Capítulo 7 Carga y sincronización de datos

En este capítulo se incluye información y procedimientos para utilizar las funciones de carga y sincronización de datos de Identity Manager. Aprenderá a usar las herramientas de sincronización de datos de Identity Manager(descubrimiento, reconciliación y sincronización) para mantener actualizados los datos.

La información se ha organizado como sigue:

• Herramientas de sincronización de datos: ¿cuál usar?

• Funciones de descubrimiento de cuentas

• Reconciliación de cuentas

• Adaptadores Active Sync

Encontrará una explicación detallada sobre cómo funcionan la carga y la sincronización de datos en Identity Manager en el Capítulo 3, Data Loading and Synchronization de Sun Identity Manager Deployment Guide.

Herramientas de sincronización de datos: ¿cuál usar?

Identity Manager ofrece diversas herramientas para importar y sincronizar datos de cuenta. Encontrará ayuda para seleccionar la herramienta correcta con una tarea específica en la Tabla 7–1.

---

Nota –

Encontrará una explicación detallada sobre cómo funcionan la carga y la sincronización de datos en Identity Manager en el Capítulo 3, Data Loading and Synchronization de Sun Identity Manager Deployment Guide.

---

Tabla 7–1 Tareas con herramientas de sincronización de datos

Para	Elija esta función
Extraer inicialmente cuentas de recursos en Identity Manager sin verlas antes de cargarlas.	Cargar desde recurso
Extraer inicialmente cuentas de recursos en Identity Manager con la posibilidad de ver y editar los datos antes de cargarlas.	Extraer a archivo, Cargar desde archivo
Extraer periódicamente cuentas de recursos en Identity Manager realizando acciones en cada cuenta según la directiva configurada.	Reconciliar con recursos
Introducir o extraer cambios de cuentas de recursos en Identity Manager.	Sincronización con adaptadores Active Sync (múltiples implementaciones de recursos)

Funciones de descubrimiento de cuentas

Las funciones de descubrimiento de cuentas de Identity Manager facilitan la implementación rápida y aceleran las tareas de creación de cuentas.

Estas funciones son:

• Extraer a archivo. Extrae a un archivo (en formato CSV o XML) las cuentas de recursos devueltas por un adaptador de recursos. Este archivo se puede manipular antes de importar los datos a Identity Manager.

• Cargar desde archivo. Lee las cuentas en un archivo (en formato CSV o XML) y las carga en Identity Manager.

• Cargar desde recurso. Combina las otras dos funciones de descubrimiento; extrae las cuentas de un recurso y las carga directamente en Identity Manager.

Estas herramientas le permiten crear nuevos usuarios de Identity Manager o correlacionar cuentas de un recurso con cuentas de usuario de Identity Manager existentes.

---

Nota –

En esta sección se explica el uso de las funciones de descubrimiento de Identity Manager. Para obtener información detallada sobre la carga y la sincronización de datos, consulte el Capítulo 3, Data Loading and Synchronization de Sun Identity Manager Deployment Guide.

---

Extraer a archivo

Use esta función para extraer cuentas de recursos desde un recurso a un archivo de texto CSV o XML. Ello le permite ver y modificar los datos extraídos antes de importarlos a Identity Manager.

Para extraer cuentas

1. En la barra de menús, seleccione Cuentas y después Extraer a archivo.

2. Seleccione un recurso desde el que desee extraer las cuentas.

3. Seleccione un formato de archivo para la presentación de información de cuenta. Puede extraer datos a un archivo XML o a un archivo de texto con atributos de cuenta con un formato de valores separados por comas (CSV).

4. Haga clic en Descargar. Identity Manager muestra un cuadro de diálogo de descarga de archivos donde puede guardar o ver el archivo extraído.

   Si decide abrir el archivo, quizá tenga que seleccionar un programa para verlo.

Cargar desde archivo

Use esta función para cargar en Identity Manager cuentas de recursos extraídas desde un recurso a través de Identity Manager o desde otro archivo de recursos. Los archivos generados con la función Extraer a archivo de Identity Manager tienen formato XML. Al cargar una lista de nuevos usuarios, el archivo de datos suele tener formato CSV.

Acerca del formato de archivo CSV

Es frecuente que las cuentas que se van a cargar aparezcan en una hoja de cálculo y se guarden en un formato de valores separados por comas (CSV) para cargarlas en Identity Manager.

El contenido del archivo CSV debe respetar estas pautas:

• Línea 1. Muestra los encabezados de columna o los atributos de esquema de cada campo, separados por comas.

• Línea y sucesivas. Enumeran los valores de cada atributo definido en la línea 1, separados por comas. Si no hay datos para un valor de campo, ese campo debe representarse con comas adyacentes.

  Por ejemplo, las tres primeras líneas de un archivo CVS podrían ser análogas a las entradas de este ejemplo:

  firstname,middleinitial,lastname,accountId,asciipassword,EmployeeID,Department,Phone
  John,Q,Example,E1234,E1234,1234,Operations,555-222-1111
  Jane,B,Doe,E1111,E1111,1111,,555-222-4444

  En este ejemplo, la segunda usuaria, Jane Doe, carece de departamento. El valor que falta aparece representado con comas adyacentes (,,).

Para cargar cuentas

1. En la interfaz de administración, seleccione Cuentas en el menú y después Cargar desde archivo.

   Identity Manager muestra la página Cargar cuentas desde archivo.

   Figura 7–1 Cargar desde archivo

   
   

2. Utilice esta página para especificar las opciones de carga de cuentas adecuadas.

   Las opciones incluyen:

   • Formulario de usuario. Cuando la carga crea un usuario, el formulario de usuario asigna una organización, así como roles, recursos y otros atributos. Seleccione el formulario de usuario que se deba aplicar a cada cuenta de recursos.

   • Regla de correlación de cuentas. Una regla de correlación de cuentas selecciona los usuarios que pueden poseer las cuentas de recursos sin propietario. Una vez especificados los atributos de una cuenta de recursos sin propietario, la regla de correlación devolverá una lista de nombres o una lista de condiciones de atributo que se utilizará para seleccionar posibles propietarios. Seleccione una regla para buscar usuarios de Identity Manager que puedan ser propietarios de recursos que no sean propiedad de nadie.

   • Regla de confirmación de cuenta. Una regla de confirmación de cuenta elimina a cualquier usuario que no sea propietario de la lista de propietarios en potencia que selecciona la regla de correlación. Si se proporciona una vista completa del usuario de Identity Manager y de los atributos de una cuenta de recursos que no sea propiedad de nadie, una regla de confirmación devuelve el valor 'true' si el usuario es propietario de la cuenta y 'false' si no lo es. Seleccione una regla para probar cada propietario en potencia de una cuenta de recursos. Si selecciona Ninguna regla de confirmación, Identity Manager aceptará todos los propietarios potenciales sin necesidad de confirmación.

     ---

     Nota –

     Si en el entorno la regla de correlación va a seleccionar como máximo un propietario, no será necesario establecer ninguna regla de confirmación.

     ---

   • Cargar sólo coincidencias. Seleccione esta opción para cargar en Identity Manager sólo aquellas cuentas que coincidan con un usuario existente de Identity Manager. Si esta opción está seleccionada, la carga descartará todas las cuentas de recursos que no tengan coincidencias.

   • Actualizar atributos. Seleccione esta opción para sustituir los valores de atributos del usuario actual de Identity Manager por los valores de atributos procedentes de la cuenta que se está cargando.

   • Atributos de combinación. Introduzca uno o más nombres de atributo, separados por comas, para los cuales los valores deberán combinarse (eliminando duplicados) en lugar de ser sobrescritos. Utilice esta opción sólo para atributos tipo lista, tales como grupos y listas de correo. También debe seleccionar la opción Actualizar atributos.

   • Nivel de resultado. Seleccione un umbral en el que el proceso de carga registrará un resultado concreto para una cuenta:

     • Errores solamente. Registre un resultado individual sólo cuando el proceso de carga de la cuenta genere un mensaje de error.

     • Advertencias y errores. Registre un resultado concreto cuando el proceso de carga de la cuenta genere un mensaje de error o de advertencia.

     • De carácter informativo y más. Registre un resultado concreto para cada cuenta. Esto hace que el proceso de carga se ejecute más lentamente.

3. En el campo Archivo para cargar, especifique un archivo para cargarlo y después elija Cargar cuentas.

   ---

   Nota –

   • Si el archivo de entrada no contiene ninguna columna de usuario, debe seleccionar una regla de confirmación para que la carga se realice correctamente.

   • El nombre de instancia de tarea asociado al proceso de carga se basa en el nombre del archivo de entrada; en consecuencia, si vuelve a utilizar un nombre de archivo, la instancia de tarea asociada al último proceso de carga sobrescribirá las instancias de las tareas anteriores.

     En Acerca del formato de archivo CSV se describen los campos y opciones disponibles en la pantalla Cargar desde archivo.

   Si una cuenta coincide (o está correlacionada) con usuario existente, el proceso de carga combinará la cuenta con el usuario. El proceso creará también un nuevo usuario de Identity Manager a partir de cualquier cuenta de entrada no correlacionada (salvo que se especifique Correlación requerida).

   La variable de configuración bulkAction.maxParseErrors establece un límite sobre el número de errores que puede haber al cargar un archivo. El límite predeterminado es 10 errores. Si se encuentra el número de errores indicado en maxParseErrors,, se detiene el análisis.

   ---

Cargar desde recurso

Use esta función para extraer e importar cuentas directamente a Identity Manager con arreglo a las opciones de carga que especifique.

Para importar cuentas

1. En la interfaz de administración, seleccione Cuentas en el menú y después Cargar desde recurso.

   Aparece la página "Cargar cuentas del recurso".

2. Especifique las opciones de carga en la página “Cargar cuentas del recurso”.

   Las opciones de carga de esta página son iguales a las de la página “Cargar desde archivo” (consulte Cargar desde archivo).

Reconciliación de cuentas

Use la función de reconciliación para comparar periódicamente cuentas de recursos en Identity Manager con las cuentas que realmente hay en los recursos. La reconciliación correlaciona los datos de cuenta y resalta las diferencias.

---

Nota –

En esta sección se explica cómo realizar tareas de reconciliación con la interfaz de administración. Para obtener información detallada sobre la reconciliación, consulte el Capítulo 3, Data Loading and Synchronization de Sun Identity Manager Deployment Guide.

---

Nociones sobre reconciliación

Como la reconciliación está concebida para comparaciones continuas, sus características son:

• Realiza un diagnóstico más específico de la situación de las cuentas y admite un abanico de respuestas más amplio que el proceso de descubrimiento.

• Se puede programar (el descubrimiento no).

• Ofrece un modo incremental (el descubrimiento siempre se efectúa en modo completo).

• Puede detectar cambios nativos (el descubrimiento no).

También es posible configurar la reconciliación para iniciar un flujo de trabajo arbitrario en cada uno de los siguientes puntos del procesamiento de un recurso:

• Antes de reconciliar una cuenta

• Con cada cuenta

• Tras reconciliar todas las cuentas

Se accede a las funciones de reconciliación de Identity Manager desde el área Recursos. La lista Recursos indica cuándo se reconcilió por última vez cada recurso y su estado de reconciliación actual.

---

Nota –

De la reconciliación se encarga el componente reconciliador de Identity Manager. Los valores de configuración del reconciliador se explican en .

---

Acerca de las directivas de reconciliación

Las directivas de reconciliación le permiten establecer un conjunto de respuestas, por recurso, para cada una de las tareas de reconciliación. En una directiva, puede seleccionar el servidor que ejecutará la reconciliación, determinar cuándo se debe realizar la reconciliación y con qué frecuencia, y definir respuestas para cada situación que se presente durante la reconciliación. También puede configurar la reconciliación para que detecte los cambios realizados de forma nativa (no a través de Identity Manager) en los atributos de cuenta.

Edición de directivas de reconciliación

Para editar una directiva de reconciliación

1. En la interfaz de administración, seleccione Recursos en el menú.

2. Seleccione un recurso de la lista Recursos.

3. En la lista Acciones de recurso, elija Editar directiva de reconciliación.

   Identity Manager muestra la página Editar directiva de reconciliación, donde puede seleccionar las siguientes opciones para la directiva:

   • Servidores de reconciliación. En un entorno de clúster, cada servidor puede ejecutar la reconciliación. Especifique qué servidor de Identity Manager ejecutará la reconciliación con respecto a los recursos de la directiva.

   • Modos de reconciliación. La reconciliación se puede llevar a cabo en distintos modos, lo que optimiza las diferentes cualidades.

     • Reconciliación completa. Optimiza la exactitud del proceso en detrimento de la velocidad.

     • Reconciliación incremental. Optimiza la velocidad en detrimento de la exactitud del proceso.

       Seleccione el modo en el que Identity Manager debe ejecutar la reconciliación con respecto a los recursos de la directiva. Seleccione No reconciliar para inhabilitar la reconciliación para los recursos de destino.

   • Programa de reconciliación completa. Si se habilita el modo de reconciliación completa, la misma se efectuará automáticamente según una programación fija. Especifique cuán frecuentemente deberá ejecutarse la reconciliación completa frente a los recursos de la directiva.

     • Seleccione la opción Heredar directiva predeterminada para heredar la programación indicada desde una directiva de nivel superior.

     • Desactive la opción Heredar directiva predeterminada para especificar un programa. Use los campos suministrados establecer un programa recurrente, o una regla de repetición de programación de tareas para personalizar el programa de reconciliación. Encontrará información para crear una regla de repetición de programación de tarea en Uso de reglas de repetición de programación de tareas.

   • Programa de reconciliación incremental. Si se habilita el modo de reconciliación incremental, la misma se efectuará automáticamente según una programación fija.

     • Seleccione la opción Heredar directiva predeterminada para heredar la programación desde una directiva de nivel superior.

     • Desactive la opción Heredar directiva predeterminada para especificar un programa. Use los campos suministrados establecer un programa recurrente, o una regla de repetición de programación de tareas para personalizar el programa de reconciliación. Encontrará información para crear una regla de repetición de programación de tarea en Uso de reglas de repetición de programación de tareas.

     ---

     Nota –

     No todos los recursos admiten reconciliación incremental.

     ---

   • Reconciliación a nivel de atributos. Es posible configurar la reconciliación para que detecte los cambios realizados de forma nativa (no a través de Identity Manager) en los atributos de cuenta. Especifique si desea que la reconciliación detecte los cambios nativos realizados en los atributos especificados en Atributos reconciliados de cuenta.

   • Regla de correlación de cuentas. Una regla de correlación de cuentas selecciona los usuarios que pueden poseer las cuentas de recursos sin propietario. Una vez especificados los atributos de una cuenta de recursos sin propietario, la regla de correlación devolverá una lista de nombres o una lista de condiciones de atributo que se utilizará para seleccionar posibles propietarios. Seleccione una regla para buscar usuarios de Identity Manager que puedan ser propietarios de recursos que no sean propiedad de nadie.

   • Regla de confirmación de cuenta. Una regla de confirmación de cuenta elimina a cualquier usuario que no sea propietario de la lista de propietarios en potencia que selecciona la regla de correlación. Si se proporciona una vista completa del usuario de Identity Manager y de los atributos de una cuenta de recursos que no sea propiedad de nadie, una regla de confirmación devuelve el valor 'true' si el usuario es propietario de la cuenta y 'false' si no lo es. Seleccione una regla para probar cada propietario en potencia de una cuenta de recursos. Si selecciona Ninguna regla de confirmación, Identity Manager aceptará todos los propietarios potenciales sin necesidad de confirmación.

     ---

     Nota –

     Si en el entorno la regla de correlación va a seleccionar como máximo un propietario, no será necesario establecer ninguna regla de confirmación.

     ---

   • Administrador de proxy. Especifique el administrador que utilizar cuando se lleven a cabo respuestas de reconciliación. La reconciliación sólo puede realizar aquellas acciones que le estén permitidas al administrador de proxy designado. La respuesta utilizará el formulario de usuario (si fuese necesario) asociado con este administrador.

     También puede seleccionar la opción No existe administrador del proxy. Cuando está seleccionada esta opción, pueden verse los resultados de la reconciliación pero no se ejecuta ninguna medida de respuesta o flujo de trabajo.

   • Opciones de situación (y respuesta) La reconciliación reconoce diversos tipos de situaciones, que se describen a continuación. Especifique en la columna Respuesta cualquier acción que deba efectuar la reconciliación.

     • CONFIRMADO. La cuenta esperada existe.

       Para que se marque como CONFIRMADO, debe cumplirse lo siguiente:

       • Identity Manager espera que la cuenta exista.

       • La cuenta existe en el recurso.

     • COLISIÓN. Dos o más usuarios de Identity Manager tienen asignada la misma cuenta en un recurso.

     • ELIMINADO. La cuenta esperada no existe.

       Para que se marque como ELIMINADO, debe cumplirse lo siguiente:

       • Identity Manager espera que la cuenta exista.

       • La cuenta no existe en el recurso.

     • ENCONTRADO. El proceso de reconciliación ha encontrado una cuenta coincidente en un recurso asignado.

       Para que se marque como ENCONTRADO, debe cumplirse lo siguiente:

       • Identity Manager espera que la cuenta pueda o no existir. (Una cuenta puede existir o no en un recurso si éste se ha asignado al usuario, pero aún no se ha abastecido.)

       • La cuenta existe en el recurso.

     • FALTA. No existe ninguna cuenta coincidente en un recurso asignado al usuario.

       Para que se marque como FALTA, debe cumplirse lo siguiente:

       • Identity Manager espera que la cuenta pueda o no existir. (Una cuenta puede existir o no en un recurso si éste se ha asignado al usuario, pero aún no se ha abastecido.)

       • La cuenta no existe en el recurso.

     • SIN ASIGNAR. El proceso de reconciliación ha encontrado una cuenta coincidente en un recurso no asignado al usuario.

       Para que se marque como SIN ASIGNAR, debe cumplirse lo siguiente:

       • Identity Manager no espera que la cuenta exista. (Identity Manager no espera que una cuenta exista si el recurso no está asignado al usuario.)

       • La cuenta existe en el recurso.

     • SIN COINCIDENCIAS. La cuenta del recurso no coincide con ningún usuario.

     • EN CONFLICTO. La cuenta del recurso coincide con más de un usuario.

       Seleccione una de las siguientes opciones de respuesta disponibles, que pueden variar según la situación:

       • Crear un nuevo usuario de Identity Manager basado en la cuenta de recursos. Ejecuta el formulario del usuario en los atributos de la cuenta de recursos para crear un nuevo usuario. La cuenta de recurso no se actualiza como resultado de los cambios.

       • Crear cuenta de recursos para el usuario de Identity Manager Vuelve a crear la cuenta de recurso que falta con el formulario de usuario para generar de nuevo los atributos de cuenta de recurso.

       • Eliminar cuenta de recursos e Inhabilitar cuenta de recursos Elimina/Inhabilita la cuenta en el recurso.

       • Vincular cuenta de recursos con usuario de Identity Manager y Desvincular cuenta de recursos de usuario de Identity Manager. Añade o quita la asignación de cuenta de recursos al usuario. No se efectúa ningún procesamiento del formulario.

       • No hacer nada. Elija esta opción si prefiere que la reconciliación no efectúe ninguna reparación.

         Puede reparar manualmente cualquier situación de cuenta descubierta mediante reconciliación. Seleccione Recursos -> Examinar índice de cuenta en el menú. Desde aquí puede examinar la situación registrada para todas las cuentas que se han reconciliado. Haga clic con el botón secundario en una cuenta y aparecerá una lista con las opciones de reparación válidas. Para obtener más información, consulte Examen del índice de cuenta.

   • Flujo de trabajo de pre-reconciliación. La reconciliación puede ser configurada para ejecutar un flujo de trabajo especificado por el usuario antes de reconciliar un recurso. Especifique el flujo de trabajo que deberá ejecutar la reconciliación. Seleccione No ejecutar flujo de trabajo si no se debe ejecutar ningún flujo de trabajo.

   • Flujo de trabajo por cuenta. La reconciliación se puede configurar para ejecutar un flujo de trabajo especificado por el usuario después de responder a la situación de una cuenta de recursos. Especifique el flujo de trabajo que deberá ejecutar la reconciliación. Seleccione No ejecutar flujo de trabajo si no se debe ejecutar ningún flujo de trabajo.

   • Flujo de trabajo de post-reconciliación. La reconciliación se puede configurar para ejecutar un flujo de trabajo especificado por el usuario tras completar la reconciliación de un recurso. Especifique el flujo de trabajo que deberá ejecutar la reconciliación. Seleccione No ejecutar flujo de trabajo si no se debe ejecutar ningún flujo de trabajo.

   • Explicar la situación. Si se habilita, la reconciliación registrará información adicional sobre cómo se clasifican las situaciones de cuentas. Esta opción está inhabilitada de forma predeterminada. El registro de las explicaciones puede hacer que el proceso de reconciliación tarde más tiempo en completarse.

   • Límite de errores. Si está habilitada esta opción, la reconciliación terminará automáticamente cuando se haya producido el número de errores especificado durante el procesamiento. Un valor de 0 indica que no hay límite de errores. Desactive la opción Heredar directiva predeterminada para ver el campo Máximo de errores permitidos y escribir un valor.

   • Número máximo de cuentas suprimidas nativamente. Esta opción actúa como protección, porque evalúa el número de cuentas que faltan en el recurso y, si se supera un umbral, impide que el reconciliador desvincule las cuentas.

     Para habilitar esta función, desactive la casilla Heredar directiva predeterminada e introduzca un porcentaje en el campo Número máximo de cuentas suprimidas nativamente. El umbral debe configurarse con un porcentaje completo situado entre 0 y 100 (el 0 desactiva la función).

     Si el porcentaje de cuentas eliminadas supera el umbral, la reconciliación continúa todo el procesamiento no relacionado con las cuentas que faltan y termina con un error.

   Haga clic en Guardar para guardar los cambios de directiva.

Inicio de la reconciliación

A continuación se describen dos opciones para iniciar tareas de reconciliación.

• Reconciliación a intervalos programados

• Reconciliación inmediata

Para ejecutar la reconciliación a intervalos regulares

1. Abra la página Editar directiva de reconciliación como se explica en Edición de directivas de reconciliación.

2. Especifique los parámetros de programación de la reconciliación.

   La reconciliación se ejecutará en función de los parámetros definidos en la directiva.

Para ejecutar la reconciliación inmediatamente

1. En la interfaz de administración, seleccione Recursos en el menú.

2. Seleccione un recurso de la lista Recursos.

3. Elija una opción en la lista Acciones de recurso.

   Las opciones incluyen:

   • Reconciliación completa ahora

   • Reconciliación incremental ahora

     La reconciliación se ejecutará en función de los parámetros definidos en la directiva. Si la directiva incluye un programa definido para tareas de reconciliación a intervalos regulares, se seguirá ejecutando tal y como se especificó.

Para cancelar la reconciliación

1. En la interfaz de administración, seleccione Recursos en el menú.

2. Elija en la Lista de recursos el recurso cuya reconciliación desea cancelar.

3. Busque la lista Acciones de recurso y elija Cancelar la reconciliación.

Visualización del estado de la reconciliación

Hay dos formas principales de ver el estado de la reconciliación. Para ver el estado detallado de la reconciliación, abra la página Resultados de resumen de reconciliación para un recurso determinado. La Lista de recursos también ofrece directamente el estado resumido de la reconciliación.

Para ver el estado de la reconciliación

El estado detallado de la reconciliación aparece en la página Resultados de resumen de reconciliación.

1. En la interfaz de administración, seleccione Recursos en el menú.

2. Elija en la Lista de recursos el recurso cuyo estado de reconciliación desea ver.

3. Busque la lista Acciones de recurso y elija Ver estado de la reconciliación.

   Aparece la página Resultados de resumen de reconciliación para el recurso.

Para ver el estado de la reconciliación en la Lista Recursos

También puede ver el estado de la reconciliación en la Lista Recursos.

1. Abra la interfaz de administración.

2. Seleccione Recursos en el menú principal.

   La columna Estado indica las siguientes condiciones de estado de la reconciliación:

   • desconocido. No se conoce el estado. Los resultados de la tarea de reconciliación más reciente no están disponibles.

   • inhabilitado. La reconciliación está inhabilitada.

   • fallida. La última reconciliación no se ha podido completar.

   • satisfactorio. La última reconciliación se ha completado satisfactoriamente.

   • completado con errores. La última reconciliación se ha completado, pero con errores.

   ---

   Nota –

   Para ver los cambios del estado debe actualizar esta página. (La información no se actualiza automáticamente.)

   ---

Uso del índice de cuenta

El índice de cuenta registra el último estado conocido para cada cuenta de recurso reconocida por Identity Manager. Se mantiene sobre todo mediante reconciliación, pero otras funciones de Identity Manager también lo actualizan conforme es preciso.

Las herramientas de descubrimiento no actualizan el índice de cuenta.

Para buscar el índice de cuenta

Busque el índice de cuenta para ver el último estado conocido de una cuenta de recurso determinada.

1. En la interfaz de administración, seleccione Recursos en el menú.

2. Elija en la Lista de recursos el recurso cuyo índice de cuenta desea buscar.

3. Busque la lista Acciones de recurso y elija Buscar índice de cuenta.

   Aparece la página Buscar índice de cuenta.

4. Seleccione un tipo de búsqueda y, a continuación, escriba o seleccione los atributos de búsqueda.

   • Nombre de cuenta de recursos. Seleccione esta opción, elija un modificador (“comienza por”, “contiene” o “es”) y, a continuación, introduzca el nombre completo de una cuenta o sólo una parte.

   • El recurso es uno de. Seleccione esta opción y, a continuación, seleccione uno o varios recursos de la lista para encontrar las cuentas reconciliadas que residen en los recursos especificados.

   • Propietario. Seleccione esta opción, elija un modificador (“comienza por”, “contiene” o “es”) y, a continuación, introduzca el nombre completo de un propietario o sólo una parte. Para buscar cuentas sin propietario, busque cuentas que estén en la situación SIN ASIGNAR o EN TRÁMITE.

   • La situación es una de. Seleccione esta opción y, a continuación, seleccione una o varias situaciones de la lista para encontrar las cuentas reconciliadas en las situaciones especificadas.

5. Haga clic en Buscar para buscar cuentas que se ajusten a los parámetros de la búsqueda. Para limitar los resultados de la búsqueda puede especificar un número en el primer campo "Limitar resultados a". Por defecto, los resultados se limitan a las 1.000 primeras cuentas encontradas.

   Haga clic en Reinicializar consulta para borrar la página y realizar nuevas selecciones.

Examen del índice de cuenta

También es posible ver todas las cuentas de usuario de Identity Manager, con la posibilidad de reconciliarlas por usuario.

Para examinar el índice de cuenta

1. En la interfaz de administración, seleccione Recursos en el menú.

2. Elija Examinar índice de cuenta en el menú secundario.

   Aparece la página Examinar índice de cuenta.

   La tabla muestra todas las cuentas de recursos que conoce Identity Manager (pertenezcan o no a usuarios de Identity Manager). Esta información se agrupa por recurso o por organización de Identity Manager. Para cambiar esta vista, elija una opción en la lista Modificar vista del índice.

Operaciones con cuentas

Para trabajar con las cuentas de un recurso, seleccione la vista del índice Agrupar por recursos. Identity Manager muestra carpetas para cada tipo de recurso. Para ir a un recurso concreto, expanda su carpeta. Haga clic en + o - junto al recurso para ver todas las cuentas de recursos que conoce Identity Manager.

No aparecerán las cuentas que se hayan añadido directamente al recurso después de la última reconciliación con él.

Es posible realizar diversas acciones según la situación actual de la cuenta. Haga clic con el botón secundario en una cuenta y aparecerá una lista con las opciones de reparación válidas. También se pueden ver los detalles de la cuenta o elegir reconciliarla individualmente.

Operaciones con usuarios

Para trabajar con usuarios de Identity Manager , seleccione la vista del índice Agrupar por usuarios. En esta vista, los usuarios y las organizaciones de Identity Manager aparecen con una jerarquía similar a la de la página Lista de cuentas. Para ver las cuentas asignadas actualmente a un usuario en Identity Manager, vaya hasta él y haga clic en el indicador adjunto a su nombre. Bajo el nombre del usuario aparecen sus cuentas y el estado actual de las que conoce Identity Manager.

Es posible realizar diversas acciones según la situación actual de la cuenta. También se pueden ver los detalles de la cuenta o elegir reconciliarla individualmente.

Uso de reglas de repetición de programación de tareas

Las reglas de repetición de programación de tareas sirven para ajustar las programaciones de tareas. Por ejemplo, si quiere que las reconciliaciones previstas para el sábado se retrasen hasta el lunes siguiente, aplique una regla de repetición de programación de tareas.

Las reglas de repetición de programación de tareas permiten ajustar la programación tanto de reconciliaciones completas como incrementales.

Encontrará información para seleccionar reglas de repetición de programación de tareas en Edición de directivas de reconciliación.

Cómo se programan los horarios de reconciliación

Al terminar un trabajo de reconciliación, el componente reconciliador comprueba cuál es su próxima hora de ejecución programada.

Primero la obtiene de la programación predeterminada. Después ejecuta todas las reglas de repetición de programación de tareas aplicables para comprobar si hay que ajustar la programación. Si es preciso ajustar la programación, la programación de las reglas sustituye a la predeterminada para esa reconciliación.

---

Nota –

Las reglas de repetición de programación de tareas no pueden sustituir a la programación predeterminad. Sólo sustituyen las horas de inicio previstas para trabajos concretos.

---

Para ver la regla de ejemplo Acepta todas las fechas

A continuación se describe la regla de ejemplo interna Acepta todas las fechas.

1. En un editor de texto, abra el archivo ReconRules.xml, que se halla en el directorio sample de Identity Manager.

2. Busque la regla SCHEDULING_RULE_ACCEPT_ALL_DATES.

   Para que una regla se incluya en la lista del menú desplegable Regla de repetición de TaskSchedule (en la página Editar directiva de reconciliación), el atributo subtype de dicha regla debe configurarse en SUBTYPE_TASKSCHEDULE_REPETITION_RULE:

   <Rule subtype=’SUBTYPE_TASKSCHEDULE_REPETITION_RULE’ name=’SCHEDULING_RULE_ACCEPT_ALL_DATES’>

   Como hemos mencionado antes, las reglas de repetición de programación de tareas pueden modificar la programación de reconciliación predeterminada.

   La variable calculatedNextDate puede aceptar la siguiente fecha, que se calcula de la manera predeterminada, o devolver otra fecha. Como especifica la regla de ejemplo, calculatedNextDate acepta incondicionalmente la fecha predeterminada, lo que se aprecia en este extracto:

   <RuleArgument name=’calculatedNextDate’/> <block> <ref>calculatedNextDate</ref> </block>

   Para crear una programación personalizada, sustituya la lógica de la regla entre los elementos <block>. Por ejemplo, para cambiar la hora de inicio de la reconciliación a las 10:00 AM del sábado, incluya esta secuencia JavaScript entre los elementos <block>:

   <block> <script> var calculatedNextDate = env.get(’calculatedNextDate’); // Test to see if this task is scheduled for a Saturday // (Note that 6 is used to denote Saturday in JavaScript) if(calculatedNextDate.getDay() == 6) { // If so, set the time to 10:00:00 calculatedNextDate.setHours(10); calculatedNextDate.setMinutes(0); calculatedNextDate.setSeconds(0); } // Return the modified date calculatedNextDate; </script> </block>

   En Para ver la regla de ejemplo Acepta todas las fechas, calculatedNextDate se define inicialmente en la hora de programación predeterminada. Si la siguiente fecha de ejecución programada es un sábado, la regla programa la reconciliación para que empiece a las 10:00. Si la siguiente fecha de ejecución programada no es un sábado, Para ver la regla de ejemplo Acepta todas las fechas devuelve calculatedNextDate sin realizar ningún cambio y se utiliza la programación predeterminada.

   Para obtener más información sobre la creación de reglas personalizadas para usarlas en Identity Manager, consulte el Capítulo 4, Working with Rules de Sun Identity Manager Deployment Reference.

Adaptadores Active Sync

La función Activar sincronización de Identity Manager permite sincronizar con los datos de usuario de Identity Manager la información almacenada en un recurso autorizador externo (como una aplicación o base de datos). Si se configura la sincronización con un recurso de Identity Manager, éste puede recibir o sondear los cambios en el recurso autorizador.

Para configurar como afluyen los cambios de atributos de recursos a Identity Manager, especifique el Formulario de entrada en la directiva de sincronización del recurso (para el tipo de objeto de destino adecuado).

---

Nota –

En este capítulo se explica cómo realizar tareas de activación de la sincronización con la interfaz de administración. Para obtener información detallada sobre la activación de la sincronización, consulte el Capítulo 3, Data Loading and Synchronization de Sun Identity Manager Deployment Guide.

---

Configuración de la sincronización

Identity Manager emplea una directiva de sincronización para habilitar la sincronización de los recursos.

Para editar o configurar la sincronización

Cada recurso tiene su propia directiva de sincronización. Siga estos pasos para configurar o editar una directiva de sincronización:

1. En la interfaz de administración, seleccione Recursos en el menú.

2. Elija en la Lista de recursos el recurso para el que desea configurar la sincronización.

3. Busque la lista Acciones de recurso y elija Editar directiva de sincronización.

   Aparece la página Editar directiva de sincronización para el recurso.

   En la página Editar directiva de sincronización, especifique las opciones siguientes para configurar la sincronización:

   • Tipo de objeto destino. Seleccione el tipo de usuarios a los que se aplica la directiva, ya sean usuarios de Identity Manager o de un proveedor de servicios.

     ---

     Nota –

     En una implementación de Service Provider, debe configurar una directiva de sincronización (especificando el tipo de objeto Usuarios de Service Provider) para habilitar la sincronización de los datos para esos usuarios. Para obtener más información sobre los usuarios de proveedor de servicios, consulte el Capítulo 17Administración de Service Provider.

     ---

   • Configuración de la programación. En esta sección se especifica el método de inicio y la programación del sondeo.

     Puede especificar los siguientes tipos de inicio:

     • Automático con conmutación por errores. Inicia el origen obligatorio al iniciar Identity System (Sistema de identidad).

     • Manual. Es necesario que un administrador inicie el origen obligatorio.

     • Inhabilitado. Inhabilita el recurso.

       Use las opciones Fecha de inicio y Hora de inicio para indicar cuándo comienza el sondeo. Para especificar los ciclos de sondeo, seleccione un intervalo e introduzca un valor para el intervalo (segundos, minutos, horas, días, semanas, meses).

       ---

       Nota –

       Si cambia el método de inicio o la programación del sondeo, ha de reiniciar el servidor para que los cambios surtan efecto.

       ---

       Si establece la fecha y hora de inicio del sondeo para un momento futuro, se iniciará cuando se haya especificado. Si por el contrario establece la fecha y hora de inicio del sondeo para un momento pasado, Identity Manager determinará cuándo se inicia el sondeo en función de esta información y del intervalo de sondeo.

       Por ejemplo:

       • Supongamos que configura la sincronización activa del recurso para que se realice el 18 de julio de 2005 (martes).

       • Por otro lado, establece que el sondeo se realice semanalmente con fecha de inicio el 4 de julio de 2005 (lunes) a las 9:00 a.m.

     En este caso, el recurso comenzará el sondeo el 25 de julio de 2005 (el lunes siguiente).

     Si no especifica una fecha ni una hora de inicio, el recurso comenzará a realizar el sondeo inmediatamente. Si adopta este enfoque, cada vez que se reinicie el servidor de aplicaciones, todos los recursos configurados para la sincronización activa comenzarán el sondeo de inmediato. Lo habitual es configurar una fecha y hora de inicio.

   • Servidores de sincronización. En un entorno de clúster, cada servidor puede ejecutar la sincronización. Elija una opción para especificar los servidores que se utilizarán para ejecutar la sincronización del recurso.

     • Seleccione Usar cualquier servidor disponible si no importa donde debería ejecutarse la reconciliación. Se elegirá un servidor entre los posibles cuando se inicie la sincronización.

     • Seleccione Use los valores de waveset.properties para ejecutar la sincronización con los servidores que especifica dicho archivo. (Esta función está desaprobada.)

     • Seleccione Usar servidores especificados y después elija uno o varios servidores disponibles en la lista Servidores de sincronización para seleccionar servidores concretos donde ejecutar la sincronización.

   • Configuración específica de los recursos. En esta sección se especifica cómo la sincronización debe determinar los datos que se procesan para el recurso.

   • Configuración común. Indique los valores de configuración comunes para las actividades de sincronización de datos.

     Estos valores incluyen:

     • Administrador de proxy. Seleccione el administrador que procesará las actualizaciones. Todas las acciones se autorizarán en función de las capacidades asignadas a este administrador. Debe seleccionar un administrador de proxies con un formulario de usuario vacío.

     • Formulario de entrada. Seleccione el formulario de entrada que procesará las actualizaciones de datos. Este elemento opcional de configuración permite que los atributos sean transformados antes de ser guardados en las cuentas.

     • Reglas (opcional). Seleccione las reglas que deben aplicarse durante el proceso de sincronización de datos.

       Puede especificar lo siguiente:

       • Regla de proceso. Seleccione esta regla para especificar la ejecución de una regla de proceso para cada cuenta entrante. Esta selección anula todas las demás opciones. Si especifica una regla de proceso, el proceso se ejecutará para cada fila, independientemente de cualquier otro ajuste de este recurso. Puede ser un nombre de proceso o una regla que evalúe un nombre de proceso.

       • Regla de correlación. Seleccione una regla de correlación que anule la regla de correlación especificada en la directiva de reconciliación del recurso. Las reglas de correlación correlacionan las cuentas de recursos con las cuentas de Identity System.

       • Regla de confirmación. Seleccione una regla de confirmación que anule la regla de correlación especificada en la directiva de confirmación del recurso.

       • Regla de resolución de procesos. Seleccione esta regla para especificar el nombre de la definición de tarea que se debe ejecutar cuando haya varias coincidencias para un registro en el suministro. Debe ser un proceso que solicite al administrador que realice una acción manual. Puede ser un nombre de proceso o una regla que evalúe un nombre de proceso.

       • Regla de eliminación. Seleccione una regla que devuelva el valor "True" (Verdadero) o "False" (Falso) que se evaluará para cada usuario entrante con objeto de determinar si se debe producir una operación de eliminación.

     • Crear cuentas sin asignar. Cuando esta opción se encuentra habilitada (true), el adaptador intenta crear las cuentas que no encuentra en el sistema Identity Manager. Si está habilitada, el adaptador ejecutará la cuenta durante el proceso devuelto por la regla de resolución de procesos.

     • Configuración de registro. Especifique un valor para las opciones de registro.

       Las opciones de registro son:

       • Número máximo de archivos de registro. Si es mayor que cero, se conserva el último número N de archivos de registro. Si es cero, se vuelve a utilizar siempre el mismo archivo de registro. Si es -1, nunca se descartan los archivos de registro.

       • Edad máxima del registro activo. Después de que haya transcurrido este periodo de tiempo, el registro activo se archivará. Si se establece en 0, no se realizará ninguna operación de archivado basada en tiempo. Si el valor de "Número máximo de archivos de registro" es cero, se trunca el registro activo y se vuelve a utilizar una vez transcurrido este periodo de tiempo. Este criterio de edad se evalúa independientemente del criterio de tiempo especificado en la opción de tamaño máximo de archivo de registro.

         Introduzca un número y, a continuación, seleccione una unidad de tiempo (días, horas, minutos, meses, segundos o semanas). La selección predeterminada está establecida en días.

       • Ruta de archivo de registro. Especifique la ruta del directorio en el que se deben crear los archivos de registro activos y archivados. Los nombres de los archivos de registro deben comenzar por el nombre de recurso.

       • Tamaño máximo del archivo de registro. Especifique un tamaño máximo en bytes para el archivo de registro activo. El archivo de registro activo se archivará cuando alcance su tamaño máximo. Si el valor de "Número máximo de archivos de registro" es cero, se trunca el registro activo y se vuelve a utilizar una vez transcurrido este periodo de tiempo. Este criterio de tamaño se evalúa independientemente del criterio de edad especificado en la opción de edad máxima del registro activo.

       • Nivel de registro. Especifique un nivel de registro.

         Hay disponibles los siguientes niveles de registro:

         • 0. Sin registro

         • 1. Error

         • 2. Información

         • 3. Detallado

         • 4. Depurar

4. Haga clic en Guardar para guardar la configuración de la directiva para el recurso.

Edición de Adaptadores Active Sync

Antes de editar un adaptador Active Sync, detenga la sincronización.

Para detener la sincronización

1. Abra la página Editar directiva de sincronización. (Consulte las instrucciones en Para editar o configurar la sincronización.)

2. Dentro de Configuración de la programación, busque Tipo de inicio y seleccione Inhabilitado.

   Para los usuarios de Service Provider, desactive la opción Habilitar sincronización.

   Aparece un mensaje de advertencia para avisar que la sincronización está inhabilitada.

3. Pulse Guardar.

   Cuando se inhabilita la sincronización de un recurso, se detiene la tarea de sincronización al guardar los cambios.

Ajuste del rendimiento del adaptador Active Sync

Como la sincronización se efectúa en segundo plano, la configuración del adaptador Active Sync puede afectar al rendimiento del servidor.

Para ajustar el rendimiento del adaptador Active Sync se realizan estas tareas:

• Cambio de los intervalos de sondeo

• Especificación del host donde se ejecuta el adaptador

• Inicio y detención

• Registro del adaptador

Los adaptadores Active Sync se gestionan con la lista de recursos. Seleccione un adaptador Active Sync y, a continuación, acceda a las acciones de los controles de inicio, parada y actualización de estado en el área Sincronización de la lista Acciones de recurso.

Cambio de los intervalos de sondeo

El intervalo de sondeo determina cuándo el adaptador Active Sync empieza a procesar nuevo información. Los intervalos de sondeo deben basarse en el tipo de actividad realizada. Por ejemplo, si el adaptador lee una lista larga de usuarios en una base de datos y actualiza cada vez todos los usuarios de Identity Manager, le interesa ejecutar este proceso diariamente por la mañana temprano. Algunos adaptadores efectúan una busca rápida de nuevos elementos, lo que permite configurar su ejecución cada minuto.

Especificación del host donde se ejecuta el adaptador

Para especificar el host donde se ejecutarán los adaptadores, debe editar la propiedad sources.hosts en el archivo waveset.properties.

Especifique uno de estos valores:

• Defina sources.hosts=nombrehost1,nombrehost2,nombrehost3 . Este valor de configuración enumera los nombres de host de las máquinas donde deben ejecutarse los adaptadores Active Sync. El adaptador se ejecutará en el primer host disponible que aparezca en este campo.

  ---

  Nota –

  El nombrehost introducido debe coincidir con una entrada de la lista de servidores de Identity Manager. Para ver la lista de servidores, use la ficha Configurar.

  ---

• Consulte sources.hosts=localhost. Con este valor, el adaptador se ejecutará en el primer servidor de Identity Manager que intente iniciar Active Sync para el recurso.

  ---

  Nota –

  En un clúster hay que utilizar la primera opción cuando es preciso especificar un servidor concreto.

  Este valor de la propiedad sólo se aplica a la sincronización de usuarios de Identity Manager. La configuración de host para sincronizar usuarios de Service Provider la establece la directiva de sincronización.

  ---

Los adaptadores Active Sync que requieren más memoria y ciclos de CPU se pueden configurar para ejecutarse en servidores dedicados con el fin de contribuir a equilibrar la carga de los sistemas.

Inicio y detención

Los adaptadores Active Sync se pueden inhabilitar, iniciar a mano o iniciar automáticamente. Para iniciar o detener los adaptadores Active Sync se necesita la capacidad de administrador adecuada para cambiar los recursos de activación de la sincronización. Para obtener información sobre las capacidades de administrador, consulte Categorías de capacidades.

Si un adaptador se configura para el inicio automático, se reinicia cuando lo hace el servidor de aplicaciones. Cuando se inicia un adaptador, se ejecuta inmediatamente con el intervalo de sondeo especificado. Cuando se detiene un adaptador, se detendrá la próxima vez que verifique la marca de parada.

Registro del adaptador

Los registros de adaptador capturan información sobre el adaptador que está procesándose. El volumen de detalles que captura el registro depende del nivel de registro que se haya configurado. Los registros de adaptador son útiles para depurar problemas y observar el progreso del proceso del adaptador.

Cada adaptador tiene su propio archivo de registro, ruta y nivel de registro. Estos valores se especifican en la sección Registro de la directiva de sincronización para el tipo de usuario apropiado (Identity Manager o Service Provider).

Los registros de adaptador sólo deben eliminarse cuando se haya detenido el adaptador. En la mayoría de los casos, antes de borrar el registro del adaptador conviene realizar una copia para archivarla.