Guía de administración › Políticas y funciones personalizadas › Configuración de políticas de acceso y funciones de usuario personalizadas
Configuración de políticas de acceso y funciones de usuario personalizadas
Una función del usuario puede ser un grupo de usuarios de la aplicación predeterminado o un grupo de aplicaciones definido por el usuario. Es necesario contar con funciones de usuarios personalizadas cuando los grupos de la aplicación predeterminados (Administrator, Analyst y Auditor) no están lo suficientemente depurados como para reflejar las asignaciones de trabajo. Las funciones de usuarios personalizadas requieren el empleo de políticas de acceso personalizado y la modificación de las políticas predefinidas para incluir la función nueva.
Los administradores pueden crear funciones de usuario y sus correspondientes políticas del modo siguiente:
- Para cada función asumida por usuarios de CA Enterprise Log Manager:
- Si un grupo de aplicaciones predefinido es demasiado amplio para sus necesidades, cree un nuevo grupo de aplicaciones y asigne dicho grupo a los individuos identificados. Es conveniente designar los grupos de aplicaciones definidos por el usuario con nombres que describan la función que deben llevar a cabo los usuarios asignados.
- Agregue el nuevo grupo de aplicaciones a la política de acceso a la aplicación de CALM, que es un tipo de lista de control de acceso.
- Si la función nueva debe ser capaz de llevar a cabo acciones en uno o varios recursos, como la acción de crear, lleve a cabo lo siguiente:
- Configure una política de CALM que permita al nuevo grupo de aplicaciones crear o llevar a cabo otras acciones válidas en los recursos de CA Enterprise Log Manager identificados.
- Configure una política de ámbito que conceda al nuevo grupo de aplicaciones acceso de lectura y escritura al recurso AppObject y especifique un filtro que establezca el lugar de almacenamiento del recurso identificado en las carpetas de EEM. Para cada filtro, introduzca el atributo mencionado, pozFolder CONTAINS valor, donde "valor" es la ruta de la carpeta de EEM que comienza por /CALM_Configuration.
- Si la función nueva sólo necesita visualizar un determinado recurso de CA Enterprise Log Manager, configure una política de ámbito que permita un acceso de lectura a AppObject y especifique un filtro en la ubicación del atributo mencionado, pozFolder, CONTAINS valor, donde "valor" es la ruta de la carpeta de EEM que comienza por /CALM_Configuration en la ubicación donde está almacenado ese recurso.
- Compruebe las políticas.
- Asigne la función nueva a las cuentas de usuario.
Los administradores también pueden crear accesos de usuario restringidos mediante filtros de acceso. Si un determinado tipo de acceso restringido sólo se aplica a un individuo, puede omitir la asignación de esa persona a una función o a un grupo de aplicaciones. Para limitar el acceso de un usuario:
- Cree un usuario pero no le asigne ninguna función.
- Concédale acceso a la aplicación de CA Enterprise Log Manager añadiendo al usuario a la política de acceso a CALM.
- Cree una política de ámbito que garantice un acceso de lectura o escritura a Objeto seguro y Objeto aplicación, y especifique un filtro en el que el atributo mencionado, pozFolder, sea igual al valor de la carpeta de EEM del recurso. Por ejemplo, si el recurso son informes, establezca el atributo mencionado, calmTag, con un valor igual al valor de la etiqueta del informe.
- Cree un filtro de acceso personalizado.
Los administradores pueden personalizar el acceso de los usuarios a los recursos de CA Enterprise Log Manager. Observe los siguientes ejemplos:
- Cree funciones para asignar responsabilidades de administración específicas a diferentes grupos de administradores. Por ejemplo, cree una función como Administrador cuenta usuario. Cree una política que permita a los usuarios que tengan esta función acceder sólo a la funcionalidad necesaria para mantener los usuarios y los grupos. Una política de este tipo debe definir un acceso de lectura y escritura al recurso Usuario global, así como a los recursos Usuario y Grupo usuarios.
- Cree funciones para distribuir las responsabilidades de los analistas en los distintos tipos de informes y consultas basadas en etiquetas. Por ejemplo, puede crear funciones como Analista acceso al sistema y Analista PCI, y asignar a los analistas sólo una de las funciones de analistas restringidas. A continuación, cree políticas que confieran acceso a un subconjunto de estos recursos en función de las etiquetas. Por ejemplo, cree una política que permita que la función Analista acceso al sistema acceda a los informes y a las consultas que tengan la etiqueta de acceso al sistema, y otra política que permita que la función Analista PCI acceda a los informes y a las consultas que tengan la etiqueta de PCI. Cree otras funciones y políticas en función de otras etiquetas. Las políticas que restringen en acceso de este modo lo hacen mediante filtros de acceso.
Los administradores pueden crear políticas basadas en servidores a través de uno de los métodos siguientes:
- Restricción de los datos
Puede restringir el acceso a determinados registros mediante la creación de un filtro de acceso a datos, el establecimiento del filtro para el campo receiver_name y la especificación de un valor como systemstatus o syslog.
- Restricción de la configuración
Puede restringir el acceso a un determinado servidor de CA Enterprise Log Manager mediante la creación de una política en la clase de recurso Objeto seguro con Objeto aplicación como recurso seleccionado. Es decir, para restringir el acceso sólo a la configuración del servidor de informes de un host determinado, defina un filtro como se indica a continuación:
pozFolder contains /CALM_Configuration/Modules/calmReporter/LogServer01
Más información:
Políticas de ejemplo para integraciones personalizadas
Políticas de ejemplo para reglas de supresión y resumen
Creación de un filtro de acceso
Restricción del acceso a datos a un usuario: caso de Win-Admin
Restricción de acceso a una función: caso de analista de PCI
