Contenido    

Roles

Un rol es un mecanismo de entrada de Directory Server similar al concepto de grupo. Un grupo tiene miembros, al igual que un rol. Los miembros de un rol son las entradas de LDAP que poseen dicho rol. Los criterios del propio rol se definen como una entrada LDAP con atributos, identificada por su atributo de nombre distinguido (DN). Directory Server cuenta con una serie de tipos de roles diferentes, pero Access Manager sólo puede administrar uno de ellos: el rol administrado.

Access Manager utiliza los roles para aplicar instrucciones de control de acceso. Al instalarlo por primera vez, Access Manager configura las instrucciones de control de acceso (ACI) que definen los permisos del administrador. A continuación, estos ACI reciben el nombre de roles (como el rol Administrador de organización y el rol Administrador del centro de ayuda de organización) que, una vez asignados a un usuario, definen los permisos de acceso del usuario.

Los usuarios sólo pueden ver los roles que se les han asignado si se ha habilitado el atributo "Mostrar roles del usuario" en el servicio de administración.

Este apartado contiene los siguientes temas:

Para crear un rol estático

Puede crearse un rol estático sin agregar usuarios en el paso de la creación del rol. Esto le proporciona mayor control a la hora de agregar usuarios específicos a un determinado rol.

  1. En el panel de navegación, desplácese a la organización en la que se va a crear el rol.
  2. Elija "Roles" en el menú "Ver".
  3. Cuando se configura una organización, se crea un conjunto de funciones predeterminadas que se muestran en el panel de navegación.

  1. Haga clic en "Nuevo" en el panel de navegación. La plantilla "Función nueva" se muestra en el panel de datos.
  2. Seleccione "Rol estático" e introduzca un nombre para el rol. Haga clic en "Siguiente".
  3. Introduzca una descripción del rol.
  4. Seleccione el tipo de rol en el menú "Tipo".
  5. El tipo de rol puede ser administrativo o de servicio. La consola utiliza el tipo de rol para determinar dónde debe comenzar el usuario en la consola de Access Manager. Un rol administrativo notifica a la consola que el poseedor del rol dispone de privilegios administrativos, mientras que una rol de servicio notifica a la consola que el poseedor es un usuario final.

  6. Elija el conjunto predeterminado de permisos que se deben aplicar al rol en el menú "Permisos de acceso".
  7. Los permisos ofrecen acceso a las entradas de la organización. Éstos se tratan en la sección "Permisos predeterminados de rol (ACI)" en la parte 4 de la Guía de administración de Access Manager. (Los permisos predeterminados que se muestran no están en ningún orden en concreto.)

    Normalmente, el ACI "No hay permisos" se asigna a roles de servicio, mientras que a los roles administrativos se les asigna los ACI predeterminados.

  8. Haga clic en "Finalizar".
  9. La función creada se muestra en el panel de navegación y la información de estado acerca de ella se muestra en el panel de datos.

    Puede configurar en forma opcional las opciones de visualización y las acciones disponibles, seleccionándolas en el menú "Ver".

Para crear un rol filtrado

Un rol filtrado es un rol dinámico que se crea mediante el uso de un filtro LDAP. Todos los usuarios se canalizan a través de un filtro y a cada uno de ellos se les asigna un rol, justo en el momento de su creación. El filtro busca cualquier par de valores de atributo (por ejemplo, ca=usuario* en una entrada y asigna automáticamente al rol a todos los usuarios que contengan el atributo.

  1. En el panel de navegación, desplácese a la organización en la que se va a crear el rol.
  2. Elija "Roles" en el menú "Ver".
  3. Cuando se configura una organización, se crea un conjunto de funciones predeterminadas que se muestran en el panel de navegación.

    Para obtener descripciones sobre estos roles, consulte "ACI dinámicos de roles administrativos"en la parte 4 de la Guía de administración de Access Manager.

  4. Haga clic en "Nuevo" en el panel de navegación. La plantilla "Función nueva" se muestra en el panel de datos.
  5. Seleccione "Rol filtrado" e introduzca un nombre para el rol. Haga clic en "Siguiente".
  6. Introduzca una descripción del rol.
  7. Seleccione el tipo de rol en el menú "Tipo".
  8. El tipo de rol puede ser administrativo o de servicio. La consola utiliza el tipo de rol para determinar dónde debe comenzar el usuario en la consola de Access Manager. Un rol administrativo notifica a la consola que el poseedor del rol dispone de privilegios administrativos, mientras que una rol de servicio notifica a la consola que el poseedor es un usuario final.

  9. Elija el conjunto predeterminado de permisos que se deben aplicar al rol en el menú "Permisos de acceso".
  10. Los permisos ofrecen acceso a las entradas de la organización. Éstos se tratan en la sección "Permisos predeterminados de rol (ACI)" en la parte 4 de la Guía de administración de Access Manager. (Los permisos predeterminados que se muestran no están en ningún orden en concreto.)

    Normalmente, el ACI "No hay permisos" se asigna a roles de servicio, mientras que a los roles administrativos se les asigna los ACI predeterminados.

  11. Introduzca la información para los criterios de búsqueda. Los campos son:
  12. Coincidencia. Le permite incluir un operador en cualquiera de los campos que desee incluir para el filtro. ALL devuelve usuarios para todos los campos especificados. ANY devuelve usuarios para cualquiera de los campos especificados.

    Nombre. Busca usuarios por su nombre.

    Estado de usuario. Busca usuarios por su estado (activo o inactivo).

    Id. de usuario. Busca un usuario por su Id. de usuario.

    Apellidos. Busca usuarios por sus apellidos.

    Nombre completo. Busca usuarios por su nombre completo.

    También puede seleccionar el botón "Avanzado" y definir usted mismo los atributos de filtro. Por ejemplo:

    (&(uid=user1)(|(inetuserstatus=active)(!(inetuserstatus=*))))

    Si el filtro se deja en blanco, se creará el siguiente rol de forma predeterminada:

    (objectclass = inetorgperson)

    Haga clic en "Restablecer" para borrar las propiedades del filtro o en "Cancelar" para cancelar el proceso de creación del rol.

  13. Haga clic en "Finalizar" para iniciar una búsqueda basada en los criterios de filtro. A los usuarios definidos por los criterios de filtro se les asigna automáticamente un rol.
  14. Puede configurar en forma opcional las opciones de visualización y las acciones disponibles, seleccionándolas en el menú "Ver".


    Nota

    Puede agregar usuarios a roles estáticos mediante la página "Perfil del rol" y/o la página "Perfil de usuario".


Para eliminar un rol

  1. Acceda a la organización que contiene el rol que se va a eliminar.
  2. Seleccione "Organizaciones" en el menú "Ver" del módulo "Administración de identidades" y seleccione la organización en el panel de navegación. La ruta "Ubicación" muestra la organización de nivel superior predeterminada y la organización seleccionada.
  3. Elija "Roles" en el menú "Ver".
  4. Seleccione la casilla situada junto al nombre del rol.
  5. Haga clic en "Eliminar".

Para agregar un rol a una política

Los objetos de Access Manager se agregan a una política mediante su definición de asunto. Al crear o modificar una política, se pueden definir organizaciones, roles, grupos y usuarios como asunto en la página "Asunto" de la política. Una vez definido el asunto, la política se aplicará al objeto.


Contenido