Curso:

Sistemas SCADA
Wincc Advanced
Unidad 6:

Sistemas SCADA Wincc – Unidad VI

Gestión de usuarios
Campo de aplicación de la administración de usuarios

Bienvenidos a la Unidad VI del Curso “Sistemas SCADA – Wincc Advanced”.

La protección de acceso regula el acceso a los datos y las funciones en runtime. De este modo se
protegen las aplicaciones de operaciones no autorizadas. Al crear el proyecto, algunas
operaciones relevantes para la seguridad ya se restringen a determinados grupos de usuarios.
Para ello, se crean usuarios y grupos de usuarios a los que se adjudican derechos de acceso
característicos, las autorizaciones. Seguidamente, en los objetos relevantes para la seguridad se
configuran las autorizaciones necesarias para el manejo. Así, p. ej., los operadores sólo tienen
acceso a determinados objetos de manejo

Configurar una administración de usuarios

Definiciones
Los usuarios, grupos de usuarios y autorizaciones se gestionan de forma centralizada en la
administración de usuarios de WinCC.
Los usuarios y grupos de usuarios se transfieren al panel de operador o al RT junto con el
proyecto.
Los usuarios y las contraseñas se gestionan en el panel de operador con el visor de usuarios.

Ejemplo de aplicación
La autorización "Servicio" se configura para que sólo los técnicos del servicio de mantenimiento
y reparación puedan acceder a los parámetros de ajuste. La autorización se asigna al grupo de
usuarios "Técnico de servicio". Todos los miembros de este grupo utilizan así los parámetros de
ajuste protegidos.
La protección de acceso no protege de manipulaciones erróneas. Es su obligación asegurarse de
que sólo el personal autorizado y con la formación adecuada se encarga de construir máquinas e
instalaciones, ponerlas en marcha, manejarlas y mantenerlas.
La protección de acceso no sirve para definir procesos de trabajo y supervisar su cumplimiento.

En un proyecto de producción, el entorno del fabricante de máquinas debe ser diferente del
entorno del cliente final en su función de operador de la planta.
El fabricante de máquinas autoriza al usuario, p. ej. Sr. Maestro, a acceder a la aplicación o al
panel de operador de un modo determinado. Sin embargo, en el cliente final no hay ningún
usuario Maestro. Los usuarios del cliente final y sus tareas todavía se desconocen durante la
configuración por parte del fabricante de máquinas. Por norma general, los usuarios finales no
se determinan hasta después de la puesta en marcha en las instalaciones del cliente final.

Para mantener el trabajo de administración en niveles reducidos, las autorizaciones no se asignan

directamente a un solo usuario, sino que están desacopladas en grupos de usuarios. Un grupo de
usuarios agrupa autorizaciones configuradas en función de las tareas.
Así, p. ej., todas las autorizaciones necesarias para una actuación del servicio técnico se agrupan
en un grupo "Técnico de servicio". Si crea un usuario responsable del servicio técnico, asígnelo
únicamente al grupo "Técnico de servicio".
El visor de usuarios puede utilizarse para administrar usuarios en Runtime, así como para
crearlos, borrarlos y asignarles una autorización.
La administración de usuarios separa la administración de los usuarios de la configuración de
autorizaciones. De este modo, ofrece mayor flexibilidad en la protección de acceso.
Durante la configuración ya se puede realizar una asignación previa de la administración de
usuarios en el sistema de ingeniería.

Usuarios
Los usuarios se crean en la ficha "Usuarios" del editor "Administración de usuarios" y se asignan
a los grupos de usuarios. La ficha "Usuarios" forma parte de la administración de usuarios de
WinCC.

El área de trabajo se compone de las tablas "Usuarios" y "Grupos de usuarios".

La tabla "Usuarios" muestra los usuarios creados. Si selecciona un usuario en esta tabla, en la
tabla "Grupos" aparecerá el grupo de usuarios al que pertenece.
Para el usuario "Administrador" está preconfigurada la contraseña "administrator". Por motivos
de seguridad es conveniente cambiar la contraseña de este usuario.

Grupos de usuarios
El área de trabajo "Grupos de usuarios" muestra los grupos y sus autorizaciones en forma de
tabla. En esta tabla es posible administrar los grupos de usuarios y asignarles autorizaciones.
El área de trabajo se compone de las tablas "Grupos" y "Autorizaciones"
La tabla "Grupos" muestra los grupos de usuarios creados. Si selecciona un grupo de usuarios en
esta tabla, en la columna "Activo" de la tabla "Autorizaciones" aparecerán las autorizaciones que
se le hayan asignado.
La administración de usuarios asigna el número de grupo de usuarios y de autorización. El usuario
asigna las denominaciones y descripciones. Los números de las autorizaciones predefinidas están
asignados de antemano. Las autorizaciones que cree el usuario pueden editarse libremente. No
obstante, al asignarlas debe observarse la univocidad de los números.

Configuración de la administración de usuarios

En el editor "Configuración de runtime > Administración de usuarios" se configuran los ajustes

de seguridad para los usuarios y las contraseñas en Runtime.
Dependiendo de la configuración, los ajustes de seguridad tienen los efectos diferentes en
Runtime.
Principios básicos de la administración de usuarios

Poe ejemplo, los grupos destinatarios son ejemplos de diferentes grupos de personas que
trabajan con la administración de usuarios.

 Administrador OEM
 Administrador RT
 Ingeniero
 Operadores

El administrador OEM crea p.ej. los grupos de usuarios, los usuarios y las autorizaciones de
runtime en el sistema de ingeniería del fabricante de máquinas.
El administrador RT administra usuarios en el "Visor de usuarios" de runtime.
El ingeniero asigna las autorizaciones a los grupos de usuarios en el sistema de ingeniería.
Asimismo, configura autorizaciones en los objetos.
El operador inicia la sesión en Runtime. Sólo puede acceder a un objeto protegido si dispone de
la autorización necesaria.

El grupo destinatario Administrador RT está creado en la administración de usuarios de Runtime

con el nombre "Grupo de administradores".

Usuarios en runtime

Después de la cargar en el panel de operador, todos los objetos de Runtime que han sido
configurados con una autorización están protegidos contra accesos no autorizados.

Visor de usuarios
Cuando se configura un visor de usuarios en el sistema de ingeniería, es posible administrar
usuarios en el visor de usuarios tras la carga en el panel de operador.

ATENCIÓN: Las modificaciones en el visor de usuarios de Runtime son efectivas

inmediatamente. Las modificaciones en Runtime no se actualizan en el sistema de ingeniería.
Al cargar la administración de usuarios en el panel de operador, se sobrescriben todas las
modificaciones del visor de usuarios previa consulta y en función de las opciones de carga
seleccionadas.
Los usuarios que tienen la autorización "Administración de usuarios" pueden acceder sin
limitaciones al visor de usuarios. Desde allí se administran todos los usuarios. Los demás usuarios
sólo tienen un acceso restringido al visor de usuarios, donde pueden administrarse a sí mismos.

El visor de usuarios muestra lo siguiente en cada fila:

 El usuario
 Su contraseña codificada
 El grupo de usuarios correspondiente
 El tiempo de cierre de sesión

Si no hay ningún usuario conectado, el visor de usuarios está vacío. Tras iniciar la sesión se
visualizarán los contenidos de sendos campos.

Visor de usuarios de un administrador

Cuando un administrador está conectado, el visor de usuarios muestra todos los usuarios. El
administrador modifica el nombre del usuario y la contraseña. El administrador crea usuarios
nuevos y los asigna a un grupo de usuarios existentes.

Visor de usuarios de un usuario

Si no hay ningún administrador conectado, el visor de usuarios sólo muestra el usuario

conectado. El usuario puede modificar su contraseña y su tiempo de cierre de sesión.
Configurar una protección de acceso

Para proteger el acceso a un objeto, configure una autorización para ese objeto. Todos los
usuarios conectados que posean esta autorización, podrán acceder al objeto. Cuando un usuario
no posee la autorización de uso de un objeto, automáticamente aparece el cuadro de diálogo de
inicio de sesión.

Objetos con protección de acceso

Los objetos siguientes pueden configurarse con una autorización:

 Campo de fecha y hora

 Campo E/S
 Visor de curvas f(x)
 Campo E/S gráfico
 Navegador HTML Visualización de procesos
 Visor de avisos
 Ventana de avisos
 Visor de recetas
 Interruptor
 Botón
 Deslizador
 Librería de símbolos
 Campo E/S simbólico
 Visor de diagnóstico del sistema
 Ventana de diagnóstico del sistema
Ejemplo: Configurar un botón con el cuadro de diálogo de inicio de sesión

En el siguiente ejemplo, se configura en un botón la función "MostrarDialogoIniciarSesión".

Este botón se utilizará, por ejemplo, durante el cambio de turno, cuando inicie la sesión un
usuario distinto. Además, en ese momento se cerrará la sesión del usuario anterior.
De forma predeterminada, el cuadro de diálogo de inicio de sesión aparece en Runtime cuando
se accede a un objeto protegido.
Existen dos posibilidades: O no ha iniciado la sesión ningún usuario, o el usuario no tiene la
autorización necesaria.

Cuando el usuario haga clic en este botón en Runtime, se ejecutará la función

"MostrarDialogoIniciarSesion". Al ejecutarse la función "MostrarDialogoIniciarSesion" aparecerá
el cuadro de diálogo de inicio de sesión. El usuario inicia la sesión con su nombre de usuario y su
contraseña.

Crear grupos de usuarios y asignar autorizaciones - EJEMPLO

Procedimiento
 Abra el área de trabajo "Grupos de usuarios".
 Haga doble clic en "Agregar" en la tabla "Grupos".
 En "Nombre", escriba "Programadores".
 Para crear los grupos de usuarios "Operadores de puesta en marcha" y "Operadores" se
deberán repetir los pasos 2 y 3.
 Haga clic en "Grupo de administradores" de la tabla "Grupos".
 En la tabla "Autorizaciones" active la autorización "Modificar parámetros de sistema".
Resultado intermedio

Procedimiento

 Haga clic en "Operadores" de la tabla "Grupos".

 En la tabla "Autorizaciones" active la autorización "Modificar registros de receta".
 Haga clic en "Operadores de puesta en marcha" de la tabla "Grupos".
 En la tabla "Autorizaciones" active la autorización "Modificar registros de receta",
"Modificar parámetros de sistema" y "Modificar parámetros de proceso".
 Haga clic en "Programadores" de la tabla "Grupos".
 En la tabla "Autorizaciones" active la autorización "Modificar registros de receta".
Crear usuarios y asignarlos a un grupo de usuarios - EJEMPLO

En el ejemplo siguiente se crean los usuarios y se asignan a los grupos de usuarios.

El usuario se ordenará alfabéticamente justo después de entrar el nombre.

Procedimiento
 Abra el área de trabajo "Usuarios".
 Haga doble clic en "Agregar" en la tabla "Usuarios".
 Introduzca el nombre de usuario "Mueller".
 En la columna "Contraseña", haga clic en el botón . Se abre el cuadro de diálogo para
introducir la contraseña.
 Introduzca la contraseña "mueller".
 Introduzca de nuevo la contraseña en el campo de confirmación situado debajo.
 Cierre el cuadro de diálogo
 En la tabla "Grupos", active el grupo de usuarios "Programadores".

Resultado intermedio

 Haga doble clic en "Agregar" en la tabla "Usuarios".

 Introduzca el nombre de usuario "Meier".
 En la columna "Contraseña", haga clic en el botón . Se abre el cuadro de diálogo para
introducir la contraseña.
  Introduzca la contraseña "meier".
 Introduzca de nuevo la contraseña en el campo de confirmación situado debajo.
 Cierre el cuadro de diálogo
 En la tabla "Grupos", active el grupo de usuarios "Operadores de puesta en marcha".
 Repita los pasos 2 a 6 para el usuario "Maestro".
 En la tabla "Grupos", active el grupo de usuarios "Operadores".

Resultado