Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Versión 1 Release 1
GC11-8124-01
IBM Security Role and Policy Modeler
Versión 1 Release 1
GC11-8124-01
Octubre de 2012
Esta edición se aplica a la versión 1.1.0.2 de IBM Security Role and Policy Modeler y a todos los releases y las
modificaciones posteriores, hasta que se indique lo contrario en nuevas ediciones.
© Copyright IBM Corporation 2011, 2012.
Contenido
Tablas . . . . . . . . . . . . . . . v Capítulo 4. Cómo empezar con IBM
Security Role and Policy Modeler . . . 37
Acerca de esta publicación . . . . . . vii Iniciar y detener IBM Security Role and Policy
Acceso a publicaciones y terminología . . . . . vii Modeler . . . . . . . . . . . . . . . 37
Biblioteca de IBM Security Role and Policy Iniciar la sesión . . . . . . . . . . . . . 37
Modeler . . . . . . . . . . . . . . vii Explicación de la interfaz de usuario . . . . . . 38
Publicaciones en línea . . . . . . . . . . vii Página de inicio y panel de navegación . . . . 38
Sitio web de terminología de IBM . . . . . . vii Modelado de roles y políticas . . . . . . . 39
Accesibilidad . . . . . . . . . . . . . viii Creación de informes . . . . . . . . . . 44
Formación técnica . . . . . . . . . . . . viii Importación de datos de identidad y titularidad 45
Información de soporte . . . . . . . . . . viii Ayuda y documentación en línea . . . . . . . 45
Publicaciones en línea
IBM publica anuncia publicaciones del producto cuando se publica el producto y
cuando se actualizan las publicaciones en las ubicaciones siguientes:
Information Center de IBM Security Role and Policy Modeler
El sitio http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/topic/
com.ibm.security.modeling.doc/ic-homepage.htm muestra la página de
bienvenida del Information Center para este producto.
IBM Security Information Center
El sitio http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/index.jsp
muestra una lista alfabética e información general sobre toda la
documentación del producto IBM Security.
IBM Publications Center
El sitio http://www.ibm.com/e-business/linkweb/publications/servlet/
pbi.wss ofrece funciones de búsqueda personalizadas para ayudarle a
encontrar todas las publicaciones de IBM que necesite.
Formación técnica
Para ver información de formación técnica, consulte el siguiente sitio web de IBM
Education en http://www.ibm.com/software/tivoli/education.
Información de soporte
El soporte de IBM presta ayuda con problemas relacionados con el código y
preguntas breves sobre la instalación o el uso. Puede acceder directamente al sitio
de IBM Software Support en http://www.ibm.com/software/support/
probsub.html.
IBM Security Role and Policy Modeler Troubleshooting Guide proporciona detalles
sobre:
v Qué información recopilar antes de contactar con el equipo de soporte de IBM.
v Los distintos métodos para contactar con el equipo de soporte de IBM.
v Instrucciones y recursos de determinación de problemas para aislar y arreglar
usted mismo el problema.
viii IBM Security Role and Policy Modeler: Guía de visión general del producto
Capítulo 1. Introducción a IBM Security Role and Policy
Modeler
IBM Security Role and Policy Modeler Versión 1.1 proporciona un enfoque
centrado en el negocio para la planificación, comprensión y modelado de roles de
seguridad y restricciones de separación de funciones para asegurar el acceso a los
recursos críticos.
El analista de roles puede personalizar los atributos para IBM Security Role and
Policy Modeler. Especificar los atributos de negocio significativos y determinar el
acceso apropiado a los recursos optimiza las herramientas de modelado y análisis.
Prestaciones
IBM Security Role and Policy Modeler es una aplicación WebSphere con una
interfaz web. Proporciona las siguientes prestaciones.
Organización basada en proyectos
Un proyecto de modelado contiene un conjunto de roles, restricciones de
separación de funciones y datos de usuarios y permisos. Los analistas de
roles establecen el ámbito de los datos para facilitar y gestionar el proceso
de desarrollo de roles.
Creación de roles, edición, análisis y simulación interactiva
Los analistas de roles pueden crear roles, cambiar jerarquías de roles,
especificar propietarios, asignar miembros usuario, y asociar permisos.
Pueden proporcionar datos personalizados adicionales sobre el rol, como el
proceso de negocio asociado y las unidades organizativas donde se aplica
el rol. La función de edición de roles contiene un catálogo de herramientas
2 IBM Security Role and Policy Modeler: Guía de visión general del producto
modelado puede recopilar un conjunto de datos de múltiples archivos CSV.
Estos se pueden confirmar como un conjunto de datos de modelado para
modelar roles y políticas. A medida que los datos cambian, se pueden
utilizar nuevas instantáneas en forma de archivos CSV para actualizar los
datos de modelado. Un programa de utilidad de extracción para el
servidor de IBM Security Identity Manager crea instantáneas de datos de
IBM Security Identity Manager. Tivoli Directory Integrator puede ayudar
en la generación de archivos CSV desde otros orígenes empresariales y
aplicaciones de terceros.
Los analistas de roles trabajan con muchas otras personas de la empresa para
diseñar, refinar y verificar los modelos. Colaboran con otros ejecutivos
corporativos, propietarios de procesos de negocio, directores, propietarios de
aplicaciones, administradores de aplicaciones, etcétera. En el gráfico siguiente se
describen las personas que utilizan este producto.
CIO, CSO, Ejecutivos de cumplimiento Líneas de negocio
Objetivos de gobierno Análisis de riesgo
Ámbito Colaboración
Políticas de negocio Ne Analista de roles y políticas Informes de cumplimiento
ne ces r
ica
Datos de go id Proponer modelos de roles y políticas rif
CSV
cio ad
de Ve
entrevista
IBM Security Role
and Policy Modeler
IBM
Security
Identity
Manager IBM
Security
Identity
Otros orígenes e Manager
De
de datos de sd n
a to ació sp
leg
aplicación D li c
ar Otros
ap
consumidores
de roles y
Propietarios de aplicaciones Gestión de TI políticas
y sistemas de TI Informes XML de roles
Identidades y políticas
Permisos
Titularidades
Planificación
Modelado de roles y políticas
• Modelado y simulación de roles y políticas
• Gestión del ciclo de vida de roles y políticas
Aplicación
Gestión de identidades
Seguimiento • Gestión de ciclo de vida de la identidad
• Calificación de acceso
• Reparación de derechos de acceso del usuario
Supervisión de actividades de usuario Gobierno controlado • Gestión de roles
• Informes y auditorías unificados por políticas • Gestión de identidades con privilegios
• Módulos de informes de cumplimiento
• Informes de retorno de roles y políticas
Gestión de acceso y
titularidad
• Gestión de ciclo de vida de titularidad
• Imposición de un acceso basado en contexto
• SSO (web, escritorio, federado)
• Autenticación
• Imposición de acceso
4 IBM Security Role and Policy Modeler: Guía de visión general del producto
Ciclo de gestión de roles de IBM
• Entrevista de negocio • Informes sobre el modelo • Visualizar estructuras RBAC
Propietarios de CSO, Admin Propietario Propietarios de CSO, CIO Auditor Admin Propietario CSO,
recursos de TI CIO IM LOB recursos de TI de TI LOB CIO
Se pide a Dennis que colabore con otras personas para limpiar el acceso a 18
aplicaciones clave y mover esas aplicaciones al control de acceso basado en roles.
De este modo, pueden mejorar el cumplimiento de las aplicaciones y reducir el
coste de mantener un acceso apropiado. Esto facilita a los directores la aprobación
y recertificación del acceso.
Dennis considera los problemas iniciales detectados por Jeff y decide adoptar
medidas. Se propone tratar los asuntos prioritarios él mismo junto con el Analista
de roles y políticas, Ram Laxman, el Responsable del grupo de seguridad, Mike
Stevens, la propietaria de aplicaciones, Wanda Liu, y directores como Chuck
Reigle.
v Dennis trabaja con Ram para definir los objetivos de la transición al control de
acceso basado en roles. Los objetivos incluyen la identificación y priorización de
6 IBM Security Role and Policy Modeler: Guía de visión general del producto
v Tras la aprobación del rol, Ram exporta el modelo en un formato de archivo
XML y lo carga en IBM Security Identity Manager. Mike utiliza una herramienta
de línea de mandatos para que IBM Security Identity Manager cargue y actualice
los roles y las políticas de separación de funciones. A continuación, utiliza la
interfaz de usuario de la consola administrativa de IBM Security Identity
Manager para completar las políticas de suministro o ajustar los roles
importados a las políticas de suministro existentes.
v Ram también proporciona informes a Mike que describen el modelo para la
implementación en los sistemas de TI, como el sistema de acceso con
identificador a una sala de seguridad. Mike revisa el modelo y luego colabora
con el coordinador del acceso con identificador para implementar el modelo.
Además, configura un servicio manual de IBM Security Identity Manager que
asigna una tarea al coordinador del acceso con identificador para suministrar
usuarios a áreas seguras.
v Periódicamente, Marjorie recopila los datos actuales de IBM Security Identity
Manager, de otras aplicaciones identificadas y de bases de datos RRHH para
renovar la base de datos de IBM Security Role and Policy Modeler. Ram utiliza
las herramientas de análisis y las estadísticas que proporciona IBM Security Role
and Policy Modeler para determinar cómo funcionan los roles. Ejecuta informes
sobre análisis del modelo para compartir con Dennis y otros interesados para
evaluar si son necesarios cambios en el modelo. Puede que también pida a los
propietarios de rol que certifiquen que los roles que poseen siguen siendo
necesarios y válidos.
v Basándose en el análisis y la información de retorno de la certificación de rol,
Ram modifica los roles y políticas. Consigue que se aprueben los cambios y
colabora con Mike para desplegar estos cambios.
v Varias veces al año, Jeff Benson, un auditor, obtiene informes de IBM Security
Role and Policy Modeler sobre el diseño de modelo deseado. Lo compara con el
estado de los sistemas de TI para determinar en qué medida la empresa está
haciendo un seguimiento del modelo de seguridad y para identificar áreas
problemáticas. Jeff utiliza la comparación de líneas base del modelo como
entrada en su proceso de auditoría.
Como ilustra este escenario, cuando una empresa adopta el control de acceso
basado en roles, los roles pasan por un ciclo de proceso de creación, actualización,
validación e implementación.
Para escalar a miles de usuarios e incluso más permisos, los analistas de roles
modelan las asignaciones de usuarios a permisos mediante roles y jerarquías de
roles.
Para modelar eficazmente, los analistas de roles necesitan elegir atributos para
usuarios, permisos y roles que sean significativos para el negocio. Estos pueden
ayudar a crear roles de seguridad basados en valores de atributo comunes. Por
ejemplo, todos los empleados con responsabilidad de Enfermera Jefe en el Grace
Hospital necesitan la autorización para aprobar cambios en “Órdenes de atención a
pacientes” en la aplicación. Para dar soporte a este análisis, se necesitan atributos
de modelado significativos. Estos atributos incluyen el código de trabajo, su
ubicación de trabajo, los atributos de permiso de autoridad, recurso y nombre de
aplicación.
Separación de funciones
Rol A, Rol B; sólo 1
Los analistas de roles crean diseños de rol eficientes utilizando los datos, el editor
visual, herramientas de análisis y las características de generación de roles
automatizada.
IBM Security Role and Policy Modeler utiliza los atributos de esquema
personalizados de dos maneras: para establecer el ámbito de los proyectos y para
analizar y optimizar los roles. Por ejemplo, los analistas de roles utilizan un
atributo personalizado en el objeto de usuario para establecer el ámbito de un
proyecto en los usuarios incluidos en un subconjunto de unidades organizativas.
Posteriormente, los analistas de roles revisan una distribución de la pertenencia de
rol por unidad organizativa para comprender mejor quién necesita un rol.
10 IBM Security Role and Policy Modeler: Guía de visión general del producto
los archivos CSV a partir de los datos de rol, usuario y permiso (asignación de
cuenta y grupo) de IBM Security Identity Manager para cargar en IBM Security
Role and Policy Modeler.
Tipos de atributo
Los objetos de IBM Security Role and Policy Modeler tienen cuatro tipos de datos
de atributo que se deben especificar.
Serie Cualquier serie con menos de 241 caracteres de longitud.
Entero Un entero positivo o negativo.
Identidad
Una referencia a un objeto de usuario en el proyecto.
Jerarquía
Atributos con nombre, descripción e identificador que se pueden organizar
en una jerarquía, como por ejemplo un árbol organizativo.
Orígenes de datos
Todos los datos importados a la base de datos de Identidad y titularidad deben
estar asociados a un origen.
El origen puede representar todos los datos de un repositorio físico, como todos los
datos de usuario de un directorio LDAP. También puede ser un subconjunto lógico
de datos, como todos los usuarios de la A a la J de una base de datos de Recursos
Humanos (RRHH). Para roles, permisos y restricciones de separación de funciones,
todos los atributos para un objeto se deben importar como un único registro
asociado a un origen. Los objetos pueden provenir de múltiples orígenes.
Cuentas de Grupos de
Aplicación
Orígenes de datos de permisos, roles y Identity Identity LDAP/AD de farmacia
separación de funciones Manager Manager
Atributos de permiso
12 IBM Security Role and Policy Modeler: Guía de visión general del producto
Creación de registros de identidad compuestos
Bloques CSV de datos para TIM-Production, AD y BD de formación
Cuentas de Grupos de
Base de datos
Identity Identity LDAP/AD de formación
Manager Manager
Orígenes de datos de usuario y certificación
Atributos de identidad
Identidades de usuario
Una identidad de usuario es la colección de atributos y valores para una persona
específica. Como mínimo, una identidad de usuario incluye un ID y un nombre.
Estos son los atributos de esquema necesarios para las identidades de usuario:
UID de persona
Identifica de forma exclusiva un usuario para todos los atributos de
usuario asociados de todos los orígenes de identidad en la base de datos
de Identidad y titularidad y en los proyectos de modelado. Este atributo
no aparece en la interfaz de usuario; se utiliza internamente para
correlacionar y gestionar usuarios en los modelos.
UID de registro de origen
En un origen de identidad, un usuario puede tener varias entradas. Por
ejemplo, un usuario puede poseer varias cuentas. Los registros de origen
individuales para un usuario se correlacionan mediante el UID de persona
para registros con UIDs de registro de origen diferentes.
Nombre de persona
El nombre que se visualiza en la interfaz de usuario y los informes. La
exclusividad del nombre de persona no está garantizada.
Permisos
En el modelado, los permisos son representaciones abstractas de una acción en un
recurso.
El permiso puede contener diferentes niveles de detalle para cumplir los objetivos
del modelado. La implementación de TI de un permiso modelado puede
14 IBM Security Role and Policy Modeler: Guía de visión general del producto
representar un permiso de alto nivel, como por ejemplo una cuenta en un sistema
o los miembros de un grupo. El permiso también puede representar una
transacción precisa en una columna o fila de una base de datos.
Roles
Los roles son un método para correlacionar usuarios a permisos para gestionar
recursos. Es una función de trabajo que identifica las tareas que los usuarios
pueden realizar y los recursos a los que tienen acceso.
Puede crear roles con el editor de roles y las herramientas de generación de roles.
Los roles también se pueden importar a la base de datos de Identidad y titularidad
y copiar en proyectos de modelado. Los roles importados pueden ser los roles
extraídos de IBM Security Identity Manager o de otros sistemas de TI. Pueden ser
roles empresariales que se han desarrollado mediante entrevistas a las líneas de
negocio o los propietarios de aplicaciones.
16 IBM Security Role and Policy Modeler: Guía de visión general del producto
Descripción de rol
La información para describir el rol y su uso a los analistas de roles y los
usuarios empresariales. Especificar un valor para la descripción es
opcional.
Tipo de rol
Tipo de uso opcional para el rol, como el rol Empresarial o Aplicación,
para describir la clasificación del rol a los usuarios empresariales. Los tipos
de roles se pueden personalizar para cualquier serie. Después de la
instalación, IBM Security Role and Policy Modeler configura el rol
Empresarial y el rol Aplicación como selecciones para el tipo. Puede
eliminar estos tipos y añadir otros que se ajusten a la terminología de la
administración basada en roles de la empresa. El término Clasificación de rol
en la interfaz de usuario de IBM Security Identity Manager tiene un
significado equivalente a Tipo de rol en IBM Security Role and Policy
Modeler. Especificar un valor para Tipo de rol es opcional.
Propietario de rol
El propietario de rol es un atributo multivalor que especifica
opcionalmente los usuarios responsables del rol en el ciclo de vida del rol.
El atributo Propietario de rol se utiliza al determinar quién tiene que
aprobar un rol.
Por ejemplo, un usuario no puede ser miembro del rol Compras y del rol Pagos a la
vez. Los analistas de roles utilizan reglas de restricción de separación de funciones
para crear un modelo de rol que se ajuste a riesgos de negocio aceptables. Las
infracciones se pueden ver y notificar desde el modelo.
Estos son los atributos de esquema necesarios para las restricciones de separación
de funciones:
UID de regla
Identifica de forma exclusiva una restricción de separación de funciones en
la que participan dos o más roles.
Descripción de la regla
La información que describe la restricción.
Cardinalidad
El número máximo de roles asociados a la restricción que se pueden
asignar a un usuario antes de que se produzca una infracción.
UID de rol
Dos o más identificadores de rol exclusivos que forman la lista de roles
restringidos por la regla.
Grupos
Los grupos en los registros pueden tener muchos significados, dependiendo de
cómo los grupos son utilizados por la aplicación y por el proceso de negocio.
Para el modelado de roles y políticas, IBM Security Role and Policy Modeler se
centra en dos patrones de uso para grupos: grupos que representan una asignación
a un rol y grupos que representan una asignación a un permiso.
18 IBM Security Role and Policy Modeler: Guía de visión general del producto
Grupos que representan una asignación a un permiso
En una lista de control de accesos (ACL), los grupos facilitan la administración de
la correlación de usuarios a los permisos. El grupo representa una correlación de
usuario a permiso para otorgar el permiso a un conjunto de usuarios. A menudo se
denomina rol de aplicación. La correlación de un grupo a un permiso a menudo
está predeterminada por la aplicación, o la configura el departamento de TI
durante el despliegue de la aplicación.
Gestión de datos
La gestión de datos de IBM Security Role and Policy Modeler incluye la
personalización y gestión del esquema de datos y la carga y mantenimiento de los
datos de modelado.
El esquema y los datos se gestionan en un proceso de tres fases: cargar los archivos
de datos, validar los datos y confirmar el esquema y los datos para el modelado.
Si desea ver detalles sobre el formato del archivo CSV de esquema, consulte el
tema “Importación del tema” en el Information Center de IBM Security Role and
Policy Modeler.
Importación de datos
Los datos de IBM Security Role and Policy Modeler se pueden cambiar
importando las actualizaciones de datos.
Si desea más información sobre el formato del archivo CSV de datos, consulte el
tema “Importación de datos” en el Information Center de IBM Security Role and
Policy Modeler.
Flujo de datos
Los datos de modelado de rol entran en IBM Security Role and Policy Modeler al
importarlos como archivos de formato CSV.
Para ofrecer una experiencia de modelado interactiva para el analista de roles, IBM
Security Role and Policy Modeler divide el proceso de modelado en dos fases:
importación de datos y modelado de la seguridad. El servidor y la base de datos
de IBM Security Role and Policy Modeler dan soporte a estas dos fases mediante la
gestión de dos conjuntos de datos:
Base de datos de transferencia para recopilar datos para importación
20 IBM Security Role and Policy Modeler: Guía de visión general del producto
A medida que se recopilan los datos, estos se importan a la base de datos
de transferencia. Los datos de la base de datos de transferencia no afectan
a los proyectos de modelado de rol.
La información estadística se puede revisar en la sesión de importación, y
se puede generar como informes de detalle. Después de pasar la revisión,
los datos se confirman, lo que traslada los datos a las tablas de modelado
de la base de datos. Durante el proceso de confirmación, los registros en la
base de datos de transferencia se fusionan y resuelven con datos de la base
de datos de modelado. Estos registros incluyen registros nuevos,
actualizados y suprimidos.
Base de datos de Identidad y titularidad para modelado
Cuando los datos se han importado la base de datos de Identidad y
titularidad, los analistas de roles pueden iniciar el proceso de modelado de
seguridad.
Analista de roles
, An
Renovar s ali
d e ne za
y o s cio ry
t
expandir isi lica mo
e qu ap c. de
lar
R os et ,
ri
ua
us
CSV
Modelos y
Validar datos estadísticas
actualizados
Proyectos
Subir a
Soporte TI CSV la sesión Datos de Confirmar
transferencia Datos de
modelado
U
ro sua
les rio
y r s, p
es er Informes Informes
tri mi actualizados y
cc so
ion s, XML
es rol XML
s de
za cione
RRHH Dir Sistemas, Aplic. Identity A ctuali
Recopilar datos de TI y Manager
línea de negocio
Generación de roles
IBM Security Role and Policy Modeler puede generar un conjunto de roles
basándose en las correlaciones de usuarios a permisos importadas a la base de
datos de Identidad y titularidad.
Después de generar los roles, los analistas de roles pueden revisar la información
sobre los roles. La revisión de los atributos de los usuarios y permisos de un rol o
las herramientas de análisis en el catálogo de análisis de rol ayuda a comprender
mejor los roles generados. Pueden dar nombre y describir el rol y crear
calificadores de pertenencia de rol para ayudar a identificar los usuarios que deben
o no deben estar en el rol.
Catálogo de análisis
El catálogo de análisis es un conjunto de detalles y resúmenes analíticos que
ayudan a los analistas de roles a ajustar la eficiencia de los roles.
22 IBM Security Role and Policy Modeler: Guía de visión general del producto
Las tareas de análisis pretenden dar respuesta a cuestiones sobre los roles e
identificar usuarios potenciales, permisos y problemas. A continuación se ofrecen
ejemplos de preguntas a las que puede dar respuesta el catálogo de análisis:
v ¿Qué atributos de los miembros de rol son un buen indicador de pertenencia de
rol?
v ¿Qué atributos de los permisos de rol son un buen indicador de otros permisos
que pueden asignarse al rol?
v ¿Qué atributos tienen en común los miembros?
v ¿Hay buenos candidatos para el rol en función de estos atributos?
v ¿Qué accesos tienen en común los miembros?
v ¿Hay buenos candidatos para el rol en función de estos accesos similares?
v ¿Cómo se asignan los atributos de los permisos al rol similar?
v ¿Hay permisos de buenos candidatos para añadir al rol?
Si desea más información sobre cómo analizar roles y políticas, consulte el tema
“Análisis de roles y políticas” en el Information Center de IBM Security Role and
Policy Modeler .
Calificadores de pertenencia
Los analistas de roles pueden crear un calificador de pertenencia para filtrar la
pertenencia de un rol mediante la entrada de las línea de negocio o el catálogo de
análisis.
Análisis de informes
Además del análisis integrado en la interfaz de usuario, IBM Security Role and
Policy Modeler proporciona más detalles sobre los modelos de roles a través de la
interfaz de usuario.
Si desea más información sobre los informes de IBM Security Role and Policy
Modeler, consulte el tema “Informes” en el Information Center de IBM Security
Role and Policy Modeler.
Por ejemplo, cuando un analista de roles crea un rol o una jerarquía de roles en
IBM Security Role and Policy Modeler, el propietario del rol debe aprobar este
nuevo diseño. En el diagrama siguiente se muestran las interacciones y el flujo de
este tipo de proceso.
Propietarios de roles
Aprobar o
rechazar
comentario Correo
electrónico
ado
aliz
r s on Actualización
Diseño de e
op s Iniciar de estado
proceso es me
p r o c
i n for proceso de
personalizado r e
cia ría aprobación
Ini ito
d
Au
API REST
IBM Security Role
API de
and Policy Modeler Cognos
Seleccionar roles
para su aprobación
Analista de roles
24 IBM Security Role and Policy Modeler: Guía de visión general del producto
electrónico al propietario de rol para informarle de que debe aprobar un rol. El
propietario de rol aprueba o rechaza el nuevo rol mediante la aplicación de
proceso de Business Process Manager. El estado de este proceso se actualiza en la
consola de IBM Security Role and Policy Modeler.
Business Process Manager contiene los componentes siguientes que Role Lifecycle
Management utiliza:
v Business Process Manager Process Center ofrece el entorno de creación y
administración de las plantillas del proceso. La plantilla del proceso de Role
Lifecycle Management se importa en Process Center para personalizarla y
desplegarla.
Desde Process Designer, los usuarios se conectan a Process Center. Process
Admin Console permite a los administradores gestionar el servidor y las
aplicaciones de proceso en tiempo de ejecución.
v Business Process Manager Process Designer ofrece el entorno de creación para
crear aplicaciones de proceso. Process Designer sólo se puede ejecutar en un
sistema operativo Windows.
v Business Process Manager Process Server ofrece el motor de tiempo de
ejecución para admitir procesos empresariales. Process Admin Console permite a
los administradores gestionar el servidor y las aplicaciones de proceso en tiempo
de ejecución.
v Business Process Manager Process Portal ofrece la interfaz para que los
usuarios puedan participar en el proceso.
La instalación de IBM Security Role and Policy Modeler versión 1.1 fixpack 1 o
posterior copia una plantilla de proceso para la aprobación de rol en el directorio
lifecycle del directorio de instalación IBM Security Role and Policy Modeler HOME.
La plantilla de proceso incluye un kit de herramientas que permite a los usuarios
de Process Designer compartir los elementos de la biblioteca en las aplicaciones de
proceso. El nombre del archivo de plantilla es
IBM_Security_Role_Lifecycle_Management_Integrated_Approval.twx.
Puede utilizar la plantilla de proceso tal cual se ofrece, o puede personalizarla para
su proceso. Vaya al Information Center de IBM Business Process Manager en
http://publib.boulder.ibm.com/infocenter/dmndhelp/v7r5m1/topic/
com.ibm.wbpm.main.doc/ic-homepage-bpm.html y busque procesos de modelado.
26 IBM Security Role and Policy Modeler: Guía de visión general del producto
Hay otra plantilla de proceso de ejemplo en el directorio /samples del directorio de
instalación HOME de IBM Security Role and Policy Modeler. El nombre del archivo
de plantilla es IBM_Security_Role_Lifecycle_Management_Approval.twx. Esta
plantilla contiene un proceso que no utiliza la integración con la interfaz de
usuario de IBM Security Role and Policy Modeler. Consulte las instrucciones de
uso de esta plantilla en https://www.ibm.com/developerworks/
mydeveloperworks/wikis/home?lang=en#/wiki/Tivoli%20Identity%20Manager/
page/Role%20Lifecycle%20Management/attachments.
Para definir una solicitud de ciclo vital personalizado, consulte el tema “Creación
de una solicitud de ciclo de vida personalizado” en el Information Center de IBM
Security Role and Policy Modeler.
La instalación de IBM Security Role and Policy Modeler versión 1.1 fixpack 1 o
posterior copia una plantilla de proceso “Revisar” para la aprobación de rol en el
directorio samples del directorio de instalación de IBM Security Role and Policy
Modeler HOME. El nombre del archivo de plantilla de ejemplo es
IBM_Security_Role_Lifecycle_Management_Custom_Review_Example.twx. Consulte el
tema “Despliegue la aplicación del proceso Revisar de ejemplo” en el Information
Center de IBM Security Role and Policy Modeler.
Puede utilizar Process Center para personalizar, probar y desplegar las aplicaciones
de proceso. Puede tener uno o más de un Process Server conectado a Process
Center. Siga estos pasos:
1. Importe la plantilla de Role Lifecycle Management en Process Designer.
2. Opcional: Personalice la plantilla en función de los requisitos de su empresa y
pruébela en Process Center.
3. Opcional: Instale la aplicación de procesos en Process Server para realizar
pruebas.
4. Instale la aplicación de procesos en Process Server para producción.
Los analistas de roles y los propietarios de rol que trabajan con Role Lifecycle
Management deben estar definidos en registros siguiendo uno de estos escenarios:
v Registros basados en archivos para IBM Security Role and Policy Modeler y
Business Process Manager
v Registro basado en archivos para IBM Security Role and Policy Modeler y
registro LDAP para Business Process Manager
v Registro LDAP compartido entre IBM Security Role and Policy Modeler y
Business Process Manager
Administradores
28 IBM Security Role and Policy Modeler: Guía de visión general del producto
Responsabilidades
Estos administradores resuelven los errores del sistema de Role
Lifecycle Management.
Analista de roles
Informes
IBM Security Role and Policy Modeler proporciona funciones de creación de
informes para que los administradores y analistas de roles puedan generar
informes sobre diversos datos.
Los informes los crea Tivoli Common Reporting, que utiliza IBM Cognos. Tivoli
Common Reporting proporciona diversos tipos de informes que están preparados
para IBM Security Role and Policy Modeler. También puede crear informes
personalizados mediante Cognos Report Studio. Un modelo de Cognos Framework
Manager acelera la creación de informes personalizados. Si desea más información
sobre los informes, consulte el tema “Administración de informes” en el
Information Center de IBM Security Role and Policy Modeler.
30 IBM Security Role and Policy Modeler: Guía de visión general del producto
Tabla 2. Informes de IBM Security Role and Policy Modeler (continuación)
Nombre del Descripción del Fixpack 1 o Más
informe informe Release inicial posterior información
Permisos Los informes de v Tema
Permisos ofrecen “Informe
una visión del Permisos”
modelo centrada
v Tema
en el permiso.
“Generación
Para un modelo,
de informes
el informe
Permisos”
muestra si los
usuarios están
autorizados o
asignados
directamente al
permiso u
obtienen el
permiso
mediante la
pertenencia al
rol. Los informes
también
proporciona
información
sobre los roles
que tienen este
permiso.
32 IBM Security Role and Policy Modeler: Guía de visión general del producto
Tabla 2. Informes de IBM Security Role and Policy Modeler (continuación)
Nombre del Descripción del Fixpack 1 o Más
informe informe Release inicial posterior información
Acceso de Los informes de v Tema
usuario Acceso de “Informe
usuario Acceso de
proporcionan usuario”
una visión
v Tema
centrada en el
“Generación
usuario de los
de informes
datos en IBM
Acceso de
Security Role
usuario”
and Policy
Modeler. Para
cada uno de los
usuarios
seleccionados, el
informe muestra
los permisos
asignados
directamente a
este usuario y
los permisos
heredados por
este usuario.
Todos los roles Los informes de v Tema
de un proyecto Todos los roles “Informe
por propietario de un proyecto Todos los
por propietario roles de un
muestran proyecto por
información propietario”
detallada sobre
v Tema
los roles. Puede
“Generación
seleccionar los
de informes
roles en función
Todos los
del proyecto. El
roles de un
informe muestra
proyecto por
información de
propietario”
rol en función
del propietario
del rol.
Detalles del rol Los informes de v Tema
Detalles del rol “Informe
muestran Detalles del
información rol”
detallada sobre
v Tema
roles. Puede
“Generación
seleccionar los
de informes
roles en función
Detalles del
del proyecto y
rol”
de los roles.
34 IBM Security Role and Policy Modeler: Guía de visión general del producto
Capítulo 3. Novedades
El fixpack 1 y el fixpack 2 proporcionan actualizaciones a IBM Security Role and
Policy Modeler versión 1.1.
IBM Security Role and Policy Modeler versión 1.1 fixpack 1 proporciona las
siguientes actualizaciones:
Tabla 3. Novedades del Fixpack 1
Actualización Consulte
Integración de Role Lifecycle Management “Role Lifecycle Management” en la página
con IBM Security Role and Policy Modeler 24
Requisitos de sistema operativo “Requisitos de sistema operativo” en la
página 48
Requisitos de bibliotecas de Linux “Bibliotecas de requisito previo para Linux”
en la página 48
Soporte para Microsoft Internet Explorer, “Requisitos de navegador” en la página 53
Versión 9.0
Problemas conocidos Capítulo 6, “Limitaciones conocidas,
problemas y métodos alternativos”, en la
página 57
Instalación de fixpacks de IBM Security Role Tema “Tareas de instalación del fixpack”
and Policy Modeler versión 1.1
Resolución de problemas de la instalación de Tema “Resolución de problemas de los
los fixpacks de IBM Security Role and Policy errores de instalación del fixpack”
Modeler versión 1.1
Habilitación de Role Lifecycle Management Tema “Configuración y habilitación de Role
Lifecycle Management”
Realización de tareas administrativas de Tema “Administración de Role Lifecycle
Role Lifecycle Management Management”
Resolución de problemas en Role Lifecycle Tema “Resolución de problemas de Role
Management Lifecycle Management”
Informes nuevos y actualizados Tema “Informes”
Mensajes nuevos de Role Lifecycle Tema “Mensajes Role Lifecycle
Management Management”
Actualizaciones de fixpack 2
IBM Security Role and Policy Modeler versión 1.1 fixpack 2 proporciona las
siguientes actualizaciones:
Tabla 4. Novedades del fixpack 2
Actualización Consulte
Problemas conocidos Capítulo 6, “Limitaciones conocidas,
problemas y métodos alternativos”, en la
página 57
36 IBM Security Role and Policy Modeler: Guía de visión general del producto
Capítulo 4. Cómo empezar con IBM Security Role and Policy
Modeler
En esta sección se describen algunos conceptos clave y se ofrece una introducción a
las tareas iniciales que debe realizar para trabajar con IBM Security Role and Policy
Modeler.
Antes de empezar
Procedimiento
1. Inicie WebSphere Application Server con este mandato: WAS_PROFILE_HOME\bin\
startServer.bat nombreservidor. O utilice este mandato: WAS_PROFILE_HOME/
bin/startServer.sh nombreservidor.
2. Para detener WebSphere Application Server, utilice este mandato:
WAS_PROFILE_HOME\bin\stopServer.bat nombreservidor.
Iniciar la sesión
Para abrir la página de inicio de IBM Security Role and Policy Modeler, debe abrir
un navegador web, escribir la dirección correcta e iniciar la sesión en Tivoli
Integrated Portal. Puede establecer una conexión segura (HTTPS) o no segura
(HTTP) con Tivoli Integrated Portal.
Procedimiento
1. En la barra de direcciones, escriba una de estas direcciones para visualizar la
página de inicio de sesión de Tivoli Integrated Portal.
Opción Descripción
Para una conexión no segura, http://nombre_host:puerto/ibm/console
donde el puerto de transporte HTTP
predeterminado es: 16310, y el puerto de la
consola de administración de WebSphere es:
16315
Para una conexión segura, https://nombre_host:puerto/ibm/console
donde el puerto de transporte HTTPS
predeterminado es: 16311, y el puerto seguro
de la consola de administración de
WebSphere es: 16316
Una vez que haya iniciado la sesión en Tivoli Integrated Portal, puede empezar a
trabajar con IBM Security Role and Policy Modeler. Consulte “Explicación de la
interfaz de usuario”.
Nota: La página de inicio y el panel de navegación sólo muestran los nodos a los
que tiene acceso. Dependiendo de los roles en los que esté definido en Tivoli
Integrated Portal, es posible que no tenga acceso a ciertas tareas. Si no tiene acceso
a una tarea, ésta no se visualiza en la navegación. Para obtener acceso a una
determinada tarea, póngase en contacto con el administrador del sistema. Consulte
el tema el tema “Administración de usuarios” en el Information Center de IBM
Security Role and Policy Modeler.
38 IBM Security Role and Policy Modeler: Guía de visión general del producto
Figura 2. Página de inicio y panel de navegación
Ventana Proyectos
Utilice esta ventana para crear, editar, suprimir, exportar y volver a calcular
proyectos. La tabla de esta ventana muestra una lista de los nombres de los
proyectos, así como el estado, roles y políticas de los mismos. Al pulsar el enlace
de estado, obtendrá más detalles sobre el estado del proyecto.
Capítulo 4. Cómo empezar con IBM Security Role and Policy Modeler 39
Figura 3. Ventana Proyectos
Utilice esta ventana para planificar y desarrollar roles y políticas. Esta ventana se
divide en tres secciones:
Panel Resumen
Este panel proporciona información básica sobre el proyecto que
actualmente está modelando. Desde el panel de resumen, puede abrir otras
ventanas para:
v Editar el nombre y la descripción del proyecto
v Ver y actualizar el ámbito del proyecto
v Ver estadísticas adicionales sobre el proyecto
Panel Roles
Este panel proporciona una vista de los roles del proyecto en la que se
pueden realizar búsquedas. El panel Roles tiene dos vistas. Puede
conmutar entre las vistas pulsando el icono correspondiente:
40 IBM Security Role and Policy Modeler: Guía de visión general del producto
Hay un menú disponible cuando se pulsa el botón derecho del ratón en un
rol para realizar acciones en un rol específico y seleccionar un rol para su
análisis.
Utilice el icono Deshacer para retrotraer cambios realizados recientemente
en el modelo.
Panel Análisis
El panel de análisis proporciona un catálogo de tareas de análisis y una
ficha para la actividad de análisis actual que está realizando.
Capítulo 4. Cómo empezar con IBM Security Role and Policy Modeler 41
Figura 5. Ventana Roles y políticas (vista jerárquica) con visión general y menú
Panel Análisis
El panel Análisis contiene el catálogo y una ficha para la tarea de análisis
actual. El catálogo proporciona una lista de las tareas de análisis
disponibles. Cuando se pulsa un elemento del catálogo de análisis, cambia
a la ficha de análisis y muestra el resultado.
También hay disponible un menú de tareas de análisis vistas recientemente
en caso de que desee volver a un elemento de análisis anterior. El panel de
análisis se abre automáticamente cuando se selecciona Analizar rol desde
la ventana Roles y políticas. Puede utilizar las flechas de la barra
separadora para conmutar entre una vista minimizada, maximizada y
dividida del panel de análisis.
42 IBM Security Role and Policy Modeler: Guía de visión general del producto
Figura 6. Catálogo de análisis
Capítulo 4. Cómo empezar con IBM Security Role and Policy Modeler 43
Nota: La tarea ¿Qué tienen en común los miembros de este rol? permite el acceso a
más detalles en los enlaces de gráfico y tabla para un análisis adicional.
Utilice esta ventana para editar las propiedades de un rol. Navegue por la ventana
utilizando las fichas para editar propiedades específicas del rol. Estas propiedades
incluyen información general, jerarquía, pertenencia, permisos, política de
separación de funciones e información adicional sobre el rol.
Creación de informes
IBM Security Role and Policy Modeler proporciona informes para los recursos y
actividades del sistema.
44 IBM Security Role and Policy Modeler: Guía de visión general del producto
IBM Security Role and Policy Modeler utiliza IBM Tivoli Common Reporting para
crear informes. Para iniciar esta herramienta de informes, pulse Informe en la
página de inicio de IBM Security Role and Policy Modeler. Para obtener más
información sobre esta herramienta e instrucciones sobre cómo utilizarla, consulte
el Centro de información de Tivoli Common Reporting.
Capítulo 4. Cómo empezar con IBM Security Role and Policy Modeler 45
– Enlaces del sitio web de soporte electrónico de IBM
– Centro de información de Tivoli Common Reporting
Pulse los títulos en el panel de navegación izquierdo para expandir estas áreas.
v Pulse el icono ? en la esquina superior izquierda de un panel individual. Se abre
una nueva ventana que contiene la información de ayuda para ese panel
específico.
46 IBM Security Role and Policy Modeler: Guía de visión general del producto
Capítulo 5. Requisitos de hardware y software
IBM Security Role and Policy Modeler tienes varios requisitos de hardware y
software.
*
Oracle en Red Hat Enterprise Linux versión 6.0 no está soportado.
Tivoli Common Reporting instala archivos binarios de 32 bits. Debe instalar ambos
versiones, la 32 bits y la 64 bits, de las bibliotecas de requisito previo, incluso en el
sistema operativo Linux de 64 bits soportado.
Los niveles listados a continuación son lo últimos disponibles. Puede utilizar estas
versiones o versiones más nuevas.
48 IBM Security Role and Policy Modeler: Guía de visión general del producto
Red Hat Enterprise Linux 6.0 y posterior
Antes de ejecutar IBM Installation Manager en Red Hat Enterprise Linux 6.0
x86-64, descargue e instale estas bibliotecas:
Tabla 7. Bibliotecas de requisito previo para Red Hat Enterprise Linux 6.0 y posterior
Bibliotecas de 32 bits Bibliotecas de 64 bits
gtk2-2.18.9-6.el6.i686.rpm gtk2-2.18.9-6.el6.x86_64.rpm
glib2-2.22.5-6.el6.i686.rpm glib2-2.22.5-6.el6.x86_64.rpm
libXtst-1.0.99.2-3.el6.i686.rpm libXtst-1.0.99.2-3.el6.x86_64.rpm
compat-libstdc++-33-3.2.3- compat-libstdc++-33-3.2.3-
69.el6.i686.rpm 69.el6.x86_64.rpm
pam-1.1.1-10.el6.i686.rpm pam-1.1.1-10.el6.x86_64.rpm
openmotif22-2.2.3-19.el6.i686.rpm openmotif22-2.2.3-19.el6.x86_64.rpm
libXp-1.0.0-15.1.el6.i686.rpm libXp-1.0.0-15.1.el6.x86_64.rpm
libXmu-1.0.5-1.el6.i686.rpm libXmu-1.0.5-1.el6.x86_64.rpm
Cognos experimenta algunos propblemas con los controladores JDBC. En Red Hat
Enterprise Linux, el directorio /home/db2inst1/sqllib/java contiene un archivo
denominado db2java.zip.
Realice una copia del archivo db2java.zip y renombre el archivo copiado como
db2java.jar.
disk1/IBMTIP/cdimage/COI/PackageSteps/TCRCore/TCR.cognos.xml
Antes de instalar IBM Security Role and Policy Modeler, debe aumentar el valor de
ulimit a 2048 o superior en archivos abiertos. Para obtener más información,
consulte el apartado “Requisitos de servidor de informes” en la página 55.
Para resolver este error, cree un nuevo enlace simbólico. Ejecute este
mandato desde el directorio /usr/lib:
ln -s libXm.so.4 libXm.so.3
Requisitos de hardware
IBM Security Role and Policy Modeler tiene los siguientes requisitos de hardware.
Tabla 8. Requisitos de hardware para IBM Security Role and Policy Modeler
Componentes del sistema Valores mínimos Valores sugeridos
Memoria del sistema (RAM) 4 gigabytes (véase Nota) 8 gigabytes
Memoria del sistema 500 MB 500 MB
disponible
Velocidad del procesador Procesador único Intel o Procesador dual Intel o
pSeries de 3,0 gigahercios pSeries de 4 gigahercios
Espacio de disco para el 30 gigabytes 40 gigabytes
producto y los productos de
requisito previo
Nota:
v Si está utilizando un sistema operativo AIX o Linux, es necesario un mínimo de
8 gigabytes de espacio. Este requisito incluye el espacio RAM y de intercambio
50 IBM Security Role and Policy Modeler: Guía de visión general del producto
combinado. Por ejemplo, si el sistema tiene 4 gigabytes de RAM, debe haber
disponible un espacio de intercambio de 4 gigabytes para instalar el producto.
v Un sistema que está ejecutando un navegador del lado del cliente debe tener
uno de los siguientes requisitos mínimos:
– 3.0 gigahertz Intel con un controlador de gráficos rápido.
– Procesador pSeries y 4 gigabytes de RAM
1
Indica que el espacio es necesario en el directorio donde está instalado
WebSphere Application Server.
2
Incluye el espacio de disco necesario para las instalaciones de estos componentes:
Tivoli Integrated Portal,Tivoli Common Reporting y IBM Security Role and Policy
Modeler.
3
Incluye el espacio de disco necesario para las instalaciones de estos componentes:
Tivoli Common Reporting y IBM Security Role and Policy Modeler.
4
Si el directorio temporal no tiene espacio suficiente, puede cambiar el directorio
temporal del sistema para que apunte a una unidad que tenga espacio suficiente.
v sistema operativo Microsoft Windows: Restablezca las variables del sistema TMP
y TEMP para que apunten a la unidad con espacio suficiente. Por ejemplo,
D:/temp.
v AIX:
mv /tmp /mnt/new/location/tmp
ln -s /mnt/new/location/tmp /tmp
Importante:
– Debe tener autorización de usuario root para ejecutar estos mandatos.
– Ninguno de los archivos en el directorio temporal puede estar en uso cuando
ejecute estos mandatos.
– Si crea una carpeta para redirigir tmp, la carpeta debe tener privilegios
universales Read, Write y Execute (777).
Debe instalar una base de datos en un sistema local o utilizar un servidor de bases
de datos remoto.
Tabla 11. Requisitos de servidor de bases de datos
Servidor de bases de datos Fixpack y otros requisitos
DB2 Enterprise Server Edition, Versión 9.7 v Instale el fixpack 4 o posterior.
Si tiene que trabajar con informes de IBM
Security Role and Policy Modeler, debe:
v Instale el cliente de DB2 de 32 bits o de 54
bits en el sistema local, si utiliza un
servidor de bases de datos remotas.
52 IBM Security Role and Policy Modeler: Guía de visión general del producto
Tabla 11. Requisitos de servidor de bases de datos (continuación)
Servidor de bases de datos Fixpack y otros requisitos
Oracle Database Enterprise Edition 11g v La cantidad mínima de memoria (RAM)
Release 2 Fix Pack 2 para la base de datos de IBM Security
Role and Policy Modeler en la base de
datos Oracle es 1,5 GB. La cantidad
sugerida es 2,0 GB o más.
v La cantidad mínima de espacio de disco
para la base de datos de IBM Security
Role and Policy Modeler en la base de
datos Oracle es 10 GB. La cantidad
sugerida es 20 GB.
Si tiene que trabajar con informes de IBM
Security Role and Policy Modeler, debe:
v Instale el cliente de Oracle de 32 bits.
Nota: IBM Security Role and Policy Modeler no soporte un servidor de bases de
datos de 32 bits en un sistema operativo de 64 bits. Un servidor de bases de datos
de 32 bits sólo está soportado en un sistema operativo de 32 bits. De forma similar,
un servidor de bases de datos de 64 bits sólo está soportado en un sistema
operativo de 64 bits.
IBM Security Role and Policy Modeler incluye Java Runtime Environment versión
6.0.9.2 y sólo se utiliza con el fin de instalar Tivoli Integrated Portal, Tivoli
Common Reporting y los Fixpacks asociados.
Requisitos de navegador
La siguiente tabla lista los navegadores soportados y las versiones de navegador
soportadas. Los navegadores soportados no se incluyen con el producto.
Tabla 12. Requisitos de navegador para IBM Security Role and Policy Modeler
Sistema operativo Mozilla Microsoft Microsoft Microsoft
Firefox Internet Internet Internet
versión 10 Explorer, Explorer, Explorer,
ESR2, 3 Versión 7.0 Versión 8.0 Versión 9.01
Microsoft Windows 7 Intel
x86, 32 bits
Notas:
1. Microsoft Internet Explorer, Versión 9.0 está soportado en IBM Security Role
and Policy Modeler versión 1.1.0.1 (Fixpack 1) o posterior.
54 IBM Security Role and Policy Modeler: Guía de visión general del producto
2. Mozilla Firefox versión 3.6 está soportado en IBM Security Role and Policy
Modeler versión 1.1.0.1 y 1.1.0.0. Mozilla Firefox versión 10 ESR está soportado
en IBM Security Role and Policy Modeler versión 1.1.0.2.
3. Si tiene previsto utilizar Mozilla Firefox versión 10 ESR y ver informes,
asegúrese de instalar Tivoli Integrated Portal 2.2.0.7 y Tivoli Common
Reporting 2.2.1 con el arreglo temporal 6.
4. Compruebe que su navegador sea compatible con Adobe Flash Player. En el
momento de la publicación, Windows 2008 de 64 bits no es compatible con
Adobe Flash Player.
Debe instalar IBM Security Identity Manager versión 5.1, Fixpack 7 y el arreglo
temporal 32 para trabajar con los programas de utilidad de extracción y carga.
58 IBM Security Role and Policy Modeler: Guía de visión general del producto
Informes
El informe de operaciones de la base de datos de Identidad y titularidad sobre
asignaciones de usuarios a permisos falla en la base de datos Oracle
Se produce un error al intentar ejecutar el informe, con un mensaje similar
al siguiente:
UDA-SQL-0114 El cursor proporcionado a la operación "sqlOpenResult" está inactivo.
UDA-SQL-0107 Se ha producido una excepción general durante la operación "open result".
ORA-00600: código de error interno, argumentos: [rwoirw: check ret val],
[], [], [], [], [], [], [], [], [], [], []
Solución:
Este error es un problema conocido cuando se utiliza Oracle
Database 11gR2.0.2.0. Este problema se ha solucionado en Oracle
Database 11gR2.0.3. El método alternativo temporal es añadir un
desencadenante de base de datos a la base de datos Oracle de IBM
Security Role and Policy Modeler para establecer el parámetro de
Oracle "_replace_virtual_columns=false". Ejecute el siguiente
mandato desde una sesión de SQL*Plus conectada a la base de
datos Oracle de IBM Security Role and Policy Modeler con
privilegio de administración (es decir como SYSTEM o SYS):
-- BEGIN
CREATE OR REPLACE TRIGGER WORKAROUNDORA9965278 AFTER
LOGON ON DATABASE BEGIN
EXECUTE IMMEDIATE ’ALTER SESSION SET "_replace_virtual_columns"=false’;
END;
/
-- END
60 IBM Security Role and Policy Modeler: Guía de visión general del producto
Se registra una excepción al abrir Tivoli Common Reporting como un usuario no
administrador.
Abrir Tivoli Common Reporting como un usuario no administrador
provoca que se registre una excepción en el archivo de registro. La
excepción se produce aunque el usuario tenga los roles necesarios para
trabajar con los informes. Por ejemplo, puede registrarse el siguiente
mensaje de excepción en el archivo de registro para un usuario rapmuser:
CWWIM2008E El principal ’user:defaultWIMFileBasedRealm/uid=rapmuser,
o=d efaultWIMFileBasedRealm’ no tiene autorización para realizar la operación
Atributos
Los atributos de visualización multivalor sólo devuelven el primero encontrado.
Un atributo configurado como un atributo de visualización para una
identidad o un permiso en el archivo CSV de esquema puede contener
múltiples valores para un usuario o permiso. Por ejemplo, si uno de los
atributos de visualización de usuario es un número de teléfono, y si Juan
López tiene dos números de teléfono, la tabla que muestra los usuarios
Importación
Existen limitaciones al importar un archivo CSV que contiene caracteres de
delimitador y caracteres de secuencia de escape.
Estas dos limitaciones son aplicables para la operación de importación de
datos y de esquema. En los ejemplos siguientes, el delimitador es un signo
de dos puntos (:), y el carácter de secuencia de escape es un signo de
comillas dobles (").
v El espacio después del delimitador no es válido en ningún registro. Por
ejemplo:
– Espacio después del delimitador en la definición de sección:
#Definir atributos jerárquicos: "hrdirectory://locationAttribute"
– Espacio después del delimitador en la definición de atributo:
"UID de registro de origen":"UID de persona": "Nombre de persona"
– Espacio después del delimitador en el registro de datos:
"source://source1": "Nombre de origen 1":"Descripción de origen 1"
v La secuencia de escape en una serie encerrada por la misma secuencia
de escape no es válida. Por ejemplo:
’O’BRIEN: MIKE’
o
"3 feet 6" "
El proceso de cargar archivos de datos de gran tamaño antes de la operación de
importación puede tardar mucho tiempo.
El proceso de cargar archivos de datos de gran tamaño puede tardar
mucho tiempo dependiendo de estos factores:
v La velocidad de la red.
v La velocidad del sistema del navegador del cliente.
v La ubicación del servidor de aplicaciones.
No cierre la sesión durante el proceso de carga de archivos. Se produce un
error si intenta cerrar la sesión antes de que termine el proceso de carga de
archivos.
Copia de roles
Se produce un error al copiar un rol que contiene comillas en el nombre de rol.
Se produce un error interno y la operación de copia de rol falla cuando se
realiza una de estas acciones:
1. Seleccionar un rol existente en el modelo que contiene comillas en el
nombre de rol. Por ejemplo, Enfermera de "Urgencias".
2. Pulsar Copiar rol.
Método alternativo
Elimine las comillas del nombre de rol que desea copiar.
Existe una limitación al copiar roles en el proyecto.
La operación copiar roles en el proyecto puede fallar si el número de roles
asociados a restricciones de separación de funciones directamente o
62 IBM Security Role and Policy Modeler: Guía de visión general del producto
mediante jerarquía excede de 100. En la interfaz de usuario de IBM
Security Role and Policy Modeler, el estado de la operación de copia de rol
cambia a La copia de rol ha fallado (Es necesario recalcular). Puede
realizar la operación Recalcular el proyecto. Después de realizar la
operación Recalcular el proyecto, el estado del proyecto cambia de nuevo
a Listo para editar para copiar otros roles en el proyecto.
Este problema no se produce si ha instalado IBM Security Role and Policy
Modeler versión 1.1 Fixpack 1 o posterior. Consulte el tema “Tareas de
instalación del fixpack” en el Information Center de IBM Security Role and
Policy Modeler.
Navegadores
El control de carga de Internet Explorer 8 muestra C:\fakepath.
La característica de seguridad de Internet Explorer 8 oculta la vía de acceso
del archivo seleccionado al widget de carga. El valor de seguridad de
Internet Explorer Incluir la ruta de acceso al directorio local cuando se
carguen archivos a un servidor controla si el navegador revela la vía de
acceso local al widget de carga de archivos. De forma predeterminada, esta
opción está seleccionada como Deshabilitar, por lo que se muestra la serie
C:\fakepath en el nombre de la vía de acceso de archivo.
Método alternativo
Si no desea que el navegador oculte la vía de acceso local del
archivo seleccionado, siga estos pasos:
1. Inicie Internet Explorer.
2. Pulse Herramientas > Opciones de Internet.
3. En la pestaña Seguridad, pulse el icono Internet y luego pulse
Nivel personalizado.
4. En el área Incluir la ruta de acceso al directorio local cuando
se carguen archivos a un servidor, seleccione Habilitar.
No se pueden ver las ventanas de inicio, proyecto e importación de IBM Security
Role and Policy Modeler en Internet Explorer si se ejecuta en un sistema
Windows remoto.
Si tiene este problema en Internet Explorer al ejecutarse en un sistema
Windows, añada el sitio web de IBM Security Role and Policy Modeler a la
lista Sitios de confianza.
Método alternativo
Para añadir un sitio web a la lista Sitios de confianza, siga estos
pasos:
1. Inicie Internet Explorer.
2. Navegue hasta el sitio web que desea añadir a una zona de
seguridad específica.
3. Pulse Herramientas > Opciones de Internet.
4. En la pestaña Seguridad, pulse el icono Sitios de confianza.
5. Pulse Sitios.
6. En Agregar este sitio web a la zona de:, revise la dirección del
sitio web.
7. Pulse Agregar.
64 IBM Security Role and Policy Modeler: Guía de visión general del producto
plug-in de servidor web para SSL. Si esta configuración no se realiza
correctamente, la jerarquía de roles y otras vistas de topología pueden
fallar con el siguiente error:
Navegador web:
ATKRST100E Se ha producido un error inesperado. El mensaje de error es
el siguiente:
’java.lang.RuntimeException: javax.net.ssl.SSLException:
Unrecognized SSL message, plaintext connection?’.
Método alternativo
Configure las comunicaciones SSL entre el plug-in de HTTP Server
y WebSphere Application Server. Para obtener información sobre
esta configuración, consulte http://publib.boulder.ibm.com/
infocenter/wasinfo/v7r0/topic/com.ibm.websphere.base.doc/info/
aes/ae/tsec_httpserv2.html.
Utilizar localhost en un sistema con direcciones IPv6 (Protocolo Internet versión
6) causa un problema al cargar la vista jerárquica.
Al acceder a IBM Security Role and Policy Modeler utilizando IPv6, la
carga de una vista jerárquica o de topología falla. La representación gráfica
de los valores de atributo jerárquico de usuario y permiso no se visualiza
al:
v Crear un proyecto de modelado
v Modificar el ámbito de un proyecto de modelado existente
v Crear o modificar un calificador de pertenencia para un rol
Se graba una excepción IllegalArgumentException en el archivo
System.out de WebSphere Application Server.
Método alternativo
Acceda a Tivoli Integrated Portal utilizando el nombre de host
completo o con la dirección de bucle de retorno IPv4 127.0.0.1.
Este problema no se produce si ha instalado IBM Security Role and
Policy Modeler versión 1.1 Fixpack 1 o posterior. Consulte el tema
“Tareas de instalación del fixpack” en el Information Center de
IBM Security Role and Policy Modeler.
La vista jerárquica no funciona en Internet Explorer 9 en Windows 2008 de 64
bits.
Método alternativo
Se necesita un navegador compatible con Adobe Flash Player para
que se muestra la vista jerárquica.
La ventana de ayuda está vacía en Internet Explorer 9.
Al pulsar el icono de ayuda de IBM Security Role and Policy Modeler, la
ventana de ayuda está vacía. Este problema sólo sucede con Internet
Explorer 9.
Método alternativo
Habilite la opción META REFRESH en Internet Explorer 9. Para
habilitar la opción, siga estos pasos:
1. Pulse Herramientas > Opciones de Internet.
2. En la ventana Opciones de Internet, pulse la ficha Seguridad.
3. Pulse el botón Nivel personalizado.
4. En la ventana Configuración de seguridad, desplácese por la
lista hasta la opción Permitir META REFRESH en la sección
Miscelánea.
Interfaz de usuario
Si intenta acceder a la consola se produce un error No se ha podido conectar al
servidor.
Se puede producir el error No se ha podido conectar al servidor cuando
se intenta acceder a la consola de IBM Security Role and Policy Modeler en
los escenarios siguientes:
v Se ha instalado IBM Security Role and Policy Modeler versión 1.1
fixpack 1 o posterior.
v Se ha retrotraído el fixpack 1 o un fixpack posterior.
v Se ha desinstalado Tivoli Integrated Portal 2.2 fixpack 5.
v Se ha iniciado la consola de IBM Security Role and Policy Modeler.
Además, en TIP_PROFILE_HOME/logs/nombre_servidor/SystemOut.log
puede encontrar el error siguiente:
WSWS7011E: La configuración del módulo
de aplicación com.ibm.security.modeling.rest.war no se puede cargar
correctamente.
Esto significa que hay un problema con el archivo que ejecuta el servidor
de IBM Security Role and Policy Modeler.
Método alternativo
Instale el servidor de IBM Security Role and Policy Modeler.
Consulte el tema el tema “Instalación del servidor IBM Security
Role and Policy Modeler” en el Information Center de IBM
Security Role and Policy Modeler.
66 IBM Security Role and Policy Modeler: Guía de visión general del producto
Rendimiento
A veces, al detener Tivoli Integrated Portal con el script stopTCRserver.sh
pueden producirse archivos core.
Para buscar y rastrear los archivos core, vaya al directorio
$TCR_HOME/cognos/bin64.
Método alternativo
Limpie el volcado del núcleo de Java para evitar que se llene el
disco duro.
68 IBM Security Role and Policy Modeler: Guía de visión general del producto
4. En la ventana emergente Configuración de seguridad, busque
la sección Miscelánea de los valores y Mostrar contenido
mixto.
5. Pulse Habilitar para mostrar el contenido mixto.
6. Pulse Aceptar para guardar el valor.
7. Pulse Aceptar para guardar las opciones de Internet.
No se pueden seleccionar aprobadores en la lista en Business Process Manager.
En determinadas circunstancias en Business Process Manager, el widget de
selección de aprobador en el formulario de solicitud de aprobación de rol
no funciona correctamente. Es decir, no se puede seleccionar un aprobador
en la lista. Este problema es independiente del tipo de navegador que
utilice.
Método alternativo
Para solucionar este problema, especifique el nombre de host que
coincida con el valor del URL de Process Portal que ha
especificado durante la instalación. Por ejemplo:
v Si ha utilizado el nombre de dominio completo, utilice dicho
valor de nombre de dominio en el URL. Por ejemplo, especifique
http://host9.example.com:9080/portal.
v Si ha utilizado el nombre de host, utilice sólo el nombre de host
en el URL. Por ejemplo, especifique http://host9:9080/portal.
El botón Probar conexión en el panel de instalación AIX de Business Process
Manager no funciona.
Durante la instalación AIX de IBM Business Process Manager Standard, si
pulsa el botón Probar conexión, éste no funciona. Este botón se encuentra
en el panel “Instalar Process Server”.
Método alternativo
No se puede probar la conexión durante este proceso de
instalación. Pulse Siguiente para continuar con la instalación.
Error no especificado al enviar una solicitud de ciclo de vida en IBM Security
Role and Policy Modeler.
Puede recibir los errores siguiente al enviar una solicitud de Role Lifecycle
Management dentro de la consola de IBM Security Role and Policy
Modeler:
Se ha producido un error no especificado
Este error se muestra en un mensaje de correo electrónico que se envía al
ID de usuario tw_admin y también se muestra en Business Process Manager
Process Inspector.
[1/27/12 13:16:33:559 EST] 0000002e exception
E com.ibm.websphere.wim.security.authz.AccessException
CWWIM2008E El principal ’user:defaultWIMFileBasedRealm/uid=rapmuser,
o=defaultWIMFileBasedRealm’ is not authorized to perform the operation
’GET PersonAccount’ on ’uid=rapmuser,o=defaultWIMFileBasedRealm’
70 IBM Security Role and Policy Modeler: Guía de visión general del producto
sesión de un usuario en la consola de IBM Security Role and Policy Modeler.
El escenario siguiente hace que se finalice la sesión de un usuario en la
consola de IBM Security Role and Policy Modeler:
v Los servidores IBM Security Role and Policy Modeler y Business Process
Manager están instalados en el mismo sistema.
v No se ha configurado inicio de sesión único entre los dos servidores.
v Ha iniciado sesión en la consola de IBM Security Role and Policy
Modeler.
v Ha iniciado sesión en Business Process Manager Portal como un usuario
distinto y después ha finalizado la sesión.
v Se ha finalizado la sesión en la consola de IBM Security Role and Policy
Modeler.
Método alternativo
Para evitar este problema, siga estos pasos:
1. Cree un alias de DNS para el sistema.
2. Acceda a la consola de IBM Security Role and Policy Modeler
mediante el alias que ha definido en el paso 1. Por ejemplo,
especifique:
http://alias_DNS:16311/ibm/console
En la consola, la ventana Roles y políticas no lista la acción Someter solicitud en
el menú.
Si ha instalado IBM Security Role and Policy Modeler fixpack 1, o
posterior, y ha configurado y habilitado la función Role Lifecycle
Management, es posible que tenga un problema al acceder a la acción
Someter solicitud. De forma específica, si está en la ventana Roles y
políticas, selecciona uno o varios roles y pulsa el menú Acciones, puede
que la acción Someter solicitud no se muestre en la lista.
Método alternativo
En el navegador, borre las cookies y la memoria caché e inicie de
nuevo la consola de IBM Security Role and Policy Modeler.
Se muestra el error "Cannot calculate next primary key" (No se puede calcular la
clave primaria siguiente) en el correo electrónico del analista de roles después de
enviar los roles para su aprobación.
Después de que un analista de roles envíe los roles para su aprobación, se
devuelve un correo electrónico con un error en relación con uno o varios
envíos que indica “Cannot calculate next primary key”.
Método alternativo
Consulte la información del tema siguiente para solucionar el
problema: http://www-01.ibm.com/support/
docview.wss?uid=swg21508974
No se puede llamar al método "isInParticipantGroup“ de error nulo después de
enviar roles para su aprobación.
Después de que un analista de roles envíe roles para su aprobación, el
proceso de aprobación podría mostrar un error con el mensaje siguiente en
el archivo SystemOut.log de IBM Security Role and Policy Modeler:
CTJRG9233E No se ha podido someter la solicitud de ciclo de vida de Business
Process Manager para el tipo de solicitud: APPROVAL, nombre abreviado de
proceso: IBMRLP2, y nombre de proceso: Role Approval Request
72 IBM Security Role and Policy Modeler: Guía de visión general del producto
Apéndice A. Convenios utilizados en esta información
Esta información utiliza varios convenios para términos y acciones especiales y
para vías de acceso y mandatos que dependen del sistema operativo.
Para los usuarios que no sean administrador ni root, sustituya las siguientes vías
de acceso por inicio_usuario:
v sistema operativo Windows: unidad:\Archivos de programa
v Linux: /opt
v UNIX o AIX: /usr
Tabla 14. Definiciones de variables de directorio de inicio
Definiciones
Variable de vía de acceso predeterminadas Descripción
SM_HOME v sistema operativo El directorio base que
Windows: C:\Archivos de contiene IBM Security Role
programa\IBM\ and Policy Modeler y la
SecurityModeler documentación.
v Linux, UNIX o AIX:
/opt/IBM/SecurityModeler
DB_HOME v sistema operativo El directorio de inicio
Windows: C:\Archivos de predeterminado de DB2.
programa\IBM\SQLLIB
v Linux: /opt/ibm/db2/V9.7
v UNIX o AIX:
/opt/IBM/db2/V9.7
WAS_HOME v sistema operativo El directorio de inicio
Windows: C:\Archivos de predeterminado de
programa\IBM\WebSphere\ WebSphere Application
AppServer Server.
v Linux:
/opt/IBM/WebSphere/
AppServer
v UNIX o AIX:
/usr/IBM/WebSphere/
AppServer
TIP_PROFILE_HOME v sistema operativo El directorio de inicio
Windows: predeterminado de Tivoli
WAS_HOME\profiles\ Integrated Portal.
TIPProfile
v Linux, UNIX o AIX:
WAS_HOME/profiles/
TIPProfile
74 IBM Security Role and Policy Modeler: Guía de visión general del producto
Tabla 14. Definiciones de variables de directorio de inicio (continuación)
Definiciones
Variable de vía de acceso predeterminadas Descripción
TCR_COMPONENT_HOME v sistema operativo El directorio de inicio de
Windows: C:\Archivos de Tivoli Common Reporting.
programa\IBM\WebSphere\
AppServerComponents\
TCRComponent
v Linux:
/opt/IBM/WebSphere/
AppServerComponents/
TCRComponent
v UNIX o AIX:
/usr/IBM/WebSphere/
AppServerComponents/
TCRComponent
Funciones de accesibilidad
Información de la interfaz
La vista jerárquica no es accesible mediante el teclado
La vista jerárquica del modelo de roles y políticas no es accesible mediante
el teclado. No obstante, la vista de tabla del modelo de roles y política es
accesible mediante el teclado. Los clientes que necesiten un modelo de
roles y política al que se pueda acceder mediante el teclado pueden utilizar
la vista de tabla de la ventana Roles y políticas.
Los gráficos de análisis no son accesibles mediante el teclado
Hay una representación alternativa de los mismos datos en forma de tablas
de entrada y salida en las ventanas de análisis.
Navegadores soportados para la accesibilidad
Mozilla FireFox 3.6.22.
Microsoft Internet Explorer 8. Para obtener información sobre los
problemas de accesibilidad conocidos de este navegador, consulte el tema
"Limitaciones conocidas, problemas y métodos alternativos" en el
Information Center de IBM Security Role and Policy Modeler.
Los informes son accesibles
Los informes son accesibles en formato HTML y PDF. Para obtener
información, consulte el tema "Tecnologías de asistencia para informes" en
el Information Center de IBM Security Role and Policy Modeler.
Cómo abrir la ayuda en línea en IBM Security Role and Policy Modeler
Para Microsoft Internet Explorer, pulse Alt+6+Intro.
Para Mozilla FireFox, pulse Mayús+Alt+6.
Consulte la página web IBM Human Ability and Accessibility Center para obtener
más información sobre el compromiso de IBM con la accesibilidad.
78 IBM Security Role and Policy Modeler: Guía de visión general del producto
Avisos
Esta información de ha desarrollado para productos y servicios que se ofrecen en
EE.UU.
IBM podría tener patentes o solicitudes de patente en trámite que cubran los
contenidos descritos en este documento. La entrega de este documento no le otorga
ninguna licencia sobre dichas patentes. Puede enviar consultas sobre licencias, por
escrito, a:
Para realizar consultas sobre licencias relacionadas con información del juego de
caracteres de doble byte (DBCS), póngase en contacto con el departamento de
propiedad intelectual de IBM de su país o envíe sus consultas, por escrito, a:
Los licenciatarios de este programa que deseen tener información sobre él para
permitir: (i) el intercambio entre programas creados de forma independiente y
otros programas (incluido este) y (ii) el uso mutuo de información que se haya
intercambiado, deben ponerse en contacto con:
IBM Corporation
J46A/G4
555 Bailey Avenue
San Jose, CA 95141-1003
EE.UU.
LICENCIA DE COPYRIGHT:
80 IBM Security Role and Policy Modeler: Guía de visión general del producto
Esta información contiene programas de aplicación de ejemplo en lenguaje fuente
que ilustran técnicas de programación en diversas plataformas operativas. Puede
copiar, modificar y distribuir libremente estos programas de ejemplo, sin pago
alguno a IBM, con el propósito de desarrollar, utilizar, comercializar o distribuir
programas de aplicación en conformidad con la interfaz de programación de
aplicaciones para la plataforma operativa para la que se han escrito los programas
de ejemplo. Estos ejemplos no se han probado exhaustivamente bajo todas las
condiciones. Por consiguiente, IBM no puede garantizar ni certificar la fiabilidad,
capacidad de servicio o funcionamiento de estos programas. Los programas de
ejemplo se proporcionan "TAL CUAL", sin ningún tipo de garantía. IBM no se hará
responsable de ningún daño provocado por el uso de los programas de ejemplo.
Marcas registradas
Java y todas las marcas registradas y logotipos basados en Java son marcas
registradas de Sun Microsystems, Inc. en Estados unidos o en otros países.
UNIX es una marca registrada de The Open Group en Estados Unidos y otros
países.
Oracle Outside In Technology aquí incluido está sujeto a una licencia de uso
restringido y sólo se puede utilizar conjuntamente con esta aplicación.
Avisos 81
82 IBM Security Role and Policy Modeler: Guía de visión general del producto
Índice
A entorno de producción
utilizar 27
L
accesibilidad viii entorno de prueba 27 limitaciones conocidas 57
administradores estadísticas de proyecto 22 lista de control de accesos (ACL) 19
Role Lifecycle Management 28 estadísticas de rol 22
análisis de informes 23
analista de roles 1
descripción 28
N
archivo CSV 20 F nombre de persona 13
archivo de valores separados por comas flujo de datos 20
(CSV) 1 flujo de proceso
asignaciones de usuarios a permisos 9 Role Lifecycle Management 25 O
atributos de esquema 10, 13 formación viii Oracle
avisos 79 Véase formación técnica requisitos 52
formación técnica viii orígenes de datos 11
funciones de accesibilidad de este
B producto 77
base de datos P
Identidad y titularidad 20 página de inicio 38
requisitos 52 G panel Análisis 39
transferencia 20 generación de roles 1, 22 panel de navegación 38
base de datos de Identidad y gestión de datos 19 permisos
titularidad 11, 20 esquema 19 descripción de permiso 14
base de datos de transferencia 20 modelado de datos 19 nombre de permiso 14
Business Process Manager grupo participante UID de permiso 14
introducción 26 definición 28 política
grupos 18 ciclo de gestión 5
definido en proceso de aprobación de prestaciones 1
C rol 28 Process Center
descripción 26
calificadores de pertenencia 23
Process Designer
cardinalidad 18
catálogo de análisis 23 H descripción 26
herramientas de análisis de modelado de Process Portal
cómo empezar 37
roles 22 descripción 26
compatibilidad con otro software 47
Process Server
compatibilidad de software 47
descripción 26
convenios
programa de utilidad de extracción 20
tipo de letra 73 I programas de utilidad de extracción 10
convenios de tipo de letra 73 IBM propietario de rol
Soporte de Software viii descripción 28
Support Assistant viii publicaciones vii
D identidades de usuario 13 acceso en línea vii
DB2 importación de datos 20 convenios 73
requisitos 52 importación de esquema 20 en línea vii
descripción de la regla 18 informes 45 lista para este producto vii
determinación de problemas viii informes personalizados 29
directorios visión general 29
inicio 74
variables 74
infracciones de restricciones 1
integración con roles de Security Identity
R
Manager 24 requisitos
directorios de inicio
integración del proceso de seguridad 3 base de datos 52
ubicaciones 74
interfaz de usuario 38 bibliotecas de Linux 48
documentación
informes 45 hardware y software 47
en línea 45
página de inicio 38 requisito previo para programas de
documentación de ayuda 45
panel Análisis 39 utilidad de extracción y carga 55
documentación en línea 45
panel de navegación 38 requisitos de hardware y software 47
ventana Datos de identidad y requisitos de Java Runtime
Environment 53
E titularidad 45
ventana Propiedades de rol 39 requisitos de servidor de informes 55
en línea ventana Proyectos 39 requisitos de software 52
publicaciones vii ventana Roles y políticas 39 requisitos de WebSphere Application
terminología vii Server 52
S
simulación interactiva 1
sistemas operativos soportados 47
sitio web de terminología vii
solicitud de aprobación de rol
descripción 26
solicitud del ciclo de vida personalizado
descripción 27
T
terminología vii
tipos de atributo
atributo personalizado 11
entero 11
identidad 11
jerarquía 11
serie 11
tipos de objetos 9
tipos de relaciones 9
rol a permiso 18
rol a restricción 18
rol a rol 18
usuario a permiso 18
usuario a rol 18
Tivoli Integrated Portal
iniciar la sesión 37
U
ubicaciones
directorios de inicio 74
UID de persona 13
84 IBM Security Role and Policy Modeler: Guía de visión general del producto
Impreso en España
GC11-8124-01