Delegación mediante la autorización de la organización

Identity Manager permite delegar las obligaciones administrativas mediante el modelo de autorización basado en la organización, de forma predeterminada.

Tenga en cuenta lo siguiente cuando cree administradores delegados en un modelo de autorización basado en la organización:

• Los administradores de Service Provider son usuarios de Identity Manager con capacidades específicas y organizaciones controladas.

• Los valores de atributo de la organización de los usuarios pueden ser el nombre de la organización de Identity Manager o el ID de objeto. Esto depende de cómo se configure el campo El nombre del atributo de la organización contiene el ID de Identity Manager en la pantalla de configuración principal de Identity Manager.

• Puede crear una jerarquía de Identity Manager e incluir las organizaciones en esa jerarquía en función de como quiera delegar la administración de esas organizaciones. Utilice identificadores específicos para las organizaciones en lugar de nombres de organización.

• La organización a la que pertenecen los usuarios de Service Provider se toma de los atributos de usuario del servidor de directorio.

  • Debe definir los atributos en el mapa del esquema del recurso del servidor de directorio.

  • Los atributos se comparan con la lista de la organización del administrador por coincidencia exacta. El valor almacenado en el directorio debe coincidir con el nombre de las organizaciones, en lugar de con la jerarquía entera. Si un administrador controla Top:orgA:sub1, entonces sub1 debe tener el valor almacenado en el atributo de la organización para el usuario de Service Provider.

  • Si el atributo no se define o no coincide con una organización de Identity Manager, el usuario de Service Provider se considera un miembro de la organización principal (Top). Esto exige que los administradores de Service Provider tengan capacidades de usuario de Service Provider en Top para administrar los usuarios.

  La configuración del atributo determina el alcance de las búsquedas realizadas por los administradores de Service Provider.

• Para crear una cuenta de administrador delegado, cree un administrador de Identity Manager y luego agregue capacidades de administrador de Service Provider. Existen capacidades específicas de las tareas de Service Provider que se pueden asignar al usuario (mediante la ficha de seguridad de la página de edición de usuarios). Las organizaciones controladas especifican los usuarios de Service Provider que puede modificar el administrador. Todos los administradores de Identity Manager tendrán acceso a los recursos que estén a disposición de los usuarios de Service Provider.

Para obtener más información sobre la administración delegada de Identity Manager, consulte Administración delegada en el Capítulo 6Administración.