21.1 Acerca de la provisión basada en el flujo de trabajo

Una función clave del Gestor de identidades es la provisión basada en el flujo de trabajo, que es el proceso de gestionar el acceso de usuarios a los recursos seguros de una organización. Entre estos recursos se pueden incluir entidades digitales tales como las cuentas de usuario, equipos y bases de datos. En esta versión, los recursos aprovisionados se asignan a los derechos del Gestor de identidades.

El Gestor de identidades puede atender una amplia gama de peticiones de provisión. Dichas peticiones son acciones de usuarios o del sistema cuyo objetivo es otorgar acceso a recursos de la organización (o revocarlo). Los puede iniciar directamente el usuario final a través de la aplicación de usuario del Gestor de identidades o indirectamente en respuesta a eventos que se producen en el repositorio seguro de identidades (eDirectory).

Cuando una petición de provisión requiere permiso de una o varias personas de una organización, la petición inicia un flujo de trabajo. El flujo de trabajo coordina las aprobaciones necesarias para cumplir la petición. Algunas peticiones de provisión requieren la aprobación de una sola persona, mientras que otras requieren la aprobación de varias personas. En algunos casos, una petición se puede cumplir sin ningún tipo de aprobación.

Algunos flujos de trabajo requieren que el proceso sea secuencial, en el que cada paso de aprobación se ejecute secuencialmente. Otros flujos de trabajo dan soporte a un modo de proceso paralelo. Cuando defina una petición de proceso, debe especificar si desea que el flujo de trabajo admita el proceso secuencial o paralelo.

El Gestor de identidades proporciona un conjunto de herramientas basadas en Web que el administrador puede utilizar para crear funciones de provisión en la aplicación de usuario. Dichas herramientas le proporcionan la capacidad de configurar peticiones de provisión y de gestionar flujos de trabajo en proceso. Para configurar una petición de provisión, el administrador crea una definición de petición de provisión que vincula el recurso a un flujo de trabajo.

21.1.1 Arquitectura de alto nivel

El diagrama siguiente muestra la arquitectura de alto nivel del sistema de provisión basado en el flujo de trabajo incluido con el Gestor de identidades:

Descripción: Descripción: Ilustración

En las secciones siguientes se describe cada uno de los componentes de esta arquitectura.

Interfaz Web de provisión

La aplicación de usuario del Gestor de identidades proporciona una interfaz Web a través de la cual, los usuarios finales pueden enviar peticiones de provisión y gestionar estas peticiones una vez han sido enviadas. La aplicación de usuario también proporciona al administrador de la aplicación de usuario o a un supervisor de la organización, la capacidad de asignar delegados y apoderados (proxy) a flujos de trabajo de provisión.

SUGERENCIA:Las acciones de flujo de trabajo y de provisión están disponibles en la pestaña Peticiones y aprobaciones de la aplicación de usuario del Gestor de identidades.

Si desea más información acerca de delegados y apoderados (proxy), consulte Sección 21.3, Seguridad de la provisión. Para obtener información completa acerca de cómo trabajar con la aplicación de usuario, consulte Aplicación de usuario del Gestor de identidades: Guía del usuario.

Herramientas de administración de iManager

iManager proporciona módulos auxiliares que puede utilizar para configurar y gestionar peticiones de provisión y sus flujos de trabajo asociados.

Para configurar una petición de provisión, es preciso asociarla a un recurso aprovisionado, especificar las características de tiempo de ejecución del flujo de trabajo asociado y habilitarla para utilizarla. Una vez se ha iniciado una petición de provisión, puede utilizar iManager para ver el estado del proceso de flujo de trabajo, reasignar actividades dentro del flujo de trabajo o terminar el flujo de trabajo en caso de que se bloquee.

Controlador de la aplicación de usuario del Gestor de identidades

Además de dar soporte a las peticiones de recursos de provisión del usuario final, el Gestor de identidades permite iniciar peticiones de provisión como respuesta a eventos que se producen en eDirectory. El controlador de la aplicación de usuario del Gestor de identidades escucha los eventos y responde iniciando las peticiones de provisión correspondientes. A su vez, dichas provisiones pueden iniciar flujos de trabajo que gestionen el proceso de aprobación. Por ejemplo, el Gestor de identidades, si está configurado para ello, admitirá un caso en el que la adición de un nuevo usuario en eDirectory inicie automáticamente una petición de provisión y un flujo de trabajo designados previamente.

Sistema de provisión

El sistema de provisión ejecuta todo el proceso necesario para iniciar y cumplir las peticiones de provisión. Si una petición necesita una o varias aprobaciones, el sistema de provisión llama, a su vez, al sistema de flujo de trabajo para iniciar el proceso de flujo de trabajo. Una vez otorgadas las aprobaciones necesarias, el sistema de provisión aporta el recurso tal como se ha solicitado.

El sistema de provisión mantiene información acerca de las peticiones de provisión disponibles y pendientes del repositorio seguro de identidades (eDirectory).

Para iniciar una petición o ejecutar el proceso necesario para cumplir una petición, el sistema accede al repositorio seguro de identidades a través del nivel de abstracción del directorio.

Si desea información acerca del nivel de abstracción del directorio , consulte Sección 4.0, Configuración del nivel de abstracción del directorio.

Sistema de flujo de trabajo

Cuando una petición de provisión necesita una o varias aprobaciones, el sistema de provisión coordina el proceso de aprobación. En el curso del proceso, interactúa con los componentes siguientes:

  • Base de datos de flujos de trabajo
  • Motor de guiones
  • Audit
  • SMTP
  • Sistema de seguridad

Base de datos de flujos de trabajo

Para realizar el seguimiento del estado de los flujos de trabajo en proceso, el sistema de flujo de trabajo almacena la información en una base de datos. Dicha base de datos mantiene información acerca de las instancias de procesos de flujos de trabajo, de las listas de trabajo (colas) y de los receptores de flujos de trabajo. Además, almacena los comentarios añadidos durante la ejecución de un proceso de flujo de trabajo.

Motor de guiones

El sistema de flujo de trabajo llama al motor de guiones siempre que un flujo de trabajo incluye una expresión dinámica que debe evaluarse. Las expresiones dinámicas pueden incluir variables, funciones y operadores, así como referencias a entidades del nivel de abstracción del directorio.

Novell Audit

Para registrar información acerca del estado de un proceso de flujo de trabajo, el sistema de flujo de trabajo interactúa con Novell Audit. En el curso del proceso, un flujo de trabajo puede registrar información acerca de diversos eventos que se producen. A continuación, los usuarios pueden utilizar las herramientas de generación de informes de Novell Audit para mirar los datos de registro.

Para obtener información acerca de cómo configurar el registro, consulte Sección 5.0, Configuración de las entradas. Para obtener información acerca de cómo controlar los niveles de registro de los mensajes que desea que la aplicación de usuario del Gestor de identidades genere, consulte Sección 12.0, Configuración del registro.

SMTP

A menudo, un proceso de flujo de trabajo envía notificaciones por correo electrónico a diversos puntos en el transcurso de ejecución. Por ejemplo, se puede enviar un mensaje de correo electrónico cuando se asigna una actividad de flujo de trabajo a un receptor nuevo.

Un administrador puede editar una plantilla de correo electrónico en iManager y utilizar dicha plantilla en un proceso de flujo de trabajo. En el tiempo de ejecución, el sistema de flujo de trabajo la recupera de eDirectory y sustituye las etiquetas con el texto dinámico adecuado para la notificación.

Las notificaciones por correo electrónico se gestionan mediante protocolo simple de transferencia de correo (SMTP)

Si desea información sobre los pasos de configuración básicos de la notificación por correo electrónico, consulte Sección 23.3, Configuración del servidor de correo electrónico y Sección 23.4, Funcionamiento con las plantillas de correo electrónico instaladas. Si desea información sobre cómo configurar la notificación por correo electrónico de un flujo de trabajo, consulte Configuración de las actividades del flujo de trabajo.

Seguridad

El sistema de seguridad gestiona todos los aspectos relativos a la seguridad de una aplicación de provisión basada en flujos de trabajo.

Para obtener más información acerca de la seguridad de los flujos de trabajo, consulte Sección 21.3, Seguridad de la provisión.

21.1.2 Ejemplo de provisión y de flujo de trabajo

Supongamos que un usuario necesita una cuenta en un sistema de TI. Para configurar la cuenta, el usuario inicia una petición a través de la aplicación de usuario del Gestor de identidades. Dicha petición inicia un flujo de trabajo, que coordina un proceso de aprobación. Una vez otorgadas las aprobaciones necesarias, la petición se cumple. El proceso tiene tres pasos básicos, tal como se indica a continuación.

Paso 1: Inicio de la petición

En la aplicación de usuario Gestor de identidades, el usuario examina una lista de recursos por categoría y selecciona una para la provisión. En el repositorio seguro de identidades, el recurso aprovisionado seleccionado se asocia a una definición de petición de provisión. La definición de petición de provisión es el objeto más prominente de un sistema de provisión. Asocia un recurso aprovisionado a un flujo de trabajo y actúa como medio a través del cual el proceso de flujo de trabajo se expone al usuario final. La definición de la petición de provisión proporciona toda la información necesaria para mostrar el formulario de petición inicial al usuario y para iniciar el flujo que sigue a la petición inicial.

En este ejemplo, el usuario selecciona el recurso Cuenta nueva. Cuando el usuario inicia la petición, la aplicación Web recupera el formulario inicial de la petición y la descripción de los datos iniciales de la petición asociados del Sistema de provisión el cual, a su vez, obtiene estos objetos de la definición de petición de provisión.

Cuando se inicia una petición de provisión, el Sistema de provisión realiza un seguimiento del iniciador y del destinatario. El iniciador es la persona que ha realizado la petición. El destinatario es la persona para la que se ha realizado la petición. En algunos casos, el iniciador y el destinatario pueden ser la misma persona.

Cada petición de provisión tiene una operación asociada. La operación especifica si el usuario desea otorgar o revocar el recurso.

Paso 2: Aprobación de la petición

Una vez el usuario ha iniciado una petición, el Sistema de provisión inicia el proceso de flujo de trabajo. El proceso de flujo de trabajo coordina las aprobaciones. En este ejemplo, se necesitan dos niveles de aprobación; uno del gestor del usuario y otro del supervisor del gestor. Si algún usuario del flujo de trabajo rechaza la aprobación, el flujo terminará y se denegará la petición.

NOTA:El Gestor de identidades se entrega con un conjunto de plantillas de provisión que admiten un máximo de cinco niveles de aprobación del flujo de trabajo. En una versión de seguimiento del Gestor de identidades, el entorno de diseño basado en Eclipse proporciona las herramientas que permiten crear procesos de flujo de trabajo personalizados propios. Si desea más información acerca de las plantillas que se entregan con esta versión, consulte Sección 22.2, Funcionamiento con las plantillas instaladas.

Los flujos de trabajo pueden procesar las aprobaciones de forma secuencial o paralela. En un flujo de trabajo secuencial, cada tarea de aprobación debe procesarse antes de que empiece la tarea de aprobación siguiente. En un flujo de trabajo paralelo, los usuarios pueden trabajar simultáneamente en las tareas de aprobación.

Flujo secuencial A continuación, mostramos el patrón de diseño básico de un flujo de trabajo secuencial con dos aprobaciones:

Descripción: Descripción: Ilustración

Flujo paralelo A continuación, mostramos el patrón de diseño básico de un flujo de trabajo paralelo con dos aprobaciones:

Descripción: Descripción: Ilustración

NOTA:Las etiquetas de visualización (Primera aprobación, Segunda aprobación, etc.) se pueden cambiar fácilmente para adaptarlas a los requisitos de la aplicación. En el caso de los flujos paralelos, puede especificar etiquetas que no impliquen un proceso secuencial. Por ejemplo, puede asignar etiquetas como Una de tres aprobaciones paralelas, Dos de tres aprobaciones paralelas, etc.

La definición de flujo de trabajo está formada por los componentes siguientes

Componentes del proceso

Descripción

Actividades

Una actividad es un objeto que representa una tarea. La actividad puede presentar información al usuario y responder a las interacciones de éste o ejecutar funciones en segundo plano que el usuario no puede ver.

En los ejemplos de flujo de trabajo anteriores, las actividades se presentan por recuadros.

En la aplicación de usuario del Gestor de identidades, las actividades de usuario que gestionan el proceso de aprobación se denominan tareas. Un usuario final puede ver la lista de tareas de su cola, haciendo clic en Mis tareas en el grupo de acciones Mi trabajo. Para ver qué actividades del flujo de trabajo se han procesado para una tarea determinada, el usuario puede seleccionar la tarea y hacer clic en el botón Ver historial de comentarios del formulario Información de la tarea.

Para ver qué actividades del flujo de trabajo se han procesado para una petición de provisión determinada, el usuario puede hacer clic en Mis peticiones, seleccionar la petición y hacer clic en el botón Ver comentario e historial del flujo del formulario Información de la petición.

Si desea información acerca de las acciones Mis tareas y Mis peticiones, consulte Aplicación de usuario del Gestor de identidades: Guía del usuario.

Enlaces

Los enlaces vinculan entre sí las actividades de un flujo de trabajo. Un enlace representa la vía que debe seguirse entre dos actividades.

Una actividad puede tener varios enlaces de entrada y varios enlaces de salida. Cuando una actividad tiene más de un enlace de salida, el enlace seleccionado dependerá del resultado de la actividad. El resultado es el resultado final del proceso efectuado por la actividad. Por ejemplo, una actividad Usuario puede tener el resultado aprobado o denegado, según la acción que ejecute el usuario.

En los ejemplos de flujo de trabajo anteriores, los enlaces se representan mediante flechas.

Actividad de inicio El proceso del flujo de trabajo empieza por la ejecución de la actividad de inicio. Esta actividad inicializa un documento de trabajo con los datos de la petición inicial. Asimismo, asocia varios valores del sistema como el iniciador y el destinatario, para que se puedan utilizar en las expresiones de guión.

Actividades de usuario Cuando finaliza la ejecución de la actividad de inicio, el Sistema de flujo de trabajo remite el proceso a la primera actividad de usuario en el flujo. Una actividad de usuario es una actividad que admite interacciones del usuario. Para gestionar dichas interacciones, la actividad muestra un formulario que permite que el usuario actúe en la petición. En los ejemplos de flujo de trabajo anteriores, First approval (Primera aprobación) y Second approval (Segunda aprobación) son ejemplos de actividades de usuario. Las etiquetas de visualización de las actividades de usuario se pueden localizar para satisfacer requisitos internacionales.

Una actividad de usuario puede admitir una o varias de las acciones siguientes:

  • Reclamar
  • Aprobar
  • Denegar
  • Rechazar
  • Reasignar (disponible únicamente para los supervisores administrativos y los administradores de la aplicación de usuario)

NOTA:Los campos y los botones del formulario varían en función del recurso solicitado y de cómo se ha configurado el flujo de trabajo. Por ejemplo, la acción Rechazar, no tiene soporte de varias de las plantillas que se entregan con el producto.

Una actividad de usuario puede tener cinco resultados posibles:

  • Aprobado
  • Denegado
  • Rechazado
  • Error
  • Tiempo límite

NOTA:Los resultados Error y Tiempo límite pueden producirse sin que el usuario haya llevado a cabo ninguna acción.

Si el usuario aprueba la petición, el flujo de trabajo remite el control a su siguiente actividad. Si no se necesita ninguna aprobación más, se aprovisionará el recurso. Si el usuario deniega la petición, el elemento de trabajo se remite a la actividad siguiente del flujo de trabajo y la petición se denegará. Por otra parte, el usuario puede volver a asignar la tarea (si es supervisor administrativo o administrador de la aplicación de usuario), lo que pondrá el elemento de trabajo en la cola de otro usuario.

NOTA:Las plantillas de petición de provisión están configuradas para terminar un proceso de flujo de trabajo cuando se deniega una petición. Cuando se produce esta situación, el elemento de trabajo se remite a la actividad de finalización, que termina el flujo.

El usuario al que se ha asignado una actividad de usuario se denomina receptor. Al receptor, se le puede notificar la tarea asignada mediante correo electrónico. Para realizar el trabajo asociado a la actividad, el receptor puede hacer clic en la URL en el correo electrónico, encontrar la tarea en la lista de trabajo (cola) y reclamarla.

The addressee must respond to a User activity within a specified amount of time, or the activity times out.El receptor debe responder a una actividad de usuario en un plazo de tiempo estipulado o la actividad alcanzará su tiempo límite.Normalmente, el intervalo de tiempo límite se expresa en horas o días, a fin de que el usuario disponga de tiempo suficiente para responder.

Cuando una actividad alcanza su tiempo límite, el proceso del flujo de trabajo puede intentar volver a completar la actividad, en función de los reintentos especificados. En ocasiones, el proceso de flujo de trabajo puede estar configurado para pasar la actividad que ha alcanzado su tiempo límite a otro usuario. En dicho caso, la actividad se reasigna a un receptor nuevo (por ejemplo, al supervisor del usuario) para dar a este usuario la oportunidad de finalizar el trabajo de la actividad. En caso de que el último reintento alcance su tiempo límite, la actividad se puede marcar como aprobada o denegada, en función de cómo se haya configurado el flujo de trabajo.

Actividades condicionales Durante su ejecución, un proceso de flujo de trabajo puede realizar una prueba y ver cuál será el resultado para saber qué deberá efectuar a continuación. La actividad condicional permite esta capacidad. Las actividades condicionales utilizan una expresión de guión para definir la condición que se va a evaluar. En los ejemplos de flujo de trabajo que mostramos más arriba, Approval Condition (Condición de aprobación) es un ejemplo de actividad condicional.

Las actividades condicionales admiten tres resultados posibles:

  • Verdadero
  • Falso
  • Error

Actividades de fusión y de ramificación En un flujo de trabajo que admita procesos paralelos, la actividad de ramificación permite que dos usuarios actúen en paralelo, en áreas diferentes del elemento de trabajo. Una vez los usuarios han finalizado el trabajo, la actividad de fusión sincronizará las ramas de entrada del flujo.

Actividad de provisión La actividad de provisión completa la petición de provisión. Esta actividad se ejecuta sólo si se han dado todas las aprobaciones necesarias.

Para obtener información acerca del paso de provisión, consulte Paso 3: Cumplimiento de la petición.

Actividad de finalización La actividad de finalización es la actividad que pone fin a un flujo de trabajo. Una vez se han completado todas las actividades de un flujo y se dispone de su resultado final, se ejecuta la actividad de finalización. El Sistema de flujo de trabajo puede determinar el estado final del proceso examinando los enlaces de la actividad de finalización. Por lo general, cuando un enlace de aprobación llega a la actividad de finalización, el estado del flujo es aprobado. Si algún otro resultado (denegación, tiempo límite o error) lleva a la actividad de finalización, el flujo general del estado será denegado.

Cuando un proceso de flujo de trabajo llega a la actividad de finalización con el estado de aprobado, el proceso de aprobación estará completo y se podrá completar la petición de provisión.

Paso 3: Cumplimiento de la petición

Una vez aprobada una petición de provisión, el Sistema de flujo de trabajo puede iniciar el paso de provisión. En este punto, el control se devuelve al sistema de provisión.

Para cumplir la petición de provisión, el sistema de provisión puede ejecutar un derecho del Gestor de identidades o manipular directamente un objeto de eDirectory y sus atributos. Durante el paso de provisión, se crean todos los objetos relacionados y se registran los resultados de la acción de provisión en el destinatario, tal como se describe en la definición de los datos de provisión. En función de si el usuario solicitó una operación de otorgar o revocar, esto puede implicar definir o eliminar el valor de un atributo en el destinatario, o añadir un elemento a un atributo multivalente o eliminar un elemento de un atributo multivalente del destinatario. Los atributos implicados son atributos de eDirectory (posiblemente están disponibles después de añadir una clase auxiliar al destinatario). Los valores de atributo en sí pueden ser simples o de un tipo complejo que permita que el sistema de provisión especifique el valor de subatributos internos.