Cuando un usuario se registra en la aplicación de usuario del Gestor de identidades, el sistema de usuario lo autentica y define los controles de acceso que permiten proteger los objetos de flujo de trabajo y de provisión contra un uso no autorizado. De esta manera, se garantiza que el usuario sólo vea las definiciones de petición de provisión sobre las que tiene otorgado derecho de acceso. Además de ejecutar servicios de autenticación y de autorización para la aplicación de usuario, el sistema de seguridad se encarga de gestionar las asignaciones de apoderados (proxy) y delegados.
Si el registro está habilitado, las acciones que llevan a cabo apoderados (proxy) o delegados se registran junto con las acciones llevadas a cabo por otros usuarios. Cuando un apoderado (proxy) o un delegado lleva a cabo una acción, el mensaje de registro indica claramente que la acción la ha llevado a cabo un apoderado (proxy) o un delegado de otro usuario. Además, cada vez que se define una asignación de apoderado (proxy) o de delegado, se registra también el evento.
Si se configura una definición de petición de provisión para generar notificaciones por correo electrónico, los apoderados (proxy) y los receptores recibirán las notificaciones por correo electrónico. Los delegados no se incluyen en las notificaciones por correo electrónico.
Funciones de seguridad del flujo de trabajo El sistema de seguridad reconoce las funciones de seguridad siguientes:
Función |
Descripción |
Derechos |
---|---|---|
Administrador de la aplicación de usuario |
Usuario superAdmin con derechos administrativos completos. |
El administrador de la aplicación de usuario tienen permiso para ejecutar las tareas siguientes en iManager:
El administrador de la aplicación de usuario tiene permiso para ejecutar estas tareas dentro de la aplicación de usuario:
NOTA:La pestaña Administración de la aplicación de usuario del Gestor de identidades proporciona herramientas para asignar derechos de administración de la aplicación de usuario. Para utilizar dicha pestaña, es preciso registrarse como el usuario que, en el momento de la instalación, se especificó como administrador de la aplicación de usuario. Para obtener información detallada acerca de las funciones de seguridad de la aplicación de usuario, consulte Sección 11.0, Configuración de la seguridad. |
Supervisor administrativo |
Supervisor de un empleado. Cada usuario tiene únicamente un supervisor administrativo. SUGERENCIA:También se puede considerar que el supervisor administrativo es un tipo de gestor administrativo. |
El supervisor administrativo tiene permiso para:
|
Supervisor de grupos de tareas |
Responsabilidad proporcionada por el usuario sobre un conjunto de tareas asociado a un grupo de tareas. Un grupo de tareas es una extensión del objeto Grupo LDAP. Cada grupo de tareas puede tener únicamente un supervisor de grupos de tareas. El administrador de la aplicación de usuario asigna los supervisores de grupos de tareas. Cuando se asigna una tarea a un grupo, el atributo srvrprvTaskManager para el grupo contiene el DN del usuario que es el supervisor de grupos de tareas designado. A fin de mejorar el rendimiento, los supervisores de grupos de tareas también están identificados mediante un atributo en el objeto Usuario. El atributo srvprvIsTaskManager se define en true para un usuario que sea supervisor de grupos de tareas designado. |
El supervisor de grupos de tareas tiene permiso para:
El supervisor de grupos de tareas no tiene permiso para:
|
NOTA:Todos los usuarios pueden ver los atributos ocultos asociados a su propia identidad.
Definición de las relaciones de apoderados (proxy) y delegados. Para definir una asignación de apoderado (proxy) para un usuario, utilice la página Asignaciones de apoderado (proxy) del equipo en la pestaña Peticiones y aprobaciones de la interfaz de usuario del Gestor de identidades. Para definir una asignación de delegado para un usuario, utilice la página Asignaciones del delegado del equipo que también está disponible en la pestaña Peticiones y aprobaciones.
Creación de supervisores de grupos de tareas Para definir un supervisor de grupos de tareas, utilice la página Crear usuario o grupo de la pestaña Autoservicio de identidades de la interfaz de usuario del Gestor de identidades.
Para obtener información completa acerca de cómo definir los supervisores de grupos de tareas, apoderados (proxy) y delegados, consulte el manual Aplicación de usuario del Gestor de identidades: Guía del usuario.