x

Normalmente, el sujeto de una regla es el grupo. Existe la opción de asignar una regla a un usuario individual, aunque, generalmente, no se recomienda, ya que la administración individualizada de las reglas puede resultar muy compleja. Es más sencillo cambiar las reglas que afectan al usuario, añadiéndolo al grupo o eliminándolo, que modificarlas directamente. Este tema da por sentado que su directiva de seguridad está basada en grupos, aunque siempre puede refinarla mediante reglas individuales.

Las plantillas de dominio establecen cuatro roles (usuario básico, usuario avanzado, desarrollador, administrador de grupos) que se implementan como subgrupos anidados, bajo el grupo principal del dominio. Las funciones que puede llevar a cabo el usuario básico están determinadas por las reglas asociadas al rol básico, mientras que las de los usuarios avanzados dependen de las reglas asociadas al rol básico y al rol avanzado. Las capacidades avanzadas incluyen las capacidades de los usuarios básicos, y las de los desarrolladores incluyen las capacidades avanzadas, como se indica en el siguiente diagrama. Los administradores de grupos no pueden ejecutar informes ni ver la salida de la biblioteca, para evitar, de esta forma, que sus capacidades se solapen con las de otros subgrupos.

Los roles anidados simplifican el diseño de directivas. El usuario sólo tiene que pertenecer a uno de estos grupos para disfrutar de todas las capacidades correspondientes a su tipo. Además, si es necesario que el usuario disponga de un conjunto combinado de capacidades, puede añadirlo a los grupos de Administrador de grupos y a uno de los otros grupos. Las reglas pueden aplicarse al grupo principal para permitir que sus usuarios compartan el contenido con el resto, o conceder a los administradores de grupos el control sobre ese grupo principal y sus subgrupos.

También puede repartir las capacidades del usuario en distintos roles, sin privilegios solapados. Aunque este modelo es el más flexible, también es el más difícil de gestionar debido a la multitud de roles y reglas que componen las capacidades de cada usuario.

Además, puede que sea necesario utilizar grupos de infraestructura para organizar a los usuarios que requieran acceso a todos los recursos del sistema. Por ejemplo, los grupos de Administradores y Control de cambios están autorizados para exportar recursos por el repositorio, pero no pueden ejecutarlos ni borrarlos.

Para más información sobre los grupos, consulte Cómo gestionar usuarios y grupos.

x

Los roles se utilizan para combinar los privilegios más utilizados, en un conjunto. A continuación, una regla de seguridad se encarga de permitir o denegar el rol de un sujeto en un recurso, como se indica en la siguiente imagen.

Después de determinar cómo se van a organizar los usuarios en los grupos, puede diseñar los roles más útiles para estos grupos. Si hay un grupo por cada tipo de usuario, como sucede con las plantillas de dominio, empiece por crear un rol para cada tipo de usuario. A continuación, cree reglas que permitan o denieguen el acceso a un recurso determinado, desde sus respectivos grupos.

Por ejemplo, las plantillas de dominio ya crean una regla que concede el rol DomainBasicUser al grupo BasicUser, en la carpeta del dominio y sus elementos secundarios. El grupo AdvancedUser tiene permiso para utilizar el rol DomainAdvancedUser, en la carpeta del dominio y sus elementos secundarios. Puede diseñar reglas similares que permitan que los subgrupos personalizados tengan acceso al portal o página de un dominio, y al portal común. Para garantizar el acceso de los desarrolladores al Servidor de informes, establezca una regla que asigne el rol Domain Developer al grupo Desarrollador, en el nodo de Servidor de informes, situado en el árbol de recursos.

Puede asignar un rol a varias reglas, por ejemplo, cuando quiere conceder privilegios a un grupo en distintos tipos de recursos. Si quiere que los desarrolladores dispongan de privilegios en una carpeta, en un portal y en un nodo de Servidor de informes, cree un rol que combine los privilegios correspondientes y, a continuación, establezca una regla independiente para cada recurso. WebFOCUS ignora los privilegios que no afecten a un subsistema determinado. Además, puede crear un rol independiente para los desarrolladores, en cada recurso, que combine únicamente los privilegios correspondientes al subsistema IBFS asociado. En este caso, crearía un rol para los desarrolladores que especifique la carpeta, otro que especifique el portal y un rol que especifique el nodo de Servidor de informes. Sin embargo, resulta más fácil mantener un único rol.

Nota: Las reglas que incorporan privilegios de sesión no deben utilizarse con las reglas establecidas en las ramas inferiores del subsistema WFC. WebFOCUS deja de buscar (por defecto) privilegios de sesión a partir de una determinada profundidad, para reducir la utilización de recursos del sistema. Aunque no es recomendable, los administradores de sistemas pueden modificar la profundidad de búsqueda.

Para más información sobre cómo modificar la profundidad de búsqueda, consulte Propiedades de seguridad. Para más información acerca de los roles, consulte Cómo gestionar los roles.

x

Cuantas menos reglas tenga un sistema, más fácil es de entender y de mantener. El número de reglas que compone la directiva de seguridad depende de multitud de factores, como los subsistemas que quiere exponer a los usuarios, el número de roles requerido por su organización o la cantidad de dominios disponibles. Para limitar el número de reglas en el sistema, aplique las reglas al nivel más alto posible de la jerarquía IBFS. Normalmente, esto implica permitir el uso de privilegios en el nivel más alto posible, y prohibirlo en los niveles inferiores, de acorde a las circunstancias.

Como ejemplo, atienda al siguiente escenario, en el que todo el mundo tiene acceso a todos los recursos de una instalación, y los usuarios finales sólo pueden hacer dos cosas: desarrollar informes o ejecutarlos. Para implementar este escenario, simplemente tiene que usar dos grupos y dos reglas. Los grupos se llaman Desarrollador de informes y Ejecutor de informes, respectivamente. Las dos reglas quedan colocadas en el nodo de raíz IBFS y, por tanto, afectan a todas las carpetas de contenidos, portales, y recursos del Servidor de informes. Una regla asigna el rol de Desarrollador de informes al grupo de idéntico nombre, en la carpeta de raíz IBFS y todos sus elementos secundarios, mientras que la otra regla hace lo mismo con el rol de Ejecutor de informes, en el mismo ámbito. Haciendo uso de una sola regla puede ocultar el nodo de Servidor de informes del grupo Ejecutor de informes, denegando el rol de Lista a dicho grupo, en ese nodo.

Con frecuencia, los distintos grupos requieren acceso a recursos diferentes. La directiva de seguridad proporcionada por las plantillas de dominio son compatibles con este requisito. En cada dominio, los grupos disponen de acceso a sus propios recursos; ningún grupo está asociado a reglas situadas por encima de las carpetas y portales del dominio. Puede aplicar reglas especializadas para ajustar la directiva y hacerla compatible con otras necesidades, como ocultar determinadas carpetas y páginas de portal.

Uno de los requisitos comunes establece que los usuarios puedan utilizar los contenidos de un contenedor, pero no modificar el contenedor mismo. Por ejemplo, puede que los desarrolladores necesiten crear y borrar carpetas de Ventas, sin por ello tener la capacidad de borrarla. Para garantizar esto, restrinja los privilegios de un modo específico, con una regla exclusiva para la carpeta. Las plantillas de dominio restringen, de esta forma, las funciones de los desarrolladores de dominios y administradores de grupos, previniendo la eliminación de los contenedores que definen sus límites de seguridad, como sucede con las carpetas bajo su control administrativo.

Para más información sobre las reglas, consulte Cómo administrar reglas.

x

WebFOCUS permite delegar la responsabilidad de muchas funciones administrativas:

• Cómo crear grupos y usuarios.
• Cómo asignar usuarios a grupos.
• La creación de reglas de seguridad limitadas, como denegar el acceso a los miembros de un grupo especial.
• La gestión del contenido privado de los usuarios.
• La reasignación de la propiedad de recursos, como las programaciones e informes.

Las plantillas de dominio proporcionan dos ejemplos de cómo afrontar el diseño de una directiva de administración de grupos. En las plantillas de dominio empresarial, los administradores de grupos pueden ver a todos los usuarios de WebFOCUS, desde el Centro de Seguridad, y añadir a cualquiera de éstos a los grupos que gestionan. Sin embargo, en las plantillas de dominio de inquilinos SaaS, los administradores de grupos sólo pueden ver y gestionar las suscripciones de los usuarios de su grupo de inquilinos. Esta diferencia en cuanto a la directiva se implementa con un simple cambio: decida si quiere aplicar la reglas que permite el rol DomainGroupAdminScope al grupo EVERYONE o al grupo de inquilinos. De manera similar, la regla que concede el rol de Administrar usuarios para los administradores de grupos empresariales, en su grupo principal, también les permite crear usuarios.

Para más información sobre los grupos, consulte Cómo gestionar usuarios y grupos.

x

Le recomendamos que utilice las reglas de IBFS para ocultar o exponer los nodos de Servidor de informes, según sea necesario, y al mismo tiempo proteja los recursos específicos de los servidores mediante el uso de roles y características de control de acceso. Las reglas aplicadas a los recursos del Servidor de informes situados por debajo del nodo, no afectan a los demás elementos que aparecen en la interfaz de usuario WebFOCUS. Sólo afectan a la vista del árbol de recursos. Las funciones de Control de acceso del Servidor de informes ofrecen un mayor control de seguridad sobre las propiedades del motor de servidores, como los comandos de pass-through SQL o los del sistema operativo, y las carpetas de aplicaciones que contienen metadatos y datos cargados.

x

La seguridad IBFS gobierna los recursos del repositorio WebFOCUS y de algunas fuentes externas, como los nodos de servidor de informes. Sin embargo, el acceso a las filas de datos de una base de datos o los nombres de los campos de metadatos WebFOCUS está gobernado por las características de la Seguridad de datos WebFOCUS (DBA). Puede utilizar estas características de seguridad pasando el ID de usuario WebFOCUS y grupos de usuarios autenticados al Servidor de informes.

Para más información acerca de cómo intercambiar información entre el Cliente y el Servidor de informes WebFOCUS, consulte Detalles sobre el procesamiento central del servidor de informes WebFOCUS.