Acerca de las revisiones de acceso periódicas (Guía del administrador de negocio de Sun Identity Manager 8.1)

Guía del administrador de negocio de Sun Identity Manager 8.1

Acerca de las revisiones de acceso periódicas

La revisión de acceso periódica es el proceso por el que se autentica que un conjunto de empleados tiene los privilegios adecuados en los recursos oportunos en un momento concreto.

La revisión de acceso periódica conlleva las siguientes actividades:

Exploraciones de revisión de acceso. Exploraciones en las que se realizan evaluaciones de los derechos de usuario basadas en reglas para determinar si se requiere autenticación.
Autenticación. Proceso por el que se responde a la solicitud de autenticación aprobando o rechazando los derechos de usuario.

Un derecho de usuario es un registro detallado de las cuentas de un usuario en una serie concreta de recursos.

Exploraciones de revisión de acceso

Para iniciar una revisión de acceso periódica, primero debe definir una exploración de acceso como mínimo.

La exploración de acceso define quién va a ser objeto de la exploración, los recursos que se incluirán en la exploración, las directivas de auditoría opcionales que se van a evaluar durante la exploración y las reglas que determinan los registros de derechos que se van a autenticar manualmente y por quién.

Proceso del flujo de trabajo de revisión de acceso

En general, el flujo de trabajo de revisión de acceso de Identity Manager:

Crea una lista de usuarios, obtiene información de la cuenta de cada usuario y evalúa las directivas de auditoría opcionales.
Crea registros de derechos de usuario.
Determina si es necesario autenticar cada registro de derechos de usuario.
Asigna elementos de trabajo a cada autenticador.
Espera la aprobación de todos los autenticadores o el primer rechazo.
Delega en el siguiente autenticador si no se obtiene respuesta a una solicitud en un periodo de tiempo determinado.
Actualiza los registros de derechos de usuario con resoluciones.

Consulte la descripción de las capacidades de remediación en Remediación de revisión de acceso.

Capacidades de administrador de remediación

Para realizar una revisión de acceso periódica y controlar los procesos de revisión, el usuario debe tener la capacidad Administrador de revisiones de acceso periódico de Auditor. Los usuarios que tienen la capacidad Administrador de exploraciones de acceso de Auditor pueden crear y administrar exploraciones de acceso.

Para asignar estas capacidades, edite la cuenta de usuario y modifique los atributos de seguridad. Para obtener más información sobre éstas y otras capacidades, consulte Conceptos y administración de capacidades en el Capítulo 6Administración.

Proceso de autenticación

La autenticación es el proceso de certificación que realiza uno o varios de los autenticadores designados para confirmar un derecho de usuario tal y como existe en una fecha determinada. Durante la revisión de acceso, el autenticador (o autenticadores) recibe por correo electrónico una notificación con las solicitudes de autenticación de revisión de acceso. El autenticador debe ser un usuario de Identity Manager, pero no hace falta que sea un administrador de Identity Manager.

Flujo de trabajo de autenticación

Identity Manager emplea un flujo de trabajo de autenticación que se inicia cuando una exploración de acceso identifica los registros de derechos que deben revisarse. La exploración de acceso determina la necesidad de efectuar la revisión basándose en las reglas definidas en la misma exploración.

La regla evaluada en la exploración de acceso determina si el registro de derechos de usuario tiene que autenticarse de forma manual o si se puede aprobar o rechazar automáticamente. Cuando el registro de derechos de usuario necesita autenticarse de forma manual, la exploración de acceso utiliza una segunda regla para determinar quiénes son los autenticadores adecuados.

Cada registro de derechos de usuario que se debe autenticar manualmente se asigna a un flujo de trabajo, con un elemento de trabajo por autenticador. La notificación sobre estos elementos de trabajo se puede enviar al autenticador mediante un flujo de trabajo ScanNotification, que agrupa los elementos en una notificación por autenticador y exploración. A menos que seleccione este flujo de trabajo, se enviará una notificación por derecho de usuario. Esto significa que un autenticador puede recibir varias notificaciones por exploración, y posiblemente en gran cantidad en función del número de usuarios explorados.

Acceso seguro a la autenticación

Estas opciones de autorización están relacionadas con elementos de trabajo del tipo de autenticación (authType) AttestationWorkItem.

Propietario del elemento de trabajo
Administrador directo o indirecto del propietario del elemento de trabajo
Administrador que controla la organización a la que pertenece el propietario del elemento de trabajo
Usuarios validados mediante las comprobaciones de autenticación

De forma predeterminada, el comportamiento de las comprobaciones de autorización es uno de los siguientes:

El propietario es el usuario que intenta realizar la acción.
El propietario está en la organización controlada por el usuario que intenta realizar la acción.
El propietario es un subordinado del usuario que intenta realizar la acción.

Las comprobaciones segunda y tercera se pueden configurar por separado cambiando estas propiedades de formulario:

controlOrg: los valores válidos son true o false.
subordinate: los valores válidos son true o false.
lastLevel: último nivel de subordinación que se incluye en el resultado; -1 corresponde a todos los niveles.

El valor entero de lastLevel es -1 de forma predeterminada, y hace referencia a los subordinados directos e indirectos.

Estas opciones se pueden agregar o modificar en:

Formulario de usuario: AccessApprovalList

Nota –

Si define la seguridad de las autenticaciones en controlada por la organización, también se requiere la capacidad Autenticador de Auditor para modificar las autenticaciones de otros usuarios.

Autenticación delegada

De forma predeterminada, el flujo de trabajo de exploración de acceso respeta las delegaciones correspondientes a los elementos de trabajo del tipo Autenticación de revisión de acceso y Remediación de revisión de acceso, que crea el usuario para elementos de trabajo y notificaciones de autenticación. El administrador de exploración de acceso puede anular la selección de la opción Seguir delegación para que se ignoren las configuraciones de delegación. Si un autenticador ha delegado todos los elementos de trabajo a otro usuario, pero no se ha configurado la opción Seguir delegación para una exploración de revisión de acceso, el autenticador recibirá las notificaciones de solicitud de autenticación y los elementos de trabajo, no el usuario en el que se ha delegado.