Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Wiki Markup
{scrollbar}
Las actividades de administración de seguridad sobre usuarios y roles incluyen:
* Usuarios
** Agregar usuarios
** Agregar o actualizar atributos de usuarios
** Restablecer contraseñas de usuarios
** Eliminar un usuario
* Roles
** Agregar roles
** Asignar usuarios a un rol
** Agregar o actualizar atirbutos de un rol
** Eliminar un rol

h2. Agregar Usuarios
El esquema de seguridad de O3 Server se basa en la definicion de usuarios, los cuales están relacionados univocamente con una sola persona. Para acceder a O3 Server una persona debe tener al menos un usuario definido y conocer su contraseña.

Para agregar usuarios:
# Inicie el componente O3 Server Administrator.
# Expanda la rama Servicios \| Seguridad del Árbol de Administración.
# Haga clic en la sección Usuarios del Panel de Propiedades
# Haga clic en el botón Nuevo, este boton esta ubicado debajo del área Usuarios que contiene una lista de usuarios definidos. Al presionar clic se agregara un nuevo usuario a la lista con el nombre _Nuevo Usuario_ y el área _Datos de Usuario_ se habilitara.
# Complete los siguientes datos en el área _Datos de Usuario_:
## Nombre completo de usuario, por defecto esta propiedad contiene el texto _Nuevo Usuario_
## Login, identificador del usuario para ingresar a O3 Server
## e-mail de usuario
## Contraseña y confirmación, contraseña por defecto del usuario definido
# Haga click en el botón Aplicar del área _Datos de Usuario_ para confirmar el usuario. En este Panel de Propiedades hay dos botones Aplicar, el ubicado en la parte inferior es para confirmar todos los cambios de seguridad realizados y el botón Aplicar de la sección Usuarios es para confirmar los cambios a la lista de usuarios.
Figura ? - Agregar usuarios

h2. Agregar o actualizar Atributos de Usuarios
La definición de atributos a nivel de usuarios permite realizar un refinamiento mayor en la configuración de seguridad. Por ejemplo se puede restringir el acceso a una dimension para los usuarios que poseen un atributo en particular, simplificando de esta forma la complejidad del esquema de seguridad.

Para agregar o actualizar los atributos de un usuario:
#

h2. Restrablecer contraseñas de usuarios


h2. Eliminar un usuario


h2. Agregar Roles


h2. Asignar usuarios a un rol


h2. Agregar o actualizar atributos de un rol


h2. Eliminar un rol


---
En esta sección se detalla la forma de definir Usuarios y Roles  para cada mecanismo de autenticación existente.

h2. Definiendo Usuarios y roles con el mecanismo O3 Conf sobre archivos

Es necesario acceder a la rama Seguridad para agregar, eliminar o actualizar usuarios.

!worddavd2e8ab1a981c3f995c7ecbee371b4bc8.png|height=375,width=501!
Figura 16: Panel de configuración de Usuarios

h3. Agregando Usuarios

*Panel de Propiedades de Definición de Usuarios*
| _Propiedad_ | _Descripción_ |
| Usuario | La identificación del usuario. |
| Contraseña | Clave de autenticación para el acceso del usuario. |
| Confirmar Contraseña | Confirmación de la clave de autenticación para permitir el acceso por parte del usuario. |
| Privilegios de Administración | Marque este cuadro de verificación si el usuario tiene derechos de administrador en el O3 Server. |
| Permitir a los Usuarios Agregar Vistas | Marque este cuadro de verificación si el usuario está autorizado a definir nuevas vistas en el O3 Server. |
| Permitir a los Usuarios Agregar Reglas | Marque este cuadro de verificación si el usuario está autorizado a definir nuevas reglas en el O3 Server. |
| Roles | La lista de Roles disponibles en el servidor. Ver "Administración de Usuarios y Roles". Cualquiera de ellos puede agregarse a la lista de Roles de los Usuarios. |
| Roles de Usuario | La lista de Roles a los que pertenece el usuario. Son los roles que ya le han sido asignados |
| Atributos | Es posible definir atributos de usuario para restringir el acceso a las dimensiones del cubo. Cuando se hace clic en el botón Agregar, se agrega una nueva fila con campos en blanco. \\
Haga clic en el botón Eliminar para borrar el atributo seleccionado. |
| Nombre | Nombre del atributo. Se usa como un argumento en la función getUserValue(). |
| Valor | Valor del atributo. Este valor se obtiene con la función getUserValue(). |
| Tipo | Es posible usar atributos de estos tipos: Cadena, Fecha, Entero, Doble y Tiempo. |
\\
*Pasos a seguir para agregar un usuario:*
# Invoque el O3 Server Adminstrator.
# Expanda la rama Servicios del Árbol de Administración.
# Expanda la rama Seguridad del Árbol de Administración.
# Expanda la rama Usuarios del Árbol de Administración. La lista de usuarios se actualiza.
# Realizar alguna de las siguientes acciones:

* Seleccione el comando Archivo \| Agregar Usuario.
* Haga clic con el botón derecho sobre la rama Usuarios. Aparecerá un menú. Seleccione el comando Agregar Usuario.

# Ingrese el nombre de usuario y la contraseña.
# Marque la opción "Privilegios de Administrador" si el usuario los debe tener.
# Asocie los roles deseados al usuario
# Presione el botón correspondiente: ">" o "<" para mover roles de una tabla a la otra.
# Para asignar atributos a un usuario, presione el botón Agregar. Aparece una nueva fila en la ventana Atributos.
# Complete los campos en la nueva fila de atributo.
# Presione el botón Aplicar para hacer persistentes los cambios.

h3. Actualizando Usuarios

*Pasos a seguir para actualizar un usuario:*
# Invoque el *{_}O3 Server Adminstrator{_}*.
# Expanda la rama Servicios del Árbol de Administración.
# Expanda la rama Seguridad.
# Expanda la rama Usuarios. La lista de usuarios se actualiza.
# Haga clic en el usuario. La información del usuario aparece en el Panel de Propiedades.
# Actualice la información del usuario.
# Presione el botón Aplicar.

h3. Eliminando Usuarios

*Pasos a seguir para eliminar un usuario:*
# Invoque el *{_}O3 Server Adminstrator{_}*.
# Expanda la rama Servicios del Árbol de Administración.
# Expanda la rama Seguridad.
# Expanda la rama Usuarios. La lista de usuarios se actualiza.
# Haga clic con el botón derecho sobre el usuario. Un menú aparece.
# Seleccione el comando Eliminar. El usuario se elimina y la rama Usuarios se actualiza.

h3. Agregando Roles

*Panel de Propiedades de Definición de Roles*
| _Propiedad_ | _Descripción_ |
| Nombre | Nombre del nuevo rol. |
| Atributos | Es posible definir atributos de roles para restringir el acceso a las dimensiones del cubo. Al presionar el botón Aplicar, se agrega una nueva fila con campos en blanco. \\
Haga clic en el botón Eliminar para borrar el atributo seleccionado. |
| Nombre | Nombre del atributo. Se usa como argumento en la función getRoleValue(). |
| Valor | Valor del atributo. Este valor se obtiene con la función getRoleValue(). |
| Tipo | Es posible usar atributos de estos tipos: Cadena, Fecha, Entero, Doble y Tiempo. |
\\  !worddave2370283fa90f65b6a07c5b1b842157d.png|height=384,width=513!
Figura 17: Panel de configuración de Roles
*Pasos a seguir para agregar un rol:*
# Invoque el *{_}O3 Server Adminstrator{_}*.
# Expanda la rama Servicios del Árbol de Administración.
# Expanda la rama Seguridad del Árbol de Administración.
# Expanda la rama Roles del Árbol de Administración. La lista de Roles se actualiza.
# Realizar alguna de las siguientes acciones:

* Seleccione el comando Archivo \| Agregar Rol.
* Haga clic con el botón derecho en la rama Roles. Un menú aparece. Seleccione el comando Agregar Rol.

# Ingrese el nombre del rol.
# Para asignar atributos a un rol, presione el botón Agregar. Aparece un nuevo rol en la ventana Atributos.
# Complete los campos en la fila nuevo atributo.
# Presione el botón Aplicar para persistir los datos modificados.

h3. Eliminando Roles

*Pasos a seguir para eliminar un rol:*
# Invoque el *{_}O3 Server Adminstrator{_}*.
# Expanda la rama Servicios del Árbol de Administración.
# Expanda la rama Seguridad.
# Expanda la rama Roles. La lista de roles se actualiza.
# Haga clic con el botón derecho en el rol. Un menú aparece.
# Seleccione el comando Eliminar. El rol se elimina y la rama Roles se actualiza.

h2. Definiendo Usuarios y roles con el mecanismo O3 Conf sobre Base de Datos

Este mecanismo también es conocido con el nombre RBAC por la sigla en inglés de "Role Based Access Control" que describe el módulo genérico utilizado por O3 para almacenar y manipular los usuarios y sus roles.
Existen algunas diferencias en la forma de definir Usuarios y Roles con respecto al mecanismo anterior.

!worddav2f9382092bbaea441243602fc94c97e2.png|height=344,width=486!
Figura 18: Configuración de Seguridad utilizando RBAC
La diferencia más grande del punto de vista de la interfase es que en este caso el elemento Seguridad no tiene elementos dependientes para definir los usuarios y roles. En cambio si existen solapas para realizar las definiciones en el panel de propiedades que aparece cuando se selecciona dicho elemento.
Las solapas que se utilizan en la definición de seguridad son:
* *Usuarios:* Permite definir los usuarios
* *Roles:* Permite definir los Roles sobre los cuales se definen permisos
* \*Grupos:*Permite importar grupos de usuario definidos en el sistema operativo
* *Permisos:* Se hacen las definiciones para controlar el acceso a los Tableros de Control. (Ver manual de O3 Scorecard)

h3. Agregando Usuarios


h4. Panel de Propiedades de Definición de Usuarios

| _Propiedad_ | _Descripción_ |
| Nombre Completo | Nombre de la persona a modo informativo |
| Login | La identificación del usuario. |
| E-mail | Dirección de correo electrónico del usuario |
| Contraseña | Clave de autenticación para el acceso del usuario. |
| Confirmar Contraseña | Confirmación de la clave de autenticación. |
| Usuarios | Es la lista de usuarios definidos en el Repositorio. Cuando se selecciona un usuario de la lista se muestran las propiedades del mismo. |
| Nuevo | Permite agregar un nuevo usuario |
| Eliminar | Permite eliminar un usuario seleccionado de la lista |
| Atributos | Es posible definir atributos de usuario para restringir el acceso a las dimensiones del cubo. Cuando se hace clic en el botón Agregar, se agrega una nueva fila con campos en blanco. \\
Haciendo clic en el botón Eliminar para borrar el atributo seleccionado. |
| Tipo | Es posible usar atributos de estos tipos: Cadena, Fecha, Entero, Doble y Tiempo. |
| Nombre | Nombre del atributo. Se usa como un argumento en la función getUserValue(). |
| Valor | Valor del atributo. Este valor se obtiene con la función getUserValue(). |
| !worddavb29d9b9816e8f071025d6b94df61cb7a.png|height=18,width=8! Aplicar | Confirma los cambios realizados |
| !worddave30251b54098d61908b9b9ac7701166d.png|height=18,width=8! Cancelar | Cancela los cambios realizados que no se han confirmado aun. |
\\
A continuación se describen las operaciones de Agregado, Modificación y Borrado de Usuarios.
*Pasos a seguir para agregar un usuario al Repositorio:*
# Invocar *{_}O3 Server Administrator{_}*
# Elegir el elemento Seguridad para hacer aparecer el panel de definiciones correspondiente
# Elegir la solapa "Usuarios".
# Presionar el botón Nuevo para hacer aparecer los datos por defecto para el nuevo usuario.
# Completar los datos correctos del usuario que se desea ingresar, incluyendo el agregado de atributos.
# Confirmar el ingreso del nuevo usuario con el botón Aplicar o descartar el ingreso con el botón Cancelar.

*Para cambiar los datos de un usuario:*
# Invocar *{_}O3 Server Administrator{_}*
# Elegir el elemento Seguridad para hacer aparecer el panel de definiciones correspondiente
# Elegir la solapa "Usuarios".
# Elegir el usuario de la lista de Usuarios. De esta forma los campos del Panel se actualizan con los datos del usuario seleccionado.
# Modificar los datos que se necesiten cambiar
# Confirmar los cambios con el botón Aplicar o descartarlos con el botón Cancelar.

*Para eliminar un usuario:*
# Invocar *{_}O3 Server Administrator{_}*
# Elegir el elemento Seguridad para hacer aparecer el panel de definiciones correspondiente
# Elegir la solapa "Usuarios".
# Elegir el usuario que se desea eliminar de la lista de Usuarios.
# Utilizar el botón "Eliminar" para borrar el usuario. Al presionar este botón aparece el dialogo pidiendo la confirmación de la eliminación.
# Con la opción "Si" se confirma la eliminación del usuario y con la opción "No" se cancela la operación de eliminado.

h3. Agregando Roles

Para trabajar con los Roles se debe seleccionar la solapa "Roles" del panel que se despliega cuando se elige el elemento "Seguridad" (Ver la figura anterior).

h4. Panel de Propiedades de Definición de Roles

| _Propiedad_ | _Descripción_ |
| Roles | Contiene la lista con todos los roles definidos en el repositorio |
| Nuevo | Permite agregar un nuevo Rol |
| Eliminar | Permite eliminar un rol seleccionado de la lista |
| Datos del Rol | Sección que muestra los datos del Rol que se selecciona de la lista. Esta sección ofrece tres solapas llamadas General, Actores y Atributos que se explican mas adelante. |
| Aplicar | Confirma los cambios realizados sobre un Rol |
| Cancelar | Descarta los cambios realizados sobre un Rol |

h5. Solapa General de definición del Rol

En esta solapa el campo importante es el nombre del Rol, los demás campos permiten especificar roles paramétricos que por el momento no se utilizan en O3, por lo que quedan fuera del alcance de este manual.

h5. Solapa Actores de definición del Rol

| _Propiedad_ | _Descripción_ |
| Lista actores | Contiene la lista con los usuarios pertenecientes al rol |
| Agregar | Permite agregar un nuevo usuario al Rol |
| Remover | Permite terminar con la pertenencia de un usuario al rol |
| Incluir | Permite especificar un rango de fechas en las que el Usuario del Rol tendrá permisos de acceso. |
| Excluir | Permite especificar un rango de fechas en las que el Usuario del Rol no tendrá permisos de acceso. |
| Desde | Es la fecha inicial a partir de la cual se aplican las restricciones de Incluir o Excluir. |
| Hasta | Es la fecha final hasta la cual se aplican las restricciones de Incluir o Excluir. |
\\
Notar que hay dos botones adicionales de Aplicar y Cancelar que sirven para aplicar o descartar cambios en las restricciones del elemento que se está manipulando. Además existe la posibilidad de elegir las fechas de un calendario gráfico con los botones que se ubican junto a la fecha Hasta y a la fecha Desde.
!worddavbb2d427f80aceefbac894ffc80dc2603.png|height=298,width=395!
Figura 19: Solapa Actores de la definición de Roles

h5. Solapa Atributos de definición del Rol

En esta solapa se pueden incluir atributos para el Rol de forma similar a como se explicó para el mecanismo anterior.
*Pasos a seguir para agregar un Rol:*
# Invocar *{_}O3 Server Administrator{_}*
# Elegir el elemento "Seguridad"
# Elegir la solapa "Roles" del panel de propiedades
# Presionar el botón "Nuevo" ubicado bajo la lista de Roles
# Ingresar el nombre del Rol en la solapa "General"
# Agregar usuarios en la solapa Actores (Ver más adelante)
# Confirmar el ingreso del nuevo rol con el botón Aplicar o descartarlo con el botón Cancelar

\\
*Para agregar un nuevo usuario al Rol:*
# Crear el usuario que se quiere agregar si es que no existe.
# Elegir un Rol determinado de la lista de Roles.
# Elegir la solapa Actores
# Utilizar el botón agregar para desplegar el dialogo con los usuarios existentes
# Elegir el usuario con las siguientes opciones:

* Hacer doble clic sobre el usuario para elegirlo
* Elegir el usuario con un clic y utilizar el botón Aceptar para seleccionarlo
* Utilizar el botón Cancelar para  no agregar ningún usuario

# Especificar si se necesitan restricciones de acceso para el usuario
# Confirmar el nuevo usuario con el botón Aplicar o descartarlo con el botón Cancelar

*Para poder eliminar un Role hacer:*
# Invocar *{_}O3 Server Administrator{_}*
# Elegir el elemento Seguridad como lo muestra la figura
# Elegir la solapa Roles
# Elegir el Rol que se desea eliminar de la lista
# Utilizar el botón Remover para que aparezca el diálogo de confirmación de la eliminación del Rol
# Utilizar el botón Si para confirmar la eliminación o el botón o No para cancelarla

h2. Definiendo Usuarios y roles con LDAP

Las definiciones de Usuarios y Roles en este caso se realizan con las herramientas de LDAP que se utilizan normalmente.
A continuación se detallan las características que deben cumplir los usuarios y roles creados en el servidor LDAP para que puedan ser utilizados por O3.

h3. Requisitos de los Usuarios

Para garantizar un correcto funcionamiento de O3 sobre un repositorio LDAP es necesario que los usuarios creados en éste cumplan con las siguientes condiciones.
* Los usuarios deben crearse en el contexto o directorio identificado por el parámetro *Ruta base de Búsqueda* (referirse a la sección "Parámetros de LDAP" para un detalle de los parámetros)
* A todos los usuarios deberán asignársele el atributo *objectclass* con el valor *humanParticipant* además de otros valores que este atributo pueda tener
* Todos los usuarios deberán tener asignado el atributo *uid* cuyo valor será el login para conectarse al Servidor de O3
* Todos los usuarios deberán tener asignado el atributo *cn* cuyo valor será el nombre real del usuario. Esto implica que no tiene por qué coincidir con el valor asignado a *uid*
* Cada usuario deberá tener un conjunto de roles asignados. Esto se realiza mediante la especificación del atributo *assignedRoles* cuyo valor deberá ser la lista de roles. Esta lista contendrá los nombres de los roles involucrados separados por ":" (dos puntos). Esta lista además debe terminar con ":" (dos puntos)
* Para que un usuario tenga privilegios de administrador en el Servidor de O3, deberá tener asignado el rol especificado por el parámetro *Rol del Administrador* (referirse a la sección "Parámetros de LDAP"  para un detalle de los parámetros)

h3. Requisitos de los Roles

Para garantizar un correcto funcionamiento de O3 sobre un repositorio LDAP es necesario que los roles creados en éste cumplan con las siguientes condiciones.
* Los roles deben crearse en el contexto o directorio identificado por el parámetro *Ruta base de Búsqueda* (referirse a la sección "Parámetros LDAP" para un detalle de los parámetros)
* A todos los usuarios deberán asignársele el atributo *objectclass* con el valor *ftorganizationalrole* además de otros valores que este atributo pueda tener
* Todos los usuarios deberán tener asignado el atributo *cn* cuyo valor será el nombre del rol
* Todos los usuarios deberán tener asignado el atributo *description* cuyo valor será el nombre del rol

h3. Ejemplo de una base de datos LDAP para ser utilizada por O3

El siguiente es un ejemplo de una estructura de entradas de directorio en un LDAP utilizado por O3:
\\
| c=uy | | | |
| | o=IdeaSoft | | |
| | | cn=Directory Administrators | |
| | | ou=Groups | |
| | | ou=People | |
| | | | uid=admin |
| | | | uid=user |
| | | | uid=o3admin |
| | | | uid=o3user |
\\
Adicionalmente se sabe que las entradas existentes dentro del contexto o directorio "*ou=People*",  tienen los siguientes atributos:
\\
| *Usuario "user"* |
| uid=user \\
cn=Usuario estándar de O3 \\
objectClass=humanparticipant \\
assignedRoles=o3user |
\\
| *Usuario "admin"* |
| uid=admin \\
cn=Usuario Administrador de O3 \\
objectClass=humanparticipant \\
assignedRoles=o3admin |
\\
| *Rol "o3admin"* |
| cn=o3admin \\
{anchor:OLE_LINK4}description=Rol de Administradores de O3 \\
objectClass=ftorganizationalrole |
\\
| *Rol "o3user"* |
| cn=o3user \\
description=Rol de Usuarios de O3 \\
objectClass=humanparticipant |
\\
Especificando como *Ruta base de Búsqueda* el contexto o directorio "*ou=People, o=IdeaSoft, c=uy*", el  Servidor de O3 interpretará las entrada "*uid=user*"como un usuario de login "*user*" y nombre "Usuario estándar de O3" que tiene asociado rol "*o3user*".
De la misma manera interpretará la entrada "*uid=admin*"como un usuario de login "*admin*" y nombre "Usuario Administrador de O3" que tiene asociado rol "*o3admin*". Dado que "o3admin" se declaró en el parámetro *Rol del Administrador*, éste usuario contará con privilegios de administrador.
De forma similar se interpretan las entradas{anchor:OLE_LINK5} "*uid=o3admin*" y "*uid=o3user*" como roles.

----
{children}
{scrollbar}