Contenido    

Atributos del servicio de administración

El servicio de administración consta de atributos globales y de organización. Los valores aplicados a los primeros se aplican a la configuración de Sun Java System Access Manager y los hereda cualquier organización configurada. No se pueden aplicar directamente a roles u organizaciones, pues el objetivo de los atributos globales es personalizar la aplicación Access Manager. Los valores aplicados a los atributos de la organización son predeterminados para cada organización configurada y se pueden modificar cuando se registra el servicio en la organización. Las entradas de la organización no heredan los atributos de ésta. Los atributos de administración se dividen en:

Atributos globales

Los atributos globales en el servicio de administración son:

Activar administración de federación

Cuando está seleccionado, este campo activa "Administración de federación". Está seleccionado de forma predeterminada. Para desactivar esta función, deseleccione el campo. La ficha del servicio de administración de federación no aparecerá en la consola.

Activar administración de usuarios

Cuando se selecciona como "Verdadero", este campo activa "Administración de usuarios". Está activado de forma predeterminada.

Mostrar contenedores de personas

Este atributo especifica si se deben mostrar contenedores de personas en la consola de Access Manager. Si esta opción está seleccionada, la opción de menú "Contenedores de personas" se muestra en el menú "Ver" para las organizaciones, los contenedores y los contenedores de grupos. Los contenedores de personas se mostrarán en el nivel superior sólo para un DIT simple.

Los contenedores de personas son unidades de organización que contienen perfiles de usuario. Se recomienda que utilice un contenedor de personas sencillo en el DIT y que se realicen comparaciones de la flexibilidad de los roles para administrar cuentas y servicios. El comportamiento predeterminado de la consola de Access Manager es ocultar el contenedor de personas. No obstante, si dispone de varios contenedores de personas en el DIT, seleccione "Mostrar contenedores de personas" para que éstos se muestren como objetos administrados en la consola de Access Manager.

Mostrar los contenedores en el menú Ver

Este atributo especifica si se deben mostrar los contenedores en el menú "Ver" de la consola de Access Manager. El valor predeterminado es falso. Un administrador puede elegir opcionalmente entre:

Mostrar contenedores de grupos

Este atributo especifica si se deben mostrar contenedores de grupo en la consola de Access Manager. Si esta opción está seleccionada, la opción de menú "Contenedores de grupos" se muestra en el menú "Ver" para las organizaciones, los contenedores y los contenedores de grupos. Los contenedores de grupos son unidades de organización para grupos.

Tipo de grupo administrado

Esta opción especifica si los grupos de suscripción creados a través de la consola son estáticos o dinámicos. La consola creará grupos de suscripción estáticos o dinámicos, pero no de ambos tipos. (Los grupos filtrados se admiten siempre, independientemente del valor otorgado a este atributo.) El valor predeterminado es dinámico.

Un administrador puede seleccionar uno de los siguientes valores:

Autorizaciones de rol predeterminadas

Este atributo define una lista de instrucciones de control de acceso (ACI) predeterminadas o permisos que se utilizan para conceder privilegios de administrador al crear nuevos roles. Se selecciona una u otra de estas ACI en función del nivel de privilegio deseado. Access Manager se entrega con cuatro permisos de rol predeterminados:

No hay permisos

No hay permisos para configurar en el rol.

Administrador de organización

El administrador de organización dispone de acceso de lectura y escritura a todas las entradas de la organización configurada.

Admin. del centro de ayuda de organización

El administrador del centro de ayuda de organización dispone de acceso de lectura a todas las entradas de la organización configurada y de escritura al atributo userPassword.

Administrador de política de organización

El administrador de política de organización dispone de acceso de lectura y escritura a todas las políticas de la organización y no puede crear una política de referencia para una organización del mismo nivel.


Nota

Los roles se definen utilizando el formato nombre_aci | desc_aci | dn:aci ## dn:aci ## dn:aci, donde:

  • nombre_aci es el nombre de la ACI.
  • desc_aci es una descripción del acceso que permiten estas ACI. Para una óptima utilización, asuma que el lector de esta descripción desconoce las ACI y otros conceptos de directorio.

nombre_aci y desc_aci son claves i18n que se encuentran en el archivo amAdminUserMsgs.properties. Los valores que se muestran en la consola vienen del archivo properties y las claves se utilizan para recuperar dichos valores.

  • dn:aci representa parejas de DN y ACI separadas por ##. Access Manager define cada ACI en la entrada DN asociada. Este formato también admite etiquetas que se puedan sustituir por valores que, de no ser así, deberían especificarse literalmente en una ACI: ROLENAME, ORGANIZATION, GROUPNAME y PCNAME. El uso de estas etiquetas le permite definir roles lo suficientemente flexibles como para utilizarlos como valores predeterminados. Cuando se crea un rol basado en uno de los roles predeterminados, las etiquetas de la ACI se resuelven en valores tomados del DN del nuevo rol.

Habilitar árbol de componentes de dominio

El árbol de componentes de dominio (árbol DC) es una estructura DIT específica que muchos componentes de Sun Java System utilizan para realizar asignaciones entre los nombres DNS y las entradas de las organizaciones.

Cuando se activa esta opción, se crea la entrada del árbol DC para una organización, siempre que se especifique el nombre DNS de la organización al crear dicha organización. El campo del nombre DNS aparecerá en la página "Organización nueva". Esta opción se aplica sólo a organizaciones de nivel superior y no se mostrará para suborganizaciones.

Los cambios de estado realizados en el atributo inetdomainstatus a través del SDK del Access Manager en el árbol de la organización actualizarán el estado de la entrada del árbol DC correspondiente. (No se sincronizarán las actualizaciones realizadas en los estados si no se utiliza el SDK del Access Manager.).) Por ejemplo, si se crea una nueva organización, sun, con el atributo de nombre DNS sun.com, se creará la siguiente entrada en el árbol DC:

dc=sun,dc=com,o=internet,sufijo de raíz

Opcionalmente, se puede configurar el sufijo de raíz del árbol DC definiendo com.iplanet.am.domaincomponent en AMConfig.properties. De forma predeterminada, se define en la raíz del Access Manager. Si se desea un sufijo diferente, deberá crearse utilizando comandos LDAP. Las ACI para administradores que crean organizaciones se deben modificar para que éstos tengan acceso ilimitado a la raíz del nuevo árbol DC.

Habilitar grupos administrativos

Esta opción especifica si se deben crear los grupos DomainAdministrators y DomainHelpDeskAdministrators. Si se selecciona (verdadero), se crearán dichos grupos y se asociarán al rol Administrador de organización y al rol Administrador del centro de ayuda de organización, respectivamente. Una vez creados, al agregar o eliminar un usuario de uno de estos roles asociados, se agregará o eliminará dicho usuario del grupo correspondiente. Sin embargo, esta acción no funciona a la inversa. Al agregar o eliminar un usuario de uno de estos grupos, no se agregará ni se eliminará dicho usuario en los roles asociados al mismo.

Los grupos DomainAdministrators y DomainHelpDeskAdministrators sólo se crean en organizaciones creadas una vez que se ha activado esta opción.


Nota

Esta opción no se aplica a suborganizaciones, a excepción de root org. En root org, se crean los grupos ServiceAdministrators y ServiceHelpDesk Administrators y se asocian, respectivamente, a los roles Administrador de nivel superior y Administrador del centro de ayuda de nivel superior. El comportamiento es el mismo.


Habilitar eliminación de usuario de compatibilidad

Esta opción especifica si se eliminará del directorio una entrada de usuario o simplemente se la marcará como eliminada. Cuando se elimina una entrada de usuario y se selecciona esta opción (verdadero), dicha entrada seguirá existiendo en el directorio, pero aparecerá marcada como eliminada. Las entradas de usuario marcadas para su eliminación no se devuelven en las búsquedas de Directory Server. Si no se selecciona esta opción, se eliminará la entrada de usuario del directorio.

ACI de roles de administración dinámicos

Este atributo define las instrucciones de control de acceso para los roles de administrador que se crean dinámicamente cuando se configura un grupo o una organización mediante Access Manager. Estos roles se utilizan para conceder privilegios administrativos para la agrupación específica de entradas creadas. Las ACI predeterminadas sólo pueden modificarse bajo esta lista de atributos.


Precaución

Los administradores al nivel de organización tienen un campo de acceso mayor que los administradores de grupo. Sin embargo, de forma predeterminada, cuando se agrega un usuario a un rol de administrador de grupo, dicho usuario puede modificar la contraseña de cualquier persona del grupo. Esto incluiría también a los administradores de organizaciones que fueran miembros de ese grupo.


Administrador del centro de ayuda de contenedor

El rol Administrador del centro de ayuda de contenedor dispone de acceso de lectura a todas las entradas de un departamento y acceso de escritura al atributo userPassword en las entradas de usuario de esa unidad de contenedor.

Administrador del centro de ayuda de organización

El administrador del centro de ayuda de organización dispone de acceso de lectura a todas las entradas de una organización y de escritura al atributo userPassword.


Nota

Al crear una suborganización, recuerde que los roles de administración se crean en la suborganización, no en la organización principal.


Administrador de contenedor

El rol Administrador de contenedor dispone de acceso de lectura y escritura a todas las entradas de una unidad de organización LDAP. En Access Manager, a la unidad de organización LDAP se le denomina a menudo contenedor.

Administrador de política de organización

El administrador de política de organización tiene acceso de lectura y escritura a todas las políticas. Puede crear, asignar, modificar y eliminar todas las políticas de una organización.

Administrador de contenedor de personas

De forma predeterminada, cualquier entrada de usuario de una organización recién creada es miembro del contenedor de personas de dicha organización. El administrador de contenedor de personas dispone de acceso de lectura y escritura a todas las entradas de usuarios del contenedor de personas de la organización. Tenga en cuenta que la persona con este rol NO tiene acceso de lectura y escritura a los atributos que contienen el DN de grupo y de rol y, por tanto, no puede modificar los atributos de un rol o un grupo ni eliminar un usuario de dicho rol o grupo.


Nota

Pueden configurarse otros contenedores con Access Manager para alojar entradas de usuario, entradas de grupo e, incluso, otros contenedores. Para aplicar un rol Administrador a un contenedor una vez que se ha configurado la organización, se deberán utilizar los valores predeterminados del rol Administrador de contenedor o de Administrador del centro de ayuda de contenedor .


Administrador de grupo

El administrador de grupo dispone de acceso de lectura y escritura a todos los miembros de un grupo específico, y puede crear nuevos usuarios, asignar usuarios a los grupos que administra y eliminar usuarios de los grupos que cree.

Cuando se crea un grupo, el rol Administrador de grupo se genera automáticamente con los privilegios necesarios para administrar el grupo. Este rol no se asigna automáticamente a un miembro del grupo. Debe ser el creador del grupo quien lo asigne, o bien alguien que tenga acceso al rol Administrador de grupo.

Administrador de nivel superior

El administrador de nivel superior dispone de acceso de lectura y escritura a todas las entradas de la organización de nivel superior. En otras palabras, el rol Administrador de nivel superior tiene privilegios para cualquier configuración principal dentro de la aplicación Access Manager.

Administrador de organización

El administrador de organización dispone de acceso de lectura y escritura a todas las entradas de una organización. Cuando se crea una organización, el rol Administrador de organización se genera automáticamente con los privilegios necesarios para administrar la organización.

Clases de servicio de perfil de usuario

Este atributo muestra los servicios que tendrán un aspecto personalizado en la página "Perfil de usuario". El aspecto predeterminado generado por la consola puede que no sea suficiente para algunos servicios. Este atributo crea un aspecto personalizado para cualquier servicio, proporcionando un control absoluto sobre qué se muestra de la información del servicio y sobre cómo se muestra. La sintaxis es la siguiente:

nombre servicio | dirección url relativa


Nota

Los servicios que se muestran en este atributo no se mostrarán en las páginas "Usuario nuevo". La configuración de datos para la visualización de un servicio personalizado se debe realizar en las páginas "Perfil de usuario".


Lista de atributos del nodo DC

Este campo define el juego de atributos que se establecerán en la entrada de árbol DC cuando se cree un objeto. Los parámetros predeterminados son:

Buscar filtros para los objetos eliminados

Este campo define los filtros de búsqueda de los objetos que se desean eliminar cuando se activa el modo Eliminación de usuario de compatibilidad.

Contenedor de personas predeterminado

Este atributo especifica el contenedor de personas predeterminado en el cual se crea el usuario.

Contenedor de grupos predeterminado

Este atributo especifica el contenedor de grupos predeterminado en el cual se crea el grupo.

Contenedor de agentes predeterminado

Este atributo especifica el contenedor de agentes predeterminado en el cual se crea el agente.

Atributos de organización

Los atributos de organización en el servicio de administración son:

Contenedor de personas predeterminado de grupos

Este campo especifica el contenedor de personas predeterminado en el que se ubicarán los usuarios al crearlos. No hay ningún valor predeterminado. Un valor válido es el DN de un contenedor de personas. Consulte la nota bajo el atributo Lista de contenedores de personas de grupos para ver el orden del contenedor de personas.

Lista de contenedores de personas de grupos

Este campo especifica una lista de contenedores de personas entre los que puede elegir un administrador de grupos al crear un usuario nuevo. Esta lista se puede utilizar cuando haya varios contenedores de personas en el árbol de directorio. (Si no se especifican contenedores de personas en esta lista o en el campo "Contenedor de personas predeterminado de grupos", los usuarios se crean en el contenedor de personas predeterminado de Access Manager, ou=people.) No hay un valor predeterminado para este campo. La sintaxis para este atributo es la siguiente:

dn del grupo | dn del contenedor de personas


Nota

Cuando se crea un usuario, se comprueba si hay un contenedor en este atributo en el que ubicar la entrada. Si el atributo está vacío, se comprueba si hay un contenedor en el atributo "Contenedor de personas predeterminado de grupos". Si este último atributo está vacío, se crea la entrada en ou=people.


Clase de visualización de perfil de usuario

Este atributo especifica la clase Java que utiliza la consola de Access Manager cuando muestra las páginas "Perfil de usuario".

Clase de visualización de perfil de usuario final

Este atributo especifica la clase Java que utiliza la consola de Access Manager cuando muestra las páginas "Perfil de usuario final".

Mostrar roles en la página de perfil del usuario

Esta opción especifica si se muestra una lista de roles asignados a un usuario como parte de la página "Perfil de usuario" que le corresponde. Si el valor es falso (no seleccionado), la página de perfil de usuario muestra los roles del usuario sólo para los administradores. El valor predeterminado es falso.

Mostrar grupos en la página de perfil del usuario

Esta opción especifica si se muestra una lista de grupos asignados a un usuario como parte de su página "Perfil de usuario" correspondiente. Si el valor es falso (no seleccionado), la página de perfil de usuario muestra los grupos del usuario sólo para los administradores. El valor predeterminado es falso.

Habilitar Autosuscripción del usuario al grupo

Esta opción especifica si los usuarios pueden agregarse ellos mismos a grupos abiertos a la suscripción. Si el valor es falso, la página "Perfil de usuario" muestra la condición de miembro del usuario de manera que sólo un administrador pueda modificarla. El valor predeterminado es falso.


Nota

Esto se aplica sólo cuando se selecciona la opción Mostrar grupos en la página de perfil del usuario.


Opciones de visualización de perfil de usuario

Este menú especifica los atributos de servicio que se mostrarán en la página "Perfil de usuario". El administrador puede elegir uno de los siguientes valores:

Roles predeterminados de creación de usuario

Esta lista define los roles que se asignarán automáticamente a usuarios recién creados. No hay ningún valor predeterminado. Un administrador puede introducir el DN de uno o varios roles.


Nota

Este campo sólo admite una dirección completa de nombre distinguido (DN) y no un nombre de rol. Los roles sólo pueden ser roles de Access Manager, no de LDAP (servidor de directorios).


Fichas de consola administrativa

Este campo lista las clases Java de los módulos que se mostrarán en la parte superior de la consola. La sintaxis es clave i18N | nombre de clase java. (La clave i18N se utiliza para el nombre localizado de la entrada en el menú "Ver".)

Resultados máximos devueltos por la búsqueda

Este campo define el número máximo de resultados devueltos por una búsqueda. El valor predeterminado es 100.


Precaución

Tenga cuidado cuando defina este atributo con un valor muy grande. Para más información sobre límites de tamaño, consulte la Sun Java System Guía de instalación y configuración del servidor de directorios en la siguiente ubicación:

http://docs.sun.com/db/doc/816-6708-10


Tiempo de espera para búsqueda

Este campo define el tiempo (en número de segundos) que continuará una búsqueda antes de agotar el tiempo de espera. Se utiliza para detener búsquedas potencialmente largas. Cuando se llega al tiempo de búsqueda máximo, se devuelve un error. El valor predeterminado es 5 segundos.

Nombre de directorio JSP

Este campo especifica el nombre del directorio que contiene los archivos .jsp utilizados para construir la consola, a fin de dar un aspecto diferente a una organización (personalización). Los archivos .jsp se deben copiar en el directorio que se especifica en este campo.

Documentos de la ayuda en pantalla

Este campo muestra los enlaces de ayuda en pantalla que se crearán en la página principal de la ayuda de Access Manager. Esto permite que otras aplicaciones agregan sus enlaces de ayuda en pantalla a la página de Access Manager. El formato de este atributo es el siguiente:

enlaceclavei18n | página html que se cargará al hacer clic | archivo de propiedades i18n | servidor remoto


Nota

servidor remoto es un argumento opcional que permite especificar el servidor remoto donde se encuentra el documento de ayuda en pantalla.


Por ejemplo:

IdentityServer Help | /AMAdminHelp.html | amAdminModuleMsgs

Servicios necesarios

Este campo muestra los servicios que se agregan dinámicamente a las entradas de los usuarios al crearlas. Los administradores pueden seleccionar los servicios que se van a agregar en el momento de la creación.

Este atributo no es utilizado por la consola, sino por el SDK de Access Manager. A los usuarios creados en forma dinámica y por la utilidad de línea de comandos amadmin se les asignarán los servicios definidos en este atributo.

Clave de búsqueda de usuario

Este atributo define el nombre de atributo con el que se va a realizar la búsqueda cuando se lleve a cabo una búsqueda simple en la página "Navegación". El valor predeterminado de este atributo es cn. Por ejemplo, si este atributo utiliza el valor predeterminado:

Si escribe j* en el campo "Nombre" del marco de navegación, se mostrarán los usuarios cuyos nombres empiecen por "j" o "J".

Atributo devuelto de búsqueda de usuario

Este campo define el nombre de atributo utilizado al mostrar los usuarios devueltos tras una búsqueda simple. El valor predeterminado de este atributo es uid cn. Esto mostrará el ID y el nombre completo del usuario.

El nombre de atributo que aparece primero en la lista también se utiliza como clave para ordenar el grupo de usuarios que se devolverá. Para evitar un menor rendimiento, utilice un atributo cuyo valor esté establecido en una entrada de usuario.

Lista de notificación de creación de usuario

Este campo define una lista de direcciones de correo electrónico a las que se enviará una notificación cuando se cree un nuevo usuario. Se pueden especificar varias direcciones de correo electrónico, tal como se indica en la siguiente sintaxis:

e-mail|locale|charset

e-mail|locale|charset

e-mail|locale|charset

La lista de notificación también acepta diferentes idiomas por medio de la opción |locale. Por ejemplo, para enviar una notificación a un administrador francés:

usuario@example.com|fr|fr


Nota

El Id. del correo electrónico del remitente puede cambiarse si se modifica la propiedad 497 de amProfile.properties, ubicado, de forma predeterminada, en AccessManager-base /SUNWam/locale.


Lista de notificación de eliminación de usuario

Este campo define una lista de direcciones de correo electrónico a las que se enviará una notificación cuando se elimine un usuario. Se pueden especificar varias direcciones de correo electrónico, tal como se indica en la siguiente sintaxis:

e-mail|locale|charset

e-mail|locale|charset

e-mail|locale|charset

La lista de notificación también acepta diferentes idiomas por medio de la opción |locale. Por ejemplo, para enviar una notificación a un administrador francés:

usuario@example.com|fr|fr


Nota

El Id. del correo electrónico del remitente puede cambiarse si se modifica la propiedad 497 de amProfile.properties, ubicado, de forma predeterminada, en AccessManager-base /SUNWam/locale. El ID del remitente predeterminado es Access-Manager.


Lista de notificación de modificación de usuario

Este campo define una lista de atributos y direcciones de correo electrónico asociadas. Cuando se realice una modificación de usuario en un atributo definido en la lista, se enviará una notificación a la dirección de correo electrónico asociada a dicho atributo. Cada atributo puede tener un conjunto diferente de direcciones asociado. Se pueden especificar varias direcciones de correo electrónico, tal como se indica en la siguiente sintaxis:

attrName e-mail|locale|charset e-mail|locale|charset .....

attrName e-mail|locale|charset e-mail|locale|charset .....

La palabra clave self se puede usar en el lugar de una de las direcciones. Esto hace que se envíe un correo al perfil de usuario que se haya modificado.

Por ejemplo:

administrador usuario@sun.com|self|admin@sun.com

El correo electrónico se enviará a la dirección especificada en atributo administrador, usuario@sun.com, admin@sun, la persona que modificó el usuario (self).

La lista de notificación también acepta diferentes idiomas por medio de la opción |locale. Por ejemplo, para enviar una notificación a un administrador francés:

administrador usuario@sun.com|self|admin@sun.com|fr


Nota

El nombre del atributo es el que aparece en el esquema del servidor de directorios y no el que se muestra en la consola.


Número máximo de entradas mostradas por página

Este atributo le permite definir las filas máximas que se pueden mostrar por página. El valor predeterminado es 25. Por ejemplo, si una búsqueda de usuario devuelve 100 filas, habrá 4 páginas con 25 filas en cada una.

Clases de escuchas de eventos

Este atributo contiene una lista de receptores de eventos de creación, modificación y eliminación de la consola de administración de accesos.

Clases de procesamiento previo y posterior

Este campo define una lista de clases de implementación mediante complementos que amplían la clase com.iplanet.am.sdk.AMCallBack para recibir devoluciones de llamadas durante las operaciones de procesamiento previas y posteriores de usuarios, organizaciones, roles y grupos. Los parámetros son:

Debe introducir el nombre de clase completo del complemento. Por ejemplo:

com.iplanet.am.sdk.AMCallbacSample

Debe cambiar la ruta de clase del contenedor Web (de la base de instalación de Access Manager) para incluir la ruta completa a la ubicación de la clase de complemento.

Habilitar búsqueda de atributos externos

Esta opción permite que las devoluciones de llamadas de complementos recuperen atributos externos (cualquier atributo externo específico de la aplicación). Los atributos externos no se guardan en el caché del SDK de Access Manager, por lo que este atributo le permite activar la recuperación de atributos por nivel de organización. Esta opción está desactivada de forma predeterminada.

Caracteres del Id. de usuario no válidos

Este atributo define una lista de caracteres no permitidos en un nombre de usuario.

Cara carácter debe estar separado por el carácter |. Por ejemplo:

*|(|)|&|!

Clase de complemento de validación de Id. de usuario y contraseña

Esta clase provee un mecanismo de complemento para la validación de Id. de usuario y contraseña.

Los métodos de esta clase deben ser reemplazados por los módulos complemento de implementación que validen el Id. y/o contraseña del usuario. Los módulos complemento de implementación serán invocados cada vez que se agregue o modifique un valor de Id. de usuario o contraseña a través de la consola de Access Manager, la interfaz de línea de comandos amadmin, o por medio del SDK.

Los complementos que extiendan esta clase pueden ser configurados por organización. Si un complemento no está configurado para una organización, entonces se utilizará el complemento definido en el nivel global.

Si la validación del complemento falla, el módulo complemento puede generar una excepción, para indicar a la aplicación que señale el error en el Id. o la contraseña provistos por el usuario.


Contenido