Creación de roles

En esta sección se explica cómo crear roles a lo largo de los siguientes apartados:

• Para crear roles con el formulario de creación de roles

• Para asignar recursos y grupos de recursos

• Para editar valores de atributos de recursos asignados

• Para asignar roles y exclusiones de roles

• Designación de propietarios y aprobadores de roles

• Designación de notificaciones

• Inicio de elementos de trabajo de aprobaciones de cambio y de aprobación

Dentro de Uso de tipos de roles para diseñar roles flexibles encontrará consejos para diseñar roles.

Cuando se crea o edita un rol, Identity Manager inicia el flujo de trabajo ManageRole. Este flujo de trabajo guarda el rol nuevo o actualizado en el depósito y le permite insertar aprobaciones u otras acciones antes de crear o guardar el rol.

Para crear roles con el formulario de creación de roles

1. En la interfaz de administración, seleccione Roles en el menú principal.

   Aparece la página Roles (ficha Listar roles).

2. Haga clic en Nuevo en la parte inferior de la página.

   Aparece la página Crear rol de TI. Para crear otro tipo de rol, use el menú desplegable Tipo.

3. Rellene los campos del formulario de la ficha Identidad.

   La figura siguiente muestra la ficha Identidad.

   Figura 5–3 Ficha Identidad en la página Crear rol de TI

   
   

4. Rellene los campos del formulario de la ficha Recursos (si procede. Encontrará ayuda para rellenar los campos de esta ficha en la ayuda en línea y en el apartado Para asignar recursos y grupos de recursos.

   Para aprender a definir valores de atributos extendidos en los roles, consulte el apartado Para ver o editar atributos de cuentas de recursos.

   La figura siguiente muestra la ficha Recursos.

   Figura 5–4 Ficha Recursos en la página Crear rol de TI

   
   

5. Rellene los campos del formulario de la ficha Recursos (si procede). Encontrará ayuda para rellenar los campos de esta ficha en la ayuda en línea y en el apartado Para asignar roles y exclusiones de roles.

   La Figura 5–6 muestra la ficha Roles.

6. Rellene los campos del formulario de la ficha Seguridad. Encontrará ayuda para rellenar los campos de esta ficha en la ayuda en línea y en los apartados Designación de propietarios y aprobadores de roles y Designación de notificaciones.

   Designación de propietarios y aprobadores de roles muestra la ficha Seguridad.

7. Haga clic en Guardar en la parte inferior de la página.

8. Introduza un nombre y una descripción del rol en la ficha Identidad del formulario de creación de roles. Si va a crear un rol nuevo, seleccione el tipo en el menú desplegable Tipo.

   La Figura 5–4 muestra el área Identidad de la ficha Identidad del formulario de creación de roles. En la ayuda en línea se explica cómo utilizar este formulario.

Para asignar recursos y grupos de recursos

Los recursos y grupos de recursos pueden asignarse directamente a roles de TI y de aplicación en la ficha Recursos del formulario de creación de roles. Los recursos se describen más adelante en la sección Conceptos y administración de recursos de Identity Manager. Los grupos de recursos se describen en la sección Grupos de recursos.

• Los recursos y grupos de recursos no se pueden asignar directamente a los roles de negocio, porque a los roles de negocio sólo se les pueden asignar roles de negocio.

• Los recursos y grupos de recursos no se pueden asignar a roles de activo, ya que los roles de activo se reservan para los recursos no conectados o no digitales que requieren abastecimiento manual.

A continuación se explica cómo asignar recursos y grupos de recursos a un rol al rellenar el formulario de creación de roles. Consulte el procedimiento inicial en Para crear roles con el formulario de creación de roles.

1. Haga clic en la ficha Recursos de la página Crear rol.

2. Para asignar un recurso, selecciónelo en la columna Recursos disponibles y trasládelo a la columna Recursos vigentes mediante los botones de flecha.

3. Si va a asignar varios recursos, puede especificar el orden en el que se actualizarán: seleccione la casilla Actualizar recursos en orden y utilice los botones + y - para cambiar el orden de los recursos en la columna Recursos vigentes.

4. Para asignar un grupo de recursos a este rol, selecciónelo en la columna Grupos disponibles de recursos y trasládelo a la columna Grupos vigentes de recursos mediante los botones de flecha. Un grupo de recursos es un conjunto de recursos que ofrece otra manera de especificar el orden en que se crean y actualizan las cuentas de recursos.

5. Para especificar atributos de cuenta para este rol en función del recurso, haga clic en Configurar valores de atributo dentro de la sección Recursos asignados. Encontrará más información en el apartado Para ver o editar atributos de cuentas de recursos.

6. Pulse Guardar para guardar el rol, o bien haga clic en las fichas Identidad, Roles o Seguridad para proseguir con el proceso de creación de roles.

   La figura siguiente muestra la ficha Recursos del formulario de creación de roles.

   Figura 5–5 Área Recursos del formulario con fichas de creación de roles.

   
   

Para editar valores de atributos de recursos asignados

Utilice la tabla Recursos asignados para definir o modificar valores de atributos de recursos asignados a un rol. Un recurso puede adoptar distintos valores de atributo por rol. Al pulsar el botón Configurar valores de atributo, aparece la página Atributos de cuentas de recursos.

La figura siguiente muestra la página Atributos de cuentas de recursos, que sirve para definir valores de atributo extendidos en los recursos asignados a un rol.

1. En la página Atributos de cuentas de recursos, especifique nuevos valores para cada atributo y cómo se definen los valores.

   Identity Manager permite configurar los valores directamente o aplicando una regla, y ofrece diversas opciones para sustituir los valores existentes o fusionarlos con otros. Encontrará información general sobre los valores de atributos de recursos en el apartado Para ver o editar atributos de cuentas de recursos.

   Utilice las opciones siguientes para establecer los valores de cada atributo de cuenta de recursos.

   • Toma de precedencia sobre valor. Elija una de estas opciones:

     • Ninguno (valor predeterminado). No se establece ningún valor.

     • Regla. Utiliza una regla para definir el valor.

       Si selecciona esta opción, debe seleccionar también un nombre de regla de la lista.

     • Texto. Utiliza el texto especificado para definir el valor.

       Si elige esta opción, deberá introducir el texto en el campo Texto adyacente.

   • Cómo configurar. Elija una de estas opciones:

     • Valor predeterminado. Define la regla o texto como el valor de atributo predeterminado.

       El usuario puede cambiar o sustituir este valor.

     • Definir como valor. Define el valor de atributo en la forma especificada por la regla o texto.

       Se definirá el valor y se sustituirán todos los cambios del usuario.

     • Combinar con valor. Fusiona el valor de atributo actual con los valores especificados por la regla o el texto.

     • Combinar con valor, eliminar valor existente. Elimina los valores de atributo actuales, y define el valor como una combinación de los valores especificados por éste y otros roles asignados.

     • Suprimir de valor. Elimina el valor especificado por la regla o el texto del valor de atributo.

     • Configuración autoritativa a valor. Define el valor de atributo en la forma especificada por la regla o texto.

       Se definirá el valor y se sustituirán todos los cambios del usuario. Si elimina el rol, el nuevo valor será nulo, aunque haya existido anteriormente en el atributo.

     • Combinación autoritativa con valor. Fusiona el valor de atributo actual con los valores especificados por la regla o el texto.

       Al eliminar el rol, se suprime el valor asignado al asignar el rol y el valor original del atributo permanece intacto.

     • Combinación autoritativa con valor, eliminar valor existente. Elimina los valores de atributo actuales, y define el valor como una combinación de los valores especificados por éste y otros roles asignados.

       Si se ha eliminado el rol, borra el valor de atributo especificado por ese rol, aunque haya existido anteriormente en el atributo.

   • Nombre de regla. Si selecciona Regla en el área de sustitución de valores, debe seleccionar también una regla de la lista.

   • Texto. Si ha seleccionado "Texto" en el área de sustitución de valores, introduzca un texto para añadirlo al valor de atributo, eliminarlo o utilizarlo como valor.

2. Haga clic en Aceptar para guardar los cambios y regresar a la página de creación o edición de roles.

Para asignar roles y exclusiones de roles

Los roles se pueden asignar a roles de negocio y a roles de TI con la ficha Roles del formulario Crear rol. Los roles asignados deben incluirse en la tabla Roles contenidos.

• No se pueden asignar roles a roles de aplicación ni de activo.

• Los roles de negocio no se pueden asignar a ningún tipo de rol.

Las exclusiones de roles pueden asignarse a los cuatro tipos de roles en la ficha Roles del formulario de creación de roles. Si un usuario tiene asignado un rol con una exclusión de rol, el rol excluido no se puede asignar a dicho usuario. Las exclusiones de roles deben incluirse en la tabla Exclusiones de rol.

A continuación se explica cómo asignar uno o varios recursos a un rol al rellenar el formulario de creación de roles. Consulte el procedimiento inicial en Para crear roles con el formulario de creación de roles.

Para rellenar la ficha Roles

1. Haga clic en la ficha Roles de la página Crear rol.

2. Seleccione Agregar en la sección Roles contenidos.

   La ficha se actualiza con el formulario Buscar roles para contener.

3. Busque el rol o roles que desea asignar a éste. Empiece por los roles requeridos. (Después añadirá los roles condicionales y opcionales.)

   Encontrará información sobre el uso del formulario de búsqueda en el apartado Para buscar roles. Los roles de negocio no se pueden anidar ni asignar a otros tipos de roles.

4. Seleccione los roles que desea asignar mediante las casillas de verificación y después pulse Agregar.

   La ficha se actualiza con el formulario Agregar rol contenido.

5. En el menú desplegable Tipo de asociación, elija el tipo de rol requerido (o condicional u opcional, según proceda).

   Haga clic en Aceptar.

6. Repita los cuatro pasos anteriores para agregar roles condicionales (en su caso). Repita los cuatro pasos anteriores para agregar roles opcionales (en su caso).

7. Pulse Guardar para guardar el rol, o bien haga clic en las fichas Identidad, Recursos o Seguridad para proseguir con el proceso de creación de roles.

   La Figura 5–6 ilustra la ficha Roles del formulario de creación de roles. En la ayuda en línea se explica cómo utilizar este formulario.

   Figura 5–6 Área Roles del formulario con fichas de creación de roles.

   
   

Designación de propietarios y aprobadores de roles

Los roles tienen propietarios y aprobadores designados. Sólo los propietarios de roles pueden autorizar modificaciones en los parámetros que definen el rol, mientras que sólo los aprobadores de roles pueden autorizar la asignación del rol a los usuarios finales.

Si tiene Identity Manager integrado con Sun^TM Role Manager, debe permitir que Role Manager gestione todas las aprobaciones y notificaciones de cambios, para lo cual deben inhabilitar manualmente la capacidad de realizar estas acciones de Identity Manager.

Debe editar como sigue el objeto de configuración RoleConfiguration en Identity Manager:

• Busque todas las instancias de changeApproval y defina el valor en false.

• Busque todas las instancias de changeNotification y defina el valor en false.

Ser propietario de un rol es ser el responsable propietario del negocio para los derechos de la cuenta de recursos subyacente asignados mediante el rol. Si un administrador modifica un rol, un propietario del rol debe aprobar los cambios para que se apliquen. Esta función impide que un administrador cambie un rol sin el conocimiento y la aprobación de un propietario de negocio. No obstante, si se han inhabilitado las aprobaciones de cambios en el objeto de configuración de rol, no se necesita la aprobación de un propietario de rol para que se apliquen los cambios.

Además de aprobar los cambios de rol, los roles no se pueden habilitar, inhabilitar ni eliminar sin la aprobación de su propietario.

Los propietarios y aprobadores de roles pueden agregarse a un rol directamente o bien dinámicamente mediante una regla de asignación de roles. En Identity Manager es posible (pero no aconsejable) crear roles sin propietarios y aprobadores.

Las reglas de asignación de roles tienen un tipo de autenticación RoleUserRule authType.

Para crear una regla de asignación de roles personalizada, guíese por los tres objetos de regla de asignación de roles predeterminados.

• Aprobadores de roles

• Notificaciones de roles

• Propietarios de roles

Cuando un elemento de trabajo requiere la aprobación de los propietarios y los aprobadores, se les notifica por correo electrónico. Los elementos de trabajo de aprobaciones de cambio y de aprobación se tratan en la sección Inicio de elementos de trabajo de aprobaciones de cambio y de aprobación.

Los propietarios y aprobadores se agregan a los roles en la ficha Seguridad del formulario de creación de roles.

Designación de propietarios y aprobadores de roles muestra la ficha Seguridad del formulario de creación de roles. En la ayuda en línea se explica cómo utilizar este formulario.

Designación de notificaciones

Se puede enviar una notificación a uno o varios administradores cuando se asigne un rol a un usuario.

Especificar el destinatario de la notificación es optativo. Puede decidir notificar a un administrador si prefiere no exigir aprobación cuando se asigne un rol a un usuario. O quizá designe un administrador para que actúe como aprobador y otro administrador para que reciba las notificaciones cuando se efectúe la aprobación.

Como los propietarios y aprobadores, las notificaciones pueden agregarse a un rol directamente o bien dinámicamente mediante una regla de asignación de roles. Cuando se asigna un rol a un usuario, se avisa a los destinatarios de la notificación por correo electrónico. Sin embargo, no se crea ningún elemento de trabajo, ya que no se requiere aprobación.

Las notificaciones se asignan a roles en la ficha Seguridad del formulario de creación de roles. Designación de propietarios y aprobadores de roles muestra la ficha Seguridad del formulario de creación de roles.

Inicio de elementos de trabajo de aprobaciones de cambio y de aprobación

Cuando se efectúan cambios en un rol, sus propietarios pueden recibir por correo electrónico una aprobación de cambio, una notificación de cambio o no recibir nada. Cuando se asigna un rol a un usuario, los aprobadores del rol reciben mensajes de aprobación del rol por correo electrónico.

De manera predeterminada, los propietarios de roles reciben mensajes de aprobación de cambio por correo electrónico siempre que se modifican los roles que detentan. No obstante, este comportamiento se puede modificar por tipo de rol. Por ejemplo, puede optar por habilitar aprobaciones de cambio para los roles de negocio y de TI y notificaciones de cambio para los roles de aplicaciones y activos.

En Configuración de tipos de roles encontrará instrucciones para habilitar e inhabilitar los mensajes de aprobación y notificación de cambio por correo electrónico.

Las aprobaciones y las notificaciones de cambio funcionan así:

• Si las aprobaciones de cambio están habilitadas, cuando un administrador modifica un rol se genera un elemento de trabajo y se envía un mensaje de aprobación por correo electrónico al propietario del rol. Para que el cambio sea efectivo, un propietario de roles debe aprobar el elemento de trabajo. Es posible delegar los elementos de trabajo de aprobación de cambio. Para obtener más información, consulte Aprobación de cuentas de usuario.

  Si las aprobaciones de cambio están inhabilitadas, no se genera ningún elemento de trabajo ni se envía ningún mensaje de aprobación por correo electrónico al propietario del rol.

• Si las notificaciones de cambio están habilitadas, cuando un administrador modifica un rol el cambio tiene efecto de inmediato y se envía un mensaje de notificación por correo electrónico al propietario del rol.

  Si las notificaciones de cambio están inhabilitadas, no envía ninguna notificación al propietario del rol.

Cuando se asigna un rol a un usuario, los aprobadores del rol reciben mensajes de aprobación del rol por correo electrónico. En Identity Manager no se puede inhabilitar el correo electrónico de aprobación de roles.

En el caso de las aprobaciones de roles, cuando se asigna un rol a un usuario se genera un elemento de trabajo y se envía un mensaje de aprobación por correo electrónico al aprobador del rol. Para que el rol se asigne al usuario, un aprobador de roles debe aprobar el elemento de trabajo.

Es posible delegar los elementos de trabajo de aprobación de cambio y de aprobación. Para obtener más información sobre la delegación de elementos de trabajo, consulte Delegación de elementos de trabajo.