Novell Documentation: Novell Identity Manager 3

21.3 Seguridad de la provisión

Cuando un usuario se registra en la aplicación de usuario del Gestor de identidades, el sistema de usuario lo autentica y define los controles de acceso que permiten proteger los objetos de flujo de trabajo y de provisión contra un uso no autorizado. De esta manera, se garantiza que el usuario sólo vea las definiciones de petición de provisión sobre las que tiene otorgado derecho de acceso. Además de ejecutar servicios de autenticación y de autorización para la aplicación de usuario, el sistema de seguridad se encarga de gestionar las asignaciones de apoderados (proxy) y delegados.

Un delegado es un usuario autorizado a realizar trabajo de otro usuario. Una asignación de delegado se aplica a una definición de petición de provisión concreta.
Un apoderado (proxy) es un usuario autorizado a realizar cualquier trabajo de uno o varios usuarios, grupos o contenedores. A diferencia de las asignaciones de delegado, las asignaciones de apoderado (proxy) no dependen de las definiciones de peticiones de provisión y, por lo tanto, se aplican a todos los trabajos y valores.

Si el registro está habilitado, las acciones que llevan a cabo apoderados (proxy) o delegados se registran junto con las acciones llevadas a cabo por otros usuarios. Cuando un apoderado (proxy) o un delegado lleva a cabo una acción, el mensaje de registro indica claramente que la acción la ha llevado a cabo un apoderado (proxy) o un delegado de otro usuario. Además, cada vez que se define una asignación de apoderado (proxy) o de delegado, se registra también el evento.

Si se configura una definición de petición de provisión para generar notificaciones por correo electrónico, los apoderados (proxy) y los receptores recibirán las notificaciones por correo electrónico. Los delegados no se incluyen en las notificaciones por correo electrónico.

Funciones de seguridad del flujo de trabajo El sistema de seguridad reconoce las funciones de seguridad siguientes:

Función	Descripción	Derechos
Administrador de la aplicación de usuario	Usuario superAdmin con derechos administrativos completos.	El administrador de la aplicación de usuario tienen permiso para ejecutar las tareas siguientes en iManager: Configurar las peticiones de provisión Gestionar los flujos de trabajo que ya se están procesando El administrador de la aplicación de usuario tiene permiso para ejecutar estas tareas dentro de la aplicación de usuario: Ver y editar todas las tareas de todas las colas de flujos de trabajo. Definir las asignaciones de apoderados (proxy) y delegados para cualquier usuario del sistema. Ver la información oculta (atributos ocultos) de cualquier usuario del sistema. Crear supervisores de grupos de tareas y asignarlos a grupos. El administrador de la aplicación de usuario es el único usuario que puede crear y asignar supervisores de grupos de tareas. NOTA:La pestaña Administración de la aplicación de usuario del Gestor de identidades proporciona herramientas para asignar derechos de administración de la aplicación de usuario. Para utilizar dicha pestaña, es preciso registrarse como el usuario que, en el momento de la instalación, se especificó como administrador de la aplicación de usuario. Para obtener información detallada acerca de las funciones de seguridad de la aplicación de usuario, consulte Sección 11.0, Configuración de la seguridad.
Supervisor administrativo	Supervisor de un empleado. Cada usuario tiene únicamente un supervisor administrativo. SUGERENCIA:También se puede considerar que el supervisor administrativo es un tipo de gestor administrativo.	El supervisor administrativo tiene permiso para: Ver todas las tareas que se encuentran en las colas de trabajo de su equipo. Esta función se aplica a un único nivel de la jerarquía de gestión, por lo que el supervisor del supervisor administrativo no puede ver las tareas de los empleados directos del supervisor administrativo. Editar tareas para empleados directos, salvo en el caso de que un empleado directo tenga una tarea asignada a un grupo cuyo supervisor de grupos de tareas no sea el supervisor administrativo. En dicho caso, el supervisor administrativo podrá ver la tarea, pero no editarla. Si se traspasa la actividad, las tareas pasarán al supervisor de grupos de tareas y no al supervisor administrativo. Reclamar tareas y cancelar la reclamación de tareas, así como reasignar tareas a miembros de su equipo. Definir relaciones de apoderado (proxy) y delegado para sí mismo y para los miembros de su equipo. Ver los atributos ocultos de los miembros de su equipo.
Supervisor de grupos de tareas	Responsabilidad proporcionada por el usuario sobre un conjunto de tareas asociado a un grupo de tareas. Un grupo de tareas es una extensión del objeto Grupo LDAP. Cada grupo de tareas puede tener únicamente un supervisor de grupos de tareas. El administrador de la aplicación de usuario asigna los supervisores de grupos de tareas. Cuando se asigna una tarea a un grupo, el atributo srvrprvTaskManager para el grupo contiene el DN del usuario que es el supervisor de grupos de tareas designado. A fin de mejorar el rendimiento, los supervisores de grupos de tareas también están identificados mediante un atributo en el objeto Usuario. El atributo srvprvIsTaskManager se define en true para un usuario que sea supervisor de grupos de tareas designado.	El supervisor de grupos de tareas tiene permiso para: Ver y editar todas las tareas asignadas a un grupo del cual sea el líder designado. El supervisor de grupos de tareas no tiene permiso para: Crear recursos ni retraer peticiones. Definir relaciones de apoderados (proxy) o delegados. Ver los atributos ocultos de los miembros de su equipo.

Función

Descripción

Derechos

Administrador de la aplicación de usuario

Usuario superAdmin con derechos administrativos completos.

El administrador de la aplicación de usuario tienen permiso para ejecutar las tareas siguientes en iManager:

Configurar las peticiones de provisión
Gestionar los flujos de trabajo que ya se están procesando

El administrador de la aplicación de usuario tiene permiso para ejecutar estas tareas dentro de la aplicación de usuario:

Ver y editar todas las tareas de todas las colas de flujos de trabajo.
Definir las asignaciones de apoderados (proxy) y delegados para cualquier usuario del sistema.
Ver la información oculta (atributos ocultos) de cualquier usuario del sistema.
Crear supervisores de grupos de tareas y asignarlos a grupos. El administrador de la aplicación de usuario es el único usuario que puede crear y asignar supervisores de grupos de tareas.

NOTA:La pestaña Administración de la aplicación de usuario del Gestor de identidades proporciona herramientas para asignar derechos de administración de la aplicación de usuario. Para utilizar dicha pestaña, es preciso registrarse como el usuario que, en el momento de la instalación, se especificó como administrador de la aplicación de usuario.

Para obtener información detallada acerca de las funciones de seguridad de la aplicación de usuario, consulte Sección 11.0, Configuración de la seguridad.

Supervisor administrativo

Supervisor de un empleado. Cada usuario tiene únicamente un supervisor administrativo.

SUGERENCIA:También se puede considerar que el supervisor administrativo es un tipo de gestor administrativo.

El supervisor administrativo tiene permiso para:

Ver todas las tareas que se encuentran en las colas de trabajo de su equipo. Esta función se aplica a un único nivel de la jerarquía de gestión, por lo que el supervisor del supervisor administrativo no puede ver las tareas de los empleados directos del supervisor administrativo.
Editar tareas para empleados directos, salvo en el caso de que un empleado directo tenga una tarea asignada a un grupo cuyo supervisor de grupos de tareas no sea el supervisor administrativo. En dicho caso, el supervisor administrativo podrá ver la tarea, pero no editarla. Si se traspasa la actividad, las tareas pasarán al supervisor de grupos de tareas y no al supervisor administrativo.
Reclamar tareas y cancelar la reclamación de tareas, así como reasignar tareas a miembros de su equipo.
Definir relaciones de apoderado (proxy) y delegado para sí mismo y para los miembros de su equipo.
Ver los atributos ocultos de los miembros de su equipo.

Supervisor de grupos de tareas

Responsabilidad proporcionada por el usuario sobre un conjunto de tareas asociado a un grupo de tareas. Un grupo de tareas es una extensión del objeto Grupo LDAP. Cada grupo de tareas puede tener únicamente un supervisor de grupos de tareas.

El administrador de la aplicación de usuario asigna los supervisores de grupos de tareas.

Cuando se asigna una tarea a un grupo, el atributo srvrprvTaskManager para el grupo contiene el DN del usuario que es el supervisor de grupos de tareas designado. A fin de mejorar el rendimiento, los supervisores de grupos de tareas también están identificados mediante un atributo en el objeto Usuario. El atributo srvprvIsTaskManager se define en true para un usuario que sea supervisor de grupos de tareas designado.

El supervisor de grupos de tareas tiene permiso para:

Ver y editar todas las tareas asignadas a un grupo del cual sea el líder designado.

El supervisor de grupos de tareas no tiene permiso para:

Crear recursos ni retraer peticiones.
Definir relaciones de apoderados (proxy) o delegados.
Ver los atributos ocultos de los miembros de su equipo.

NOTA:Todos los usuarios pueden ver los atributos ocultos asociados a su propia identidad.

Definición de las relaciones de apoderados (proxy) y delegados. Para definir una asignación de apoderado (proxy) para un usuario, utilice la página Asignaciones de apoderado (proxy) del equipo en la pestaña Peticiones y aprobaciones de la interfaz de usuario del Gestor de identidades. Para definir una asignación de delegado para un usuario, utilice la página Asignaciones del delegado del equipo que también está disponible en la pestaña Peticiones y aprobaciones.

Creación de supervisores de grupos de tareas Para definir un supervisor de grupos de tareas, utilice la página Crear usuario o grupo de la pestaña Autoservicio de identidades de la interfaz de usuario del Gestor de identidades.

Para obtener información completa acerca de cómo definir los supervisores de grupos de tareas, apoderados (proxy) y delegados, consulte el manual Aplicación de usuario del Gestor de identidades: Guía del usuario.