IBM Security Role and Policy Modeler

IBM Security Role and Policy Modeler
Versión 1 Release 1
Guía de visión general del producto
GC11-8124-01
IBM Security Role and Policy Modeler
Versión 1 Release 1
Guía de visión general del producto
GC11-8124-01
Octubre de 2012
Esta edición se aplica a la versión 1.1.0.2 de IBM Security Role and Policy Modeler y a todos los releases y las
modificaciones posteriores, hasta que se indique lo contrario en nuevas ediciones.
© Copyright IBM Corporation 2011, 2012.
Contenido
Tablas . . . . . . . . . . . . . . . v Capítulo 4. Cómo empezar con IBM
Security Role and Policy Modeler . . . 37
Acerca de esta publicación . . . . . . vii Iniciar y detener IBM Security Role and Policy
Acceso a publicaciones y terminología . . . . . vii Modeler . . . . . . . . . . . . . . . 37
Biblioteca de IBM Security Role and Policy Iniciar la sesión . . . . . . . . . . . . . 37
Modeler . . . . . . . . . . . . . . vii Explicación de la interfaz de usuario . . . . . . 38
Publicaciones en línea . . . . . . . . . . vii Página de inicio y panel de navegación . . . . 38
Sitio web de terminología de IBM . . . . . . vii Modelado de roles y políticas . . . . . . . 39
Accesibilidad . . . . . . . . . . . . . viii Creación de informes . . . . . . . . . . 44
Formación técnica . . . . . . . . . . . . viii Importación de datos de identidad y titularidad 45
Información de soporte . . . . . . . . . . viii Ayuda y documentación en línea . . . . . . . 45
Capítulo 1. Introducción a IBM Security Capítulo 5. Requisitos de hardware y

Role and Policy Modeler . . . . . . . 1 software . . . . . . . . . . . . . . 47
Prestaciones . . . . . . . . . . . . . . 1 Compatibilidad con otro software . . . . . . . 47
Quién utiliza este producto . . . . . . . . . 3 Requisitos de sistema operativo . . . . . . . 48
Integración del proceso de seguridad . . . . . . 3 Bibliotecas de requisito previo para Linux . . . 48
Ciclo de gestión de roles y políticas. . . . . . . 4 Requisitos de hardware . . . . . . . . . . 50
Requisitos de software. . . . . . . . . . . 52
Capítulo 2. Característica del producto . 9 Requisitos de WebSphere Application Server . . 52
Explicación de los datos . . . . . . . . . . 9 Requisitos de servidor de bases de datos . . . 52
Objetos básicos del modelado de roles . . . . . 9 Requisitos de Java Runtime Environment . . . 53
Grupos . . . . . . . . . . . . . . . 18 Requisitos de navegador . . . . . . . . . 53
Gestión de datos. . . . . . . . . . . . . 19 Requisitos de servidor de informes . . . . . 55
Importación de esquema . . . . . . . . . 20 Requisitos previos para las herramientas de
Importación de datos . . . . . . . . . . 20 extracción y carga . . . . . . . . . . . 55
Flujo de datos . . . . . . . . . . . . 20
Herramientas de análisis de modelado de roles . . 22 Capítulo 6. Limitaciones conocidas,
Estadísticas de proyecto y rol . . . . . . . 22 problemas y métodos alternativos . . . 57
Generación de roles . . . . . . . . . . 22
Catálogo de análisis . . . . . . . . . . 22 Apéndice A. Convenios utilizados en
Calificadores de pertenencia . . . . . . . . 23
esta información . . . . . . . . . . 73
Análisis de informes . . . . . . . . . . 23
Convenios de tipo de letra . . . . . . . . . 73
Integración con roles de IBM Security Identity
Definiciones para HOME y otras variables de
Manager . . . . . . . . . . . . . . . 23
directorios . . . . . . . . . . . . . . . 74
Role Lifecycle Management . . . . . . . . . 24
Flujo de proceso para aprobación de roles . . . 25
Introducción a Business Process Manager . . . 26 Apéndice B. Funciones de
Solicitud de ciclo de vida de aprobación de roles 26 accesibilidad de IBM Security Role and
Solicitud del ciclo de vida personalizado . . . 27 Policy Modeler . . . . . . . . . . . 77
Entornos de prueba y producción . . . . . . 27
Registros de usuario . . . . . . . . . . 28 Avisos . . . . . . . . . . . . . . . 79
Definiciones y autorización de usuario y grupo 28
Informes . . . . . . . . . . . . . . . 29
Índice . . . . . . . . . . . . . . . 83
Capítulo 3. Novedades . . . . . . . . 35
© Copyright IBM Corp. 2011, 2012 iii

iv IBM Security Role and Policy Modeler: Guía de visión general del producto
Tablas
1. Pasos del flujo de proceso de la aprobación de 8. Requisitos de hardware para IBM Security
roles de Role Lifecycle Management . . . . 25 Role and Policy Modeler . . . . . . . . 50
2. Informes de IBM Security Role and Policy 9. Requisitos de espacio de disco . . . . . . 51
Modeler. . . . . . . . . . . . . . 30 10. Requisitos de WebSphere Application Server 52
3. Novedades del Fixpack 1 . . . . . . . . 35 11. Requisitos de servidor de bases de datos 52
4. Novedades del fixpack 2 . . . . . . . . 35 12. Requisitos de navegador para IBM Security
5. Compatibilidad de la instalación de IBM Role and Policy Modeler . . . . . . . . 53
Security Role and Policy Modeler . . . . . 47 13. Requisitos de servidor de informes. . . . . 55
6. Requisitos de sistema operativo para IBM 14. Definiciones de variables de directorio de
Security Role and Policy Modeler . . . . . 48 inicio. . . . . . . . . . . . . . . 74
7. Bibliotecas de requisito previo para Red Hat
Enterprise Linux 6.0 y posterior . . . . . . 49
© Copyright IBM Corp. 2011, 2012 v

vi IBM Security Role and Policy Modeler: Guía de visión general del producto
Acerca de esta publicación
IBM Security Role and Policy Modeler: Guía de visión general del producto contiene
temas de visión general para IBM® Security Role and Policy Modeler.
Acceso a publicaciones y terminología

Este apartado proporciona:
v “Biblioteca de IBM Security Role and Policy Modeler”
v “Publicaciones en línea”
v “Sitio web de terminología de IBM”
Biblioteca de IBM Security Role and Policy Modeler

Los documentos siguientes están disponibles en la biblioteca de IBM Security Role
and Policy Modeler:
v IBM Security Role and Policy Modeler Quick Start Guide, GI11-9350
v IBM Security Role and Policy Modeler Guía de visión general del producto, GC11-8124
v IBM Security Role and Policy Modeler Planning Guide, SC22-5407
v IBM Security Role and Policy Modeler Installation and Configuration Guide,
SC27-2743
v IBM Security Role and Policy Modeler Administration Guide, SC27-2796
v IBM Security Role and Policy Modeler Troubleshooting Guide, GC27-2797
v IBM Security Role and Policy Modeler Message Guide, GC27-2744
v IBM Security Role and Policy Modeler Reference Guide, SC27-2798
v IBM Security Role and Policy Modeler Glossary, SC27-2800
Publicaciones en línea
IBM publica anuncia publicaciones del producto cuando se publica el producto y
cuando se actualizan las publicaciones en las ubicaciones siguientes:
Information Center de IBM Security Role and Policy Modeler
El sitio http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/topic/
com.ibm.security.modeling.doc/ic-homepage.htm muestra la página de
bienvenida del Information Center para este producto.
IBM Security Information Center
El sitio http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/index.jsp
muestra una lista alfabética e información general sobre toda la
documentación del producto IBM Security.
IBM Publications Center
El sitio http://www.ibm.com/e-business/linkweb/publications/servlet/
pbi.wss ofrece funciones de búsqueda personalizadas para ayudarle a
encontrar todas las publicaciones de IBM que necesite.
Sitio web de terminología de IBM

El sitio web de terminología de IBM consolida la terminología de las bibliotecas de
producto en una sola ubicación. Puede acceder al sitio web de terminología en
http://www.ibm.com/software/globalization/terminology.
© Copyright IBM Corp. 2011, 2012 vii

Accesibilidad
Las funciones de accesibilidad permiten que los usuarios que padecen alguna
discapacidad física, como movilidad limitada o visión reducida, utilicen los
productos de software de manera satisfactoria. Con este producto, puede utilizar
tecnologías de asistencia para oír lo que aparece en la interfaz y navegar por ella.
También puede utilizar el teclado, en lugar del ratón para utilizar todas las
características de la interfaz gráfica de usuario.
Si desea información adicional, consulte Apéndice B, “Funciones de accesibilidad

de IBM Security Role and Policy Modeler”, en la página 77.
Formación técnica
Para ver información de formación técnica, consulte el siguiente sitio web de IBM
Education en http://www.ibm.com/software/tivoli/education.
Información de soporte
El soporte de IBM presta ayuda con problemas relacionados con el código y
preguntas breves sobre la instalación o el uso. Puede acceder directamente al sitio
de IBM Software Support en http://www.ibm.com/software/support/
probsub.html.
IBM Security Role and Policy Modeler Troubleshooting Guide proporciona detalles
sobre:
v Qué información recopilar antes de contactar con el equipo de soporte de IBM.
v Los distintos métodos para contactar con el equipo de soporte de IBM.
v Instrucciones y recursos de determinación de problemas para aislar y arreglar
usted mismo el problema.
Nota: El separador Comunidad y Soporte en el centro de información del

producto puede proporcionar recursos de soporte adicionales.
viii IBM Security Role and Policy Modeler: Guía de visión general del producto
Capítulo 1. Introducción a IBM Security Role and Policy
Modeler
IBM Security Role and Policy Modeler Versión 1.1 proporciona un enfoque
centrado en el negocio para la planificación, comprensión y modelado de roles de
seguridad y restricciones de separación de funciones para asegurar el acceso a los
recursos críticos.
Mediante el uso de herramientas visuales y técnicas de inteligencia empresarial

conocidas, IBM Security Role and Policy Modeler reduce el tiempo y el esfuerzo
necesario para diseñar, gestionar y aprobar roles y estructuras de roles para el
control de las Tecnologías de la información de la empresa. Proporciona interfaces
de modelado e informes en la Web para propietarios de procesos de negocio y
aplicaciones para que puedan utilizar un control de acceso basado en roles para
sus empleados.
Este release se centra en comprender quién en la organización está autorizado a

acceder a los recursos críticos y por qué. El punto focal son los analistas de roles
empresariales que desarrollan y mantienen roles y políticas. Los analistas de roles
colaboran con los propietarios de aplicaciones y negocios y los departamentos de
TI para entender los activos y crear los modelos. Estos modelos se comunican a las
líneas de negocio, directores ejecutivos corporativos y departamentos de TI.
También proporcionan orientación para el despliegue en TI basada en el modelo de
negocio.
El analista de roles puede personalizar los atributos para IBM Security Role and
Policy Modeler. Especificar los atributos de negocio significativos y determinar el
acceso apropiado a los recursos optimiza las herramientas de modelado y análisis.
Los analistas de roles pueden trabajar en paralelo, creando proyectos de modelado

para unidades organizativas específicas, acceso a las aplicaciones clave, o una
combinación de ambas cosas. Pueden revisar los datos utilizados para modelar,
generar, crear, copiar, analizar, editar roles y crear informes sobre roles y políticas.
Los modelos de roles completados se pueden enviar a los propietarios de negocio
para su aprobación y luego se exportan para su despliegue.
Prestaciones
IBM Security Role and Policy Modeler es una aplicación WebSphere con una
interfaz web. Proporciona las siguientes prestaciones.
Organización basada en proyectos
Un proyecto de modelado contiene un conjunto de roles, restricciones de
separación de funciones y datos de usuarios y permisos. Los analistas de
roles establecen el ámbito de los datos para facilitar y gestionar el proceso
de desarrollo de roles.
Creación de roles, edición, análisis y simulación interactiva
Los analistas de roles pueden crear roles, cambiar jerarquías de roles,
especificar propietarios, asignar miembros usuario, y asociar permisos.
Pueden proporcionar datos personalizados adicionales sobre el rol, como el
proceso de negocio asociado y las unidades organizativas donde se aplica
el rol. La función de edición de roles contiene un catálogo de herramientas
© Copyright IBM Corp. 2011, 2012 1

de análisis para evaluar y ajustar los miembros o permisos asignados o
asociados a los roles. Los cambios realizados en el rol se evalúan
interactivamente; los resultados se presentan los analistas durante la sesión
de edición.
Generación de roles mediante minería de datos
La generación de roles extrae los datos de usuario a permiso de un
proyecto para crear un conjunto inicial de roles que optimizan el acceso de
usuario a los permisos. Los analistas de roles pueden ajustar la
profundidad de la jerarquía de roles y el número de roles generados con
dos controles de minería. El catálogo de análisis de rol se utiliza con la
generación de roles para denominar y ajustar los roles generados.
Restricciones de separación de funciones y simulación interactiva
Las restricciones de separación de funciones a nivel de rol se pueden
aplicar a roles y a la jerarquía de roles. Se pueden asignar dos o más roles
a la misma persona sin previo aviso. Cambiar la pertenencia de rol o la
estructura de roles proporciona información de retorno a nivel de rol sobre
cualquier infracción de las restricciones.
Informes basados en análisis
La tecnología de creación de informes de IBM Cognos proporciona
informes que están listos para su uso inmediato. Estos informes pueden
mostrar detalles de rol, acceso de usuario, vista de asignación de permisos
y exploración de los datos de modelado. El componente de creación de
informes incluye un potente diseñador de informes personalizados y la
posibilidad de planificar y enviar informes por correo electrónico.
Integración con roles operativos de IBM Security Identity Manager y política de
separación de funciones
Puede importar datos de modelado, roles de IBM Security Identity
Manager existentes y la política de separación de funciones en el programa
de modelado con archivos de valores separados por comas (CSV). Estos
archivos CSV se generan con un programa de utilidad de extracción de
datos. Se pueden exportar roles y pertenencias de rol nuevos y
actualizados en formato XML y cargar en IBM Security Identity Manager
utilizando un programa de utilidad de carga de roles.
Importación de roles desde orígenes empresariales y de terceros
Puede cargar roles existentes de orígenes distintos de IBM Security Identity
Manager en el programa de modelado con un archivo CSV. Tivoli
Directory Integrator puede ayudar en la generación de archivos CSV desde
orígenes empresariales y aplicaciones de terceros.
Automatización del proceso de negocio para aprobaciones y certificaciones de
roles IBM Security Role and Policy Modeler contiene IBM Business Process
Manager para controlar y realizar el seguimiento de la aprobación y
certificación de roles.
Gestión del esquema personalizado
Puede añadir, cambiar y definir los atributos de negocio que se asocian a
roles, permisos, usuarios y restricciones de separación de funciones a
través de una interfaz de archivo CSV.
Gestión de datos
Los datos de modelado incluyen identidades de usuario, permisos, roles,
restricciones de separación de funciones, asignaciones de usuarios a
permisos, asignaciones de usuarios a roles, asignaciones de permisos a
roles y valores jerárquicos. Se cargan como instantáneas de datos de
distintos orígenes como, por ejemplo, archivos CSV. La aplicación de
2 IBM Security Role and Policy Modeler: Guía de visión general del producto
modelado puede recopilar un conjunto de datos de múltiples archivos CSV.
Estos se pueden confirmar como un conjunto de datos de modelado para
modelar roles y políticas. A medida que los datos cambian, se pueden
utilizar nuevas instantáneas en forma de archivos CSV para actualizar los
datos de modelado. Un programa de utilidad de extracción para el
servidor de IBM Security Identity Manager crea instantáneas de datos de
IBM Security Identity Manager. Tivoli Directory Integrator puede ayudar
en la generación de archivos CSV desde otros orígenes empresariales y
aplicaciones de terceros.
Quién utiliza este producto

IBM Security Role and Policy Modeler está diseñado para el analista de negocio, el
patrocinador de proyectos de desarrollo de roles, propietarios de roles
empresariales, y administradores de seguridad. El producto da soporte a los
propietarios de sistemas de Tecnología de la Información (TI) que tienen que
ayudar a cargar los datos de modelado desde sistemas de TI.
Los analistas de roles trabajan con muchas otras personas de la empresa para
diseñar, refinar y verificar los modelos. Colaboran con otros ejecutivos
corporativos, propietarios de procesos de negocio, directores, propietarios de
aplicaciones, administradores de aplicaciones, etcétera. En el gráfico siguiente se
describen las personas que utilizan este producto.
CIO, CSO, Ejecutivos de cumplimiento Líneas de negocio
Objetivos de gobierno Análisis de riesgo
Ámbito Colaboración
Políticas de negocio Ne Analista de roles y políticas Informes de cumplimiento
ne ces r
ica
Datos de go id Proponer modelos de roles y políticas rif
CSV
cio ad
de Ve
entrevista
IBM Security Role
and Policy Modeler
IBM
Security
Identity
Manager IBM
Security
Identity
Otros orígenes e Manager
De
de datos de sd n
a to ació sp
leg
aplicación D li c
ar Otros
ap
consumidores
de roles y
Propietarios de aplicaciones Gestión de TI políticas
y sistemas de TI Informes XML de roles
Identidades y políticas
Permisos
Titularidades
Integración del proceso de seguridad

El modelado y la planificación forman parte de la integración del proceso de
seguridad global en una organización. Las necesidades y los requisitos de la
seguridad de la organización se priorizan, implementan, despliegan, cumplen y
supervisan. A medida que una organización o los requisitos de la misma cambian,
el ciclo de integración del proceso de seguridad continúa la planificación utilizando
la información de retorno del proceso.
El proceso iterativo es un esfuerzo de colaboración para planificar y acomodar

cambios diarios en las organizaciones y sucesos de negocio importantes, como
Capítulo 1. Introducción a IBM Security Role and Policy Modeler 3

reorganizaciones y adquisiciones. IBM Security Role and Policy Modeler es un
proveedor de servicios de aplicaciones que ayudan a la empresa a planificar los
requisitos de acceso basado en roles y su implantación y el mantenimiento diario
de roles y restricciones de separación de funciones.
Integración del proceso de gobierno de identidad y acceso de IBM
Planificación
Modelado de roles y políticas
• Modelado y simulación de roles y políticas
• Gestión del ciclo de vida de roles y políticas
Aplicación
Gestión de identidades
Seguimiento • Gestión de ciclo de vida de la identidad
• Calificación de acceso
• Reparación de derechos de acceso del usuario
Supervisión de actividades de usuario Gobierno controlado • Gestión de roles
• Informes y auditorías unificados por políticas • Gestión de identidades con privilegios
• Módulos de informes de cumplimiento
• Informes de retorno de roles y políticas
Gestión de acceso y
titularidad
• Gestión de ciclo de vida de titularidad
• Imposición de un acceso basado en contexto
• SSO (web, escritorio, federado)
• Autenticación
• Imposición de acceso
Ciclo de gestión de roles y políticas

El diseño y despliegue de roles es un esfuerzo colaborativo entre la línea de
negocio y el proveedor de servicios de aplicaciones. La línea de negocio necesita
acceder a las aplicaciones empresariales mientras que el proveedor de servicios de
aplicaciones, generalmente la organización de TI, da soporte a las líneas de
negocio. El ciclo de vida del rol suele empezar con una solicitud de una línea de
negocio para simplificar la administración del acceso a las aplicaciones. Con
frecuencia está guiado por políticas de gobierno corporativo.
Ciclo de gestión de roles de IBM
• Entrevista de negocio • Informes sobre el modelo • Visualizar estructuras RBAC
• Reconciliar • Investigación sobre la • Informes sobre la configuración • Estructura de rol RBAC

• Normalizar separación de funciones de acceso • Restricciones de separación
• Correlacionar • Certificación de acceso • Informes sobre aprobación de funciones
• Limpiar • Informes sobre cambios • Soporte de grupos
Agregar datos Informes de

Validar acceso cumplimiento Administración
de acceso
Propietarios de CSO, Admin Propietario Propietarios de CSO, CIO Auditor Admin Propietario CSO,
recursos de TI CIO IM LOB recursos de TI de TI LOB CIO
Propietarios de CSO, Propietario Analista Propietario Admin Propietarios de

recursos de TI CIO LOB de roles CSO, CIO CSO, CIO LOB IM recursos de TI
Gestión de ciclo de Planificación de la Imposición del
vida de la estructura Operatión
estructura de acceso cumplimiento
de acceso
Descripción
• Aprobación de estructura • Seguimiento de aprobaciones • Crear/suprimir/cambiar rol IBM Security
• Modelado de roles
de roles • Seguimiento de cambios • Asignación de miembros Identity Manager
• Minería de roles
• Informes de modelo de • Comprobaciones preventivas • Flujo de trabajo de aprobación
• Comprobaciones de
roles de separación de funciones • Solicitud de pertenencia a rol IBM Security Role
políticas
• Interfaz de usuario • Política de suministro and Policy Modeler
de negocio • Desplegar roles modelados
• Análisis/informes
El siguiente escenario de una empresa que va a migrar a un control de acceso

basado en roles ilustra el ciclo de gestión de roles.
JKHealthcare es un proveedor de asistencia médica que ha crecido en estos últimos

años hasta alcanzar más de 5000 empleados. Tienen más de 400 aplicaciones en
producción. Sus aplicaciones incluyen un portal de clientes, integración B2B con la
red de proveedores y foros de empleados. También tienen sistemas de archivos
compartidos y aplicaciones financieras y sanitarias que se rigen por diversas
normas reguladoras. Los directores solicitan acceso para sus empleados mediante
una serie de herramientas internas, el servicio de asistencia técnica y el correo
electrónico.
Recientemente, Dennis Moreland, Director de cumplimiento de seguridad, solicitó

al auditor, Jeff Benson, que realizase una auditoría interna del acceso a varias
aplicaciones sanitarias clave. Se encontró que había más cuentas que empleados en
algunas aplicaciones. Una serie de grupos tenían otorgado acceso a proyectos que
nunca se iniciaron. En otras aplicaciones, no hubo ninguna cuenta o acceso de
empleado que hiciera saltar una señal de advertencia.
Se pide a Dennis que colabore con otras personas para limpiar el acceso a 18
aplicaciones clave y mover esas aplicaciones al control de acceso basado en roles.
De este modo, pueden mejorar el cumplimiento de las aplicaciones y reducir el
coste de mantener un acceso apropiado. Esto facilita a los directores la aprobación
y recertificación del acceso.
Dennis considera los problemas iniciales detectados por Jeff y decide adoptar
medidas. Se propone tratar los asuntos prioritarios él mismo junto con el Analista
de roles y políticas, Ram Laxman, el Responsable del grupo de seguridad, Mike
Stevens, la propietaria de aplicaciones, Wanda Liu, y directores como Chuck
Reigle.
v Dennis trabaja con Ram para definir los objetivos de la transición al control de
acceso basado en roles. Los objetivos incluyen la identificación y priorización de

aplicaciones críticas, unidades organizativas y métricas para evaluar el éxito del
esfuerzo. Deciden una serie de objetivos, en los que la meta de cada objetivo es
modelar tres departamentos para dos aplicaciones críticas. Estos objetivos
pueden mostrar progreso y éxito a un ritmo sostenible.
v Ram trabaja con Marjorie Ramsey-Schmidt, desarrollador sénior del equipo de
tecnología de la información, para recopilar los datos de titularidad de permisos
de las aplicaciones identificadas. También recopilan la información de identidad
de usuario de las unidades organizativas priorizadas. Marjorie utiliza un
programa de utilidad de línea de mandatos para IBM Security Identity Manager
para extraer el esquema, titularidades de permisos y la información de perfil de
usuario para el modelado. Si se han definido roles y políticas de separación de
funciones en IBM Security Identity Manager, Marjorie incluye datos en los datos
de modelado.
v Una aplicación, el sistema de acceso con identificador, no está suministrada por
IBM Security Identity Manager. Dennis quiere desarrollar roles para el acceso
con identificador a áreas seguras. Marjorie utiliza las interfaces del sistema de
acceso con identificador para extraer la información de modelado y preparar los
archivos CSV de información. Marjorie importa los datos a la base de datos de
Identidad y titularidad.
v Ram ejecuta informes para comprobar el estado de la importación de datos
iniciales y evalúa la completitud y calidad de los datos. Cuando es necesario,
Ram crea informes personalizados que se ajusten a las necesidades específicas de
la empresa. Ram también revisa esta información con Dennis y los jefes de
departamento. Observa que faltan datos, lo que afecta a la calidad de los roles.
Descubre que algunos de los permisos para la aplicación crítica no tienen una
descripción empresarial. Ram pide a Wanda, que es la responsable de las
aplicaciones, y a Mike, que es el propietario de la implementación de seguridad
de las aplicaciones, que verifiquen las información y rellenen huecos.
v Ram también recopila datos de entrevistas de Wanda y Chuck para entender
mejor qué es lo que esperan las líneas de negocio en relación al acceso a los
recursos de la compañía. Chuck también es responsable de verificar que las
personas adecuadas tengan el acceso adecuado a la aplicación.
v Con los nuevos datos que Ram recopila, Marjorie trabaja con Ram para
actualizar los archivos CSV e importar las actualizaciones, adiciones y
supresiones a IBM Security Role and Policy Modeler.
v Ram crea un modelo de roles inicial seleccionando todos o un subconjunto de
usuarios y permisos de aplicación. Utiliza varias opciones y herramientas de
análisis de IBM Security Role and Policy Modeler para generar automáticamente
roles basándose en la minería de datos de IBM Security Role and Policy
Modeler. Revisa y cambia opciones de generación de roles, crea roles basados en
información empresarial y copia roles existentes. Luego podrá ver, editar,
analizar y ajustar estos roles.
v Ram produce informes de análisis para compartir con otros interesados, como
Dennis, Wanda, Mike, etcétera. Estos informes incluyen los roles, políticas,
usuarios, permisos y asignaciones de usuarios a permisos resultantes de los
modelos. Cuando es necesario, Ram crea informes personalizados que se ajusten
a las necesidades específicas de la empresa. Los interesados proporcionan
información de retorno a Ram, que refina más el modelo.
v Cuando Ram y los interesados están de acuerdo con el modelo, Ram presenta el
rol al propietario del rol, Chuck, para la aprobación formal del rol. Chuck recibe
la notificación de esta solicitud de aprobación de rol por correo electrónico.
Pulsa el enlace en el mensaje de correo electrónico, revisa el borrador final del
rol y lo aprueba. Ram recibe un correo electrónico, que indica si Chuck aprueba
o rechaza el rol.
v Tras la aprobación del rol, Ram exporta el modelo en un formato de archivo
XML y lo carga en IBM Security Identity Manager. Mike utiliza una herramienta
de línea de mandatos para que IBM Security Identity Manager cargue y actualice
los roles y las políticas de separación de funciones. A continuación, utiliza la
interfaz de usuario de la consola administrativa de IBM Security Identity
Manager para completar las políticas de suministro o ajustar los roles
importados a las políticas de suministro existentes.
v Ram también proporciona informes a Mike que describen el modelo para la
implementación en los sistemas de TI, como el sistema de acceso con
identificador a una sala de seguridad. Mike revisa el modelo y luego colabora
con el coordinador del acceso con identificador para implementar el modelo.
Además, configura un servicio manual de IBM Security Identity Manager que
asigna una tarea al coordinador del acceso con identificador para suministrar
usuarios a áreas seguras.
v Periódicamente, Marjorie recopila los datos actuales de IBM Security Identity
Manager, de otras aplicaciones identificadas y de bases de datos RRHH para
renovar la base de datos de IBM Security Role and Policy Modeler. Ram utiliza
las herramientas de análisis y las estadísticas que proporciona IBM Security Role
and Policy Modeler para determinar cómo funcionan los roles. Ejecuta informes
sobre análisis del modelo para compartir con Dennis y otros interesados para
evaluar si son necesarios cambios en el modelo. Puede que también pida a los
propietarios de rol que certifiquen que los roles que poseen siguen siendo
necesarios y válidos.
v Basándose en el análisis y la información de retorno de la certificación de rol,
Ram modifica los roles y políticas. Consigue que se aprueben los cambios y
colabora con Mike para desplegar estos cambios.
v Varias veces al año, Jeff Benson, un auditor, obtiene informes de IBM Security
Role and Policy Modeler sobre el diseño de modelo deseado. Lo compara con el
estado de los sistemas de TI para determinar en qué medida la empresa está
haciendo un seguimiento del modelo de seguridad y para identificar áreas
problemáticas. Jeff utiliza la comparación de líneas base del modelo como
entrada en su proceso de auditoría.
Como ilustra este escenario, cuando una empresa adopta el control de acceso
basado en roles, los roles pasan por un ciclo de proceso de creación, actualización,
validación e implementación.

Capítulo 2. Característica del producto
IBM Security Role and Policy Modeler proporciona las funciones de modelado de
roles y políticas que aseguran el control del acceso a sus recursos empresariales.
Explicación de los datos

Para generar roles de fácil mantenimiento, los analistas de roles utilizan IBM
Security Role and Policy Modeler para explorar usuarios, permisos, roles, y sus
atributos, y las relaciones entre ellos.
Para escalar a miles de usuarios e incluso más permisos, los analistas de roles
modelan las asignaciones de usuarios a permisos mediante roles y jerarquías de
roles.
Para modelar eficazmente, los analistas de roles necesitan elegir atributos para
usuarios, permisos y roles que sean significativos para el negocio. Estos pueden
ayudar a crear roles de seguridad basados en valores de atributo comunes. Por
ejemplo, todos los empleados con responsabilidad de Enfermera Jefe en el Grace
Hospital necesitan la autorización para aprobar cambios en “Órdenes de atención a
pacientes” en la aplicación. Para dar soporte a este análisis, se necesitan atributos
de modelado significativos. Estos atributos incluyen el código de trabajo, su
ubicación de trabajo, los atributos de permiso de autoridad, recurso y nombre de
aplicación.
Los datos y el esquema personalizado para usuarios, permisos y roles se importan

inicialmente a la base de datos de Identidad y titularidad con las sesiones de
importación y los archivos CSV de IBM Security Role and Policy Modeler. Los
cambios y supresiones del esquema y los datos de modelado en la base de datos
de Identidad y titularidad se manejan con posteriores importaciones de datos de
los archivos CSV.
Objetos básicos del modelado de roles

Los analistas de roles trabajan con cuatro tipos de objetos: usuarios, permisos, roles
y restricciones de separación de funciones. También trabajan con cinco tipos de
relaciones: usuario a permiso, usuario a rol, rol a permiso, rol a rol y rol a
restricción (restricción de separación de funciones).
Además de las relaciones directas de usuario a rol, los calificadores de pertenencia

pueden simplificar el proceso de correlacionar usuarios a roles, definiendo la
pertenencia basándose en los valores de atributo de un usuario.

Usuario Usuario
Usuario
Usuario Calificador Permiso

Rol
de miembro
Separación de funciones
Rol A, Rol B; sólo 1
Los analistas de roles crean diseños de rol eficientes utilizando los datos, el editor
visual, herramientas de análisis y las características de generación de roles
automatizada.
Atributos de esquema necesarios y atributos de esquema

personalizados
Cada uno de los objetos de modelado tiene un conjunto de atributos de esquema
predefinidos que no se pueden cambiar. No obstante, puede ampliarlo con
atributos personalizados.
Si se definen e insertan atributos personalizados, IBM Security Role and Policy

Modeler proporciona un análisis en profundidad de los datos para crear roles
optimizados para la organización. Puede crear, actualizar o eliminar los valores
para el esquema personalizado importando los datos.
IBM Security Role and Policy Modeler utiliza los atributos de esquema
personalizados de dos maneras: para establecer el ámbito de los proyectos y para
analizar y optimizar los roles. Por ejemplo, los analistas de roles utilizan un
atributo personalizado en el objeto de usuario para establecer el ámbito de un
proyecto en los usuarios incluidos en un subconjunto de unidades organizativas.
Posteriormente, los analistas de roles revisan una distribución de la pertenencia de
rol por unidad organizativa para comprender mejor quién necesita un rol.
Si IBM Security Identity Manager se ha desplegado, el programa de utilidad de

extracción de IBM Security Identity Manager crea un archivo de esquema con
atributos de esquema personalizados que coinciden con este despliegue. El
programa de utilidad de extracción de IBM Security Identity Manager también crea
los archivos CSV a partir de los datos de rol, usuario y permiso (asignación de
cuenta y grupo) de IBM Security Identity Manager para cargar en IBM Security
Role and Policy Modeler.
Tipos de atributo
Los objetos de IBM Security Role and Policy Modeler tienen cuatro tipos de datos
de atributo que se deben especificar.
Serie Cualquier serie con menos de 241 caracteres de longitud.
Entero Un entero positivo o negativo.
Identidad
Una referencia a un objeto de usuario en el proyecto.
Jerarquía
Atributos con nombre, descripción e identificador que se pueden organizar
en una jerarquía, como por ejemplo un árbol organizativo.
Orígenes de datos
Todos los datos importados a la base de datos de Identidad y titularidad deben
estar asociados a un origen.
El origen puede representar todos los datos de un repositorio físico, como todos los
datos de usuario de un directorio LDAP. También puede ser un subconjunto lógico
de datos, como todos los usuarios de la A a la J de una base de datos de Recursos
Humanos (RRHH). Para roles, permisos y restricciones de separación de funciones,
todos los atributos para un objeto se deben importar como un único registro
asociado a un origen. Los objetos pueden provenir de múltiples orígenes.
Capítulo 2. Característica del producto 11

Canales de información de origen de permisos, roles y separación de funciones
Cuentas de Grupos de
Aplicación
Orígenes de datos de permisos, roles y Identity Identity LDAP/AD de farmacia
separación de funciones Manager Manager
Esquema de atributo Esquema de atributo

en CSV en CSV
Archivos CSV que incluyen un conjunto

de datos completo para un objeto o tipo de
relación de los orígenes
#Origen de permiso, #AD origen de #Origen de permiso,

TIM-Production permiso BD formación
Atributos de permiso
Registros de la base de datos de

Identidad y Titularidad
Los atributos de identidad de usuario pueden provenir de múltiples orígenes. Se

correlacionan en la base de datos de identidad y titularidad con un ID de usuario
exclusivo como el correlacionador. Por ejemplo, los atributos de RRHH de los
datos de identidad de usuario pueden provenir del origen de identidad de IBM
Security Identity Manager con certificados de formación adicionales de un origen
de base de datos de formación.
Creación de registros de identidad compuestos
Bloques CSV de datos para TIM-Production, AD y BD de formación
Cuentas de Grupos de
Base de datos
Identity Identity LDAP/AD de formación
Manager Manager
Orígenes de datos de usuario y certificación
Esquema de atributo Esquema de atributo

en CSV en CSV
Archivos CSV de atributos de identidad

de usuarios procedentes de
varios orígenes
#Origen de identidad, #AD origen de identidad #Origen de identidad,

TIM-Production BD formación
Atributos de identidad
Registros de usuario compuestos

en la base de datos de Identidad
y Titularidad
El origen representa un conjunto completo de los datos particionados lógicamente.

IBM Security Role and Policy Modeler compara los datos actuales en la base de
datos de identidad y titularidad para un origen con información de identidad
actualizada del mismo origen. Detecta la información de identidad suprimida. Para
suprimir todos los datos de un origen, el origen debe especificarse en un archivo
de importación sin registros de datos correspondientes.
Identidades de usuario
Una identidad de usuario es la colección de atributos y valores para una persona
específica. Como mínimo, una identidad de usuario incluye un ID y un nombre.
Las identidades de usuario se añaden a la base de datos de Identidad y titularidad

de IBM Security Role and Policy Modeler mediante la importación de datos desde
los archivos CSV. Consulte el tema “Importación de datos” en el Information

Center de IBM Security Role and Policy Modeler si desea detalles sobre cómo
importar datos. Las identidades de usuario tienen un pequeño conjunto de
atributos necesarios definidos en el esquema. No obstante, puede personalizar
atributos para ampliar el modelo de datos.
Estos son los atributos de esquema necesarios para las identidades de usuario:
UID de persona
Identifica de forma exclusiva un usuario para todos los atributos de
usuario asociados de todos los orígenes de identidad en la base de datos
de Identidad y titularidad y en los proyectos de modelado. Este atributo
no aparece en la interfaz de usuario; se utiliza internamente para
correlacionar y gestionar usuarios en los modelos.
UID de registro de origen
En un origen de identidad, un usuario puede tener varias entradas. Por
ejemplo, un usuario puede poseer varias cuentas. Los registros de origen
individuales para un usuario se correlacionan mediante el UID de persona
para registros con UIDs de registro de origen diferentes.
Nombre de persona
El nombre que se visualiza en la interfaz de usuario y los informes. La
exclusividad del nombre de persona no está garantizada.
Utilizando únicamente UIDs de persona y correlaciones de usuarios a permisos,

IBM Security Role and Policy Modeler puede generar y optimizar roles. No
obstante, si se añaden más atributos de negocio al objeto de usuario, se aumenta el
valor de la optimización y el análisis de rol. Es aconsejable que los analistas de
roles personalicen el esquema de usuario para añadir datos adicionales útiles para
el modelado. A continuación se ofrecen algunos ejemplos útiles de atributos de
datos de identidad:
Responsabilidad de trabajo o código de trabajo
Asociar personas en roles basándose en responsabilidades similares.
Organización
Asociar personas en roles basándose en el área del negocio.
Departamento
Asociar personas en roles basándose en el grupo de trabajo.
Ubicación de trabajo
Asociar personas en roles basándose en la ubicación geográfica o física.
Relaciones
Asociar personas en roles basándose en la relación de identidad común,
como por ejemplo un rol.
Nivel de formación
Restringir el acceso basándose en el nivel de formación.
Los datos para los atributos personalizados también se deben incluir en la

importación de datos de origen de usuario con los UID asociados. Al menos un
origen de identidad debe proporcionar el valor de Nombre de persona.
Permisos
En el modelado, los permisos son representaciones abstractas de una acción en un
recurso.
El permiso puede contener diferentes niveles de detalle para cumplir los objetivos
del modelado. La implementación de TI de un permiso modelado puede
representar un permiso de alto nivel, como por ejemplo una cuenta en un sistema
o los miembros de un grupo. El permiso también puede representar una
transacción precisa en una columna o fila de una base de datos.
Los permisos se añaden a la base de datos de Identidad y titularidad de IBM

Security Role and Policy Modeler mediante la importación de datos desde los
archivos CSV. Los permisos tienen un pequeño conjunto de atributos necesarios
definidos en el esquema, pero puede personalizar los atributos para ampliar el
modelo de datos.
Estos son los atributos de esquema necesarios para los permisos:

UID de permiso
Identifica de forma exclusiva un permiso en la base de datos de Identidad
y titularidad y en todos los proyectos de modelado. El UID de permiso
debe ser exclusivo en todos los orígenes de datos de permisos. Este
atributo no aparece en la interfaz de usuario, pero se utiliza internamente
para correlacionar y gestionar permisos en los modelos.
Nombre de permiso
El nombre de visualización que se utiliza en la interfaz de usuario y los
informes. La exclusividad del nombre de permiso no está garantizada. Es
aconsejable utilizar un convenio de denominación para denominar el
permiso de forma exclusiva en todos los orígenes de permisos.
Descripción de permiso
La información opcional para describir el permiso a los analistas de roles y
los usuarios empresariales. Un valor para esta descripción es opcional.
Utilizando únicamente identificadores (ID) de usuario de permiso y correlaciones

de usuarios a permisos, IBM Security Role and Policy Modeler puede generar y
optimizar roles y modelos de roles. No obstante, cuantos más atributos de negocio
se añaden al objeto de permiso, mejor es el resultado de la optimización y el
análisis de rol. Es aconsejable que los analistas de roles personalicen el esquema de
permiso para añadir datos adicionales útiles para el modelado. A continuación se
ofrecen algunos ejemplos útiles de atributos de datos de permisos:
Acción
Atributos de acción de permiso tales como representar, leer, grabar,
suprimir, etcétera. La acción de permiso a menudo está en el nombre de
permiso. No obstante, añadir algunos atributos personalizados ayuda en el
análisis y ámbito del rol.
Recurso
Los datos o la transacción protegidos por este permiso. El recurso
protegido suele estar en el nombre y descripción del permiso. No obstante,
añadir algunos atributos personalizados ayuda en el análisis y ámbito del
rol.
Aplicación
El nombre de la aplicación que contiene los recursos protegidos.
Propietario
Uno o más propietarios de negocio o de TI del permiso.
Sensibilidad al riesgo
Una evaluación del riesgo de asignar este permiso para presentar a la
organización. Por ejemplo, grabar los registros de los pacientes puede ser
un riesgo alto, mientras que leer los registros de los pacientes es un riesgo

medio. Los datos de evaluación empresarial pueden ayudar al analista de
roles en la creación de roles para proteger debidamente los elementos de
mayor riesgo.

importación de datos de origen de permiso con los valores de UID, Nombre y
Descripción.
Roles
Los roles son un método para correlacionar usuarios a permisos para gestionar
recursos. Es una función de trabajo que identifica las tareas que los usuarios
pueden realizar y los recursos a los que tienen acceso.
Puede crear roles con el editor de roles y las herramientas de generación de roles.
Los roles también se pueden importar a la base de datos de Identidad y titularidad
y copiar en proyectos de modelado. Los roles importados pueden ser los roles
extraídos de IBM Security Identity Manager o de otros sistemas de TI. Pueden ser
roles empresariales que se han desarrollado mediante entrevistas a las líneas de
negocio o los propietarios de aplicaciones.
Los roles se añaden a la base de datos de Identidad y titularidad de IBM Security

Role and Policy Modeler mediante la importación de datos desde los archivos CSV.
Los roles tienen un conjunto mayor de atributos necesarios definidos en el
esquema, pero puede personalizar los atributos para ampliar el modelo de datos.
Estos son los atributos de esquema necesarios para los roles:

UID de rol
Identifica de forma exclusiva un rol para todos los roles importados a la
base de datos de Identidad y titularidad. A diferencia de los usuarios o
permisos, el UID de rol puede no ser exclusivo en todos los datos
importados y los proyectos de modelado. Un UID de rol es exclusivo
dentro de un proyecto y en el conjunto de datos importados. El UID de rol
debe ser exclusivo en todos los orígenes de datos de rol importados. Este
atributo no aparece en la interfaz de usuario, pero se utiliza internamente
para correlacionar y gestionar permisos en los modelos.
Los UID de rol desempeñan un papel especial en la asociación de los roles
modelados con los roles desplegados en IBM Security Identity Manager.
Cuando se importan roles desde IBM Security Identity Manager, el UID de
rol se establece en el UID generado por IBM Security Identity Manager.
Cuando estos roles se copian en un proyecto para su modelado, el analista
puede conservar el UID existente o generar uno nuevo. Si el UID del rol en
el proyecto es el mismo que el UID del origen externo del rol, puede
asociar el rol modelado con el rol desplegado cuando lo exporte. Por
ejemplo, los roles de IBM Security Identity Manager existentes se pueden
importar a IBM Security Role and Policy Modeler y luego copiar en un
proyecto. Los analistas pueden cambiar los atributos de rol, la estructura
de los roles y las restricciones de separación de funciones de los roles. Al
exportar desde el proyecto con el UID generado por IBM Security Identity
Manager, los cambios realizados en el rol se pueden cargar en IBM Security
Identity Manager, actualizando los roles existentes.
Nombre de rol
El nombre de visualización que se utiliza en la interfaz de usuario y los
informes. La exclusividad del nombre de rol no está garantizada.
Descripción de rol
La información para describir el rol y su uso a los analistas de roles y los
usuarios empresariales. Especificar un valor para la descripción es
opcional.
Tipo de rol
Tipo de uso opcional para el rol, como el rol Empresarial o Aplicación,
para describir la clasificación del rol a los usuarios empresariales. Los tipos
de roles se pueden personalizar para cualquier serie. Después de la
instalación, IBM Security Role and Policy Modeler configura el rol
Empresarial y el rol Aplicación como selecciones para el tipo. Puede
eliminar estos tipos y añadir otros que se ajusten a la terminología de la
administración basada en roles de la empresa. El término Clasificación de rol
en la interfaz de usuario de IBM Security Identity Manager tiene un
significado equivalente a Tipo de rol en IBM Security Role and Policy
Modeler. Especificar un valor para Tipo de rol es opcional.
Propietario de rol
El propietario de rol es un atributo multivalor que especifica
opcionalmente los usuarios responsables del rol en el ciclo de vida del rol.
El atributo Propietario de rol se utiliza al determinar quién tiene que
aprobar un rol.
Nota: El propietario de rol está limitado a identidades. No se admiten

roles como propietarios.
Padre de rol
Si el rol forma parte de una jerarquía de roles, el atributo Padre de rol
contiene uno o más UID de rol de Roles padre para roles importados.
Los roles pueden tener atributos personalizados adicionales. Los atributos

personalizados ayudan a una empresa a identificar y gestionar mejor los roles. Los
valores de atributos personalizados se pueden ver en el editor de roles y forman
parte de los informes de IBM Security Role and Policy Modeler. A continuación se
ofrecen algunos ejemplos útiles de atributos de rol personalizados:
Organización
Nombre de la organización que utiliza este rol o el nombre de la
organización propietaria de este rol.
Aplicación
Si el rol está estrechamente relacionado con una aplicación, el nombre de
aplicación se puede asociar al rol.
Tarea de negocio
El nombre del proceso o tarea de negocio que requiere este rol.
Revisores opcionales
Partes interesadas afectadas por los cambios en el rol o personas que
pueden proporcionar información a los analistas de roles.
Clasificación de riesgo
Una evaluación empresarial del riesgo que representa un rol en términos
de acceso.

importación de datos de origen de rol con los valores de UID, Nombre y
Descripción.

Restricciones de separación de funciones
Una restricción de separación de funciones es un control de negocio que se aplica a
un rol. La restricción especifica que a un usuario no se le puede otorgar más de un
conjunto de roles que representen un riesgo para el negocio.
Por ejemplo, un usuario no puede ser miembro del rol Compras y del rol Pagos a la
vez. Los analistas de roles utilizan reglas de restricción de separación de funciones
para crear un modelo de rol que se ajuste a riesgos de negocio aceptables. Las
infracciones se pueden ver y notificar desde el modelo.
Estos son los atributos de esquema necesarios para las restricciones de separación
de funciones:
UID de regla
Identifica de forma exclusiva una restricción de separación de funciones en
la que participan dos o más roles.
Descripción de la regla
La información que describe la restricción.
Cardinalidad
El número máximo de roles asociados a la restricción que se pueden
asignar a un usuario antes de que se produzca una infracción.
UID de rol
Dos o más identificadores de rol exclusivos que forman la lista de roles
restringidos por la regla.
Relaciones entre usuarios, permisos, roles y restricciones

Los cinco tipos de relaciones también se especifican como datos importados:
usuario a permiso, usuario a rol, rol a permiso, rol a rol y rol a restricción.
La relación para la jerarquía de roles a roles se establece en el atributo de padre de

rol del objeto de rol. La relación de rol a restricción se establece en el objeto de
restricción de separación de funciones. Las relaciones restantes, usuario a permiso,
usuario a rol y rol a permiso, se importan en sus propias definiciones de origen
desde los archivos CSV.
Estos son los atributos necesarios para la importación:

v Usuario a permiso es un UID de persona y un UID de permiso para cada
correlación
v Rol a permiso es un UID de rol y un UID de permiso para cada asociación
v Usuario a rol es un UID de rol y un UID de persona para cada asociación
Grupos
Los grupos en los registros pueden tener muchos significados, dependiendo de
cómo los grupos son utilizados por la aplicación y por el proceso de negocio.
Para el modelado de roles y políticas, IBM Security Role and Policy Modeler se
centra en dos patrones de uso para grupos: grupos que representan una asignación
a un rol y grupos que representan una asignación a un permiso.
Grupos que representan una asignación a un rol

Los propietarios de negocio utilizan grupos en un directorio para representar un
rol empresarial. Un grupo es una colección de usuarios con una responsabilidad de
trabajo común.
Grupos que representan una asignación a un permiso
En una lista de control de accesos (ACL), los grupos facilitan la administración de
la correlación de usuarios a los permisos. El grupo representa una correlación de
usuario a permiso para otorgar el permiso a un conjunto de usuarios. A menudo se
denomina rol de aplicación. La correlación de un grupo a un permiso a menudo
está predeterminada por la aplicación, o la configura el departamento de TI
durante el despliegue de la aplicación.
Grupos de IBM Security Identity Manager

El programa de utilidad de extracción de IBM Security Identity Manager permite
configurar un grupo en los datos de modelado. Los grupos que se suministran en
IBM Security Identity Manager se pueden configurar para representar permisos y
asignaciones de permisos o roles y asignaciones de roles cuando se extraen en un
archivo CSV.
Gestión de datos
La gestión de datos de IBM Security Role and Policy Modeler incluye la
personalización y gestión del esquema de datos y la carga y mantenimiento de los
datos de modelado.
El esquema y los datos se gestionan en un proceso de tres fases: cargar los archivos
de datos, validar los datos y confirmar el esquema y los datos para el modelado.
En general, los datos se preparan para el modelado en estos pasos:

1. Recopilar los datos de IBM Security Identity Manager, fuentes de TI y líneas de
negocio.
2. Si fuera necesario, crear los archivos con formato de valores separados por
comas.
3. Iniciar una sesión de importación de datos y decidir si la actualización es una
actualización de esquema o una actualización de datos.
4. Subir archivos a la sesión. Comprobar si hay errores y resolver los errores en
los archivos.
5. Validar el esquema o los datos en la sesión antes de confirmar la actualización.
Corrija los errores cargando archivos adicionales, eliminando archivos de datos
o cambiando los archivos de datos y volviendo a cargar los archivos. El
informe de operaciones se puede utilizar para revisar los datos en una sesión
de importación y los datos confirmados en la base de datos de Identidad y
titularidad.
6. Confirmar la actualización de esquema y de datos. La confirmación del
esquema hace que los nuevos atributos estén disponibles para cargarlos como
datos y elimina valores para atributos suprimidos. La confirmación de los datos
fusiona los datos de la sesión de importación con los datos confirmados por la
sesión de importación anterior.
La gestión de esquema y de datos es iterativa para escala y mantenimiento. Sólo el

esquema y los datos necesarios para proyectos planificados de modelado deben
confirmarse en la base de datos de modelado. A medida que los nuevos proyectos
requieran un esquema adicional o orígenes adicionales de datos, añada
gradualmente el delta de nueva información. Añada datos nuevos y actualizaciones
de datos en incrementos planificados con una o más sesiones de importación de
datos.

Importación de esquema
El esquema de IBM Security Role and Policy Modeler se puede cambiar
importando las actualizaciones de esquema.
Los cambios incluyen:

v Orígenes lógicos de datos utilizados para importar datos. Los orígenes de datos
permiten al administrador planificar, organizar y ejecutar datos confirmados en
la base de datos de modelado.
v Atributos de permisos y usuarios visualizados en las interfaces de usuario e
informes de IBM Security Role and Policy Modeler.
v Atributos personalizados de un rol que se pueden asociar, ver y gestionar como
información adicional.
v Atributos personalizados sobre restricciones de separación de funciones
importadas que se visualizarán en los informes.
v Los valores del atributo de tipo de rol de un rol que se pueden utilizar para
clasificar un rol.
Si desea ver detalles sobre el formato del archivo CSV de esquema, consulte el
tema “Importación del tema” en el Information Center de IBM Security Role and
Policy Modeler.
Importación de datos
Los datos de IBM Security Role and Policy Modeler se pueden cambiar
importando las actualizaciones de datos.
Los cambios incluyen:

v Crear, suprimir y actualizar un rol, usuario, permiso y restricción de separación
de funciones.
v Crear, suprimir y actualizar los datos de correlaciones de usuarios a permisos,
usuarios a roles, roles a permisos, roles a roles y roles a restricciones.
v Valores y jerarquía para datos jerárquicos.
Si desea más información sobre el formato del archivo CSV de datos, consulte el
tema “Importación de datos” en el Information Center de IBM Security Role and
Policy Modeler.
Flujo de datos
Los datos de modelado de rol entran en IBM Security Role and Policy Modeler al
importarlos como archivos de formato CSV.
Los orígenes de datos y el esquema de atributos para el origen se definen

mediante los archivos CSV. Los archivos CSV los crea el programa de utilidad de
extracción de IBM Security Identity Manager. También se pueden crear editando
archivos CSV existentes, o con otras herramientas, como Tivoli Directory Integrator.
Para ofrecer una experiencia de modelado interactiva para el analista de roles, IBM
Security Role and Policy Modeler divide el proceso de modelado en dos fases:
importación de datos y modelado de la seguridad. El servidor y la base de datos
de IBM Security Role and Policy Modeler dan soporte a estas dos fases mediante la
gestión de dos conjuntos de datos:
Base de datos de transferencia para recopilar datos para importación
A medida que se recopilan los datos, estos se importan a la base de datos
de transferencia. Los datos de la base de datos de transferencia no afectan
a los proyectos de modelado de rol.
La información estadística se puede revisar en la sesión de importación, y
se puede generar como informes de detalle. Después de pasar la revisión,
los datos se confirman, lo que traslada los datos a las tablas de modelado
de la base de datos. Durante el proceso de confirmación, los registros en la
base de datos de transferencia se fusionan y resuelven con datos de la base
de datos de modelado. Estos registros incluyen registros nuevos,
actualizados y suprimidos.
Base de datos de Identidad y titularidad para modelado
Cuando los datos se han importado la base de datos de Identidad y
titularidad, los analistas de roles pueden iniciar el proceso de modelado de
seguridad.
Analista de roles
, An
Renovar s ali
d e ne za
y o s cio ry
t
expandir isi lica mo
e qu ap c. de
lar
R os et ,
ri
ua
us
CSV
Modelos y
Validar datos estadísticas
actualizados
Proyectos
Subir a
Soporte TI CSV la sesión Datos de Confirmar
transferencia Datos de
modelado
U
ro sua
les rio
y r s, p
es er Informes Informes
tri mi actualizados y
cc so
ion s, XML
es rol XML
s de
za cione
RRHH Dir Sistemas, Aplic. Identity A ctuali
Recopilar datos de TI y Manager
línea de negocio
Los datos confirmados en la base de datos de transferencia deben ser un conjunto

completo de datos de un origen determinado por entidad. Por ejemplo, deben ser
todos registros y atributos de identidad para los usuarios que se van a modelar.
Deben tener todos permisos (grupos) y correlaciones de permisos (pertenencia a
grupos) de un directorio LDAP. Con un canal de información completo de un
origen, IBM Security Role and Policy Modeler puede detectar los registros
suprimidos. Compara el conjunto completo de registros del origen por tipo de
entidad con los registros de la base de datos de modelado y obtiene los registros
suprimidos.
El administrador de aplicación de IBM Security Role and Policy Modeler actualiza

los datos de modelado de los canales de información periódicamente. Los procesos
de validación y confirmación son asíncronos y potencialmente tareas de larga
ejecución. Puesto que los nuevos datos pueden cambiar las estadísticas y la
información sobre un modelo de roles, la confirmación de nuevos datos afecta a
cualquier proyecto existente. Cuando los datos están recién confirmados, no se
pueden editar o visualizar los proyectos. La edición y la visualización se pueden
iniciar cuando el proceso de confirmación se ha completado y las estadísticas del
proyecto se vuelven a calcular. Cuando el estado del proyecto es Es necesario

recálculo, los analistas de roles pueden seleccionar los proyectos y someter el
proyecto para recálculo. Una vez completado el recálculo, el proyecto está listo
para edición.
Herramientas de análisis de modelado de roles

IBM Security Role and Policy Modeler proporciona varias herramientas para que
los analistas de roles puedan entender, generar y ajustar roles. Estas herramientas
pueden ayudar a crear y mantener roles óptimos para una organización.
Estadísticas de proyecto y rol

El proyecto de modelado muestra un resumen de las estadísticas sobre los roles y
el proyecto de modelado de rol.
Las estadísticas de proyecto incluyen el número total de usuarios, permisos, roles y

restricciones en el ámbito del proyecto. También incluyen el porcentaje de permisos
asignados a los roles en el ámbito del proyecto.
Las estadísticas de rol incluyen el número de usuarios y permisos asignados a cada

rol, el número de usuarios y permisos heredados y la jerarquía de roles. Puede
revisar una descripción general visual de la jerarquía de roles mediante la Vista
jerárquica del proyecto, con resúmenes emergentes de cada rol.
Generación de roles
IBM Security Role and Policy Modeler puede generar un conjunto de roles
basándose en las correlaciones de usuarios a permisos importadas a la base de
datos de Identidad y titularidad.
Los roles se crean a partir de la extracción de datos de las correlaciones de

usuarios a permisos, creando usuarios con permisos parecidos en el mismo rol. Los
analistas de roles pueden controlar el número de roles generados de dos maneras:
v Establecer la cantidad de niveles de jerarquía que utiliza el proceso de minería.
v Hacer que el algoritmo ignore los roles potenciales, cuando los roles contengan
únicamente uno o dos miembros y permisos.
Empleando estos métodos, los analistas de roles pueden generar roles que cumplan
los criterios específicos del proyecto referentes al número de roles que gestionar y
la cobertura de asignaciones de usuarios a permisos.
Después de generar los roles, los analistas de roles pueden revisar la información
sobre los roles. La revisión de los atributos de los usuarios y permisos de un rol o
las herramientas de análisis en el catálogo de análisis de rol ayuda a comprender
mejor los roles generados. Pueden dar nombre y describir el rol y crear
calificadores de pertenencia de rol para ayudar a identificar los usuarios que deben
o no deben estar en el rol.
Si desea más información, consulte el tema “Administración de rol” en el

Information Center de IBM Security Role and Policy Modeler.
Catálogo de análisis
El catálogo de análisis es un conjunto de detalles y resúmenes analíticos que
ayudan a los analistas de roles a ajustar la eficiencia de los roles.
Las tareas de análisis pretenden dar respuesta a cuestiones sobre los roles e
identificar usuarios potenciales, permisos y problemas. A continuación se ofrecen
ejemplos de preguntas a las que puede dar respuesta el catálogo de análisis:
v ¿Qué atributos de los miembros de rol son un buen indicador de pertenencia de
rol?
v ¿Qué atributos de los permisos de rol son un buen indicador de otros permisos
que pueden asignarse al rol?
v ¿Qué atributos tienen en común los miembros?
v ¿Hay buenos candidatos para el rol en función de estos atributos?
v ¿Qué accesos tienen en común los miembros?
v ¿Hay buenos candidatos para el rol en función de estos accesos similares?
v ¿Cómo se asignan los atributos de los permisos al rol similar?
v ¿Hay permisos de buenos candidatos para añadir al rol?
Si desea más información sobre cómo analizar roles y políticas, consulte el tema
“Análisis de roles y políticas” en el Information Center de IBM Security Role and
Policy Modeler .
Calificadores de pertenencia
Los analistas de roles pueden crear un calificador de pertenencia para filtrar la
pertenencia de un rol mediante la entrada de las línea de negocio o el catálogo de
análisis.
Un calificador de pertenencia permite al analista de roles identificar los usuarios

que no pertenecen a ciertos roles e incluir automáticamente los usuarios que sí que
pertenecen. Por ejemplo, la analítica de roles puede mostrar que la pertenencia de
un rol está formada por empleados que trabajan para el departamento de farmacia
de un hospital. Estas personas han recibido formación y certificación en procesos
de sustancias controladas. Por consiguiente, un calificador de pertenencia utiliza
los atributos del departamento de farmacia y certificación para filtrar las personas
consideradas no aptas. Incluye los nuevos miembros que comparten estos atributos
pero que anteriormente no eran miembros del rol.
Los calificadores de pertenencia pueden ser expresiones booleanas de varias partes

y se crean con un editor de calificadores. Si desea más información, consulte el
tema “Creación de un calificador de pertenencia de rol” en el Information Center
de IBM Security Role and Policy Modeler.
Análisis de informes
Además del análisis integrado en la interfaz de usuario, IBM Security Role and
Policy Modeler proporciona más detalles sobre los modelos de roles a través de la
interfaz de usuario.
Si desea más información sobre los informes de IBM Security Role and Policy
Modeler, consulte el tema “Informes” en el Information Center de IBM Security
Integración con roles de IBM Security Identity Manager

Los roles importados desde IBM Security Identity Manager se pueden copiar en un
proyecto, y luego se pueden visualizar y analizar sus miembros.

Mediante el editor de roles de IBM Security Role and Policy Modeler, puede
actualizar el nombre de rol, la descripción, la jerarquía y la pertenencia. Los
cambios se pueden exportar y cargar de nuevo en IBM Security Identity Manager.
Los roles importados desde IBM Security Identity Manager no tienen permisos
asociados. En IBM Security Identity Manager, el suministro de atributos que
equivalen a permisos se realiza mediante un objeto de política de suministro. Este
objeto contiene código y scripts especiales para determinar el acceso final otorgado
por la política. El rol de IBM Security Identity Manager importado a IBM Security
Role and Policy Modeler tiene un atributo de información adicional que contiene el
identificador de cualquier política de suministro asociada al rol.
Role Lifecycle Management

Role Lifecycle Management proporciona un proceso para aprobar el diseño de roles
para IBM Security Role and Policy Modeler. Con la consola de IBM Security Role
and Policy Modeler y el archivo de plantilla de la definición de proceso de IBM
Business Process Manager, puede empezar con el proceso de aprobación de roles.
También puede crear una solicitud de ciclo de vida personalizado.
Por ejemplo, cuando un analista de roles crea un rol o una jerarquía de roles en
IBM Security Role and Policy Modeler, el propietario del rol debe aprobar este
nuevo diseño. En el diagrama siguiente se muestran las interacciones y el flujo de
este tipo de proceso.
Propietarios de roles
Aprobar o
rechazar
comentario Correo
electrónico
Centro de procesos de Servidor de procesos de

Business Process Manager Business Process Manager
Diseñar y desplegar procesos de negocio Motor de procesos de tiempo de ejecución
ado
aliz
r s on Actualización
Diseño de e
op s Iniciar de estado
proceso es me
p r o c
i n for proceso de
personalizado r e
cia ría aprobación
Ini ito
d
Au
API REST
IBM Security Role
API de
and Policy Modeler Cognos
Seleccionar roles
para su aprobación
Analista de roles
Base de datos de Identidad

y Titularidad
Figura 1. Flujo de proceso de Role Lifecycle Management
Como se muestra en el diagrama, el analista de roles selecciona los roles para su

aprobación mediante la consola de IBM Security Role and Policy Modeler. La
solicitud de aprobación se envía, y se envía así una notificación por correo
electrónico al propietario de rol para informarle de que debe aprobar un rol. El
propietario de rol aprueba o rechaza el nuevo rol mediante la aplicación de
proceso de Business Process Manager. El estado de este proceso se actualiza en la
consola de IBM Security Role and Policy Modeler.
El diagrama también muestra el flujo del proceso personalizado.
Flujo de proceso para aprobación de roles

El flujo de proceso de Role Lifecycle Management para la aprobación de roles
necesita IBM Security Role and Policy Modeler y Business Process Manager.
Los siguientes pasos muestran el flujo de proceso de la aprobación de roles de Role

Lifecycle Management, incluida la parte responsable:
Tabla 1. Pasos del flujo de proceso de la aprobación de roles de Role Lifecycle
Management
nombre del tema de
Paso Responsable Tarea Information Center
1. Administrador Instale IBM Security Role and “Tareas de instalación del
del sistema Policy Modeler versión 1.1 y el fixpack”
fixpack 1 o posterior. Este
proceso incluye Business
Process Manager versión 7.5.1.
2. Administrador Configure y habilite la “Configuración y habilitación de
del sistema característica Role Lifecycle Role Lifecycle Management”
Management. Incluye la
configuración de registros de
usuario y la definición de
analistas de roles y propietarios
de roles.
3. Analista de roles Añada o actualice roles y “Administración de rol”
jerarquías en la consola de IBM
Security Role and Policy
Modeler.
4. Analista de roles Envíe una solicitud de ciclo de “Envío de una solicitud de ciclo
vida desde la consola de IBM de vida para aprobar roles”
Security Role and Policy
Modeler.
5. Propietario de rol Responda a la solicitud de ciclo “Aprobación o rechazo de una
de vida. solicitud de rol”
6. Analista de roles Determine el estado de la “Visualización del historial de
solicitud de rol. Si todos los una solicitud de ciclo de vida”
propietarios del rol aprueban la
solicitud, el proceso de
aprobación finaliza. Si al menos
un propietario de rol rechaza la
solicitud, la solicitud de rol se
rechaza. Puede revisar los
comentarios y actualizar los
roles y repetir el proceso de
aprobación.
7. Analista de roles De forma opcional, realice una “Auditoría de los datos del
auditoría de los datos del proceso de aprobación de roles”
proceso.

Introducción a Business Process Manager
IBM Business Process Manager es una plataforma integrada para desarrollar,
gestionar y ejecutar el proceso de Role Lifecycle Management.
Business Process Manager contiene los componentes siguientes que Role Lifecycle
Management utiliza:
v Business Process Manager Process Center ofrece el entorno de creación y
administración de las plantillas del proceso. La plantilla del proceso de Role
Lifecycle Management se importa en Process Center para personalizarla y
desplegarla.
Desde Process Designer, los usuarios se conectan a Process Center. Process
Admin Console permite a los administradores gestionar el servidor y las
aplicaciones de proceso en tiempo de ejecución.
v Business Process Manager Process Designer ofrece el entorno de creación para
crear aplicaciones de proceso. Process Designer sólo se puede ejecutar en un
sistema operativo Windows.
v Business Process Manager Process Server ofrece el motor de tiempo de
ejecución para admitir procesos empresariales. Process Admin Console permite a
los administradores gestionar el servidor y las aplicaciones de proceso en tiempo
de ejecución.
v Business Process Manager Process Portal ofrece la interfaz para que los
usuarios puedan participar en el proceso.
Consulte el Information Center de IBM Business Process Manager para obtener

más información sobre cada uno de estos componentes en http://
publib.boulder.ibm.com/infocenter/dmndhelp/v7r5m1/topic/
com.ibm.wbpm.main.doc/ic-homepage-bpm.html.
Para instalar Business Process Manager, consulte el tema “Instalación de Business

Process Manager Standard” en el Information Center de IBM Security Role and
Policy Modeler.
Solicitud de ciclo de vida de aprobación de roles

La aprobación de roles es un tipo de solicitud de ciclo de vida que IBM Security
Role and Policy Modeler ofrece. Se necesitan la plantilla y el kit de herramientas
del proceso de aprobación de roles de Business Process Manager que se
proporcionan con IBM Security Role and Policy Modeler.
La instalación de IBM Security Role and Policy Modeler versión 1.1 fixpack 1 o
posterior copia una plantilla de proceso para la aprobación de rol en el directorio
lifecycle del directorio de instalación IBM Security Role and Policy Modeler HOME.
La plantilla de proceso incluye un kit de herramientas que permite a los usuarios
de Process Designer compartir los elementos de la biblioteca en las aplicaciones de
proceso. El nombre del archivo de plantilla es
IBM_Security_Role_Lifecycle_Management_Integrated_Approval.twx.
Para importar la plantilla y el kit de herramientas a Business Process Manager,

consulte el tema “Importación de la aplicación de proceso y el kit de herramientas”
en el Information Center de IBM Security Role and Policy Modeler.
Puede utilizar la plantilla de proceso tal cual se ofrece, o puede personalizarla para
su proceso. Vaya al Information Center de IBM Business Process Manager en
http://publib.boulder.ibm.com/infocenter/dmndhelp/v7r5m1/topic/
com.ibm.wbpm.main.doc/ic-homepage-bpm.html y busque procesos de modelado.
Hay otra plantilla de proceso de ejemplo en el directorio /samples del directorio de
instalación HOME de IBM Security Role and Policy Modeler. El nombre del archivo
de plantilla es IBM_Security_Role_Lifecycle_Management_Approval.twx. Esta
plantilla contiene un proceso que no utiliza la integración con la interfaz de
usuario de IBM Security Role and Policy Modeler. Consulte las instrucciones de
uso de esta plantilla en https://www.ibm.com/developerworks/
mydeveloperworks/wikis/home?lang=en#/wiki/Tivoli%20Identity%20Manager/
page/Role%20Lifecycle%20Management/attachments.
Solicitud del ciclo de vida personalizado

Puede definir una solicitud de ciclo de vida personalizado en IBM Security Role
and Policy Modeler para un proceso que necesite.
Para definir una solicitud de ciclo vital personalizado, consulte el tema “Creación
de una solicitud de ciclo de vida personalizado” en el Information Center de IBM
Security Role and Policy Modeler.
La instalación de IBM Security Role and Policy Modeler versión 1.1 fixpack 1 o
posterior copia una plantilla de proceso “Revisar” para la aprobación de rol en el
directorio samples del directorio de instalación de IBM Security Role and Policy
Modeler HOME. El nombre del archivo de plantilla de ejemplo es
IBM_Security_Role_Lifecycle_Management_Custom_Review_Example.twx. Consulte el
tema “Despliegue la aplicación del proceso Revisar de ejemplo” en el Information
Center de IBM Security Role and Policy Modeler.
Entornos de prueba y producción

Con Role Lifecycle Management, puede trabajar con un entorno de prueba y
después pasar a un entorno de producción.
Puede utilizar Process Center para personalizar, probar y desplegar las aplicaciones
de proceso. Puede tener uno o más de un Process Server conectado a Process
Center. Siga estos pasos:
1. Importe la plantilla de Role Lifecycle Management en Process Designer.
2. Opcional: Personalice la plantilla en función de los requisitos de su empresa y
pruébela en Process Center.
3. Opcional: Instale la aplicación de procesos en Process Server para realizar
pruebas.
4. Instale la aplicación de procesos en Process Server para producción.
Normalmente, Process Center se utiliza para desarrollo y pruebas de procesos, y

Process Server se utiliza para pruebas, transferencias y producción.
Si los entornos de producción y de prueba tienen valores de configuración y de

entorno diferentes, corrija esos valores para Process Server de producción antes de
instalar la aplicación de proceso en el servidor de producción.
Vaya al Information Center de IBM Business Process Manager en

http://publib.boulder.ibm.com/infocenter/dmndhelp/v7r5m1/topic/
com.ibm.wbpm.main.doc/ic-homepage-bpm.html y busque crear servidores para
aplicaciones de procesos.
De forma adicional, para obtener directrices de topología de IBM Business Process

Manager, consulte http://www.ibm.com/developerworks/websphere/
bpmjournal/1106_pacholski/1106_pacholski.html.

Registros de usuario
Role Lifecycle Management requiere una configuración adecuada de los registros
de usuario para Business Process Manager y IBM Security Role and Policy
Modeler.
Los analistas de roles y los propietarios de rol que trabajan con Role Lifecycle
Management deben estar definidos en registros siguiendo uno de estos escenarios:
v Registros basados en archivos para IBM Security Role and Policy Modeler y
Business Process Manager
v Registro basado en archivos para IBM Security Role and Policy Modeler y
registro LDAP para Business Process Manager
v Registro LDAP compartido entre IBM Security Role and Policy Modeler y
Business Process Manager
Para configurar y establecer los registros de usuarios para Role Lifecycle

Management, consulte el tema “Configuración del registro de usuarios” en el
Definiciones y autorización de usuario y grupo

Role Lifecycle Management requiere tipos específicos de usuarios, como
administradores, analistas de roles y propietarios de roles.
Además de los usuarios, en Business Process Manager puede definir un grupo

participante en la aplicación de proceso para otorgar a un grupo de usuarios las
mismas autorizaciones para acceder a determinadas tareas o pasos. En el proceso
de Role Lifecycle Management hay dos grupos participantes predefinidos. Consulte
“Configuración de un grupo de participantes de tiempo de ejecución” en el
Administradores
Se necesitan los siguientes tipos de administradores en el proceso de Role Lifecycle

Management:
Administrador del sistema
Los administradores del sistema están en el grupo tw_admins de Business
Process Manager.
Autorizaciones
Los administradores del sistema tienen acceso completo a los
activos de Role Lifecycle Management.
Responsabilidades
Los administradores del sistema instalan, configuran y administran
Role Lifecycle Management. También resuelven los problemas del
sistema.
Administrador de Role Lifecycle Management
Un proceso de Role Lifecycle Management se puede configurar para que
un administrador de Role Lifecycle Management reciba notificaciones de
errores por correo electrónico.
Autorizaciones
Estos administradores reciben notificaciones de error. Si añade el
ID de usuario administrador al grupo tw_admins, estos
administradores tendrán acceso completo a los activos de Role
Lifecycle Management.
Responsabilidades
Estos administradores resuelven los errores del sistema de Role
Lifecycle Management.
Analista de roles
Los analistas de roles pueden definirse opcionalmente en un grupo en un registro

LDAP o en el registro basado en archivos de Business Process Manager, en función
de su configuración.
Autorizaciones
Los analistas de roles tiene la autorización para enviar una solicitud de
ciclo de vida y terminar un proceso.
Responsabilidades
Los analistas de roles extraen roles, diseñan modelos de rol y envían roles
para su aprobación.
Propietario del rol

Los propietarios de rol son usuarios con un registro de identidad de propietario en
un rol en IBM Security Role and Policy Modeler.
Autorizaciones
Los propietarios de rol tienen la autorización para aprobar solicitudes.
Responsabilidades
Los propietarios de rol revisan los roles y deciden si aprueban o rechazan
las actualizaciones o adiciones de las definiciones de rol.
Informes
IBM Security Role and Policy Modeler proporciona funciones de creación de
informes para que los administradores y analistas de roles puedan generar
informes sobre diversos datos.
Los informes los crea Tivoli Common Reporting, que utiliza IBM Cognos. Tivoli
Common Reporting proporciona diversos tipos de informes que están preparados
para IBM Security Role and Policy Modeler. También puede crear informes
personalizados mediante Cognos Report Studio. Un modelo de Cognos Framework
Manager acelera la creación de informes personalizados. Si desea más información
sobre los informes, consulte el tema “Administración de informes” en el

Tabla 2. Informes de IBM Security Role and Policy Modeler
Nombre del Descripción del Fixpack 1 o Más
informe informe Release inicial posterior información
Datos El administrador v Tema Informe
importados y que importa de “Datos
confirmados datos a IBM importados y
(antes Informe Security Role confirmados”
de operaciones) and Policy
v tema
Modeler puede
“Generación
utilizar este
de informes
informe para
Datos
revisar los datos
importados y
de un tipo
confirmados”
específico de
una determinada
sesión de
importación. Por
ejemplo, el
administrador
puede ejecutar el
informe para
identidades en
una sesión y ver
los valores de
diferentes
atributos de
dichas
identidades.
Asimismo, el
administrador
puede ejecutar el
informe en la
base de datos de
Base de datos de
Identidad y
Titularidad para
ver los detalles
de un tipo
específico de
datos
confirmados en
la base de datos
de Base de datos
de Identidad y
Titularidad.
Tabla 2. Informes de IBM Security Role and Policy Modeler (continuación)
Permisos Los informes de v Tema
Permisos ofrecen “Informe
una visión del Permisos”
modelo centrada
v Tema
en el permiso.
“Generación
Para un modelo,
de informes
el informe
Permisos”
muestra si los
usuarios están
autorizados o
asignados
directamente al
permiso u
obtienen el
permiso
mediante la
pertenencia al
rol. Los informes
también
proporciona
información
sobre los roles
que tienen este
permiso.

Roles por Los informes de v Tema
propietarios Roles por “Informe
(antes informe propietarios Roles por
de Roles) proporcionan propietarios”
detalles
v Tema
unificados de los
“Generación
roles de un
de informes
modelo. Se
Roles por
utilizan para
propietarios”
obtener
información de
retorno de las
partes
interesadas sobre
el rol modelado
agrupado por el
propietario de
rol. Los detalles
incluyen los
miembros del rol
y los permisos
autorizados por
el rol. Los
informes
contiene tanto
los usuarios y
permisos
asignados
directamente
como los
heredados. Los
informes
también
proporcionan el
calificador de
pertenencia del
rol y los
usuarios que
coinciden con el
calificador de
pertenencia.
Acceso de Los informes de v Tema
usuario Acceso de “Informe
usuario Acceso de
proporcionan usuario”
una visión
v Tema
centrada en el
“Generación
usuario de los
de informes
datos en IBM
Acceso de
Security Role
usuario”
and Policy
Modeler. Para
cada uno de los
usuarios
seleccionados, el
informe muestra
los permisos
asignados
directamente a
este usuario y
los permisos
heredados por
este usuario.
Todos los roles Los informes de v Tema
de un proyecto Todos los roles “Informe
por propietario de un proyecto Todos los
por propietario roles de un
muestran proyecto por
información propietario”
detallada sobre
v Tema
los roles. Puede
“Generación
seleccionar los
de informes
roles en función
Todos los
del proyecto. El
roles de un
informe muestra
proyecto por
información de
propietario”
rol en función
del propietario
del rol.
Detalles del rol Los informes de v Tema
Detalles del rol “Informe
muestran Detalles del
información rol”
detallada sobre
v Tema
roles. Puede
“Generación
seleccionar los
de informes
roles en función
Detalles del
del proyecto y
rol”
de los roles.

Historial del El informe de v Tema
ciclo de vida del Historial del “Informe
rol ciclo de vida del Historial del
rol muestra los ciclo de vida
detalles del del rol”
estado y del
v Tema
historial del ciclo
“Generación
de vida de los
de informes
roles. Puede
Historial del
seleccionar los
ciclo de vida
roles en función
del rol”
del proyecto.
A continuación se listan recursos adicionales sobre Tivoli Common Reporting:

Oferta de servicios de Inicio rápido de Tivoli Common Reporting
Satisface la demanda de informes de Tivoli Common Reporting Cognos
personalizados más allá de la oferta de informes actual.
Tivoli Common Reporting developerWorks
Proporciona la documentación del producto, temas de tarea, vídeos
destacados, catálogo en línea de informes de productos disponibles, tablón
de anuncios y foro para preguntas, etcétera. Consulte IBM Tivoli Common
Reporting. También puede encontrar una introducción a Tivoli Common
Reporting 2.1 en un enlace a YouTube: http://www.youtube.com/
watch?v=0zzIsZMGm-k
Information Center
Puede encontrar la documentación de Tivoli Common Reporting en el
Information Center en http://publib.boulder.ibm.com/infocenter/tivihelp/
v3r1/topic/com.ibm.tivoli.tcr.doc_211/ic-home.html.
Soporte de Tivoli Common Reporting
Encuentre soporte en http://www.ibm.com/support/entry/portal/
Overview/Software/Tivoli/Tivoli_Common_Reporting. Incluye descargas,
resolución de problemas, documentación, notas técnicas, arreglos, etcétera.
Capítulo 3. Novedades
El fixpack 1 y el fixpack 2 proporcionan actualizaciones a IBM Security Role and
Policy Modeler versión 1.1.
Actualizaciones del fixpack 1
IBM Security Role and Policy Modeler versión 1.1 fixpack 1 proporciona las
siguientes actualizaciones:
Tabla 3. Novedades del Fixpack 1
Actualización Consulte
Integración de Role Lifecycle Management “Role Lifecycle Management” en la página
con IBM Security Role and Policy Modeler 24
Requisitos de sistema operativo “Requisitos de sistema operativo” en la
página 48
Requisitos de bibliotecas de Linux “Bibliotecas de requisito previo para Linux”
en la página 48
Soporte para Microsoft Internet Explorer, “Requisitos de navegador” en la página 53
Versión 9.0
Problemas conocidos Capítulo 6, “Limitaciones conocidas,
problemas y métodos alternativos”, en la
página 57
Instalación de fixpacks de IBM Security Role Tema “Tareas de instalación del fixpack”
and Policy Modeler versión 1.1
Resolución de problemas de la instalación de Tema “Resolución de problemas de los
los fixpacks de IBM Security Role and Policy errores de instalación del fixpack”
Modeler versión 1.1
Habilitación de Role Lifecycle Management Tema “Configuración y habilitación de Role
Lifecycle Management”
Realización de tareas administrativas de Tema “Administración de Role Lifecycle
Role Lifecycle Management Management”
Resolución de problemas en Role Lifecycle Tema “Resolución de problemas de Role
Management Lifecycle Management”
Informes nuevos y actualizados Tema “Informes”
Mensajes nuevos de Role Lifecycle Tema “Mensajes Role Lifecycle
Management Management”
Actualizaciones de fixpack 2
IBM Security Role and Policy Modeler versión 1.1 fixpack 2 proporciona las
siguientes actualizaciones:
Tabla 4. Novedades del fixpack 2
Problemas conocidos Capítulo 6, “Limitaciones conocidas,
problemas y métodos alternativos”, en la
página 57

Tabla 4. Novedades del fixpack 2 (continuación)
Mejoras de la instrucción de la instalación Tema “Instalación”
Soporte para Mozilla Firefox versión 10 ESR “Requisitos de navegador” en la página 53
Mensajes nuevos Tema “Mensajes de registro”
Capítulo 4. Cómo empezar con IBM Security Role and Policy
Modeler
En esta sección se describen algunos conceptos clave y se ofrece una introducción a
las tareas iniciales que debe realizar para trabajar con IBM Security Role and Policy
Modeler.
Iniciar y detener IBM Security Role and Policy Modeler

Cuando se inicia WebSphere Application Server, IBM Security Role and Policy
Modeler se inicia automáticamente.
Antes de empezar
Asegúrese de que cumple todos los requisitos de software. Consulte “Requisitos de

software” en la página 52 para obtener instrucciones detalladas.
Procedimiento
1. Inicie WebSphere Application Server con este mandato: WAS_PROFILE_HOME\bin\
startServer.bat nombreservidor. O utilice este mandato: WAS_PROFILE_HOME/
bin/startServer.sh nombreservidor.
2. Para detener WebSphere Application Server, utilice este mandato:
WAS_PROFILE_HOME\bin\stopServer.bat nombreservidor.
Iniciar la sesión
Para abrir la página de inicio de IBM Security Role and Policy Modeler, debe abrir
un navegador web, escribir la dirección correcta e iniciar la sesión en Tivoli
Integrated Portal. Puede establecer una conexión segura (HTTPS) o no segura
(HTTP) con Tivoli Integrated Portal.
Procedimiento
1. En la barra de direcciones, escriba una de estas direcciones para visualizar la
página de inicio de sesión de Tivoli Integrated Portal.
Opción Descripción
Para una conexión no segura, http://nombre_host:puerto/ibm/console
donde el puerto de transporte HTTP
predeterminado es: 16310, y el puerto de la
consola de administración de WebSphere es:
16315
Para una conexión segura, https://nombre_host:puerto/ibm/console
donde el puerto de transporte HTTPS
predeterminado es: 16311, y el puerto seguro
de la consola de administración de
WebSphere es: 16316
donde nombre_host es el nombre o dirección IP del sistema en el que IBM

Security Role and Policy Modeler está instalado.
2. En el campo ID de usuario, escriba su ID de usuario.
3. En el campo Contraseña, escriba su contraseña.

4. Pulse Iniciar sesión. Se visualiza la página de inicio de IBM Security Role and
Policy Modeler.
Qué hacer a continuación
Una vez que haya iniciado la sesión en Tivoli Integrated Portal, puede empezar a
trabajar con IBM Security Role and Policy Modeler. Consulte “Explicación de la
interfaz de usuario”.
Explicación de la interfaz de usuario

En esta sección se describen las principales tareas que puede realizar con IBM
Utilice el modelador para crear, visualizar y analizar roles, jerarquías de
roles y restricciones de separación de funciones.
Creación de informes
Utilice informes para ver detalles de roles e identificar permisos asignados
a usuarios.
Importación de datos de identidad y titularidad
Las herramientas de modelado y análisis utilizan los datos importados
para proporcionar roles y políticas optimizados.
Página de inicio y panel de navegación

Utilice la página de inicio y el panel de navegación para iniciar tareas de IBM
Puede abrir o cerrar el panel de navegación pulsando la flecha Mostrar navegación

o la flecha Ocultar navegación en el medio de los bordes del panel.
Nota: La página de inicio y el panel de navegación sólo muestran los nodos a los
que tiene acceso. Dependiendo de los roles en los que esté definido en Tivoli
Integrated Portal, es posible que no tenga acceso a ciertas tareas. Si no tiene acceso
a una tarea, ésta no se visualiza en la navegación. Para obtener acceso a una
determinada tarea, póngase en contacto con el administrador del sistema. Consulte
el tema el tema “Administración de usuarios” en el Information Center de IBM
Figura 2. Página de inicio y panel de navegación

La interfaz de usuario para el modelado de roles consta de tres ventanas:
Proyectos, Roles y políticas y Propiedades de rol
Ventana Proyectos
Utilice esta ventana para buscar y gestionar proyectos actuales.
Ventana Roles y políticas
Utilice esta ventana como la interfaz principal de edición de roles que
proporciona vistas de tabla y gráficas de los roles en el proyecto abierto.
Hay un panel de análisis disponible en esta ventana para realizar un
análisis de rol detallado.
Ventana Propiedades de rol
Utilice esta ventana para editar las propiedades de un rol. Puede
seleccionar un rol en la ventana Roles y políticas y editarlo.
Ventana Proyectos
Utilice esta ventana para crear, editar, suprimir, exportar y volver a calcular
proyectos. La tabla de esta ventana muestra una lista de los nombres de los
proyectos, así como el estado, roles y políticas de los mismos. Al pulsar el enlace
de estado, obtendrá más detalles sobre el estado del proyecto.
Capítulo 4. Cómo empezar con IBM Security Role and Policy Modeler 39
Figura 3. Ventana Proyectos
Ventana Roles y políticas
Utilice esta ventana para planificar y desarrollar roles y políticas. Esta ventana se
divide en tres secciones:
Panel Resumen
Este panel proporciona información básica sobre el proyecto que
actualmente está modelando. Desde el panel de resumen, puede abrir otras
ventanas para:
v Editar el nombre y la descripción del proyecto
v Ver y actualizar el ámbito del proyecto
v Ver estadísticas adicionales sobre el proyecto
Panel Roles
Este panel proporciona una vista de los roles del proyecto en la que se
pueden realizar búsquedas. El panel Roles tiene dos vistas. Puede
conmutar entre las vistas pulsando el icono correspondiente:
v Pulse el icono para visualizar la vista jerárquica.
v Pulse el icono para visualizar la vista de tabla.

Desde este panel, puede crear, editar, copiar y suprimir roles. Utilice el
menú Acciones para realizar estas acciones:
v Generar roles
v Exportar proyectos
v Copiar roles en el proyecto
Hay un menú disponible cuando se pulsa el botón derecho del ratón en un
rol para realizar acciones en un rol específico y seleccionar un rol para su
análisis.
Utilice el icono Deshacer para retrotraer cambios realizados recientemente
en el modelo.
Panel Análisis
El panel de análisis proporciona un catálogo de tareas de análisis y una
ficha para la actividad de análisis actual que está realizando.
Figura 4. Ventana Roles y políticas (vista de tabla) con un panel de análisis
Vista jerárquica (gráfica) de roles

La vista jerárquica de roles ofrece una alternativa gráfica a la vista de tabla.
Dispone de las mismas características que en la vista de tabla, con
características adicionales para ayudar a explorar el gráfico de jerarquía de
roles. Esta vista incluye una sección de esquema que se puede contraer
para mostrarle dónde se encuentra cuando está en un gráfico de rol grande
que se ha aumentado con el zoom. Tiene los iconos Acercar y Alejar, el
icono Ajustar el contenido y una característica de búsqueda para destacar
los roles en el gráfico. Para cambiar la vista de tabla, pulse el icono .
Figura 5. Ventana Roles y políticas (vista jerárquica) con visión general y menú
Panel Análisis
El panel Análisis contiene el catálogo y una ficha para la tarea de análisis
actual. El catálogo proporciona una lista de las tareas de análisis
disponibles. Cuando se pulsa un elemento del catálogo de análisis, cambia
a la ficha de análisis y muestra el resultado.
También hay disponible un menú de tareas de análisis vistas recientemente
en caso de que desee volver a un elemento de análisis anterior. El panel de
análisis se abre automáticamente cuando se selecciona Analizar rol desde
la ventana Roles y políticas. Puede utilizar las flechas de la barra
separadora para conmutar entre una vista minimizada, maximizada y
dividida del panel de análisis.
Nota: Para seleccionar un rol para analizar, utilice el elemento de menú

Analizar rol en el menú de la ventana Roles y políticas. Un rol también se
selecciona automáticamente para su análisis cuando se abren sus
propiedades en la ventana Propiedades de rol.
Figura 6. Catálogo de análisis
Figura 7. Tarea de análisis de ejemplo
Nota: La tarea ¿Qué tienen en común los miembros de este rol? permite el acceso a
más detalles en los enlaces de gráfico y tabla para un análisis adicional.
Ventana Propiedades de rol
Utilice esta ventana para editar las propiedades de un rol. Navegue por la ventana
utilizando las fichas para editar propiedades específicas del rol. Estas propiedades
incluyen información general, jerarquía, pertenencia, permisos, política de
separación de funciones e información adicional sobre el rol.
Cuando se editan las propiedades de los roles, los cambios se guardan

inmediatamente. Se visualiza un indicador de guardar mientras la operación de
guardar está en curso. Puede utilizar el icono Deshacer en las vistas de tabla y
gráficas para retrotraer un cambio realizado al editar el rol. A medida que actualiza
el rol, las propiedades relacionadas también se actualizan. Por ejemplo, si añade un
nuevo rol padre, el contenido de la ficha Permisos se actualiza para reflejar
cualquier permiso heredado del padre recién añadido.
Utilice las rutas de navegación en la parte superior de la ventana para volver a la

ventana Roles y políticas para continuar con la edición.
Figura 8. Ventana Propiedades de rol
Nota: El panel de análisis está disponible en la ventana Propiedades de rol. Utilice

las flechas de la barra separadora para conmutar entre una vista minimizada,
maximizada y dividida del panel de análisis.
Creación de informes
IBM Security Role and Policy Modeler proporciona informes para los recursos y
actividades del sistema.
IBM Security Role and Policy Modeler utiliza IBM Tivoli Common Reporting para
crear informes. Para iniciar esta herramienta de informes, pulse Informe en la
página de inicio de IBM Security Role and Policy Modeler. Para obtener más
información sobre esta herramienta e instrucciones sobre cómo utilizarla, consulte
el Centro de información de Tivoli Common Reporting.
Importación de datos de identidad y titularidad

Utilice esta ventana para gestionar sesiones de importación, incluyendo la creación,
supresión, validación y confirmación de sesiones de importación.
Pulse el enlace en la columna Estado para ver mensajes de estado asociados a la

sesión sesión y acciones realizadas en la sesión de datos. El enlace en la columna
Mensajes proporciona mensajes de detalle sobre los datos de la sesión
seleccionada. Pulse el enlace en la columna Sesión, o seleccione una sesión y pulse
el icono Editar, para ver y gestionar archivos cargados en la sesión.
Figura 9. Ventana Importar datos de identidad y titularidad
Ayuda y documentación en línea

Desde la consola de administración, puede acceder a la ayuda en línea de IBM
Security Role and Policy Modeler y sus productos relacionados.
Puede utilizar dos procedimientos para acceder a la ayuda y la documentación en

línea:
v Pulse Ayuda en la esquina superior izquierda de la ventana de consola. Se abre
una nueva ventana que contiene la información de ayuda en línea de IBM
También puede acceder a la siguiente información en esta ventana de Ayuda:
– Ayuda de Tivoli Integrated Portal
– Enlaces del sitio web de soporte electrónico de IBM
– Centro de información de Tivoli Common Reporting
Pulse los títulos en el panel de navegación izquierdo para expandir estas áreas.
v Pulse el icono ? en la esquina superior izquierda de un panel individual. Se abre
una nueva ventana que contiene la información de ayuda para ese panel
específico.
Capítulo 5. Requisitos de hardware y software
IBM Security Role and Policy Modeler tienes varios requisitos de hardware y
software.
Compatibilidad con otro software

Este apartado describe la compatibilidad de IBM Security Role and Policy Modeler
con otros productos de software.
Si ya está instalado alguno de los siguientes software en el sistema, puede seguir

utilizándolo, pero debe ser consciente de las restricciones.
Tabla 5. Compatibilidad de la instalación de IBM Security Role and Policy Modeler
Software instalado Restricciones de uso
Tivoli Integrated Portal versión 2.2 instalado Puede utilizar un nombre de usuario y
con WebSphere Application Server contraseña de administración de Tivoli
Integrated Portal existentes durante la
instalación de IBM Security Role and Policy
Modeler.
Restricción: Si tiene instalado Tivoli
Integrated Portal 2.2 con embedded
WebSphere Application Server, no puede
utilizar el software existente.
Tivoli Common Reporting versión 2.1.1 Puede utilizar Tivoli Common Reporting
instalado con WebSphere Application Server para generar informes de IBM Security Role
and Policy Modeler.
Restricción:
v Si tiene instalado Tivoli Common
Reporting 2.1.1 con embedded WebSphere
Application Server, no puede utilizar el
software existente.
v No puede utilizar Tivoli Common
Reporting autónomo.
WebSphere Application Server versión 7.0 Puede utilizar un servidor WebSphere
Application Server existente.
Restricción: IBM Security Role and Policy
Modeler no da soporte a:
v WebSphere Application Server
incorporado
v Entorno del clúster de WebSphere
Application Server Network Deployment
v WebSphere Application Server de 32 bits
en un sistema operativo de 64 bits

Requisitos de sistema operativo
El programa de instalación de IBM Security Role and Policy Modeler comprueba si
están presentes sistemas operativos y niveles específicos antes de iniciar el proceso
de instalación.
Tabla 6. Requisitos de sistema operativo para IBM Security Role and Policy Modeler
Requisitos de nivel de mantenimiento o
Sistema operativo parche
AIX 6.1 POWER System de 64 bits Ninguno
AIX 7.1 POWER System de 64 bits Ninguno
Windows Server 2008 (Release 1) Standard Ninguno
Edition x86-32
Microsoft Windows Server 2008 (Release 1) Ninguno
Standard Edition x86-64
Windows Server 2008 (Release 1) Enterprise Ninguno
Edition x86-32
Windows Server 2008 (Release 1) Enterprise Ninguno
Edition x86-64
Windows Server 2008 Release 2 Standard Ninguno
Edition x86-64
Windows Server 2008 Release 2 Enterprise Ninguno
Edition x86-64
Red Hat Enterprise Linux 5.0 x86-64 Ninguno
*
Red Hat Enterprise Linux 6.0 x86-64 Ninguno
SUSE Linux Enterprise Server 10.0 x86-64 Ninguno
SUSE Linux Enterprise Server 11.0 x86-64 Ninguno
*
Oracle en Red Hat Enterprise Linux versión 6.0 no está soportado.
Bibliotecas de requisito previo para Linux

El programa de instalación de IBM Security Role and Policy Modeler comprueba si
están presentes los sistemas operativos y las versiones específicos antes de iniciar
el proceso de instalación. Debe instalar las versiones de 32 bits y de 64 bits de las
bibliotecas para Linux.
Tivoli Common Reporting instala archivos binarios de 32 bits. Debe instalar ambos
versiones, la 32 bits y la 64 bits, de las bibliotecas de requisito previo, incluso en el
sistema operativo Linux de 64 bits soportado.
Los niveles listados a continuación son lo últimos disponibles. Puede utilizar estas
versiones o versiones más nuevas.
Consejo: Ejecute el escáner de requisitos previos para comprobar que dispone de

todas las bibliotecas necesarias de Tivoli Common Reporting. El escáner de
requisitos previos comprueba la configuración del entorno y detecta los requisitos
previos que faltan. Puede descargarlo desde el sitio de soporte de IBM.
Red Hat Enterprise Linux 6.0 y posterior
IBM Installation Manager necesita un conjunto de bibliotecas de 32 bits y de 64 bits

para instalar en Red Hat Enterprise Linux 6.0 x86-64.
IBM Installation Manager es una aplicación de 32 bits y necesita versiones de 32

bits de bibliotecas de sistema operativo. Estas bibliotecas no están instaladas en
Red Hat Enterprise Linux 6.0 x86-64 de forma predeterminada.
Antes de ejecutar IBM Installation Manager en Red Hat Enterprise Linux 6.0
x86-64, descargue e instale estas bibliotecas:
Tabla 7. Bibliotecas de requisito previo para Red Hat Enterprise Linux 6.0 y posterior
Bibliotecas de 32 bits Bibliotecas de 64 bits
gtk2-2.18.9-6.el6.i686.rpm gtk2-2.18.9-6.el6.x86_64.rpm
glib2-2.22.5-6.el6.i686.rpm glib2-2.22.5-6.el6.x86_64.rpm
libXtst-1.0.99.2-3.el6.i686.rpm libXtst-1.0.99.2-3.el6.x86_64.rpm
compat-libstdc++-33-3.2.3- compat-libstdc++-33-3.2.3-
69.el6.i686.rpm 69.el6.x86_64.rpm
pam-1.1.1-10.el6.i686.rpm pam-1.1.1-10.el6.x86_64.rpm
openmotif22-2.2.3-19.el6.i686.rpm openmotif22-2.2.3-19.el6.x86_64.rpm
libXp-1.0.0-15.1.el6.i686.rpm libXp-1.0.0-15.1.el6.x86_64.rpm
libXmu-1.0.5-1.el6.i686.rpm libXmu-1.0.5-1.el6.x86_64.rpm
SUSE Linux Enterprise Server 10 y SUSE Linux Enterprise

Server 11
Descargar e instalar las siguientes bibliotecas necesarias:

compat-32bit
compat-libstdc++
openmotif-libs-32bit-2.2.4 o más reciente
Requisito para Tivoli Common Reporting y controladores JDBC
Cognos experimenta algunos propblemas con los controladores JDBC. En Red Hat
Enterprise Linux, el directorio /home/db2inst1/sqllib/java contiene un archivo
denominado db2java.zip.
Realice una copia del archivo db2java.zip y renombre el archivo copiado como
db2java.jar.
Requisito para Red Hat Enterprise Linux 6.1 y 6.2
Después de desempaquetar el código de IBM Security Role and Policy Modeler en

disk1/, se muestran las estructuras de directorio siguientes:
disk1/IBMTIP/cdimage/COI/PackageSteps/TCRCore_Upgrade/TCR.cognos.xml
disk1/IBMTIP/cdimage/COI/PackageSteps/TCRCore/TCR.cognos.xml
Edite el archivo cognos.xml en ambos directorios de la manera siguiente:

En Red Hat Enterprise Linux 6.1
Cambie substring="6.0" a substring="6.1"
Capítulo 5. Requisitos de hardware y software 49

En Red Hat Enterprise Linux 6.2
Cambie substring="6.0" a substring="6.2"
Aumentar ulimit en archivos abiertos
Antes de instalar IBM Security Role and Policy Modeler, debe aumentar el valor de
ulimit a 2048 o superior en archivos abiertos. Para obtener más información,
consulte el apartado “Requisitos de servidor de informes” en la página 55.
Error al cargar bibliotecas compartidas

Error al cargar bibliotecas compartidas
Puede recibir este mensaje de error relacionado con las bibliotecas
compartidas:
Error al cargar bibliotecas compartidas: libXm.so.3:
no se puede abrir el archivo de objeto compartido: No existe ese archivo
o directorio.
Se produce un error porque Cognos está enlazado a la biblioteca openmotif

library 2.2.X que contiene un enlace simbólico a libXm.so.3. Cuando se
actualiza la biblioteca libXm.so.3, la biblioteca openmotif también se
actualiza. Las versiones más recientes de openmotif no tienen el enlace
simbólico a libXm.so.3, sino a libXm.so.4, y Cognos necesita libXm.so.3.
Para resolver este error, cree un nuevo enlace simbólico. Ejecute este
mandato desde el directorio /usr/lib:
ln -s libXm.so.4 libXm.so.3
Si desea más información
Para obtener más información, consulte los temas siguientes:

v https://www-304.ibm.com/support/docview.wss?uid=swg21427069
v https://www-304.ibm.com/support/docview.wss?uid=swg21459143
v http://www-01.ibm.com/support/docview.wss?uid=swg21573357
Requisitos de hardware
IBM Security Role and Policy Modeler tiene los siguientes requisitos de hardware.
Tabla 8. Requisitos de hardware para IBM Security Role and Policy Modeler
Componentes del sistema Valores mínimos Valores sugeridos
Memoria del sistema (RAM) 4 gigabytes (véase Nota) 8 gigabytes
Memoria del sistema 500 MB 500 MB
disponible
Velocidad del procesador Procesador único Intel o Procesador dual Intel o
pSeries de 3,0 gigahercios pSeries de 4 gigahercios
Espacio de disco para el 30 gigabytes 40 gigabytes
producto y los productos de
requisito previo
Nota:
v Si está utilizando un sistema operativo AIX o Linux, es necesario un mínimo de
8 gigabytes de espacio. Este requisito incluye el espacio RAM y de intercambio
combinado. Por ejemplo, si el sistema tiene 4 gigabytes de RAM, debe haber
disponible un espacio de intercambio de 4 gigabytes para instalar el producto.
v Un sistema que está ejecutando un navegador del lado del cliente debe tener
uno de los siguientes requisitos mínimos:
– 3.0 gigahertz Intel con un controlador de gráficos rápido.
– Procesador pSeries y 4 gigabytes de RAM
Requisitos de espacio de disco para instalar IBM Security Role

and Policy Modeler y sus componentes
En la tabla siguiente se detalla el espacio de disco necesario para instalar IBM

Security Role and Policy Modeler y sus componentes.
Tabla 9. Requisitos de espacio de disco
Componentes Espacio de disco necesario
1 2
Para instalar Tivoli Integrated Portal 4,5 GB
1 3
Para instalar Tivoli Common Reporting 2,5 GB
Para instalar IBM Security Role and Policy 1,0 GB
Modeler 1
Para la ubicación de instalación de IBM 350 MB
Security Role and Policy Modeler
4
Para el directorio temporal del sistema 300 MB
1
Indica que el espacio es necesario en el directorio donde está instalado
WebSphere Application Server.
2
Incluye el espacio de disco necesario para las instalaciones de estos componentes:
Tivoli Integrated Portal,Tivoli Common Reporting y IBM Security Role and Policy
Modeler.
3
Incluye el espacio de disco necesario para las instalaciones de estos componentes:
Tivoli Common Reporting y IBM Security Role and Policy Modeler.
4
Si el directorio temporal no tiene espacio suficiente, puede cambiar el directorio
temporal del sistema para que apunte a una unidad que tenga espacio suficiente.
v sistema operativo Microsoft Windows: Restablezca las variables del sistema TMP
y TEMP para que apunten a la unidad con espacio suficiente. Por ejemplo,
D:/temp.
v AIX:
mv /tmp /mnt/new/location/tmp
ln -s /mnt/new/location/tmp /tmp
Importante:
– Debe tener autorización de usuario root para ejecutar estos mandatos.
– Ninguno de los archivos en el directorio temporal puede estar en uso cuando
ejecute estos mandatos.
– Si crea una carpeta para redirigir tmp, la carpeta debe tener privilegios
universales Read, Write y Execute (777).

Requisitos de software
IBM Security Role and Policy Modeler tiene requisitos de software descritos en los
siguientes temas.
Requisitos de WebSphere Application Server

En la tabla siguiente se listan los requisitos de WebSphere Application Server:
Tabla 10. Requisitos de WebSphere Application Server
Requisitos Más información
Debe instalar WebSphere Application Server Consulte el tema “Instalar WebSphere
versión 7.0. Application Server” en el Information Center
Nota: Si va a instalar la herramienta de de IBM Security Role and Policy Modeler.
carga en un sistema distinto a IBM Security
Identity Manager, debe instalar el cliente de
aplicación WebSphere Application Server 7.0
de 32 bits. Esto se aplica a ambos sistemas
operativos, de 32 bits y de 64 bits.
Debe instalar WebSphere Application Server Puede instalar el Fixpack necesario desde el
versión 7.0 con el fixpack 19 o posterior, DVD del producto o descargarlo desde el
incluidas las actualizaciones de WebSphere sitio web de soporte de IBM oficial. Consulte
Java SDK. http://www.ibm.com/support.
Nota: IBM Security Role and Policy Modeler no da soporte a un servidor

WebSphere Application Server de 32 bits en un sistema operativo Windows de 64
bits.
Requisitos de servidor de bases de datos

IBM Security Role and Policy Modeler requiere una base de datos DB2 u Oracle.
Debe instalar una base de datos en un sistema local o utilizar un servidor de bases
de datos remoto.
Tabla 11. Requisitos de servidor de bases de datos
Servidor de bases de datos Fixpack y otros requisitos
DB2 Enterprise Server Edition, Versión 9.7 v Instale el fixpack 4 o posterior.
Si tiene que trabajar con informes de IBM
Security Role and Policy Modeler, debe:
v Instale el cliente de DB2 de 32 bits o de 54
bits en el sistema local, si utiliza un
servidor de bases de datos remotas.
Tabla 11. Requisitos de servidor de bases de datos (continuación)
Servidor de bases de datos Fixpack y otros requisitos
Oracle Database Enterprise Edition 11g v La cantidad mínima de memoria (RAM)
Release 2 Fix Pack 2 para la base de datos de IBM Security
Role and Policy Modeler en la base de
datos Oracle es 1,5 GB. La cantidad
sugerida es 2,0 GB o más.
v La cantidad mínima de espacio de disco
para la base de datos de IBM Security
Role and Policy Modeler en la base de
datos Oracle es 10 GB. La cantidad
sugerida es 20 GB.
Si tiene que trabajar con informes de IBM
Security Role and Policy Modeler, debe:
v Instale el cliente de Oracle de 32 bits.
Nota: IBM Security Role and Policy Modeler no soporte un servidor de bases de
datos de 32 bits en un sistema operativo de 64 bits. Un servidor de bases de datos
de 32 bits sólo está soportado en un sistema operativo de 32 bits. De forma similar,
un servidor de bases de datos de 64 bits sólo está soportado en un sistema
operativo de 64 bits.
Consulte el tema “Instalación de la base de datos” en el Information Center de

IBM Security Role and Policy Modeler.
Requisitos de Java Runtime Environment

La aplicación del servidor IBM Security Role and Policy Modeler se ejecuta en
WebSphere Application Server Java Runtime Environment. El fixpack de
WebSphere Application Server incluye la versión de Java Runtime Environment
necesaria.
Para obtener más información sobre la versión y el fixpack de WebSphere

Application Server necesarios, consulte “Requisitos de WebSphere Application
Server” en la página 52.
IBM Security Role and Policy Modeler incluye Java Runtime Environment versión
6.0.9.2 y sólo se utiliza con el fin de instalar Tivoli Integrated Portal, Tivoli
Common Reporting y los Fixpacks asociados.
Requisitos de navegador
La siguiente tabla lista los navegadores soportados y las versiones de navegador
soportadas. Los navegadores soportados no se incluyen con el producto.
Tabla 12. Requisitos de navegador para IBM Security Role and Policy Modeler
Sistema operativo Mozilla Microsoft Microsoft Microsoft
Firefox Internet Internet Internet
versión 10 Explorer, Explorer, Explorer,
ESR2, 3 Versión 7.0 Versión 8.0 Versión 9.01
Microsoft Windows 7 Intel
x86, 32 bits

Tabla 12. Requisitos de navegador para IBM Security Role and Policy
Modeler (continuación)
Sistema operativo Mozilla Microsoft Microsoft Microsoft
Firefox Internet Internet Internet
versión 10 Explorer, Explorer, Explorer,
ESR2, 3 Versión 7.0 Versión 8.0 Versión 9.01
Microsoft Windows 7 Intel
x86, 64 bits
Windows Vista Intel x86, 32
bits
Windows Vista Intel x86, 64
bits
Windows XP Intel x86, 32 bits
Microsoft Windows Server

2008 (Release 1) Standard
Edition y Enterprise Edition
Intel x86, 32 bits
2008 (Release 1) Standard
Intel x86, 64 bits
2008 Release 2 Standard
Intel x86, 64 bits
Red Hat Enterprise Linux 5.0
para Intel x86 de 64 bits
for Intel x86, de 64 bits
Desktop
Desktop
SUSE Linux Enterprise Server
10.0 para Intel x86 de 64 bits
SUSE Linux Enterprise Server
11.0 para Intel x86 de 64 bits
SUSE Linux Enterprise 10
Desktop
SUSE Linux Enterprise 11
Desktop
Notas:
1. Microsoft Internet Explorer, Versión 9.0 está soportado en IBM Security Role
and Policy Modeler versión 1.1.0.1 (Fixpack 1) o posterior.
2. Mozilla Firefox versión 3.6 está soportado en IBM Security Role and Policy
Modeler versión 1.1.0.1 y 1.1.0.0. Mozilla Firefox versión 10 ESR está soportado
en IBM Security Role and Policy Modeler versión 1.1.0.2.
3. Si tiene previsto utilizar Mozilla Firefox versión 10 ESR y ver informes,
asegúrese de instalar Tivoli Integrated Portal 2.2.0.7 y Tivoli Common
Reporting 2.2.1 con el arreglo temporal 6.
4. Compruebe que su navegador sea compatible con Adobe Flash Player. En el
momento de la publicación, Windows 2008 de 64 bits no es compatible con
Adobe Flash Player.
Requisitos de servidor de informes

Este tema describe los requisitos de Tivoli Common Reporting y de informe de
Tabla 13. Requisitos de servidor de informes
Requisitos Información
Servidor Tivoli Common Reporting versión El proceso de instalación realiza una de las
2.1.1 opciones siguientes:
v Instala Tivoli Common Reporting versión
2.1.1
v Ofrece la opción al usuario para que
configure Tivoli Common Reporting si ya
está instalado
Servidor Tivoli Common Reporting versión Consulte http://www.ibm.com/support/
2.1.1 arreglo temporal 6 docview.wss?uid=swg21605218.
Este arreglo temporal es necesario si utiliza

Mozilla Firefox versión 10 ESR para ver
informes.
Cliente de base de datos de 32 bits Debe instalar el cliente de base de datos de
32 bits para trabajar con informes de IBM
Versiones de 32 bits y 64 bits de las Consulte “Bibliotecas de requisito previo
bibliotecas de requisito previo para Linux para Linux” en la página 48.
Defina abrir archivos mayores que 2048 para Para aumentar este valor, ejecute este
el Tivoli Common Reporting instalado en los mandato:
sistemas operativos que no sean Windows. ulimit -n nnnn
donde nnnn es el número de archivos

abiertos que desea. Por ejemplo, ulimit -n
2048
Requisitos previos para las herramientas de extracción y

carga
De forma opcional, puede instalar las herramientas de extracción y carga
seleccionando Programas de utilidad de extracción y carga para IBM Security
Identity Manager durante la instalación.
Debe instalar IBM Security Identity Manager versión 5.1, Fixpack 7 y el arreglo
temporal 32 para trabajar con los programas de utilidad de extracción y carga.

Capítulo 6. Limitaciones conocidas, problemas y métodos
alternativos
Las siguientes limitaciones conocidas, problemas y métodos alternativos se aplican
IBM Security Role and Policy Modeler Versión 1.1.
v “Instalación del producto”
v “Informes” en la página 59
v “Atributos” en la página 61
v “Importación” en la página 62
v “Copia de roles” en la página 62
v “Navegadores” en la página 63
v “Interfaz de usuario” en la página 66
v “Herramienta de extracción y carga” en la página 66
v “Rendimiento ” en la página 67
v “Role Lifecycle Management” en la página 67
Instalación del producto

La instalación del producto se cuelga si se incluye un carácter especial no
soportado en los nombres del Directorio de recursos compartidos o del
Directorio de instalación.
Si se incluyen caracteres especiales no soportados en el nombre del
Directorio de recursos compartidos o del Directorio de instalación, la
instalación de producto se cuelga. Aparte de los caracteres alfanuméricos,
los únicos caracteres especiales soportados para el Directorio de recursos
compartidos o el Directorio de instalación son:
v "." (punto)
v "-" (guión)
v "_" (subrayado)
Método alternativo
Utilice los caracteres especiales soportados para el Directorio de
recursos compartidos o el Directorio de instalación.
No se pueden asignar los roles de IBM Security Role and Policy Modeler a un
usuario mediante el instalador.
El instalador no asignará los roles de IBM Security Role and Policy
Modeler a un usuario bajo estas condiciones:
v Existen varios usuarios en repositorios federados de Tivoli Integrated
Portal o de WebSphere Application Server con el mismo ID de usuario.
v Dicho ID de usuario se proporciona como un usuario de IBM Security
Método alternativo
Puede asignar manualmente los roles de IBM Security Role and
Policy Modeler a un usuario. Si desea más información sobre cómo
asignar roles a un usuario, consulte el tema “Administración” en el

Se produce un error de espacio de disco insuficiente durante la instalación del
producto incluso después de hacer que el espacio necesario esté disponible.
Al especificar la ubicación de WebSphere Application Server durante la
instalación del producto, se muestra un mensaje de aviso en el instalador
si:
v No hay el espacio suficiente solicitado en la ubicación para instalar los
componentes de IBM Security Role and Policy Modeler.
El mensaje no desaparece. El instalador no continúa incluso después de
haber proporcionado el espacio libre necesario en el directorio de
WebSphere Application Server. El mensaje se visualiza incluso después de
regresar al panel anterior y navegar hasta el panel actual.
Método alternativo
Debe especificar de nuevo la vía de acceso de WebSphere
Application Server. Puede elegir entre examinar de nuevo o entrar
manualmente la vía de acceso otra vez.
La operación de conexión de prueba para los detalles de base de datos
especificados puede tardar mucho tiempo en responder.
Al especificar los detalles de la base de datos en el panel de base de datos
para IBM Security Role and Policy Modeler, la operación Probar conexión
puede tardar mucho tiempo. Una causa podría ser un número de puerto
de DB2 incorrecto en una entrada en Número de puerto de base de datos.
La cantidad de tiempo para la respuesta también está relacionada con los
valores de tiempo de espera de TCP/IP definidos por el sistema operativo.
Método alternativo
Espere el resultado de Probar conexión. Especifique el número de
puerto de DB2 correcto y luego pulse el icono Probar conexión
para validar las credenciales.
Los requisitos de espacio de disco varían entre los paneles Características y
Resumen.
Los requisitos de espacio de disco de IBM Security Role and Policy
Modeler no son iguales en los paneles Características y Resumen. Los
requisitos de espacio que figuran en el panel Características no son tan
exactos como los requisitos de espacio del panel Resumen. Parece como si
al inicio del proceso de instalación hubiera suficiente espacio. Pero, al final
del proceso, el instalador informa de que no hay suficiente espacio.
Método alternativo
Asegúrese de que haya 100 MB más de espacio disponible que el
espacio especificado en el panel Características.
La instalación de IBM Security Role and Policy Modeler falla en un sistema con
un entorno local turco.
La instalación de IBM Security Role and Policy Modeler falla en un sistema
con un entorno local turco.
Método alternativo
Cambie el entorno local del sistema a inglés para realizar la
instalación. Una vez completada la instalación, restaure el entorno
local turco.
Informes
El informe de operaciones de la base de datos de Identidad y titularidad sobre
asignaciones de usuarios a permisos falla en la base de datos Oracle
Se produce un error al intentar ejecutar el informe, con un mensaje similar
al siguiente:
UDA-SQL-0114 El cursor proporcionado a la operación "sqlOpenResult" está inactivo.
UDA-SQL-0107 Se ha producido una excepción general durante la operación "open result".
ORA-00600: código de error interno, argumentos: [rwoirw: check ret val],
[], [], [], [], [], [], [], [], [], [], []
Solución:
Este error es un problema conocido cuando se utiliza Oracle
Database 11gR2.0.2.0. Este problema se ha solucionado en Oracle
Database 11gR2.0.3. El método alternativo temporal es añadir un
desencadenante de base de datos a la base de datos Oracle de IBM
Security Role and Policy Modeler para establecer el parámetro de
Oracle "_replace_virtual_columns=false". Ejecute el siguiente
mandato desde una sesión de SQL*Plus conectada a la base de
datos Oracle de IBM Security Role and Policy Modeler con
privilegio de administración (es decir como SYSTEM o SYS):
-- BEGIN
CREATE OR REPLACE TRIGGER WORKAROUNDORA9965278 AFTER
LOGON ON DATABASE BEGIN
EXECUTE IMMEDIATE ’ALTER SESSION SET "_replace_virtual_columns"=false’;
END;
/
-- END
Este mandato añade el desencadenante llamado

WORKAROUNDORA9965278 al esquema SYS. El desencadenante
implementa el método alternativo necesario para cada sesión que
se conecta a la base de datos Oracle de IBM Security Role and
Policy Modeler.
Al ejecutar el informe de roles con una base de datos Oracle, falta la
información de usuario.
A los informes de roles ejecutados con una base de datos Oracle les faltan
las identidades de miembros de rol. El equipo de Tivoli Common
Reporting y Cognos está investigando este problema.
Solución:
Utilice el PMR 87260 004 para realizar el seguimiento de la
solución a este problema.
El intento de ejecutar dos o más de dos informes simultáneamente produce
errores intermitentes en Internet Explorer.
Una ejecución simultánea de informes con una gran cantidad de datos
puede producir un error en Internet Explorer. El síntoma, la causa y la
resolución están documentados en el siguiente enlace. Consulte
http://www.ibm.com/support/docview.wss?uid=swg21340993.
Aumento del tiempo de espera asíncrono en entornos de altas cargas de
usuarios.
Esta limitación conocida está documentada en el siguiente enlace. Consulte
http://publib.boulder.ibm.com/infocenter/c8bi/v8r4m0/index.jsp. Para
localizar el tema:
1. Escriba Aumento del tiempo de espera asíncrono en entornos de
altas cargas de usuarios en Buscar.
2. Pulse Ir.
Capítulo 6. Limitaciones conocidas, problemas y métodos alternativos 59

En los informes en chino y japonés se muestran nombres de atributos dañados.
Los caracteres del juego de caracteres de doble byte (DBCS) aparecen
dañados en los informes.
Método alternativo
Configure los informes para que el flujo de datos esté en formato
Unicode.
1. En la página Trabajar con informes, pulse el menú Iniciar y
pulse Administración.
2. Pulse Configuración para abrir la conexión de origen de datos.
3. Pulse Security Modeling DataSource.
4. Bajo la columna Acción, pulse Establecer propiedades-Security
Modeling DataSource.
5. En la ventana Establecer propiedades-Security Modeling
DataSource, pulse Configuración.
6. En el campo Cadena de conexión, pulse el símbolo de lápiz
para editar la serie de conexión.
7. En el campo Secuencia de ordenación, escriba @UNICODE.
8. PulseAceptar.
9. Ejecute el informe para verificar que el texto ya no aparece
dañado.
Se produce un error de Cognos, QE-DEF-0285 Error de inicio de sesión, al
probar la conexión de origen de datos de DB2 en Linux.
El síntoma, la causa y la resolución de este problema están documentados
en el enlace siguiente. Consulte http://www.ibm.com/support/
docview.wss?uid=swg21468556.
Edite el archivo /etc/ld.so.conf como se describe en el enlace anterior y
luego ejecute el mandato Idconfig desde el directorio /sbin.
Solicitud de valores restringida o inesperada al seleccionar la opción Guardar el
informe.
El problema se produce en las siguientes condiciones:
v Informe de permisos e informe de roles
Cuando intenta ejecutar el Informe de permisos, pulsa Ejecutar con
opciones en la columna Acción. Luego selecciona el formato, Entrega
Guardar el informe y pulsa Ejecutar. Sólo puede seleccionar el proyecto,
y no hay visible nada más para seleccionar.
v Informe de operaciones
Cuando intenta ejecutar el Informe de operaciones, pulsa Ejecutar con
opciones en la columna Acción. Luego selecciona el formato, Entrega
Guardar el informe y pulsa Ejecutar. Se presenta la página de solicitud
para especificar los valores de entrada para el informe. Después de
seleccionar la opción de base de datos y la operación de informes, se
muestra una página nueva. El sistema le solicita que especifique varios
ID, como el ID de archivo o el ID de sesión.
Solución
Instale el arreglo temporal 2.1.1.0-TIV-TCR-IF0003 de Tivoli
Common Reporting. O vaya a http://www.ibm.com/support/
fixcentral/ para buscar los arreglos de IBM Tivoli Common
Reporting 2.1.1.
Se registra una excepción al abrir Tivoli Common Reporting como un usuario no
administrador.
Abrir Tivoli Common Reporting como un usuario no administrador
provoca que se registre una excepción en el archivo de registro. La
excepción se produce aunque el usuario tenga los roles necesarios para
trabajar con los informes. Por ejemplo, puede registrarse el siguiente
mensaje de excepción en el archivo de registro para un usuario rapmuser:
CWWIM2008E El principal ’user:defaultWIMFileBasedRealm/uid=rapmuser,
o=d efaultWIMFileBasedRealm’ no tiene autorización para realizar la operación
Se trata de un problema conocido y no afecta a las funciones de generación

de informes. Puede ignorar este mensaje de excepción.
Los informes de operaciones experimentan problemas al utilizar una base de
datos Oracle con los entornos locales de doble byte griego y ruso.
Si está utilizando una base de datos Oracle, no seleccione los entornos
locales griego o ruso de doble byte para ejecutar informes de operaciones.
En su lugar, utilice el entorno local inglés. Esta restricción sólo se aplica a
los informes de operaciones.
Utilizar localhost en la dirección URL de la consola de Tivoli Integrated Portal
provoca un problema al cargar la ventana Informes.
Si se utiliza localhost en el URL para conectar con el servidor al acceder a
Tivoli Common Reporting por primera vez después de iniciar el servidor,
cualquier intento de acceder a la ventana Informes desde un sistema
diferente con el nombre de host o la dirección IP correctos falla.
Solución
Reiniciar WebSphere Application Server puede resolver este
problema. De forma alternativa, instale el arreglo temporal
2.1.1.0-TIV-TCR-IF0002 de Tivoli Common Reporting. O vaya a
http://www.ibm.com/support/fixcentral y busque los arreglos de
IBM Tivoli Common Reporting 2.1.1.
El informe de acceso de usuario no muestra permisos asignados a los usuarios.
El informe de acceso de usuario muestra los permisos que se asignan a los
usuarios directamente o que se heredan mediante roles. Este informe sólo
muestra aquellos permisos que forman parte de un proyecto. Este informe
no muestra los permisos que no forman parte de un proyecto.
En AIX, detener el servidor para el perfil de Tivoli Integrated Portal puede dar
como resultado un vuelco de memoria de Java.
Detener el servidor para el perfil de Tivoli Integrated Portal puede
producir clases Core de Java en el directorio $TIP_HOME.
Solución
Instale el arreglo temporal 2.1.1.0-TIV-TCR-IF0003 de Tivoli
Common Reporting. O vaya a http://www.ibm.com/support/
fixcentral y busque los arreglos de IBM Tivoli Common Reporting
2.1.1.
Atributos
Los atributos de visualización multivalor sólo devuelven el primero encontrado.
Un atributo configurado como un atributo de visualización para una
identidad o un permiso en el archivo CSV de esquema puede contener
múltiples valores para un usuario o permiso. Por ejemplo, si uno de los
atributos de visualización de usuario es un número de teléfono, y si Juan
López tiene dos números de teléfono, la tabla que muestra los usuarios

sólo contiene uno de los números de teléfono. Puede pulsar el hiperenlace
en el nombre de usuario para ver todos los valores de estos atributos de
visualización multivalor. Una buena práctica consiste en elegir atributos
que tengan un único valor para los atributos de visualización
personalizados.
Importación
Existen limitaciones al importar un archivo CSV que contiene caracteres de
delimitador y caracteres de secuencia de escape.
Estas dos limitaciones son aplicables para la operación de importación de
datos y de esquema. En los ejemplos siguientes, el delimitador es un signo
de dos puntos (:), y el carácter de secuencia de escape es un signo de
comillas dobles (").
v El espacio después del delimitador no es válido en ningún registro. Por
ejemplo:
– Espacio después del delimitador en la definición de sección:
#Definir atributos jerárquicos: "hrdirectory://locationAttribute"
– Espacio después del delimitador en la definición de atributo:
"UID de registro de origen":"UID de persona": "Nombre de persona"
– Espacio después del delimitador en el registro de datos:
"source://source1": "Nombre de origen 1":"Descripción de origen 1"
v La secuencia de escape en una serie encerrada por la misma secuencia
de escape no es válida. Por ejemplo:
’O’BRIEN: MIKE’
o
"3 feet 6" "
El proceso de cargar archivos de datos de gran tamaño antes de la operación de
importación puede tardar mucho tiempo.
El proceso de cargar archivos de datos de gran tamaño puede tardar
mucho tiempo dependiendo de estos factores:
v La velocidad de la red.
v La velocidad del sistema del navegador del cliente.
v La ubicación del servidor de aplicaciones.
No cierre la sesión durante el proceso de carga de archivos. Se produce un
error si intenta cerrar la sesión antes de que termine el proceso de carga de
archivos.
Copia de roles
Se produce un error al copiar un rol que contiene comillas en el nombre de rol.
Se produce un error interno y la operación de copia de rol falla cuando se
realiza una de estas acciones:
1. Seleccionar un rol existente en el modelo que contiene comillas en el
nombre de rol. Por ejemplo, Enfermera de "Urgencias".
2. Pulsar Copiar rol.
Método alternativo
Elimine las comillas del nombre de rol que desea copiar.
Existe una limitación al copiar roles en el proyecto.
La operación copiar roles en el proyecto puede fallar si el número de roles
asociados a restricciones de separación de funciones directamente o
mediante jerarquía excede de 100. En la interfaz de usuario de IBM
Security Role and Policy Modeler, el estado de la operación de copia de rol
cambia a La copia de rol ha fallado (Es necesario recalcular). Puede
realizar la operación Recalcular el proyecto. Después de realizar la
operación Recalcular el proyecto, el estado del proyecto cambia de nuevo
a Listo para editar para copiar otros roles en el proyecto.
Este problema no se produce si ha instalado IBM Security Role and Policy
Modeler versión 1.1 Fixpack 1 o posterior. Consulte el tema “Tareas de
instalación del fixpack” en el Information Center de IBM Security Role and
Policy Modeler.
Navegadores
El control de carga de Internet Explorer 8 muestra C:\fakepath.
La característica de seguridad de Internet Explorer 8 oculta la vía de acceso
del archivo seleccionado al widget de carga. El valor de seguridad de
Internet Explorer Incluir la ruta de acceso al directorio local cuando se
carguen archivos a un servidor controla si el navegador revela la vía de
acceso local al widget de carga de archivos. De forma predeterminada, esta
opción está seleccionada como Deshabilitar, por lo que se muestra la serie
C:\fakepath en el nombre de la vía de acceso de archivo.
Método alternativo
Si no desea que el navegador oculte la vía de acceso local del
archivo seleccionado, siga estos pasos:
1. Inicie Internet Explorer.
2. Pulse Herramientas > Opciones de Internet.
3. En la pestaña Seguridad, pulse el icono Internet y luego pulse
Nivel personalizado.
4. En el área Incluir la ruta de acceso al directorio local cuando
se carguen archivos a un servidor, seleccione Habilitar.
No se pueden ver las ventanas de inicio, proyecto e importación de IBM Security
Role and Policy Modeler en Internet Explorer si se ejecuta en un sistema
Windows remoto.
Si tiene este problema en Internet Explorer al ejecutarse en un sistema
Windows, añada el sitio web de IBM Security Role and Policy Modeler a la
lista Sitios de confianza.
Método alternativo
Para añadir un sitio web a la lista Sitios de confianza, siga estos
pasos:
1. Inicie Internet Explorer.
2. Navegue hasta el sitio web que desea añadir a una zona de
seguridad específica.
4. En la pestaña Seguridad, pulse el icono Sitios de confianza.
5. Pulse Sitios.
6. En Agregar este sitio web a la zona de:, revise la dirección del
sitio web.
7. Pulse Agregar.
Nota: Si el sitio no es un sitio seguro (HTTPS), quite la marca

de selección del recuadro Requerir comprobación del servidor
(https:) para todos los sitios de esta zona.

8. Pulse Cerrar.
Utilizar el botón Atrás del navegador o la tecla Retroceso con la consola puede
producir resultados inesperados.
No utilice el botón Atrás en un navegador ni la tecla Retroceso para volver
a una página anterior. Si lo hace, se puede visualizar una página en blanco
con un control Spinner. Para llegar a un panel anterior, puede seguir el
rastro de navegación disponible para algunos paneles.
Método alternativo
Para resolver este problema, cierre la página y vuelva a iniciarla
desde la página de inicio o desde el área de navegación.
La ventana Informe se inicia en tamaño de página minimizado en algunos
navegadores Internet Explorer.
Puede que tenga este problema de forma intermitente en algunos
navegadores Internet Explorer.
Método alternativo
Maximice el panel pulsando el icono de flecha en la esquina
superior derecha y seleccionando maximizar.
Las vistas de usuarios y permisos en las ventanas Usuarios seleccionados y
Permisos seleccionados no son accesibles mediante el teclado.
Después de crear un proyecto y añadir nuevos usuarios y permisos al
proyecto, puede ver los detalles del proyecto. También puede editar el
ámbito del proyecto añadiendo más usuarios y permisos. Cuando pulsa
Ver todo para abrir las ventanas Usuarios seleccionados o Permisos
seleccionados, puede ver todos los usuarios y permisos especificados. Sin
embargo, cuando intenta ver un usuario o permiso específico pulsando la
tecla Intro o Espacio, no puede abrir la vista de usuario o permiso. En su
lugar, debe utilizar una pulsación del ratón para abrir la vista de usuario o
permiso y ver los detalles de ese usuario o permiso.
Utilizar la tecla de tabulación para seleccionar elementos en la página de inicio
no está indicado claramente por la línea de puntos del indicador de foco.
Al utilizar la tecla de tabulación para navegar por la página de inicio en
Internet Explorer 8, la línea de puntos del indicador de foco no indica
claramente qué elemento o área está seleccionando.
Método alternativo
Utilice Mozilla Firefox 3.6.22 y superiores como su opción de
navegador.
Los enlaces de lista de páginas no son accesibles mediante el teclado con
Internet Explorer versión 8.
Al trabajar con los roles de la consola de Tivoli Integrated Portal, los
enlaces para visualizar elementos en cada página y el número de página
no son accesibles en Internet Explorer 8.
Método alternativo
Utilice Mozilla Firefox 3.6.22 como su opción de navegador.
La configuración predeterminada para el servidor HTTP con Secure Sockets
Layer (SSL) no funciona con elementos de topología de IBM Security Role and
Policy Modeler.
Al utilizar IBM HTTP Server delante de IBM Security Role and Policy
Modeler, la comunicación entre IBM HTTP Server y WebSphere
Application Server debe utilizar el protocolo SSL. Debe configurar el
plug-in de servidor web para SSL. Si esta configuración no se realiza
correctamente, la jerarquía de roles y otras vistas de topología pueden
fallar con el siguiente error:
Navegador web:
ATKRST100E Se ha producido un error inesperado. El mensaje de error es
el siguiente:
’java.lang.RuntimeException: javax.net.ssl.SSLException:
Unrecognized SSL message, plaintext connection?’.
Método alternativo
Configure las comunicaciones SSL entre el plug-in de HTTP Server
y WebSphere Application Server. Para obtener información sobre
esta configuración, consulte http://publib.boulder.ibm.com/
infocenter/wasinfo/v7r0/topic/com.ibm.websphere.base.doc/info/
aes/ae/tsec_httpserv2.html.
Utilizar localhost en un sistema con direcciones IPv6 (Protocolo Internet versión
6) causa un problema al cargar la vista jerárquica.
Al acceder a IBM Security Role and Policy Modeler utilizando IPv6, la
carga de una vista jerárquica o de topología falla. La representación gráfica
de los valores de atributo jerárquico de usuario y permiso no se visualiza
al:
v Crear un proyecto de modelado
v Modificar el ámbito de un proyecto de modelado existente
v Crear o modificar un calificador de pertenencia para un rol
Se graba una excepción IllegalArgumentException en el archivo
System.out de WebSphere Application Server.
Método alternativo
Acceda a Tivoli Integrated Portal utilizando el nombre de host
completo o con la dirección de bucle de retorno IPv4 127.0.0.1.
Este problema no se produce si ha instalado IBM Security Role and
Policy Modeler versión 1.1 Fixpack 1 o posterior. Consulte el tema
“Tareas de instalación del fixpack” en el Information Center de
La vista jerárquica no funciona en Internet Explorer 9 en Windows 2008 de 64
bits.
Método alternativo
Se necesita un navegador compatible con Adobe Flash Player para
que se muestra la vista jerárquica.
La ventana de ayuda está vacía en Internet Explorer 9.
Al pulsar el icono de ayuda de IBM Security Role and Policy Modeler, la
ventana de ayuda está vacía. Este problema sólo sucede con Internet
Explorer 9.
Método alternativo
Habilite la opción META REFRESH en Internet Explorer 9. Para
habilitar la opción, siga estos pasos:
2. En la ventana Opciones de Internet, pulse la ficha Seguridad.
3. Pulse el botón Nivel personalizado.
4. En la ventana Configuración de seguridad, desplácese por la
lista hasta la opción Permitir META REFRESH en la sección
Miscelánea.

5. Pulse Habilitar en la opción Permitir META REFRESH.
6. Pulse Aceptar y después Aplicar.
Interfaz de usuario
Si intenta acceder a la consola se produce un error No se ha podido conectar al
servidor.
Se puede producir el error No se ha podido conectar al servidor cuando
se intenta acceder a la consola de IBM Security Role and Policy Modeler en
los escenarios siguientes:
v Se ha instalado IBM Security Role and Policy Modeler versión 1.1
fixpack 1 o posterior.
v Se ha retrotraído el fixpack 1 o un fixpack posterior.
v Se ha desinstalado Tivoli Integrated Portal 2.2 fixpack 5.
v Se ha iniciado la consola de IBM Security Role and Policy Modeler.
Además, en TIP_PROFILE_HOME/logs/nombre_servidor/SystemOut.log
puede encontrar el error siguiente:
WSWS7011E: La configuración del módulo
de aplicación com.ibm.security.modeling.rest.war no se puede cargar
correctamente.
Esto significa que hay un problema con el archivo que ejecuta el servidor
de IBM Security Role and Policy Modeler.
Método alternativo
Instale el servidor de IBM Security Role and Policy Modeler.
Consulte el tema el tema “Instalación del servidor IBM Security
Role and Policy Modeler” en el Information Center de IBM
Herramienta de extracción y carga

Se registra un mensaje de excepción varias veces en el indicador de mandatos
cuando se inicia la herramienta Extract.
Cuando se inicia la herramienta Extract, el siguiente mensaje de excepción
se registra varias veces en el indicador de mandatos:
NMSV0307E: A java: URL name was used, but Naming was not configured
to handle java: URL names. The likely cause is a user in error attempting
to specify a java: URL name in a non-J2EE client or server environment.
Throwing ConfigurationException.
Ignore esta excepción porque no afecta al funcionamiento de la

herramienta Extract.
Asignar varios valores a un atributo de rol personalizado de un único valor
genera un error de esquema.
IBM Security Identity Manager soporta atributos de rol personalizado de
un solo valor o de varios valores. Sin embargo, IBM Security Role and
Policy Modeler considera que todos los atributos son atributos de rol
personalizado de varios valores. Por lo tanto, si define varios valores para
un atributo de rol personalizado de un único valor, la herramienta de carga
falla con un error de violación de esquema para dicho rol.
Asegúrese de que asigna un único valor para un atributo de rol
personalizado de un único valor en IBM Security Role and Policy Modeler.
Rendimiento
A veces, al detener Tivoli Integrated Portal con el script stopTCRserver.sh
pueden producirse archivos core.
Para buscar y rastrear los archivos core, vaya al directorio
$TCR_HOME/cognos/bin64.
Método alternativo
Limpie el volcado del núcleo de Java para evitar que se llene el
disco duro.

Utilice usuarios y grupos exclusivos en los repositorios federados de Business
Process Manager.
Si establece ldapEnabled en true y ha asignado un grupo de analistas de
rol interno y un grupo de usuarios LDAP como miembros del grupo de
participantes RoleAnalyst, sólo los usuarios del grupo de usuarios LDAP
pueden enviar correctamente la solicitud de aprobación de roles.
Los usuarios del grupo de analistas de rol interno pueden iniciar la
solicitud de aprobación de roles, pero la solicitud no se enviará
correctamente y se registrará el mensaje de excepción siguiente en el
archivo System.out:
CWLLG2041E: TeamWorksJavaScriptException created non-nested.
Error: [TeamworksException name=’TypeError’,
message=’TypeError: Cannot read property "fullName" from null’,
line=0, pos=0 nested=<none>
Además, si existe el mismo ID de usuario en el registro interno de Business

Process Manager y el registro de LDAP, tendrá problemas al añadir el
usuario al rol de Analista de roles.
Método alternativo
Configure un registro interno o un registro de usuarios LDAP para
usuarios de Business Process Manager, no para los dos. Especifique
el tipo de configuración; para ello, establezca la variable de entorno
ldapEnabled en true o false.
Aunque haya habilitado un tipo de registro, si hay otro tipo de
registro, asegúrese de que no haya ningún ID de usuario ni
nombre de grupo igual en los dos registros. Los nombres deben ser
exclusivos en los dos registros.
Esta limitación sólo existe para los registros de Business Process
Manager, no para los registros de IBM Security Role and Policy
Modeler.
La reinstalación de Business Process Manager podría provocar un error de base
de datos.
Si desinstala Business Process Manager e intenta reinstalarlo sin crear
primero una base de datos nueva, recibirá el error siguiente:
La base de datos ya está siendo utilizada. Elija una base de datos vacía.
Este error se muestra al reinstalar Business Process Manager cuando el

usuario está en el panel para configurar la base de datos existente.
Método alternativo
Cree una base de datos nueva al reinstalar Business Process
Manager. No reutilice la misma base de datos que ha utilizado en
la instalación inicial.

El contenido de la interfaz de usuario de Business Process Manager no se
muestra de forma adecuada.
En determinadas circunstancias en Business Process Manager, el navegador
no muestra el contenido de la interfaz de usuario de forma correcta. Por
ejemplo, en Process Portal (portal de procesos) algunos iconos no se
muestran de forma adecuada. Este problema es independiente del tipo de
navegador que utilice. Es resultado de no especificar un nombre de host
completo durante la instalación de Business Process Manager o si el
archivo etc/hosts no resuelve correctamente el nombre de host en el
nombre de host completo.
Método alternativo
Para solucionar este problema, utilice uno de los métodos
siguientes:
v En Propiedades de red, añada el dominio del servidor a la lista
de dominios de búsqueda, especificando la dirección IP y el
nombre de host completo.
v En el archivo hosts del sistema, incluya la dirección IP y el
nombre de host completo. En un sistema operativo Windows, el
archivo hosts reside en Windows\system32\drivers\hosts.
v En el URL de Process Portal, utilice la dirección IP en lugar del
nombre de host.
v En el URL de Process Portal, especifique el nombre de host que
coincida con el valor del URL que ha especificado durante la
instalación. Por ejemplo:
– Si ha utilizado el nombre de dominio completo, utilice dicho
valor de nombre de dominio en el URL del navegador. Por
ejemplo, especifique http://host9.example.com:9080/portal.
– Si ha utilizado el nombre de host, utilice sólo el nombre de
host en el URL del navegador. Por ejemplo, especifique
http://host9:9080/portal.
Si ninguno de estos métodos sirve para solucionar el problema,
consulte el Information Center de IBM Business Process Manager
en http://publib.boulder.ibm.com/infocenter/dmndhelp/v7r5m1/
topic/com.ibm.wbpm.main.doc/ic-homepage-bpm.html.
El contenido de la interfaz de usuario de Business Process Manager muestra un
aviso de contenido mixto en Microsoft Internet Explorer 8.
Si utiliza Internet Explorer 8, la interfaz de usuario de Business Process
Manager puede mostrar un mensaje de aviso que indica Esta página
contiene elementos seguros y no seguros. ¿Desea mostrar los
elementos no seguros? Esto sucede si las páginas web proceden del
servidor de Business Process Manager y el usuario accede al protocolo
HTTPS.
Método alternativo
Para habilitar la visualización de contenido mixto sin un mensaje
de aviso, ajuste los valores de Internet Explorer:
1. Pulse Herramientas > Opciones de Internet > Seguridad.
2. Seleccione una zona Intranet local o Sitios de confianza, en
función de su configuración.
3. Pulse Nivel personalizado.
4. En la ventana emergente Configuración de seguridad, busque
la sección Miscelánea de los valores y Mostrar contenido
mixto.
5. Pulse Habilitar para mostrar el contenido mixto.
6. Pulse Aceptar para guardar el valor.
7. Pulse Aceptar para guardar las opciones de Internet.
No se pueden seleccionar aprobadores en la lista en Business Process Manager.
En determinadas circunstancias en Business Process Manager, el widget de
selección de aprobador en el formulario de solicitud de aprobación de rol
no funciona correctamente. Es decir, no se puede seleccionar un aprobador
en la lista. Este problema es independiente del tipo de navegador que
utilice.
Método alternativo
Para solucionar este problema, especifique el nombre de host que
coincida con el valor del URL de Process Portal que ha
especificado durante la instalación. Por ejemplo:
v Si ha utilizado el nombre de dominio completo, utilice dicho
valor de nombre de dominio en el URL. Por ejemplo, especifique
http://host9.example.com:9080/portal.
v Si ha utilizado el nombre de host, utilice sólo el nombre de host
en el URL. Por ejemplo, especifique http://host9:9080/portal.
El botón Probar conexión en el panel de instalación AIX de Business Process
Manager no funciona.
Durante la instalación AIX de IBM Business Process Manager Standard, si
pulsa el botón Probar conexión, éste no funciona. Este botón se encuentra
en el panel “Instalar Process Server”.
Método alternativo
No se puede probar la conexión durante este proceso de
instalación. Pulse Siguiente para continuar con la instalación.
Error no especificado al enviar una solicitud de ciclo de vida en IBM Security
Puede recibir los errores siguiente al enviar una solicitud de Role Lifecycle
Management dentro de la consola de IBM Security Role and Policy
Modeler:
Se ha producido un error no especificado
Este error se muestra en un mensaje de correo electrónico que se envía al
ID de usuario tw_admin y también se muestra en Business Process Manager
Process Inspector.
[1/27/12 13:16:33:559 EST] 0000002e exception
E com.ibm.websphere.wim.security.authz.AccessException
CWWIM2008E El principal ’user:defaultWIMFileBasedRealm/uid=rapmuser,
o=defaultWIMFileBasedRealm’ is not authorized to perform the operation
’GET PersonAccount’ on ’uid=rapmuser,o=defaultWIMFileBasedRealm’
Este error se muestra en el archivo systemOut.log de IBM Security Role

and Policy Modeler.
<ns1:messageString xsi:type="xs:string"> Unable to load the driver
manager library ( libdb2.so ).</ns1:messageString>
<ns1:messageString xsi:type="xs:string"> The operating system returned an
error message ( libdb2.so: cannot open shared object file: No such file
or directory ).</ns1:messageString>

Estos errores se muestran en el archivo systemOut.log de Business Process
Manager.
Método alternativo
Para resolver este problema, exporte LD_LIBRARY_PATH antes de
iniciar WebSphere Application Server. Consulte “Configuración de
un entorno de usuario para trabajar con informes” en el
No se puede iniciar sesión en Process Designer ni en la consola después de
iniciar el servidor de Business Process Manager.
Si utiliza la característica Role Lifecycle Management, es posible que no
pueda iniciar sesión en Business Process Manager Process Designer ni en la
consola con el ID de usuario de administrador del servidor LDAP. Este
problema se produce si LDAP se ha establecido como repositorio de
usuarios y la contraseña de la cuenta de administrador del servidor LDAP
ha caducado.
A continuación se muestra un fragmento de una excepción en el archivo
SystemOut.log de Business Process Manager:
com.ibm.wsspi.sib.core.exception.SIAuthenticationException:
CWSIP0301E: No se puede autenticar el usuario admin al crear una conexión
con el motor de mensajería seguro
IBM-NGTI0X1U8NSNode01.server1-PROCSVR.IBM-NGTI0X1U8NSNode01Cell.Bus on bus
PROCSVR.IBM-NGTI0X1U8NSNode01Cell.Bus.
at com.ibm.ws.sib.processor.impl.MessageProcessor
.createConnection(MessageProcessor.java:766)
at com.ibm.ws.sib.ra.inbound.impl.SibRaMessagingEngineConnection
.createConnection(SibRaMessagingEngineConnection.java:1187)
at com.ibm.ws.sib.ra.inbound.impl.SibRaMessagingEngineConnection
.<init>(SibRaMessagingEngineConnection.java:262)
Método alternativo
Para resolver este problema, cambie el valor en la cuenta de
administrador del servidor LDAP a Password never expires (La
contraseña no caduca nunca) y reinicie el servidor LDAP.
Los ID de usuario del registro basado en archivo de Business Process Manager
son sensibles a las mayúsculas y minúsculas.
Si utiliza el registro basado en archivo de Business Process Manager para
Role Lifecycle Management, recibirá el siguiente error si no especifica
correctamente las mayúsculas o minúsculas del UD de usuario:
No se puede iniciar sesión. Compruebe el nombre de usuario y la contraseña.
El mensaje en el archivo SystemOut.log es:

Error
en la coincidencia de contraseñas para el nombre principal ’name’.
Por ejemplo, si el registro de Business Process Manager contiene el ID de

usuario roleAnalyzer, y especifica roleanalyzer, no se encontrará en el
registro cuando inicie sesión.
Método alternativo
Escriba el ID de inicio de sesión de Business Process Manager
exactamente como está en el registro, respetando mayúsculas y
minúsculas.
Si tiene los servidores IBM Security Role and Policy Modeler y Business Process
Manager en el mismo sistema sin inicio de sesión único, puede que se finalice la
sesión de un usuario en la consola de IBM Security Role and Policy Modeler.
El escenario siguiente hace que se finalice la sesión de un usuario en la
consola de IBM Security Role and Policy Modeler:
v Los servidores IBM Security Role and Policy Modeler y Business Process
Manager están instalados en el mismo sistema.
v No se ha configurado inicio de sesión único entre los dos servidores.
v Ha iniciado sesión en la consola de IBM Security Role and Policy
Modeler.
v Ha iniciado sesión en Business Process Manager Portal como un usuario
distinto y después ha finalizado la sesión.
v Se ha finalizado la sesión en la consola de IBM Security Role and Policy
Modeler.
Método alternativo
Para evitar este problema, siga estos pasos:
1. Cree un alias de DNS para el sistema.
2. Acceda a la consola de IBM Security Role and Policy Modeler
mediante el alias que ha definido en el paso 1. Por ejemplo,
especifique:
http://alias_DNS:16311/ibm/console
En la consola, la ventana Roles y políticas no lista la acción Someter solicitud en
el menú.
Si ha instalado IBM Security Role and Policy Modeler fixpack 1, o
posterior, y ha configurado y habilitado la función Role Lifecycle
Management, es posible que tenga un problema al acceder a la acción
Someter solicitud. De forma específica, si está en la ventana Roles y
políticas, selecciona uno o varios roles y pulsa el menú Acciones, puede
que la acción Someter solicitud no se muestre en la lista.
Método alternativo
En el navegador, borre las cookies y la memoria caché e inicie de
nuevo la consola de IBM Security Role and Policy Modeler.
Se muestra el error "Cannot calculate next primary key" (No se puede calcular la
clave primaria siguiente) en el correo electrónico del analista de roles después de
enviar los roles para su aprobación.
Después de que un analista de roles envíe los roles para su aprobación, se
devuelve un correo electrónico con un error en relación con uno o varios
envíos que indica “Cannot calculate next primary key”.
Método alternativo
Consulte la información del tema siguiente para solucionar el
problema: http://www-01.ibm.com/support/
docview.wss?uid=swg21508974
No se puede llamar al método "isInParticipantGroup“ de error nulo después de
enviar roles para su aprobación.
Después de que un analista de roles envíe roles para su aprobación, el
proceso de aprobación podría mostrar un error con el mensaje siguiente en
el archivo SystemOut.log de IBM Security Role and Policy Modeler:
CTJRG9233E No se ha podido someter la solicitud de ciclo de vida de Business
Process Manager para el tipo de solicitud: APPROVAL, nombre abreviado de
proceso: IBMRLP2, y nombre de proceso: Role Approval Request
Business Process Manager registra el tipo de excepción siguiente en el

archivo SystemOut.log:

CWLLG2229E: Se ha producido una excepción en una llamada EJB. Error:
[<209message:Runtime error in script ("TypeError" 0:0).
TypeError: Cannot call method "isInParticipantGroup" of null
Script (line 0):
1 : // Initialize objects
2 : tw.local.roleRequest = new tw.object.RoleRequest();
><109flowObjectID:/25.2ee7b730-9bd5-43ac-a37d-2954bc2210
dc//bpdid:6fc05f5999b6c2dd:5dbf78c4:13438a76fc7:-7ffc/
Step (Initialize)>]
com.lombardisoftware.core.TeamWorksDecoratingException:
Runtime error in script ("TypeError" 0:0).TypeError:
Cannot call method "isInParticipantGroup" of null
Script (line 0):
1 : // Initialize objects
2 : tw.local.roleRequest = new tw.object.RoleRequest();
Método alternativo
Asegúrese de que el usuario con el ID de usuario del emisor exista
en el registro de Business Process Manager.
Apéndice A. Convenios utilizados en esta información
Esta información utiliza varios convenios para términos y acciones especiales y
para vías de acceso y mandatos que dependen del sistema operativo.
Convenios de tipo de letra

Esta información utiliza los convenios de tipo de letra siguientes.
Negrita
v Mandatos en minúsculas y mandatos en una combinación de
mayúsculas y minúsculas que, de otra forma, resultarían difíciles de
distinguir del texto que los rodea.
v Controles de la interfaz (recuadros de selección, pulsadores, botones de
selección, selectores cíclicos, campos, carpetas, iconos, recuadros de lista,
elementos dentro de recuadros de lista, listas de varias columnas,
contenedores, opciones de menú, nombres de menú, fichas, hojas de
propiedades), etiquetas (como Sugerencia: y Consideraciones sobre el
sistema operativo:)
v Palabras clave y parámetros en el texto
Cursiva
v Referencias (ejemplos: títulos de publicaciones, disquetes y CDs
v Palabras definidas en el texto (ejemplo: una línea no conmutada se
denomina línea punto a punto)
v Palabras y letras enfatizadas (ejemplo con palabras: "Utilice la palabra
that para introducir una cláusula restrictiva."; ejemplo con letras: "La
dirección LUN debe comenzar con la letra L.")
v Nuevos términos en el texto (excepto en una lista de definición): una
vista es un marco en un espacio de trabajo que contiene datos.
v Variables y valores que el usuario debe especificar: ... donde minombre
representa....
Monoespaciado
v Ejemplos y ejemplos de código
v Nombres de archivo, palabras clave de programación y otros elementos
que resultan difíciles de distinguir del texto que los rodea
v Texto de los mensajes y solicitudes dirigidos al usuario
v Texto que el usuario debe escribir
v Valores para argumentos u opciones de mandato
Negrita monoespaciado
v Nombres de mandatos y nombres de macros y programas de utilidad
que puede escribir como mandatos
v Nombres de variables de entorno en el texto
v Palabras clave
v Nombres de parámetros en el texto: parámetros de una estructura API,
parámetros y argumentos de mandato y parámetros de configuración
v Nombres de procesos
v Nombres de variables de registro en el texto

v Nombres de scripts
Definiciones para HOME y otras variables de directorios

La tabla siguiente contiene definiciones predeterminadas que se utilizan en el
centro de información y las guías de IBM Security Role and Policy Modeler. Estas
definiciones representan el nivel de directorio HOME para diferentes vías de
instalación de productos.
Puede personalizar el directorio HOME según sus requisitos específicos. Las

ubicaciones de directorios de instalación predeterminados de la tabla siguiente se
proporcionan para usuarios administradores o usuarios root.
Para los usuarios que no sean administrador ni root, sustituya las siguientes vías
de acceso por inicio_usuario:
v sistema operativo Windows: unidad:\Archivos de programa
v Linux: /opt
v UNIX o AIX: /usr
Tabla 14. Definiciones de variables de directorio de inicio
Definiciones
Variable de vía de acceso predeterminadas Descripción
SM_HOME v sistema operativo El directorio base que
Windows: C:\Archivos de contiene IBM Security Role
programa\IBM\ and Policy Modeler y la
SecurityModeler documentación.
v Linux, UNIX o AIX:
/opt/IBM/SecurityModeler
DB_HOME v sistema operativo El directorio de inicio
Windows: C:\Archivos de predeterminado de DB2.
programa\IBM\SQLLIB
v Linux: /opt/ibm/db2/V9.7
v UNIX o AIX:
/opt/IBM/db2/V9.7
WAS_HOME v sistema operativo El directorio de inicio
Windows: C:\Archivos de predeterminado de
programa\IBM\WebSphere\ WebSphere Application
AppServer Server.
v Linux:
/opt/IBM/WebSphere/
AppServer
v UNIX o AIX:
/usr/IBM/WebSphere/
AppServer
TIP_PROFILE_HOME v sistema operativo El directorio de inicio
Windows: predeterminado de Tivoli
WAS_HOME\profiles\ Integrated Portal.
TIPProfile
v Linux, UNIX o AIX:
WAS_HOME/profiles/
TIPProfile
Tabla 14. Definiciones de variables de directorio de inicio (continuación)
Definiciones
Variable de vía de acceso predeterminadas Descripción
TCR_COMPONENT_HOME v sistema operativo El directorio de inicio de
Windows: C:\Archivos de Tivoli Common Reporting.
programa\IBM\WebSphere\
AppServerComponents\
TCRComponent
v Linux:
/opt/IBM/WebSphere/
AppServerComponents/
TCRComponent
v UNIX o AIX:
/usr/IBM/WebSphere/
AppServerComponents/
TCRComponent
Apéndice A. Convenios utilizados en esta información 75

Apéndice B. Funciones de accesibilidad de IBM Security Role
and Policy Modeler
Las funciones de accesibilidad ayudan a los usuarios con discapacidades físicas,
por ejemplo movilidad limitada, a utilizar satisfactoriamente los productos de
tecnología de la información.
Funciones de accesibilidad
La lista siguiente incluye las principales funciones de accesibilidad en IBM Security

Role and Policy Modeler:
v Funcionamiento sólo con el teclado
v Interfaces utilizadas comúnmente por los lectores de pantalla
v Teclas que son distinguibles al tacto pero que no se activan con el tacto
v Dispositivos estándar de la industria para puertos y conectores
v La conexión de dispositivos alternativos de entrada y salida
El information Center de IBM Security Role and Policy Modeler y sus

publicaciones relacionadas están habilitados para la accesibilidad.
Navegación con el teclado
Este producto permite el funcionamiento con un teclado.
Información de la interfaz
La vista jerárquica no es accesible mediante el teclado
La vista jerárquica del modelo de roles y políticas no es accesible mediante
el teclado. No obstante, la vista de tabla del modelo de roles y política es
accesible mediante el teclado. Los clientes que necesiten un modelo de
roles y política al que se pueda acceder mediante el teclado pueden utilizar
la vista de tabla de la ventana Roles y políticas.
Los gráficos de análisis no son accesibles mediante el teclado
Hay una representación alternativa de los mismos datos en forma de tablas
de entrada y salida en las ventanas de análisis.
Navegadores soportados para la accesibilidad
Mozilla FireFox 3.6.22.
Microsoft Internet Explorer 8. Para obtener información sobre los
problemas de accesibilidad conocidos de este navegador, consulte el tema
"Limitaciones conocidas, problemas y métodos alternativos" en el
Los informes son accesibles
Los informes son accesibles en formato HTML y PDF. Para obtener
información, consulte el tema "Tecnologías de asistencia para informes" en
el Information Center de IBM Security Role and Policy Modeler.
Cómo abrir la ayuda en línea en IBM Security Role and Policy Modeler
Para Microsoft Internet Explorer, pulse Alt+6+Intro.
Para Mozilla FireFox, pulse Mayús+Alt+6.

IBM y la accesibilidad
Consulte la página web IBM Human Ability and Accessibility Center para obtener
más información sobre el compromiso de IBM con la accesibilidad.
Avisos
Esta información de ha desarrollado para productos y servicios que se ofrecen en
EE.UU.
Es posible que IBM no ofrezca en otros países los productos, servicios o

características que se describen en este documento. Solicite información al
representante local de IBM sobre los productos y servicios disponibles actualmente
en su zona. Cualquier referencia a un producto, programa o servicio de IBM no
pretender afirmar ni implica que sólo se pueda utilizar ese producto, programa o
servicio de IBM. En su lugar se puede utilizar cualquier producto, programa o
servicio funcionalmente equivalente que no infrinja ninguno de los derechos de
propiedad intelectual de IBM. No obstante, es responsabilidad del usuario evaluar
y verificar el funcionamiento de cualquier producto, programa o servicio que no
sea de IBM.
IBM podría tener patentes o solicitudes de patente en trámite que cubran los
contenidos descritos en este documento. La entrega de este documento no le otorga
ninguna licencia sobre dichas patentes. Puede enviar consultas sobre licencias, por
escrito, a:
IBM Director of Licensing

IBM Corporation
North Castle Drive
Armonk, NY 10504-1785
EE.UU.
Para realizar consultas sobre licencias relacionadas con información del juego de
caracteres de doble byte (DBCS), póngase en contacto con el departamento de
propiedad intelectual de IBM de su país o envíe sus consultas, por escrito, a:
Intellectual Property Licensing

Legal and Intellectual Property Law
IBM Japan Ltd.
1623-14, Shimotsuruma, Yamato-shi
Kanagawa 242-8502 Japón
El párrafo siguiente no se aplica en el Reino Unido ni en ningún otro país en el

que tales disposiciones sean incompatibles con la legislación local:
INTERNATIONAL BUSINESS MACHINES CORPORATION PROPORCIONA
ESTA PUBLICACIÓN “TAL CUALIS” SIN GARANTÍAS DE NINGÚN TIPO, YA
SEA EXPLÍCITA O IMPLÍCITA, INCLUIDAS, PERO SIN LIMITARSE A, LAS
GARANTÍAS IMPLÍCITAS DE NO INFRACCIÓN, COMERCIALIZACIÓN O
IDONEIDAD PARA UNA FINALIDAD CONCRETA. Algunos países no
contemplan la exclusión de garantías explícitas o implícitas en determinadas
transacciones, por lo que es posible que esta declaración no se aplique en su caso.
Esta información puede incluir imprecisiones técnicas o errores tipográficos. La

información aquí contenida está sometida a cambios periódicos; tales cambios se
irán incorporando en nuevas ediciones de la publicación. IBM puede realizar en
cualquier momento mejoras o cambios en los productos y/o programas descritos
en esta publicación sin previo aviso.

Todas las referencias en esta información a sitios web que no son de IBM se
facilitan únicamente para su comodidad y no representan en modo alguno una
aprobación o recomendación de dichos sitios web. El contenido de esos sitios web
no forma parte del contenido de este producto de IBM y el uso de dichos sitios
web es por cuenta y riesgo del usuario.
IBM puede utilizar o distribuir la información que se le proporcione de la forma

que considere adecuada, sin incurrir por ello en ninguna obligación para con el
remitente.
Los licenciatarios de este programa que deseen tener información sobre él para
permitir: (i) el intercambio entre programas creados de forma independiente y
otros programas (incluido este) y (ii) el uso mutuo de información que se haya
intercambiado, deben ponerse en contacto con:
IBM Corporation
J46A/G4
555 Bailey Avenue
San Jose, CA 95141-1003
EE.UU.
Dicha información podría estar disponible, sujeta a los términos y condiciones,

incluido en algunos casos, el pago de una tasa.
IBM proporciona el programa bajo licencia descrito en este documento, y todo el

material bajo licencia disponible para el mismo, bajo los términos del IBM
Customer Agreement, el Acuerdo Internacional de Licencia de Programa de IBM o
cualquier acuerdo equivalente entre ambas partes.
Todos los datos de rendimiento incluidos en este documento han sido

determinados en un entorno de control. Por lo tanto, los resultados obtenidos en
otros entornos operativos podrían variar significativamente. Algunas mediciones
podrían haberse realizado en sistemas en nivel de desarrollo y no se garantiza que
estas mediciones sean las mismas en los sistemas de uso general. Además, algunas
mediciones podrían haberse calculado por extrapolación. Los resultados reales
podrían variar. Los usuarios del presente documento deberían verificar los datos
aplicables para su entorno específico.
La información sobre productos que no son de IBM se ha obtenido de los

proveedores de dichos productos, de los anuncios publicados o de otras fuentes
disponibles públicamente. IBM no ha probado esos productos y no puede
confirmar la precisión del rendimiento, la compatibilidad ni ninguna otra
afirmación referente a productos no de IBM. Las preguntas sobre las prestaciones
de productos no de IBM deberán dirigirse a los proveedores de dichos productos.
Todas las declaraciones relativas a los propósitos e intenciones futuras de IBM

pueden ser modificadas o retiradas sin previo aviso, y sólo representan objetivos y
metas.
Esta información incluye ejemplos de datos e informes utilizados en operaciones

comerciales cotidianas. Para ilustrarlos de la forma más completa posible, los
ejemplos incluyen los nombres de personas, empresas, marcas y productos. Todos
estos nombres son ficticios y cualquier parecido con los nombres y direcciones
utilizados por una empresa real es puramente casual.
LICENCIA DE COPYRIGHT:
Esta información contiene programas de aplicación de ejemplo en lenguaje fuente
que ilustran técnicas de programación en diversas plataformas operativas. Puede
copiar, modificar y distribuir libremente estos programas de ejemplo, sin pago
alguno a IBM, con el propósito de desarrollar, utilizar, comercializar o distribuir
programas de aplicación en conformidad con la interfaz de programación de
aplicaciones para la plataforma operativa para la que se han escrito los programas
de ejemplo. Estos ejemplos no se han probado exhaustivamente bajo todas las
condiciones. Por consiguiente, IBM no puede garantizar ni certificar la fiabilidad,
capacidad de servicio o funcionamiento de estos programas. Los programas de
ejemplo se proporcionan "TAL CUAL", sin ningún tipo de garantía. IBM no se hará
responsable de ningún daño provocado por el uso de los programas de ejemplo.
Cada copia o cualquier parte de estos programas de ejemplo o cualquier trabajo

derivado debe incluir un aviso de copyright como se muestra a continuación: ©
(nombre de la compañía) (año). Partes de este código se han obtenido de
programas de ejemplo de IBM Corp. © Copyright IBM Corp. 2004, 2012.
Reservados todos los derechos.
Si está viendo la copia software de la información, es posible que las fotografías o

las ilustraciones a color no aparezcan.
Marcas registradas
Los términos siguientes son marcas registradas de International Business Machines

Corporation en Estado Unidos o en otros países: http://www.ibm.com/legal/
copytrade.shtml
Microsoft, Windows, Windows NT y el logotipo de Windows son marcas

comerciales de Microsoft Corporation en Estados Unidos y/o en otros países.
Java y todas las marcas registradas y logotipos basados en Java son marcas
registradas de Sun Microsystems, Inc. en Estados unidos o en otros países.
Adobe, el logotipo de Adobe, PostScript y el logotipo de PostScript son marcas

comerciales o marcas registradas de Adobe Systems Incorporated en Estados
Unidos o en otros países.
UNIX es una marca registrada de The Open Group en Estados Unidos y otros
países.
Oracle Outside In Technology aquí incluido está sujeto a una licencia de uso
restringido y sólo se puede utilizar conjuntamente con esta aplicación.
Avisos 81
Índice
A entorno de producción
utilizar 27
L
accesibilidad viii entorno de prueba 27 limitaciones conocidas 57
administradores estadísticas de proyecto 22 lista de control de accesos (ACL) 19
Role Lifecycle Management 28 estadísticas de rol 22
análisis de informes 23
analista de roles 1
descripción 28
N
archivo CSV 20 F nombre de persona 13
archivo de valores separados por comas flujo de datos 20
(CSV) 1 flujo de proceso
asignaciones de usuarios a permisos 9 Role Lifecycle Management 25 O
atributos de esquema 10, 13 formación viii Oracle
avisos 79 Véase formación técnica requisitos 52
formación técnica viii orígenes de datos 11
funciones de accesibilidad de este
B producto 77
base de datos P
Identidad y titularidad 20 página de inicio 38
requisitos 52 G panel Análisis 39
transferencia 20 generación de roles 1, 22 panel de navegación 38
base de datos de Identidad y gestión de datos 19 permisos
titularidad 11, 20 esquema 19 descripción de permiso 14
base de datos de transferencia 20 modelado de datos 19 nombre de permiso 14
Business Process Manager grupo participante UID de permiso 14
introducción 26 definición 28 política
grupos 18 ciclo de gestión 5
definido en proceso de aprobación de prestaciones 1
C rol 28 Process Center
descripción 26
calificadores de pertenencia 23
Process Designer
cardinalidad 18
catálogo de análisis 23 H descripción 26
herramientas de análisis de modelado de Process Portal
cómo empezar 37
roles 22 descripción 26
compatibilidad con otro software 47
Process Server
compatibilidad de software 47
descripción 26
convenios
programa de utilidad de extracción 20
tipo de letra 73 I programas de utilidad de extracción 10
convenios de tipo de letra 73 IBM propietario de rol
Soporte de Software viii descripción 28
Support Assistant viii publicaciones vii
D identidades de usuario 13 acceso en línea vii
DB2 importación de datos 20 convenios 73
requisitos 52 importación de esquema 20 en línea vii
descripción de la regla 18 informes 45 lista para este producto vii
determinación de problemas viii informes personalizados 29
directorios visión general 29
inicio 74
variables 74
infracciones de restricciones 1
integración con roles de Security Identity
R
Manager 24 requisitos
directorios de inicio
integración del proceso de seguridad 3 base de datos 52
ubicaciones 74
interfaz de usuario 38 bibliotecas de Linux 48
documentación
informes 45 hardware y software 47
en línea 45
página de inicio 38 requisito previo para programas de
documentación de ayuda 45
panel Análisis 39 utilidad de extracción y carga 55
documentación en línea 45
panel de navegación 38 requisitos de hardware y software 47
ventana Datos de identidad y requisitos de Java Runtime
Environment 53
E titularidad 45
ventana Propiedades de rol 39 requisitos de servidor de informes 55
en línea ventana Proyectos 39 requisitos de software 52
publicaciones vii ventana Roles y políticas 39 requisitos de WebSphere Application
terminología vii Server 52

requisitos (continuación) UID de registro de origen 13
sistema operativo 47, 48 UID de regla 18
requisitos de hardware 50 UID de rol 18
requisitos de las bibliotecas de Linux 48 ulimit 55
requisitos de sistema operativo 48 usuarios
requisitos previos definido en proceso de aprobación de
bibliotecas de Linux 48 rol 28
resolución de problemas viii
limitaciones conocidas 57
restricción de separación de funciones 1
restricciones de separación de
V
ventana Datos de identidad y
funciones 1, 20
titularidad 45
cardinalidad 18
ventana Propiedades de rol 39
descripción de la regla 18
ventana Proyectos 39
UID de regla 18
ventana Roles y políticas 39
UID de rol 18
Vista jerárquica 22
rol
ciclo de gestión 5
descripción 24
diagrama de proceso 24
flujo de proceso 25
roles
descripción de rol 16
nombre de rol 16
padre de rol 16
propietario de rol 16
tipo de rol 16
UID de rol 16
roles de Security Identity Manager 24
roles de seguridad 1
S
simulación interactiva 1
sistemas operativos soportados 47
sitio web de terminología vii
solicitud de aprobación de rol
descripción 26
solicitud del ciclo de vida personalizado
descripción 27
T
terminología vii
tipos de atributo
atributo personalizado 11
entero 11
identidad 11
jerarquía 11
serie 11
tipos de objetos 9
tipos de relaciones 9
rol a permiso 18
rol a restricción 18
rol a rol 18
usuario a permiso 18
usuario a rol 18
Tivoli Integrated Portal
iniciar la sesión 37
U
ubicaciones
directorios de inicio 74
UID de persona 13

Impreso en España
GC11-8124-01

IBM Security Role and Policy Modeler

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

IBM Security Role and Policy Modeler

Cargado por

Copyright:

Formatos disponibles

IBM Security Role and Policy Modeler

Guía de visión general del producto

Guía de visión general del producto

Capítulo 1. Introducción a IBM Security Capítulo 5. Requisitos de hardware y

© Copyright IBM Corp. 2011, 2012 iii

© Copyright IBM Corp. 2011, 2012 v

Acceso a publicaciones y terminología

Biblioteca de IBM Security Role and Policy Modeler

Sitio web de terminología de IBM

© Copyright IBM Corp. 2011, 2012 vii

Si desea información adicional, consulte Apéndice B, “Funciones de accesibilidad

Nota: El separador Comunidad y Soporte en el centro de información del

Mediante el uso de herramientas visuales y técnicas de inteligencia empresarial

Este release se centra en comprender quién en la organización está autorizado a

Los analistas de roles pueden trabajar en paralelo, creando proyectos de modelado

© Copyright IBM Corp. 2011, 2012 1

Quién utiliza este producto

Integración del proceso de seguridad

El proceso iterativo es un esfuerzo de colaboración para planificar y acomodar

Capítulo 1. Introducción a IBM Security Role and Policy Modeler 3

Integración del proceso de gobierno de identidad y acceso de IBM

Ciclo de gestión de roles y políticas

• Reconciliar • Investigación sobre la • Informes sobre la configuración • Estructura de rol RBAC

Agregar datos Informes de

Propietarios de CSO, Propietario Analista Propietario Admin Propietarios de

El siguiente escenario de una empresa que va a migrar a un control de acceso

JKHealthcare es un proveedor de asistencia médica que ha crecido en estos últimos

Recientemente, Dennis Moreland, Director de cumplimiento de seguridad, solicitó

Capítulo 1. Introducción a IBM Security Role and Policy Modeler 5

Capítulo 1. Introducción a IBM Security Role and Policy Modeler 7

Explicación de los datos

Los datos y el esquema personalizado para usuarios, permisos y roles se importan

Objetos básicos del modelado de roles

Además de las relaciones directas de usuario a rol, los calificadores de pertenencia

© Copyright IBM Corp. 2011, 2012 9

Usuario Calificador Permiso

Atributos de esquema necesarios y atributos de esquema

Si se definen e insertan atributos personalizados, IBM Security Role and Policy

Si IBM Security Identity Manager se ha desplegado, el programa de utilidad de

Capítulo 2. Característica del producto 11

Esquema de atributo Esquema de atributo

Archivos CSV que incluyen un conjunto

#Origen de permiso, #AD origen de #Origen de permiso,

Registros de la base de datos de

Los atributos de identidad de usuario pueden provenir de múltiples orígenes. Se

Esquema de atributo Esquema de atributo

Archivos CSV de atributos de identidad

#Origen de identidad, #AD origen de identidad #Origen de identidad,

Registros de usuario compuestos

El origen representa un conjunto completo de los datos particionados lógicamente.

Las identidades de usuario se añaden a la base de datos de Identidad y titularidad

Capítulo 2. Característica del producto 13

Utilizando únicamente UIDs de persona y correlaciones de usuarios a permisos,

Los datos para los atributos personalizados también se deben incluir en la

Los permisos se añaden a la base de datos de Identidad y titularidad de IBM

Estos son los atributos de esquema necesarios para los permisos:

Utilizando únicamente identificadores (ID) de usuario de permiso y correlaciones

Capítulo 2. Característica del producto 15

Los datos para los atributos personalizados también se deben incluir en la

Los roles se añaden a la base de datos de Identidad y titularidad de IBM Security

Estos son los atributos de esquema necesarios para los roles:

Nota: El propietario de rol está limitado a identidades. No se admiten

Los roles pueden tener atributos personalizados adicionales. Los atributos

Los datos para los atributos personalizados también se deben incluir en la