Uso de CA AppLogic® › Guía de administración del grid › Control de acceso basado en roles › Gestión de la creación de la ACL del nuevo objeto

Gestión de la creación de la ACL del nuevo objeto

CA AppLogic® 3.1.x introduce la capacidad de gestionar la creación de la ACL del nuevo objeto. Un usuario o grupo pueden determinar las entradas de propietario y principales de una ACL del objeto recién creado. Esto permite una considerable flexibilidad considerable al gestionar el acceso a los objetos recién creados. La gestión de la ACL del nuevo objeto introduce los conceptos siguientes:

Definición de la ACL del nuevo objeto : se puede asociar una definición de la ACL del nuevo objeto a un usuario o grupo concreto. La definición de la ACL del nuevo objeto tiene un formato idéntico a la ACL del objeto. Está compuesta de un propietario y una lista de entradas, donde cada entrada se compone de un elemento principal y un nivel de acceso correspondiente. Cada usuario y grupo existente puede, o no, tener una definición de la ACL del nuevo objeto asociada. Si la definición de la ACL del nuevo objeto se asocia a un usuario, el propietario debe ser o bien ese usuario, o bien un grupo (o vacío). Si la definición de la ACL del nuevo objeto se asocia a un grupo, el propietario debe ser un grupo (o vacío).

Grupo primario : un grupo primario es una propiedad de perfil de usuario que indica el grupo que se puede utilizar para determinar la ACL del nuevo objeto para el usuario correspondiente. El grupo primario de un usuario se puede establecer al crear el usuario o mediante el comando  user set . Si el grupo primario de un usuario no se ha establecido explícitamente, se utiliza de forma predeterminada el grupo local implícito  all.

Cuando un usuario crea, migra o importa una nueva aplicación o catálogo global, la ACL del nuevo objeto se crea de la siguiente manera:

1. Si el usuario que está ejecutando tiene una definición de la ACL del nuevo objeto asociada, se usa esta definición para determinar la ACL del nuevo objeto.
2. De lo contrario, si el grupo primario del usuario que está ejecutando tiene una definición de la ACL del nuevo objeto asociada, se usa esta definición para determinar la ACL del nuevo objeto.
3. De lo contrario, haga que el usuario que está ejecutando sea el propietario del nuevo objeto y proporcione a este usuario privilegios de nivel "full".

Se utiliza una definición de la ACL del nuevo objeto para determinar el contenido de una ACL del nuevo objeto de la siguiente manera:

1. Determine al propietario en la ACL:
   • Si la definición de la ACL del nuevo objeto tiene un usuario definido como el propietario y este usuario es el usuario que está ejecutando, se hace que el usuario que está ejecutando sea el propietario en la ACL nueva.
   • De lo contrario, si la definición de la ACL del nuevo objeto tiene un grupo definido como el propietario y este grupo tiene como miembro el usuario que está ejecutando, se hace que este grupo sea el propietario en la ACL nueva.
   • De lo contrario haga que el usuario que está ejecutando sea el propietario en la ACL nueva.
2. Determine la lista de entradas en la ACL:
   • Incluya cada entrada de la definición de la ACL del nuevo objeto en la ACL nueva.
   • Proporcione al usuario que está ejecutando acceso "full" a la ACL nueva, si no tuviera acceso "full" de otra forma (ya sea explícitamente o a través de la pertenencia a un grupo). Esto anula una entrada en la definición de la ACL del nuevo objeto para el usuario que está ejecutando, si existiese.

Cuando un usuario copia una aplicación existente, la ACL de la copia se crea de la siguiente manera:

• El propietario se determina como se ha descrito anteriormente para la creación del objeto.
• Las entradas principales de la ACL original se copian intactas. Ninguna de estas entradas se modifica y no se agrega ninguna entrada nueva.

La gestión de la ACL del nuevo objeto introduce un número de nuevas utilidades de CLI y modifica varias utilidades existentes de la siguiente manera:

user set y user create

Estos comandos introducen una nueva opción: group=<group>[,<group>]* La opción group se puede utilizar para establecer el grupo primario de un usuario y agregar el usuario como miembro a grupos locales, de esta manera:

• El usuario se agrega como miembro a cada grupo local en la lista.
• El grupo primario del usuario se establece como el primer grupo en la lista.
• Solamente el primer grupo de la lista puede ser un grupo global.

  user info
  

Este comando se modifica para mostrar el grupo primario del usuario y, si existe, la definición de la ACL del nuevo objeto asociada al usuario.

user get_newobj_acl

Muestra la ACL del nuevo objeto asociada al usuario.

user put_newobj_acl

Reemplaza la ACL del nuevo objeto asociada al usuario.

user modify_newobj_acl

Modifica la ACL del nuevo objeto asociada al usuario.

group info y group get

Estos comandos se modifican para mostrar la definición de la ACL del nuevo objeto asociada a un grupo, si existe.

group get_newobj_acl

Muestra la ACL del nuevo objeto asociada al grupo.

group put_newobj_acl

Reemplaza la ACL del nuevo objeto asociada al grupo.

group modify_newobj_acl

Modifica la ACL del nuevo objeto asociada al grupo.

Los siguientes ejemplos ilustran casos de uso típicos para la gestión de creación de la ACL del nuevo objeto:

1. Para gestionar la creación de la ACL del nuevo objeto de forma que el acceso al objeto imite el comportamiento de las versiones de CA AppLogic® 2.9.x y anteriores, cree una definición de la ACL del nuevo objeto para el grupo local implícito "full" de la siguiente manera:
   • El propietario es el grupo local implícito "all".
   • La lista de entradas proporciona al grupo local implícito "all" privilegios de acceso "full".

   De forma predeterminada el grupo primario de cada usuario es el grupo local implícito "all". En este ejemplo, cada vez que un usuario crea un nuevo objeto, todo el mundo lo posee y puede acceder completamente a él.

2. Para gestionar la creación de la ACL del nuevo objeto de un solo usuario, cree una definición de la ACL del nuevo objeto para ese usuario concreto.
3. Para gestionar la creación de la ACL del nuevo objeto de un grupo de usuarios, ponga el grupo primario de cada usuario en un grupo en particular y cree una definición de la ACL del nuevo objeto para ese grupo.
4. Para gestionar la creación de la ACL del nuevo objeto de todos los usuarios, cree una definición de la ACL del nuevo objeto para el grupo local implícito "all". Esto afecta a todos los usuarios cuyo grupo primario es el grupo local implícito "all" y que no tiene asociada una definición de la ACL del nuevo objeto a sí mismo.