4.1 Descripción del modelo de delegación dinámica

DRA permite gestionar el acceso administrativo a la empresa en el contexto de un modelo de delegación. El modelo de delegación permite configurar el acceso de "privilegios mínimos" para los administradores asistentes a través de un conjunto dinámico de controles que pueden adaptarse a medida que la empresa cambia y evoluciona. El modelo de delegación proporciona un control de acceso administrativo que representa mejor cómo funciona la empresa:

  • Con las reglas de ámbito flexibles, los administradores pueden asignar de forma precisa los permisos a objetos gestionados específicos en función de las necesidades del negocio en lugar de la estructura de la empresa.

  • La delegación basada en funciones garantiza que los permisos se otorguen de manera coherente y simplifica la provisión.

  • La asignación de privilegios puede administrarse entre dominios, inquilinos en la nube y aplicaciones gestionadas desde una única ubicación.

  • Los poderes granulares permiten adaptar el acceso específico otorgado a los administradores asistentes.

4.1.1 Controles del modelo de delegación

Los administradores utilizan los siguientes controles para proporcionar acceso a través del modelo de delegación:

  • Delegación: los administradores proporcionan acceso a usuarios y grupos mediante la asignación de una función, que tiene permisos específicos en el contexto de una ActiveView que proporciona el ámbito.

  • ActiveViews: una ActiveView representa un ámbito específico de objetos gestionados que definen una o varias reglas. Los objetos gestionados identificados por cada regla en una ActiveView se añaden de forma conjunta a un ámbito unificado.

  • Regla de ActiveView: las reglas se definen mediante expresiones que coinciden con un conjunto de objetos gestionados en función de una serie de condiciones, como el tipo de objeto, la ubicación, el nombre, etc.

  • Funciones: una función representa un conjunto específico de poderes (permisos) necesarios para realizar una función de administración específica. DRA proporciona una serie de funciones integradas para las actividades comerciales habituales y puede definir las funciones personalizadas que mejor se adapten a las necesidades de su organización.

  • Poderes: un poder define un permiso específico para realizar tareas admitidas por el objeto gestionado, como ver, modificar, crear, eliminar, etc. Los permisos en torno a la modificación de un objeto gestionado se pueden desglosar en función de las propiedades específicas que se pueden cambiar. DRA proporciona una lista extensa de poderes integrados para los objetos gestionados admitidos y puede definir poderes personalizados para ampliar lo que se puede proporcionar mediante el modelo de delegación.

4.1.2 Cómo procesa DRA las peticiones

Cuando el servidor de administración recibe una petición de acción, como cambiar la contraseña de un usuario, utiliza el siguiente proceso:

  1. Busque ActiveViews que se hayan configurado para gestionar el objeto de destino de la operación.

  2. Valide los poderes asignados a la cuenta que solicita la acción.

    1. Evalúe todas las asignaciones de ActiveViews que contienen el administrador asistente que solicita la operación.

    2. Una vez completada la lista, cree una lista de todas las ActiveViews que contengan tanto el objeto de destino como el administrador asistente.

    3. Compare los poderes con los que se necesitan para la operación de petición.

  3. Si la cuenta dispone del poder correcto, el servidor de administración permite realizar la acción.

    Si la cuenta no dispone del poder correcto, el servidor de administración devuelve un error.

  4. Actualización de Active Directory.

4.1.3 Ejemplos de cómo DRA procesa las asignaciones de delegación

En los siguientes ejemplos, se describen las situaciones habituales que surgen en cuanto al modo en que DRA evalúa el modelo de delegación cuando se procesa una petición:

Ejemplo 1: cambio de la contraseña de un usuario

Cuando un administrador asistente intenta definir una nueva contraseña para la cuenta de usuario JSmith, el servidor de administración busca todas las ActiveViews que incluyan JSmith. Esta búsqueda devuelve todas las ActiveViews que especifican directamente JSmith mediante una regla de caracteres comodín o una pertenencia a grupo. Si una ActiveView incluye otras ActiveViews, el servidor de administración también busca esas ActiveViews adicionales. El servidor de administración determina si el administrador asistente tiene el poder Restablecer la contraseña de la cuenta de usuario en cualquiera de estas ActiveViews. Si el administrador del asistente dispone del poder Restablecer la contraseña de la cuenta de usuario, el servidor de administración restablece la contraseña para JSmith. Si no dispone de ese poder, el servidor de administración rechaza la petición.

Ejemplo 2: superposición de ActiveViews

Un poder define las propiedades de un objeto que un administrador asistente puede ver, modificar o crear en el dominio o el subárbol gestionados. Varias ActiveViews pueden incluir el mismo objeto. Esta configuración se denomina superposición de ActiveViews.

Si se solapan las ActiveViews, puede acumular un conjunto de distintos poderes para los mismos objetos. Por ejemplo, si una ActiveView permite añadir una cuenta de usuario a un dominio y otra ActiveView permite suprimir una cuenta de usuario del mismo dominio, puede añadir o suprimir cuentas de usuario en ese dominio. De esta forma, los poderes de los que disponga para un determinado objeto serán acumulativos.

Es importante entender cómo las ActiveViews pueden superponerse y puede disponer de más poderes para los objetos incluidos en ellas. Tenga en cuenta la configuración de ActiveView que se muestra en la siguiente ilustración.

Las pestañas blancas identifican ActiveViews por ubicación, Nueva York y Houston. Las pestañas negras identifican ActiveViews por su función administrativa, Ventas y Marketing. Las celdas muestran los grupos incluidos en cada ActiveView.

Los grupos "NY_Ventas" y "HOU_Ventas" se representan ambos en la ActiveView Ventas. Si dispone de poderes en la ActiveView Ventas, puede gestionar cualquier miembro de los grupos "NY_Ventas" y "HOU_Ventas". Si también dispone de poderes en la ActiveView Nueva York, estos poderes adicionales se aplican al grupo "NY_Marketing". De esta forma, se acumulan los poderes a medida que se superponen las ActiveViews.

La superposición de ActiveViews puede proporcionar un modelo de delegación eficaz y flexible. Sin embargo, esta función también puede tener consecuencias no deseadas. Planifique cuidadosamente las ActiveViews para asegurarse de que cada administrador asistente disponga solo de los poderes que desea para cada cuenta de usuario, grupo, unidad administrativa, contacto o recurso.

Grupos en varias ActiveViews

En este ejemplo, el grupo "NY_Ventas" se representa en más de una ActiveView. Los miembros del grupo "NY_Ventas" están representados en la ActiveView Nueva York debido a que el nombre del grupo coincide con la regla de ActiveView NY_ *. El grupo también se encuentra en la ActiveView Ventas debido a que el nombre de grupo coincide con la regla de ActiveView *_Ventas. Al incluir el mismo grupo en varias ActiveViews, puede permitir que distintos administradores asistentes gestionen los mismos objetos de forma diferente.

Uso de poderes en varias ActiveViews

Supongamos que hay un administrador asistente, JSmith, que tiene el poder Modificar las propiedades generales del usuario en la ActiveView Nueva York. Este primer poder permite a JSmith editar todas las propiedades en la pestaña General de una ventana de propiedades de usuario. JSmith dispone del poder Modificar las propiedades del perfil de usuario en la ActiveView Ventas. Este segundo poder permite a JSmith editar todas las propiedades en la pestaña Perfil de una ventana de propiedades de usuario.

En la siguiente ilustración, se indican los poderes que JSmith tiene para cada grupo.

JSmith dispone de los siguientes poderes:

  • Propiedades generales en la ActiveView NY_*

  • Propiedades del perfil en la ActiveView *_Ventas

La delegación de poderes en estas ActiveViews superpuestas permite a JSmith modificar las propiedades generales y de perfil del grupo NY_Ventas. Por lo tanto, JSmith dispone de todos los poderes concedidos en las ActiveViews que representan al grupo NY_Ventas.