15.1 Acerca de la pestaña Funciones y recursos

La finalidad de la pestaña Funciones y recursos es proporcionar un método cómodo para llevar a cabo acciones de provisión basada en funciones. Estas acciones permiten gestionar definiciones y asignaciones de funciones y de recurso dentro de la organización. Las asignaciones de funciones se pueden asignar a recursos de una empresa, como cuentas de usuarios, equipos informáticos y bases de datos. Por otro lado, los recursos se pueden asignar directamente a los usuarios. Por ejemplo, puede utilizar la pestaña Funciones y recursos para:

Cuando una petición de asignación de función o recurso solicita permiso de uno o varios miembros de una organización, la petición inicia un flujo de trabajo. El flujo de trabajo coordina las aprobaciones necesarias para cumplir la petición. Algunas peticiones de asignación requieren la aprobación de una sola persona, mientras que otras requieren la aprobación de varias personas. En algunos casos, una petición se puede cumplir sin ningún tipo de aprobación.

Cuando una petición de asignación de funciones genera un posible conflicto de separación de tareas, el usuario que la inicia tiene la posibilidad de anular la restricción de separación de tareas y proporcionar una justificación para la excepción. En algunos casos, un conflicto de separación de tareas puede provocar el inicio de un flujo de trabajo. El flujo de trabajo coordina las aprobaciones necesarias para permitir que la excepción de separación de tareas tenga efecto.

El administrador del sistema y el diseñador del flujo de trabajo son los responsables de configurar el contenido de la pestaña Funciones y recursos para usted y para el resto de personas de la organización. El flujo de control de un flujo de trabajo, así como el aspecto de los formularios, puede variar en función de cómo se haya definido la definición de aprobación del flujo de trabajo en el Diseñador del Gestor de identidades. Además, los datos que podrá ver y las operaciones que podrá realizar normalmente vienen determinadas por los requisitos de su puesto de trabajo y su nivel de autorización.

NOTA:La pestaña Funciones y recursos sólo está disponible en el Gestor de identidades 4.0.1 Advanced Edition. La versión Standard Edition no admite esta función.

15.1.1 Acerca de las funciones

En esta sección se proporciona una descripción general de los términos y conceptos empleados en la pestaña Funciones y recursos:

Funciones y asignaciones de funciones

Una función define un conjunto de permisos en referencia a uno o varios sistemas o aplicaciones de destino. La pestaña Funciones y recursos permite a los usuarios pedir asignaciones de funciones, que son asociaciones entre una función y un usuario, grupo o contenedor. La pestaña Funciones y recursos también permite definir relaciones de funciones, que establecen asociaciones entre las funciones de la jerarquía.

Puede asignar funciones directamente a un usuario. En ese caso, las asignaciones directas proporcionan al usuario acceso explícito a los permisos asociados a la función. También puede definir asignaciones indirectas, que permiten a los usuarios adquirir funciones mediante la pertenencia a un grupo, un contenedor o una función relacionada en la jerarquía de funciones.

Al solicitar una asignación de funciones, tiene la posibilidad de definir una fecha de entrada en vigor de la asignación de función, a fin de especificar la fecha y la hora en la que debe entrar en vigor la asignación. Si deja este campo en blanco, significa que la asignación debe realizarse de inmediato.

También puede definir una fecha de caducidad de la asignación de función, que especifica la fecha y la hora en la que debe eliminarse automáticamente la función.

Cuando un usuario solicita una asignación de función, el subsistema de funciones y recursos gestiona el ciclo de vida de la petición de función. Para ver las acciones que se han llevado a cabo en la petición los usuarios o el propio subsistema, puede comprobar el estado de la petición en la pestaña Estado de peticiones del Catálogo de funciones.

Catálogo y jerarquía de funciones

Para que los usuarios puedan empezar a asignar funciones, éstas deben estar definidas en el Catálogo de funciones. El Catálogo de funciones es el repositorio de almacenamiento de todas las definiciones de funciones y los datos que necesita el subsistema de funciones y recursos. Para configurar el Catálogo de funciones, un administrador del módulo de funciones (o supervisor de funciones) define las funciones y su jerarquía.

La jerarquía de funciones establece relaciones entre las funciones del catálogo. Al definir las relaciones de funciones, puede simplificar la tarea de proporcionar permisos mediante las asignaciones de funciones. Por ejemplo, en lugar de asignar 50 funciones de médico cada vez que un médico se una a la organización, puede definir la función Médico y especificar una relación de funciones entre esta función y todas las funciones de médico. Al asignar a los usuarios la función Médico, les proporcionará los permisos definidos para cada una de las funciones de médico relacionadas.

La jerarquía de funciones admite tres niveles. Las funciones definidas en el nivel más alto (denominadas funciones empresariales) definen las operaciones que tienen un significado empresarial dentro de la organización. Las funciones de nivel medio (denominadas funciones de TI) hacen referencia a labores tecnológicas. Las funciones definidas en el nivel más bajo de la jerarquía (denominadas funciones de permisos) definen los privilegios de nivel más bajo. A continuación se muestra un ejemplo de jerarquía de funciones con tres niveles en una organización médica. El nivel más alto de la jerarquía se encuentra a la izquierda y el más bajo a la derecha:

Figura 15-1 Ejemplo de jerarquía de funciones

Una función de nivel más alto incluye automáticamente los privilegios de las funciones de nivel inferior que contiene. Por ejemplo, una función empresarial incluye automáticamente los privilegios de las funciones de TI que contiene. Del mismo modo, una función de TI incluye automáticamente los privilegios de las funciones de permisos que contiene.

Las relaciones entre funciones del mismo nivel no están permitidas. Además, las funciones de nivel inferior no pueden contener funciones de nivel superior.

Al definir una función, si lo desea, puede designar uno o varios propietarios de la función. Un propietario de función es un usuario designado como propietario de la definición de la función. Al generar informes sobre el catálogo de funciones, puede filtrar los informes según el propietario de la función. El propietario de la función no tiene automáticamente la autorización para administrar cambios en una definición de función. En algunos casos, el propietario debe solicitar a un administrador de funciones que lleve a cabo las acciones de administración sobre la función.

Al definir una función, puede asociarla a una o varias categorías de funciones. Una categoría de funciones permite categorizar las funciones para organizar el sistema. Si una función está asociada a una categoría, puede utilizar la categoría como filtro para examinar el catálogo de funciones.

Si una petición de asignación de función requiere aprobación, la definición de la función indica la información acerca del proceso de flujo de trabajo empleado para coordinar las aprobaciones, así como la lista de aprobadores. Los aprobadores son las personas que pueden aprobar o rechazar una petición de asignación de función.

Separación de tareas

Una característica importante del subsistema de funciones y recursos es la posibilidad de definir restricciones de separación de tareas. Una restricción de separación de tareas es una regla que define dos funciones que se consideran en conflicto. Los oficiales de seguridad son los encargados de crear las restricciones de separación de tareas de la organización. Al definir las restricciones de separación de tareas, los oficiales pueden impedir que a los usuarios se les asignen funciones en conflicto, o mantener un seguimiento de auditoría para revisar las situaciones en las que se han permitido infracciones. En una restricción de separación de tareas, las funciones en conflicto deben estar en el mismo nivel de la jerarquía de funciones.

Algunas restricciones de separación de tareas se pueden anular sin aprobación, mientras que otras requieren aprobación. Los conflictos que se permiten sin aprobación se denominan infracciones de separación de tareas. Los conflictos aprobados se denominan excepciones de separación de tareas. El subsistema de funciones y recursos no requiere aprobaciones para infracciones de separación de tareas originadas por asignaciones indirectas, como la pertenencia a grupos o contenedores, o las relaciones de funciones.

Si un conflicto de separación de tareas requiere aprobación, la definición de la restricción indica la información acerca del proceso de flujo de trabajo empleado para coordinar las aprobaciones, así como la lista de aprobadores. Los aprobadores son los usuarios que pueden aprobar o rechazar una excepción de separación de tareas. Como parte de la configuración del subsistema de funciones y recursos se define una lista por defecto. No obstante, esta lista se puede anular en la definición de una restricción de separación de tareas.

Informes y auditoría de funciones

El subsistema de funciones y recursos proporciona una versátil utilidad de informes que permite a los auditores analizar el Catálogo de funciones, así como el estado actual de las asignaciones de funciones y de las restricciones, infracciones y excepciones de separación de tareas. La utilidad de informes permite a los auditores de funciones y a los administradores del módulo de funciones generar los siguientes tipos de informes en formato PDF:

  • Informe de lista de funciones

  • Informe de detalles de funciones

  • Informe de asignación de funciones

  • Informe de restricciones de separaciones de tareas

  • Informe de infracciones y excepciones de separaciones de tareas

  • Informe de funciones de usuario

  • Informe de derechos de usuario

Además de proporcionar información en la utilidad de informes, el subsistema de funciones y recursos se puede configurar para que registre los eventos en los clientes de auditoría de Novell y OpenXDAS.

Seguridad de funciones

El subsistema de funciones y recursos emplea un conjunto de funciones del sistema para proteger el acceso a las funciones en la pestaña Funciones y recursos. Cada acción del menú de la pestaña Funciones y recursos está asignada a una o varias de las funciones del sistema. Si un usuario no pertenece a una de las funciones asociadas a una acción, el elemento de menú correspondiente no se muestra en la pestaña Funciones y recursos.

Las funciones del sistema son funciones administrativas, definidas automáticamente por el sistema durante la instalación, a fin de delegar la administración. Entre estas funciones están incluidas las siguientes:

  • Administrador de funciones

  • Supervisor de funciones

A continuación se describen las funciones del sistema de forma más detallada:

Tabla 15-1 Funciones del sistema

Función

Descripción

Administrador de funciones

Función del sistema que permite a los miembros crear, eliminar o modificar todas las funciones, así como otorgar o revocar cualquier asignación de función a cualquier usuario, grupo o contenedor. Esta función también permite a los miembros ejecutar cualquier informe para cualquier usuario. Las personas con esta función pueden llevar a cabo las siguientes funciones en la aplicación de usuario con un alcance ilimitado:

  • Crear, eliminar y modificar funciones

  • Modificar relaciones de funciones

  • Solicitar asignaciones de usuarios, grupos o contenedores a funciones

  • Crear, eliminar y modificar restricciones de separación de tareas

  • Examinar el catálogo de funciones

  • Configurar el subsistema de funciones y recursos.

  • Ver el estado de todas las peticiones

  • Retraer peticiones de asignación de funciones

  • Ejecutar cualquier informe

Supervisor de funciones

Función del sistema que permite a los miembros modificar funciones y relaciones de funciones, así como otorgar o revocar asignaciones de funciones para usuarios. Las personas con esta función pueden llevar a cabo las siguientes acciones en la aplicación de usuario, con un alcance limitado a los derechos de examen de directorio de los objetos de funciones:

  • Crear nuevas funciones y modificar las existentes para las que el usuario tenga derechos de examen

  • Modificar relaciones de funciones para las que el usuario tenga derechos de examen

  • Solicitar asignaciones de usuarios, grupos o contenedores a funciones para las que el usuario tenga derechos de examen

  • Examinar el catálogo de funciones (con alcance limitado por los derechos de examen)

  • Examinar peticiones de asignación de funciones para usuarios, grupos y contenedores (con alcance limitado por los derechos de examen de directorio de los objetos de función, usuario, grupo y contenedor)

  • Retraer peticiones de asignación de funciones para usuarios, grupos y contenedores (con alcance limitado por los derechos de examen de directorio de los objetos de función, usuario, grupo y contenedor)

Usuario autenticado

Además de admitir las funciones del sistema, el subsistema de funciones y recursos también permite el acceso a usuarios autenticados. Un usuario autenticado es un usuario que ha entrado a la sesión en la aplicación de usuario y no dispone de ningún privilegio especial por la pertenencia a una función del sistema. Normalmente un usuario autenticado puede llevar a cabo cualquiera de las siguientes acciones:

  • Ver todas las funciones asignadas al usuario

  • Solicitar asignaciones (sólo para sí mismo) a funciones para las que tenga derechos de examen

  • Ver el estado de petición de las peticiones para las que sea peticionario o destinatario

  • Retraer peticiones de asignación para las que sea tanto peticionario como destinatario

Controlador de servicio de funciones y recursos

El subsistema de funciones y recursos emplea el controlador del servicio de funciones y recursos para gestionar el procesamiento en segundo plano de las funciones. Por ejemplo, gestiona todas las asignaciones de funciones, inicia flujos de trabajo para las peticiones de asignación de funciones y los conflictos de separación de tareas que requieren aprobación y mantiene asignaciones de funciones indirectas según la pertenencia a grupos y controladores, así como la pertenencia a funciones relacionadas. El controlador también otorga y revoca derechos a usuarios según su pertenencia a funciones y lleva a cabo procedimientos de limpieza para las peticiones finalizadas.

Qué sucede cuando cambian los derechos de un recurso. Si se cambian los derechos de un recurso existente, el controlador no puede otorgar el nuevo derecho para los usuarios que tienen asignado actualmente el recurso. Para otorgar el nuevo derecho, es necesario eliminar el recurso y reasignarlo a los usuarios que necesiten el derecho en cuestión.

Para obtener información detallada acerca del controlador del servicio de funciones y recursos, consulte la Identity Manager User Application: Administration Guide (Guía de administración de la aplicación de usuario del Gestor de identidades).

15.1.2 Acerca de los recursos

En esta sección se proporciona una descripción general de los términos y conceptos de gestión de recursos empleados en la aplicación de usuario.

Acerca de la provisión basada en recursos

El objetivo de los recursos dentro de la aplicación de usuario es el de ofrecer un método cómodo para realizar acciones de provisión basada en recursos. Estas acciones permiten gestionar definiciones y asignaciones de recursos en la organización. Las asignaciones de recursos se pueden asignar a usuarios o a funciones de una empresa. Por ejemplo, los recursos se pueden utilizar para:

  • Realizar peticiones de recursos para sí mismo o para otros usuarios de la organización

  • Crear recursos y asignarlos a derechos

Cuando una petición de asignación de recurso solicita permiso de uno o varios miembros de una organización, la petición inicia un flujo de trabajo. El flujo de trabajo coordina las aprobaciones necesarias para cumplir la petición. Algunas peticiones de asignación de recurso requieren la aprobación de una sola persona, mientras que otras requieren la aprobación de varias personas. En algunos casos, una petición se puede cumplir sin ningún tipo de aprobación.

Las siguientes funciones empresariales controlan el comportamiento de los recursos en la aplicación de usuario:

  • Los recursos sólo se pueden asignar a un usuario. Esto no excluye que un recurso se pueda otorgar a los usuarios de un contenedor o un grupo mediante una asignación de función implícita. Sin embargo, la asignación de recurso sólo se asociará con un usuario.

  • Los recursos se pueden asignar de cualquiera de estas formas:

    • Directamente por un usuario mediante los mecanismos de la interfaz de usuario

    • Mediante una petición de provisión

    • Mediante una asignación de petición de función

    • Mediante una interfaz REST o SOAP

  • El mismo recurso se puede otorgar a un usuario varias veces (si esta posibilidad se ha habilitado en la definición del recurso).

  • Una definición de recurso puede tener más de un derecho asociado.

  • Una definición de recurso puede tener una o más referencias del mismo derecho asociadas. De esta forma se admiten los derechos cuyos parámetros representan cuentas que se pueden aprovisionar o permisos del sistema conectado.

  • Es posible especificar derechos y parámetros para asistir en la toma de decisiones durante el diseño (estáticos) o durante la petición (dinámicos).

El administrador del sistema y el diseñador del flujo de trabajo son los responsables de configurar la aplicación de usuario para usted y para el resto de personas de la organización. El flujo de control de un flujo de trabajo basado en recursos, así como el aspecto de los formularios, puede variar en función de cómo se haya definido la definición de aprobación del flujo de trabajo en el Diseñador del Gestor de identidades. Además, los datos que podrá ver y las operaciones que podrá realizar normalmente vienen determinadas por los requisitos de su puesto de trabajo y su nivel de autorización.

Recursos

Un recurso es cualquier entidad digital, como una cuenta de usuario, un equipo o una base de datos que un usuario empresarial necesita para poder acceder. La aplicación de usuario permite a los usuarios finales pedir cómodamente los recursos que necesitan. Además, incluye herramientas que pueden usar los administradores para definir recursos.

Cada recurso se asigna a un derecho. Una definición de recurso puede tener más de un derecho asociado. Una definición de recurso puede asociarse al mismo derecho más de una vez, con distintos parámetros de derechos para cada recurso.

Peticiones de recurso

Los recursos sólo se pueden asignar a usuarios, no a grupos ni a contenedores. Sin embargo, si se asigna una función a un grupo o a un contenedor, los usuarios de dicho grupo o contenedor pueden recibir automáticamente acceso a los recursos asociados con la función.

Las peticiones de recurso pueden requerir aprobación. El proceso de aprobación de un recurso se puede gestionar mediante una definición de petición de provisión o mediante un sistema externo, estableciendo el código de estado en la petición de recurso.

Si la petición de otorgación de recurso la inicia una asignación de función, es posible que el recurso no se otorgue, aun cuando la función se haya aprovisionado. La razón más probable es que no se hayan proporcionado las aprobaciones necesarias.

Una petición de recurso puede otorgar un recurso a un usuario o revocar un recurso de un usuario.

Controlador de servicio de funciones y recursos

La aplicación de usuario utiliza el controlador de servicio de funciones y recursos para gestionar todos los procesos de servidor de los recursos. Por ejemplo, gestiona todas las peticiones de recurso, inicia los flujos de trabajo para las peticiones de recurso e inicia el proceso de provisión para las peticiones de recurso.