test

Guía del administrador de negocio de Sun Identity Manager 8.1

Exploraciones de directivas de auditorías e informes

Además de incluir información sobre la exploración de directivas de auditoría, en esta sección se describen los procedimientos para ejecutar y administrar las exploraciones de auditoría.

Exploración de usuarios y organizaciones

Las exploraciones ejecutan las directivas de auditoría seleccionadas en usuarios u organizaciones particulares. Puede explorar un usuario o una organización para detectar una infracción determinada o ejecutar directivas no asignadas al usuario o la organización. Las exploraciones se inician desde la sección Cuentas de la interfaz.

Nota –

También puede iniciar o programar la exploración de directivas de auditoría desde la ficha Tareas del servidor.

ProcedurePara explorar una cuenta de usuario o una organización

  1. En la interfaz de administración, seleccione la opción Cuentas del menú principal.

  2. En la lista Cuentas, lleve a cabo una de las acciones siguientes:

    1. Seleccione uno o varios usuarios y elija Explorar en la lista de opciones Acciones de Usuario.

    2. Seleccione una o varias organizaciones y elija Explorar en la lista de opciones Acciones de Organización.

      Aparece el cuadro de diálogo Iniciar tarea. En la Figura 15–1 se muestra un ejemplo de la página Iniciar tarea de una exploración de usuario de directivas de auditoría.

      Figura 15–1 Cuadro de diálogo Iniciar tarea

      Figura en la que se muestra el cuadro de diálogo Iniciar tarea

  3. Introduzca el nombre de la exploración en el campo Título del informe. (imprescindible)

  4. Especifique las demás opciones.

    Las opciones incluyen:

    • Resumen del informe: introduzca la descripción de la exploración.

    • Añadir directivas: seleccione una o varias directivas de auditoría para ejecutarlas. Es necesario que especifique al menos una directiva.

    • Modo de directiva: seleccione un modo de directiva para determinar la manera en que las directivas seleccionadas interaccionan con usuarios que disponen de asignaciones de directivas. Las asignaciones pueden proceder directamente del usuario o de la organización a la que esté asignado el usuario.

    • No crear infracciones: active este cuadro si quiere que se evalúen las directivas de auditoría y se informe de las infracciones, pero no desea que se creen ni actualicen las infracciones del cumplimiento y tampoco que se ejecuten los flujos de trabajo de remediación. Esta opción resulta útil para probar directivas de auditoría porque las infracciones generadas aparecen en los resultados de la tarea de exploración.

    • ¿Ejecutar flujo de trabajo de remediación?: active este cuadro para ejecutar el flujo de trabajo de remediación asignado en la directiva de auditoría. Si la directiva de auditoría no define un flujo de trabajo de remediación, no se ejecutará ninguno.

    • Límite de infracción: edite este cuadro para definir el número máximo de infracciones del cumplimiento que puede emitir esta exploración antes de que se anule. Este valor es una medida de seguridad para limitar el riesgo cuando se ejecute una directiva de auditoría que pueda ser demasiado agresiva en sus comprobaciones. Un valor vací­o indica que no se establece ningún límite.

    • }Informe de correo electrónico: active este cuadro para especificar los destinatarios del informe. Si también tiene Identity Manager, adjunte un archivo que contenga un informe en formato CSV (valores separados por coma).

    • Ignorar opciones predeterminadas de PDF: active este cuadro para que se ignoren las opciones predeterminadas de PDF.

  5. Haga clic en Iniciar para comenzar la exploración.

    Para ver los informes que genera la exploración de auditoría, abra Informes de Auditor.

Operaciones con Informes de Auditor

Identity Manager proporciona una serie de informes de auditor. Estos informes se describen en la tabla siguiente.

Tabla 15–1 Descripción de informes de auditor

Tipo de informe de auditor 

Descripción 

Cobertura de revisión de acceso 

Muestra la coincidencia parcial o las diferencias que existen entre los usuarios implicados en las revisiones de acceso seleccionadas. Como la mayoría de revisiones de acceso tienen un ámbito de usuario especificado por una consulta o por cualquier operación de pertenencia, el conjunto exacto de usuarios cambia con el tiempo. Este informe puede mostrar las coincidencias parciales, las diferencias, o ambas, que existen entre los usuarios especificados por dos revisiones de acceso distintas (para comprobar la eficacia de las revisiones en funcionamiento), entre los derechos que generan dos revisiones de acceso diferentes (para comprobar si la cobertura cambia con el tiempo) o entre los usuarios y los derechos (para que pueda determinar si se han generado derechos para todos los usuarios incluidos en el ámbito de la revisión). 

Detalle de revisión de acceso 

Muestra el estado actual de todos los registros de derechos de usuario. Este informe se puede filtrar por organización de usuario, revisión de acceso, instancia de revisión de acceso, estado de un registro de derechos y autenticador. 

Resumen de revisión de acceso 

Ofrece información resumida sobre todas las revisiones de acceso. Incluye un resumen de los usuarios explorados, las directivas exploradas y las actividades de autenticación de cada exploración de revisión de acceso de la lista. 

Cobertura de ámbito de usuario de exploración de acceso 

Compara las exploraciones seleccionadas para determinar qué usuarios están incluidos en el ámbito de exploración. Muestra la superposición (usuarios incluidos en todas las exploraciones) o la diferencia (usuarios no incluidos en todas las exploraciones, pero sí en más de una). Este informe resulta útil cuando se intentan organizar múltiples exploraciones de acceso para cubrir los mismos o distintos usuarios, según las necesidades de exploración. 

Resumen de directivas de auditoría 

Ofrece un resumen de los elementos fundamentales de todas las directivas de auditoría, lo que incluye las reglas, los remediadores y el flujo de trabajo de cada directiva. 

Atributo auditado 

Muestra todos los registros de auditoría que reflejan un cambio en un atributo de cuenta de recurso específico. 

Este informe extrae datos de auditorí­a para atributos auditables que se han almacenado. Los datos se extraen en función de cualquier atributo ampliado, que puede especificarse en WorkflowServices o en atributos de recurso marcados como auditables. Para obtener información sobre la configuración de este informe, consulte Configuración del informe de atributos auditados.

Historial de infracciones de directivas de auditoría 

Es una vista gráfica en la que aparecen todas las infracciones del cumplimiento por directiva que se han creado durante un periodo de tiempo concreto. Este informe se puede filtrar por directiva y agrupar por día, semana, mes o trimestre. 

Acceso de usuario 

Muestra el registro de auditoría y los atributos de usuario de un usuario determinado. 

Historial de infracciones de la organización 

Es una vista gráfica en la que aparecen todas las infracciones del cumplimiento por recurso que se han creado durante un periodo de tiempo concreto. Se puede filtrar por organización y agrupar por día, semana, mes o trimestre. 

Historial de infracciones del recurso 

Es una vista gráfica en la que aparecen todas las infracciones del cumplimiento por recurso que se han creado durante un periodo de tiempo concreto. 

Separación de tareas 

Muestra la separación de las infracciones de tareas en una tabla de conflictos. Mediante los vínculos de la interfaz web puede acceder a información adicional. 

Este informe se puede filtrar por organización y agrupar por día, semana, mes o trimestre. 

Resumen de infracciones 

Muestra todas las infracciones de cumplimiento actuales. Este informe se puede filtrar por remediador, recurso, regla, usuario o directiva. 

Estos informes se encuentran disponibles en la ficha Informes de la interfaz de Identity Manager.

Nota –

El valor de RULE_EVAL_COUNT equivale al número de reglas que se han evaluado durante una exploración de directiva. A veces se incluye en los informes.

Identity Manager calcula el valor de RULE_EVAL_COUNT de la siguiente manera.

nº de usuarios explorados x (nº de reglas de la directiva + 1)

+1 se incluye en el cálculo porque Identity Manager también tiene en cuenta la regla de directiva, ya que es la regla que permite determinar realmente si se infringe una directiva. La regla de directiva examina los resultados de la regla de auditoría y utiliza la lógica booleana para generar el resultado de la directiva.

Por ejemplo, si tiene una directiva A con tres reglas y una directiva B con dos reglas, y ha realizado exploraciones en diez usuarios, el valor de RULE_EVAL_COUNT será 70 porque

10 usuarios x (3 + 1 + 2 + 1 reglas).

Creación de un informe de auditor

Para ejecutar un informe, primero tiene que crear la plantilla del mismo. Puede especificar varios criterios, incluso los destinatarios de correo electrónico que recibirán los resultados del informe. La plantilla del informe creada y guardada se encuentra disponible en la página Ejecutar informes.

En la figura siguiente se muestra un ejemplo de la página Ejecutar informes, en la que aparece la lista de informes de auditor definidos.

Figura 15–2 Opciones de la página Ejecutar informes

Figura en la que se muestra un ejemplo de la página Ejecutar informes con la lista de informes de auditor definidos

ProcedurePara crear un informe de auditor

  1. En la interfaz de administración, seleccione Informes en el menú principal.

    Aparece la página Ejecutar informes.

  2. Seleccione Informes de Auditor como tipo de informe.

  3. En la nueva lista de informes, seleccione un informe.

    Aparece la página Definir un informe. Los campos y la distribución del cuadro de diálogo de informes varía según el tipo de informe. Consulte la Ayuda de Identity Manager para obtener información sobre la definición de los criterios del informe.

    Después de escribir y seleccionar el criterio de informe podrá:

    • Ejecutar el informe sin guardarlo.

      Haga clic en Ejecutar para empezar a ejecutar el informe. Identity Manager no guarda el informe (si ha definido un nuevo informe) ni los criterios de informe modificados (si ha editado un informe existente).

    • Guardar el informe.

      Haga clic en Guardar para guardar el informe. Después de guardar el informe, puede ejecutarlo desde la página Ejecutar informes (lista de informes). Una vez que ejecuta el informe en la página Ejecutar informes, puede ver el resultado de inmediato o posteriormente en la ficha Ver informes.

    Para obtener información sobre la programación de un informe, consulte Programación de informes.

Configuración del informe de atributos auditados

En el informe de atributos auditados (consulte la Tabla 15–1) pueden aparecer los cambos de nivel de atributo experimentados por los usuarios y las cuentas de Identity Manager. Sin embargo, el registro de auditoría estándar no genera suficientes datos de auditoría como para admitir una expresión de consulta completa.

El registro de auditoría estándar introduce realmente los atributos modificados en el campo acctAttrChanges del registro de auditoría, pero de manera que al consultar el informe sólo se encuentran los registros basados en el nombre del atributo cambiado. En la consulta del informe no se encuentra exactamente el valor del atributo.

Es posible configurar este informe para encontrar los registros que contienen modificaciones del atributo lastname especificando los parámetros siguientes:

Attribute Name = ’acctAttrChanges’
Condition = ’contains’
Value = ’lastname’
Nota –

Por la forma en que se almacenan los datos en el campo acctAttrChanges, es necesario utilizar Condition=’contains’. Este campo no admite varios valores. Básicamente, se trata de una estructura de datos que contiene los valores before/after de todos los atributos modificados con la sintaxis attrname=value. Por consiguiente, los valores anteriores permiten encontrar cualquier instancia de lastname= xxx en la consulta del informe.

También es posible encontrar los registros de auditoría que tienen un atributo específico con valor determinado solamente. Para esto, realice el procedimiento que se describe en la sección Configuración de la ficha Auditoría. Seleccione la casilla Auditar todo el flujo de trabajo, haga clic en el botón Añadir atributo para elegir los atributos que deben quedar registrados para el informe y haga clic en Guardar.

A continuación, active la configuración de la plantilla de tareas (si no está activada). Para esto, realice el procedimiento que se describe en la sección Habilitación de las plantillas de tarea. Haga clic en Guardar sin cambiar el valor predeterminado de la lista Tipos de procesos seleccionados.

El flujo de trabajo ahora puede suministrar los registros de auditoría que corresponden tanto al nombre de atributo como al valor. Aunque con este nivel de auditoría se obtiene mucha información, hay que tener en cuenta que se produce una notable pérdida de rendimiento y que los flujos de trabajo se ralentizan drásticamente.