Guía del administrador de negocio de Sun Identity Manager 8.1

Uso práctico de los roles

A continuación se explica cómo usar los roles con eficacia. Los tipos de roles se describen en la sección anterior.

Administración de roles creados en versiones anteriores a la 8.0

En las organizaciones que han actualizado desde versiones de Identity Manager anteriores a la 8.0, sus roles anteriores se convertirán automáticamente en roles de TI. Estos roles de TI permanecerán asignados directamente a los usuarios. En el proceso de actualización no se asignará ningún propietario de roles a los roles anteriores, aunque sí es posible asignárselo después. (Encontrará información sobre los propietarios de roles en Designación de propietarios y aprobadores de roles.)

De manera predeterminada, las organizaciones que actualizan a la versión 8.0 pueden asignar a los usuarios directamente tanto roles de TI como de negocio (consulte la Figura 5–2).

A las organizaciones que tienen roles anteriores quizá les interese crear nuevos roles con las instrucciones indicadas en la próxima sección.

Uso de tipos de roles para diseñar roles flexibles

Los roles de TI, aplicaciones y activos son las piezas fundamentales de los diseñadores de roles. Estos tres tipos de roles se combinan para confeccionar derechos de usuario (o derechos de acceso). Después, los roles de TI, aplicaciones y activos se asignan a roles de negocio.

Diseño de roles de negocio

En Identity Manager, a un usuario se le puede asignar un rol, varios o ninguno. Con la introducción de los tipos de roles en Identity Manager 8.0, se recomienda sólo asignar directamente roles de negocio a los usuarios. De manera predeterminada, no es posible asignar directamente ningún otro tipo de rol a los usuarios, salvo que previamente se tuviera instalada una versión de Identity Manager anterior y se haya actualizado a la versión 8.0. Esta restricción predeterminada se puede cambiar modificando el objeto de configuración de rol (Configuración de tipos de roles).

Para evitar mayor complejidad, los roles de negocio no pueden anidarse. Es decir, un rol de negocio no puede contener a su vez otros roles de negocio. Además, los roles de negocio no pueden contener directamente recursos ni grupos de recursos. En vez de ello, los recursos y grupos de recursos deben asignarse a un rol de TI o una aplicación, que entonces pueden asignarse a uno o más roles de negocio.

Diseño de roles de TI

Los roles de TI pueden contener aplicaciones, activos y otros roles de TI. Los roles de TI también pueden contener recursos y grupos de recursos.

Los roles de TI deben ser creados y administrados por el personal de TI de la organización o por los propietarios del recurso que conocen los derechos necesarios para habilitar privilegios concretos dentro del recurso.

Diseño de aplicaciones y activos

Las aplicaciones y activos son tipos de roles concebidos para representar términos de negocio habituales descriptivos de lo que necesitan los usuarios finales para realizar sus trabajos. Por ejemplo, un rol de aplicación podría denominarse “Herramientas de atención al cliente” o “Herramienta admin. HHRR Intranet“.

Las aplicaciones y los activos están pensados para asignarse a roles de negocio y de TI.


Nota –

A los administradores de roles se les asigna una o varias de las siguientes capacidades:

Para obtener más información, consulte Asignación de capacidades a usuarios.


Sinopsis de los tipos de roles

En la figura siguiente se resumen los tipos de roles, recursos y grupos de recursos que pueden asignarse a cada uno de los cuatro tipos de roles. La figura también muestra que es posible asignar exclusiones de tipos de roles a los cuatro tipos de roles. (Las exclusiones de roles se tratan en Para asignar recursos y grupos de recursos.)

Figura 5–1 Los tipos de roles de negocio, TI, aplicación y activo

Figura ilustrativa de los tipos de roles de negocio, TI, aplicación y activo

Los roles contenidos opcionales, condicionales y requeridos (¿Qué son los roles?) aumentan la flexibilidad. Las definiciones de roles flexibles pueden reducir el número total de roles que necesita administrar la organización.

La Figura 5–2 muestra que los roles de negocio y de TI pueden asignarse directamente a los usuarios si se ha actualizado a la versión 8.0 una versión anterior de Identity Manager. Al actualizar, los roles anteriores se convierten en roles de TI y, para garantizar la compatibilidad con versiones anteriores, los roles de TI se asignan directamente a los usuarios. Si Identity Manager no se ha actualizado desde una versión anterior a la 8.0, sólo se podrán asignar directamente a los usuarios roles de negocio.

Figura 5–2 Roles y recursos que se pueden asignar directamente a los usuarios.

Figura que muestra cómo se asignan los roles de negocio y de TI a los usuarios