Para definir la exploración de revisión de acceso

1. Seleccione Cumplimiento -> Administrar exploraciones de acceso.

2. Haga clic en Nuevo para que aparezca la página Crear exploración de acceso.

3. Asigne un nombre a la exploración de acceso.

   ---

   Nota –

   Los nombres de las exploraciones de acceso no deben contener estos caracteres:

   ’ (apóstrofo), . (punto), | (línea), [ (corchete izquierdo), ] (corchete derecho), , (coma), : (dos puntos), $ (símbolo del dólar), " (comillas), \ (barra diagonal inversa) y = (signo igual)

   También se debe evitar el uso de estos caracteres: _ (subrayado), % (porcentaje), ^ (acento circunflejo) y * (asterisco).

   ---

4. Agregue una descripción explicativa en la identificación de la exploración (opcional).

5. Active la opción Derechos dinámicos para que los autenticadores tengan estas otras posibilidades:

   Las opciones incluyen:

   • Una autenticación pendiente se puede reexplorar inmediatamente para actualizar los datos de derechos y reevaluar la necesidad de autenticación.

   • Una autenticación pendiente se puede enrutar a otro usuario para remediación. Después de la remediación, los datos de derechos se actualizan y reevalúan para determinar si se necesita autenticación.

6. Especifique el Tipo de ámbito de usuario (imprescindible).

   Elija una de las opciones siguientes:

   • Según regla de condición de atributo. Se exploran usuarios en función de la regla de ámbito de usuario seleccionada.

     Identity Manager ofrece varias reglas predeterminadas:

     • Todos los administradores

       ---

       Nota –

       Mediante el uso de Identity Manager IDE puede agregar reglas de definición de ámbitos de usuario. Para obtener información sobre Identity Manager IDE, visite https://identitymanageride.dev.java.net/.

       ---

     • Todos mis informes

     • Todos los no administradores

     • Mis informes directos

     • Usuarios sin administrador

   • Asignado a recursos. Se exploran todos los usuarios que tienen una cuenta en uno o varios de los recursos seleccionados. Cuando se elige esta opción, la página muestra los recursos de ámbito de usuario para que pueda especificar recursos.

   • Según un rol específico. Se exploran todos los miembros que tienen al menos un rol o todos los roles que ha especificado.

   • Miembros de organizaciones. Elija esta opción para explorar todos los miembros de una o varias organizaciones seleccionadas.

   • Informa a administrador. Se exploran todos los usuarios que rinden cuentas a los administradores seleccionados. El atributo de cuenta de Lighthouse de usuario de Identity Manager determina la jerarquía de administración.

     Si el ámbito de usuario es organización o administración, la opción Ámbito recursivo se encuentra disponible. Esta opción permite seleccionar usuarios de forma recursiva mediante la cadena de miembros controlados.

7. Si además elige explorar directivas de auditoría para detectar infracciones durante la exploración de revisión de acceso, seleccione las directivas de auditoría que deben aplicarse a esta exploración. Para esto, mueva las opciones que ha elegido en la lista Directivas de auditorí­a disponibles hasta la lista Directivas de auditorí­a actuales.

   Al agregar directivas de auditoría a una exploración de acceso se obtiene el mismo resultado que cuando se realiza una exploración de auditoría en el mismo conjunto de usuarios. Sin embargo, las infracciones que detectan las directivas de auditoría se almacenan en el registro de derechos de usuario. Esta información puede facilitar la aprobación o el rechazo automáticos, ya que la regla puede utilizar la presencia o ausencia de infracciones en el registro de derechos de usuario como parte de su lógica.

8. Si ha explorado directivas de auditoría en el paso anterior, puede utilizar la opción Modo de directiva para especificar cómo determina la exploración de acceso las directivas de auditoría que se van a ejecutar con un usuario determinado. Los usuarios pueden tener directivas asignadas en el nivel de usuario, en el nivel de organización o ambos. De forma predeterminada, la exploración de acceso sólo aplica las directivas especificadas para la exploración cuando el usuario no tiene asignadas directivas.

   1. Aplicar las directivas seleccionadas e ignorar otras asignaciones

   2. Aplicar las directivas seleccionadas solamente si el usuario no tiene otras asignaciones

   3. Aplicar las directivas seleccionadas además de otras asignaciones de usuario

9. (Opcional) Especificar propietario del proceso de revisión. Utilice esta opción para especificar el propietario de la tarea de revisión de acceso que se está definiendo. Cuando se especifica el propietario del proceso de revisión, cualquier autenticador que encuentre un posible conflicto a la hora de responder a una solicitud de autenticación puede abstenerse en lugar de aprobar o rechazar el derecho de usuario; la solicitud de autenticación se reenviará al propietario del proceso de revisión. Haga clic en el cuadro de selección (elíptico) para buscar las cuentas de usuario y realizar la selección.

10. Seguir delegación. Seleccione esta opción para activar la delegación para la exploración de acceso. Cuando marque esta opción, la exploración de acceso respetará las configuraciones de delegación. Esta opción está activada de forma predeterminada.

11. Restringir recursos destino. Seleccione esta opción para limitar la exploración a los recursos de destino.

    Esta opción está directamente relacionada con la eficacia de la exploración de acceso. Si no limita los recursos de destino, cada registro de derechos de usuario incluirá información de las cuentas de todos los recursos a los que esté vinculado el usuario. Esto significa que se consultan todos los recursos asignados de cada usuario durante la exploración. Si utiliza esta opción para especificar un subconjunto de recursos, puede reducir en gran medida el tiempo de procesamiento que necesita Identity Manager para crear los registros de derechos de usuario.

12. Ejecutar remediación de infracción. Seleccione esta opción para que se active el flujo de trabajo de remediación de la directiva de auditoría cuando se detecte una infracción.

    Cuando se selecciona esta opción, se ejecuta el flujo de trabajo de remediación de la directiva de auditoría cuya infracción se ha detectado.

    Normalmente no debe seleccionarse esta opción, a menos que se trate de casos avanzados.

13. Flujo de trabajo de aprobación de acceso. Seleccione el flujo de trabajo de autenticación estándar predeterminado o un flujo de trabajo personalizado, si está disponible.

    Este flujo de trabajo permite presentar el registro de derechos de usuario a los autenticadores apropiados (según la regla de autenticador) para que lo revisen. El flujo de trabajo de autenticación estándar predeterminado crea un elemento de trabajo por autenticador. Si se especifica la escalación en la exploración de acceso, este flujo de trabajo se encarga de asignar los elementos de trabajo que han estado inactivos durante mucho tiempo. Cuando no se especifique ningún flujo de trabajo, la autenticación de usuario permanecerá en estado pendiente de forma indefinida.

    .

    ---

    Nota –

    Para obtener más información sobre las reglas de Identity Auditor mencionadas en este paso y en los pasos siguientes, consulte el Capítulo 4, Working with Rules de Sun Identity Manager Deployment Reference.

    ---

14. Regla de autenticador. Seleccione la regla Autenticador predeterminado o una regla de autenticador personalizada, si existe.

    La regla de autenticador en la que se introduce el registro de derechos de usuario, devuelve una lista con los nombres de los autenticadores. Cuando se selecciona Seguir delegación, la exploración de acceso cambia la lista de nombres por los nombres adecuados después de que cada usuario configure la información de delegación en la lista original de nombres. Si la delegación de un usuario de Identity Manager produce un ciclo de direccionamiento, la información de delegación se descarta y el elemento de trabajo se envía al autenticador inicial. La regla de Autenticador predeterminado establece que el autenticador debe ser el administrador (idmManager) del usuario al que representa el registro de derechos, o la cuenta de configuración si el idmManager del usuario es nulo. Cuando sea necesario incluir a los propietarios de recursos y los administradores en la autenticación, tendrá que utilizar una regla personalizada.

15. Regla de escalación de autenticador. Utilice esta opción para especificar la regla de autenticador de escalación predeterminado o seleccionar una regla personalizada, si existe. También puede especificar el valor de Tiempo de espera de escalada de la regla. El valor predeterminado es 0 días.

    Esta regla especifica la cadena de escalación que se utiliza con cualquier elemento de trabajo que haya superado el tiempo de espera de escalación. La regla de autenticador de escalación predeterminado delega las solicitudes en el administrador del autenticador designado (idmManager), o en el usuario Configurator si el valor idmManager del autenticador es nulo.

    Puede especificar el tiempo de espera de escalación en minutos, horas o días.

    El documento contiene información adicional sobre la regla de escalación de autenticador.

16. Regla de determinación de revisión. (imprescindible)

    Seleccione una de las reglas siguientes para especificar la forma en que el proceso de exploración determinará la disposición de un registro de derechos:

    • Rechazar usuarios cambiados. Rechaza automáticamente un registro de derechos de usuario si el último derecho de usuario de la misma definición de exploración de acceso no coincide y este derecho está aprobado. En caso contrario, fuerza una autenticación manual y aprueba todos los derechos de usuario que no han sufrido cambios con respecto al derecho de usuario previamente aprobado. De forma predeterminada, sólo se compara la parte correspondiente a las “cuentas” de la vista de usuario.

    • Revisar usuarios cambiados. Fuerza la autenticación manual de cualquier registro de derechos de usuario si el último derecho de usuario de la misma definición de exploración de acceso no coincide y este derecho está aprobado. Aprueba todos los derechos de usuario que no han experimentado cambios con respecto al derecho de usuario aprobado anteriormente. De forma predeterminada, sólo se compara la parte correspondiente a las “cuentas” de la vista de usuario.

    • Revisar todos. Fuerza la autenticación manual de todos los registros de derechos de usuario.

    En las reglas Rechazar usuarios cambiados y Revisar usuarios cambiados se compara el derecho de usuario con la última instancia de la misma exploración de acceso en la que se ha aprobado el registro de derechos.

    Si quiere cambiar este comportamiento, puede copiar y modificar las reglas para limitar la comparación a la parte que elija de la vista del usuario.

    Esta regla puede devolver los siguientes valores:

    • -1. No se requiere autenticación.

    • 0. La autenticación se rechaza automáticamente.

    • 1. Se requiere autenticación manual.

    • 2. La autenticación se aprueba automáticamente.

    • 3. La autenticación se remedia automáticamente.

      El documento contiene información adicional sobre la regla de determinación de revisión.

17. Regla de remediador. Seleccione la regla que se va a utilizar para determinar quién debe remediar un derecho de un determinado usuario en caso de remediación automática. La regla puede examinar los derechos e infracciones del usuario actual, y debe devolver una lista de usuarios que deben remediar. Si no se especifica ninguna regla, no se realizará ninguna remediación. Esta regla suele utilizarse cuando el derecho infringe el cumplimiento.

18. Regla de formulario de usuario de remediación. Seleccione la regla que se va a utilizar para seleccionar el formulario que deben utilizar los remediadores de autenticación para editar usuarios. Los remediadores pueden tener un formulario propio, que anula éste. Esta regla de formulario se configura cuando en la exploración se recopilan datos muy específicos que coinciden con los de un formulario personalizado.

19. Flujo de trabajo de notificación.

    Seleccione una de las opciones siguientes para especificar el comportamiento de notificación de cada elemento de trabajo:

    • Ninguno. Es el valor predeterminado. Con este valor, el autenticador recibe una notificación por correo electrónico por cada derecho de usuario que debe autenticar.

    • ScanNotification. Esta opción agrupa las solicitudes de autenticación en una sola notificación. En la notificación se indica la cantidad de solicitudes de autenticación asignadas al destinatario.

      Si se ha especificado el propietario del proceso de revisión en la exploración de acceso, el flujo de trabajo ScanNotification también enviará una notificación a ese propietario al principio y al final de la exploración. Consulte Creación de una exploración de acceso.

      El flujo de trabajo ScanNotification utiliza las plantillas de correo electrónico siguientes:

      • Aviso de inicio de exploración de acceso

      • Aviso de finalización de exploración de acceso

      • Aviso de autenticación masiva

        El flujo de trabajo ScanNotification se puede personalizar.

20. Límite de infracción. Utilice esta opción para especificar el número máximo de infracciones de cumplimiento que puede emitir esta exploración antes de que se anule. El límite predeterminado es 1000. No existe ningún límite si el campo se deja vacío.

    Aunque el número de infracciones de directiva suele ser bajo en comparación con el número de usuarios durante las exploraciones de acceso o auditoría, la configuración de este valor podría evitar la repercusión que tendría una directiva defectuosa que incrementara el número de infracciones de forma significativa. Por ejemplo, imagínese la siguiente situación:

    Si una exploración de acceso incluye 50.000 usuarios y genera de dos a tres infracciones por usuario, el coste de remediar cada infracción del cumplimiento podría repercutir negativamente en el sistema Identity Manager.

21. Organizaciones. Seleccione las organizaciones para las que está disponible este objeto de exploración de acceso. Se trata de un campo obligatorio.

    Haga clic en Guardar para guardar la definición de exploración.