Guía del administrador de negocio de Sun Identity Manager 8.1

Administración delegada para usuarios de Service Provider

La administración delegada para usuarios de Service Provider se activa mediante el uso de roles de administración de Identity Manager o mediante el modelo de autorización basado en la organización.

Delegación mediante la autorización de la organización

Identity Manager permite delegar las obligaciones administrativas mediante el modelo de autorización basado en la organización, de forma predeterminada.

Tenga en cuenta lo siguiente cuando cree administradores delegados en un modelo de autorización basado en la organización:

Los administradores de Service Provider son usuarios de Identity Manager con capacidades específicas y organizaciones controladas.
Los valores de atributo de la organización de los usuarios pueden ser el nombre de la organización de Identity Manager o el ID de objeto. Esto depende de cómo se configure el campo El nombre del atributo de la organización contiene el ID de Identity Manager en la pantalla de configuración principal de Identity Manager.
Puede crear una jerarquía de Identity Manager e incluir las organizaciones en esa jerarquía en función de como quiera delegar la administración de esas organizaciones. Utilice identificadores específicos para las organizaciones en lugar de nombres de organización.
La organización a la que pertenecen los usuarios de Service Provider se toma de los atributos de usuario del servidor de directorio.
- Debe definir los atributos en el mapa del esquema del recurso del servidor de directorio.
- Los atributos se comparan con la lista de la organización del administrador por coincidencia exacta. El valor almacenado en el directorio debe coincidir con el nombre de las organizaciones, en lugar de con la jerarquía entera. Si un administrador controla Top:orgA:sub1, entonces sub1 debe tener el valor almacenado en el atributo de la organización para el usuario de Service Provider.
- Si el atributo no se define o no coincide con una organización de Identity Manager, el usuario de Service Provider se considera un miembro de la organización principal (Top). Esto exige que los administradores de Service Provider tengan capacidades de usuario de Service Provider en Top para administrar los usuarios.
La configuración del atributo determina el alcance de las búsquedas realizadas por los administradores de Service Provider.
Para crear una cuenta de administrador delegado, cree un administrador de Identity Manager y luego agregue capacidades de administrador de Service Provider. Existen capacidades específicas de las tareas de Service Provider que se pueden asignar al usuario (mediante la ficha de seguridad de la página de edición de usuarios). Las organizaciones controladas especifican los usuarios de Service Provider que puede modificar el administrador. Todos los administradores de Identity Manager tendrán acceso a los recursos que estén a disposición de los usuarios de Service Provider.

Nota –

Para obtener más información sobre la administración delegada de Identity Manager, consulte Administración delegada en el Capítulo 6Administración.

Delegación mediante la asignación de roles de administración

Para garantizar que los usuarios de Service Provider tengan capacidades precisas y un ámbito de control, utilice el rol de administración de usuarios de Service Provider. Los roles de administración se pueden configurar para asignarse de forma dinámica a uno o varios usuarios de Identity Manager o Service Provider al inicio de la sesión.

Puede definir y asignar reglas a roles de administración que determinen las capacidades (como Crear usuario de Service Provider) otorgadas a los usuarios que tienen asignado el rol de administración.

Para utilizar la delegación de roles de administración con usuarios del proveedor de servicios, debe activar esta opción en el objeto de configuración del sistema Identity Manager (Edición de objetos de configuración de Identity Manager).

Cuando se activa la delegación mediante la asignación de roles de administración, no es necesario definir Nombre del atributo de la organización IDM en la configuración de Service Provider.

Activación de la delegación de roles de administración de Service Provider

Para activar la delegación de roles de administración del proveedor de servicios (administración delegada de Service Provider), abra el objeto de configuración del sistema para modificarlo (Edición de objetos de configuración de Identity Manager) y defina la siguiente propiedad en true:

security.authz.external.app name.object type

donde nombre apl es la aplicación Identity Manager (como la interfaz del administrador) y tipo de objeto corresponde a los usuarios de Service Provider.

Esta propiedad se puede activar por aplicación Identity Manager (por ejemplo, para la interfaz del administrador o la interfaz de usuario) y por tipo de objeto. En la actualidad sólo se admite el tipo de objeto Usuarios de Service Provider. El valor predeterminado es false.

Por ejemplo, si quiere activar la administración delegada de Service Provider para los administradores de Identity Manager, defina los siguientes atributos en "true" en el objeto de configuración del sistema.

security.authz.external.Administrator Interface.Service Provider Users

Cuando la administración delegada de Service Provider está desactivada (definida en false) para una aplicación Identity Manager o Service Provider determinada, se utiliza el modelo de autorización basado en la organización.

Si está activada, los eventos objeto de seguimiento capturan información acerca del número y la duración de las reglas de autorización ejecutadas. Estas estadísticas están disponibles en el panel de control.

Configuración de un rol de administración de usuarios de Service Provider

Para configurar un rol de administración de usuarios de Service Provider, cree un rol de administración y especifique el ámbito de control, las capacidades y a quién se debe asignar.

Nota –

Antes de crear un rol de administración de usuarios de Service Provider, defina el contexto de búsqueda, el filtro de búsqueda, el filtro tras la búsqueda, las capacidades y las reglas de asignación de usuarios del rol de administración

Para utilizar las reglas siguientes, tiene que especificar el atributo authType de la regla:

SPEUsersSearchContextRule
SPEUsersSearchFilterRule
SPEUsersAfterSearchFilterRule
CapabilitiesOnSPEUserRule
UserIsAssignedAdminRoleRule
SPEUserIsAssignedAdminRoleRule

Identity Manager ofrece reglas de ejemplo que se pueden utilizar para crear las reglas de los roles de administración de usuarios de Service Provider. Las reglas se encuentran disponibles en el archivo sample/adminRoleRules.xml del directorio de instalación de Identity Manager.

Para obtener más información sobre la creación de estas reglas en su entorno, consulte Sun Identity Manager Service Provider 8.1 Deployment.

Para configurar un rol de administración de usuarios de Service Provider

En la interfaz del administrador, haga clic en la opción Seguridad del menú y luego en Roles de administrador.

Se abre la página Roles de administrador.

Pulse Nuevo.

Se abre la página Crear rol de Admin.

Especifique el nombre del rol de administración y seleccione Usuarios de Service Provider como tipo.

Especifique las opciones Ámbito de control, Capacidades y Asignar a usuarios como se describe en las secciones siguientes.

Especificación del ámbito de control

El ámbito de control del rol de administración de usuarios del proveedor de servicios establece los usuarios del proveedor que puede ver un administrador de Identity Manager, un usuario final de Identity Manager o un usuario final del proveedor de servicios de Identity Manager. Se aplica cuando se realiza una petición para que aparezca la lista de usuarios de Service Provider en el directorio.

En el ámbito de control de roles de administración de usuarios de Service Provider, puede especificar una o varias configuraciones:

Contexto de búsqueda de usuarios. Especifique si se va a utilizar una regla o una cadena de texto para iniciar una búsqueda.

Si se especifica Ninguno, el contexto de búsqueda predeterminado será el contexto base establecido en el recurso de Identity Manager, configurado como directorio de usuarios de Service Provider.
Filtro de búsqueda de usuarios. Especifique si se va a aplicar una regla o una cadena de texto al filtro de búsqueda.

La cadena de texto especificada o devuelta por la regla seleccionada debe ser una cadena de filtro de búsqueda conforme a LDAP que represente el conjunto de usuarios, dentro del contexto de búsqueda, que controlarán los usuarios que tengan este rol de administrador asignado. El filtro indicado se combinará con el de búsqueda especificado por el usuario para garantizar que los usuarios que devuelve la búsqueda no incluyen aquéllos que los usuarios asignados a este rol de administrador no pueden enumerar.
Regla de filtro tras búsqueda de usuarios. Seleccione la regla que se aplicará después de utilizar el filtro de búsqueda de usuarios.

Esta regla se ejecuta después de realizar la búsqueda LDAP inicial en el directorio de usuarios de Service Provider y evalúa los resultados para determinar los nombres distinguidos (dn) a los que puede acceder el usuario solicitante.

Este tipo de regla se puede utilizar cuando es necesario determinar si un usuario debe encontrarse en el ámbito de control del usuario solicitante mediante atributos de usuario no LDAP (por ejemplo, pertenencia a un grupo) o cuando se utiliza un repositorio distinto del directorio de usuarios de Service Provider (por ejemplo, una base de datos Oracle o RACF) para elegir el filtro.

Especificación de capacidades

En la opción Capacidades del rol de administración de usuarios de Service Provider se especifican las capacidades y los derechos que tiene el usuario solicitante con respecto al usuario de Service Provider al que se pide acceder. Se aplica cuando se realiza una petición para ver, crear, modificar o eliminar un usuario de Service Provider.

En la ficha Capacidades, seleccione la Regla de capacidades que quiere aplicar a este rol de administración.

Asignación de roles de administración a usuarios

Los roles de administración de usuarios de Service Provider se pueden asignar dinámicamente a usuarios del proveedor de servicios especificando una regla, que se evaluará al iniciar la sesión para determinar si se asignará el rol de administrador al usuario de autenticación.

Haga clic en la ficha Asignar a usuarios y seleccione la regla de asignación que se va a aplicar.

Nota –

Para activar la asignación dinámica de roles de administración a usuarios en cada interfaz de inicio de sesión (por ejemplo, la interfaz de usuario y la interfaz del administrador), configure los siguientes objetos de configuración del sistema (Edición de objetos de configuración de Identity Manager) en true:

security.authz.checkDynamicallyAssignedAdminRolesAtLoginTo. logininterface

El valor predeterminado para todas las interfaces es false.

Delegación de roles de administración de usuarios de Service Provider

De forma predeterminada, los usuarios de Service Provider pueden asignar (o delegar) los roles de administración de usuarios que se les han concedido a otros usuarios de Service Provider incluidos en su ámbito de control.

De hecho, cualquier usuario de Identity Manager que pueda editar los usuarios de Service Provider puede asignar los roles de administración de usuarios de Service Provider que se le han concedido a los usuarios del proveedor de servicios que estén en su ámbito de control.

Los roles de administración de usuarios de Service Provider también pueden incluir una lista de Asignadores, que pueden asignar el rol de administración con independencia del ámbito de control. Estas asignaciones directas garantizan que haya al menos una cuenta de usuario conocida con capacidad para asignar el rol de administración.