Contenido
|
Atributos del servicio de administración
El servicio de administración consta de atributos globales y de organización. Los valores aplicados a los primeros se aplican a la configuración de Sun Java System Access Manager y los hereda cualquier organización configurada. No se pueden aplicar directamente a roles u organizaciones, pues el objetivo de los atributos globales es personalizar la aplicación Access Manager. Los valores aplicados a los atributos de la organización son predeterminados para cada organización configurada y se pueden modificar cuando se registra el servicio en la organización. Las entradas de la organización no heredan los atributos de ésta. Los atributos de administración se dividen en:
Atributos globales
Los atributos globales en el servicio de administración son:
Activar administración de federación
Cuando está seleccionado, este campo activa "Administración de federación". Está seleccionado de forma predeterminada. Para desactivar esta función, deseleccione el campo. La ficha del servicio de administración de federación no aparecerá en la consola.
Activar administración de usuarios
Cuando se selecciona como "Verdadero", este campo activa "Administración de usuarios". Está activado de forma predeterminada.
Mostrar contenedores de personas
Este atributo especifica si se deben mostrar contenedores de personas en la consola de Access Manager. Si esta opción está seleccionada, la opción de menú "Contenedores de personas" se muestra en el menú "Ver" para las organizaciones, los contenedores y los contenedores de grupos. Los contenedores de personas se mostrarán en el nivel superior sólo para un DIT simple.
Los contenedores de personas son unidades de organización que contienen perfiles de usuario. Se recomienda que utilice un contenedor de personas sencillo en el DIT y que se realicen comparaciones de la flexibilidad de los roles para administrar cuentas y servicios. El comportamiento predeterminado de la consola de Access Manager es ocultar el contenedor de personas. No obstante, si dispone de varios contenedores de personas en el DIT, seleccione "Mostrar contenedores de personas" para que éstos se muestren como objetos administrados en la consola de Access Manager.
Mostrar los contenedores en el menú Ver
Este atributo especifica si se deben mostrar los contenedores en el menú "Ver" de la consola de Access Manager. El valor predeterminado es falso. Un administrador puede elegir opcionalmente entre:
- falso (casilla de verificación sin marcar): Los contenedores no aparecen en la lista de opciones del menú "Ver" en el nivel superior de las organizaciones y de otros contenedores.
- verdadero (casilla de verificación marcada): Los contenedores aparecen en la lista de opciones del menú "Ver" en el nivel superior de las organizaciones y de otros contenedores.
Mostrar contenedores de grupos
Este atributo especifica si se deben mostrar contenedores de grupo en la consola de Access Manager. Si esta opción está seleccionada, la opción de menú "Contenedores de grupos" se muestra en el menú "Ver" para las organizaciones, los contenedores y los contenedores de grupos. Los contenedores de grupos son unidades de organización para grupos.
Tipo de grupo administrado
Esta opción especifica si los grupos de suscripción creados a través de la consola son estáticos o dinámicos. La consola creará grupos de suscripción estáticos o dinámicos, pero no de ambos tipos. (Los grupos filtrados se admiten siempre, independientemente del valor otorgado a este atributo.) El valor predeterminado es dinámico.
- Un grupo estático muestra todos los miembros del grupo que utilizan la clase de objeto groupOfNames o groupOfUniqueNames. La entrada de grupo contiene el atributo uniqueMember para cada miembro del grupo. Los miembros de grupos estáticos se agregan manualmente; la entrada de usuario en sí no se modifica. Los grupos estáticos son adecuados para grupos de pocos miembros.
- Un grupo dinámico utiliza un atributo memberOf en la entrada de cada miembro del grupo. Los miembros de los grupos dinámicos se generan mediante el uso de un filtro LDAP que realiza búsquedas y devuelve todas las entradas que contienen el atributo memberOf. Los grupos dinámicos son adecuados para grupos de muchos miembros.
- Un grupo filtrado utiliza un filtro LDAP para realizar búsquedas y devuelve los miembros que cumplen el requisito del filtro. Por ejemplo, el filtro puede generar miembros con un uid (uid=g*) o una dirección de correo electrónico (mail=*@sun.com) específicos. En estos ejemplos, el filtro LDAP devolvería todos los usuarios cuyo uid empezara por g o cuya dirección de correo electrónico terminara en sun.com respectivamente. Los grupos filtrados sólo se pueden crear dentro de la vista "Administración de usuarios" seleccionando "Condición de miembro por filtro".
Un administrador puede seleccionar uno de los siguientes valores:
Autorizaciones de rol predeterminadas
Este atributo define una lista de instrucciones de control de acceso (ACI) predeterminadas o permisos que se utilizan para conceder privilegios de administrador al crear nuevos roles. Se selecciona una u otra de estas ACI en función del nivel de privilegio deseado. Access Manager se entrega con cuatro permisos de rol predeterminados:
No hay permisos
No hay permisos para configurar en el rol.
Administrador de organización
El administrador de organización dispone de acceso de lectura y escritura a todas las entradas de la organización configurada.
Admin. del centro de ayuda de organización
El administrador del centro de ayuda de organización dispone de acceso de lectura a todas las entradas de la organización configurada y de escritura al atributo userPassword.
Administrador de política de organización
El administrador de política de organización dispone de acceso de lectura y escritura a todas las políticas de la organización y no puede crear una política de referencia para una organización del mismo nivel.
Habilitar árbol de componentes de dominio
El árbol de componentes de dominio (árbol DC) es una estructura DIT específica que muchos componentes de Sun Java System utilizan para realizar asignaciones entre los nombres DNS y las entradas de las organizaciones.
Cuando se activa esta opción, se crea la entrada del árbol DC para una organización, siempre que se especifique el nombre DNS de la organización al crear dicha organización. El campo del nombre DNS aparecerá en la página "Organización nueva". Esta opción se aplica sólo a organizaciones de nivel superior y no se mostrará para suborganizaciones.
Los cambios de estado realizados en el atributo inetdomainstatus a través del SDK del Access Manager en el árbol de la organización actualizarán el estado de la entrada del árbol DC correspondiente. (No se sincronizarán las actualizaciones realizadas en los estados si no se utiliza el SDK del Access Manager.).) Por ejemplo, si se crea una nueva organización, sun, con el atributo de nombre DNS sun.com, se creará la siguiente entrada en el árbol DC:
dc=sun,dc=com,o=internet,sufijo de raíz
Opcionalmente, se puede configurar el sufijo de raíz del árbol DC definiendo com.iplanet.am.domaincomponent en AMConfig.properties. De forma predeterminada, se define en la raíz del Access Manager. Si se desea un sufijo diferente, deberá crearse utilizando comandos LDAP. Las ACI para administradores que crean organizaciones se deben modificar para que éstos tengan acceso ilimitado a la raíz del nuevo árbol DC.
Habilitar grupos administrativos
Esta opción especifica si se deben crear los grupos DomainAdministrators y DomainHelpDeskAdministrators. Si se selecciona (verdadero), se crearán dichos grupos y se asociarán al rol Administrador de organización y al rol Administrador del centro de ayuda de organización, respectivamente. Una vez creados, al agregar o eliminar un usuario de uno de estos roles asociados, se agregará o eliminará dicho usuario del grupo correspondiente. Sin embargo, esta acción no funciona a la inversa. Al agregar o eliminar un usuario de uno de estos grupos, no se agregará ni se eliminará dicho usuario en los roles asociados al mismo.
Los grupos DomainAdministrators y DomainHelpDeskAdministrators sólo se crean en organizaciones creadas una vez que se ha activado esta opción.
Habilitar eliminación de usuario de compatibilidad
Esta opción especifica si se eliminará del directorio una entrada de usuario o simplemente se la marcará como eliminada. Cuando se elimina una entrada de usuario y se selecciona esta opción (verdadero), dicha entrada seguirá existiendo en el directorio, pero aparecerá marcada como eliminada. Las entradas de usuario marcadas para su eliminación no se devuelven en las búsquedas de Directory Server. Si no se selecciona esta opción, se eliminará la entrada de usuario del directorio.
ACI de roles de administración dinámicos
Este atributo define las instrucciones de control de acceso para los roles de administrador que se crean dinámicamente cuando se configura un grupo o una organización mediante Access Manager. Estos roles se utilizan para conceder privilegios administrativos para la agrupación específica de entradas creadas. Las ACI predeterminadas sólo pueden modificarse bajo esta lista de atributos.
Administrador del centro de ayuda de contenedor
El rol Administrador del centro de ayuda de contenedor dispone de acceso de lectura a todas las entradas de un departamento y acceso de escritura al atributo userPassword en las entradas de usuario de esa unidad de contenedor.
Administrador del centro de ayuda de organización
El administrador del centro de ayuda de organización dispone de acceso de lectura a todas las entradas de una organización y de escritura al atributo userPassword.
Nota
Al crear una suborganización, recuerde que los roles de administración se crean en la suborganización, no en la organización principal.
Administrador de contenedor
El rol Administrador de contenedor dispone de acceso de lectura y escritura a todas las entradas de una unidad de organización LDAP. En Access Manager, a la unidad de organización LDAP se le denomina a menudo contenedor.
Administrador de política de organización
El administrador de política de organización tiene acceso de lectura y escritura a todas las políticas. Puede crear, asignar, modificar y eliminar todas las políticas de una organización.
Administrador de contenedor de personas
De forma predeterminada, cualquier entrada de usuario de una organización recién creada es miembro del contenedor de personas de dicha organización. El administrador de contenedor de personas dispone de acceso de lectura y escritura a todas las entradas de usuarios del contenedor de personas de la organización. Tenga en cuenta que la persona con este rol NO tiene acceso de lectura y escritura a los atributos que contienen el DN de grupo y de rol y, por tanto, no puede modificar los atributos de un rol o un grupo ni eliminar un usuario de dicho rol o grupo.
Administrador de grupo
El administrador de grupo dispone de acceso de lectura y escritura a todos los miembros de un grupo específico, y puede crear nuevos usuarios, asignar usuarios a los grupos que administra y eliminar usuarios de los grupos que cree.
Cuando se crea un grupo, el rol Administrador de grupo se genera automáticamente con los privilegios necesarios para administrar el grupo. Este rol no se asigna automáticamente a un miembro del grupo. Debe ser el creador del grupo quien lo asigne, o bien alguien que tenga acceso al rol Administrador de grupo.
Administrador de nivel superior
El administrador de nivel superior dispone de acceso de lectura y escritura a todas las entradas de la organización de nivel superior. En otras palabras, el rol Administrador de nivel superior tiene privilegios para cualquier configuración principal dentro de la aplicación Access Manager.
Administrador de organización
El administrador de organización dispone de acceso de lectura y escritura a todas las entradas de una organización. Cuando se crea una organización, el rol Administrador de organización se genera automáticamente con los privilegios necesarios para administrar la organización.
Clases de servicio de perfil de usuario
Este atributo muestra los servicios que tendrán un aspecto personalizado en la página "Perfil de usuario". El aspecto predeterminado generado por la consola puede que no sea suficiente para algunos servicios. Este atributo crea un aspecto personalizado para cualquier servicio, proporcionando un control absoluto sobre qué se muestra de la información del servicio y sobre cómo se muestra. La sintaxis es la siguiente:
nombre servicio | dirección url relativa
Lista de atributos del nodo DC
Este campo define el juego de atributos que se establecerán en la entrada de árbol DC cuando se cree un objeto. Los parámetros predeterminados son:
- maildomainwelcomemessage
- preferredmailhost
- mailclientattachmentquota
- mailroutingsmarthost
- mailroutingsmarthost
- mailroutingsmarthost
- mailaccessproxyreplay
- preferredlanguage
- domainuidseparator
- maildomainmsgquota
- maildomainallowedserviceaccess
- preferredmailmessagestore
- maildomaindiskquota
- maildomaindiskquota
- objectclass=maildomain
- mailroutinghosts
Buscar filtros para los objetos eliminados
Este campo define los filtros de búsqueda de los objetos que se desean eliminar cuando se activa el modo Eliminación de usuario de compatibilidad.
Contenedor de personas predeterminado
Este atributo especifica el contenedor de personas predeterminado en el cual se crea el usuario.
Contenedor de grupos predeterminado
Este atributo especifica el contenedor de grupos predeterminado en el cual se crea el grupo.
Contenedor de agentes predeterminado
Este atributo especifica el contenedor de agentes predeterminado en el cual se crea el agente.
Atributos de organización
Los atributos de organización en el servicio de administración son:
Contenedor de personas predeterminado de grupos
Este campo especifica el contenedor de personas predeterminado en el que se ubicarán los usuarios al crearlos. No hay ningún valor predeterminado. Un valor válido es el DN de un contenedor de personas. Consulte la nota bajo el atributo Lista de contenedores de personas de grupos para ver el orden del contenedor de personas.
Lista de contenedores de personas de grupos
Este campo especifica una lista de contenedores de personas entre los que puede elegir un administrador de grupos al crear un usuario nuevo. Esta lista se puede utilizar cuando haya varios contenedores de personas en el árbol de directorio. (Si no se especifican contenedores de personas en esta lista o en el campo "Contenedor de personas predeterminado de grupos", los usuarios se crean en el contenedor de personas predeterminado de Access Manager, ou=people.) No hay un valor predeterminado para este campo. La sintaxis para este atributo es la siguiente:
dn del grupo | dn del contenedor de personas
Clase de visualización de perfil de usuario
Este atributo especifica la clase Java que utiliza la consola de Access Manager cuando muestra las páginas "Perfil de usuario".
Clase de visualización de perfil de usuario final
Este atributo especifica la clase Java que utiliza la consola de Access Manager cuando muestra las páginas "Perfil de usuario final".
Mostrar roles en la página de perfil del usuario
Esta opción especifica si se muestra una lista de roles asignados a un usuario como parte de la página "Perfil de usuario" que le corresponde. Si el valor es falso (no seleccionado), la página de perfil de usuario muestra los roles del usuario sólo para los administradores. El valor predeterminado es falso.
Mostrar grupos en la página de perfil del usuario
Esta opción especifica si se muestra una lista de grupos asignados a un usuario como parte de su página "Perfil de usuario" correspondiente. Si el valor es falso (no seleccionado), la página de perfil de usuario muestra los grupos del usuario sólo para los administradores. El valor predeterminado es falso.
Habilitar Autosuscripción del usuario al grupo
Esta opción especifica si los usuarios pueden agregarse ellos mismos a grupos abiertos a la suscripción. Si el valor es falso, la página "Perfil de usuario" muestra la condición de miembro del usuario de manera que sólo un administrador pueda modificarla. El valor predeterminado es falso.
Nota
Esto se aplica sólo cuando se selecciona la opción Mostrar grupos en la página de perfil del usuario.
Opciones de visualización de perfil de usuario
Este menú especifica los atributos de servicio que se mostrarán en la página "Perfil de usuario". El administrador puede elegir uno de los siguientes valores:
Roles predeterminados de creación de usuario
Esta lista define los roles que se asignarán automáticamente a usuarios recién creados. No hay ningún valor predeterminado. Un administrador puede introducir el DN de uno o varios roles.
Nota
Este campo sólo admite una dirección completa de nombre distinguido (DN) y no un nombre de rol. Los roles sólo pueden ser roles de Access Manager, no de LDAP (servidor de directorios).
Fichas de consola administrativa
Este campo lista las clases Java de los módulos que se mostrarán en la parte superior de la consola. La sintaxis es clave i18N | nombre de clase java. (La clave i18N se utiliza para el nombre localizado de la entrada en el menú "Ver".)
Resultados máximos devueltos por la búsqueda
Este campo define el número máximo de resultados devueltos por una búsqueda. El valor predeterminado es 100.
Tiempo de espera para búsqueda
Este campo define el tiempo (en número de segundos) que continuará una búsqueda antes de agotar el tiempo de espera. Se utiliza para detener búsquedas potencialmente largas. Cuando se llega al tiempo de búsqueda máximo, se devuelve un error. El valor predeterminado es 5 segundos.
Nombre de directorio JSP
Este campo especifica el nombre del directorio que contiene los archivos .jsp utilizados para construir la consola, a fin de dar un aspecto diferente a una organización (personalización). Los archivos .jsp se deben copiar en el directorio que se especifica en este campo.
Documentos de la ayuda en pantalla
Este campo muestra los enlaces de ayuda en pantalla que se crearán en la página principal de la ayuda de Access Manager. Esto permite que otras aplicaciones agregan sus enlaces de ayuda en pantalla a la página de Access Manager. El formato de este atributo es el siguiente:
enlaceclavei18n | página html que se cargará al hacer clic | archivo de propiedades i18n | servidor remoto
Nota
servidor remoto es un argumento opcional que permite especificar el servidor remoto donde se encuentra el documento de ayuda en pantalla.
Por ejemplo:
IdentityServer Help | /AMAdminHelp.html | amAdminModuleMsgs
Servicios necesarios
Este campo muestra los servicios que se agregan dinámicamente a las entradas de los usuarios al crearlas. Los administradores pueden seleccionar los servicios que se van a agregar en el momento de la creación.
Este atributo no es utilizado por la consola, sino por el SDK de Access Manager. A los usuarios creados en forma dinámica y por la utilidad de línea de comandos amadmin se les asignarán los servicios definidos en este atributo.
Clave de búsqueda de usuario
Este atributo define el nombre de atributo con el que se va a realizar la búsqueda cuando se lleve a cabo una búsqueda simple en la página "Navegación". El valor predeterminado de este atributo es cn. Por ejemplo, si este atributo utiliza el valor predeterminado:
Si escribe j* en el campo "Nombre" del marco de navegación, se mostrarán los usuarios cuyos nombres empiecen por "j" o "J".
Atributo devuelto de búsqueda de usuario
Este campo define el nombre de atributo utilizado al mostrar los usuarios devueltos tras una búsqueda simple. El valor predeterminado de este atributo es uid cn. Esto mostrará el ID y el nombre completo del usuario.
El nombre de atributo que aparece primero en la lista también se utiliza como clave para ordenar el grupo de usuarios que se devolverá. Para evitar un menor rendimiento, utilice un atributo cuyo valor esté establecido en una entrada de usuario.
Lista de notificación de creación de usuario
Este campo define una lista de direcciones de correo electrónico a las que se enviará una notificación cuando se cree un nuevo usuario. Se pueden especificar varias direcciones de correo electrónico, tal como se indica en la siguiente sintaxis:
e-mail|locale|charset
e-mail|locale|charset
e-mail|locale|charset
La lista de notificación también acepta diferentes idiomas por medio de la opción |locale. Por ejemplo, para enviar una notificación a un administrador francés:
usuario@example.com|fr|fr
Nota
El Id. del correo electrónico del remitente puede cambiarse si se modifica la propiedad 497 de amProfile.properties, ubicado, de forma predeterminada, en AccessManager-base /SUNWam/locale.
Lista de notificación de eliminación de usuario
Este campo define una lista de direcciones de correo electrónico a las que se enviará una notificación cuando se elimine un usuario. Se pueden especificar varias direcciones de correo electrónico, tal como se indica en la siguiente sintaxis:
e-mail|locale|charset
e-mail|locale|charset
e-mail|locale|charset
La lista de notificación también acepta diferentes idiomas por medio de la opción |locale. Por ejemplo, para enviar una notificación a un administrador francés:
usuario@example.com|fr|fr
Lista de notificación de modificación de usuario
Este campo define una lista de atributos y direcciones de correo electrónico asociadas. Cuando se realice una modificación de usuario en un atributo definido en la lista, se enviará una notificación a la dirección de correo electrónico asociada a dicho atributo. Cada atributo puede tener un conjunto diferente de direcciones asociado. Se pueden especificar varias direcciones de correo electrónico, tal como se indica en la siguiente sintaxis:
attrName e-mail|locale|charset e-mail|locale|charset .....
attrName e-mail|locale|charset e-mail|locale|charset .....
La palabra clave self se puede usar en el lugar de una de las direcciones. Esto hace que se envíe un correo al perfil de usuario que se haya modificado.
Por ejemplo:
administrador usuario@sun.com|self|admin@sun.com
El correo electrónico se enviará a la dirección especificada en atributo administrador, usuario@sun.com, admin@sun, la persona que modificó el usuario (self).
La lista de notificación también acepta diferentes idiomas por medio de la opción |locale. Por ejemplo, para enviar una notificación a un administrador francés:
administrador usuario@sun.com|self|admin@sun.com|fr
Nota
El nombre del atributo es el que aparece en el esquema del servidor de directorios y no el que se muestra en la consola.
Número máximo de entradas mostradas por página
Este atributo le permite definir las filas máximas que se pueden mostrar por página. El valor predeterminado es 25. Por ejemplo, si una búsqueda de usuario devuelve 100 filas, habrá 4 páginas con 25 filas en cada una.
Clases de escuchas de eventos
Este atributo contiene una lista de receptores de eventos de creación, modificación y eliminación de la consola de administración de accesos.
Clases de procesamiento previo y posterior
Este campo define una lista de clases de implementación mediante complementos que amplían la clase com.iplanet.am.sdk.AMCallBack para recibir devoluciones de llamadas durante las operaciones de procesamiento previas y posteriores de usuarios, organizaciones, roles y grupos. Los parámetros son:
Debe introducir el nombre de clase completo del complemento. Por ejemplo:
com.iplanet.am.sdk.AMCallbacSample
Debe cambiar la ruta de clase del contenedor Web (de la base de instalación de Access Manager) para incluir la ruta completa a la ubicación de la clase de complemento.
Habilitar búsqueda de atributos externos
Esta opción permite que las devoluciones de llamadas de complementos recuperen atributos externos (cualquier atributo externo específico de la aplicación). Los atributos externos no se guardan en el caché del SDK de Access Manager, por lo que este atributo le permite activar la recuperación de atributos por nivel de organización. Esta opción está desactivada de forma predeterminada.
Caracteres del Id. de usuario no válidos
Este atributo define una lista de caracteres no permitidos en un nombre de usuario.
Cara carácter debe estar separado por el carácter |. Por ejemplo:
*|(|)|&|!
Clase de complemento de validación de Id. de usuario y contraseña
Esta clase provee un mecanismo de complemento para la validación de Id. de usuario y contraseña.
Los métodos de esta clase deben ser reemplazados por los módulos complemento de implementación que validen el Id. y/o contraseña del usuario. Los módulos complemento de implementación serán invocados cada vez que se agregue o modifique un valor de Id. de usuario o contraseña a través de la consola de Access Manager, la interfaz de línea de comandos amadmin, o por medio del SDK.
Los complementos que extiendan esta clase pueden ser configurados por organización. Si un complemento no está configurado para una organización, entonces se utilizará el complemento definido en el nivel global.
Si la validación del complemento falla, el módulo complemento puede generar una excepción, para indicar a la aplicación que señale el error en el Id. o la contraseña provistos por el usuario.
Contenido |