En esta sección se detalla la forma de definir Usuarios y Roles para cada mecanismo de autenticación existente.
Definiendo Usuarios y roles con el mecanismo O3 Conf sobre archivos
Es necesario acceder a la rama Seguridad para agregar, eliminar o actualizar usuarios.
Unable to render embedded object: File (worddavd2e8ab1a981c3f995c7ecbee371b4bc8.png) not found.
Figura 16: Panel de configuración de Usuarios
Agregando Usuarios
Panel de Propiedades de Definición de Usuarios
Propiedad |
Descripción |
Usuario |
La identificación del usuario. |
Contraseña |
Clave de autenticación para el acceso del usuario. |
Confirmar Contraseña |
Confirmación de la clave de autenticación para permitir el acceso por parte del usuario. |
Privilegios de Administración |
Marque este cuadro de verificación si el usuario tiene derechos de administrador en el O3 Server. |
Permitir a los Usuarios Agregar Vistas |
Marque este cuadro de verificación si el usuario está autorizado a definir nuevas vistas en el O3 Server. |
Permitir a los Usuarios Agregar Reglas |
Marque este cuadro de verificación si el usuario está autorizado a definir nuevas reglas en el O3 Server. |
Roles |
La lista de Roles disponibles en el servidor. Ver "Administración de Usuarios y Roles". Cualquiera de ellos puede agregarse a la lista de Roles de los Usuarios. |
Roles de Usuario |
La lista de Roles a los que pertenece el usuario. Son los roles que ya le han sido asignados |
Atributos |
Es posible definir atributos de usuario para restringir el acceso a las dimensiones del cubo. Cuando se hace clic en el botón Agregar, se agrega una nueva fila con campos en blanco. |
Nombre |
Nombre del atributo. Se usa como un argumento en la función getUserValue(). |
Valor |
Valor del atributo. Este valor se obtiene con la función getUserValue(). |
Tipo |
Es posible usar atributos de estos tipos: Cadena, Fecha, Entero, Doble y Tiempo. |
Pasos a seguir para agregar un usuario:
- Invoque el O3 Server Adminstrator.
- Expanda la rama Servicios del Árbol de Administración.
- Expanda la rama Seguridad del Árbol de Administración.
- Expanda la rama Usuarios del Árbol de Administración. La lista de usuarios se actualiza.
- Realizar alguna de las siguientes acciones:
- Seleccione el comando Archivo | Agregar Usuario.
- Haga clic con el botón derecho sobre la rama Usuarios. Aparecerá un menú. Seleccione el comando Agregar Usuario.
- Ingrese el nombre de usuario y la contraseña.
- Marque la opción "Privilegios de Administrador" si el usuario los debe tener.
- Asocie los roles deseados al usuario
- Presione el botón correspondiente: ">" o "<" para mover roles de una tabla a la otra.
- Para asignar atributos a un usuario, presione el botón Agregar. Aparece una nueva fila en la ventana Atributos.
- Complete los campos en la nueva fila de atributo.
- Presione el botón Aplicar para hacer persistentes los cambios.
Actualizando Usuarios
Pasos a seguir para actualizar un usuario:
- Invoque el O3 Server Adminstrator.
- Expanda la rama Servicios del Árbol de Administración.
- Expanda la rama Seguridad.
- Expanda la rama Usuarios. La lista de usuarios se actualiza.
- Haga clic en el usuario. La información del usuario aparece en el Panel de Propiedades.
- Actualice la información del usuario.
- Presione el botón Aplicar.
Eliminando Usuarios
Pasos a seguir para eliminar un usuario:
- Invoque el O3 Server Adminstrator.
- Expanda la rama Servicios del Árbol de Administración.
- Expanda la rama Seguridad.
- Expanda la rama Usuarios. La lista de usuarios se actualiza.
- Haga clic con el botón derecho sobre el usuario. Un menú aparece.
- Seleccione el comando Eliminar. El usuario se elimina y la rama Usuarios se actualiza.
Agregando Roles
Panel de Propiedades de Definición de Roles
Propiedad |
Descripción |
Nombre |
Nombre del nuevo rol. |
Atributos |
Es posible definir atributos de roles para restringir el acceso a las dimensiones del cubo. Al presionar el botón Aplicar, se agrega una nueva fila con campos en blanco. |
Nombre |
Nombre del atributo. Se usa como argumento en la función getRoleValue(). |
Valor |
Valor del atributo. Este valor se obtiene con la función getRoleValue(). |
Tipo |
Es posible usar atributos de estos tipos: Cadena, Fecha, Entero, Doble y Tiempo. |
Unable to render embedded object: File (worddave2370283fa90f65b6a07c5b1b842157d.png) not found.
Figura 17: Panel de configuración de Roles
Pasos a seguir para agregar un rol:
- Invoque el O3 Server Adminstrator.
- Expanda la rama Servicios del Árbol de Administración.
- Expanda la rama Seguridad del Árbol de Administración.
- Expanda la rama Roles del Árbol de Administración. La lista de Roles se actualiza.
- Realizar alguna de las siguientes acciones:
- Seleccione el comando Archivo | Agregar Rol.
- Haga clic con el botón derecho en la rama Roles. Un menú aparece. Seleccione el comando Agregar Rol.
- Ingrese el nombre del rol.
- Para asignar atributos a un rol, presione el botón Agregar. Aparece un nuevo rol en la ventana Atributos.
- Complete los campos en la fila nuevo atributo.
- Presione el botón Aplicar para persistir los datos modificados.
Eliminando Roles
Pasos a seguir para eliminar un rol:
- Invoque el O3 Server Adminstrator.
- Expanda la rama Servicios del Árbol de Administración.
- Expanda la rama Seguridad.
- Expanda la rama Roles. La lista de roles se actualiza.
- Haga clic con el botón derecho en el rol. Un menú aparece.
- Seleccione el comando Eliminar. El rol se elimina y la rama Roles se actualiza.
Definiendo Usuarios y roles con el mecanismo O3 Conf sobre Base de Datos
Este mecanismo también es conocido con el nombre RBAC por la sigla en inglés de "Role Based Access Control" que describe el módulo genérico utilizado por O3 para almacenar y manipular los usuarios y sus roles.
Existen algunas diferencias en la forma de definir Usuarios y Roles con respecto al mecanismo anterior.
Unable to render embedded object: File (worddav2f9382092bbaea441243602fc94c97e2.png) not found.
Figura 18: Configuración de Seguridad utilizando RBAC
La diferencia más grande del punto de vista de la interfase es que en este caso el elemento Seguridad no tiene elementos dependientes para definir los usuarios y roles. En cambio si existen solapas para realizar las definiciones en el panel de propiedades que aparece cuando se selecciona dicho elemento.
Las solapas que se utilizan en la definición de seguridad son:
- Usuarios: Permite definir los usuarios
- Roles: Permite definir los Roles sobre los cuales se definen permisos
- *Grupos:*Permite importar grupos de usuario definidos en el sistema operativo
- Permisos: Se hacen las definiciones para controlar el acceso a los Tableros de Control. (Ver manual de O3 Scorecard)
Agregando Usuarios
Panel de Propiedades de Definición de Usuarios
Propiedad |
Descripción |
Nombre Completo |
Nombre de la persona a modo informativo |
Login |
La identificación del usuario. |
Dirección de correo electrónico del usuario |
|
Contraseña |
Clave de autenticación para el acceso del usuario. |
Confirmar Contraseña |
Confirmación de la clave de autenticación. |
Usuarios |
Es la lista de usuarios definidos en el Repositorio. Cuando se selecciona un usuario de la lista se muestran las propiedades del mismo. |
Nuevo |
Permite agregar un nuevo usuario |
Eliminar |
Permite eliminar un usuario seleccionado de la lista |
Atributos |
Es posible definir atributos de usuario para restringir el acceso a las dimensiones del cubo. Cuando se hace clic en el botón Agregar, se agrega una nueva fila con campos en blanco. |
Tipo |
Es posible usar atributos de estos tipos: Cadena, Fecha, Entero, Doble y Tiempo. |
Nombre |
Nombre del atributo. Se usa como un argumento en la función getUserValue(). |
Valor |
Valor del atributo. Este valor se obtiene con la función getUserValue(). |
Unable to render embedded object: File (worddavb29d9b9816e8f071025d6b94df61cb7a.png) not found. Aplicar |
Confirma los cambios realizados |
Unable to render embedded object: File (worddave30251b54098d61908b9b9ac7701166d.png) not found. Cancelar |
Cancela los cambios realizados que no se han confirmado aun. |
A continuación se describen las operaciones de Agregado, Modificación y Borrado de Usuarios.
Pasos a seguir para agregar un usuario al Repositorio:
- Invocar O3 Server Administrator
- Elegir el elemento Seguridad para hacer aparecer el panel de definiciones correspondiente
- Elegir la solapa "Usuarios".
- Presionar el botón Nuevo para hacer aparecer los datos por defecto para el nuevo usuario.
- Completar los datos correctos del usuario que se desea ingresar, incluyendo el agregado de atributos.
- Confirmar el ingreso del nuevo usuario con el botón Aplicar o descartar el ingreso con el botón Cancelar.
Para cambiar los datos de un usuario:
- Invocar O3 Server Administrator
- Elegir el elemento Seguridad para hacer aparecer el panel de definiciones correspondiente
- Elegir la solapa "Usuarios".
- Elegir el usuario de la lista de Usuarios. De esta forma los campos del Panel se actualizan con los datos del usuario seleccionado.
- Modificar los datos que se necesiten cambiar
- Confirmar los cambios con el botón Aplicar o descartarlos con el botón Cancelar.
Para eliminar un usuario:
- Invocar O3 Server Administrator
- Elegir el elemento Seguridad para hacer aparecer el panel de definiciones correspondiente
- Elegir la solapa "Usuarios".
- Elegir el usuario que se desea eliminar de la lista de Usuarios.
- Utilizar el botón "Eliminar" para borrar el usuario. Al presionar este botón aparece el dialogo pidiendo la confirmación de la eliminación.
- Con la opción "Si" se confirma la eliminación del usuario y con la opción "No" se cancela la operación de eliminado.
Agregando Roles
Para trabajar con los Roles se debe seleccionar la solapa "Roles" del panel que se despliega cuando se elige el elemento "Seguridad" (Ver la figura anterior).
Panel de Propiedades de Definición de Roles
Propiedad |
Descripción |
Roles |
Contiene la lista con todos los roles definidos en el repositorio |
Nuevo |
Permite agregar un nuevo Rol |
Eliminar |
Permite eliminar un rol seleccionado de la lista |
Datos del Rol |
Sección que muestra los datos del Rol que se selecciona de la lista. Esta sección ofrece tres solapas llamadas General, Actores y Atributos que se explican mas adelante. |
Aplicar |
Confirma los cambios realizados sobre un Rol |
Cancelar |
Descarta los cambios realizados sobre un Rol |
Solapa General de definición del Rol
En esta solapa el campo importante es el nombre del Rol, los demás campos permiten especificar roles paramétricos que por el momento no se utilizan en O3, por lo que quedan fuera del alcance de este manual.
Solapa Actores de definición del Rol
Propiedad |
Descripción |
Lista actores |
Contiene la lista con los usuarios pertenecientes al rol |
Agregar |
Permite agregar un nuevo usuario al Rol |
Remover |
Permite terminar con la pertenencia de un usuario al rol |
Incluir |
Permite especificar un rango de fechas en las que el Usuario del Rol tendrá permisos de acceso. |
Excluir |
Permite especificar un rango de fechas en las que el Usuario del Rol no tendrá permisos de acceso. |
Desde |
Es la fecha inicial a partir de la cual se aplican las restricciones de Incluir o Excluir. |
Hasta |
Es la fecha final hasta la cual se aplican las restricciones de Incluir o Excluir. |
Notar que hay dos botones adicionales de Aplicar y Cancelar que sirven para aplicar o descartar cambios en las restricciones del elemento que se está manipulando. Además existe la posibilidad de elegir las fechas de un calendario gráfico con los botones que se ubican junto a la fecha Hasta y a la fecha Desde.
Unable to render embedded object: File (worddavbb2d427f80aceefbac894ffc80dc2603.png) not found.
Figura 19: Solapa Actores de la definición de Roles
Solapa Atributos de definición del Rol
En esta solapa se pueden incluir atributos para el Rol de forma similar a como se explicó para el mecanismo anterior.
Pasos a seguir para agregar un Rol:
- Invocar O3 Server Administrator
- Elegir el elemento "Seguridad"
- Elegir la solapa "Roles" del panel de propiedades
- Presionar el botón "Nuevo" ubicado bajo la lista de Roles
- Ingresar el nombre del Rol en la solapa "General"
- Agregar usuarios en la solapa Actores (Ver más adelante)
- Confirmar el ingreso del nuevo rol con el botón Aplicar o descartarlo con el botón Cancelar
Para agregar un nuevo usuario al Rol:
- Crear el usuario que se quiere agregar si es que no existe.
- Elegir un Rol determinado de la lista de Roles.
- Elegir la solapa Actores
- Utilizar el botón agregar para desplegar el dialogo con los usuarios existentes
- Elegir el usuario con las siguientes opciones:
- Hacer doble clic sobre el usuario para elegirlo
- Elegir el usuario con un clic y utilizar el botón Aceptar para seleccionarlo
- Utilizar el botón Cancelar para no agregar ningún usuario
- Especificar si se necesitan restricciones de acceso para el usuario
- Confirmar el nuevo usuario con el botón Aplicar o descartarlo con el botón Cancelar
Para poder eliminar un Role hacer:
- Invocar O3 Server Administrator
- Elegir el elemento Seguridad como lo muestra la figura
- Elegir la solapa Roles
- Elegir el Rol que se desea eliminar de la lista
- Utilizar el botón Remover para que aparezca el diálogo de confirmación de la eliminación del Rol
- Utilizar el botón Si para confirmar la eliminación o el botón o No para cancelarla
Definiendo Usuarios y roles con LDAP
Las definiciones de Usuarios y Roles en este caso se realizan con las herramientas de LDAP que se utilizan normalmente.
A continuación se detallan las características que deben cumplir los usuarios y roles creados en el servidor LDAP para que puedan ser utilizados por O3.
Requisitos de los Usuarios
Para garantizar un correcto funcionamiento de O3 sobre un repositorio LDAP es necesario que los usuarios creados en éste cumplan con las siguientes condiciones.
- Los usuarios deben crearse en el contexto o directorio identificado por el parámetro Ruta base de Búsqueda (referirse a la sección "Parámetros de LDAP" para un detalle de los parámetros)
- A todos los usuarios deberán asignársele el atributo objectclass con el valor humanParticipant además de otros valores que este atributo pueda tener
- Todos los usuarios deberán tener asignado el atributo uid cuyo valor será el login para conectarse al Servidor de O3
- Todos los usuarios deberán tener asignado el atributo cn cuyo valor será el nombre real del usuario. Esto implica que no tiene por qué coincidir con el valor asignado a uid
- Cada usuario deberá tener un conjunto de roles asignados. Esto se realiza mediante la especificación del atributo assignedRoles cuyo valor deberá ser la lista de roles. Esta lista contendrá los nombres de los roles involucrados separados por ":" (dos puntos). Esta lista además debe terminar con ":" (dos puntos)
- Para que un usuario tenga privilegios de administrador en el Servidor de O3, deberá tener asignado el rol especificado por el parámetro Rol del Administrador (referirse a la sección "Parámetros de LDAP" para un detalle de los parámetros)
Requisitos de los Roles
Para garantizar un correcto funcionamiento de O3 sobre un repositorio LDAP es necesario que los roles creados en éste cumplan con las siguientes condiciones.
- Los roles deben crearse en el contexto o directorio identificado por el parámetro Ruta base de Búsqueda (referirse a la sección "Parámetros LDAP" para un detalle de los parámetros)
- A todos los usuarios deberán asignársele el atributo objectclass con el valor ftorganizationalrole además de otros valores que este atributo pueda tener
- Todos los usuarios deberán tener asignado el atributo cn cuyo valor será el nombre del rol
- Todos los usuarios deberán tener asignado el atributo description cuyo valor será el nombre del rol
Ejemplo de una base de datos LDAP para ser utilizada por O3
El siguiente es un ejemplo de una estructura de entradas de directorio en un LDAP utilizado por O3:
c=uy |
|
|
|
|
o=IdeaSoft |
|
|
|
|
cn=Directory Administrators |
|
|
|
ou=Groups |
|
|
|
ou=People |
|
|
|
|
uid=admin |
|
|
|
uid=user |
|
|
|
uid=o3admin |
|
|
|
uid=o3user |
Adicionalmente se sabe que las entradas existentes dentro del contexto o directorio "ou=People", tienen los siguientes atributos:
Usuario "user" |
uid=user |
Usuario "admin" |
uid=admin |
Rol "o3admin" |
cn=o3admin |
Rol "o3user" |
cn=o3user |
Especificando como Ruta base de Búsqueda el contexto o directorio "ou=People, o=IdeaSoft, c=uy", el Servidor de O3 interpretará las entrada "uid=user"como un usuario de login "user" y nombre "Usuario estándar de O3" que tiene asociado rol "o3user".
De la misma manera interpretará la entrada "uid=admin"como un usuario de login "admin" y nombre "Usuario Administrador de O3" que tiene asociado rol "o3admin". Dado que "o3admin" se declaró en el parámetro Rol del Administrador, éste usuario contará con privilegios de administrador.
De forma similar se interpretan las entradas "uid=o3admin" y "uid=o3user" como roles.