos en la columna Recursos vigentes.
Para asignar un grupo de recursos a este rol, selecciónelo en la columna Grupos disponibles de recursos y trasládelo a la columna Grupos vigentes de recursos mediante los botones de flecha. Un grupo de recursos es un conjunto de recursos que ofrece otra manera de especificar el orden en que se crean y actualizan las cuentas de recursos.
Para especificar atributos de cuenta para este rol en función del recurso, haga clic en Configurar valores de atributo dentro de la sección Recursos asignados. Encontrará más información en el apartado Para ver o editar atributos de cuentas de recursos.
Pulse Guardar para guardar el rol, o bien haga clic en las fichas Identidad, Roles o Seguridad para proseguir con el proceso de creación de roles.
La figura siguiente muestra la ficha Recursos del formulario de creación de roles.
Utilice la tabla Recursos asignados para definir o modificar valores de atributos de recursos asignados a un rol. Un recurso puede adoptar distintos valores de atributo por rol. Al pulsar el botón Configurar valores de atributo, aparece la página Atributos de cuentas de recursos.
La figura siguiente muestra la página Atributos de cuentas de recursos, que sirve para definir valores de atributo extendidos en los recursos asignados a un rol.
En la página Atributos de cuentas de recursos, especifique nuevos valores para cada atributo y cómo se definen los valores.
Identity Manager permite configurar los valores directamente o aplicando una regla, y ofrece diversas opciones para sustituir los valores existentes o fusionarlos con otros. Encontrará información general sobre los valores de atributos de recursos en el apartado Para ver o editar atributos de cuentas de recursos.
Utilice las opciones siguientes para establecer los valores de cada atributo de cuenta de recursos.
Toma de precedencia sobre valor. Elija una de estas opciones:
Ninguno (valor predeterminado). No se establece ningún valor.
Regla. Utiliza una regla para definir el valor.
Si selecciona esta opción, debe seleccionar también un nombre de regla de la lista.
Texto. Utiliza el texto especificado para definir el valor.
Si elige esta opción, deberá introducir el texto en el campo Texto adyacente.
Cómo configurar. Elija una de estas opciones:
Valor predeterminado. Define la regla o texto como el valor de atributo predeterminado.
El usuario puede cambiar o sustituir este valor.
Definir como valor. Define el valor de atributo en la forma especificada por la regla o texto.
Se definirá el valor y se sustituirán todos los cambios del usuario.
Combinar con valor. Fusiona el valor de atributo actual con los valores especificados por la regla o el texto.
Combinar con valor, eliminar valor existente. Elimina los valores de atributo actuales, y define el valor como una combinación de los valores especificados por éste y otros roles asignados.
Suprimir de valor. Elimina el valor especificado por la regla o el texto del valor de atributo.
Configuración autoritativa a valor. Define el valor de atributo en la forma especificada por la regla o texto.
Se definirá el valor y se sustituirán todos los cambios del usuario. Si elimina el rol, el nuevo valor será nulo, aunque haya existido anteriormente en el atributo.
Combinación autoritativa con valor. Fusiona el valor de atributo actual con los valores especificados por la regla o el texto.
Al eliminar el rol, se suprime el valor asignado al asignar el rol y el valor original del atributo permanece intacto.
Combinación autoritativa con valor, eliminar valor existente. Elimina los valores de atributo actuales, y define el valor como una combinación de los valores especificados por éste y otros roles asignados.
Si se ha eliminado el rol, borra el valor de atributo especificado por ese rol, aunque haya existido anteriormente en el atributo.
Nombre de regla. Si selecciona Regla en el área de sustitución de valores, debe seleccionar también una regla de la lista.
Texto. Si ha seleccionado "Texto" en el área de sustitución de valores, introduzca un texto para añadirlo al valor de atributo, eliminarlo o utilizarlo como valor.
Haga clic en Aceptar para guardar los cambios y regresar a la página de creación o edición de roles.
Los roles se pueden asignar a roles de negocio y a roles de TI con la ficha Roles del formulario Crear rol. Los roles asignados deben incluirse en la tabla Roles contenidos.
No se pueden asignar roles a roles de aplicación ni de activo.
Los roles de negocio no se pueden asignar a ningún tipo de rol.
Las exclusiones de roles pueden asignarse a los cuatro tipos de roles en la ficha Roles del formulario de creación de roles. Si un usuario tiene asignado un rol con una exclusión de rol, el rol excluido no se puede asignar a dicho usuario. Las exclusiones de roles deben incluirse en la tabla Exclusiones de rol.
A continuación se explica cómo asignar uno o varios recursos a un rol al rellenar el formulario de creación de roles. Consulte el procedimiento inicial en Para crear roles con el formulario de creación de roles.
Para rellenar la ficha Roles
Haga clic en la ficha Roles de la página Crear rol.
Seleccione Agregar en la sección Roles contenidos.
La ficha se actualiza con el formulario Buscar roles para contener.
Busque el rol o roles que desea asignar a éste. Empiece por los roles requeridos. (Después añadirá los roles condicionales y opcionales.)
Encontrará información sobre el uso del formulario de búsqueda en el apartado Para buscar roles. Los roles de negocio no se pueden anidar ni asignar a otros tipos de roles.
Seleccione los roles que desea asignar mediante las casillas de verificación y después pulse Agregar.
La ficha se actualiza con el formulario Agregar rol contenido.
En el menú desplegable Tipo de asociación, elija el tipo de rol requerido (o condicional u opcional, según proceda).
Haga clic en Aceptar.
Repita los cuatro pasos anteriores para agregar roles condicionales (en su caso). Repita los cuatro pasos anteriores para agregar roles opcionales (en su caso).
Pulse Guardar para guardar el rol, o bien haga clic en las fichas Identidad, Recursos o Seguridad para proseguir con el proceso de creación de roles.
La Figura 5–6 ilustra la ficha Roles del formulario de creación de roles. En la ayuda en línea se explica cómo utilizar este formulario.
Los roles tienen propietarios y aprobadores designados. Sólo los propietarios de roles pueden autorizar modificaciones en los parámetros que definen el rol, mientras que sólo los aprobadores de roles pueden autorizar la asignación del rol a los usuarios finales.
Si tiene Identity Manager integrado con SunTM Role Manager, debe permitir que Role Manager gestione todas las aprobaciones y notificaciones de cambios, para lo cual deben inhabilitar manualmente la capacidad de realizar estas acciones de Identity Manager.
Debe editar como sigue el objeto de configuración RoleConfiguration en Identity Manager:
Busque todas las instancias de changeApproval y defina el valor en false.
Busque todas las instancias de changeNotification y defina el valor en false.
Ser propietario de un rol es ser el responsable propietario del negocio para los derechos de la cuenta de recursos subyacente asignados mediante el rol. Si un administrador modifica un rol, un propietario del rol debe aprobar los cambios para que se apliquen. Esta función impide que un administrador cambie un rol sin el conocimiento y la aprobación de un propietario de negocio. No obstante, si se han inhabilitado las aprobaciones de cambios en el objeto de configuración de rol, no se necesita la aprobación de un propietario de rol para que se apliquen los cambios.
Además de aprobar los cambios de rol, los roles no se pueden habilitar, inhabilitar ni eliminar sin la aprobación de su propietario.
Los propietarios y aprobadores de roles pueden agregarse a un rol directamente o bien dinámicamente mediante una regla de asignación de roles. En Identity Manager es posible (pero no aconsejable) crear roles sin propietarios y aprobadores.
Las reglas de asignación de roles tienen un tipo de autenticación RoleUserRule authType.
Para crear una regla de asignación de roles personalizada, guíese por los tres objetos de regla de asignación de roles predeterminados.
Aprobadores de roles
Notificaciones de roles
Propietarios de roles
Cuando un elemento de trabajo requiere la aprobación de los propietarios y los aprobadores, se les notifica por correo electrónico. Los elementos de trabajo de aprobaciones de cambio y de aprobación se tratan en la sección Inicio de elementos de trabajo de aprobaciones de cambio y de aprobación.
Los propietarios y aprobadores se agregan a los roles en la ficha Seguridad del formulario de creación de roles.
Designación de propietarios y aprobadores de roles muestra la ficha Seguridad del formulario de creación de roles. En la ayuda en línea se explica cómo utilizar este formulario.
Se puede enviar una notificación a uno o varios administradores cuando se asigne un rol a un usuario.
Especificar el destinatario de la notificación es optativo. Puede decidir notificar a un administrador si prefiere no exigir aprobación cuando se asigne un rol a un usuario. O quizá designe un administrador para que actúe como aprobador y otro administrador para que reciba las notificaciones cuando se efectúe la aprobación.
Como los propietarios y aprobadores, las notificaciones pueden agregarse a un rol directamente o bien dinámicamente mediante una regla de asignación de roles. Cuando se asigna un rol a un usuario, se avisa a los destinatarios de la notificación por correo electrónico. Sin embargo, no se crea ningún elemento de trabajo, ya que no se requiere aprobación.
Las notificaciones se asignan a roles en la ficha Seguridad del formulario de creación de roles. Designación de propietarios y aprobadores de roles muestra la ficha Seguridad del formulario de creación de roles.
Cuando se efectúan cambios en un rol, sus propietarios pueden recibir por correo electrónico una aprobación de cambio, una notificación de cambio o no recibir nada. Cuando se asigna un rol a un usuario, los aprobadores del rol reciben mensajes de aprobación del rol por correo electrónico.
De manera predeterminada, los propietarios de roles reciben mensajes de aprobación de cambio por correo electrónico siempre que se modifican los roles que detentan. No obstante, este comportamiento se puede modificar por tipo de rol. Por ejemplo, puede optar por habilitar aprobaciones de cambio para los roles de negocio y de TI y notificaciones de cambio para los roles de aplicaciones y activos.
En Configuración de tipos de roles encontrará instrucciones para habilitar e inhabilitar los mensajes de aprobación y notificación de cambio por correo electrónico.
Las aprobaciones y las notificaciones de cambio funcionan así:
Si las aprobaciones de cambio están habilitadas, cuando un administrador modifica un rol se genera un elemento de trabajo y se envía un mensaje de aprobación por correo electrónico al propietario del rol. Para que el cambio sea efectivo, un propietario de roles debe aprobar el elemento de trabajo. Es posible delegar los elementos de trabajo de aprobación de cambio. Para obtener más información, consulte Aprobación de cuentas de usuario.
Si las aprobaciones de cambio están inhabilitadas, no se genera ningún elemento de trabajo ni se envía ningún mensaje de aprobación por correo electrónico al propietario del rol.
Si las notificaciones de cambio están habilitadas, cuando un administrador modifica un rol el cambio tiene efecto de inmediato y se envía un mensaje de notificación por correo electrónico al propietario del rol.
Si las notificaciones de cambio están inhabilitadas, no envía ninguna notificación al propietario del rol.
Cuando se asigna un rol a un usuario, los aprobadores del rol reciben mensajes de aprobación del rol por correo electrónico. En Identity Manager no se puede inhabilitar el correo electrónico de aprobación de roles.
En el caso de las aprobaciones de roles, cuando se asigna un rol a un usuario se genera un elemento de trabajo y se envía un mensaje de aprobación por correo electrónico al aprobador del rol. Para que el rol se asigne al usuario, un aprobador de roles debe aprobar el elemento de trabajo.
Es posible delegar los elementos de trabajo de aprobación de cambio y de aprobación. Para obtener más información sobre la delegación de elementos de trabajo, consulte Delegación de elementos de trabajo.
La mayoría de las tareas de edición y administración de roles se pueden realizar en las fichas Buscar roles y Listar roles, que se encuentran dentro de la ficha Roles en el menú principal.
Se tratan los temas siguientes:
Use la ficha Roles para buscar roles que cumplan los criterios de búsqueda que especifique.
En la ficha Roles puede buscar roles según muy diversos criterios, como propietarios y aprobadores de roles, tipos de cuentas asignados, roles contenidos, etc.
Encontrará información para buscar usuarios asignados a un rol en el apartado Para buscar usuarios asignados a un rol específico.
En la interfaz de administración, seleccione la ficha Roles.
Se abre la ficha Listar roles.
Haga clic en la ficha secundaria Buscar roles.
La Figura 5–7 muestra la ficha Buscar rol. En la ayuda en línea se explica cómo utilizar este formulario.
Utilice los menús desplegables para definir los parámetros de búsqueda. Pulse el botón Agregar fila para añadir otros parámetros.
Para ver roles, use la ficha Listar roles. Los campos de filtro situados en la parte superior de la página Listar roles sirven para buscar roles por su nombre o tipo. Al filtrar no se distinguen mayúsculas de minúsculas.
En la interfaz de administración, seleccione la ficha Roles.
Se abre la ficha Listar roles.
La Figura 5–8 muestra la ficha Listar roles. En la ayuda en línea se explica cómo utilizar este formulario.
Para buscar el rol que desea editar, utilice las fichas Listar roles o Buscar roles. Si modifica un rol y las aprobaciones de cambio están definidas en el valor verdadero (true), un propietario de roles deberá aprobar los cambios para que sean efectivos.
Encontrará información para actualizar los usuarios con los cambios de rol en el apartado Para actualizar roles asignados a usuarios.
Para buscar el rol que desea editar, siga las instrucciones de los apartados Para buscar roles o Para ver roles.
Haga clic en el nombre del rol que desea editar.
Aparece la página Editar rol.
Edite el rol según convenga. Consulte el procedimiento del apartado Para crear roles con el formulario de creación de roles, donde se explica cómo rellenar las fichas Identidad, Recursos, Roles y Seguridad.
Pulse Guardar. Aparece la página Confirmar cambios de rol.
Si este rol está asignado a usuarios, puede especificar cuándo se actualizan los cambios del rol para los usuarios. Para obtener más información, consulte Para actualizar roles asignados a usuarios.
Haga clic en Guardar para guardar los cambios.
Para buscar el rol que desea editar, siga las instrucciones de los apartados Para buscar roles o Para ver roles.
Haga clic en el nombre del rol que desea clonar.
Aparece la página Editar rol.
Introduzca un nombre nuevo en el campo Nombre y haga clic en Guardar.
Aparece la página Rol: ¿Crear o cambiar nombre? .
Haga clic en Crear para hacer una copia del rol.
Los requisitos de Identity Manager para asignar roles se explican en ¿Qué son los roles? y en Uso práctico de los roles. Antes de asignar roles debe conocer dicha información.
Identity Manager cambia las asignaciones de rol de un rol si el propietario del rol principal lo aprueba.
Busque el rol de negocio o de TI al que desea asignar uno o más roles contenidos. (Los roles sólo pueden asignarse a roles de negocio y de TI.) Para buscar roles, siga las instrucciones de los apartados Para buscar roles o Para ver roles.
Haga clic en el rol de negocio o de TI para abrirlo.
Aparece la página Editar rol.
Haga clic en la ficha Roles de la página Editar rol.
Seleccione Agregar en la sección Roles contenidos.
La ficha se actualiza con el formulario Buscar roles para contener.
Busque el rol o roles que desea asignar a éste. Empiece por los roles requeridos. (Después añadirá los roles condicionales y opcionales.)
Encontrará información sobre el uso del formulario de búsqueda en el apartado Para buscar roles. Los roles de negocio no se pueden anidar ni asignar a otros tipos de roles.
Seleccione los roles que desea asignar mediante las casillas de verificación y después pulse Agregar.
La ficha se actualiza con el formulario Agregar rol contenido.
En el menú desplegable Tipo de asociación, elija el tipo de rol requerido (o condicional u opcional, según proceda).
Haga clic en Aceptar.
Repita los cuatro pasos anteriores para agregar roles condicionales (en su caso). Repita los cuatro pasos anteriores para agregar roles opcionales (en su caso).
Haga clic en Guardar para abrir la página Confirmar cambios de rol.
Aparece la página Confirmar cambios de rol.
En el área Actualizar usuarios asignados, elija una opción del menú Actualizar usuarios asignados y haga clic en Guardar para guardar las asignaciones de rol.
Para obtener más información, consulte Para actualizar roles asignados a usuarios.
Identity Manager suprime un rol contenido de otro rol si el propietario del rol principal lo aprueba. El rol suprimido se eliminará de los usuarios cuando éstos reciban actualizaciones de roles. (Para obtener más información, consulte Para actualizar roles asignados a usuarios.) Una vez eliminado el rol, los usuarios pierden los derechos que les otorgaba.
Encontrará información sobre la supresión de roles asignados a uno o más usuarios en el apartado Para suprimir uno o más roles de un usuario.
Para obtener información sobre la inhabilitación de roles, consulte Para habilitar o inhabilitar roles.
Para obtener información sobre la eliminación de roles de Identity Manager, consulte Para eliminar roles.
Busque el rol de negocio o de TI del que desea suprimir un rol. Para buscar roles, siga las instrucciones de los apartados Para buscar roles o Para ver roles.
Haga clic en el rol para abrirlo.
Aparece la página Editar rol.
Haga clic en la ficha Roles de la página Editar rol.
En el área Roles contenidos, marque la casilla de verificación adjunta al rol que desea suprimir y haga clic en Suprimir. Para suprimir varios roles, marque varias casillas.
La tabla se actualiza para mostrar los roles contenidos que quedan.
Pulse Guardar.
Aparece la página Confirmar cambios de rol.
En el área Actualizar usuarios asignados, elija una opción del menú Actualizar usuarios asignados. Para obtener más información, consulte Para actualizar roles asignados a usuarios.
Haga clic en Guardar para terminar los cambios.
Los roles se pueden habilitar e inhabilitar en la ficha Listar roles. El estado del rol aparece en la columna Estado. Haga clic en el encabezado de la columna Estado para ordenar la tabla por estado de rol.
Los roles inhabilitados no aparecen en la ficha Roles del formulario Crear/Editar usuario y no se pueden asignar directamente a los usuarios. Los roles que contienen roles inhabilitados se pueden asignar a los usuarios, pero los roles inhabilitados no se pueden asignar.
Los usuarios que tienen asignados roles que después se inhabilitan no pierden sus derechos. La inhabilitación de roles sólo impide futuras asignaciones de roles.
Para inhabilitar y rehabilitar un rol se requiere el permiso de su propietario.
Cuando se habilita o inhabilita un rol que está asignado a usuarios, Identity Manager pide que se actualicen dichos usuarios. Encontrará información al respecto en el apartado Para actualizar roles asignados a usuarios.
Para buscar el rol que desea eliminar, siga las instrucciones de los apartados Para buscar roles o Para ver roles.
Marque las casillas de verificación adjuntas a los roles que desea habilitar o inhabilitar.
Haga clic en Habilitar o Inhabilitar en la parte inferior de la tabla Roles.
Se abre la página de confirmación para habilitar o inhabilitar los roles.
Haga clic en Aceptar para habilitar o inhabilitar los roles.
A continuación se explica cómo eliminar un rol de Identity Manager.
Encontrará información para suprimir roles asignados a otros roles en el apartado Para suprimir un rol asignado a otro rol.
Encontrará información sobre la supresión de roles asignados a uno o más usuarios en el apartado Para suprimir uno o más roles de un usuario.
Si se va a eliminar un rol que está asignado a un usuario, Identity Manager impide la eliminación cuando se intenta guardar el rol. Para que Identity Manager puede eliminar un rol, antes hay que anular la asignación (o reasignar) de todos los usuarios asignados al rol. También debe eliminar el rol de cualquier otro rol.
Identity Manager requiere la aprobación de un propietario de rol para eliminar un rol.
Para buscar el rol que desea eliminar, siga las instrucciones de los apartados Para buscar roles o Para ver roles.
Marque la casilla de verificación adjunta a cada rol que desee eliminar.
Haga clic en Eliminar.
Aparece la página de confirmación de eliminación de roles.
Haga clic en Aceptar para eliminar uno o varios roles.
Los requisitos de Identity Manager para asignar recursos y grupos de recursos se explican en ¿Qué son los roles? y en Uso práctico de los roles. Antes de asignar recursos a roles debe conocer dicha información.
Identity Manager cambia las asignaciones de recursos y grupos de recursos de un rol si el propietario del rol lo aprueba.
Busque el rol de TI o de aplicación al que desea agregar un recurso o un grupo de recursos. Para buscar un rol, siga las instrucciones de los apartados Para buscar roles o Para ver roles.
Haga clic en el rol para abrirlo.
Haga clic en la ficha Recursos de la página Editar rol.
Para asignar un recurso, selecciónelo en la columna Recursos disponibles y trasládelo a la columna Recursos vigentes mediante los botones de flecha.
Si va a asignar varios recursos, puede especificar el orden en el que se actualizarán: seleccione la casilla Actualizar recursos en orden y utilice los botones + y - para cambiar el orden de los recursos en la columna Recursos vigentes.
Para asignar un grupo de recursos a este rol, selecciónelo en la columna Grupos disponibles de recursos y trasládelo a la columna Grupos vigentes de recursos mediante los botones de flecha. Un grupo de recursos es un conjunto de recursos que ofrece otra manera de especificar el orden en que se crean y actualizan las cuentas de recursos.
Para especificar atributos de cuenta para este rol en función del recurso, haga clic en Configurar valores de atributo dentro de la sección Recursos asignados. Encontrá más información en el apartado Para ver o editar atributos de cuentas de recursos.
Haga clic en Guardar para abrir la página Confirmar cambios de rol.
Aparece la página Confirmar cambios de rol.
En el área Actualizar usuarios asignados, elija una opción del menú Actualizar usuarios asignados. Para obtener más información, consulte Para actualizar roles asignados a usuarios.
Haga clic en Guardar para guardar las asignaciones de recursos.
Identity Manager suprime un recurso o un grupo de recursos de un rol si el propietario del rol lo aprueba. El recurso suprimido se eliminará de los usuarios cuando éstos reciban actualizaciones de roles. (Para obtener más información, consulte Para actualizar roles asignados a usuarios.) Cuando se elimina un recurso, los usuarios pierden sus derechos sobre él, a no ser que el recurso también esté asignado directamente al usuario.
Busque el rol de TI o de aplicación del que desea suprimir un recurso o un grupo de recursos. Para buscar roles, siga las instrucciones de los apartados Para buscar roles o Para ver roles.
Haga clic en el rol para abrirlo.
Aparece la página Editar rol.
Haga clic en la ficha Recursos de la página Editar rol.
Para suprimir un recurso, selecciónelo en la columna Recursos vigentes y trasládelo a la columna Recursos disponibles mediante los botones de flecha.
Para suprimir un grupo de recursos, selecciónelo en la columna Grupos vigentes de recursos y trasládelo a la columna Grupos disponibles de recursos mediante los botones de flecha.
Pulse Guardar.
Aparece la página Confirmar cambios de rol.
En el área Actualizar usuarios asignados, elija una opción del menú Actualizar usuarios asignados. Para obtener más información, consulte Para actualizar roles asignados a usuarios.
Haga clic en Guardar para terminar los cambios.
Los roles se asignan a los usuarios en el área Cuentas de Identity Manager.
A continuación se indica el procedimiento para asignar uno o más roles a uno o varios usuarios.
Los usuarios finales también pueden solicitar asignaciones de roles. (Sólo pueden solicitar los roles opcionales cuyo rol principal ya se les haya asignado.) Encontrará información sobre cómo los usuarios finales pueden solicitar roles disponibles en el apartado Ficha Solicitudes de la sección Interfaz de usuario final de Identity Manager.
En la interfaz de administración, seleccione la ficha Cuentas.
Se abre la ficha secundaria Listar cuentas.
Para asignar un rol a un usuario existente, siga estos pasos:
Seleccione el nombre del usuario en la Lista de usuarios.
Haga clic en la ficha Roles.
Pulse Agregar para agregar uno o más roles a la cuenta del usuario.
De manera predeterminada, sólo es posible asignar directamente roles de negocio a los usuarios. (Si ha actualizado la instalación de Identity Manager desde una versión anterior a la 8.0, podrá asignar directamente a los usuarios roles de negocio y de TI.)
En la tabla de roles, elija los que desea asignar al usuario y pulse Aceptar.
Para ordenar la tabla alfabéticamente por Nombre, Tipo o Descripción, haga clic en los encabezados de columna. Si vuelve a hacer clic se invertirá el orden. Para filtrar la lista por tipo de rol, selecciónelo en el menú desplegable Actual.
La tabla se actualiza con las asignaciones de roles seleccionadas y todas las asignaciones de roles necesarias que estén conectadas con las asignaciones del rol principal.
Haga clic en Agregar para ver las asignaciones de roles opcionales que también pueden asignarse al usuario.
Elija los roles opcionales que desea asignar al usuario y pulse Aceptar.
(Opcional) En la columna Activar en, seleccione la fecha en que debe activarse el rol. Si no especifica ninguna fecha, la asignación del rol se activará en cuanto la apruebe un aprobador designado.
Para que la asignación de rol sea temporal, seleccione la fecha en que debe inactivarse el rol en la columna Desactivar en. La desactivación del rol se producirá al empezar el día seleccionado.
Para obtener más información, consulte Para activar y desactivar roles en fechas específicas.
Pulse Guardar.
Al asignar un rol a un usuario, puede especificar una fecha de activación y otra de desactivación. Las solicitudes de elementos de trabajo de asignación de roles se crean al efectuar la asignación. No obstante, si una asignación de roles no se ha aprobado para la fecha de activación programada, el rol no se asigna. Las activaciones y desactivaciones de roles se producen un poco después de la media noche (12:01 AM) en la fecha programada.
De manera predeterminada, sólo los roles de negocio pueden tener fechas de activación y de desactivación. Todos los demás tipos de roles heredan las fechas de activación y desactivación del rol de negocio que está asignado directamente al usuario. Identity Manager se puede configurar para que otros tipos de roles tengan fechas de activación y desactivación directamente asignables. Consulte las instrucciones en Configuración de tipos de roles.
El Analizador de tareas aplazadas explora las asignaciones de roles de usuario y las activa y desactiva según proceda. De manera predeterminada, la tarea del Analizador de tareas aplazadas se ejecuta cada hora.
En la interfaz de administración, seleccione Tareas del servidor.
Elija Administrar programación en el menú secundario.
Dentro de la sección Tareas disponibles para programación, haga clic en la definición de tarea Analizador de tareas aplazadas.
Aparece la página “Crear nueva programación de tareas Analizador de tareas aplazadas”.
Rellene el formulario. Para obtener información, consulte los elementos i-Help y la ayuda en línea.
Para especificar la fecha y la hora en que debe ejecutarse la tarea, utilice el formato mm/dd/aaaa hh:mm:ss en Fecha de inicio. Por ejemplo, para programar el inicio de la ejecución de una tarea a las 7:00 P.M. del 29 de septiembre de 2009, escriba 09/29/2009 19:00:00.
En el menú desplegable Opciones de resultados, seleccione cambiar nombre. Si elige esperar, las futuras instancias de esta tarea no se ejecutarán hasta que suprima los resultados anteriores. Encontrará más información sobre los distintos valores de configuración de Opciones de resultados en la ayuda en línea.
Haga clic en Guardar para guardar la tarea.
La Figura 5–9 muestra el formulario de la tarea programada para el Analizador de tareas aplazadas.
Al editar roles asignados a usuarios tiene la opción de actualizar los usuarios con los nuevos roles inmediatamente o bien aplazar la actualización para ejecutarla durante un periodo de mantenimiento programado.
Tras modificar un rol, aparece la página Confirmar cambios de rol. La página Confirmar cambios de rol se muestra en Para actualizar roles asignados a usuarios.
En dicha página, el área Actualizar usuarios asignados indica el número de usuarios a los que está asignado el rol actualmente.
El menú Actualizar usuarios asignados permite especificar si los usuarios se actualizan de inmediato con los nuevos cambios de rol (Actualizar), si se aplaza dicha actualización (No actualizar) o si se elige una tarea de actualización programada y personalizada.
Como Actualizar actualiza los usuarios inmediatamente, conviene evitar esta opción si afecta a muchos usuarios. La actualización de los usuarios puede tardar y acaparar muchos recursos. Cuando hay que actualizar muchos usuarios, es preferible programar la actualización para las horas de poca actividad.
Si se elige No actualizar para un rol, los usuarios que lo tienen asignado no recibirán las actualizaciones del rol hasta que un administrador visualice el perfil de usuario o hasta que el usuario se actualice con una tarea de actualización de usuarios de rol. Para obtener información sobre la programación de tareas de actualización de usuarios de rol, consulte la próxima sección.
Si ha programado una tarea de actualización de usuarios de rol, puede seleccionarla en el menú. Dicha tarea actualizará los usuarios asignados al rol tal como ha sido programada. Para obtener más información, consulte la próxima sección.
Para actualizar roles asignados a usuarios muestra la página Confirmar cambios de rol. El área Actualizar usuarios asignados indica el número de usuarios a los que está asignado el rol actualmente. El menú Actualizar usuarios asignados tiene dos opciones predeterminadas: No actualizar y Actualizar. También es posible seleccionar en una lista de tareas de actualización de usuarios de rol programadas. Encontrará instrucciones para crear tareas de actualización de usuarios de rol programadas en el apartado Para programar una tarea de actualización de usuarios de rol.
Los usuarios que tienen roles asignados se pueden actualizar seleccionando uno o varios y pulsando el botón Actualizar usuarios asignados. Mediante este procedimiento se ejecuta una instancia de la tarea Actualizar roles de usuario para los roles especificados.
Para buscar el rol (o roles) cuyos usuarios desea actualizar, siga las instrucciones de los apartados Para buscar roles o Para ver roles.
Seleccione los roles mediante las casillas de verificación.
Haga clic en Actualizar usuarios asignados.
Aparece la página Actualizar usuarios asignados a los roles (Figura 5–10).
Pulse Ejecutar para iniciar la actualización.
Para comprobar el estado de la tarea Actualizar roles de usuario, elija Tareas del servidor en el menú principal y después Todas las tareas en el menú secundario.
Conviene programar una tarea de actualización de usuarios de rol para que se ejecute periódicamente.
Una tarea de actualización de usuarios de rol se programa así para actualizar los usuarios con los cambios de rol:
En la interfaz de administración, seleccione Tareas del servidor.
Elija Administrar programación en el menú secundario.
Dentro de la sección Tareas disponibles para programación, haga clic en la definición de tarea Actualizar roles de usuario.
Aparece la página “Crear nueva programación de tareas Actualizar roles de usuario” o, si está editando una tarea existente, la página “Editar programación de tareas” (Figura 5–11).
Rellene el formulario. Para obtener información, consulte los elementos i-Help y la ayuda en línea.
Para especificar la fecha y la hora en que debe ejecutarse la tarea, utilice el formato mm/dd/aaaa hh:mm:ss en Fecha de inicio. Por ejemplo, para programar el inicio de la ejecución de una tarea a las 7:00 P.M. del 29 de septiembre de 2009, escriba 09/29/2009 19:00:00.
En el menú desplegable Opciones de resultados, seleccione cambiar nombre. Si elige esperar, las futuras instancias de esta tarea no se ejecutarán hasta que suprima los resultados anteriores. Encontrará más información sobre los distintos valores de configuración de Opciones de resultados en la ayuda en línea.
Haga clic en Guardar para guardar la tarea.
La Figura 5–11 muestra el formulario de la tarea programada para Actualizar roles de usuario. Se pueden asignar roles a tareas Actualizar roles de usuario específicas (como se explica en la sección Parámetros de tarea). Para obtener más información, consulte Para actualizar roles asignados a usuarios.
Es posible buscar usuarios que tienen asignado un rol específico.
En la interfaz de administración, seleccione Cuentas.
Elija Buscar usuarios en el menú secundario. Aparece la página Buscar usuarios.
Elija el tipo de búsqueda El usuario tiene [seleccione el tipo de rol] roles asignados.
Marque la casilla correspondiente y filtre la lista de roles disponibles con el menú desplegable Seleccionar tipo de rol.
Aparece otro menú de roles.
Seleccione un rol.
Desactive las demás casillas de tipo de búsqueda si no quiere delimitar más la búsqueda.
Haga clic en Buscar.
En la página Editar usuario se pueden suprimir uno o varios roles de una cuenta de usuario. Sólo es posible suprimir los roles asignados directamente. Los roles asignados indirectamente (es decir, roles contenidos condicionales o requeridos) se eliminan al eliminar el rol principal. Otra forma de suprimir un rol asignado indirectamente de un usuario es quitar dicho rol del rol principal (consulte Para suprimir un rol asignado a otro rol).
Los usuarios finales también pueden solicitar que se les supriman roles asignados de sus cuentas de usuario. Consulte la ficha Ficha Solicitudes en la sección Interfaz de usuario final de Identity Manager.
Encontrará información para suprimir un rol aplicando una fecha de desactivación programada en el apartado Para activar y desactivar roles en fechas específicas.
En la interfaz de administración, seleccione la ficha Cuentas.
Se abre la ficha secundaria Listar cuentas.
Seleccione el usuario de quien desea suprimir una o más reglas.
Aparece la página Editar usuario.
Haga clic en la ficha Roles.
En la tabla de roles, elija los que desea quitar al usuario y pulse Aceptar.
Para ordenar la tabla alfabéticamente por Nombre, Tipo, Activar en, Desactivar en, Asignados por o Estado, haga clic en los encabezados de columna. Si vuelve a hacer clic se invertirá el orden. Para filtrar la lista por tipo de rol, selecciónelo en el menú desplegable Actual.
La tabla muestra las asignaciones de roles principales (los roles que pueden seleccionarse) y todas las asignaciones de roles que estén conectadas con las asignaciones del rol principal (los roles que no pueden seleccionarse).
Pulse Suprimir.
La tabla de roles asignados se actualiza para mostrar los roles asignados que quedan.
Pulse Guardar.
Aparece la página de actualización de cuentas de recursos. Deseleccione las cuentas de recursos que no quiera eliminar.
Haga clic en Guardar para guardar los cambios.
La funcionalidad de tipo de rol puede modificarse editando el objeto de configuración de rol.
De manera predeterminada, sólo es posible asignar directamente tipos de roles concretos a los usuarios. Para cambiar esta configuración, proceda como sigue.
Es una práctica recomendada sólo asignar directamente roles de negocio a los usuarios. Encontrará más información en Uso de tipos de roles para diseñar roles flexibles.
Para cambiar los tipos de roles que se pueden asignar directamente a los usuarios, siga estos pasos:
Abra el objeto de configuración de rol para editarlo mediante el procedimiento que se explica en Edición de objetos de configuración de Identity Manager.
Busque el objeto de rol correspondiente al tipo de rol que desea editar.
Para editar un rol de TI, busque Object name=’ITRole’
Para editar un rol de aplicación, busque Object name=’ApplicationRole’
Para editar un rol de activo, busque Object name=’AssetRole’
Especifique un conjunto de instrucciones para actualizar la configuración.
Elija uno de los siguientes según cómo quiera actualizar la configuración:
Para modificar un tipo de rol con el fin de poderlo asignar directamente a un usuario, busque el atributo userAssignment siguiente dentro del objeto de rol:
<Attribute name=’userAssignment’> <Object/> </Attribute> |
Y sustitúyalo por esto:
<Attribute name=’userAssignment’> <Object> <Attribute name=’manual’ value=’true’/> </Object> </Attribute> |
Para modificar un tipo de rol con el fin de impedir su asignación directa a un usuario, busque el atributo userAssignment dentro del objeto de rol y elimine el atributo manual así:
<Attribute name=’userAssignment’> <Object> </Object> </Attribute> |
Guarde el objeto de configuración de rol. No es necesario reiniciar los servidores de aplicaciones para que los cambios surtan efecto.
De manera predeterminada, sólo los roles de negocio pueden tener fechas de activación y de desactivación que se especifican al asignar los roles. Todos los demás roles heredan las fechas de activación y desactivación del rol de negocio que está asignado directamente al usuario.
Es una práctica recomendada sólo asignar directamente roles de negocio a los usuarios. Encontrará más información en Uso de tipos de roles para diseñar roles flexibles.
Si decide que otro tipo de rol sea directamente asignable a los usuarios (por ejemplo, el rol de TI), quizá también le interese poder asignar fechas de activación y de desactivación a ese tipo de rol.
Proceda como se indica a continuación para cambiar los tipos de roles que pueden tener fechas de activación y desactivación asignables.
Abra el objeto de configuración de rol para editarlo mediante el procedimiento que se explica en Edición de objetos de configuración de Identity Manager.
Busque el objeto de rol correspondiente al tipo de rol que desea editar.
Para editar un rol de negocio, busque Object name=’BusinessRole’
Para editar un rol de TI, busque Object name=’ITRole’
Para editar un rol de aplicación, busque Object name=’ApplicationRole’
Para editar un rol de activo, busque Object name=’AssetRole’
Especifique un conjunto de instrucciones para actualizar la configuración.
Elija uno de los siguientes según cómo quiera actualizar la configuración:
Para modificar un tipo de rol con el fin de que pueda tener fechas de activación y de desactivación directamente asignables, busque el atributo userAssignment siguiente dentro del objeto de rol:
<Attribute name=’userAssignment’> <Attribute name=’manual’ value=’true’/> </Attribute> |
Y sustitúyalo por esto:
<Attribute name=’userAssignment’> <Object> <Attribute name=’activateDate’ value=’true’/> <Attribute name=’deactivateDate’ value=’true’/> <Attribute name=’manual’ value=’true’/> </Object> </Attribute> |
Para modificar un tipo de rol con el fin de impedir que tenga fechas de activación y de desactivación directamente asignables, busque el atributo userAssignment dentro del objeto de rol y elimine los atributos activateDate y deactivateDate así:
<Attribute name=’userAssignment’> <Object> </Object> </Attribute> |
Guarde el objeto de configuración de rol. No es necesario reiniciar los servidores de aplicaciones para que los cambios surtan efecto.
Los elementos de trabajo de aprobaciones de cambio están habilitados de manera predeterminada para todos los tipos de roles. Esto significa que cada vez que se cambia un rol (ya sea de negocio, TI, aplicación o activo), si tiene un propietario éste debe aprobar el cambio para que sea efectivo.
Para obtener más información sobre elementos de trabajo de aprobaciones de cambio y de notificaciones de cambios, consulte Inicio de elementos de trabajo de aprobaciones de cambio y de aprobación.
Para habilitar o inhabilitar elementos de trabajo de aprobaciones de cambio y notificaciones de cambio para tipos de roles, siga estos pasos:
Abra el objeto de configuración de rol para editarlo mediante el procedimiento que se explica en Edición de objetos de configuración de Identity Manager.
Busque el objeto de rol correspondiente al tipo de rol que desea editar.
Para editar un rol de negocio, busque Object name=’BusinessRole’
Para editar un rol de TI, busque Object name=’ITRole’
Para editar un rol de aplicación, busque Object name=’ApplicationRole’
Para editar un rol de activo, busque Object name=’AssetRole’
Busque los siguientes atributos en el elemento <Object> , que se encuentra en el elemento <Attribute name=’features’>:
<Attribute name=’changeApproval’ value=’true’/> <Attribute name=’changeNotification’ value=’true’/> |
Defina los valores de atributo en true o false según convenga.
Si es preciso, repita los pasos 2 - 4 para configurar otro tipo de rol.
Guarde el objeto de configuración de rol. No es necesario reiniciar los servidores de aplicaciones para que los cambios surtan efecto.
La página Listar roles de la interfaz de administración puede mostrar un número máximo de filas que es configurable. El número predeterminado es 500. Utilice los pasos indicados en la sección para cambiar el número.
Proceda como sigue para cambiar el número máximo de filas que puede mostrar la página Listar roles.
Abra el objeto de configuración de rol para editarlo mediante el procedimiento que se explica en Edición de objetos de configuración de Identity Manager.
Busque el atributo siguiente y cambie el valor:
<Attribute name=’roleListMaxRows’ value=’500’/> |
Guarde el objeto de configuración de rol. No es necesario reiniciar los servidores de aplicaciones para que los cambios surtan efecto.
Los roles de Identity Manager pueden sincronizarse con los roles creados nativamente en un recurso. Al sincronizarlo, el recurso se asigna al rol de manera predeterminada. Esto se aplica a los roles creados con la tarea de sincronización y a los roles de Identity Manager que coinciden con uno de los nombres de rol de recursos.
En la interfaz de administración, seleccione Tareas de servidor en el menú principal.
Haga clic en Ejecutar tareas. Aparece la página Tareas disponibles.
Haga clic en la tarea Sincronizar roles de Identity System (Sistema de identidad) con los roles de recursos.
Rellene el formulario. Haga clic en Ayuda para obtener más información.
Seleccione Ejecutar.
En esta sección encontrará información y procedimientos para configurar los recursos de Product_IDMgr;.
Los recursos de Identity Manager almacenan información sobre cómo conectarse a un recurso o un sistema en el que se crean las cuentas. Los recursos de Identity Manager definen los atributos relevantes de un recurso y ayudan a especificar cómo se muestra la información de los recursos en Identity Manager.
Identity Manager ofrece recursos para una gran variedad de tipos, entre ellos:
Administradores de seguridad de sistemas centrales (mainframe)
Bases de datos
Servicios de directorio
Sistemas operativos
Sistemas ERP (Planificación de recursos empresariales)
Plataformas de mensajería
Identity Manager muestra información sobre los recursos existentes en la página Recursos.
Para acceder a los recursos, seleccione Recursos en la barra de menús.
Los recursos de la lista se agrupan por tipos. Cada tipo de recurso se representa mediante un icono de carpeta. Para ver los recursos definidos actualmente, haga clic en el indicador existente junto a la carpeta. Haga clic de nuevo en el indicador para contraer la vista.
Cuando se expande una carpeta de tipo de recurso, se actualiza dinámicamente y muestra el número de objetos de recurso que contiene (si se trata de un tipo de recurso que admite grupos).
Algunos recursos tienen otros objetos que puede administrar, por ejemplo:
Organizaciones
Unidades organizativas
Grupos
Roles
Elija un objeto en la lista de recursos y después seleccione en las listas de opciones siguientes para iniciar una tarea de administración:
Acciones de recurso. Permite efectuar numerosas acciones en los recursos, como edición, sincronización activa, cambio de nombre y eliminación, además de trabajar con objetos de recurso y gestionar conexiones de recursos.
Acciones de objeto de recurso. Edición, creación, eliminación, cambio de nombre, guardar como y búsqueda de objetos de recurso.
Acciones de tipo de recurso. Edición de directivas de recursos, uso del índice de cuentas y configuración de los recursos administrados.
Cuando se crea o edita un recurso, Identity Manager inicia el flujo de trabajo ManageResource. Este flujo de trabajo guarda el recurso nuevo o actualizado en el depósito y le permite insertar aprobaciones u otras acciones antes de crear o guardar el recurso.
Para poder crear un recurso nuevo, debe indicar a Identity Manager qué tipos de recursos desea poder administrar. Para habilitar recursos y crear recursos personalizados, utilice la página Configurar recursos administrados.
Siga estos pasos para abrir la página Configurar recursos administrados:
Inicie la sesión en la interfaz de administración.
Haga clic en la ficha Recursos.
Utilice uno de estos métodos para abrir la página Configurar recursos administrados:
Busque la lista desplegable Acciones de tipo de recurso y elija Configurar recursos administrados.
Haga clic en la ficha Configurar tipos.
Aparece la página Configurar recursos administrados.
Esta página consta de tres secciones:
Conectores de recursos. Esta sección contiene los tipos de conectores de recursos, la versión del conector y el servidor de conectores.
Adaptadores de recursos. En esta sección aparecen los tipos de recursos que suelen encontrarse en los grandes entornos de empresa. En la columna Versión se indica la versión del adaptador de Identity Manager que se conecta al recurso.
Adaptadores de recursos personalizados. En esta sección se agregan recursos personalizados a la lista Recursos.
Puede habilitar un tipo de recurso desde la página Configurar recursos administrados como se indica a continuación.
Abra la página Configurar recursos administrados si aún no está abierta (Administración de la lista de recursos).
En la sección Recursos, marque la casilla de la columna ¿Administrado? correspondiente al tipo de recurso que desea habilitar.
Para habilitar todo los tipos de recursos enumerados, seleccione Administrar todos los recursos.
Haga clic en Guardar en la parte inferior de la página.
El recurso se agrega a la lista Recursos.
Puede agregar un recurso personalizado desde la página Configurar recursos administrados como se indica a continuación.
Abra la página Configurar recursos administrados si aún no está abierta (Administración de la lista de recursos).
En la sección Recursos personalizados, seleccione Añadir recurso personalizado
Introduzca la ruta de clase del recurso o un recurso personalizado creado. En el caso de los adaptadores suministrados con Identity Manager, consulte la ruta de clase completa en Sun Identity Manager 8.1 Resources Reference .
Pulse Guardar para añadir el recurso a la lista Recursos.
Una vez habilitado un tipo de recurso, puede crear una instancia del recurso en Identity Manager. Use el Asistente de recursos para crear un recurso.
El Asistente de recursos le guía por la configuración de los siguientes elementos.
Parámetros específicos del recurso. Estos valores se pueden modificar mediante la interfaz de Identity Manager al crear una instancia concreta de este tipo de recurso.
Atributos de cuenta. Se definen en la asignación de esquemas para el recurso. Determinan cómo se asignan los atributos de usuario de Identity Manager a los atributos del recurso.
ND de cuenta o plantilla de identidad. Incluye la sintaxis del nombre de cuenta para los usuarios, que adquiere especial importancia con los espacios de nombres jerárquicos.
Parámetros de Identity Manager para el recurso Configura las directivas, establece los aprobadores de recursos y configura el acceso de la organización al recurso.
Inicie la sesión en la interfaz de administración.
Haga clic en la ficha Recursos. Asegúrese de que esté seleccionada la ficha secundaria Listar recursos.
Busque la lista desplegable Acciones de tipo de recurso y elija Nuevo recurso.
Aparece la página "Nuevo recurso".
Seleccione un tipo de recurso en la lista desplegable. (Si no aparece el tipo de recurso que busca, deberá habilitarlo. Consulte Administración de la lista de recursos.)
Pulse Nuevo para acceder a la página de bienvenida del Asistente de recursos.
Pulse Siguiente para empezar a definir el recurso.
El Asistente de recursos recorre y muestra las páginas por el orden siguiente:
Parámetros de recurso. Configure los parámetros específicos del recurso que controlan la autenticación y el comportamiento del adaptador de recursos. Introduzca los parámetros y pulse Conexión de prueba para asegurarse de que la conexión es válida. Al confirmar, pulse Siguiente para configurar los atributos de cuenta.
La figura siguiente muestra la página Parámetros de recurso para recursos de Solaris. Los campos del formulario de esta página varían según los recursos.
Atributos de cuenta (asignación de esquema). Asigna atributos de cuenta de Identity Manager a atributos de cuenta de recursos. Encontrará más información sobre los atributos de cuentas de recursos en el apartado Para ver o editar atributos de cuentas de recursos.
Para agregar un atributo, haga clic en Añadir atributo.
Para suprimir uno o varios atributos, marque las casillas correspondientes a los mismos y pulse Suprimir atributos seleccionados.
La figura siguiente muestra la página Atributos de cuenta en el Asistente de recursos.
Si desea exportar atributos a la tabla EXT_RESOURCEACCOUNT_ACCTATTR , debe marcar la casilla Auditar para cada atributo que quiera exportar.
Cuando termine, pulse Siguiente para configurar la plantilla de identidad.
Plantilla de identidad. Define la sintaxis de nombre de cuenta para los usuarios. Esta función adquiere especial relevancia con los espacios de nombres jerárquicos.
Para agregar un atributo a la plantilla, selecciónelo en la lista Insertar atributo.
Para eliminar un atributo, resáltelo en la cadena y pulse la tecla de supresión. Elimine el nombre de atributo, así como los caracteres $ (símbolo del dólar) que aparecen delante y detrás del nombre.
Tipo de cuentas. Identity Manager permite asignar varias cuentas de recursos a un mismo usuario. Por ejemplo, un usuario puede necesitar tanto una cuenta de nivel de administrador como una cuenta normal para un recurso particular. Para permitir varios tipos de cuenta en este recurso, marque la casilla Tipos de cuentas.
No es posible seleccionar la casilla Tipos de cuentas sin haber creado una o varias reglas de generación de identidades con el subtipo IdentityRule. Como los id de cuenta deben ser distintos, los diferentes tipos de cuenta deben generar diferentes id de cuenta para un usuario específico. Las reglas de generación de identidades determinan cómo se crean esos id de cuenta únicos.
El archivo sample/identityRules.xml ofrece ejemplos de reglas de identidades.
No es posible suprimir un tipo de cuenta mientras otros objetos hagan referencia a él dentro de Identity Manager. Tampoco es posible cambiar de nombre un tipo de cuenta.
Encontrará más información para rellenar el formulario de tipo de cuentas en la ayuda en línea de Identity Manager. Para obtener más información sobre la creación de varias cuentas de recursos para un usuario, consulte Creación de varias cuentas de recursos para un usuario.
Parámetros del sistema Identity. Define los parámetros de Identity Manager para el recurso, incluida la configuración de directivas y reintentos, como se indica en el apartado Para crear un recurso.
Use Siguiente y Retroceder para moverse entre las páginas. Cuando haya seleccionado todo lo que le interesa, pulse Guardar para guardar el recurso y volver a la página de la lista.
A continuación se explica cómo administrar los recursos existentes.
Esta información se ha dividido como sigue:
Los recursos existentes pueden verse en la Lista de recursos.
Inicie la sesión en la interfaz de administración.
Seleccione Recursos en el menú principal.
Aparece la Lista de recursos en la ficha secundaria Listar recursos.
El Asistente de recursos sirve para editar parámetros de recurso, atributos de cuenta y parámetros del sistema de identidades. También es posible especifique la plantilla de identidad que debe aplicarse a los usuarios creados en el recurso.
En la interfaz de administración de Identity Manager, seleccione Recursos en el menú principal.
Aparece la Lista de recursos en la ficha secundaria Listar recursos.
Elija el tipo de recurso que desea editar.
En el menú desplegable Acciones de recurso, seleccione Asistente de recursos (dentro de Editar).
El Asistente de recursos se abre en el modo de edición para el recurso seleccionado.
Además del Asistente de recursos, también se pueden realizar diversas acciones en un recurso con los comandos de la lista de recursos.
Seleccione una o más opciones en la lista de recursos.
Las opciones incluyen:
Eliminar recursos. Seleccione uno o varios recursos y después elija Eliminar en la lista Acciones de recurso. Es posible seleccionar recursos de varios tipos simultáneamente. No se puede eliminar un recurso si tiene asociado algún rol o grupo de recursos.
Buscar objetos de recurso. Seleccione un recurso y después Buscar objeto de recurso en la lista Acciones de objeto recurso para buscar un objeto de recurso (como una organización, unidad organizativa, grupo o persona) según las características del objeto.
Administrar objetos de recurso. Es posible crear objetos nuevos para algunos tipos de recursos. Seleccione el recurso y, a continuación, seleccione Crear objeto de recurso en la lista Acciones de objeto de recurso.
Cambiar nombre de recursos. Elija un recurso y seleccione Cambiar nombre en la lista Acciones de recurso. Introduzca un nombre nuevo en el cuadro de entrada que aparece y pulse Cambiar nombre.
Clonar recursos. Elija un recurso y seleccione Guardar como en la lista Acciones de recurso. Introduzca un nombre nuevo en el cuadro de entrada que aparece. El recurso clonado aparece en la lista de recursos con el nombre elegido.
Operaciones masivas con recursos. Especifique una lista de recursos y acciones (en formato de entrada CSV) para aplicar a todos los recursos de la lista. A continuación, ejecute las operaciones masivas para iniciar la tarea correspondiente en segundo plano.
Guarde las modificaciones.
Los atributos de cuentas de recursos (o asignaciones de esquemas) ofrecen un método abstracto para hacer referencia a los atributos en los recursos administrados. La asignación de esquemas le permite especificar cómo se hace referencia a los atributos dentro de Identity Manager (la parte izquierda de la asignación de esquema) y cuál será la equivalencia de cada nombre con el nombre del atributo en el recurso real (la parte derecha de la asignación de esquema). Tras ello puede hacer referencia al nombre de atributo de Identity Manager dentro de los formularios y las definiciones de flujo de trabajo, así como referirse efectivamente al atributo en el propio recurso.
Éste es un ejemplo de asignación entre atributos de Identity Manager y de un recurso LDAP:
Atributo de Identity Manager |
Atributo de recurso LDAP |
|
firstname |
<--> |
givenName |
lastname |
<--> |
sn |
Cualquier referencia al atributo de Identity Manager, firstname, es en realidad una referencia al atributo LDAP, givenName, cuando se realiza una acción en ese recurso.
Cuando se administran diversos recursos desde Identity Manager, la asignación de un atributo de cuenta común de Identity Manager a muchos atributos de recurso puede simplificar rotundamente la administración de los recursos. Por ejemplo, el atributo fullname de Identity Manager puede asignarse al atributo de recurso displayName de Active Directory. Por otro lado, en un recurso LDAP resource, el mismo atributo fullname de Identity Manager puede asignarse al atributo LDAP cn. En consecuencia, al administrador le basta con suministrar el valor de fullname una vez. Al guardar el usuario, el valor de fullname se transfiere a los recursos que tienen distintos nombres de atributo.
Si configura una asignación de esquemas en la página Atributos de cuenta del Asistente de recursos, puede hacer lo siguiente:
Definir nombres de atributo y tipos de datos para los atributos procedentes de recursos administrados.
Limitar los atributos de recursos únicamente a los esenciales para su empresa u organización.
Crear nombres de atributos comunes de Identity Manager para usarlos con múltiples recursos.
Identificar los atributos de usuario y los tipos de atributo necesarios.
Para ver o editar atributos de cuentas de recursos, siga estos pasos:
En la interfaz de administración, seleccione Recursos.
Seleccione el recurso cuyos atributos de cuenta desea ver o editar.
En la lista Acciones de recurso, elija Editar esquema de recurso.
Aparece la página Editar Atributos de cuenta de recursos.
La columna izquierda de la asignación de esquemas (denominada Atributo de usuario de Identity System (Sistema de identidad)) contiene los nombres de los atributos de cuenta de Identity Manager referenciados en los formularios que se utilizan en las interfaces de administración y de usuario de Identity Manager. La columna derecha de la asignación de esquemas (denominada Atributo de usuario de recurso) contiene los nombres de los atributos del origen externo.
Aproveche el área de recursos para administrar los grupos de recursos, lo que permite actualizar los recursos de los grupos por el orden elegido. Al incluir y ordenar recursos en un grupo y asignarlo a un usuario, determina el orden en que se crean, actualizan y eliminar los recursos de ese usuario.
Las actividades se realizan sucesivamente en cada recurso. Si falla una acción en un recurso, los demás recursos no se actualizan. Este tipo de relación es importante para los recursos relacionados.
Por ejemplo, un recurso de Exchange Server 2007 depende de una cuenta existente de Windows Active Directory. Esta cuenta ya debe existir para poder crear correctamente la cuenta de Exchange. Al crear un grupo de recursos (ordenados) con un recurso de Windows Active Directory y un recurso de Exchange Server 2007, se asegura de que la secuencia es correcta al crear usuarios. Recíprocamente, este orden garantiza que los recursos se eliminan en la secuencia correcta cuando se eliminan usuarios.
Seleccione Recursos y después Listar grupos de recursos para ver una lista de los grupos de recursos definidos actualmente. En esa página, pulse Nuevo para definir un grupo de recursos. Al definir un grupo de recursos, un área de selección permite elegir y después ordenar los recursos elegidos, así como seleccionar las organizaciones para las que debe estar disponible el grupo.
En esta sección se explica cómo editar la Directiva global de recursos y configurar valores de tiempo de espera para un recurso.
Puede editar atributos de directiva de recursos en la página Editar atributos de directiva de recurso global.
Abra la página Editar atributos de directiva de recurso global y edite los atributos como interese.
Los atributos incluyen:
Tiempo predeterminado de espera de captura. Introduzca un valor en milisegundos que especifique el máximo tiempo que el adaptador debe esperar en el indicador de línea de comandos antes de que finalice el tiempo de espera. Este valor se aplica únicamente a los adaptadores GenericScriptResourceAdapter o ShellScriptSourceBase. Utilícelo cuando los resultados de un comando o secuencia de comandos sean importantes y los vaya a analizar el adaptador.
El valor predeterminado es 30000 (30 segundos).
Espera predeterminada para tiempo de espera Introduzca un valor en milisegundos para especificar el máximo tiempo que un adaptador con secuencia de comandos debe esperar entre sondeos antes de comprobar si un comando tiene preparados caracteres (o resultados). Este valor se aplica únicamente a los adaptadores GenericScriptResourceAdapter o ShellScriptSourceBase. Utilícelo cuando el adaptador no examine los resultados de un comando o secuencia de comandos.
Tiempo de espera de Ignorar MAY/min. Introduzca un valor en milisegundos para especificar el tiempo máximo que el adaptador debe esperar a recibir el indicador de línea de comandos antes de que finalice el tiempo de espera. Este valor se aplica únicamente a los adaptadores GenericScriptResourceAdapter o ShellScriptSourceBase. Utilícelo cuando la diferenciación entre mayúsculas y minúsculas sea irrelevante.
Directiva de contraseñas de cuentas de recursos. Si procede, seleccione una directiva de contraseñas de cuentas de recurso para aplicarla al recurso elegido. La selección predeterminada es Ninguna.
Regla de cuentas de recursos excluidos. Si procede, seleccione una regla para regir las cuentas de recursos excluidos. La selección predeterminada es Ninguna.
Debe pulsar Guardar para guardar los cambios realizados en la directiva.
La propiedad maxWaitMilliseconds se puede modificar editando el archivo Waveset.properties. La propiedad maxWaitMilliseconds determina la frecuencia con que se supervisa el tiempo de espera de una operación. Si especifica este valor, el sistema utilizará un valor predeterminado de 50.
Incluya la línea siguiente en el archivo Waveset.properties:
com.waveset.adapter.ScriptedConnection.ScriptedConnection.maxwaitMilliseconds.
Guarde el archivo.
Se pueden realizar operaciones masivas en los recursos utilizando un archivo con formato CSV o creando o especificando los datos que deben aplicarse en la operación.
La Figura 5–13 muestra la página de inicio de operaciones masivas utilizando una acción Crear.
Las opciones disponibles para la operación masiva de recurso dependen de la acción seleccionada para la operación. Puede especificar una sola acción para aplicarla a la operación o bien elegir diversas acciones De lista de acciones.
Acciones. Para especificar una única acción, elija una de estas opciones: crear, clonar, actualizar, eliminar, cambiar contraseña, reinicializar contraseña.
Si selecciona una sola acción, se le ofrecen opciones para indicar el recurso implicado en la acción. En el caso de una acción Crear, debe especificar el tipo de recurso.
Si indica De lista de acciones, utilice el área Obtener lista de acciones de para especificar bien el archivo que contiene las acciones o bien las acciones que indique en el área Entrada.
Debe utilizar un formato de valores separados por comas para las acciones introducidas en la lista del área de entrada o en el archivo.
Número máximo de resultados por página. Con esta opción se especifica el número máximo de resultados de acciones masivas que se deban mostrar en cada página de resultados de tareas. El valor predeterminado es 200.
Pulse Ejecutar para comenzar la operación, que se ejecuta como una tarea en segundo plano.
Identity Manager también sirve para crear, abastecer y administrar centralizadamente los recursos externos de la empresa.
En esta sección se explica cómo trabajar con recursos externos a lo largo de los siguientes apartados:
Un recurso externo es un tipo de recurso único que no almacena directamente información de cuentas de usuario. Se trata de un recurso ajeno a las labores de Identity Manager. Estos recursos pueden ser equipos de sobremesa, portátiles, teléfonos móviles, dispositivos de seguridad, etc.
Para abastecer los recursos externos siempre se necesitan uno o varios procesos manuales. Por ejemplo, tras efectuar la solicitud inicial y obtener las aprobaciones adecuadas para abastecer un equipo portátil para un nuevo empleado, quizá debe enviar una solicitud de pedido de compra al sistema de peticiones de compra de la empresa. Una vez rellenado el pedido, tal vez alguien deba preconfigurar el portátil con las aplicaciones de la empresa y después entregárselo personalmente al nuevo empleado para completar la solicitud de abastecimiento.
El uso de Identity Manager para abastecer recursos externos le permite notificar las solicitudes pendientes a uno o varios abastecedores, con información detallada sobre lo que se debe abastecer.
Por ejemplo, un abastecedor de recursos externos podría ser un responsable de TI que necesita solicitar y preconfigurar manualmente un portátil para un usuario.
Identity Manager también mantiene información sobre los recursos externos abastecidos para un determinado usuario y actualiza dicha información al completar la solicitud de abastecimiento. A continuación, Identity Manager deja disponible esta información para visualizarla, generar informes, auditar la validación del cumplimiento y exportarla.
Para configurar recursos externos se necesita la capacidad Administrador de recursos externos. Para crear nuevos recursos externos se necesita la capacidad Administrador de recursos.
En esta sección se describe el proceso de configuración del almacén de datos de recursos externos y la notificación al abastecedor de recursos externos.
El almacén de datos de recursos externos de Identity Manager constituye un único alojamiento para la información sobre los recursos externos y sus asignaciones. Este almacén puede ser una base de datos o un directorio.
Si el almacén de datos de recursos externos es una base de datos, lo gestiona el adaptador ScriptedJdbcResourceAdapter.
Si el almacén de datos de recursos externos es un directorio, lo gestiona el adaptador LDAPResourceAdapter.
Para configurar el almacén de datos de recursos externos se necesita la capacidad Administrador de recursos externos.
El almacén de datos de recursos externos le permite almacenar la información en los valores de atributo que le interesen, así como incluir dichos valores en una o varias tablas.
Por ejemplo, si utiliza una base de datos MySQL, Identity Manager almacena la información de recursos externos en las tablas siguientes:
La tabla extres.accounts, que contiene los ID de cuenta y de recurso (accountID y resourceID). Como el almacén de datos de recursos externos es un alojamiento único, Identity Manager proporciona una clave de ID única, <accountId>@<resourceId> , que identifica a una cuenta en exclusiva por su ID de recurso.
La tabla extres.attributes, que contiene un conjunto de atributos de par nombre/valor. Estos atributos se definen en la asignación de esquemas al crear un recurso externo.
Las secuencias de comandos de ejemplo utilizadas para crear las tablas de base de datos se incluyen con Identity Manager en la siguiente ubicación:
wshome/sample/ScriptedJdbc/External |
Identity Manager es compatible con numerosos tipos de bases de datos, para cada uno de los cuales ofrece secuencias de comandos de ejemplo. Puede modificar estas secuencias de comandos como requiera su entorno específico.
El almacén de datos de recursos externos también es compatible con LDAP mediante el adaptador LDAPResourceAdapter, que permite almacenar la información en clases existentes o personalizadas. Con Identity Manager también se incluye una secuencia de comandos de ejemplo LDIF en la siguiente ubicación:
wshome/sample/other/externalResourcePerson.ldif |
Puede modificar esta secuencia de comandos al configurar un almacén de datos de directorio de recursos externos.
Aunque es muy fácil introducir cambios, el almacén de datos de recursos externos sólo suele configurarse una vez. Si modifica la configuración, Identity Manager actualiza automáticamente todos los recursos externos existentes para utilizar el almacén de datos recién configurado.
Siga estos pasos para configurar un almacén de datos de base de datos:
Seleccione Configurar -> Recursos externos en la barra de menús de la interfaz de administración de Identity Manager.
Cuando aparezca la página Configuración de almacén de datos, elija Base de datos en el menú Tipo de almacén de datos. Aparecen más opciones.
Especifique la siguiente información de conexión y autenticación:
Identity Manager rellena automáticamente con los valores predeterminados los campos Controlador JDBC, Plantilla URL de JDBC, Puerto y Tiempo máx. de inactividad (segs). Si es preciso, puede cambiar estos valores.
Controlador JDBC. Especifique el nombre de la clase del controlador JDBC.
Plantilla URL de JDBC. Especifique la plantilla URL del controlador JDBC.
Host. Introduzca el nombre del servidor en el que se está ejecutando la base de datos.
Puerto TCP. Introduzca el puerto en el que la base de datos recibe las consultas.
Base de datos. Introduzca el nombre de la base de datos presente en el servidor de base de datos que contiene la tabla.
Usuario. Introduzca el ID de un usuario de base de datos con permisos suficientes para leer, actualizar y eliminar filas de la tabla de la base de datos. Por ejemplo, root.
Password. Introduzca la contraseña del usuario de la base de datos.
Volver a enviar todas las SQLExceptions. Marque esta casilla para volver a enviar las excepciones SQL a las sentencias SQL si los códigos de error de excepción son 0.
Si no habilita esta opción, Identity Manager intercepta y elimina estas excepciones.
Tiempo máx. de inactividad (segs). Introduzca el tiempo máximo de inactividad en segundos que una conexión JDBC deba permanecer sin usar en un grupo.
Si la conexión no se utiliza antes de que transcurra el tiempo especificado, Identity Manager la cerrará y la quitará del grupo.
El valor predeterminado es 600 segundos.
Con el valor -1 la conexión nunca caduca.
Tras conectarse satisfactoriamente al almacén de datos, debe especificar una varias secuencias de comandos para que se ejecuten con cada acción de recurso admitida. Consulte las instrucciones en el apartado Para configurar secuencias de comandos de acción.
Debe especificar un conjunto de secuencias de comandos de BeanShell (bsh) que Identity Manager pueda utilizar para efectuar un seguimiento y ejecutar los estados Obtener, Crear, Actualizar, Eliminar, Habilitar, Inhabilitar y Probar de una solicitud determinada.
Encontrará secuencias de comandos de ejemplo en:
wshome/sample/ScriptedJdbc/External/beanshell |
Estos ejemplos se pueden modificar para crear sus propias secuencias de comandos personalizadas. Las secuencias de comandos se añaden a la herramienta de selección Secuencias de comandos de acción y se muestran bajo la línea de las listas Disponible y Seleccionado.
Identity Manager proporciona secuencias de comandos de ejemplo para las acciones de recurso y los tipos de bases de datos admitidos para los recursos externos. Para acceder a estas secuencias de comandos, utilice las denominadas ResourceAction, que se encuentran en:
wshome/sample/ScriptedJdbc/External/beanshell |
De manera predeterminada, el nombre de la base de datos, el de usuario y la contraseña son extres.
Si elige cualquiera de las demás opciones de base de datos o prefiere utilizar otro nombre de usuario o de base de datos, debe modificar consiguientemente los valores de los ejemplos de secuencias de comandos de creación de base de datos y ResourceAction.
Por ejemplo, si elige una base de datos MySQL y quiere cambiar el nombre de la base de datos, de usuario y la contraseñas existentes, deberá realizar estos cambios: actualizar la secuencia de comandos create_external_tables.mysql cambiando el valor predeterminado extres del nombre de base de datos, el nombre de usuario y la contraseña a externalresources, externaladmin y externalpassword, respectivamente.
A continuación, en las secuencias ResourceAction cambie los valores predeterminados extres.accounts y extres.attributes a externalresources.accounts y externalresources.attributes , respectivamente.
Para configurar las secuencias de comandos de acción, siga estos pasos:
Use las herramientas de selección Secuencias de comandos de acción de la página Configuración de almacén de datos para especificar una o más secuencias de comandos de acción para cada acción de recurso. Debe seleccionar al menos una secuencia por acción de recurso.
Ha de seleccionar la secuencia de comandos de acción correspondiente a la acción de recurso. Por ejemplo, utilice:
External-getUser-bsh para las acciones de recurso GetUser
Las acciones de recurso GetUser se utilizan en las operaciones de búsqueda.
External-createUser-bsh para las acciones de recurso CreateUser
External-deleteUser-bsh para las acciones de recurso DeleteUser
External-updateUser-bsh para las acciones de recurso UpdateUser
External-disableUser-bsh para las acciones de recurso DisableUser
External-enableUser-bsh para las acciones de recurso EnableUser
External-test-bsh para las acciones de recurso Test
Las acciones de recurso Test se utilizan para habilitar la funcionalidad completa del botón Conexión de prueba.
Cualquier otra secuencia de comandos bsh de ejemplo que seleccione no funcionará.
Elija un Modo de contexto de acción en el menú para especificar cómo deben transferirse los valores de atributo a las secuencias de comandos de acción.
Cadenas. Los valores de atributo se transfieren como valores de cadena.
Directo. Los valores de atributo se transfieren como un objeto com.waveset.object.AttributeValues.
Éste es un buen momento para probar la configuración de la conexión al almacén de datos. Pulse el botón Conexión de prueba, que se halla en la parte inferior de la página.
Aparece un mensaje para indicar si la conexión es correcta o errónea.
Cuando termine, pulse Siguiente para continuar en la página Configuración de notificación a abastecedores.
Siga estos pasos para configurar un almacén de datos de directorio:
Seleccione Directorio en el menú Tipo de almacén de datos. Aparecen más opciones.
Debe especificar la información de conexión y autenticación para un almacén de datos de tipo directorio.
Configure las opciones siguientes:
Host. Introduzca el nombre o la dirección IP del servidor donde se está ejecutando el servidor LDAP.
Puerto TCP. Introduzca el puerto TCP/IP utilizado para comunicarse con el servidor LDAP.
Si utiliza SSL, este puerto suele ser 636.
Si no utiliza SSL, este puerto suele ser 389.
SSL. Elija esta opción para conectar con el servidor LDAP mediante SSL.
Servidores de conmutación por errores. Lista de todos los servidores que se utilizan para la reconexión de emergencia si falla el servidor preferido. Esta información se debe introducir en el formato indicado a continuación, que respeta las URL estándar de la versión 3 de LDAP descritas en RFC 2255:
ldap://ldap.example.com:389/o=LdapFailover |
En esta configuración sólo son relevantes las porciones de host, puerto y nombre distinguido (nd) de la URL.
Si falla el servidor preferido, JNDI se conectará automáticamente al siguiente servidor de esta lista.
ND de usuario. Introduzca el nd con el que se autenticará en el servidor LDAP cuando se efectúen actualizaciones. (El valor predeterminado es cn=Directory Manager)
Password. Introduzca la contraseña del responsable titular.
Contextos base. Introduzca uno o más puntos de partida que Identity Manager puede usar al buscar usuarios en el árbol LDAP. (El valor predeterminado es dc=MYDOMAIN,dc=com)
Identity Manager efectúa búsquedas al intentar descubrir usuarios del servidor LDAP o cuando se buscan los grupos a los que están afiliados los usuarios.
Clase del objeto. Indique la clase o clases de objeto que se utilizarán al crear nuevos objetos de usuario en el árbol LDAP. (El valor predeterminado es top)
Cada entrada debe ocupar una línea distinta. No utilice coma ni punto y coma para separar las entradas.
Determinados servidores LDAP requieren que se especifiquen todas las clases de objeto presentes en la jerarquía de clases. Por ejemplo, tal vez necesite especificar top, person, organizationalperson e inetorgperson en lugar de sólo inetorgperson.
Filtro de LDAP para recuperar cuentas. Introduzca un filtro de LDAP opcional para controlar las cuentas que se van a devolver procedentes del recurso LDAP. Si no introduce ningún filtro, Identity Manager devolverá todas las cuentas que contienen todas las clases de objeto especificadas.
Incluir todas las clases de objeto en el filtro de búsqueda. Marque esta casilla para que todas las cuentas deban incluir todas las clases de objetos especificadas y coincidir con el filtro indicado en el campo Filtro de LDAP para recuperar cuentas.
Esta opción debe habilitarse cuando no se introduce ningún filtro de búsqueda. Si esta opción está inhabilitada, las cuentas que no incluyan todas las clases de objeto especificadas se podrán cargar en Identity Manager con las funciones de reconciliación o carga desde recurso.
Una vez cargadas, el atributo objectclass de la cuenta no se actualiza automáticamente. Si se expone a la interfaz de administración un atributo de una clase sin objeto, se producirá un error si se otorga un valor a este atributo sin modificar el atributo objectclass. Para evitar este problema, anule el valor de objectclass del formulario de Reconciliación o Cargar desde recurso.
Atributo de nombre de usuario. Introduzca el nombre del atributo LDAP que se asigna al nombre del usuario de Identity Manager cuando se descubren usuarios en el directorio. Este nombre suele ser uid o cn.
Mostrar nombre de atributo. Introduzca el atributo de cuenta de recursos cuyo valor será utilizado cuando se muestre este nombre de cuenta.
Atributo de clasificación VLV. Especifique el nombre del atributo de clasificación que se utilizará para los índices VLV en el recurso.
Utilizar bloques. Marque esta casilla para recuperar y procesar los usuarios en bloques.
Cuando se ejecutan operaciones con un gran número de usuarios, éstos se procesan en bloques para reducir la cantidad de memoria utilizada por la operación.
Número de bloques. Introduzca el número máximo de usuarios que pueden agruparse en bloques para procesar.
Atributos de miembro de grupo. Introduzca el nombre del atributo de pertenencia al grupo que se actualizará con el nombre distinguido (ND) del usuario cuando éste se añada al grupo.
El nombre de atributo depende de la clase de objeto del grupo. Por ejemplo, Sun JavaTM System Enterprise Edition Directory Server y otros servidores LDAP utilizan grupos con la clase de objeto groupOfUniqueNames y el atributo uniqueMember. Otros servidores LDAP utilizan grupos con la case de objeto groupOfNames y el atributo member.
Algoritmo de cálculo de claves de contraseñas. Introduzca el algoritmo que deberá utilizar Identity Manager para incluir claves en la contraseña. Los valores admitidos son:
SSHA
SHA
SMD5
MD5
Si indica 0 o deja vacío este campo, Identity Manager no incluirá calves en las contraseñas y almacenará contraseñas de texto simple en LDAP, a no ser que el servidor LDAP realice el cálculo de claves. Por ejemplo, Sun Java System Enterprise Edition Directory Server incluye claves en las contraseñas.
Modificar atributos de nombre. Marque esta casilla para permitir modificaciones del atributo de usuario que representa el nombre distinguido (ND) relacionado que se encuentra más a la izquierda. Las modificaciones suelen cambiar los atributos de asignación de nombre a uid o cn.
Método de activación de LDAP.
Deje este campo en blanco si quiere que el recurso utilice asignación de contraseñas para habilitar o inhabilitar las acciones.
Introduzca la palabra clave (nsmanageddisabledrole o nsaccountlock), o el nombre de clase que se debe usar para realizar una acción de activación para usuarios de este recurso.
Parámetro de activación de LDAP. Introduzca un valor según cómo haya rellenado el campo Método de activación de LDAP:
Si ha especificado la palabra clave nsmanageddisabledrole, deberá introducir un valor con este formato:
IDMAttribute=CN=nsmanageddisabledrole,baseContext |
Si ha especificado la palabra clave nsaccountlock, deberá introducir un valor con este formato:
IDMAttribute=true |
Si ha especificado un nombre de clase, deberá introducir un valor con este formato:
IDMAttribute |
Para obtener más información sobre el Método de activación de LDAP y el Parámetro de activación de LDAP, consulte la guía Sun Identity Manager 8.1 Resources Reference .
Usar control de resultados paginados. Marque esta casilla para utilizar el control de resultados paginados de LDAP en lugar del control de VLV para iterar las cuentas durante la reconciliación.
El recurso debe ser compatible con el control de paginación simple.
Mantener miembros de grupo de LDAP . Marque esta casilla para que el adaptador mantenga los miembros de grupo de LDAP al renombrar o eliminar usuarios.
Si no habilita esta opción, el recurso LDAP mantiene la pertenencia a los grupos.
Pruebe la configuración de la conexión al almacén de datos con el botón Conexión de prueba.
Aparece un mensaje para indicar si la conexión es correcta o errónea.
Cuando termine, pulse Guardar y después Siguiente para continuar en la página Configuración de notificación a abastecedores.
Debe configurar atributos de cuenta válidos y una plantilla de identidad para poder crear usuarios en un recurso LDAP.
Una vez configurado el almacén de datos para los recursos externos, debe configurar las notificaciones a los abastecedores. También es posible configurar las notificaciones a los solicitantes. A continuación se explica el proceso para configurar notificaciones con correo electrónico o Remedy.
Encontrará más información sobre las plantillas de correo electrónico en Configuración de plantillas de tareas.
Siga estas instrucciones para configurar y enviar notificaciones por correo electrónico a uno o varios abastecedores.
En la página Configuración de notificación a abastecedores, seleccione Correo electrónico en el menú Tipo de notificación a abastecedor. Aparecen otras opciones, como ilustra la figura siguiente.
Configure las opciones siguientes:
Plantilla de solicitud de abastecimiento. Elija Ejemplo de solicitud de abastecimiento externa en el menú. Con esta plantilla debe configurar el correo electrónico empleado para notificar a los abastecedores de solicitudes de recursos externos.
Seguir delegación. Marque esta casilla si quiere que Identity Manager siga las delegaciones definidas para el abastecedor.
Regla de escalada a abastecedor (opcional). Elija una regla para establecer a qué abastecedor se traslada una solicitud en caso de que el abastecedor actual no responda antes del tiempo de espera indicado.
Aunque este menú contiene varias reglas de ejemplo, debe seleccionar la regla Ejemplo de escalada a abastecedor externo o utilizar una regla propia. La regla Ejemplo de escalada a abastecedor externo aplica una regla de escalada a abastecedor externo para establecer el abastecedor en caso de escalada.
Tiempo de espera de escalada. Indique el máximo tiempo de espera antes de traslada una solicitud de abastecimiento al siguiente abastecedor.
Si deja este campo vacío o introduce un cero, la solicitud nunca se escala.
Si especifica un tiempo de espera, pero no una Regla de escalada a abastecedor, Identity Manager escalará la solicitud al configurador cuando transcurra el tiempo de espera especificado. Si no hay configurador, la solicitud se clasificará como no completada una vez caducado el tiempo de espera.
Formulario de solicitud de abastecimiento. Elija un formulario que los abastecedores de recursos externos puedan utilizar para marcar como completada o no completada una solicitud de abastecimiento.
Regla de abastecedores. Debe elegir una regla para definir el abastecedor a quien se envían las solicitudes de abastecimiento cuando se asignan recursos externos a los usuarios.
Puede elaborar sus propias reglas al respecto. También es posible definir varios abastecedores. Cuando alguno de ellos complete la tarea, ésta desaparecerá de las colas de todos los abastecedores. Para obtener más información sobre la creación de reglas, consulte el Capítulo 4, Working with Rules de Sun Identity Manager Deployment Reference.
Aunque este menú contiene varias reglas de ejemplo, debe seleccionar la regla Ejemplo de solicitud de abastecimiento externa o utilizar una regla propia. La regla Ejemplo de solicitud de abastecimiento externa convierte al configurador en abastecedor.
Notificar a solicitante. Marque esta casilla para devolver por correo electrónico al solicitante original información sobre lo acontecido con la solicitud. Por ejemplo, si se ha completado o no la solicitud de abastecimiento, si se precisa más información, etc.
Cuando se habilita esta opción, aparecen además estos campos:
Plantilla de solicitud de abastecimiento completada. Seleccione la plantilla de solicitud de abastecimiento completada para avisar a los solicitantes cuando se hayan completado sus solicitudes.
Plantilla de solicitud de abastecimiento no completada. Seleccione la plantilla de solicitud de abastecimiento no completada para avisar a los solicitantes cuando no se hayan completado sus solicitudes.
Pulse Guardar.
Aparece la página Configurar, donde se le indica que puede continuar realizando otra tarea de configuración.
Vaya a la ficha Recursos -> Listar recursos. Ahora ya puede crear recursos externos individuales basándose en esta configuración. Consulte las instrucciones en el apartado Para crear un recurso.
Siga estas instrucciones para crear y enviar un ticket de Remedy a los abastecedores.
Seleccione Remedy en el menú Tipo de notificación a abastecedor. Aparecen otras opciones, como ilustra la figura siguiente.
Configure las opciones siguientes:
Plantilla de Remedy de solicitud de abastecimiento. Elija Ejemplo de plantilla de Remedy externa en el menú.
Identity Manager incluye un ejemplo de plantilla de Remedy que puede utilizar o modificar según convenga.
Una plantilla de Remedy contiene un conjunto de campos que sirven para crear un ticket de Remedy. Identity Manager también utiliza esta plantilla para consultar el estado del ticket de Remedy con el fin de comprobar si se ha completado o no una tarea.
Regla de Remedy de solicitud de abastecimiento. En este menú debe elegir una regla para definir los valores de configuración de Remedy.
Aunque este menú contiene varias reglas de ejemplo, debe seleccionar el Ejemplo de regla de Remedy externa o utilizar una regla propia. En el ejemplo de regla de Remedy externa se utiliza una regla de Remedy para saber si el estado actual de un ticket de Remedy es completado o no completado.
Una plantilla de Remedy contiene un conjunto de campos que sirven para crear un ticket de Remedy. Identity Manager también utiliza esta plantilla para consultar el estado del ticket de Remedy con el fin de comprobar si se ha completado o no una tarea.
Identity Manager aplica esta regla para consultar la información de estado de un ticket de Remedy. Si el estado del ticket es completado o no completado, Identity Manager marca el elemento de trabajo respectivamente como completado o no completado.
Puede elaborar sus propias reglas al respecto. Se incluye un ejemplo de regla de Remedy externa que puede utilizar directamente o modificarlo como interese. Para obtener más información sobre la creación de reglas, consulte el Capítulo 4, Working with Rules de Sun Identity Manager Deployment Reference.
Seguir delegación. Marque esta casilla si quiere que Identity Manager siga las delegaciones definidas para el abastecedor.
Regla de escalada a abastecedor (opcional). Elija una regla para establecer a qué abastecedor se traslada una solicitud en caso de que el abastecedor actual no responda antes del tiempo de espera indicado.
Aunque este menú contiene varias reglas de ejemplo, debe seleccionar la regla Ejemplo de escalada a abastecedor externo o utilizar una regla propia. La regla Ejemplo de escalada a abastecedor externo aplica una regla de escalada a abastecedor externo para establecer el abastecedor en caso de escalada.
Tiempo de espera de escalada. Indique el máximo tiempo de espera antes de traslada una solicitud de abastecimiento al siguiente abastecedor.
Si deja este campo vacío o introduce un cero, la solicitud nunca se escala.
Si especifica un tiempo de espera, pero no una Regla de escalada a abastecedor, Identity Manager escalará la solicitud al configurador cuando transcurra el tiempo de espera especificado. Si no hay configurador, la solicitud se clasificará como no completada una vez caducado el tiempo de espera.
Formulario de solicitud de abastecimiento. Elija un formulario que los abastecedores de recursos externos puedan utilizar para marcar como completada o no completada una solicitud de abastecimiento.
Regla de abastecedores. Seleccione una regla que establezca uno o más abastecedores para esta solicitud de recursos externa.
Puede elaborar sus propias reglas al respecto. También es posible definir varios abastecedores. Cuando alguno de ellos complete la tarea, ésta desaparecerá de las colas de todos los abastecedores. Para obtener más información sobre la creación de reglas, consulte el Capítulo 4, Working with Rules de Sun Identity Manager Deployment Reference.
Ejemplo de abastecedor externo. Convierte al configurador en abastecedor.
Ejemplo de escalada a abastecedor externo. Aplica una regla de ejemplo de escalada a abastecedor externo para establecer el abastecedor en caso de escalada.
Ejemplo de regla de Remedy externa. Define los valores de configuración de Remedy.
Notificar a solicitante. Marque esta casilla si desea avisar por correo electrónico al solicitante cuando su solicitud se haya completado o no. Cuando se habilita esta opción, aparecen además estos campos:
Plantilla de solicitud de abastecimiento completada. Seleccione la plantilla de correo electrónico que se utilizará cuando se hayan completado las solicitudes.
Plantilla de solicitud de abastecimiento no completada. Seleccione la plantilla de correo electrónico que se utilizará cuando no se hayan completado las solicitudes.
Encontrará más información sobre las plantillas de correo electrónico en Configuración de las plantillas de tarea.
Pulse Guardar.
Aparece la página Configurar, donde se le indica que puede continuar realizando otra tarea de configuración.
Vaya a la ficha Recursos -> Listar recursos. Ahora ya puede crear recursos externos individuales basándose en esta configuración. Consulte las instrucciones en Creación de recursos externos.
Tras configurar el almacén de datos de recursos externos y las notificaciones a los abastecedores, puede crear un recurso externo nuevo.
Para crear recursos externos nuevos se necesita la capacidad Administrador de recursos.
Siga estos pasos para crear un recurso externo nuevo:
Seleccione la ficha Recursos en la barra de menús principal. De manera predeterminada aparece la ficha Listar recursos.
Haga clic en la ficha Configurar tipos para abrir la página Configurar recursos administrados.
Examine la tabla Adaptadores de recursos para comprobar si el tipo de recurso externo está disponible.
Regrese a la ficha Listar recursos y elija Nuevo recurso en el menú Acciones de tipo de recurso.
Cuando aparezca la página Nuevo recurso, elija Externo en el menú Tipo de recurso y pulse Nuevo.
Aparece la página de bienvenida del asistente para crear recursos externos. Pulse Siguiente.
Aparece una vista de sólo lectura de la página Configuración de almacén de datos con la información de conexión y autenticación que había definido antes.
Como ya mencionamos, este almacén de datos sólo se suele configurar una vez, ya que la configuración se aplica a todos los recursos externos. Si desea modificar esta información, debe retroceder a la ficha Configurar -> Recursos externos.
Puede usar el botón Probar configuración situado al final de la página para volver a comprobar la configuración actual del almacén de datos antes de continuar.
Pulse Siguiente para abrir la página Configuración de notificación a abastecedores, que es idéntica a la utilizada en la ficha Configurar -> Recursos externos.
Repase los valores actuales de notificación a abastecedores e introduzca las modificaciones pertinentes para el nuevo recurso.
Si es preciso, vuelva a consultar las instrucciones de configuración de Configuración de notificaciones a abastecedores. Los cambios realizados en esta página sólo se aplicarán a este recurso.
Pulse Siguiente.
A partir de este momento, el proceso de creación de un recurso externo es igual que para crear cualquier otro recurso. El asistente le guiará por varias páginas más:
Atributos de cuenta. En esta página se definen atributos de cuenta opcionales para el recurso y se asignan atributos del sistema Identity a los atributos de cuenta del nuevo recurso. Por ejemplo, si va a crear un recurso externo denominado "portátil", tal vez le interese incluir atributos de modelo y tamaño.
En esta página no se especifican valores predeterminados.
Plantilla de identidad. Esta página sirve para definir la sintaxis de nombre de cuenta de los usuarios creados en este recurso externo. Puede utilizar la plantilla de identidad predeterminada, $accountId$, o bien elegir otra.
Parámetros de Identity System (Sistema de identidad). En esta página se configuran los parámetros del sistema de identidad para los recursos externos. Por ejemplo, puede inhabilitar directivas, configurar reintentos o especificar aprobadores.
En el apartado Para crear un recurso encontrará más información sobre estas páginas y las instrucciones necesarias para terminar de configurar este recurso.
Cuando termine de configurar la página Parámetros de Identity System (Sistema de identidad), pulse Guardar. Ahora puede asignar este recurso a un usuario, igual que si se tratara de cualquier otro recurso.
A continuación se explica el proceso de abastecimiento en los apartados:
Siga estos pasos para asignar un recurso externo a un usuario:
Para asignar recursos externos se necesita la capacidad Administrador de recursos.
Seleccione Cuentas -> Listar cuentas y haga clic sobre el nombre del usuario en la página.
Cuando aparezca la página Editar usuario, seleccione la ficha Recursos.
Busque el recurso externo en la lista Recursos disponibles de Asignación individual de recursos, trasládelo a la lista Recursos vigentes y pulse Guardar.
Identity Manager crea una tarea de abastecimiento y le envía un mensaje donde le indica quién es el propietario de dicha tarea. Recuerde que se habían definido uno o varios abastecedores con la regla de abastecedores al configurar la página de notificación a abastecedores para este recurso.
Identity Manager también avisa a los abastecedores por correo electrónico o con un ticket de Remedy cuando tienen una solicitud pendiente.
Como en el caso de otros recursos, es posible definir aprobadores para que aprueben o rechacen solicitudes. Aunque debe definir abastecedores, éstos no aprueban ni rechazan solicitudes, sino que completan o no completan las tareas.
Pulse Aceptar para regresar a la página Cuentas -> Listar cuentas. Observe que junto al nombre del usuario aparece un reloj de arena en el icono de elemento de trabajo para indicar que la solicitud está pendiente.
Cuando se genera una solicitud de abastecimiento, ésta deja en suspenso el proceso de abastecimiento hasta que uno de los abastecedores definidos completa el abastecimiento manual o marca la solicitud como completada, o bien se agota el tiempo de espera de la solicitud. Identity Manager audita estas respuestas de abastecimiento.
Como sucede con cualquier otro elemento de trabajo, puede examinar todas las solicitudes de abastecimiento de recursos externos pendientes en la ficha Elementos de trabajo -> Solicitudes de abastecimiento.
Debe responder así a las solicitudes de abastecimiento:
Seleccione las fichas Elementos de trabajo > Solicitudes de abastecimiento para abrir la página Esperando abastecimiento.
Busque la solicitud de abastecimiento pendiente y selecciónela.
También puede abrir la solicitud de abastecimiento por correo electrónico, seleccionar un vínculo que hay definido en la plantilla de solicitud de abastecimiento e iniciar la sesión para ver una página con detalles sobre la solicitud de abastecimiento.
En esa página puede actualizar cualquiera de los atributos solicitados para reflejar con exactitud lo que se ha abastecido al usuario. Por ejemplo, si el usuario había solicitado un portátil Sony, pero ese modelo no estaba disponible, puede actualizar la página con el modelo que en realidad ha abastecido.
Pulse uno de los botones siguientes para procesar la solicitud:
Si puede abastecer el recurso, elija Completada.
Identity Manager actualiza los atributos de cuenta del recurso externo del usuario para reflejar lo que se ha abastecido realmente, suprime la marca de estado de abastecimiento pendiente y completa el elemento de trabajo de solicitud de abastecimiento que se está actualizando.
Si así se configura, Identity Manager también notifica al abastecedor que la solicitud de abastecimiento se ha completado utilizando para ello la plantilla de correo electrónico definida al respecto.
Si no es posible abastecer el recurso, indique el motivo y seleccione No completada.
Cuando una solicitud se marca como No completada:
El usuario no se abastece con el recurso externo.
El recurso externo permanece asignado al usuario.
Junto al nombre del usuario aparece un icono amarillo para indicar que es preciso actualizar el usuario.
Si se edita este usuario, aparece un mensaje de error para advertir que el usuario puede encontrarse en el recurso externo.
Si así se configura, Identity Manager también notifica al solicitante mediante la plantilla de correo electrónico definida al respecto.
Si no es posible abastecer el recurso, también puede pulsar Reenviar para trasladar la solicitud a otra persona.
Cuando el elemento de trabajo de solicitud de abastecimiento se ha completado o no, Identity Manager desactiva el estado pendiente del recurso externo asignado al usuario y no se produce ninguna actualización en el almacén de datos de recursos externos.
El recurso aparece en la lista de recursos asignados al usuario y en la de cuentas de recursos vigentes, incluyendo el ID de cuenta del usuario en ese recurso.
Si el abastecedor asignado no responde a una solicitud de abastecimiento antes de que transcurra el tiempo de espera especificado, Identity Manager cancela el elemento de trabajo de solicitud de abastecimiento asociado.
Si especificó un tiempo de espera al configurar la página de notificaciones a abastecedores y una solicitud de abastecimiento supera dicho periodo, Identity Manager realiza una de las siguientes acciones:
Si había especificado una regla de escalada a abastecedor, Identity Manager la aplica para establecer el próximo abastecedor y le traslada la solicitud.
Si no había seleccionado una regla de escalada a abastecedor, Identity Manager escalará la solicitud al configurador. Si no hay configurador, la solicitud se clasificará como no completada una vez caducado el tiempo de espera.
Si dejó vació el campo de tiempo de espera de escalada o introdujo cero, Identity Manager nunca escala la solicitud.
Los elementos de trabajo de solicitud de abastecimiento de recursos externos se pueden delegar igual que cualquier otra solicitud de abastecimiento. Encontrará más información e instrucciones en Delegación de elementos de trabajo.
Como cualquier otro recurso, la asignación de recursos externos a un usuario se puede anular o desvincular en la ficha General. Consulte las instrucciones en Creación de usuarios y trabajo con cuentas de usuario
Al anular la asignación y desvincular recursos externos de un usuario no se crea una solicitud de abastecimiento ni un elemento de trabajo. Cuando se anula la asignación o se desvincula un recurso externo, Identity Manager no desabastece ni elimina la cuenta de recursos, por lo que no es necesario que haga nada.
No es posible eliminar los usuarios que aún tienen asignados recursos externos. Primero debe desabastecer o eliminar esos recursos externos para poder eliminar los usuarios.
Identity Manager le ofrece diversos métodos para depurar y rastrear los recursos externos:
Puede efectuar un seguimiento del adaptador de recursos externos.
Si utiliza un almacén de datos de tipo base de datos, rastree los nombres de clase com.waveset.adapter.ScriptedJdbcResourceAdapter y com.waveset.adapter.JdbcResourceAdapter .
Si utiliza un almacén de datos de directorio, rastree el nombre de clase com.waveset.adapter.LDAPResourceAdapter.
Puede utilizar seguimiento de flujo de trabajo para rastrear otros flujos de datos y de trabajo, así como utilizar el complemento NetBeans o Eclipse Identity Manager IDE para depurar.
Dado que usted configura y controla el almacén de datos, puede inspeccionarlo para asegurarse de que contenga la información correcta.
Identity Manager graba registros de auditoría de todas las actividades que ocurren.
Para obtener más información sobre seguimiento y solución de problemas, consulte Sun Identity Manager 8.1 System Administrator’s Guide .