En este capítulo se explica la creación, edición, eliminación y asignación de directivas de auditoría mediante el Asistente de directiva de auditoría.
En este capítulo se explican los siguientes conceptos y tareas:
Para crear una directiva de auditoría, utilice el Asistente de directiva de auditoría de Identity Manager. Tras definir una directiva de auditoría, puede efectuar diversas acciones con ella, como modificarla o eliminarla.
Las reglas de directiva de auditoría definen infracciones específicas. Las reglas de directiva pueden contener funciones escritas en los lenguajes XPRESS, XML Object o JavaScript.
Puede usar el Asistente de directiva de auditoría para crear reglas sencillas, o bien Identity Manager IDE o un editor XML para crear reglas más avanzadas.
Las reglas deben tener el subtipo SUBTYPE_AUDIT_POLICY_RULE. Este subtipo se asigna automáticamente a las reglas generadas por el Asistente de directiva de auditoría.
Las reglas deben tener el tipo AuditPolicyRule. Este tipo de autorización se asigna automáticamente a las reglas generadas por el Asistente de directiva de auditoría.
Las reglas creadas por el Asistente de directiva de auditoría devuelven el valor true o false. Las reglas de directiva que devuelven true producen una infracción de directiva. Sin embargo, con Identity Manager IDE puede crear una regla que omita un usuario durante un análisis de auditoría o una revisión de acceso. Las reglas de directiva de auditoría que devuelven el valor ignore dejan de procesarse para ese usuario y pasan al siguiente usuario de destino.
Para obtener más información sobre la creación de reglas de directiva de auditoría, consulte el Capítulo 4, Working with Rules de Sun Identity Manager Deployment Reference.
Para crear una directiva de auditoría, utilice el Asistente de directiva de auditoría.
El Asistente de directiva de auditoría le guía por el proceso de creación de una directiva de auditoría. Utilice los pasos siguientes para acceder al asistente:
Inicie la sesión en la interfaz de administración (Inicio de sesión en la interfaz de usuario final de Identity Manager).
Haga clic en la ficha Cumplimiento.
Se abre la ficha o el menú Administrar directivas.
Para crear una directiva de auditoría nueva, pulse Nuevo.
Con el asistente se realizan las siguientes tareas para crear una directiva de auditoría:
Seleccionar o crear las reglas que se desean aplicar para definir los límites de la directiva.
Asignar aprobadores y establecer límites de escalada.
Asignar un flujo de trabajo de remediación.
Tras completar la tarea que aparece en cada pantalla del asistente, pulse Siguiente para continuar con el próximo paso.
Planifique detenidamente la creación de las directivas de auditoría. Antes de empezar, asegúrese de que ha realizado estas tareas:
Identifique las reglas que va a usar para crear la directiva en el Asistente de directiva de auditoría. Las reglas elegidas dependen del tipo de directiva que se va a crear y de las limitaciones concretas que interesa definir. Encontrará más información dentro del apartado siguiente, Para identificar qué reglas necesita.
Importe todas las reglas o flujos de trabajo de remediación que desee incluir en la nueva directiva. Encontrará más información en Importación de reglas de separación de tareas a Identity Manager (opcional).
Asegúrese de que tiene las capacidades necesarias para crear directivas de auditoría. Consulte las capacidades necesarias en Conceptos y administración de capacidades dentro del Capítulo 6Administración.
Las restricciones que especifica en la directiva se implementan en un conjunto de reglas que crea o importa. Siga estos pasos cuando utilice el Asistente de directiva de auditoría para crear una regla:
Identifique el recurso concreto con el que va a trabajar.
Seleccione un atributo de cuenta en la lista de atributos válidos para el recurso.
Seleccione una condición para aplicarla al atributo.
Introduzca un valor de comparación.
Para obtener más información sobre la creación de reglas de directiva de auditoría fuera del Asistente de directiva de auditoría, consulte el Capítulo 4, Working with Rules de Sun Identity Manager Deployment Reference.
El Asistente de directiva de auditoría no puede crear reglas de separación de tareas. Debe crearlas usted fuera de Identity Manager e importarlas mediante la opción Importar archivo de intercambio de la ficha Configurar.
Si desea usar un flujo de trabajo de remediación externo que no está disponible desde Identity Manager, impórtelo. Puede crear flujos de trabajo personalizados con un editor XML editor o Identity Manager IDE.
Defina authType=’AuditorAdminTask’ y agregue subtype=’SUBTYPE_REMEDIATION_WORKFLOW’ . Para definir estos objetos de configuración puede usar Identity Manager IDE o el editor XML que prefiera.
Importe el flujo de trabajo con la opción Importar archivo de intercambio.
Inicie la sesión en la interfaz de administración (Inicio de sesión en la interfaz de usuario final de Identity Manager).
Seleccione la ficha Configurar y después la ficha secundaria o el menú Importar archivo de intercambio.
Aparece la página Importar archivo de intercambio.
Vaya al archivo del flujo de trabajo archivo que desea cargar y pulse Importar.
Una vez importado correctamente el flujo de trabajo, aparece en el Asistente de directiva de auditoría (Creación de directivas de auditoría) dentro de la lista de opciones de Flujo de trabajo de remediación.
Introduzca el nombre de la nueva directiva y una breve descripción en el Asistente de directiva de auditoría (Figura 14–1).
Los nombres de directiva de auditoría no pueden contener los siguientes caracteres: ' (apóstrofo), . (punto), | (línea), [ (corchete izquierdo), ] (corchete derecho), , (coma), : (dos puntos), $ (símbolo del dólar), " (comillas), \ (barra inclinada inversa) y = (signo igual).
También conviene evitar los caracteres: _ (subrayado), % (signo de porcentaje), ^ (acento circunflejo) y * (asterisco).
Si prefiere que sólo se acceda a determinados recursos al ejecutar la exploración, seleccione la opción Restringir recursos de destino.
Para que tras remediar una infracción se produzca una reexploración inmediata del usuario, elija Permitir volver a explorar infracciones.
Si la directiva de auditoría no restringe los recursos, durante la exploración se accederá a todos los recursos donde tenga cuentas un usuario. Si la regla utiliza únicamente algunos recursos, resulta más eficaz restringir la directiva a dichos recursos.
Pulse Siguiente para continuar en la próxima página.
En esta página se inicia el proceso de definición o inclusión de reglas en la directiva. (La mayor parte del trabajo de creación de directivas consiste en definir y crear reglas.)
Como ilustra la figura siguiente, tiene la posibilidad de crear su propia regla con el Asistente para reglas de Identity Manager o de incorporar una regla existente. El Asistente para reglas sólo permite utilizar un tipo de recurso en una regla. Las reglas importadas pueden referenciar cuantos recursos sean necesarios.
Decida si prefiere crear una regla nueva o usar una existente.
Elija una de estas opciones:
Para crear una regla nueva, elija la opción Asistente para reglas (valor predeterminado).
Para incorporar una regla previamente creada con Identity Manager IDE, elija Regla existente.
Haga clic en Siguiente.
Según lo que haya seleccionado en el paso 1, continúe en una de estas secciones:
Si eligió Asistente para reglas, siga las instrucciones de la sección Para crear una regla nueva con el Asistente para reglas.
Si eligió Regla existente, siga las instrucciones de la sección Para seleccionar una regla existente.
Si desea incluir una regla existente en la nueva directiva, elija Regla existente en la pantalla Seleccionar tipo de regla y pulse Siguiente. A continuación, elija una regla de directiva de auditoría existente en el menú desplegable Seleccionar regla existente.
Si no ve el nombre de una regla que ya había importado a Identity Manager, compruebe si ha añadido a la regla los atributos adicionales que se describen en Creación de directivas con reglas de directiva de auditoría.
Haga clic en Siguiente.
Continúe en la sección Incorporación de reglas.
Si decide crear una regla con el Asistente para reglas en Asistente de directiva de auditoría, introduzca la información indicada en las páginas de las próximas secciones.
Existe la opción de asignar nombre y describir la nueva regla. En esta página puede introducir texto descriptivo que aparecerá junto al nombre de la regla siempre que Identity Manager la muestre. Escriba una descripción concisa y clara de la regla. Esta descripción aparece en la página Revisar infracciones de directivas de Identity Manager.
Por ejemplo, si va a crear una regla para identificar a los usuarios que tengan simultáneamente los valores Payable User y Receivable User para el atributo responsibilityKey en Oracle ERP, podría escribir la descripción siguiente: Identifica los usuarios con responsabilidades simultáneas de usuarios por pagar y usuarios por cobrar.
En el campo Comentario puede introducir cualquier otra información sobre la regla.
En esta página debe seleccionar el recurso al que hará referencia la regla. Cada variable de la regla debe corresponder a un atributo de este recurso. En esta lista de opciones aparecerán todos los recursos sobre los que tenga acceso de visualización. En este ejemplo está seleccionado Oracle ERP.
Aunque no todos, se admiten la mayoría de los atributos de cada adaptador de recursos disponible. Los atributos específicos disponibles se describen en Sun Identity Manager 8.1 Resources Reference .
Pulse Siguiente para continuar en la próxima página.
Esta pantalla sirve para introducir la expresión de la nueva regla. En este ejemplo se crea una regla que impide que un usuario tenga simultáneamente el atributo responsibilityKey de Oracle ERP con el valor Payable User y con el valor Receivable User.
Seleccione un atributo de usuario en la lista de atributos variables. Este atributo corresponderá directamente a una variable de regla.
Seleccione una condición lógica en la lista. Las condiciones válidas son "=" (igual a), "!=" (distinto a), "<" (menor que), "<=" (menor o igual que), ">" (mayor que), ">=" (mayor o igual que), "es verdadero", "es nulo", "no es nulo", "está vacío" y "contiene". En este ejemplo podría seleccionar contiene en la lista de posibles condiciones de atributo.
Introduzca un valor para la expresión. Por ejemplo, si introduce Payable user, estará especificando un usuario de Oracle ERP con el valor Payable user para el atributo responsibilityKeys.
Si lo desea, haga clic en el operador Y u O para añadir otra línea y crear otra expresión.
Esta regla devuelve un valor booleano. Si ambas instrucciones son verdaderas, la regla de directiva devuelve el valor TRUE, que ocasiona una infracción de directiva.
Identity Manager no permite controlar reglas anidadas. Además, el uso del Asistente de directiva de auditoría para crear directivas con distintos operadores booleanos entre las reglas puede tener resultados imprevisibles, porque no se especifica el orden de evaluación.
Para crear expresiones de regla complejas, utilice un editor XML en lugar del Asistente de directiva de auditoría. Con un editor XML puede negar donde sea preciso para utilizar un único operador booleano entre reglas.
El ejemplo de código siguiente ilustra en formato XML la regla creada en esta pantalla:
<Description>Payable User/Receivable User</Description> <RuleArgument name=’resource’ value=’Oracle ERP’> <Comments>Resource specified when audit policy was created.</Comments> <String>Oracle ERP</String> </RuleArgument> <and> <contains> <ref>accounts[Oracle ERP].responsibilityKeys</ref> <s>Receivable User</s> </contains> <contains> <ref>accounts[Oracle ERP].responsibilityKeys</ref> <s>Payables User</s> </contains> </and> <MemberObjectGroups> <ObjectRef type=’ObjectGroup’ id=’#ID#Top’ name=’Top’/> </MemberObjectGroups> </Rule> |
Para eliminar una expresión de la regla, seleccione la condición del atributo y pulse Suprimir.
Pulse Siguiente para continuar en el Asistente de directiva de auditoría. Tiene la oportunidad de agregar más reglas, ya sea incorporando reglas existentes o volviendo a usar el asistente.
Para crear más reglas, puede importar otras ya existentes o utilizar el asistente. (Para obtener más información, consulte Para seleccionar un tipo de regla.)
Haga clic en los operadores Y u O para seguir añadiendo las reglas que necesite. Para eliminar una regla, selecciónela y, a continuación, pulse Suprimir.
Sólo se producirán infracciones de directivas si la expresión booleana de todas las reglas se evalúa como verdadera. La agrupación de reglas con operadores Y/O permite que la directiva se evalúe como verdadera, incluso aunque no ocurra lo mismo con todas las reglas. Identity Manager sólo origina infracciones con las reglas que se evalúan como verdaderas y sólo si la expresión de la directiva se evalúa como verdadera.
Identity Manager no permite controlar reglas anidadas. Además, el uso del Asistente de directiva de auditoría para crear directivas con distintos operadores booleanos entre las reglas puede tener resultados imprevisibles, porque no se especifica el orden de evaluación.
Para crear expresiones de regla complejas, utilice un editor XML en lugar del Asistente de directiva de auditoría. Con un editor XML puede negar donde sea preciso para utilizar un único operador booleano entre reglas.
En esta pantalla puede seleccionar un flujo de trabajo de remediación para asociarlo a esta directiva. El flujo de trabajo aquí asignado determina las acciones que se emprenden dentro de Identity Manager cuando se detecta la infracción de una directiva de auditoría.
Por cada directiva de auditoría infringida se inicia un único flujo de trabajo. Cada flujo de trabajo puede contener uno o más elementos de trabajo para cada infracción de cumplimiento detectada al explorar una directiva concreta.
Encontrará información para importar un flujo de trabajo creado con un editor XML o Identity Manager IDE en Importación de reglas de separación de tareas a Identity Manager (opcional).
Utilice el menú desplegable Regla de formulario de usuario de remediación para seleccionar una regla para calcular el formulario de usuario que se aplica al editar un usuario mediante una remediación. Para editar un usuario en respuesta a un elemento de trabajo de remediación, un remediador utiliza de manera predeterminada el formulario de usuario que tiene asignado. Si una directiva de auditoría especifica un formulario de usuario de remediación, se utilizará dicho formulario. Ello permite emplear un formulario muy específico cuando una directiva de auditoría señala el correspondiente problema específico.
Para elegir los remediadores asociados a este flujo de trabajo de remediación, marque la casilla ¿Especificar remediadores? casilla de verificación Si elige esta opción, al pulsar Siguiente aparecerá la página “Asignar Remediadores”. De lo contrario, accederá a la pantalla de asignación de organizaciones del Asistente de directiva de auditoría.
Si elige remediadores, se notificará a los asignados a esta directiva de auditoría cuando se detecte una infracción de la directiva. Además, el flujo de trabajo predeterminado les asigna un elemento de trabajo de remediación. Cualquier usuario de Identity Manager puede actuar como remediador.
Tiene la opción de asignar al menos un remediador de nivel 1 o usuario designado. Los remediadores de nivel 1 son los primeros a quienes el flujo de trabajo de remediación notifica por correo electrónico cuando se detecta una infracción de directiva. Si transcurre el tiempo de espera de escalada especificado antes de que responda un remediador de nivel 1, Identity Manager se pone en contacto con los remediadores de nivel 2 que usted elija aquí. Identity Manager sólo contacta con los remediadores de nivel 3 si no hay respuesta de ningún remediador de los niveles 1 y 2 antes de que transcurra el periodo de escalada.
Si especifica un valor de tiempo de espera de escalada para el remediador de máximo nivel seleccionado, el elemento de trabajo desaparecerá de la lista cuando se agote dicho tiempo de espera. El valor predeterminado del tiempo de espera de escalada es 0. Ello significa que el elemento de trabajo no caduca y permanece en la lista del remediador.
Asignar remediadores es opcional. Si selecciona esta opción, pulse Siguiente para pasar a la próxima pantalla tras especificar los valores de configuración.
Si desea agregar usuarios a la lista de remediadores disponibles, introduzca un ID de usuario y después pulse Agregar. Como alternativa, haga clic en ... (Más) para buscar un ID de usuario. Introduzca uno o varios caracteres en el campo Empieza por y, a continuación, haga clic en Buscar. Tras seleccionar un usuario en la lista de búsqueda, pulse Agregar para incluirlo en la lista de remediadores. Haga clic en Descartar para cerrar el área de búsqueda.
Para eliminar un ID de usuario de la lista de remediadores, selecciónelo y pulse Suprimir.
La pantalla ilustrada en la Figura 14–7 sirve para elegir las organizaciones que pueden ver y editar esta directiva.
Después de seleccionar las organizaciones, pulse Finalizar para crear la directiva de auditoría y volver a la página Administrar directivas. La directiva recién creada ahora aparece en la lista.
Las tareas habituales al editar directivas de auditoría incluyen:
Agregar o eliminar reglas.
Cambiar los recursos de destino.
Ajustar la lista de organizaciones que tienen acceso a la directiva.
Modificar el tiempo de espera de escalada asociado a cada nivel de remediación.
Cambiar el flujo de trabajo de remediación asociado a la directiva.
Seleccione un nombre de directiva en la columna de nombres de directiva auditoría para abrir la página Editar directiva de auditoría. Esta página estructura la información de las directivas de auditoría en varias áreas:
Identificación y reglas
Remediadores y Tiempo de espera de escalada
Flujo de trabajo y Organizaciones
Este área de la página sirve para:
Editar la descripción de la directiva.
Agregar o eliminar una regla.
Con este producto no es posible editar directamente una regla existente. Hay que editarla con Identity Manager IDE o un editor XML y después importarla a Identity Manager. Después puede suprimir la versión anterior y agregar la recién revisada.
Para editar la descripción de la directiva de auditoría, seleccione el texto en el campo Descripción y escriba el texto nuevo.
Si lo desea, marque las casillas Restringir recursos de destino o Permitir volver a explorar infracciones.
Para eliminar una regla de la directiva, haga clic en el botón Seleccionar que precede al nombre de la regla y después pulse Suprimir.
Pulse Agregar para añadir un campo nuevo donde puede elegir una regla para incluirla.
En la columna Nombre de regla, elija otra regla de la lista de selección.
La Figura 14–8 ilustra parte del área Remediadores, donde se asignan remediadores de los niveles 1, 2 y 3 a una directiva.
Este área de la página sirve para:
Suprimir o asignar remediadores a una directiva.
Ajustar los tiempos de espera de escalada.
Para seleccionar un remediador de uno o varios niveles, introduzca un ID de usuario y pulse Agregar. Para buscar un ID de usuario, pulse ... (Más). Debe especificar al menos un remediador.
Para eliminar un remediador, elija un ID de usuario en la lista y pulse Suprimir.
Seleccione el valor de tiempo de espera y escriba el nuevo valor. No hay ningún valor de tiempo de espera definido de manera predeterminada.
Si especifica un valor de tiempo de espera de escalada para el remediador de máximo nivel seleccionado, el elemento de trabajo desaparecerá de la lista cuando se agote dicho tiempo de espera.
La Figura 14–9 muestra el área donde se especifica el flujo de trabajo de remediación y las organizaciones para una directiva de auditoría.
Este área de la página sirve para:
Cambiar el flujo de trabajo de remediación que se inicia cuando se comete una infracción de directiva.
Seleccionar una regla de formulario de usuario de remediación.
Ajustar las organizaciones que tienen acceso a la directiva.
Para cambiar el flujo de trabajo asignado a una directiva, puede seleccionar otro flujo en la lista de opciones. No se asigna ningún flujo de trabajo de manera predeterminada a una directiva de auditoría.
Si no hay asignado ningún flujo de trabajo a la directiva de auditoría, las infracciones no se asignarán a ningún remediador.
Seleccione un flujo de trabajo de remediación en la lista y pulse Guardar.
Si lo desea, puede elegir una regla para calcular el formulario de usuario que se aplica al editar un usuario mediante una remediación.
Ajuste las organizaciones para las que estará disponible esta directiva de auditoría y pulse Guardar.
Identity Manager proporciona acceso a las siguientes directivas de ejemplo en la lista Directivas de auditoría:
IDM Role Comparison Policy
IDM Account Accumulation Policy
Esta directiva sirve para comparar el acceso actual de un usuario con el acceso especificado por los roles de Identity Manager. La directiva garantiza que todos los atributos de recurso especificados por los roles están configurados para el usuario.
Esta directiva falla si:
El usuario carece de algún atributo de recurso especificado por roles.
Los atributos de recurso del usuario difieren de los especificados por los roles.
Esta directiva verifica si todas las cuentas de recursos que mantiene el usuario están referenciadas por al menos un rol mantenido por el usuario.
Esta directiva falla si el usuario tiene cuentas en algún recurso no referenciado explícitamente por un rol asignado al usuario.
Cuando se elimina una directiva de auditoría de Identity Manager, también desaparecen todas las infracciones que la referencian.
Las directivas pueden eliminarse desde el área Cumplimiento de la interfaz cuando se pulsa Administrar directivas para ver las directivas. Para eliminar una directiva de auditoría, seleccione su nombre en la vista de directivas y pulse Eliminar.
La mejor forma de solucionar los problemas con las directivas de auditoría es depurar sus reglas.
Para depurar una regla, incluya los siguientes elementos de rastreo en el código de la regla.
<block trace=’true’> <and> <contains> <ref>accounts[AD].firstname</ref> <s>Sam</s> </contains> <contains> <ref>accounts[AD].lastname</ref> <s>Smith</s> </contains> </and> </block>
Si no ve el flujo de trabajo en la interfaz de Identity Manager, compruebe lo siguiente:
Ha agregado el atributo subtype=’SUBTYPE_REMEDIATION_WORKFLOW ’ al flujo de trabajo. Los flujos de trabajo que carecen de este subtipo no se ven en la interfaz de administración de Identity Manager.
Tiene capacidad para el tipo de autorización (authType) AuditorAdminTask.
Tiene control sobre la organización que contiene el flujo de trabajo.
Si ha importado las reglas, pero no las ve en el Asistente de directiva de auditoría, compruebe lo siguiente:
Cada regla tiene el subtipo subtype=”SUBTYPE_AUDIT_POLICY_RULE’ o subtype=”SUBTYPE_AUDIT_POLICY_SOD_RULE’.
Tiene capacidad para el tipo de autorización (authType) AuditPolicyRule.
Tiene control sobre la organización que contiene el flujo de trabajo.
Para asignar una directiva de auditoría a una organización, el usuario debe tener como mínimo la capacidad Asignar de directivas de auditoría de organización. Para asignar una directiva de auditoría a un usuario, el usuario debe tener la capacidad Asignar de directivas de auditoría de usuario. Un usuario posee ambas capacidades si tiene la capacidad Asignar directivas de auditoría.
Para asignar una directiva de nivel de organización, seleccione la organización en la ficha Cuentas y después las directivas en la lista Directivas de auditoría asignadas.
Elija el usuario en el área Cuentas.
Seleccione Cumplimiento en el formulario de usuario.
Seleccione las directivas en la lista Directivas de auditoría asignadas.
Las directivas de auditoría que se asignan directamente a un usuario (mediante una cuenta de usuario o asignación de organización) siempre vuelven a evaluarse cuando se remedia una infracción de dicho usuario.
De manera predeterminada, las capacidades necesarias para realizar tareas de auditoría están incluidas en la organización superior (grupo de objetos). En consecuencia, sólo los administradores que controlan la organización superior pueden asignar dichas capacidades a otros administradores.
Para solucionar esta limitación, puede agregar las capacidades a otra organización. Con el fin de facilitar esta tarea, Identity Manager ofrece dos utilidades en el directorio sample/scripts .
Siga estos pasos para agregar las capacidades que permiten efectuar tareas de auditoría a organizaciones distintas de la superior:
Ejecute el comando siguiente para ver todas las capacidades (grupos de administradores) y las organizaciones asociadas a ellas (grupos de objetos):
beanshell objectGroupUpdate.bsh -type AdminGroup -action list -csv |
Este comando captura la salida a un archivo de valores separados por comas (CSV).
Edite el archivo CSV para ajustar las ubicaciones organizativas de las capacidades como convenga.
Ejecute este comando para actualizar Identity Manager:
beanshell objectGroupUpdate.bsh -data CSVFileName -action add -groups NewObjectGroup |