La directiva efectiva para el usuario es la derivación de todas las reglas aplicables y aplicadas a éste. Cuando el usuario intenta acceder a un recurso, WebFOCUS evalúa todas las reglas de seguridad aplicables, pertinentes, y determina la directiva efectiva para el usuario, en el recurso.
La directiva efectiva se evalúa determinando, primero, cuáles son las reglas pertinentes al sujeto y recurso determinados, incluyendo:
Ningún grupo tiene prioridad sobre el resto; las reglas de usuario tampoco tienen prioridad sobre las de grupo.
x
Los privilegios se encuentran configurados por defecto en No establecido, lo que indica que no se permite su uso. El privilegio puede estar explícitamente permitido o denegado.
Se emplea el siguiente orden de prioridad para determinar la directiva efectiva correspondiente a un recurso, en un nivel particular:
- Denegación anulada
- Denegado
- Permitido
- No establecido
Al descender por un árbol de recursos, la directiva efectiva de cualquier nivel determinado sólo podrá establecerse en Denegado, Permitido o No establecido, en este orden de prioridad.
x
A excepción de los privilegios de sesión, cualquier privilegio que esté configurado en permitido y denegado, al mismo tiempo, quedará denegado. Esto puede ocurrir de varias formas:
- El privilegio está permitido en una carpeta de nivel superior, pero denegado en una subcarpeta.
- El privilegio está permitido a través de un grupo explícito al que pertenece el usuario, pero denegado a través de otro.
- El privilegio está permitido en un grupo explícito al que pertenece el usuario, pero denegado en el grupo principal (implícito).
En privilegios de sesión, el conflicto entre permitido y denegado resulta en que el privilegio quede permitido. Esto se debe a que los privilegios de sesión gobiernan el acceso a herramientas que pueden ser necesarias en varios sitios. Por ejemplo, si puede ejecutar informes en diferido en la carpeta Sales, pero no en la de Finance, tendrá que seguir accediendo a la interfaz de Estado diferido para poder ver sus informes diferidos, en la carpeta Sales.
x
Las reglas de Denegación anulada se imponen a las reglas de Denegado. Esto es útil a la hora de resolver situaciones inesperadas: por ejemplo, si el miembro de un grupo necesita utilizar un recurso cuyo acceso se encuentra denegado para el grupo. El mejor ejemplo lo encontramos en la regla por defecto que anula la denegación del rol de Control completo para los miembros del grupo Administradores, en IBFS:/ (sistema de archivos completo), en el ámbito de la carpeta y sus elementos secundarios. Esta regla sirve para proteger a los administradores ante posibles pérdidas de control de recursos, en el sistema, debido a cualquier regla denegada que afecte al grupo EVERYONE.
Nota: La regla de Denegación anulada se aplica exclusivamente en una ubicación determinada, permitiendo el uso del privilegio en esa carpeta. La regla retiene la evaluación de Denegado en los elementos secundarios (dependientes) de la carpeta, a menos que se esté aplicando otra regla.
x
La regla de Eliminar herencia retira la regla heredada de un rol, en un recurso, y cambia el acceso a éste a No establecido. Cuando un usuario tiene varios roles con privilegios en conflicto, los privilegios compartidos con el rol que se acaba de eliminar se evalúan como No establecido.
x
Procedimiento: Cómo Consultar la directiva efectiva de un usuario en un recurso
El cuadro de diálogo de Directiva efectiva indica el motivo por el cual el usuario no dispone de una capacidad determinada. Para poder ver la directiva efectiva de otros usuarios, debe contar con los siguientes privilegios:
- Ver reglas de un recurso, que habilita las opciones de Reglas de este recurso y Directiva efectiva, en el menú de contexto de Seguridad.
- Administrar reglas de recursos, que habilita la opción de Reglas, en el menú de contexto de Seguridad.
Los usuarios que sólo dispongan del privilegio Ver reglas de un recurso podrán consultar la directiva efectiva por sí solos, en determinados recursos. Si el usuario no cuenta con los privilegios adecuados, las opciones para la visualización y administración de reglas y de directiva efectiva no aparecerán en los menús de contexto.
-
Haga un clic derecho en un recurso y seleccione Seguridad, Directiva efectiva.
Aparece el cuadro de diálogo Directiva efectiva, con la directiva efectiva calculada para cada privilegio mostrado en las reglas de este recurso.
Si tiene los privilegios adecuados, puede seleccionar otros usuarios de la lista desplegable de Usuario, y consultar sus directivas efectivas.
-
Para mostrar la directiva efectiva de todos los privilegios del usuario, en este recurso, incluidos los que no se han aplicado al recurso mediante cualquier regla, seleccione Mostrar privilegios.
-
Para ver cómo se ha evaluado la directiva efectiva de un privilegio, seleccione el privilegio, en el cuadro Privilegios.
El cuadro de diálogo de Directiva efectiva muestra la evaluación de directivas correspondiente a todos los grupos de los que es miembro el usuario, en todos los niveles de la jerarquía situados encima del recurso, con la siguiente información de cada nivel:
- Elemento de ruta.
- Directiva efectiva. El acceso establecido para esta carpeta combinando todas las reglas aplicables.
- Asunto.
- Rol.
- Acceso. El acceso establecido para esta carpeta por las reglas directamente aplicables en este nivel de la jerarquía.
- Aplicar en. Indica si la directiva afecta únicamente a la carpeta del elemento de ruta, a la carpeta y sus elementos secundarios o a los elementos de la carpeta del elemento de ruta.
-
Para producir una versión con texto enriquecido de la información mostrada en el cuadro de diálogo, seleccione un privilegio y pulse Crear informe.