Guía del administrador de negocio de Sun Identity Manager 8.1

Creación de directivas de auditoría

Para crear una directiva de auditoría, utilice el Asistente de directiva de auditoría.

Para abrir el Asistente de directiva de auditoría

El Asistente de directiva de auditoría le guía por el proceso de creación de una directiva de auditoría. Utilice los pasos siguientes para acceder al asistente:

Inicie la sesión en la interfaz de administración (Inicio de sesión en la interfaz de usuario final de Identity Manager).

Haga clic en la ficha Cumplimiento.

Se abre la ficha o el menú Administrar directivas.

Para crear una directiva de auditoría nueva, pulse Nuevo.

Creación de directivas de auditoría: sinopsis

Con el asistente se realizan las siguientes tareas para crear una directiva de auditoría:

Seleccionar o crear las reglas que se desean aplicar para definir los límites de la directiva.
Asignar aprobadores y establecer límites de escalada.
Asignar un flujo de trabajo de remediación.

Tras completar la tarea que aparece en cada pantalla del asistente, pulse Siguiente para continuar con el próximo paso.

Antes de la instalación

Planifique detenidamente la creación de las directivas de auditoría. Antes de empezar, asegúrese de que ha realizado estas tareas:

Identifique las reglas que va a usar para crear la directiva en el Asistente de directiva de auditoría. Las reglas elegidas dependen del tipo de directiva que se va a crear y de las limitaciones concretas que interesa definir. Encontrará más información dentro del apartado siguiente, Para identificar qué reglas necesita.
Importe todas las reglas o flujos de trabajo de remediación que desee incluir en la nueva directiva. Encontrará más información en Importación de reglas de separación de tareas a Identity Manager (opcional).
Asegúrese de que tiene las capacidades necesarias para crear directivas de auditoría. Consulte las capacidades necesarias en Conceptos y administración de capacidades dentro del Capítulo 6Administración.

Para identificar qué reglas necesita

Las restricciones que especifica en la directiva se implementan en un conjunto de reglas que crea o importa. Siga estos pasos cuando utilice el Asistente de directiva de auditoría para crear una regla:

Identifique el recurso concreto con el que va a trabajar.

Seleccione un atributo de cuenta en la lista de atributos válidos para el recurso.

Seleccione una condición para aplicarla al atributo.

Introduzca un valor de comparación.

Para obtener más información sobre la creación de reglas de directiva de auditoría fuera del Asistente de directiva de auditoría, consulte el Capítulo 4, Working with Rules de Sun Identity Manager Deployment Reference.

Importación de reglas de separación de tareas a Identity Manager (opcional)

El Asistente de directiva de auditoría no puede crear reglas de separación de tareas. Debe crearlas usted fuera de Identity Manager e importarlas mediante la opción Importar archivo de intercambio de la ficha Configurar.

Importación de flujos de trabajo a Identity Manager (opcional)

Para importar un flujo de trabajo externo

Si desea usar un flujo de trabajo de remediación externo que no está disponible desde Identity Manager, impórtelo. Puede crear flujos de trabajo personalizados con un editor XML editor o Identity Manager IDE.

Defina authType=’AuditorAdminTask’ y agregue subtype=’SUBTYPE_REMEDIATION_WORKFLOW’ . Para definir estos objetos de configuración puede usar Identity Manager IDE o el editor XML que prefiera.

Importe el flujo de trabajo con la opción Importar archivo de intercambio.
1. Inicie la sesión en la interfaz de administración (Inicio de sesión en la interfaz de usuario final de Identity Manager).
2. Seleccione la ficha Configurar y después la ficha secundaria o el menú Importar archivo de intercambio.
  
  Aparece la página Importar archivo de intercambio.
3. Vaya al archivo del flujo de trabajo archivo que desea cargar y pulse Importar.
  
  Una vez importado correctamente el flujo de trabajo, aparece en el Asistente de directiva de auditoría (Creación de directivas de auditoría) dentro de la lista de opciones de Flujo de trabajo de remediación.

Asignación de nombre y descripción de la directiva de auditoría

Introduzca el nombre de la nueva directiva y una breve descripción en el Asistente de directiva de auditoría (Figura 14–1).

Figura 14–1 Asistente de directiva de auditoría: pantalla para introducir nombre y descripción

Figura con la pantalla del Asistente de directiva de auditoría

Nota –

Los nombres de directiva de auditoría no pueden contener los siguientes caracteres: ' (apóstrofo), . (punto), | (línea), [ (corchete izquierdo), ] (corchete derecho), , (coma), : (dos puntos), $ (símbolo del dólar), " (comillas), \ (barra inclinada inversa) y = (signo igual).

También conviene evitar los caracteres: _ (subrayado), % (signo de porcentaje), ^ (acento circunflejo) y * (asterisco).

Si prefiere que sólo se acceda a determinados recursos al ejecutar la exploración, seleccione la opción Restringir recursos de destino.

Para que tras remediar una infracción se produzca una reexploración inmediata del usuario, elija Permitir volver a explorar infracciones.

Nota –

Si la directiva de auditoría no restringe los recursos, durante la exploración se accederá a todos los recursos donde tenga cuentas un usuario. Si la regla utiliza únicamente algunos recursos, resulta más eficaz restringir la directiva a dichos recursos.

Pulse Siguiente para continuar en la próxima página.

Para seleccionar un tipo de regla

En esta página se inicia el proceso de definición o inclusión de reglas en la directiva. (La mayor parte del trabajo de creación de directivas consiste en definir y crear reglas.)

Como ilustra la figura siguiente, tiene la posibilidad de crear su propia regla con el Asistente para reglas de Identity Manager o de incorporar una regla existente. El Asistente para reglas sólo permite utilizar un tipo de recurso en una regla. Las reglas importadas pueden referenciar cuantos recursos sean necesarios.

Figura con el asistente de reglas de directiva de auditoría

Decida si prefiere crear una regla nueva o usar una existente.

Elija una de estas opciones:
- Para crear una regla nueva, elija la opción Asistente para reglas (valor predeterminado).
- Para incorporar una regla previamente creada con Identity Manager IDE, elija Regla existente.

Haga clic en Siguiente.

Según lo que haya seleccionado en el paso 1, continúe en una de estas secciones:
- Si eligió Asistente para reglas, siga las instrucciones de la sección Para crear una regla nueva con el Asistente para reglas.
- Si eligió Regla existente, siga las instrucciones de la sección Para seleccionar una regla existente.

Para seleccionar una regla existente

Si desea incluir una regla existente en la nueva directiva, elija Regla existente en la pantalla Seleccionar tipo de regla y pulse Siguiente. A continuación, elija una regla de directiva de auditoría existente en el menú desplegable Seleccionar regla existente.

Nota –

Si no ve el nombre de una regla que ya había importado a Identity Manager, compruebe si ha añadido a la regla los atributos adicionales que se describen en Creación de directivas con reglas de directiva de auditoría.

Haga clic en Siguiente.

Continúe en la sección Incorporación de reglas.

Para crear una regla nueva con el Asistente para reglas

Si decide crear una regla con el Asistente para reglas en Asistente de directiva de auditoría, introduzca la información indicada en las páginas de las próximas secciones.

Nombre y descripción de la nueva regla

Existe la opción de asignar nombre y describir la nueva regla. En esta página puede introducir texto descriptivo que aparecerá junto al nombre de la regla siempre que Identity Manager la muestre. Escriba una descripción concisa y clara de la regla. Esta descripción aparece en la página Revisar infracciones de directivas de Identity Manager.

Figura 14–2 Asistente de directiva de auditoría: pantalla para introducir la descripción de la regla

Figura que muestra cómo asignar nombre y descripción a una regla nueva

Por ejemplo, si va a crear una regla para identificar a los usuarios que tengan simultáneamente los valores Payable User y Receivable User para el atributo responsibilityKey en Oracle ERP, podría escribir la descripción siguiente: Identifica los usuarios con responsabilidades simultáneas de usuarios por pagar y usuarios por cobrar.

En el campo Comentario puede introducir cualquier otra información sobre la regla.

Seleccione el recurso al que hará referencia esta regla

En esta página debe seleccionar el recurso al que hará referencia la regla. Cada variable de la regla debe corresponder a un atributo de este recurso. En esta lista de opciones aparecerán todos los recursos sobre los que tenga acceso de visualización. En este ejemplo está seleccionado Oracle ERP.

Figura 14–3 Asistente de directiva de auditoría: pantalla seleccionar el recurso

Figura que muestra cómo seleccionar un recurso para que lo referencie una regla

Nota –

Aunque no todos, se admiten la mayoría de los atributos de cada adaptador de recursos disponible. Los atributos específicos disponibles se describen en Sun Identity Manager 8.1 Resources Reference .

Pulse Siguiente para continuar en la próxima página.

Crear expresión de regla

Esta pantalla sirve para introducir la expresión de la nueva regla. En este ejemplo se crea una regla que impide que un usuario tenga simultáneamente el atributo responsibilityKey de Oracle ERP con el valor Payable User y con el valor Receivable User.

Para crear una expresión de regla

Seleccione un atributo de usuario en la lista de atributos variables. Este atributo corresponderá directamente a una variable de regla.

Seleccione una condición lógica en la lista. Las condiciones válidas son "=" (igual a), "!=" (distinto a), "<" (menor que), "<=" (menor o igual que), ">" (mayor que), ">=" (mayor o igual que), "es verdadero", "es nulo", "no es nulo", "está vacío" y "contiene". En este ejemplo podría seleccionar contiene en la lista de posibles condiciones de atributo.

Introduzca un valor para la expresión. Por ejemplo, si introduce Payable user, estará especificando un usuario de Oracle ERP con el valor Payable user para el atributo responsibilityKeys.

Si lo desea, haga clic en el operador Y u O para añadir otra línea y crear otra expresión.

Figura 14–4 Asistente de directiva de auditoría: pantalla para seleccionar una expresión de regla

Figura con la pantalla para seleccionar una expresión de regla en el asistente de directiva de auditoría

Esta regla devuelve un valor booleano. Si ambas instrucciones son verdaderas, la regla de directiva devuelve el valor TRUE, que ocasiona una infracción de directiva.

Nota –

Identity Manager no permite controlar reglas anidadas. Además, el uso del Asistente de directiva de auditoría para crear directivas con distintos operadores booleanos entre las reglas puede tener resultados imprevisibles, porque no se especifica el orden de evaluación.

Para crear expresiones de regla complejas, utilice un editor XML en lugar del Asistente de directiva de auditoría. Con un editor XML puede negar donde sea preciso para utilizar un único operador booleano entre reglas.

El ejemplo de código siguiente ilustra en formato XML la regla creada en esta pantalla:

<Description>Payable User/Receivable User</Description>
  <RuleArgument name=’resource’ value=’Oracle ERP’>
    <Comments>Resource specified when  audit policy was created.</Comments>
    <String>Oracle ERP</String>
  </RuleArgument>
    <and>
      <contains>
        <ref>accounts[Oracle ERP].responsibilityKeys</ref>
        <s>Receivable User</s>
      </contains>
      <contains>
        <ref>accounts[Oracle ERP].responsibilityKeys</ref>
        <s>Payables User</s>
      </contains>
    </and>
    <MemberObjectGroups>
      <ObjectRef type=’ObjectGroup’ id=’#ID#Top’ name=’Top’/>
    </MemberObjectGroups>
</Rule>

Para eliminar una expresión de la regla, seleccione la condición del atributo y pulse Suprimir.

Pulse Siguiente para continuar en el Asistente de directiva de auditoría. Tiene la oportunidad de agregar más reglas, ya sea incorporando reglas existentes o volviendo a usar el asistente.

Incorporación de reglas

Para crear más reglas, puede importar otras ya existentes o utilizar el asistente. (Para obtener más información, consulte Para seleccionar un tipo de regla.)

Haga clic en los operadores Y u O para seguir añadiendo las reglas que necesite. Para eliminar una regla, selecciónela y, a continuación, pulse Suprimir.

Sólo se producirán infracciones de directivas si la expresión booleana de todas las reglas se evalúa como verdadera. La agrupación de reglas con operadores Y/O permite que la directiva se evalúe como verdadera, incluso aunque no ocurra lo mismo con todas las reglas. Identity Manager sólo origina infracciones con las reglas que se evalúan como verdaderas y sólo si la expresión de la directiva se evalúa como verdadera.

Nota –

Selección de un flujo de trabajo de remediación

En esta pantalla puede seleccionar un flujo de trabajo de remediación para asociarlo a esta directiva. El flujo de trabajo aquí asignado determina las acciones que se emprenden dentro de Identity Manager cuando se detecta la infracción de una directiva de auditoría.

Nota –

Por cada directiva de auditoría infringida se inicia un único flujo de trabajo. Cada flujo de trabajo puede contener uno o más elementos de trabajo para cada infracción de cumplimiento detectada al explorar una directiva concreta.

Figura 14–5 Asistente de directiva de auditoría: pantalla para seleccionar un flujo de trabajo de remediación

Figura con la pantalla para seleccionar un flujo de trabajo de remediación en el asistente de directiva de auditoría

Nota –

Encontrará información para importar un flujo de trabajo creado con un editor XML o Identity Manager IDE en Importación de reglas de separación de tareas a Identity Manager (opcional).

Utilice el menú desplegable Regla de formulario de usuario de remediación para seleccionar una regla para calcular el formulario de usuario que se aplica al editar un usuario mediante una remediación. Para editar un usuario en respuesta a un elemento de trabajo de remediación, un remediador utiliza de manera predeterminada el formulario de usuario que tiene asignado. Si una directiva de auditoría especifica un formulario de usuario de remediación, se utilizará dicho formulario. Ello permite emplear un formulario muy específico cuando una directiva de auditoría señala el correspondiente problema específico.

Para elegir los remediadores asociados a este flujo de trabajo de remediación, marque la casilla ¿Especificar remediadores? casilla de verificación Si elige esta opción, al pulsar Siguiente aparecerá la página “Asignar Remediadores”. De lo contrario, accederá a la pantalla de asignación de organizaciones del Asistente de directiva de auditoría.

Selección de remediadores y tiempos de espera de remediaciones

Si elige remediadores, se notificará a los asignados a esta directiva de auditoría cuando se detecte una infracción de la directiva. Además, el flujo de trabajo predeterminado les asigna un elemento de trabajo de remediación. Cualquier usuario de Identity Manager puede actuar como remediador.

Tiene la opción de asignar al menos un remediador de nivel 1 o usuario designado. Los remediadores de nivel 1 son los primeros a quienes el flujo de trabajo de remediación notifica por correo electrónico cuando se detecta una infracción de directiva. Si transcurre el tiempo de espera de escalada especificado antes de que responda un remediador de nivel 1, Identity Manager se pone en contacto con los remediadores de nivel 2 que usted elija aquí. Identity Manager sólo contacta con los remediadores de nivel 3 si no hay respuesta de ningún remediador de los niveles 1 y 2 antes de que transcurra el periodo de escalada.

Nota –

Si especifica un valor de tiempo de espera de escalada para el remediador de máximo nivel seleccionado, el elemento de trabajo desaparecerá de la lista cuando se agote dicho tiempo de espera. El valor predeterminado del tiempo de espera de escalada es 0. Ello significa que el elemento de trabajo no caduca y permanece en la lista del remediador.

Asignar remediadores es opcional. Si selecciona esta opción, pulse Siguiente para pasar a la próxima pantalla tras especificar los valores de configuración.

Si desea agregar usuarios a la lista de remediadores disponibles, introduzca un ID de usuario y después pulse Agregar. Como alternativa, haga clic en ... (Más) para buscar un ID de usuario. Introduzca uno o varios caracteres en el campo Empieza por y, a continuación, haga clic en Buscar. Tras seleccionar un usuario en la lista de búsqueda, pulse Agregar para incluirlo en la lista de remediadores. Haga clic en Descartar para cerrar el área de búsqueda.

Para eliminar un ID de usuario de la lista de remediadores, selecciónelo y pulse Suprimir.

Figura 14–6 Asistente de directiva de auditoría: área para seleccionar remediadores de nivel 1

Figura con la pantalla para seleccionar remediadores de nivel 1 en el asistente de directiva de auditoría

Selección de las organizaciones que pueden acceder a esta directiva

La pantalla ilustrada en la Figura 14–7 sirve para elegir las organizaciones que pueden ver y editar esta directiva.

Figura 14–7 Asistente de directiva de auditoría: pantalla para asignar visibilidad a las organizaciones

Figura con la pantalla para asignar visibilidad a las organizaciones en el Asistente de directiva de auditoría

Después de seleccionar las organizaciones, pulse Finalizar para crear la directiva de auditoría y volver a la página Administrar directivas. La directiva recién creada ahora aparece en la lista.