Autorización externa

Al configurar WebFOCUS para la autorización externa, se utilizan proveedores de seguridad configurados en el Servidor de informes WebFOCUS (WFRS), que consultan una fuente externa en busca de información sobre el usuario que está iniciando la sesión. Esta información puede incluir sus direcciones de e-mail, sus descripciones y sus suscripciones a grupos externos. A continuación, el Servidor de informes devuelve esta información a WebFOCUS, que la utiliza para crear o actualizar sus cuentas de usuario y definir las autorizaciones. El proveedor de seguridad también devuelve otra información externa acerca de los usuarios y grupos a WebFOCUS como apoyo en tareas administrativas; por ejemplo, la obtención de una lista de todos los grupos externos o de los usuarios que pertenecen a un grupo externo.

Nota: Algunas organizaciones gestionan los datos de autorización de forma externa, mediante atributos o roles de perfil de usuario LDAP, en lugar de grupos LDAP. WebFOCUS también es compatible con este método.

Algunos de los escenarios de autorización externa compatibles con WebFOCUS son:

AUTOADD

WebFOCUS ofrece la opción de añadir automáticamente usuarios preautenticados o autenticados de forma externa a WebFOCUS, cuando las cuentas de usuario existen en la fuente externa, pero no en WebFOCUS. Los usuarios añadidos automáticamente pueden iniciar la sesión de WebFOCUS. Los usuarios que existan en el origen externo, pero no en WebFOCUS, y no hayan sido añadidos automáticamente, no podrán entrar a WebFOCUS.

En el Centro de Seguridad, las cuentas WebFOCUS que se hayan creado automáticamente durante el inicio de sesión, tendrán un estado de AUTOADD, en lugar de ACTIVE.

Para más información sobre cómo especificar los usuarios añadidos automáticamente, consulte Propiedades de seguridad.

Proveedores de seguridad

El Servidor de informes WebFOCUS es compatible con muchos proveedores de seguridad simultáneos. Siempre habrá un proveedor de seguridad principal, y puede haber varios proveedores secundarios. Es recomendable que los usuarios del repositorio WebFOCUS estén autorizados a través del proveedor principal.

También es recomendable que PTH esté configurado como proveedor de seguridad secundario, en el Servidor de informes. Esto garantizará que los administradores puedan acceder a la Consola Web del Servidor de informes, incluso cuando la fuente externa, configurada con el proveedor de seguridad principal, no se encuentre disponible.

Además, si especifica una cuenta de servicio con privilegios de administrador de servidores para WebFOCUS, puede que sea preferible utilizar una cuenta que no se encuentre en la fuente externa para el proveedor principal. Las directivas de gobierno, normalmente, requieren que las contraseñas de la fuente externa se cambien de forma regular y nunca se almacenen en archivos de configuración, prohibiéndose el uso de una contraseña sin fecha de caducidad, en cuentas de servicio pertenecientes al proveedor de servicios principal. Para evitar esto, especifique una cuenta PTH con el rol de administrador de servidores, cuya contraseña no caduque.

La configuración de autenticación externa con autorización externa presenta las siguientes limitaciones:

La instalación WebFOCUS sólo permite el uso de un nodo de Servidor de informes para la autenticación externa, autorización externa, o ambas.
Se debe utilizar el mismo proveedor de seguridad de servidor de informes para la autenticación y autorización de un usuario. Esto puede modificarse utilizando la propiedad IBI_WFRS_Group_Provider, que configura un proveedor de sustitución de autorización de uso obligatorio, independientemente del proveedor de autenticación establecido.
Para usar varios proveedores de seguridad de servidor informes en la autorización, añada el proveedor de seguridad secundario como prefijo al ID de usuario WebFOCUS de cualquier individuo asociado al mismo. Por ejemplo, si el Servidor de informes tiene dos proveedores de LDAP, LDAP1 (principal) y LDAP2 (secundario), las cuentas de usuario LDAP1\usuario1 y LDAP2\usuario2 deben crearse como usuario1 y LDAP2\usuario2, respectivamente, en WebFOCUS.

Para más información sobre cómo configurar los proveedores de seguridad del Servidor de informes WebFOCUS, consulte el manual Administración de servidores para UNIX, Windows, OpenVMS, IBM i y z/OS.

Principio de página

Referencia: Lista de llamadas de proveedor de seguridad

WebFOCUS recupera la información de seguridad del servidor de informes, mediante las siguientes solicitudes.

Solicitud WebFOCUS (mostrado en event.log)	Mensaje correspondiente del servidor (mostrado en edaprint.log)	Definición
authConnect	autenticar usuario	Autentica usuarios cuando WebFOCUS tiene configurada la autenticación externa.
getGroupsForUser(userid)	obtener grupos por usuario,id=userid	Recupera la información de autorización externa de los usuarios, cuando inician la sesión de WebFOCUS. Además, produce informes de suscripciones a grupos de los usuarios, en el Centro de Seguridad.
getUsersForGroup (authorizationData)	obtener usuarios por grupo, id=authorizationData	Lista los usuarios de WebFOCUS que pertenecen a un grupo asignado WebFOCUS.
getGroups()	obtener todos los grupos, provider=providerName	Lista toda la información de autorización externa cuando el usuario pulsa Examinar, en el cuadro de diálogo Editar grupo.

Cómo configurar la autorización externa

En esta sección:

Cómo:

Configurar WebFOCUS para la autorización externa

La configuración de la autorización externa requiere una cuenta de administrador WebFOCUS, una cuenta independiente con acceso de superusuario a WebFOCUS y una conexión fiable entre el Cliente y el Servidor de informes de WebFOCUS. Puesto que también son obligatorios para la preautenticación y la autenticación externa, debe estar listo para configurar la autorización externa de manera inmediata. Para más información acerca de cualquier paso, consulte Requisitos previos de pre-autenticación o autenticación externa.

Nota: El ID de usuario de administrador WebFOCUS no tiene por qué existir en la fuente de autorización externa, si la cuenta pertenece al grupo de administradores WebFOCUS no asignado.

Después de cumplir con los requisitos previos, pasamos a la configuración de la autorización externa, que consiste en estos pasos:

Configure uno o varios proveedores de seguridad en el Servidor de informes WebFOCUS, para la fuente externa utilizada en la autorización. El proveedor de seguridad puede tratarse de LDAP, Active Directory o de un proveedor personalizado, como los que autorizan usuarios en un sistema de administración de bases de datos relacionales (RDBMS) o servicio web.
Configure WebFOCUS para que emplee el Servidor de informes en la autorización externa.
Reinicie la aplicación web de WebFOCUS.
Asigne grupos WebFOCUS a los datos de la autorización externa.

Principio de página

Cómo configurar un proveedor de seguridad en el Servidor de informes WebFOCUS

Debe configurar uno o varios proveedores de seguridad en el Servidor de informes WebFOCUS, para la fuente externa utilizada en la autorización. El proveedor de seguridad puede tratarse de LDAP, Active Directory o de un proveedor personalizado, como los que autorizan usuarios en un sistema de administración de bases de datos relacionales (RDBMS) o servicio web.

Principio de página

Cómo configurar un proveedor de seguridad LDAP o Active Directory en el Servidor de informes WebFOCUS

Para autorizar usuarios en base a grupos, roles o valores de atributos de perfil de usuario, recuperados desde un directorio LDAP o Microsoft Active Directory, configure un proveedor de seguridad LDAP en el Servidor de informes WebFOCUS. A continuación, el servidor de informes recupera información sobre los usuarios, grupos, roles o atributos de perfil de usuario, desde el directorio de usuarios externos, y la pasa al Cliente WebFOCUS. El proveedor de seguridad LDAP también puede utilizarse para autenticar credenciales de usuario en el Cliente WebFOCUS.

Normalmente, los directorios de usuarios de LDAP y AD retienen la información de suscripción a los grupos, y la comparten con otras aplicaciones para que puedan autorizar usuarios. Sin embargo, algunas organizaciones emplean otra información almacenada en el directorio, como los roles y atributos de perfil de usuario, y rellenan el atributo con la información de autorización necesaria. Estos atributos pueden tener uno o varios valores, y no tienen por qué estar relacionados a otros objetos del directorio externo. WebFOCUS es compatible con todos estos métodos de autorización.

Nota: En función del fabricante y la versión, es posible que el directorio LDAP requiera un complemento de suscripción de usuario para poder ser compatible con el conjunto completo de características de autorización de WebFOCUS. Active Directory es compatible con las suscripciones nativas de usuario. Para más información, contacte con su administrador de LDAP.

Principio de página

Referencia: Consideraciones especiales a la hora de utilizar atributos de perfil de usuario para la autorización

El proveedor de LDAP puede configurarse para recuperar los datos de autorización de un atributo de perfil de usuario y pasarlos a WebFOCUS para su autorización, como se indica en la siguiente imagen.

Autorización por atributo LDAP personalizado

Puesto que no existe un objeto de directorio correspondiente para el atributo personalizado, al contrario que en los grupos LDAP, se aplican las siguientes limitaciones:

El Centro de Seguridad WebFOCUS no muestra los usuarios que pertenecen a los grupos WebFOCUS asignados a los atributos personalizados.
En el Centro de Seguridad, el botón Examinar, situado en el cuadro de diálogo Editar grupo, no permite buscar valores de atributos personalizados. Sin embargo, puede introducir estos valores de atributo de forma manual.

Principio de página

Procedimiento: Cómo Configurar un proveedor de seguridad en el Servidor de informes WebFOCUS

Para información completa acerca de cómo configurar los proveedores de seguridad del Servidor de informes WebFOCUS, consulte el manual Administración de servidores para UNIX, Windows, OpenVMS, IBM i y z/OS.

Inicie la sesión de la Consola Web del Servidor de informes como administrador de servidores.
En la pestaña Control de acceso, cree un nuevo proveedor de LDAP. Especifique los valores para LDAP_PROVIDER, ldap_host, y ldap_port.
- Para Active Directory, el parámetro de seguridad recomendado es Explícito. Si se selecciona esto, especifique una cuenta de servicio con una contraseña sin fecha de caducidad, en el campo ldap_credentials, como se indica en la siguiente imagen.
- En la mayoría de los directorios LDAP el parámetro de seguridad debe establecerse en Anónimo.
Pulse Siguiente.

El Servidor de informes se conecta al directorio de usuarios especificado y determina el fabricante y el número de versión. A continuación, introduce los valores por defecto correspondientes a las propiedades de Configuración de búsqueda de usuarios, como se indica en la siguiente imagen.

Los valores por defecto suelen ser los correctos cuando la autorización se lleva a cabo utilizando grupos de LDAP o Active Directory, aunque puede revisar estos ajustes junto con su administrador de LDAP o AD.
Configure las propiedades de Configuración de búsqueda de grupos para su proveedor de LDAP o Active Directory.

Estas propiedades se han rellenado previamente con los valores por defecto correspondientes a su directorio, como se indica en la siguiente imagen.

Nota: Dependiendo de la versión de su servidor de informes, es posible que los campos ldap_group_base y ldap_group_scope no se hayan rellenado automáticamente. Normalmente, los valores de estas propiedades son los mismos que los que utilizó para ldap_user_base and ldap_user_scope, en el paso 3, aunque, si lo desea, puede consultar a su administrador de directorios.
Si es necesario, modifique los valores por defecto y pulse Probar.
Aparece el cuadro de diálogo Prueba de seguridad LDAP.
Introduzca el ID de usuario y la contraseña de cualquier cuenta del directorio externo y pulse Continuar.

Si las credenciales se han autenticado correctamente, el Servidor de informes muestra la lista de grupos LDAP o AD del usuario. Si está usando un atributo personalizado, el Servidor de informes muestra los valores del atributo de este usuario.

Nota: La prueba dura aproximadamente un segundo. Si los resultados tardan en aparecer, consulte a sus administradores de directorios y redes para asegurarse de que los ajustes de configuración de conexiones, usuarios y grupos sean los óptimos para su entorno.
Pulse Guardar para guardar el proveedor examinado y, a continuación, pulse Cambiar proveedor.
Seleccione el nuevo proveedor de LDAP o AD de la lista de Proveedor de seguridad principal y, a continuación, escoja un proveedor secundario.
PTH es la opción recomendada como proveedor secundario. Para más información acerca de cómo usar PTH como proveedor secundario, consulte Proveedores de seguridad.
Pulse Siguiente.

Aparece el panel de Cambiar proveedor.
Especifique la cuenta que va a utilizar como administrador del Servidor de informes, para establecer una conexión fiable.
1. En el campo de ID de administrador de servidores, introduzca el nombre de la cuenta LDAP o AD externa que va a utilizar como administrador del Servidor de informes.
2. Pulse Aplicar y reiniciar servidor.
  La cuenta especificada más arriba queda automáticamente registrada para el rol de administrador del Servidor de informes WebFOCUS.
Inicie la sesión de la Consola Web del Servidor de informes con la cuenta especificada en el paso 10. Deje la lista desplegable de proveedores establecida en su proveedor de LDAP a AD principal.
Nota: Bajo determinadas circunstancias, al cambiar de proveedor el navegador web no puede restablecer automáticamente la conexión al Servidor de informes. Si el navegador web muestra el mensaje Reiniciando espacio de trabajo durante más de 30 segundos, cierre y reabra el navegador. Ya debería poder iniciar la sesión de la Consola Web.
En la página de Control de acceso, pulse el botón Configuración de la cinta. Cambie trust_ext a y, y pulse Aplicar y reiniciar servidor.
Nota: Esto permite que los usuarios de WebFOCUS establezcan conexiones fiables al servidor, sin que éste tenga que solicitar las credenciales de usuario a la fuente externa. Tome las precauciones necesarias para evitar que las instalaciones no autorizadas de WebFOCUS establezcan conexiones fiables a su servidor de informes, incluida la configuración de cortafuegos de red y el uso de las características IP_RESTRICT del Servidor de informes.

El servidor web se vuelve a conectar automáticamente al Servidor de informes. Puede que esto tarde hasta un minuto.
Registre una cuenta de servidor de informes en el rol Administrador de servidores, para su uso como cuenta de servicio WFRS, en WebFOCUS.
Puede usar una cuenta de LDAP o AD con contraseña sin fecha de caducidad, aunque le recomendamos que emplee una cuenta de PTH.

Para registrar una cuenta de PTH en la cuenta del rol de administrador de servidores:
1. Entre al Servidor de informes WebFOCUS como administrador.
2. En la página de Control de acceso, haga un clic derecho en Administrador de servidores y seleccione Registrar usuario.
3. Pulse el botón de Registrar usuario individual y seleccione PTH, en la lista de proveedores de seguridad.
4. Introduzca el ID de nuevo usuario de PTH en el campo Usuario; por ejemplo, srvadmin.
  Los campos de Descripción y E-mail son opcionales.
5. Introduzca la nueva contraseña en los campos de Contraseña y Confirmar contraseña.
6. Pulse Añadir y registrar, y Aceptar.
  
  El nuevo usuario de PTH queda registrado bajo el rol de administrador de servidores, como se indica en la siguiente imagen.

Puesto que el Servidor de informes ahora se utiliza para autorizar usuarios que inician la sesión de WebFOCUS, debe dejarlo en estado activo. Ya puede continuar con la configuración de la autorización externa en WebFOCUS.

Principio de página

Cómo configurar un proveedor de seguridad RDBMS personalizado en el Servidor de informes WebFOCUS

WebFOCUS puede recuperar información de usuario desde un sistema de administración de bases de datos relacionales (RDBMS, en sus siglas en inglés). Por ejemplo, e-mail y descripción, y autorizaciones de usuario. La información puede recuperarse mediante SQL y procedimientos SQL almacenados, aunque en ambos casos debe crear procedimientos FOCUS a medida para obtenerla.

La autorización externa desde una tabla RDBMS requiere dos procedimientos FOCUS. Si va a autenticar usuarios en base a información del RDBMS, debe crear un tercer procedimiento. Si el RDBMS no contiene información de autenticación de usuario, configure el Cliente WebFOCUS para que preautentique a los usuarios y éstos queden identificados para su autorización externa. Para más información sobre la preautenticación, consulte Cómo configurar la pre-autenticación.

Los archivos necesarios para configurar un proveedor de seguridad SQL de ejemplo, en el servidor de informes, están disponibles en:

techsupport.informationbuilders.com/tech/wbf/v8templates/wbf_8_server_custom_provider.html

Principio de página

Procedimiento: Cómo Configurar un proveedor de seguridad RDBMS personalizado en el Servidor de informes WebFOCUS

Inicie la sesión de la Consola Web del Servidor de informes como administrador de servidores, y seleccione la pestaña de Control de acceso.
En el árbol de Control de acceso, amplíe Proveedores de seguridad, seleccione el nodo CUSTOM y pulse Nuevo.
Introduzca el nombre del proveedor de seguridad RDBMS personalizado, y especifique los procedimientos que va a emplear WebFOCUS para recuperar la información de usuario.
Nota: Estos procedimientos deben ser compatibles con multitud de tipos de llamada y poder devolver información en un formato específico. Para más información sobre procedimientos personalizados, consulte techsupport.informationbuilders.com/tech/wbf/v8templates/wbf_8_server_custom_provider.html.
1. Si proveedor personalizado es compatible con la autenticación, introduzca el nombre completamente cualificado del procedimiento que va a autenticar usuarios, en el campo cust_authenticateuser; por ejemplo, _edaconf/catalog/custom/wfsqlauthn. Si la preautenticación se va a llevar a cabo en WebFOCUS, deje el campo en blanco.
2. Introduzca el nombre completamente cualificado del procedimiento que va a devolver información sobre los usuarios, en el campo cust_usersbygroup; por ejemplo, _edaconf/catalog/custom/wfsqlusers.
3. Introduzca el nombre completamente cualificado del procedimiento que va a devolver información sobre los grupos, en el campo cust_groupsbyuser; por ejemplo, _edaconf/catalog/custom/wfsqlgroups.
Revise sus cambios y pulse Guardar.
Seleccione el nuevo proveedor de seguridad de la lista de Proveedor de seguridad principal y, a continuación, escoja un proveedor secundario.
PTH es la opción recomendada como proveedor secundario. Para más información acerca de cómo usar PTH como proveedor secundario, consulte Proveedores de seguridad.
Pulse Siguiente.

Aparece el panel de Cambiar proveedor.
Especifique la cuenta que va a utilizar como administrador del Servidor de informes, para establecer una conexión fiable.
1. En el campo ID de administrador de servidores, introduzca el nombre de una cuenta de administrador.
  Si el proveedor de seguridad personalizado es compatible con la autenticación, puede especificar una cuenta de administrador desde la fuente externa, asociada al proveedor. De lo contrario, especifique otra cuenta de administrador, como PTH\srvadmin.
2. Pulse Aplicar y reiniciar servidor.
  La cuenta especificada más arriba queda automáticamente registrada para el rol de administrador del Servidor de informes WebFOCUS.
Inicie la sesión de la Consola Web del Servidor de informes con la cuenta especificada en el paso 7. Deje la lista desplegable de proveedores establecida en su proveedor de seguridad principal, si es compatible con la autenticación. De lo contrario, seleccione otro proveedor de seguridad; por ejemplo, PTH.
Nota: Bajo determinadas circunstancias, al cambiar de proveedor el navegador web no puede restablecer automáticamente la conexión al Servidor de informes. Si el navegador web muestra el mensaje Reiniciando espacio de trabajo durante más de 30 segundos, cierre y reabra el navegador. Ya debería poder iniciar la sesión de la Consola Web.
En la página de Control de acceso, pulse el botón Configuración de la cinta. Cambie trust_ext a y, y pulse Aplicar y reiniciar servidor.
Nota: Esto permite que los usuarios de WebFOCUS establezcan conexiones fiables al servidor, sin que éste tenga que solicitar las credenciales de usuario a la fuente externa. Tome las precauciones necesarias para evitar que las instalaciones no autorizadas de WebFOCUS establezcan conexiones fiables a su servidor de informes, incluida la configuración de cortafuegos de red y el uso de las características IP_RESTRICT del Servidor de informes.

El servidor web se vuelve a conectar automáticamente al Servidor de informes. Puede que esto tarde hasta un minuto.
Registre una cuenta de servidor de informes en el rol Administrador de servidores, para su uso como cuenta de servicio WFRS, en WebFOCUS.
Puede usar una cuenta de la fuente externa con contraseña sin fecha de caducidad, aunque le recomendamos que emplee una cuenta de PTH.

Para registrar una cuenta de PTH en la cuenta del rol de administrador de servidores:
1. Entre al Servidor de informes WebFOCUS como administrador.
2. En la página de Control de acceso, haga un clic derecho en Administrador de servidores y seleccione Registrar usuario.
3. Pulse el botón de Registrar usuario individual y seleccione PTH, en la lista de proveedores de seguridad.
4. Introduzca el ID de nuevo usuario de PTH en el campo Usuario; por ejemplo, srvadmin.
  Los campos de Descripción y E-mail son opcionales.
5. Introduzca la nueva contraseña en los campos de Contraseña y Confirmar contraseña.
6. Pulse Añadir y registrar, y Aceptar.
  
  El nuevo usuario de PTH queda registrado bajo el rol de administrador de servidores, como se indica en la siguiente imagen.

Principio de página

Procedimiento: Cómo Configurar WebFOCUS para la autorización externa

Antes de configurar la autorización externa en WebFOCUS, debe tener configurada la fuente de autorización externa como proveedor de seguridad, en el Servidor de informes. Le recomendamos encarecidamente que también configure una conexión fiable entre el Cliente y el Servidor de informes.

Para más información sobre cómo configurar proveedores de seguridad, consulte Cómo configurar un proveedor de seguridad en el Servidor de informes WebFOCUS. Para más información sobre cómo configurar conexiones fiables, consulte Cómo Configurar el Cliente WebFOCUS para que establezca una conexión fiable con el servidor de informes WebFOCUS.

Entre a WebFOCUS como administrador y seleccione Consola de administración del menú Administración.
Seleccione Configuración y después, Propiedades de aplicación, Seguridad.
Realice los cambios siguientes en Propiedades de seguridad:
1. Si está configurando la autenticación externa con autorización externa, establezca IBI_Authentication_Type en WFRS. Si está configurando la autenticación externa con autorización externa, la propiedad IBI_Authentication_Type determinará el modo de autenticación de los usuarios, si éstos no han sido preautenticados.
  Por ejemplo, si los administradores están usando el inicio de sesión basado en formularios para entrar a la zona de seguridad alternativa, los usuarios no preautenticados se autenticarán siguiendo el método especificado en IBI_Authentication_Type (INTERNAL o WFRS).
  
  Para más información sobre la cómo usar múltiples formularios de autenticación, consulte Zonas de seguridad.
2. Si quiere que WebFOCUS actualice la dirección y descripción de e-mail del usuario, durante el inicio de sesión, establezca IBI_Update_User_Info en Verdadero.
  Nota: El proveedor de seguridad del Servidor de informes debe estar configurado para recuperar las direcciones y descripciones de e-mail desde una fuente externa, para poder utilizar esta función.
3. Si está configurando la autenticación externa con autorización externa, establezca IBI_User_Group_Membership_ExtAuthN en EXTERNAL o EXTERNALONLY. Si está configurando la preautenticación con autorización externa, establezca IBI_User_Group_Membership_PreAuthN en EXTERNAL o EXTERNALONLY.
  Nota: En ambos casos, la configuración recomendada es EXTERNAL.
  
  Para más información sobre estas opciones, consulte Opciones EXTERNAL y EXTERNALONLY.
4. Establezca IBI_External_Group_Type en WFRS.
5. Establezca IBI_WFRS_Service_User en una cuenta válida del Servidor de informes WebFOCUS con derechos de administrador de servidores, e IBI_WFRS_Service_Pass, en la contraseña de la cuenta.
  Puede usar una cuenta de la fuente externa con contraseña sin fecha de caducidad, aunque le recomendamos que emplee una cuenta de PTH. Si está utilizando una cuenta perteneciente a un proveedor de seguridad secundario, ajuste el nombre de éste como prefijo al nombre de la cuenta; por ejemplo, PTH\srvadmin.
6. Establezca IBI_Allow_Login_External_Groups en valor apropiado para su entorno.
  Para más información sobre la propiedad IBI_Allow_Login_External_Groups, consulte Propiedades de seguridad.
7. Establezca IBI_WFRS_Authentication_Node en el nodo fiable del Servidor de informes, configurado con su proveedor de seguridad.
8. Guarde sus cambios.
Opcionalmente, active el seguimiento de seguridad para ayudar a resolver errores en la nueva configuración.
- Si ha instalado Apache Tomcat con WebFOCUS, haga una copia de seguridad del archivo unidad:/ibi/WebFOCUS81/webapps/webfocus/WEB-INF/classes/log4j.xml, y cambie el valor de nivel de com.ibilog.com de info a trace, en el archivo log4j.xml.
- Si ha implementado la aplicación web de WebFOCUS desde el archivo web, mediante el archivo webfocus.war, puede modificar el archivo log4j.xml desde su ubicación original y, después, volver a crear el archivo webfocus.war.
- Alternativamente, si ha implementado la aplicación web de WebFOCUS desde el archivo web, mediante el archivo webfocus.war, puede modificar el archivo log4j.xml desde su ubicación implementada, dentro del directorio ampliado. Consulte a su administrador de aplicaciones Java si no está seguro de la ubicación o no tiene derechos de acceso para modificar el archivo log4j.xml.
Detenga y reinicie la aplicación web.
Nota: Antes de reiniciar, es posible que quiera borrar o cambiar el nombre del archivo unidad:/ibi/WebFOCUS81/logs/event.log, para que el archivo de registro quede limpio al reiniciar WebFOCUS en modo autorización externa.

Entre a WebFOCUS utilizando la cuenta de usuario que ha creado anteriormente.

Sugerencia: El archivo event.log muestra la información de autorización externa, recuperada por WebFOCUS desde el proveedor de seguridad del Servidor de informes.

Si activó el seguimiento de seguridad en el paso 2, event.log tendrá un aspecto similar a éste:

-WFRS.authenticate userName:userName  
 - EDA.authConnect node:EDASERVE User:userID  
security:EXPLICIT-DYNAMIC
 - EDA.authConnect node() provider:null reqName:userID  
 - edaAuth for node:EDASERVE user:userID returned:1000
 - edaAuth for user:userID returned email:userEmail 
 - edaAuth for user:userID returned description:userDescription userID 
 - EDA.getGroupsForUser() node:EDASERVE userName:userID 
 - EDA.getGroupsForUser() provider:null reqName:userID userID 
 - group 1=#WF-ALL description=WF-ALL MAILING LIST userID 
 - group 2=#SharePointSiteAdmins description=SharePoint AdminsuserID 
 - group 3=#Summit_Lab_Staff description=#Summit_Lab Mailing List userID 
 - group 4=CORP-WF-DEV description=WF Product Team userID 
 - EDA.getGroupsForUser() from provider:null group count:4 userID 
 - User:userID has 4 external groups

Si no ha podido iniciar la sesión, inténtelo con la cuenta especificada en la propiedad IBI_Admin_Name.

Ya puede asignar grupos WebFOCUS a los datos de autorización externa.

Principio de página

Asignación de grupos

La asignación se refiere al proceso de asociar grupos WebFOCUS a datos de autorización externa, incluidos las suscripciones a grupos externos, los datos de perfiles de usuarios externos y la información almacenada en un RDBMS. La autorización externa puede estar basada en:

Grupos, roles y valores de atributo de perfil de usuario recuperados desde cualquier directorio que sea compatible con el protocolo ligero de acceso a directorios (LDAP, en sus siglas en inglés), incluido Microsoft Active Directory (AD).
Datos recuperados desde un sistema de administración de bases de datos relacionales (RDBMS, en sus siglas en inglés).
Datos recuperados desde cualquier adaptador de datos de servidor de informes WebFOCUS, incluida la información de un servicio web o un sistema ERP.

Cuando la autorización externa está configurada en WebFOCUS, los grupos de WebFOCUS pueden estar asignados o no asignados.

Nota: La asignación de grupos WebFOCUS a datos de autorización externa requiere el privilegio de asignación de grupos (opExternalGroupMapping). El privilegio se asigna únicamente (por defecto) a los usuarios que pertenecen al grupo Administradores.

Puede configurar los datos de autorización empleados en la autorización por medio del Centro de Seguridad, o estableciendo una programación de atributos de autorización externa, a través de un servicio web. Para más información acerca de cómo utilizar un servicio web, consulte la Guía del desarrollador de servicios web WebFOCUS RESTful.

La asignación es una propiedad de los grupos WebFOCUS. El valor de la propiedad es una cadena de texto, que especifica el atributo de datos de autorización, en el directorio externo. Para asignar una grupo WebFOCUS a varios grupos externos o valores de atributo de rol, delimite los valores mediante puntos y coma (;) o emplee un símbolo de comodín que coincida con múltiples grupos externos. Por ejemplo, al asignar un grupo WebFOCUS a SALES-*, el grupo quedará asignado a cualquier grupo externo que empiece por SALES-. La cadena de texto puede tener hasta 2.000 caracteres, incluidos los puntos y coma (;).

El Centro de Seguridad señala los grupos asignados con un icono de cadena azul, junto al nombre del grupo. La ayuda de herramienta correspondiente al nombre del grupo muestra los datos externos o el atributo de usuario al que se encuentra asignado. La siguiente imagen muestra una configuración en la que el grupo Ventas/usuarios avanzados de WebFOCUS se encuentra asignado a un grupo externo, llamado CORP-Ventas; los otros subgrupos de Ventas no están asignados.

Grupos asignados y no asignados

Si los miembros de un grupo WebFOCUS deben estar definidos de forma interna, en WebFOCUS, y externa, por un proveedor de seguridad, puede usar un grupo no asignado para los miembros autorizados internamente, y un subgrupo asignado, para los externos. La siguiente imagen presenta un ejemplo del grupo Administradores WebFOCUS, con un subgrupo llamado Externo, asignado al grupo externo CORP-BI-Admins.

Grupo principal no asignado con subgrupo asignado

Aunque los miembros de ambos grupos comparten la directiva de seguridad del grupo principal no asignado, sus suscripciones pueden administrarse por separado.

Principio de página

Opciones EXTERNAL y EXTERNALONLY

Existen dos opciones a la hora de configurar la asignación de grupos WebFOCUS a los datos de autorización, en un directorio externo.

EXTERNAL

Especifica que algunos de los grupos de WebFOCUS pueden estar asignados y otros no. Los usuarios están autorizados cuando:

Son miembros de un grupo externo asignado a un grupo de WebFOCUS.
Están colocados explícitamente en un grupo de WebFOCUS no asignado.

Ésta es la propiedad recomendada cuando IBI_Authentication se encuentra establecida en WFRS.

EXTERNALONLY

Especifica que los usuarios sólo están autorizados si son miembros de un grupo externo asignado a un grupo de WebFOCUS.

Tenga cuidado al seleccionar esta opción. Si no dispone de una autorización externa asignada al grupo Administradores de WebFOCUS, puede que se bloquee su acceso a WebFOCUS.

Para mantener los derechos administrativos con respecto a WebFOCUS, habiendo especificado la autorización EXTERNALONLY, siga uno de estos pasos:

Después de configurar la opción EXTERNALONLY, inicie la sesión de WebFOCUS con la cuenta de superusuario, asigne el grupo Administradores a un grupo externo y vuelva a iniciar la sesión de WebFOCUS con un usuario suscrito a este grupo externo.
Tras la configuración inicial de la opción EXTERNAL, inicie la sesión de WebFOCUS con la cuenta de administrador, asigne el grupo Administradores a un grupo externo, configure la opción EXTERNALONLY y vuelva a iniciar la sesión de WebFOCUS con un usuario suscrito al grupo externo.

Nota: Cuando un grupo principal de WebFOCUS esté asignado externamente, el usuario debe pertenecer a dicho grupo para que se le considere miembro de los grupos secundarios, independientemente de que la pertenencia a éstos se haya asignado directa o indirectamente.

Principio de página

Procedimiento: Cómo Asignar grupos WebFOCUS a datos de autorización externa

Entre a WebFOCUS como administrador y seleccione Centro de seguridad del menú Administración.
Seleccione el grupo WebFOCUS que va a asignar a un grupo externo, y pulse Editar grupo.
Aparece el cuadro de diálogo Editar grupo, como se muestra en la siguiente imagen.

Sugerencia: Si el botón de Examinar no aparece, indica que WebFOCUS no tiene configurada la autorización externa. Para más información acerca de cómo configurar la autorización externa, consulte Cómo Configurar WebFOCUS para la autorización externa.
Si conoce el valor del atributo que se va a utilizar en la autorización externa, puede introducirlo manualmente. De lo contrario, pulse Examinar.
Nota: Si quiere usar un atributo de perfil de usuario personalizado para la autorización, debe introducirlo de forma manual.

Aparece el cuadro de diálogo Examinar grupos externos, como se muestra en la siguiente imagen.
Introduzca el término de búsqueda y pulse Buscar.
Nota: WebFOCUS sólo busca (por defecto) en el proveedor de seguridad principal. Para buscar datos utilizando un proveedor de seguridad secundario, incluya el nombre del proveedor en su consulta. Por ejemplo, para localizar el grupo Ventas de un proveedor PTH secundario, introduzca PTH\*Ventas. Para localizar todos los grupos de todos los proveedores de seguridad, introduzca *\*.
Seleccione los valores a los que va a asignar el grupo WebFOCUS y pulse Aceptar.
Nota: Puede seleccionar varios valores a la vez.
Al volver al cuadro de diálogo Editar grupo, los grupos externos que ha seleccionado aparecen en el campo Grupos externos. Pulse Aceptar para guardar sus cambios.

Al volver al Centro de Seguridad, el grupo asignado aparece con un icono de enlace, como se indica en la siguiente imagen.

icono de enlace de Grupo asignado

Al pasar el ratón sobre el grupo, la ayuda de herramienta muestra los datos de autorización externa asignados, entre paréntesis, después del nombre del grupo WebFOCUS.