9.6 Permisos de seguridad para la Consola de trabajo

En esta sección se describen los permisos que necesita cada usuario para realizar diversas acciones en la Consola de trabajo. Los temas son los siguientes:

9.6.1 Autoservicio del usuario

Los usuarios autenticados pueden realizar acciones de autoservicio para tareas de la Consola de trabajo sin necesidad de permisos de seguridad, como se indica en la tabla siguiente.

Tabla 9-5 Notificaciones de tareas para el autoservicio del usuario

Para llevar a cabo esta acción...

El usuario autenticado debe ser...

Y el usuario debe tener estos permisos...

Ver tareas en una lista

El receptor de la tarea.

De forma alternativa, el receptor puede delegar la tarea a este usuario o este usuario puede reclamar la tarea para un grupo.

NOTA:en el modo de autoservicio, el administrador o el supervisor de dominio también pueden ver las tareas de las que es receptor.

Ninguno.

Ver y trabajar con detalles de la tarea

El receptor de la tarea.

De forma alternativa, el receptor puede delegar la tarea a este usuario o este usuario puede reclamar la tarea para un grupo.

Ninguno.

Ver comentarios del flujo de trabajo

El receptor de la tarea.

De forma alternativa, el receptor puede delegar la tarea a este usuario o este usuario puede reclamar la tarea para un grupo.

Ninguno.

El usuario autenticado necesita derechos de navegación en la tarea para asignar o eliminar asignaciones de funciones o recurso, como se describe en la tabla siguiente.

Tabla 9-6 Asignaciones de funciones y recurso para el autoservicio de usuario

Para llevar a cabo esta acción...

El usuario autenticado debe ser...

Y el usuario debe tener estos permisos...

Ver funciones o recursos en una lista

El destinatario.

La lista de asignaciones incluye las asignaciones de grupos y contenedores a los que pertenece el usuario.

Ninguno.

Asignar o eliminar asignaciones de funciones o recursos

El destinatario.

Las operaciones de otorgación o revocación se aplican sólo al usuario autenticado.

Trustee (navegación de entrada).

El usuario autenticado requiere derechos de navegación de entrada para algunas acciones del estado de petición, como se describe en la tabla siguiente.

Tabla 9-7 Estado de petición para el autoservicio de usuario

Para llevar a cabo esta acción...

El usuario autenticado debe ser...

Y el usuario debe tener estos permisos...

Ver peticiones de proceso en una lista

El iniciador o el destinatario.

Ninguno.

Ver y trabajar con detalles de la petición de proceso

El iniciador o el destinatario (si la opción Vista restringida está definida como falsa en el Diseñador).

Si la opción Vista restringida está definida como verdadera, la pantalla sólo mostrará las tareas iniciadas por el usuario, aun cuando el usuario tenga derechos de navegación.

Trustee (navegación de entrada).

Retraer peticiones de proceso

El iniciador o el destinatario.

La petición debe encontrarse en un estado que permita la retracción, lo que significa que no se haya aprobado, denegado, cancelado ni aprovisionado.

Trustee (navegación de entrada).

Ver comentarios del flujo de trabajo para las peticiones de proceso

El iniciador o el destinatario (si la opción Vista restringida está definida como falsa en el Diseñador).

Si la opción Vista restringida está definida como verdadera, la pantalla sólo mostrará las tareas iniciadas por el usuario, aun cuando el usuario tenga derechos de navegación.

Trustee (navegación de entrada).

Ver peticiones de función o recurso en una lista

El iniciador o el destinatario.

Ninguno.

Ver y trabajar con los detalles de la petición de función o recurso

El iniciador o el destinatario.

Trustee (navegación de entrada).

Retraer peticiones de función o recurso

El iniciador o el destinatario.

La petición debe encontrarse en un estado que permita la retracción, lo que significa que no se haya aprobado, denegado, cancelado ni aprovisionado.

Trustee (navegación de entrada).

Ver comentarios del flujo de trabajo para las peticiones de función o recurso

El iniciador o el destinatario.

Trustee de la función o el recurso (navegación de entrada).

9.6.2 Administrador de dominio en modo de gestión

En el modo de gestión, el administrador de dominio puede realizar acciones para tareas de la Consola de trabajo sin necesidad de permisos de seguridad, como se indica en la tabla siguiente.

Tabla 9-8 Notificaciones de tareas para el administrador de dominio en el modo de gestión

Para llevar a cabo esta acción...

El usuario gestionado, el grupo, el contenedor o la función deben ser...

Y el administrador de dominio debe tener estos permisos...

Ver tareas en una lista

El receptor o el destinatario de la tarea.

NOTA:una función no puede ser destinataria de una tarea. Sólo puede ser su receptora.

De forma alternativa, el receptor puede delegar la tarea a este usuario o este usuario puede reclamar la tarea para un grupo.

Ninguno.

Ver y trabajar con detalles de la tarea

El receptor o el destinatario de la tarea.

De forma alternativa, el receptor puede delegar la tarea a este usuario o este usuario puede reclamar la tarea para un grupo.

Ninguno.

Ver comentarios del flujo de trabajo

El receptor o el destinatario de la tarea.

De forma alternativa, el receptor puede delegar la tarea a este usuario o este usuario puede reclamar la tarea para un grupo.

Ninguno.

En el modo de gestión, el administrador de dominio puede realizar todas las acciones para la asignación de función y recurso en la Consola de trabajo sin necesidad de permisos de seguridad, como se indica en la tabla siguiente.

Tabla 9-9 Asignaciones de funciones y recurso para el administrador de dominio en el modo de gestión

Para llevar a cabo esta acción...

El usuario gestionado, el grupo o el contenedor deben ser...

Y el administrador de dominio debe tener estos permisos...

Ver funciones o recursos en una lista

El destinatario.

La lista de asignaciones incluye las asignaciones de grupos y contenedores a los que pertenece el usuario.

Ninguno.

Asignar o eliminar asignaciones de funciones o recursos

El destinatario.

La lista de asignaciones incluye las asignaciones de grupos y contenedores a los que pertenece el usuario.

Ninguno.

En la consola de trabajo, el administrador de dominio puede editar, asignar o eliminar todas las asignaciones de funciones, excepto las asignaciones de funciones del sistema que no pertenezcan al dominio para el que el administrador tiene autorización. Esto significa que el administrador de dominio de funciones puede eliminar asignaciones del administrador de funciones y del supervisor de funciones, pero no las asignaciones del administrador de recursos ni del supervisor de recursos.

El administrador de dominio puede ver y editar cualquier recurso.

En el modo de gestión, el administrador de dominio puede realizar acciones de autoservicio para el estado de petición en la Consola de trabajo sin necesidad de permisos de seguridad, como se indica en la tabla siguiente.

Tabla 9-10 Estado de petición para los administradores de dominio en el modo de gestión

Para llevar a cabo esta acción...

El usuario gestionado, el grupo o el contenedor deben ser...

Y el administrador de dominio debe tener estos permisos...

Ver peticiones de proceso en una lista

El iniciador o el destinatario.

Ninguno.

Ver y trabajar con detalles de la petición de proceso

El iniciador o el destinatario.

Ninguno.

Retraer peticiones de proceso

El iniciador o el destinatario.

Ninguno.

Ver comentarios del flujo de trabajo para las peticiones de proceso

El iniciador o el destinatario.

Ninguno.

Ver peticiones de función o recurso en una lista

El iniciador o el destinatario.

Ninguno.

Ver y trabajar con los detalles de la petición de función o recurso

El iniciador o el destinatario.

El administrador de dominio no puede ver las peticiones de las funciones del sistema.

Ninguno.

El administrador de dominio puede ver todas las peticiones de función, excepto las de funciones del sistema.

El administrador de dominio puede ver y editar cualquier recurso.

Retraer peticiones de función o recurso

El iniciador o el destinatario.

La petición debe encontrarse en un estado que permita su retracción.

El administrador de dominio no puede retraer las peticiones de las funciones del sistema.

Ninguno.

El administrador de dominio puede retraer todas las peticiones de función, excepto las de funciones del sistema.

El administrador de dominio puede ver y editar cualquier recurso.

Ver comentarios del flujo de trabajo para las peticiones de función o recurso

El iniciador o el destinatario.

El administrador de dominio no puede ver los comentarios del flujo de trabajo de las funciones del sistema.

Ninguno.

El administrador de dominio puede ver y editar todas las funciones, excepto las del sistema.

El administrador de dominio puede ver y editar cualquier recurso.

9.6.3 Supervisor de dominio en modo de gestión

En el modo de gestión, el supervisor de dominio puede ver tareas sin necesidad de ningún permiso de seguridad, pero debe contar con permiso para ver los detalles de las tareas y los comentarios del flujo de trabajo, como se describe en la tabla siguiente.

Tabla 9-11 Notificaciones de tareas para los supervisores de dominio en el modo de gestión

Para llevar a cabo esta acción...

El usuario gestionado, el grupo, el contenedor o la función deben ser...

Y el supervisor de dominio debe tener estos permisos...

Ver tareas en una lista

El receptor o el destinatario de la tarea.

NOTA:una función no puede ser destinataria de una tarea. Sólo puede ser su receptora.

De forma alternativa, el receptor puede delegar la tarea a este usuario o este usuario puede reclamar la tarea para un grupo.

Ninguno.

Ver detalles de la tarea

El receptor o el destinatario de la tarea.

De forma alternativa, el receptor puede delegar la tarea a este usuario o este usuario puede reclamar la tarea para un grupo.

Gestionar la tarea del receptor.

Ver comentarios del flujo de trabajo

El receptor o el destinatario de la tarea.

De forma alternativa, el receptor puede delegar la tarea a este usuario o este usuario puede reclamar la tarea para un grupo.

Gestionar la tarea del receptor.

En el modo de gestión, el supervisor de dominio puede ver las asignaciones de funciones y recurso sin necesidad de ningún permiso de seguridad, pero debe tener permiso para asignar funciones y recursos o para eliminar asignaciones existentes, como se describe en la tabla siguiente.

Tabla 9-12 Asignaciones de funciones y recurso para el supervisor de dominio en el modo de gestión

Para llevar a cabo esta acción...

El usuario gestionado, el grupo o el contenedor deben ser...

Y el supervisor de dominio debe tener estos permisos...

Ver funciones o recursos en una lista

El destinatario.

La lista de asignaciones incluye las asignaciones de grupos y contenedores a los que pertenece el usuario.

Ninguno.

Asignar o eliminar asignaciones de funciones o recursos

El destinatario.

La lista de asignaciones incluye las asignaciones de grupos y contenedores a los que pertenece el usuario.

Uno o más de los siguientes permisos de Trustee para una función:

  • Asignar función a usuario

  • Revocar función de usuario

  • Asignar función a grupo y contenedor

  • Revocar función de grupo y contenedor

Uno o más de los siguientes permisos de Trustee para un recurso:

  • Asignar recurso

  • Revocar recurso

En el modo de gestión, el supervisor de dominio puede ver peticiones de proceso, función y recurso sin necesidad de ningún permiso de seguridad, pero debe contar con permiso para ver los detalles de la petición y los comentarios del flujo de trabajo, así como para retraer peticiones, como se describe en la tabla siguiente.

Tabla 9-13 Estado de petición para los supervisores de dominio en el modo de gestión

Para llevar a cabo esta acción...

El usuario gestionado, el grupo o el contenedor deben ser...

Y el supervisor de dominio debe tener estos permisos...

Ver peticiones de proceso en una lista

El iniciador o el destinatario.

Ninguno.

Ver y trabajar con detalles de la petición de proceso

El iniciador o el destinatario.

Ver PRD en ejecución.

Retraer peticiones de proceso

El iniciador o el destinatario.

Retraer PRD.

Ver comentarios del flujo de trabajo para las peticiones de proceso

El iniciador o el destinatario.

Ver PRD en ejecución.

Ver peticiones de función o recurso en una lista

El iniciador o el destinatario.

Ninguno.

Ver y trabajar con los detalles de la petición de función o recurso

El iniciador o el destinatario.

Ver función o Ver recurso.

El permiso Ver función controla si se pueden ver los detalles de la petición de función en la sección Estado de peticiones de la Consola de trabajo. El permiso Ver recurso controla si es posible ver los detalles de las peticiones de recurso.

Retraer peticiones de función o recurso

El iniciador o el destinatario.

La petición debe encontrarse en un estado que permita su retracción.

Uno o más de los siguientes permisos de Trustee para una función:

  • Asignar función a usuario

  • Asignar función a grupo y contenedor

  • Actualizar función

  • Revocar función de usuario

  • Revocar función de grupo y contenedor

El siguiente permiso de Trustee para un recurso:

  • Revocar recurso

Ver comentarios del flujo de trabajo para las peticiones de función o recurso

El iniciador o el destinatario.

Ver función o Ver recurso.

9.6.4 Supervisor de equipo en modo de gestión

En el modo de gestión, el supervisor de equipo puede ver tareas sin necesidad de ningún permiso de seguridad, pero debe contar con permiso para ver los detalles de las tareas y los comentarios del flujo de trabajo, como se describe en la tabla siguiente.

Tabla 9-14 Notificaciones de tareas para los supervisores de equipo en el modo de gestión

Para llevar a cabo esta acción...

El usuario gestionado debe ser...

Y el supervisor de equipo debe tener estos permisos...

Ver tareas en una lista

Un miembro del equipo y también el receptor de la tarea.

De forma alternativa, el receptor puede delegar la tarea a este usuario o este usuario puede reclamar la tarea para un grupo.

Ninguno.

Ver detalles de la tarea

Un miembro del equipo y también el receptor de la tarea.

De forma alternativa, el receptor puede delegar la tarea a este usuario o este usuario puede reclamar la tarea para un grupo.

Gestionar la tarea del receptor.

Ver comentarios del flujo de trabajo

Un miembro del equipo y también el receptor de la tarea.

De forma alternativa, el receptor puede delegar la tarea a este usuario o este usuario puede reclamar la tarea para un grupo.

Gestionar la tarea del receptor

En el modo de gestión, el supervisor de equipo puede ver las asignaciones de funciones y recurso sin necesidad de ningún permiso de seguridad, pero debe tener permiso para asignar funciones y recursos o para eliminar asignaciones existentes, como se describe en la tabla siguiente.

Tabla 9-15 Asignaciones de funciones y recurso para el supervisor de equipo en el modo de gestión

Para llevar a cabo esta acción...

El usuario gestionado debe ser...

Y el supervisor de equipo debe tener estos permisos...

Ver funciones o recursos en una lista

Un miembro del equipo seleccionado.

El usuario también debe ser el destinatario.

La lista de asignaciones de funciones incluye las asignaciones de grupos y contenedores a los que pertenece el usuario.

La lista de asignaciones de recursos incluye sólo las asignaciones del usuario gestionado.

Ninguno.

Asignar o eliminar asignaciones de funciones o recursos

Un miembro del equipo seleccionado.

El usuario también debe ser el destinatario.

La lista de asignaciones incluye las asignaciones de grupos y contenedores a los que pertenece el usuario.

Uno o más de los siguientes permisos de Trustee para una función:

  • Asignar función a usuario

  • Revocar función de usuario

  • Asignar función a grupo y contenedor

  • Revocar función de grupo y contenedor

Uno o más de los siguientes permisos de Trustee para un recurso:

  • Asignar recurso

  • Revocar recurso

En el modo de gestión, el supervisor de equipo puede ver peticiones de proceso, función y recurso sin necesidad de ningún permiso de seguridad, pero debe contar con permiso para ver los detalles de la petición y los comentarios del flujo de trabajo, así como para retraer peticiones, como se describe en la tabla siguiente.

Tabla 9-16 Estado de petición para los supervisores de equipo en el modo de gestión

Para llevar a cabo esta acción...

El usuario gestionado debe ser...

Y el supervisor de equipo debe tener estos permisos...

Ver peticiones de proceso en una lista

El iniciador o el destinatario.

Ninguno.

Ver y trabajar con detalles de la petición de proceso

El iniciador o el destinatario.

Ver PRD en ejecución.

Retraer peticiones de proceso

El iniciador o el destinatario.

Retraer PRD.

Ver comentarios del flujo de trabajo para las peticiones de proceso

El iniciador o el destinatario.

Ver PRD en ejecución.

Ver peticiones de función o recurso en una lista

El iniciador o el destinatario.

Ninguno.

Ver y trabajar con los detalles de la petición de función o recurso

El iniciador o el destinatario.

Ver función o Ver recurso.

El permiso Ver función controla si se pueden ver los detalles de la petición de función en la sección Estado de peticiones de la Consola de trabajo. El permiso Ver recurso controla si es posible ver los detalles de las peticiones de recurso.

Retraer peticiones de función o recurso

El iniciador o el destinatario.

La petición debe encontrarse en un estado que permita su retracción.

Uno o más de los siguientes permisos de Trustee para una función:

  • Asignar función a usuario

  • Asignar función a usuario y grupo

  • Actualizar función

  • Revocar función de usuario

  • Revocar función de grupo y contenedor

El siguiente permiso de Trustee para un recurso:

  • Revocar recurso

Ver comentarios del flujo de trabajo para las peticiones de función o recurso

El iniciador o el destinatario.

Ver función o Ver recurso.