Conceptos y administración de recursos externos

Identity Manager también sirve para crear, abastecer y administrar centralizadamente los recursos externos de la empresa.

En esta sección se explica cómo trabajar con recursos externos a lo largo de los siguientes apartados:

• ¿Qué son los recursos externos?

• ¿Por qué utilizar recursos externos?

• Configuración de recursos externos

• Creación de recursos externos

• Abastecimiento de recursos externos

• Anulación de asignación y desvinculación de recursos externos

• Solución de problemas de recursos externos

¿Qué son los recursos externos?

Un recurso externo es un tipo de recurso único que no almacena directamente información de cuentas de usuario. Se trata de un recurso ajeno a las labores de Identity Manager. Estos recursos pueden ser equipos de sobremesa, portátiles, teléfonos móviles, dispositivos de seguridad, etc.

Para abastecer los recursos externos siempre se necesitan uno o varios procesos manuales. Por ejemplo, tras efectuar la solicitud inicial y obtener las aprobaciones adecuadas para abastecer un equipo portátil para un nuevo empleado, quizá debe enviar una solicitud de pedido de compra al sistema de peticiones de compra de la empresa. Una vez rellenado el pedido, tal vez alguien deba preconfigurar el portátil con las aplicaciones de la empresa y después entregárselo personalmente al nuevo empleado para completar la solicitud de abastecimiento.

¿Por qué utilizar recursos externos?

El uso de Identity Manager para abastecer recursos externos le permite notificar las solicitudes pendientes a uno o varios abastecedores, con información detallada sobre lo que se debe abastecer.

Por ejemplo, un abastecedor de recursos externos podría ser un responsable de TI que necesita solicitar y preconfigurar manualmente un portátil para un usuario.

Identity Manager también mantiene información sobre los recursos externos abastecidos para un determinado usuario y actualiza dicha información al completar la solicitud de abastecimiento. A continuación, Identity Manager deja disponible esta información para visualizarla, generar informes, auditar la validación del cumplimiento y exportarla.

Para configurar recursos externos se necesita la capacidad Administrador de recursos externos. Para crear nuevos recursos externos se necesita la capacidad Administrador de recursos.

Configuración de recursos externos

En esta sección se describe el proceso de configuración del almacén de datos de recursos externos y la notificación al abastecedor de recursos externos.

Configuración del almacén de datos de recursos externos

El almacén de datos de recursos externos de Identity Manager constituye un único alojamiento para la información sobre los recursos externos y sus asignaciones. Este almacén puede ser una base de datos o un directorio.

• Si el almacén de datos de recursos externos es una base de datos, lo gestiona el adaptador ScriptedJdbcResourceAdapter.

• Si el almacén de datos de recursos externos es un directorio, lo gestiona el adaptador LDAPResourceAdapter.

Para configurar el almacén de datos de recursos externos se necesita la capacidad Administrador de recursos externos.

El almacén de datos de recursos externos le permite almacenar la información en los valores de atributo que le interesen, así como incluir dichos valores en una o varias tablas.

Por ejemplo, si utiliza una base de datos MySQL, Identity Manager almacena la información de recursos externos en las tablas siguientes:

• La tabla extres.accounts, que contiene los ID de cuenta y de recurso (accountID y resourceID). Como el almacén de datos de recursos externos es un alojamiento único, Identity Manager proporciona una clave de ID única, <accountId>@<resourceId> , que identifica a una cuenta en exclusiva por su ID de recurso.

• La tabla extres.attributes, que contiene un conjunto de atributos de par nombre/valor. Estos atributos se definen en la asignación de esquemas al crear un recurso externo.

Las secuencias de comandos de ejemplo utilizadas para crear las tablas de base de datos se incluyen con Identity Manager en la siguiente ubicación:

wshome/sample/ScriptedJdbc/External

Identity Manager es compatible con numerosos tipos de bases de datos, para cada uno de los cuales ofrece secuencias de comandos de ejemplo. Puede modificar estas secuencias de comandos como requiera su entorno específico.

El almacén de datos de recursos externos también es compatible con LDAP mediante el adaptador LDAPResourceAdapter, que permite almacenar la información en clases existentes o personalizadas. Con Identity Manager también se incluye una secuencia de comandos de ejemplo LDIF en la siguiente ubicación:

wshome/sample/other/externalResourcePerson.ldif

Puede modificar esta secuencia de comandos al configurar un almacén de datos de directorio de recursos externos.

Para configurar un almacén de datos de base de datos

Aunque es muy fácil introducir cambios, el almacén de datos de recursos externos sólo suele configurarse una vez. Si modifica la configuración, Identity Manager actualiza automáticamente todos los recursos externos existentes para utilizar el almacén de datos recién configurado.

Siga estos pasos para configurar un almacén de datos de base de datos:

1. Seleccione Configurar -> Recursos externos en la barra de menús de la interfaz de administración de Identity Manager.

2. Cuando aparezca la página Configuración de almacén de datos, elija Base de datos en el menú Tipo de almacén de datos. Aparecen más opciones.

   Figura 5–14 Página Configuración de almacén de datos: base de datos

   
   

3. Especifique la siguiente información de conexión y autenticación:

   ---

   Nota –

   Identity Manager rellena automáticamente con los valores predeterminados los campos Controlador JDBC, Plantilla URL de JDBC, Puerto y Tiempo máx. de inactividad (segs). Si es preciso, puede cambiar estos valores.

   ---

   • Controlador JDBC. Especifique el nombre de la clase del controlador JDBC.

   • Plantilla URL de JDBC. Especifique la plantilla URL del controlador JDBC.

   • Host. Introduzca el nombre del servidor en el que se está ejecutando la base de datos.

   • Puerto TCP. Introduzca el puerto en el que la base de datos recibe las consultas.

   • Base de datos. Introduzca el nombre de la base de datos presente en el servidor de base de datos que contiene la tabla.

   • Usuario. Introduzca el ID de un usuario de base de datos con permisos suficientes para leer, actualizar y eliminar filas de la tabla de la base de datos. Por ejemplo, root.

   • Password. Introduzca la contraseña del usuario de la base de datos.

   • Volver a enviar todas las SQLExceptions. Marque esta casilla para volver a enviar las excepciones SQL a las sentencias SQL si los códigos de error de excepción son 0.

     Si no habilita esta opción, Identity Manager intercepta y elimina estas excepciones.

   • Tiempo máx. de inactividad (segs). Introduzca el tiempo máximo de inactividad en segundos que una conexión JDBC deba permanecer sin usar en un grupo.

     Si la conexión no se utiliza antes de que transcurra el tiempo especificado, Identity Manager la cerrará y la quitará del grupo.

     • El valor predeterminado es 600 segundos.

     • Con el valor -1 la conexión nunca caduca.

4. Tras conectarse satisfactoriamente al almacén de datos, debe especificar una varias secuencias de comandos para que se ejecuten con cada acción de recurso admitida. Consulte las instrucciones en el apartado Para configurar secuencias de comandos de acción.

Para configurar secuencias de comandos de acción

Debe especificar un conjunto de secuencias de comandos de BeanShell (bsh) que Identity Manager pueda utilizar para efectuar un seguimiento y ejecutar los estados Obtener, Crear, Actualizar, Eliminar, Habilitar, Inhabilitar y Probar de una solicitud determinada.

Encontrará secuencias de comandos de ejemplo en:

wshome/sample/ScriptedJdbc/External/beanshell

Estos ejemplos se pueden modificar para crear sus propias secuencias de comandos personalizadas. Las secuencias de comandos se añaden a la herramienta de selección Secuencias de comandos de acción y se muestran bajo la línea de las listas Disponible y Seleccionado.

Identity Manager proporciona secuencias de comandos de ejemplo para las acciones de recurso y los tipos de bases de datos admitidos para los recursos externos. Para acceder a estas secuencias de comandos, utilice las denominadas ResourceAction, que se encuentran en:

wshome/sample/ScriptedJdbc/External/beanshell

De manera predeterminada, el nombre de la base de datos, el de usuario y la contraseña son extres.

• Si elige cualquiera de las demás opciones de base de datos o prefiere utilizar otro nombre de usuario o de base de datos, debe modificar consiguientemente los valores de los ejemplos de secuencias de comandos de creación de base de datos y ResourceAction.

  Por ejemplo, si elige una base de datos MySQL y quiere cambiar el nombre de la base de datos, de usuario y la contraseñas existentes, deberá realizar estos cambios: actualizar la secuencia de comandos create_external_tables.mysql cambiando el valor predeterminado extres del nombre de base de datos, el nombre de usuario y la contraseña a externalresources, externaladmin y externalpassword, respectivamente.

• A continuación, en las secuencias ResourceAction cambie los valores predeterminados extres.accounts y extres.attributes a externalresources.accounts y externalresources.attributes , respectivamente.

Para configurar las secuencias de comandos de acción, siga estos pasos:

1. Use las herramientas de selección Secuencias de comandos de acción de la página Configuración de almacén de datos para especificar una o más secuencias de comandos de acción para cada acción de recurso. Debe seleccionar al menos una secuencia por acción de recurso.

   Figura 5–15 Área Secuencias de comandos de acción

   
   

   Ha de seleccionar la secuencia de comandos de acción correspondiente a la acción de recurso. Por ejemplo, utilice:

   • External-getUser-bsh para las acciones de recurso GetUser

     ---

     Nota –

     Las acciones de recurso GetUser se utilizan en las operaciones de búsqueda.

     ---

   • External-createUser-bsh para las acciones de recurso CreateUser

   • External-deleteUser-bsh para las acciones de recurso DeleteUser

   • External-updateUser-bsh para las acciones de recurso UpdateUser

   • External-disableUser-bsh para las acciones de recurso DisableUser

   • External-enableUser-bsh para las acciones de recurso EnableUser

   • External-test-bsh para las acciones de recurso Test

     ---

     Nota –

     Las acciones de recurso Test se utilizan para habilitar la funcionalidad completa del botón Conexión de prueba.

     ---

   Cualquier otra secuencia de comandos bsh de ejemplo que seleccione no funcionará.

2. Elija un Modo de contexto de acción en el menú para especificar cómo deben transferirse los valores de atributo a las secuencias de comandos de acción.

   • Cadenas. Los valores de atributo se transfieren como valores de cadena.

   • Directo. Los valores de atributo se transfieren como un objeto com.waveset.object.AttributeValues.

3. Éste es un buen momento para probar la configuración de la conexión al almacén de datos. Pulse el botón Conexión de prueba, que se halla en la parte inferior de la página.

   Aparece un mensaje para indicar si la conexión es correcta o errónea.

4. Cuando termine, pulse Siguiente para continuar en la página Configuración de notificación a abastecedores.

Para configurar un almacén de datos de directorio

Siga estos pasos para configurar un almacén de datos de directorio:

1. Seleccione Directorio en el menú Tipo de almacén de datos. Aparecen más opciones.

   Figura 5–16 Página Configuración de almacén de datos: directorio

   
   

2. Debe especificar la información de conexión y autenticación para un almacén de datos de tipo directorio.

   Configure las opciones siguientes:

   • Host. Introduzca el nombre o la dirección IP del servidor donde se está ejecutando el servidor LDAP.

   • Puerto TCP. Introduzca el puerto TCP/IP utilizado para comunicarse con el servidor LDAP.

     • Si utiliza SSL, este puerto suele ser 636.

     • Si no utiliza SSL, este puerto suele ser 389.

   • SSL. Elija esta opción para conectar con el servidor LDAP mediante SSL.

   • Servidores de conmutación por errores. Lista de todos los servidores que se utilizan para la reconexión de emergencia si falla el servidor preferido. Esta información se debe introducir en el formato indicado a continuación, que respeta las URL estándar de la versión 3 de LDAP descritas en RFC 2255:

     ldap://ldap.example.com:389/o=LdapFailover

     En esta configuración sólo son relevantes las porciones de host, puerto y nombre distinguido (nd) de la URL.

     Si falla el servidor preferido, JNDI se conectará automáticamente al siguiente servidor de esta lista.

   • ND de usuario. Introduzca el nd con el que se autenticará en el servidor LDAP cuando se efectúen actualizaciones. (El valor predeterminado es cn=Directory Manager)

   • Password. Introduzca la contraseña del responsable titular.

   • Contextos base. Introduzca uno o más puntos de partida que Identity Manager puede usar al buscar usuarios en el árbol LDAP. (El valor predeterminado es dc=MYDOMAIN,dc=com)

     Identity Manager efectúa búsquedas al intentar descubrir usuarios del servidor LDAP o cuando se buscan los grupos a los que están afiliados los usuarios.

   • Clase del objeto. Indique la clase o clases de objeto que se utilizarán al crear nuevos objetos de usuario en el árbol LDAP. (El valor predeterminado es top)

     Cada entrada debe ocupar una línea distinta. No utilice coma ni punto y coma para separar las entradas.

     Determinados servidores LDAP requieren que se especifiquen todas las clases de objeto presentes en la jerarquía de clases. Por ejemplo, tal vez necesite especificar top, person, organizationalperson e inetorgperson en lugar de sólo inetorgperson.

   • Filtro de LDAP para recuperar cuentas. Introduzca un filtro de LDAP opcional para controlar las cuentas que se van a devolver procedentes del recurso LDAP. Si no introduce ningún filtro, Identity Manager devolverá todas las cuentas que contienen todas las clases de objeto especificadas.

   • Incluir todas las clases de objeto en el filtro de búsqueda. Marque esta casilla para que todas las cuentas deban incluir todas las clases de objetos especificadas y coincidir con el filtro indicado en el campo Filtro de LDAP para recuperar cuentas.

     ---

     Nota –

     Esta opción debe habilitarse cuando no se introduce ningún filtro de búsqueda. Si esta opción está inhabilitada, las cuentas que no incluyan todas las clases de objeto especificadas se podrán cargar en Identity Manager con las funciones de reconciliación o carga desde recurso.

     ---

     Una vez cargadas, el atributo objectclass de la cuenta no se actualiza automáticamente. Si se expone a la interfaz de administración un atributo de una clase sin objeto, se producirá un error si se otorga un valor a este atributo sin modificar el atributo objectclass. Para evitar este problema, anule el valor de objectclass del formulario de Reconciliación o Cargar desde recurso.

   • Atributo de nombre de usuario. Introduzca el nombre del atributo LDAP que se asigna al nombre del usuario de Identity Manager cuando se descubren usuarios en el directorio. Este nombre suele ser uid o cn.

   • Mostrar nombre de atributo. Introduzca el atributo de cuenta de recursos cuyo valor será utilizado cuando se muestre este nombre de cuenta.

   • Atributo de clasificación VLV. Especifique el nombre del atributo de clasificación que se utilizará para los índices VLV en el recurso.

   • Utilizar bloques. Marque esta casilla para recuperar y procesar los usuarios en bloques.

     Cuando se ejecutan operaciones con un gran número de usuarios, éstos se procesan en bloques para reducir la cantidad de memoria utilizada por la operación.

   • Número de bloques. Introduzca el número máximo de usuarios que pueden agruparse en bloques para procesar.

   • Atributos de miembro de grupo. Introduzca el nombre del atributo de pertenencia al grupo que se actualizará con el nombre distinguido (ND) del usuario cuando éste se añada al grupo.

     El nombre de atributo depende de la clase de objeto del grupo. Por ejemplo, Sun Java^TM System Enterprise Edition Directory Server y otros servidores LDAP utilizan grupos con la clase de objeto groupOfUniqueNames y el atributo uniqueMember. Otros servidores LDAP utilizan grupos con la case de objeto groupOfNames y el atributo member.

   • Algoritmo de cálculo de claves de contraseñas. Introduzca el algoritmo que deberá utilizar Identity Manager para incluir claves en la contraseña. Los valores admitidos son:

     • SSHA

     • SHA

     • SMD5

     • MD5

     Si indica 0 o deja vacío este campo, Identity Manager no incluirá calves en las contraseñas y almacenará contraseñas de texto simple en LDAP, a no ser que el servidor LDAP realice el cálculo de claves. Por ejemplo, Sun Java System Enterprise Edition Directory Server incluye claves en las contraseñas.

   • Modificar atributos de nombre. Marque esta casilla para permitir modificaciones del atributo de usuario que representa el nombre distinguido (ND) relacionado que se encuentra más a la izquierda. Las modificaciones suelen cambiar los atributos de asignación de nombre a uid o cn.

   • Método de activación de LDAP.

     • Deje este campo en blanco si quiere que el recurso utilice asignación de contraseñas para habilitar o inhabilitar las acciones.

     • Introduzca la palabra clave (nsmanageddisabledrole o nsaccountlock), o el nombre de clase que se debe usar para realizar una acción de activación para usuarios de este recurso.

   • Parámetro de activación de LDAP. Introduzca un valor según cómo haya rellenado el campo Método de activación de LDAP:

     • Si ha especificado la palabra clave nsmanageddisabledrole, deberá introducir un valor con este formato:

       IDMAttribute=CN=nsmanageddisabledrole,baseContext

     • Si ha especificado la palabra clave nsaccountlock, deberá introducir un valor con este formato:

       IDMAttribute=true

     • Si ha especificado un nombre de clase, deberá introducir un valor con este formato:

       IDMAttribute

     ---

     Nota –

     Para obtener más información sobre el Método de activación de LDAP y el Parámetro de activación de LDAP, consulte la guía Sun Identity Manager 8.1 Resources Reference .

     ---

   • Usar control de resultados paginados. Marque esta casilla para utilizar el control de resultados paginados de LDAP en lugar del control de VLV para iterar las cuentas durante la reconciliación.

     ---

     Nota –

     El recurso debe ser compatible con el control de paginación simple.

     ---

   • Mantener miembros de grupo de LDAP . Marque esta casilla para que el adaptador mantenga los miembros de grupo de LDAP al renombrar o eliminar usuarios.

     Si no habilita esta opción, el recurso LDAP mantiene la pertenencia a los grupos.

3. Pruebe la configuración de la conexión al almacén de datos con el botón Conexión de prueba.

   Aparece un mensaje para indicar si la conexión es correcta o errónea.

4. Cuando termine, pulse Guardar y después Siguiente para continuar en la página Configuración de notificación a abastecedores.

   ---

   Nota –

   Debe configurar atributos de cuenta válidos y una plantilla de identidad para poder crear usuarios en un recurso LDAP.

   ---

Configuración de notificaciones a abastecedores

Una vez configurado el almacén de datos para los recursos externos, debe configurar las notificaciones a los abastecedores. También es posible configurar las notificaciones a los solicitantes. A continuación se explica el proceso para configurar notificaciones con correo electrónico o Remedy.

Para configurar notificaciones por correo electrónico

Encontrará más información sobre las plantillas de correo electrónico en Configuración de plantillas de tareas.

Siga estas instrucciones para configurar y enviar notificaciones por correo electrónico a uno o varios abastecedores.

1. En la página Configuración de notificación a abastecedores, seleccione Correo electrónico en el menú Tipo de notificación a abastecedor. Aparecen otras opciones, como ilustra la figura siguiente.

   Figura 5–17 Página Configuración de notificación a abastecedores: Tipo de notificación por correo electrónico

   
   

2. Configure las opciones siguientes:

   • Plantilla de solicitud de abastecimiento. Elija Ejemplo de solicitud de abastecimiento externa en el menú. Con esta plantilla debe configurar el correo electrónico empleado para notificar a los abastecedores de solicitudes de recursos externos.

   • Seguir delegación. Marque esta casilla si quiere que Identity Manager siga las delegaciones definidas para el abastecedor.

   • Regla de escalada a abastecedor (opcional). Elija una regla para establecer a qué abastecedor se traslada una solicitud en caso de que el abastecedor actual no responda antes del tiempo de espera indicado.

     ---

     Nota –

     Aunque este menú contiene varias reglas de ejemplo, debe seleccionar la regla Ejemplo de escalada a abastecedor externo o utilizar una regla propia. La regla Ejemplo de escalada a abastecedor externo aplica una regla de escalada a abastecedor externo para establecer el abastecedor en caso de escalada.

     ---

   • Tiempo de espera de escalada. Indique el máximo tiempo de espera antes de traslada una solicitud de abastecimiento al siguiente abastecedor.

     ---

     Nota –

     • Si deja este campo vacío o introduce un cero, la solicitud nunca se escala.

     • Si especifica un tiempo de espera, pero no una Regla de escalada a abastecedor, Identity Manager escalará la solicitud al configurador cuando transcurra el tiempo de espera especificado. Si no hay configurador, la solicitud se clasificará como no completada una vez caducado el tiempo de espera.

     ---

   • Formulario de solicitud de abastecimiento. Elija un formulario que los abastecedores de recursos externos puedan utilizar para marcar como completada o no completada una solicitud de abastecimiento.

   • Regla de abastecedores. Debe elegir una regla para definir el abastecedor a quien se envían las solicitudes de abastecimiento cuando se asignan recursos externos a los usuarios.

     ---

     Nota –

     • Puede elaborar sus propias reglas al respecto. También es posible definir varios abastecedores. Cuando alguno de ellos complete la tarea, ésta desaparecerá de las colas de todos los abastecedores. Para obtener más información sobre la creación de reglas, consulte el Capítulo 4, Working with Rules de Sun Identity Manager Deployment Reference.

     • Aunque este menú contiene varias reglas de ejemplo, debe seleccionar la regla Ejemplo de solicitud de abastecimiento externa o utilizar una regla propia. La regla Ejemplo de solicitud de abastecimiento externa convierte al configurador en abastecedor.

     ---

   • Notificar a solicitante. Marque esta casilla para devolver por correo electrónico al solicitante original información sobre lo acontecido con la solicitud. Por ejemplo, si se ha completado o no la solicitud de abastecimiento, si se precisa más información, etc.

     Cuando se habilita esta opción, aparecen además estos campos:

     ---

     Nota –

     • Plantilla de solicitud de abastecimiento completada. Seleccione la plantilla de solicitud de abastecimiento completada para avisar a los solicitantes cuando se hayan completado sus solicitudes.

     • Plantilla de solicitud de abastecimiento no completada. Seleccione la plantilla de solicitud de abastecimiento no completada para avisar a los solicitantes cuando no se hayan completado sus solicitudes.

     ---

3. Pulse Guardar.

   Aparece la página Configurar, donde se le indica que puede continuar realizando otra tarea de configuración.

4. Vaya a la ficha Recursos -> Listar recursos. Ahora ya puede crear recursos externos individuales basándose en esta configuración. Consulte las instrucciones en el apartado Para crear un recurso.

Para configurar notificaciones de Remedy

Siga estas instrucciones para crear y enviar un ticket de Remedy a los abastecedores.

1. Seleccione Remedy en el menú Tipo de notificación a abastecedor. Aparecen otras opciones, como ilustra la figura siguiente.

   Figura 5–18 Página Configuración de notificación a abastecedores: Tipo de notificación de Remedy

   
   

2. Configure las opciones siguientes:

   • Plantilla de Remedy de solicitud de abastecimiento. Elija Ejemplo de plantilla de Remedy externa en el menú.

     ---

     Nota –

     Identity Manager incluye un ejemplo de plantilla de Remedy que puede utilizar o modificar según convenga.

     ---

     Una plantilla de Remedy contiene un conjunto de campos que sirven para crear un ticket de Remedy. Identity Manager también utiliza esta plantilla para consultar el estado del ticket de Remedy con el fin de comprobar si se ha completado o no una tarea.

   • Regla de Remedy de solicitud de abastecimiento. En este menú debe elegir una regla para definir los valores de configuración de Remedy.

     ---

     Nota –

     Aunque este menú contiene varias reglas de ejemplo, debe seleccionar el Ejemplo de regla de Remedy externa o utilizar una regla propia. En el ejemplo de regla de Remedy externa se utiliza una regla de Remedy para saber si el estado actual de un ticket de Remedy es completado o no completado.

     ---

     Una plantilla de Remedy contiene un conjunto de campos que sirven para crear un ticket de Remedy. Identity Manager también utiliza esta plantilla para consultar el estado del ticket de Remedy con el fin de comprobar si se ha completado o no una tarea.

     Identity Manager aplica esta regla para consultar la información de estado de un ticket de Remedy. Si el estado del ticket es completado o no completado, Identity Manager marca el elemento de trabajo respectivamente como completado o no completado.

     ---

     Nota –

     Puede elaborar sus propias reglas al respecto. Se incluye un ejemplo de regla de Remedy externa que puede utilizar directamente o modificarlo como interese. Para obtener más información sobre la creación de reglas, consulte el Capítulo 4, Working with Rules de Sun Identity Manager Deployment Reference.

     ---

   • Seguir delegación. Marque esta casilla si quiere que Identity Manager siga las delegaciones definidas para el abastecedor.

   • Regla de escalada a abastecedor (opcional). Elija una regla para establecer a qué abastecedor se traslada una solicitud en caso de que el abastecedor actual no responda antes del tiempo de espera indicado.

     ---

     Nota –

     Aunque este menú contiene varias reglas de ejemplo, debe seleccionar la regla Ejemplo de escalada a abastecedor externo o utilizar una regla propia. La regla Ejemplo de escalada a abastecedor externo aplica una regla de escalada a abastecedor externo para establecer el abastecedor en caso de escalada.

     ---

   • Tiempo de espera de escalada. Indique el máximo tiempo de espera antes de traslada una solicitud de abastecimiento al siguiente abastecedor.

     ---

     Nota –

     • Si deja este campo vacío o introduce un cero, la solicitud nunca se escala.

     • Si especifica un tiempo de espera, pero no una Regla de escalada a abastecedor, Identity Manager escalará la solicitud al configurador cuando transcurra el tiempo de espera especificado. Si no hay configurador, la solicitud se clasificará como no completada una vez caducado el tiempo de espera.

     ---

   • Formulario de solicitud de abastecimiento. Elija un formulario que los abastecedores de recursos externos puedan utilizar para marcar como completada o no completada una solicitud de abastecimiento.

   • Regla de abastecedores. Seleccione una regla que establezca uno o más abastecedores para esta solicitud de recursos externa.

     ---

     Nota –

     Puede elaborar sus propias reglas al respecto. También es posible definir varios abastecedores. Cuando alguno de ellos complete la tarea, ésta desaparecerá de las colas de todos los abastecedores. Para obtener más información sobre la creación de reglas, consulte el Capítulo 4, Working with Rules de Sun Identity Manager Deployment Reference.

     ---

     • Ejemplo de abastecedor externo. Convierte al configurador en abastecedor.

     • Ejemplo de escalada a abastecedor externo. Aplica una regla de ejemplo de escalada a abastecedor externo para establecer el abastecedor en caso de escalada.

     • Ejemplo de regla de Remedy externa. Define los valores de configuración de Remedy.

   • Notificar a solicitante. Marque esta casilla si desea avisar por correo electrónico al solicitante cuando su solicitud se haya completado o no. Cuando se habilita esta opción, aparecen además estos campos:

     • Plantilla de solicitud de abastecimiento completada. Seleccione la plantilla de correo electrónico que se utilizará cuando se hayan completado las solicitudes.

     • Plantilla de solicitud de abastecimiento no completada. Seleccione la plantilla de correo electrónico que se utilizará cuando no se hayan completado las solicitudes.

     ---

     Nota –

     Encontrará más información sobre las plantillas de correo electrónico en Configuración de las plantillas de tarea.

     ---

3. Pulse Guardar.

   Aparece la página Configurar, donde se le indica que puede continuar realizando otra tarea de configuración.

4. Vaya a la ficha Recursos -> Listar recursos. Ahora ya puede crear recursos externos individuales basándose en esta configuración. Consulte las instrucciones en Creación de recursos externos.

Creación de recursos externos

Tras configurar el almacén de datos de recursos externos y las notificaciones a los abastecedores, puede crear un recurso externo nuevo.

Para crear recursos externos nuevos se necesita la capacidad Administrador de recursos.

Siga estos pasos para crear un recurso externo nuevo:

1. Seleccione la ficha Recursos en la barra de menús principal. De manera predeterminada aparece la ficha Listar recursos.

2. Haga clic en la ficha Configurar tipos para abrir la página Configurar recursos administrados.

   

3. Examine la tabla Adaptadores de recursos para comprobar si el tipo de recurso externo está disponible.

4. Regrese a la ficha Listar recursos y elija Nuevo recurso en el menú Acciones de tipo de recurso.

5. Cuando aparezca la página Nuevo recurso, elija Externo en el menú Tipo de recurso y pulse Nuevo.

   

6. Aparece la página de bienvenida del asistente para crear recursos externos. Pulse Siguiente.

   Aparece una vista de sólo lectura de la página Configuración de almacén de datos con la información de conexión y autenticación que había definido antes.

   Como ya mencionamos, este almacén de datos sólo se suele configurar una vez, ya que la configuración se aplica a todos los recursos externos. Si desea modificar esta información, debe retroceder a la ficha Configurar -> Recursos externos.

   ---

   Nota –

   Puede usar el botón Probar configuración situado al final de la página para volver a comprobar la configuración actual del almacén de datos antes de continuar.

   ---

7. Pulse Siguiente para abrir la página Configuración de notificación a abastecedores, que es idéntica a la utilizada en la ficha Configurar -> Recursos externos.

8. Repase los valores actuales de notificación a abastecedores e introduzca las modificaciones pertinentes para el nuevo recurso.

   ---

   Nota –

   Si es preciso, vuelva a consultar las instrucciones de configuración de Configuración de notificaciones a abastecedores. Los cambios realizados en esta página sólo se aplicarán a este recurso.

   ---

9. Pulse Siguiente.

   A partir de este momento, el proceso de creación de un recurso externo es igual que para crear cualquier otro recurso. El asistente le guiará por varias páginas más:

   • Atributos de cuenta. En esta página se definen atributos de cuenta opcionales para el recurso y se asignan atributos del sistema Identity a los atributos de cuenta del nuevo recurso. Por ejemplo, si va a crear un recurso externo denominado "portátil", tal vez le interese incluir atributos de modelo y tamaño.

     ---

     Nota –

     En esta página no se especifican valores predeterminados.

     ---

   • Plantilla de identidad. Esta página sirve para definir la sintaxis de nombre de cuenta de los usuarios creados en este recurso externo. Puede utilizar la plantilla de identidad predeterminada, $accountId$, o bien elegir otra.

   • Parámetros de Identity System (Sistema de identidad). En esta página se configuran los parámetros del sistema de identidad para los recursos externos. Por ejemplo, puede inhabilitar directivas, configurar reintentos o especificar aprobadores.

   En el apartado Para crear un recurso encontrará más información sobre estas páginas y las instrucciones necesarias para terminar de configurar este recurso.

10. Cuando termine de configurar la página Parámetros de Identity System (Sistema de identidad), pulse Guardar. Ahora puede asignar este recurso a un usuario, igual que si se tratara de cualquier otro recurso.

Abastecimiento de recursos externos

A continuación se explica el proceso de abastecimiento en los apartados:

• Para asignar un recurso externo a un usuario

• Para responder a una solicitud de abastecimiento de recursos externos

Para asignar un recurso externo a un usuario

Siga estos pasos para asignar un recurso externo a un usuario:

Para asignar recursos externos se necesita la capacidad Administrador de recursos.

1. Seleccione Cuentas -> Listar cuentas y haga clic sobre el nombre del usuario en la página.

2. Cuando aparezca la página Editar usuario, seleccione la ficha Recursos.

3. Busque el recurso externo en la lista Recursos disponibles de Asignación individual de recursos, trasládelo a la lista Recursos vigentes y pulse Guardar.

   Figura 5–19 Página Editar usuario

   
   

   Identity Manager crea una tarea de abastecimiento y le envía un mensaje donde le indica quién es el propietario de dicha tarea. Recuerde que se habían definido uno o varios abastecedores con la regla de abastecedores al configurar la página de notificación a abastecedores para este recurso.

   Identity Manager también avisa a los abastecedores por correo electrónico o con un ticket de Remedy cuando tienen una solicitud pendiente.

   ---

   Nota –

   Como en el caso de otros recursos, es posible definir aprobadores para que aprueben o rechacen solicitudes. Aunque debe definir abastecedores, éstos no aprueban ni rechazan solicitudes, sino que completan o no completan las tareas.

   ---

4. Pulse Aceptar para regresar a la página Cuentas -> Listar cuentas. Observe que junto al nombre del usuario aparece un reloj de arena en el icono de elemento de trabajo para indicar que la solicitud está pendiente.

Para responder a una solicitud de abastecimiento de recursos externos

Cuando se genera una solicitud de abastecimiento, ésta deja en suspenso el proceso de abastecimiento hasta que uno de los abastecedores definidos completa el abastecimiento manual o marca la solicitud como completada, o bien se agota el tiempo de espera de la solicitud. Identity Manager audita estas respuestas de abastecimiento.

Como sucede con cualquier otro elemento de trabajo, puede examinar todas las solicitudes de abastecimiento de recursos externos pendientes en la ficha Elementos de trabajo -> Solicitudes de abastecimiento.

Debe responder así a las solicitudes de abastecimiento:

1. Seleccione las fichas Elementos de trabajo > Solicitudes de abastecimiento para abrir la página Esperando abastecimiento.

   Figura 5–20 Página Esperando abastecimiento

   
   

2. Busque la solicitud de abastecimiento pendiente y selecciónela.

3. También puede abrir la solicitud de abastecimiento por correo electrónico, seleccionar un vínculo que hay definido en la plantilla de solicitud de abastecimiento e iniciar la sesión para ver una página con detalles sobre la solicitud de abastecimiento.

   En esa página puede actualizar cualquiera de los atributos solicitados para reflejar con exactitud lo que se ha abastecido al usuario. Por ejemplo, si el usuario había solicitado un portátil Sony, pero ese modelo no estaba disponible, puede actualizar la página con el modelo que en realidad ha abastecido.

   Figura 5–21 Solicitud de abastecimiento de un portátil nuevo

   
   

4. Pulse uno de los botones siguientes para procesar la solicitud:

   • Si puede abastecer el recurso, elija Completada.

     Identity Manager actualiza los atributos de cuenta del recurso externo del usuario para reflejar lo que se ha abastecido realmente, suprime la marca de estado de abastecimiento pendiente y completa el elemento de trabajo de solicitud de abastecimiento que se está actualizando.

     Si así se configura, Identity Manager también notifica al abastecedor que la solicitud de abastecimiento se ha completado utilizando para ello la plantilla de correo electrónico definida al respecto.

   • Si no es posible abastecer el recurso, indique el motivo y seleccione No completada.

     Cuando una solicitud se marca como No completada:

     • El usuario no se abastece con el recurso externo.

     • El recurso externo permanece asignado al usuario.

     • Junto al nombre del usuario aparece un icono amarillo para indicar que es preciso actualizar el usuario.

       Si se edita este usuario, aparece un mensaje de error para advertir que el usuario puede encontrarse en el recurso externo.

     • Si así se configura, Identity Manager también notifica al solicitante mediante la plantilla de correo electrónico definida al respecto.

   • Si no es posible abastecer el recurso, también puede pulsar Reenviar para trasladar la solicitud a otra persona.

   Cuando el elemento de trabajo de solicitud de abastecimiento se ha completado o no, Identity Manager desactiva el estado pendiente del recurso externo asignado al usuario y no se produce ninguna actualización en el almacén de datos de recursos externos.

   El recurso aparece en la lista de recursos asignados al usuario y en la de cuentas de recursos vigentes, incluyendo el ID de cuenta del usuario en ese recurso.

   ---

   Nota –

   Si el abastecedor asignado no responde a una solicitud de abastecimiento antes de que transcurra el tiempo de espera especificado, Identity Manager cancela el elemento de trabajo de solicitud de abastecimiento asociado.

   ---

Escalada de solicitudes de abastecimiento

• Si especificó un tiempo de espera al configurar la página de notificaciones a abastecedores y una solicitud de abastecimiento supera dicho periodo, Identity Manager realiza una de las siguientes acciones:

  • Si había especificado una regla de escalada a abastecedor, Identity Manager la aplica para establecer el próximo abastecedor y le traslada la solicitud.

  • Si no había seleccionado una regla de escalada a abastecedor, Identity Manager escalará la solicitud al configurador. Si no hay configurador, la solicitud se clasificará como no completada una vez caducado el tiempo de espera.

• Si dejó vació el campo de tiempo de espera de escalada o introdujo cero, Identity Manager nunca escala la solicitud.

Delegación de solicitudes de abastecimiento

Los elementos de trabajo de solicitud de abastecimiento de recursos externos se pueden delegar igual que cualquier otra solicitud de abastecimiento. Encontrará más información e instrucciones en Delegación de elementos de trabajo.

Anulación de asignación y desvinculación de recursos externos

Como cualquier otro recurso, la asignación de recursos externos a un usuario se puede anular o desvincular en la ficha General. Consulte las instrucciones en Creación de usuarios y trabajo con cuentas de usuario

Al anular la asignación y desvincular recursos externos de un usuario no se crea una solicitud de abastecimiento ni un elemento de trabajo. Cuando se anula la asignación o se desvincula un recurso externo, Identity Manager no desabastece ni elimina la cuenta de recursos, por lo que no es necesario que haga nada.

Solución de problemas de recursos externos

No es posible eliminar los usuarios que aún tienen asignados recursos externos. Primero debe desabastecer o eliminar esos recursos externos para poder eliminar los usuarios.

Identity Manager le ofrece diversos métodos para depurar y rastrear los recursos externos:

• Puede efectuar un seguimiento del adaptador de recursos externos.

  • Si utiliza un almacén de datos de tipo base de datos, rastree los nombres de clase com.waveset.adapter.ScriptedJdbcResourceAdapter y com.waveset.adapter.JdbcResourceAdapter .

  • Si utiliza un almacén de datos de directorio, rastree el nombre de clase com.waveset.adapter.LDAPResourceAdapter.

• Puede utilizar seguimiento de flujo de trabajo para rastrear otros flujos de datos y de trabajo, así como utilizar el complemento NetBeans o Eclipse Identity Manager IDE para depurar.

• Dado que usted configura y controla el almacén de datos, puede inspeccionarlo para asegurarse de que contenga la información correcta.

• Identity Manager graba registros de auditoría de todas las actividades que ocurren.

Para obtener más información sobre seguimiento y solución de problemas, consulte Sun Identity Manager 8.1 System Administrator’s Guide .