WebSphere Everyplace Access
Everyplace Access soporta un meticuloso control de acceso sobre los recursos. Durante la personalización, los usuarios sólo pueden seleccionar y ver aquellos recursos sobre los que tienen derechos de acceso. Durante la presentación de un recurso, la infraestructura verifica que el usuario tiene los derechos adecuados para utilizar el recurso solicitado. En la mayoría de los casos, los derechos de acceso se administran a través del portlet Lista de control de acceso y se almacenan en la base de datos de administración de Portal Server.
A veces una autorización también recibe el nombre de control de acceso. El portlet Lista de control de acceso (ACL) le permite configurar el acceso a los recursos del portal otorgando permisos a los usuarios y a los grupos. Consulte Gestión de suscriptores para obtener información sobre cómo gestionar usuarios y grupos. El portlet Lista de control de acceso también transfiere, si lo desea, el control de los recursos a y desde mecanismos de seguridad externos.
Antes de que el usuario esté autorizado para acceder a un recurso, deberá producirse una autenticación satisfactoria. Excepto por el requisito de realizar una autenticación satisfactoria, la autorización es independiente de WebSphere Application Server o de cualquier proxy de autenticación personalizado. WebSphere Application Server protege los servlets y los EJB; no obstante, Everyplace Access protege todos los recursos internos del portal, ya sean páginas, lugares o portlets. Ser miembro de un grupo puede significar tener los permisos necesarios para acceder a un objeto o para realizar una petición, pero el control de acceso también puede efectuarse a nivel de usuarios individuales. Aunque los roles J2EE no se soportan en Everyplace Access, los grupos de usuarios pueden aproximarse en ocasiones a esa función.
El portlet Lista de control de acceso es la interfaz que le permite controlar los derechos de acceso a los recursos del portal. Puede buscar un usuario o grupo y limitar la búsqueda a un tipo de recurso, nombre o fecha de modificación específicos, o puede seleccionar que se visualicen todos los recursos disponibles para el usuario o el grupo. El portlet Lista de control de acceso le permite mover recursos del control interno al externo y viceversa. Consulte la ayuda de Lista de control de acceso para obtener instrucciones sobre cómo utilizar este portlet.
Nota: Cuando dé un permiso de usuario para desplegar portlets, asegúrese de que el usuario también está en el rol de administración de WebSphere Application Server. Puede añadir el usuario a un grupo que se encuentre en el rol de administración, o bien, puede añadir el usuario a este rol en el Centro de seguridad de la Consola de administración de WebSphere Application Server.
Existen cinco permisos simples que se pueden asignar a los recursos. Uno de estos, DELEGAR, es el permiso para cambiar el control de acceso. En las tablas siguientes se explican los otros cuatro permisos y se ofrece un ejemplo de cómo cada permiso limita el control a un recurso.
| Recurso | Permiso | Descripción |
|---|---|---|
| Aplicación de portlet | VER | Proporciona el derecho para ver la aplicación de portlet. Debe establecer los permisos adecuados para que los usuarios y grupos accedan a los portlets pertenecientes a la aplicación de portlet. |
| EDITAR | No aplicable. | |
| GESTIONAR | Proporciona el derecho para editar los valores de la aplicación de portlet que se aplican a todos los usuarios y grupos que tienen permisos para ver la aplicación de portlet, activarla, desactivarla y suprimirla. Un usuario con permiso GESTIONAR hereda permisos EDITAR y VER. Debe establecer los permisos adecuados para que los usuarios y grupos accedan a los portlets pertenecientes a la aplicación de portlet. | |
| CREAR | Otorga el derecho de copiar una aplicación de portlet existente en el portal. Para copiar la aplicación de portlet, los usuarios deben tener también un permiso VER en la aplicación de portlet. Al crear una nueva copia de una aplicación de portlet, el creador obtiene de forma automática los derechos de acceso GESTIONAR y DELEGAR para la nueva aplicación de portlet. Para asignar permisos para la nueva aplicación de portlet a otros usuarios y grupos, el creador necesita el permiso DELEGAR para los grupos o usuarios aplicables. Para instalar una aplicación de portlet, los usuarios deben tener el permiso GESTIONAR para el portal. | |
| Portlet | VER | Proporciona el derecho para ver el portlet. Para que los usuarios vean el portlet, también deben tener permiso VER para la página que contenga el portlet y para el lugar que contenga la página. |
| EDITAR | Proporciona el derecho para editar los valores de portlet del usuario individual. Un usuario con el permiso EDITAR hereda el permiso VER. | |
| GESTIONAR | Proporciona el derecho para editar los valores de portlet que se aplican a todos los usuarios o grupos que tengan permiso para ver el portlet, así como el derecho para suprimirlo. Un usuario con el permiso GESTIONAR hereda los permisos EDITAR y VER. | |
| CREAR | Proporciona el derecho para crear un portlet nuevo o copiar un portlet existente. Cuando se crea un nuevo portlet o se copia uno existente, el creador obtendrá automáticamente el derecho de acceso GESTIONAR y DELEGAR para la nueva aplicación de portlet. Para asignar permisos para el nuevo portlet a otros usuarios o grupos, el creador deberá también DELEGAR en los grupos o usuarios aplicables. | |
| Página | VER | Proporciona el derecho para ver la página. Para que los usuarios vean la página, deberán también tener permiso VER para el lugar que contiene la página. Si la página es una página anidada, los usuarios también deben tener permiso VER sobre la página padre. |
| EDITAR | Proporciona el derecho para crear nuevos portlets, añadir portlets y editar valores de la página. Si un usuario sólo tiene permiso EDITAR para una página, se creará una nueva página que se asignará al usuario para que las modificaciones sólo se apliquen a ese usuario. Un usuario con el permiso EDITAR hereda el permiso VER. | |
| GESTIONAR | Proporciona el derecho para añadir portlets o editar valores en una página que todos los usuarios con los permisos adecuados pueden ver. Un usuario con permiso GESTIONAR para una página también puede suprimir la página. Cualquier cambio realizado afecta a todos los usuarios con permiso para ver la página. Un usuario con el permiso GESTIONAR hereda los permisos EDITAR y VER. | |
| CREAR | Proporciona el derecho para crear una página nueva o copiar una ya existente. Cuando se crea una página nueva o se copia una existente, el creador obtiene automáticamente los derechos de acceso GESTIONAR y DELEGAR para la nueva página. Para crear una página, los usuarios deben tener también el permiso EDITAR sobre el lugar o la página que depende de la nueva página que se creará. Para asignar permisos para la nueva página a otros usuarios o grupos, el creador deberá también DELEGAR en los grupos o usuarios aplicables. | |
| Lugar | VER | Proporciona el derecho para ver el lugar. Si el usuario tiene el permiso VER, el lugar aparecerá en la lista de navegación del lugar. |
| EDITAR | Proporciona el derecho para editar los valores del lugar. Cualquier cambio realizado afecta a todos los usuarios con permiso para ver el lugar. Un usuario con el permiso EDITAR hereda el permiso VER. | |
| GESTIONAR | Proporciona el derecho para asignar un tema al lugar, añadir páginas o eliminarlas del lugar y suprimir un lugar. Cualquier cambio realizado afecta a todos los usuarios con permiso para ver el lugar. Un usuario con el permiso GESTIONAR hereda los permisos EDITAR y VER. | |
| CREAR | Proporciona el derecho para crear un nuevo lugar o para copiar uno ya existente. Cuando se crea un lugar nuevo o se copia uno existente, el creador obtiene automáticamente el acceso GESTIONAR y DELEGAR para el nuevo lugar. Para asignar permisos para el nuevo lugar a otros usuarios o grupos, el creador deberá también DELEGAR en los usuarios o grupos aplicables. | |
| Usuario | VER | No aplicable. |
| EDITAR | No aplicable. | |
| GESTIONAR | Proporciona el derecho para cambiar los datos de perfil de usuario y eliminar un usuario existente. Por omisión, los usuarios tienen permisos GESTIONAR y DELEGAR sobre ellos mismos como usuarios individuales. | |
| CREAR | Proporciona el derecho para crear un nuevo usuario. Cuando se crea un nuevo usuario, el creador obtiene automáticamente los permisos GESTIONAR y DELEGAR para el nuevo usuario. | |
| Grupo de usuarios | VER | No aplicable. |
| EDITAR | No aplicable. | |
| GESTIONAR | Proporciona el derecho para cambiar el nombre de un grupo de usuarios, añadir o eliminar miembros de este grupo de usuarios y eliminar el grupo de usuarios. Esto no incluye el derecho para eliminar un usuario que sea miembro de este grupo. | |
| CREAR | Proporciona el derecho para crear un nuevo grupo de usuarios. Cuando se crea un nuevo grupo de usuarios, el creador obtiene automáticamente el acceso GESTIONAR y DELEGAR para el nuevo grupo de usuarios. | |
| Recopilación de recursos | VER | Otorga el derecho para ver la recopilación de recursos y los documentos. Los usuarios también puede buscar y bajar documentos, así como añadir documentos a su lista de marcadores. |
| EDITAR | No aplicable. | |
| GESTIONAR | Otorga el derecho para editar valores de recursos que se aplican a todos los usuarios y grupos que tienen permiso para ver la recopilación de recursos. Los usuarios pueden crear, editar y subir documentos, así como marcarlos para suprimirlos. Un usuario con el permiso GESTIONAR hereda los permisos VER. | |
| CREAR | Proporciona el derecho para instalar una nueva recopilación de recursos o para copiar una existente. Cuando se añade una nueva recopilación de recursos, el creador obtiene automáticamente el acceso GESTIONAR y DELEGAR para la nueva recopilación de recursos. Para asignar permisos para la nueva recopilación de recursos a otros usuarios o grupos, el creador deberá también DELEGAR en los usuarios y grupos aplicables. | |
| Portal | VER | No aplicable. |
| EDITAR | No aplicable. | |
| GESTIONAR | Otorga el derecho para crear cualquier nuevo permiso para el portal, para ejecutar una petición de configuración XML mediante el servicio de configuración del portal, para obtener, actualizar y eliminar valores de servicios del portal y para instalar nuevas aplicaciones de portlet. | |
| CREAR | No aplicable. | |
| ACL externa | VER | No aplicable. |
| EDITAR | No aplicable. | |
| GESTIONAR | Proporciona el derecho para declarar si una decisión de control de acceso se realiza basándose en el servicio de control de acceso interno o el sistema de control de acceso externo. Un usuario con permiso GESTIONAR para la ACL externa tiene la opción de mover recursos a y desde el control externo en el portlet Lista de control de acceso. | |
| CREAR | No aplicable. | |
| Todos los demás recursos | VER | Proporciona el derecho para ver el recurso. |
| EDITAR | Proporciona el derecho para editar los valores de recursos que se aplican sólo al usuario. Un usuario con el permiso EDITAR hereda el permiso VER. | |
| GESTIONAR | Proporciona el derecho para editar los valores de recursos que se aplican a todos los usuarios y grupos que tienen permiso para ver el recurso. Un usuario con acceso GESTIONAR para un recurso puede suprimirlo. Un usuario con el permiso GESTIONAR hereda los permisos EDITAR y VER. | |
| CREAR | Proporciona el derecho para instalar un nuevo recurso o para copiar uno ya existente. Cuando se añade un nuevo recurso, el creador obtiene automáticamente acceso GESTIONAR y DELEGAR para el nuevo recurso. Para asignar permisos para el nuevo recurso a otros usuarios o grupos, el creador deberá también DELEGAR en los grupos o usuarios aplicables. |
Nota: algunos portlets pueden tener tareas que necesiten correlaciones exclusivas con permisos ACL. Por ejemplo, un portlet puede tener una tarea de vistas que necesite el permiso EDITAR. En esos casos, consulte la documentación de cada portlet si desea más información.
El permiso DELEGAR es necesario para administradores o subadministradores. Un usuario con permiso DELEGAR para un recurso, como un portlet o un lugar, y para un grupo de usuarios puede otorgar a estos usuarios permiso para ese recurso. Los usuarios sólo pueden otorgar el mismo nivel o uno inferior de permiso (VER, EDITAR, GESTIONAR, CREAR) que el que ya tengan para ese recurso. El permiso DELEGAR no implica otros derechos de acceso. Los usuarios con derecho DELEGAR no pueden asignar permisos superiores a los que ostentan. Por ejemplo, si Marta puede EDITAR y DELEGAR en la página Financiera y DELEGAR en el grupo de usuarios del que Juan es miembro, Marta podrá asignar permisos VER o EDITAR para la página Financiera a Juan o a cualquier otro usuario del grupo de Juan. No obstante, Marta no puede asignar permiso GESTIONAR para esa página porque la propia Marta no tiene permiso GESTIONAR para ese lugar.
Los recursos creados recientemente tienen un estado inicial de control de acceso muy específico. Sólo el usuario que ha creado el recurso tiene permisos para ese recurso y el creador siempre tiene permisos GESTIONAR y DELEGAR para el nuevo recurso. Si el creador también tiene acceso al portlet Lista de control de acceso, ese usuario podrá otorgar a otros usuarios acceso a ese portlet dentro de las restricciones comentadas en el apartado sobre permisos DELEGAR. Los administradores del portal también pueden ver el nuevo recurso y, si es necesario, otorgarse a sí mismos permisos que les permitan compartir ese recurso con otros usuarios. Los usuarios deben tener el permiso mínimo actual o activo correcto para acceder a un recurso. Los permisos activos se pueden heredar de los grupos a los que el usuario o el grupo de usuarios pertenece. Los permisos mínimos actuales se otorgan a un usuario por el nombre en lugar de por su pertenencia como miembro a un grupo.
El portlet Lista de control de acceso define los derechos de acceso después de que el portal esté en ejecución; no obstante, durante la instalación de Portal Server, los derechos de acceso iniciales se asignarán para el administrador del portal y para diversos grupos de usuarios. A menos que haya creado un nuevo nombre de administrador del portal y una contraseña durante la instalación, el administrador por omisión del portal es wpsadmin en el grupo de usuarios wpsadmins. Si selecciona la instalación estándar y decide personalizar sus valores LDAP, podrá sustituir al usuario wpsadmin por otro; no obstante, ese usuario deberá tener una contraseña y existir en LDAP antes de realizar la instalación. El grupo de usuarios wpsadmins también se puede cambiar si el grupo de usuarios que desea que lo sustituya ya existe en LDAP. Si decide cambiar el administrador o el grupo de usuarios administradores, deberá seleccionar la opción de instalación estándar, personalizar la configuración de LDAP y suministrar la información de grupos de usuarios y de usuarios necesaria cuando se lo pida el Gestor de instalación. Cuando la base de datos se inicialice por primera vez, los permisos para el administrador y el grupo administrador del portal se establecen en GESTIONAR PORTAL, proporcionando a estos usuarios el control completo sobre el portal. Consulte Configuración LDAP para obtener más detalles sobre cómo trabajar con servidores de directorios.
Everyplace Access también configura permisos definidos en un archivo XML de configuración del portal para que el portal lo utilice inicialmente. El administrador y el grupo de administradores del portal tienen permisos GESTIONAR y DELEGAR sobre todos los recursos configurados del portal. El acceso VER se establece para todos los usuarios autenticados. Los usuarios anónimos tienen acceso VER a todos los recursos que forman parte de la página de bienvenida. Puede modificar estos derechos de acceso o asignar nuevos derechos de acceso utilizando el portlet Lista de control de acceso.
Nota: el administrador del portal y el grupo de administradores no disponen de permiso GESTIONAR sobre los usuarios como valor por omisión.
Para otorgar a un usuario acceso a un recurso, deberá tener permiso DELEGAR sobre el recurso y permiso DELEGAR sobre el usuario o sobre el grupo de usuarios del que el usuario sea miembro. Everyplace Access soporta niveles de delegación ilimitados. Por ejemplo, los administradores pueden crear un número ilimitado de subadministradores que, a su vez, también pueden crear un número ilimitado de subadministradores. Consulte Situación de gestión de acceso para obtener más información sobre cómo los administradores pueden utilizar los permisos GESTIONAR y DELEGAR.
Nicolás, director de la división de Marketing, es responsable de crear y mantener una página para la división y distintas páginas para los departamentos de la división. Las páginas y los portlets que contienen deben tener exactamente el mismo aspecto para todos los miembros de todos los departamentos. Los grupos MarketDiv, MarketUSA, MarketEurope y sus miembros ya están configurados en el directorio corporate. MarketUSA y MarketEurope son miembros del grupo MarketDiv.
El administrador del portal asigna acceso DELEGAR para los nuevos grupos de usuarios MarketDiv, MarketUSA y MarketEurope al usuario Nicolás. El administrador otorga a Nicolás permiso DELEGAR y EDITAR para el portlet Objetivos de marcación. Nicolás puede ahora editar los valores del portlet Objetivos de mercado. No podrá gestionar grupos de usuarios, tan sólo delegarles nuevos permisos.
| Grupo o usuario | Permiso | Objeto de recurso |
|---|---|---|
| Usuario:Nicolás | DELEGAR | Grupo de usuarios:MarketDiv |
| Usuario:Nicolás | DELEGAR | Grupo de usuarios:MarketUSA |
| Usuario:Nicolás | DELEGAR | Grupo de usuarios:MarketEurope |
| Usuario:Nicolás | DELEGAR y EDITAR | Portlet:Objetivos de mercado |
A continuación, el administrador proporcionará a Nicolás acceso VER para el portlet Lista de control de acceso para que puede colocar este portlet en una de sus páginas y pueda utilizarlo para crear nuevos permisos para los nuevos grupos de usuarios. Nicolás también tiene permiso para crear nuevas páginas en el portal. Cuando lo haga, recibirá automáticamente permiso DELEGAR y GESTIONAR para las páginas que ha creado.
| Grupo o usuario | Permiso | Objeto de recurso |
|---|---|---|
| Usuario:Nicolás | CREAR | Tipo de recurso de página |
| Usuario:Nicolás | VER | Portlet: Lista de control de acceso |
Ahora Nicolás puede crear las nuevas páginas para la división de Marketing y sus departamentos. Nicolás sólo puede hacer visibles estas páginas y sus portlets para los usuarios o grupos sobre los que tiene permiso DELEGAR. Después de personalizar la página Noticias del mercado con el portlet Objetivos del mercado, pone la página a disposición del grupo MarketDiv, otorgando al grupo acceso VER para la página y el portlet. Esta acción permite a todos los miembros del grupo MarketDiv, incluidos los miembros de los grupos MarketUSA y MarketEurope, ver la página preconfigurada y que su pestaña aparezca en su portal.
| Grupo o usuario | Permiso | Objeto de recurso |
|---|---|---|
| Usuario:Nicolás | DELEGAR y GESTIONAR | Página:Noticias del mercado |
| Grupo de usuarios:MarketDiv | VER | Página:Noticias del mercado |
| Grupo de usuarios:MarketDiv | VER | Portlet:Objetivos de mercado |
Nicolás crea la página Noticias del mercado EE.UU. y la personaliza con el portlet Objetivos de mercado. Después pone la página a disposición del grupo MarketUSA, otorgando al grupo acceso VER para la página y el portlet. Esta acción permite a todos los miembros del grupo MarketUSA ver la página preconfigurada y que su pestaña aparezca en su portal.
A continuación, Nicolás personaliza la página Noticias del mercado Europa con el portlet Objetivos de mercado y hace disponible la página al grupo MarketEurope otorgándoles acceso VER para la página y el portlet. Esta acción permite a todos los miembros del grupo MarketEurope ver la página preconfigurada y que aparezca su pestaña en el portal.
| Grupo o usuario | Permiso | Objeto de recurso |
|---|---|---|
| Usuario:Nicolás | DELEGAR y GESTIONAR | Página:Noticias del mercado EE.UU. |
| Grupo de usuarios:MarketUSA | VER | Página:Noticias del mercado EE.UU. |
| Usuario:Nicolás | DELEGAR y GESTIONAR | Página:Noticias del mercado Europa |
| Grupo de usuarios:MarketEurope | VER | Página:Noticias del mercado Europa |
Esto permite a los miembros del grupo de usuarios MarketUSA ver la página Noticias del mercado EE.UU. y el portlet Objetivos de mercado como está configurado en esta página. Los miembros del grupo de usuarios MarketEurope pueden ver la página Noticias del mercado Europa. Ambos grupos pueden ver la página Noticias del mercado. Nicolás gestiona las tres páginas de noticias y puede editar los valores del portlet Objetivos de mercado.
Ahora, Nicolás delega la gestión de la página Noticias del mercado Europa en Antonio, que es miembro del grupo de usuarios MarketEurope. Nicolás sólo asigna permiso EDITAR para la página a Antonio. Por lo tanto, Antonio puede modificar la página pero no puede gestionarla, lo que significa que no puede realizar tareas globales como la supresión de la página. Antonio puede ver el portlet Objetivos de mercado porque es miembro del grupo de usuarios MarketEurope, pero sigue sin poder editar los valores del portlet. El permiso DELEGAR sólo le permite delegar sus derechos de acceso en otros usuarios o grupos de usuarios.
| Grupo o usuario | Permiso | Objeto de recurso |
|---|---|---|
| Usuario:Antonio | DELEGAR y EDITAR | Página:Noticias del mercado Europa |
| Usuario:Antonio | DELEGAR | Portlet:Objetivos de mercado |
Como Nicolás ha otorgado a Antonio permiso DELEGAR, Antonio puede ahora delegar y gestionar el grupo de usuarios SalesEurope. Antonio puede dar a los miembros de este grupo permiso para ver la página y su portlet, pero también puede delegar permisos GESTIONAR, EDITAR o VER a los miembros del grupo. Como tiene permisos EDITAR en la página Noticias del mercado Europa, Antonio puede personalizar sus valores personales para la página pero otros usuarios no verán los cambios que realice en la página. La siguiente tabla ilustra los permisos de acceso individuales de Antonio.
| Grupo o usuario | Permiso | Resource object |
|---|---|---|
| Usuario:Antonio | DELEGAR y GESTIONAR | Grupo de usuarios:SalesEurope |
| Grupo de usuarios:SalesEurope | VER | Página:Noticias del mercado Europa |
| Grupo de usuarios:SalesEurope | VER | Portlet:Objetivos de mercado |
| Información relacionada |
|---|