Uso de tipos de autorización para proteger los objetos

Los permisos especificados en una capacidad AdminGroup suelen emplearse para conceder acceso a un tipo de objeto (objectType) de Identity Manager, como Configuración, Regla o TaskDefinition. Sin embargo, conceder acceso a todos los objetos de un tipo (objectType) de Identity Manager dentro de una o más organizaciones controladas a veces resulta demasiado genérico.

Los tipos de autorización (AuthType) permiten delimitar o restringir más este acceso a un subconjunto de objetos para un determinado tipo de de objeto ( objectType) de Identity Manager. Por ejemplo, quizá no le interese que sus usuarios tengan acceso a todas las reglas de su ámbito de control cuando se rellenan reglas para seleccionar en un formulario de usuario.

Para definir un nuevo tipo de autorización, edite el objeto de configuración AuthorizationTypes en el depósito de Identity Manager y agregue un nuevo elemento <AuthType>.

Este elemento requiere dos propiedades:

• El nombre del nuevo tipo de autorización.

• El tipo de autorización u objectType existente que amplía o delimita el nuevo elemento.

Por ejemplo, si desea agregar un nuevo tipo de autorización de regla denominado Marketing Rule para ampliar Rule, deberá definir lo siguiente:

<AuthType name=’Marketing Rule’ extends=’Rule’/>

A continuación, para habilitar el tipo de autorización que se debe usar, hay que referenciarlo en dos sitios:

• Dentro de una capacidad AdminGroup personalizada que conceda uno o más derechos al nuevo tipo de autorización.

• Dentro de los objetos que deben ser de ese tipo.

Los siguientes ejemplos corresponden a ambas referencias. El primero muestra una definición de capacidad AdminGroup que concede acceso a Marketing Rules.

Ejemplo 12–4 Definición de capacidad AdminGroup

<AdminGroup name=’Marketing Admin’>
  <Permissions>
    <Permission type=’Marketing Rule’ rights=’View,List,Connect,Disconnect/>
  </Permissions>
  <AdminGroups>
    <ObjectRef type=’AdminGroup’ id=’#ID#Account Administrator’/>
  </AdminGroups>
</AdminGroup>

El siguiente ejemplo muestra una definición de regla (Rule) que permite a los usuarios acceder al objeto, porque disponen de acceso a Rule o Marketing Rule.

Ejemplo 12–5 Definición de Rule

<Rule name=’Competitive Analysis Info’ authType=’Marketing Rule’>
 ...
</Rule>

Todos los derechos de usuario concedidos para un tipo de autorización principal, o para un tipo estático ampliado por un tipo de autorización, son los mismos derechos para todos los tipos de autorización secundarios. Por tanto, en el ejemplo anterior, todos los derechos de usuario concedidos para Rule serán los mismos para Marketing Rule. En cambio, lo contrario no es cierto.