16.1 Navegación por el catálogo de funciones

La acción Catálogo de funciones de la pestaña Funciones y recursos de la interfaz de usuario del Gestor de identidades permite ver las funciones que se han definido anteriormente en el catálogo. También permite crear funciones nuevas y modificar, suprimir y asignar funciones existentes.

16.1.1 Visualización de las funciones

  1. Haga clic en Catálogo de funciones en la lista de acciones Funciones y recursos.

    La aplicación de usuario muestra la lista de funciones definidas actualmente en el catálogo.

Filtrado de la lista de funciones

  1. Haga clic en el botón Definir filtro en la esquina superior derecha de la pantalla Catálogo de funciones.

  2. Especifique una cadena de filtro para el nombre de la función o para su descripción, o bien seleccione uno o varios niveles o categorías de funciones en el recuadro de diálogo Filtro.

  3. Haga clic en Filtro para aplicar los criterios de selección.

  4. Para eliminar el filtro actual, haga clic en Restablecer.

Definición del número máximo de funciones en una página

  1. Haga clic en la lista desplegable Filas y seleccione el número de filas que desea mostrar en cada página:

Avance por la lista de funciones

  1. Para avanzar a otra página de la lista de funciones, haga clic en los botones Siguiente, Anterior, Primero o Último de la parte inferior de la lista:

Clasificación de la lista de funciones

Para ordenar la lista de funciones:

  1. Haga clic en el encabezado de la columna por la que desee ordenar.

    El indicador triangular de orden muestra la columna por la que se ha ordenado. Si el orden es ascendente, el indicador es normal, con un triángulo con el vértice hacia arriba.

    Si el orden es descendente, el indicador tiene el vértice hacia abajo.

    La columna de orden inicial la determina el administrador.

Si anula la columna de orden inicial, la columna por la que desee ordenar se añadirá a la lista de columnas obligatorias. Las columnas obligatorias están indicadas con un asterisco (*).

Cuando modifica el orden de la lista de tareas, las preferencias se guardan en el repositorio seguro de identidades junto a las demás preferencias del usuario.

16.1.2 Creación de nuevas funciones

  1. Haga clic en el botón Nuevo en la parte superior de la pantalla Catálogo de funciones:

    La aplicación de usuario muestra el recuadro de diálogo Nueva función:

  2. Proporcione detalles para la definición de la función, como se describe a continuación:

    Tabla 16-1 Detalles de función

    Campo

    Descripción

    Nombre de visualización

    Texto utilizado para mostrar el nombre de la función en la aplicación de usuario. No se pueden incluir los caracteres siguientes en el Nombre de visualización al crear una función:

    < > , ; \ " +  # = / | & *

    Puede traducir este nombre a cualquiera de los idiomas admitidos en la aplicación de usuario. Para obtener más información, consulte la Tabla 1-1, Botones comunes.

    Descripción

    Texto utilizado para mostrar la descripción de la función en la aplicación de usuario. Al igual que el nombre de visualización, puede traducirlo a cualquiera de los idiomas admitidos en la aplicación de usuario. Para obtener más información, consulte la Tabla 1-1, Botones comunes.

    Nivel de la función

    (Sólo lectura al modificar una función). Seleccione un nivel de función en la lista desplegable.

    Los niveles de función se definen mediante el Diseñador para el editor de configuración de funciones del Gestor de identidades.

    Subcontenedor de funciones

    (Sólo lectura al modificar una función). Ubicación de los objetos de función en el controlador. Los contenedores de funciones se encuentran bajo niveles de funciones. La aplicación de usuario solo muestra los contenedores de funciones que se encuentran bajo el nivel seleccionado. Puede crear una función directamente en un nivel de función o en un contenedor dentro de él. No es obligatorio especificar el contenedor de la función.

    Categorías

    Permite categorizar las funciones para organizarlas. Las categorías se utilizan para filtrar listas de funciones. Las categorías son de selección múltiple.

    Propietarios

    Los usuarios designados como propietarios de la definición de funciones. Al generar informes sobre el catálogo de funciones, puede filtrar los informes según el propietario de la función. El propietario de la función no tiene automáticamente la autorización para administrar cambios en una definición de función.

  3. Haga clic en Guardar para guardar la definición de la función.

    La aplicación de usuario muestra varias pestañas adicionales en la parte inferior de la ventana que permiten completar la definición de la función.

Definición de las relaciones de funciones

La pestaña Relaciones de funciones permite definir el modo en el que las funciones se relacionan con los niveles inferiores y superiores de la jerarquía. Esta jerarquía permite agrupar permisos o recursos incluidos en funciones de nivel inferior en un nivel superior para facilitar la asignación de permisos. Las relaciones permitidas son las siguientes:

  • Las funciones de nivel superior (funciones empresariales) pueden contener funciones de nivel inferior. No pueden estar incluidas en otras funciones. Si selecciona una función de nivel superior, la página Relaciones de funciones sólo permite añadir relaciones de nivel inferior (hijas).

  • Las funciones de nivel medio (funciones de TI) pueden contener funciones de nivel inferior y estar incluidas en funciones de nivel superior. La página Relaciones de funciones permite añadir funciones de nivel inferior (hijas) o de nivel superior (padres).

  • Las funciones de nivel inferior (funciones de permisos) pueden estar incluidas en funciones de nivel superior, pero no pueden contener otras funciones de nivel inferior. La página Relaciones de funciones sólo permite añadir una función de nivel superior.

Para definir una relación de funciones:

  1. Haga clic en la pestaña Relaciones de funciones.

  2. Haga clic en Añadir.

    Se muestra el recuadro de diálogo Añadir relación de funciones.

  3. Proporcione un texto en el que se describa la relación en el campo Descripción de la petición inicial.

  4. Especifique el tipo de relación que desea definir seleccionando el tipo en la lista desplegable Relación de funciones.

    Si la nueva función es de TI, la lista desplegable Relación de funciones permite definir una relación Hijo o Padre. Si la nueva función es empresarial, la lista desplegable Relación de funciones muestra texto de sólo lectura que indica que se trata de una relación Hijo, ya que sólo las funciones de nivel inferior se pueden relacionar con una función empresarial. Si la nueva función es de permiso, la lista desplegable Relación de funciones muestra texto de sólo lectura que indica que se trata de una relación Padre, ya que sólo las funciones de nivel superior se pueden relacionar con una función de permiso.

    La lista de funciones disponibles para su selección se filtra según el tipo que seleccione.

  5. Utilice el selector de objetos de la derecha del campo Funciones seleccionadas para seleccionar las funciones que desea asociar con la función nueva.

  6. Haga clic en Añadir.

Asociación de recursos con la función

Para asociar un recurso con una función:

  1. Haga clic en la pestaña Recursos.

  2. Haga clic en Añadir.

    La aplicación de usuario muestra el recuadro de diálogo Añadir asociación de recurso.

  3. Use el selector de objetos para seleccionar el recurso que desea e indique un texto que explique la razón de la asociación.

    El asistente muestra una página con información sobre el recurso seleccionado, como el nombre de las categorías del recurso, su propietario, el derecho y los valores de derecho.

    Para los derechos que reciben valores de parámetro estáticos, lo que proporciona atributos adicionales o información detallada sobre el título, el asistente muestra los valores estáticos junto a la etiqueta Valor de derecho. Para los derechos que reciben parámetros dinámicos, el asistente muestra el formulario de petición de recurso, que incluye campos para los parámetros dinámicos, así como campos de asistencia para la toma de decisiones definidos por el formulario.

  4. En el campo Descripción de la asociación, indique un texto que describa por qué el recurso se ha asociado con la función.

  5. Haga clic en Añadir para asociar el recurso con la función.

    La lista Asociaciones de recursos muestra el recurso que ha añadido a la definición de la función:

    Qué ocurre con las asignaciones de funciones existentes. Cuando se añade una asociación de recurso nueva a una función que ya tiene identidades asignadas, el sistema inicia una petición nueva para otorgar el recurso a cada identidad.

    NOTA:en las versiones de RBPM anteriores al parche público 401C, se mostraban resultados distintos si se otorgaba un recurso con parámetros a un usuario mediante una asociación de funciones, en lugar de mediante una asignación directa al usuario. Esto se producía en las situaciones siguientes:

    • Si un recurso que tuviera un parámetro de derecho y un parámetro de campo definido en la pestaña Formulario de petición se asociaba a una función. Si un usuario se asignaba directamente a la función o se asignaba como miembro de un grupo o por estar en un contenedor, al usuario también se le asignaba el recurso. Sin embargo, la asignación de recurso solo tenía el valor del parámetro del derecho.

      Este problema se ha resuelto en el parche público 401C y en la versión 4.0.2. Sin embargo, si las asignaciones se crearon en una versión anterior (370, 400 o un parche anterior al parche público 401C) y desea que aparezcan todos los parámetros del recurso, debe revocar al usuario de la función y, posteriormente, volver a asignar el usuario.

    • Si un recurso que tuviera dos o más campos definidos en la pestaña Formulario de petición solo se asociaba con una función. Si un usuario se asignaba directamente a la función o se asignaba como miembro de un grupo o por estar en un contenedor, el recurso también se asignaba al usuario tantas veces como parámetros de campo hubiera. En otras palabras, el usuario tenía una asignación de recurso por cada parámetro de campo. Si el recurso se asignaba directamente, el usuario solo tenía una asignación con todos los parámetros mostrados.

      Este problema se ha resuelto en el parche público 401C y en la versión 4.0.2. Sin embargo, si las asignaciones de recursos se crearon en una versión anterior (370, 400 o un parche anterior al parche público 401C), se seguirá produciendo este comportamiento. Para aplicar la corrección, debe suprimir la asociación del recurso y volver a crearla.

Para suprimir una asociación de recurso de una función:

  1. Seleccione la asociación en la lista Asociaciones de recursos.

  2. Haga clic en Eliminar.

    Qué ocurre con las asignaciones de funciones existentes. Cuando se elimina una asociación de recurso de una función que ya tiene identidades asignadas, el sistema inicia una petición nueva para revocar el recurso de cada identidad.

Definición del proceso de aprobación para una función

Para definir el proceso de aprobación para una función:

  1. Haga clic en la pestaña Aprobación.

  2. Proporcione detalles para el proceso de aprobación, como se describe a continuación:

    Tabla 16-2 Detalles de aprobación

    Campo

    Descripción

    Aprobación necesaria

    Marque esta casilla de verificación si la función requiere aprobación al realizar la petición y desea que el proceso de aprobación ejecute la definición de aprobación de asignación estándar.

    Deselecciónela si la función no requiere aprobación.

    NOTA:las aprobaciones de función se activan solo para asignaciones explícitas de función a usuario.

    Aprobación personalizada

    Seleccione este botón circular si desea usar una definición de aprobación personalizada (definición de petición de provisión). Utilice el selector de objetos para seleccionar la definición de aprobación.

    Aprobación estándar

    Seleccione este botón circular si esta función utiliza la definición de aprobación estándar especificada en la configuración del subsistema de funciones y recursos. El nombre de la definición de aprobación es de sólo lectura en el campo Definición de aprobación de asignación de funciones siguiente.

    Debe seleccionar el tipo de aprobación (En serie o Quórum) y los aprobadores válidos.

    Tipo de aprobación

    Seleccione En serie si desea que la función deba ser aprobada por todos los usuarios de la lista Aprobadores. Los aprobadores se procesan secuencialmente, en el orden en el que se muestran en la lista.

    Seleccione Quórum si desea que la función deba ser aprobada por un porcentaje de los usuarios de la lista Aprobadores. La aprobación se completará cuando se alcance el porcentaje de usuarios especificado.

    Por ejemplo, si desea que apruebe la condición uno de cada cuatro usuarios de la lista, deberá especificar Quórum y un porcentaje de 25. Si lo prefiere, puede especificar el 100% si desea que los cuatro aprobadores deban aprobarla en paralelo. El valor debe ser un entero entre 1 y 100.

    SUGERENCIA:los campos En serie y Quórum proporcionan texto de ayuda que explica su funcionamiento.

    Aprobadores

    Seleccione Usuario si la tarea de aprobación de la función debe asignarse a uno o varios usuarios. Seleccione Grupo si la tarea de aprobación de la función debe asignarse a un grupo. Seleccione Contenedor si la tarea de aprobación de la función debe asignarse a un contenedor Seleccione Función si la tarea de aprobación de la función debe asignarse a una función.

    Para encontrar un usuario, un grupo, un contenedor o una función concretos, utilice el selector de objetos. Para modificar el orden de los aprobadores de la lista o eliminar un aprobador, consulte la Sección 1.4.4, Acciones comunes de los usuarios.

    Aprobación de revocación requerida (Igual que la configuración de otorgación)

    Marque esta casilla de verificación si la función requiere que se apruebe cuando se revoque.

    El proceso de aprobación usado para las peticiones de revocación de funciones, así como la lista de aprobadores, es la misma que para las peticiones de otorgación de funciones). Si ha indicado que desea que el proceso de aprobación ejecute la definición de aprobación de la asignación de funciones estándar, se usará este proceso. También es posible especificar un proceso de aprobación personalizado tanto para las peticiones de otorgación de funciones como para las peticiones de revocación de funciones. Dentro de una definición de petición de provisión personalizada, es posible identificar si la acción es una otorgación o una revocación y personalizar el proceso de aprobación en consecuencia.

    Deseleccione la casilla si la función no requiere aprobación al revocarse.

Creación de asignaciones de funciones

Para obtener más detalles sobre cómo realizar asignaciones de funciones, consulte la Sección 16.1.5, Asignación de funciones.

Comprobación del estado de las peticiones

La acción Estado de peticiones permite ver el estado de las peticiones de asignación de función, incluidas las peticiones que ha realizado directamente, así como las peticiones de asignación de función para grupos o contenedores a los que pertenece. Permite ver el estado actual de cada petición. Además, ofrece la opción de retraer una petición no completada o finalizada si ha cambiado de opinión y no necesita que la petición se complete.

La acción Estado de peticiones muestra todas las peticiones de asignación de función, incluidas las que están en ejecución, pendientes de aprobación, aprobadas, completadas, denegadas o terminadas.

Para ver el estado de las peticiones de asignación de función:

  1. Haga clic en la pestaña Estado de peticiones.

    La opción Acción de petición muestra si la acción era una otorgación o una revocación. Si se necesita que se apruebe y el proceso de aprobación no se completa, el estado muestra Aprobación pendiente.

  2. Para ver la información de estado detallada de una petición, haga clic en el estado.

    Se muestra la ventana Detalles de la asignación

    Para obtener información sobre qué significan los valores de estado, consulte la Sección 10.4, Visualización del estado de peticiones.

  3. Para retraer una petición, selecciónela y haga clic en Retraer.

    Necesita tener permiso para poder retraer una petición.

    Si la petición se ha completado o ha terminado, verá un mensaje de error si intenta retraerla.

16.1.3 Edición de una función existente

  1. Seleccione una función definida anteriormente y haga clic en Editar.

  2. Realice los cambios que desee en los ajustes de la función y haga clic en Guardar.

Derechos asociados con las funciones existentes. Puede que las funciones definidas en versiones anteriores del módulo de provisión basado en funciones tengan derechos asociados. Si una función tiene un derecho asociado, la interfaz de usuario muestra la pestaña Derechos, que permite ver la asignación del derecho y, si se desea, eliminarla. Las asignaciones de derechos seguirán funcionando en esta versión, pero Novell recomienda ahora que los derechos se asocien con recursos, en lugar de con funciones.

16.1.4 Supresión de funciones

  1. Seleccione una función definida anteriormente y haga clic en Suprimir.

    Cuando se indica a la aplicación de usuario que suprima una función, primero define el estado de la función como Pendiente de suprimir. El controlador de servicio de funciones y recursos anota a continuación el cambio de estado y realiza estos pasos:

    • Elimina las asignaciones de recursos para la función

    • Suprime la propia función

    El controlador de servicio de funciones y recursos optimiza este proceso. Sin embargo, el proceso puede tardar, según el número de usuarios asignados a la función, ya que el controlador de funciones y recursos debe asegurarse de no eliminar ningún recurso que los usuarios hayan conseguido por otros medios. Si la función permanece en el estado Pendiente de suprimir durante un tiempo fuera de lo normal, vuelva a comprobar el controlador para asegurarse de que está actualizado y en ejecución.

    Si una función tiene el estado Pendiente de suprimir, puede editar, suprimir o asignar la función.

    NOTA:en la versión 4.0.2 se ha añadido un atributo nuevo denominado nrfStatus al objeto nrfRole que permite gestionar el estado de la función. Este atributo cuenta con dos estados: Creado y Pendiente de suprimir.

    Qué ocurre con las asignaciones de funciones existentes. Si suprime una función que tenga un recurso asociado, así como una o más identidades asociadas, el sistema elimina la asignación del recurso de cada identidad que tenga el recurso asociado.

    NOTA:Si suprime una función que tenga asignado un recurso (o si elimina un usuario de la función), el sistema elimina las asignaciones de recursos de los usuarios de la función, incluso si los recursos se asignaron directamente. Esto se debe a que el sistema considera que el último origen autorizado de una asignación de recurso es el controlador de dicho recurso, como se muestra en la siguiente situación:

    1. Se crea un recurso y se asigna a un derecho.

    2. Se asigna un usuario al recurso creado anteriormente.

    3. Se crea una función y se une al recurso creado en el primer paso.

    4. El mismo usuario se asigna a la función creada anteriormente.

    5. El usuario se elimina de la función.

    En este caso, el usuario se elimina del recurso, aunque se le haya asignado el recurso directamente. En principio, la asignación de recurso se considera el origen autorizado. Sin embargo, si al usuario se le asigna una función asociada con el mismo recurso, la función se convierte en el origen autorizado.

    Supresión de funciones en las restricciones de separación de tareas (SoD). Cuando se suprime una función conflictiva de una restricción de SoD, dicha restricción aparecerá con las palabras No válido entre paréntesis después del nombre como, por ejemplo, SoD de farmacéutico [No válido], en la lista Catálogo de SoD.

ADVERTENCIA:los supervisores de funciones que tengan el permiso Suprimir función para las funciones del sistema (o para el contenedor que contenga estas funciones) pueden suprimir funciones del sistema. Las funciones del sistema no se deben suprimir. Si se elimina alguna, la aplicación de usuario sufrirá errores.

16.1.5 Asignación de funciones

Las funciones se pueden asignar de dos formas:

  • Desde el Catálogo de funciones

  • Desde el recuadro de diálogo Editar función

Ambos métodos se describen a continuación.

Asignación de una función desde el catálogo

  1. Seleccione una función definida anteriormente en el Catálogo de funciones y haga clic en Asignar.

    En la aplicación de usuario se muestra el recuadro de diálogo Asignar función.

  2. Complete los campos del recuadro de diálogo Asignar función.

    1. Proporcione un texto en el que se describa la razón para la petición en el campo Descripción de la petición inicial.

    2. En el campo Tipo de asignación, seleccione Usuario, > Grupo o Contenedor para indicar el tipo de identidades a las que se asignará la función.

    3. En el selector de objetos, indique una cadena de búsqueda y haga clic en Buscar. Seleccione los usuarios, grupos o contenedores que desea asignar.

      Asignación de una función a varias identidades. Es posible seleccionar uno o varios usuarios (o grupos o contenedores) para la asignación de función. Si selecciona varias identidades, todas las identidades seleccionadas reciben los mismos valores de asignación de función.

    4. Especifique la fecha de inicio para la asignación de función en el campo Fecha en vigor.

      Puede escribir una fecha con el formato mm/dd/aaaa hh:mm:ss a (donde "a" significa a.m. o p.m.). También es posible hacer clic en el icono de calendario y seleccionar la fecha en la ventana emergente Calendario:

    5. Especifique la fecha de caducidad para la asignación de función en el campo Fecha de caducidad.

      NOTA:la fecha de caducidad solo se aplica a las asignaciones de usuarios. En el caso de los grupos y los contenedores, el campo Fecha de caducidad no está disponible.

      Para especificar una fecha de caducidad, haga clic en Especificar caducidad. Puede escribir una fecha con el formato mm/dd/aaaa hh:mm:ss a (donde a significa a.m. o p.m.). También es posible hacer clic en el icono de calendario y seleccionar la fecha en la ventana emergente Calendario.

      La fecha de caducidad tiene por defecto el valor Sin caducidad, lo que indica que esta asignación de función seguirá en vigor de forma indefinida.

  3. Haga clic en Enviar.

Asignación de una función desde el recuadro de diálogo Editar función

  1. En el Catálogo de funciones, seleccione una función y haga clic en Editar para abrir el recuadro de diálogo Editar función.

  2. Haga clic en la pestaña Asignaciones.

    La pestaña Asignaciones muestra una lista de asignaciones que se han otorgado a la función seleccionada.

  3. Para crear una asignación nueva, haga clic en Asignar.

    En la aplicación de usuario se muestra el recuadro de diálogo Asignar función.

    Para obtener más información sobre cómo trabajar con el formulario de petición de asignación de función, consulte Asignación de una función desde el catálogo.

16.1.6 Actualización de la lista de funciones

  1. Haga clic en Actualizar.

NOTA:si crea una asignación de función y, a continuación, la elimina, se mostrará un mensaje donde se indica que la asignación se ha eliminado, pero puede que se siga mostrando. Si actualiza la página, podrá ver que la asignación se ha eliminado.

16.1.7 Personalización de la pantalla de la lista de funciones

El Catálogo de funciones permite seleccionar y deseleccionar columnas, así como reordenarlas en la pantalla de lista de tareas. Este comportamiento se controla mediante un ajuste del recuadro de diálogo Personalizar visualización de catálogo de funciones. Cuando se modifica la lista de columnas o se reordenan las columnas, las personalizaciones se guardan en el repositorio seguro de identidades junto a las demás preferencias del usuario.

Para personalizar la visualización de columnas:

  1. Haga clic en Personalizar en el Catálogo de funciones:

    La aplicación de usuario muestra la lista de columnas seleccionadas actualmente para la pantalla, así como una lista de columnas adicionales disponibles para su selección.

  2. Para incluir una columna adicional en la pantalla, selecciónela en la recuadro de lista Columnas disponibles y arrástrela al recuadro de lista Columnas seleccionadas.

    Para seleccionar varias columnas de la lista, mantenga pulsada la tecla Ctrl y seleccione las columnas. Para seleccionar un intervalo de columnas que aparezcan juntas en la lista, mantenga pulsada la tecla Mayús y seleccione las columnas.

    Es posible reordenar las columnas en la pantalla subiéndolas o bajándolas en el recuadro de lista Columnas seleccionadas.

  3. Para eliminar una columna de la pantalla, selecciónela en el recuadro de lista Columnas seleccionadas y arrástrela al recuadro de lista Columnas disponibles.

    La columna Nombre de la función es obligatoria y no se puede eliminar de la pantalla de lista de funciones.

  4. Para guardar los cambios, haga clic en Guardar.