Manual del administrador para la seguridad de
Manual del administrador para la seguridad de BusinessObjects Planning BusinessObjects Planning XI Release 2 Copyright © 2007 Business Objects. Reservados todos los derechos. Business Objects es propietaria de las siguientes patentes de EE.UU., que pueden incluir productos ofrecidos y con licencia de Business Objects: 5,555,403; 6,247,008; 6,289,352; 6,490,593; 6,578,027; 6,768,986; 6,772,409; 6,831,668; 6,882,998 y 7,139,766. Business Objects y el logotipo de Business Objects, BusinessObjects, Crystal Reports, Crystal Xcelsius, Crystal Decisions, Intelligent Question, Desktop Intelligence, Crystal Enterprise, Crystal Analysis, Web Intelligence, RapidMarts y BusinessQuery son marcas comerciales o marcas comerciales registradas de Business Objects en los Estados Unidos y/u otros países. Todos los demás nombres aquí mencionados pueden ser marcas comerciales de sus respectivos propietarios. Terceros contribuyentes Los productos de Business Objects de esta versión pueden contener redistribuciones de software con licencia de terceros contribuyentes. Algunos de estos componentes individuales también pueden estar disponibles bajo licencias alternativas. Una lista parcial de terceros contribuyentes que han solicitado o permitido que se mencionen, así como los avisos necesarios, se puede encontrar en: http://www.businessobjects.com/thirdparty Contenido Capítulo 1 Introducción 7 Acerca de este manual................................................................................8 Quién debe leer este manual.................................................................8 Recursos de información de Business Objects...........................................9 Capítulo 2 Información general sobre la administración de seguridad 11 Responsabilidades de la administración de seguridad en BusinessObjects Planning.....................................................................................................12 Acerca del sistema de autenticación principal...........................................13 ¿En qué consiste un sistema?.............................................................13 Requisitos de configuración de usuarios.............................................13 Administración de usuarios entre sistemas .........................................14 Para designar el sistema de autenticación principal.................................15 Efectos de un cambio de sistema de autenticación principal...............15 Flujo de trabajo de seguridad con varios sistemas...................................16 Capítulo 3 Integración de seguridad 19 Opciones de integración de seguridad......................................................20 Comportamiento del inicio de sesión con integración de seguridad.........22 Habilitar la integración de seguridad.........................................................23 Para seleccionar una opción de integración de seguridad..................23 Para definir los dominios disponibles para integración de seguridad...24 Capítulo 4 Integración de Active Directory 27 Funciones de importación de usuarios de Active Directory.......................28 Acerca de los usuarios importados......................................................29 Manual del administrador para la seguridad de BusinessObjects Planning 3 Contenido Propiedades importadas de Active Directory.......................................29 Gestionar jerarquías de grupo..............................................................30 Limitaciones de la integración de Active Directory...............................31 Proceso de importación de usuarios.........................................................31 Configurar los parámetros de importación de usuario de Active Directory.32 Para configurar los parámetros de importación de Active Directory.....33 Para seleccionar grupos de Active Directory para su importación..34 Consideraciones al seleccionar grupos de Active Directory para importar.....................................................................................35 Para seleccionar sistemas de destino para la importación de usuarios de Active Directory..........................................................................35 Para definir la configuración de asignación de propiedades para la importación de usuarios de Active Directory..................................37 Para habilitar o deshabilitar sistemas para la importación de usuarios de Active Directory..........................................................................37 Para exportar los parámetros de importación de Active Directory.......38 Importación de grupos y usuarios de Active Directory..............................39 Para importar usuarios de Active Directory..........................................39 Para programar una importación de usuarios de Active Directory para que se ejecute automáticamente.........................................................40 Reglas de importación de Active Directory..........................................41 Reconciliar usuarios existentes con Active Directory................................43 Reglas de reconciliación de usuarios...................................................44 Para reconciliar usuarios de Active Directory con usuarios existentes de BusinessObjects Planning....................................................................45 Capítulo 5 Integración de Siteminder 47 Requisitos de integración de SiteMinder...................................................48 Para habilitar la integración de SiteMinder en Planning Configuration Manager.....................................................................................................48 Configuración de integración de Siteminder........................................49 Configuración de SiteMinder para utilizar con BusinessObjects Planning.50 4 Manual del administrador para la seguridad de BusinessObjects Planning Contenido Para configurar el entorno de Planning en SiteMinder........................50 Niveles de protección para la integración de SiteMinder................51 Para ajustar la configuración de Agent Config Objects para usar con Web Reports.................................................................................................51 Para editar la configuración de registro de SiteMinder para usar con Web Checkout..............................................................................................52 Registro en Enterprise Desktop con la integración de SiteMinder............52 Capítulo 6 Funciones de administración de seguridad 53 Administración de contraseñas.................................................................54 Configuración de administración de contraseñas................................55 Registro de auditorías................................................................................57 Para ver el registro de auditorías.........................................................57 Para filtrar el registro de auditorías......................................................59 Para exportar el contenido del registro de auditorías..........................60 Actividades registradas........................................................................60 Archivar y depurar el registro de auditorías.........................................63 Bloquear usuarios......................................................................................63 Para ver una lista de los usuarios conectados..........................................64 Para exportar una lista de usuarios y grupos............................................65 Contenido de informes de usuario.......................................................65 Índice 67 Manual del administrador para la seguridad de BusinessObjects Planning 5 Contenido 6 Manual del administrador para la seguridad de BusinessObjects Planning Introducción 1 1 Introducción Acerca de este manual Acerca de este manual En este manual se explican conceptos y procedimientos de la administración de seguridad para BusinessObjects™ Planning. La información de este manual supone que dispone de una instalación de BusinessObjects Planning en uso. Para obtener la información sobre la instalación, consulte el Manual de instalación de BusinessObjects Planning. En este manual se tratan los siguientes temas: • • • • • Sistema de autenticación principal Opciones de integración de seguridad Integración de Microsoft® Active Directory® Integración de SiteMinder Funciones de administración de seguridad En este manual no se tratan los siguientes temas: • • • Crear manualmente usuarios y grupos de seguridad Establecer derechos de acceso de usuario Integración de usuarios de BusinessObjects Para obtener información sobre los temas de seguridad que no incluye este manual, consulte la Ayuda en pantalla de Planning Professional Edition o el Manual del administrador de Planning Professional Edition. Para obtener información sobre la integración de usuarios de BusinessObjects, consulte el Manual de integración de BusinessObjects Planning con BusinessObjects XI. Quién debe leer este manual Generalmente, la administración de seguridad de BusinessObjects Planning se gestiona en el departamento de Tecnología de la información de la organización. La persona que se ocupe de la administración de seguridad debe estar familiarizada con los conceptos generales de seguridad así como con las tecnologías específicas de administración de seguridad como Active Directory. 8 Manual del administrador para la seguridad de BusinessObjects Planning Introducción Recursos de información de Business Objects Recursos de información de Business Objects Documentación Puede acceder a la documentación desde la interfaz del producto, la Web o la distribución del producto. Para conocer la documnentación disponible para BusinessObjects Planning, consulte la Guía para la documentación de BusinessObjects Planning. El conjunto completo de documentación electrónica (incluida la guía) se encuentra en la Web en http://support.businessobjects.com/documentation/, o en la distribución del producto en la carpeta \Documents. Soporte al cliente en línea El sitio Web de soporte al cliente de Business Objects contiene información sobre los programas y servicios de soporte al cliente. También contiene vínculos a una gran variedad de información técnica, incluidos artículos de la base de conocimientos, descargas y foros de asistencia. http://www.businessobjects.com/support/ ¿Está buscando la solución de despliegue más adecuada para su empresa? Los consultores de Business Objects pueden acompañarle desde la fase de análisis inicial hasta la entrega de su proyecto de despliegue. Tenemos experiencia en bases de datos relacionales y multidimensionales, conectividades, herramientas de diseño de bases de datos, administración del rendimiento y planificación, tecnología de incorporación personalizada y en más campos. Para obtener más información, póngase en contacto con su representante de ventas o con nosotros en: http://www.businessobjects.com/services/consulting/ ¿Busca opciones de formación? Podemos ofrecerle desde cursos tradicionales presenciales hasta seminarios concretos de e-learning, podemos ofrecerle un paquete de formación que Manual del administrador para la seguridad de BusinessObjects Planning 9 1 1 Introducción Recursos de información de Business Objects se adapte a sus necesidades de aprendizaje y al estilo de enseñanza que prefiera. Consulte más información en el sitio Web de formación de Business Objects: http://www.businessobjects.com/services/training Envíenos sus comentarios ¿Tiene alguna sugerencia sobre cómo podemos mejorar la documentación? ¿Hay algo en particular que le gusta o que ha encontrado útil? Envíenos unas líneas y haremos todo lo posible por garantizar que su sugerencia esté incluida en la próxima versión de nuestra documentación: [email protected] Nota: Si su problema se refiere a un producto de Business Objects y no a la documentación, póngase en contacto con nuestros expertos en soporte al cliente. Para obtener información sobre Asistencia al cliente, visite: http://www.businessobjects.com/support/. 10 Manual del administrador para la seguridad de BusinessObjects Planning Información general sobre la administración de seguridad 2 2 Información general sobre la administración de seguridad Responsabilidades de la administración de seguridad en BusinessObjects Planning Responsabilidades de la administración de seguridad en BusinessObjects Planning La administración de seguridad en BusinessObjects Planning supone un esfuerzo de colaboración entre el departamento de Tecnología de la información y el administrador del sistema BusinessObjects Planning (o el "usuario principal del sistema"). La autenticación de usuarios de BusinessObjects Planning se controla mediante un sistema de autenticación principal definido. Los usuarios y grupos se pueden importar de orígenes admitidos como Active Directory, o bien se pueden crear manualmente en BusinessObjects Planning. Los derechos de acceso de cada usuario en BusinessObjects Planning se controlan por sistema. El acceso del usuario se puede controlar en diferentes niveles, como por función o por área principal de menús. Los usuarios también pueden estar limitados a un subconjunto específico de datos. Las responsabilidades de la administración de seguridad por lo general se dividen entre el departamento de Tecnología de la información y el usuario principal del sistema, como se explica en la siguiente tabla: Departamento de Tecnología de la informa- Usuario principal del sistema ción • • • Definición de parámetros de configuración • de seguridad como el sistema de autenticación principal y la integración de seguri- • dad Configuración e inicio de importaciones de usuario desde Active Directory Definición de reglas de administración de contraseñas Definición de derechos de acceso de usuario y grupo a cada sistema Creación manual de usuarios y grupos (si no se habilita la integración con Active Directory) Otras responsabilidades relacionadas con la seguridad, como la revisión y el archivo del registro de seguridad, por lo general se comparten. 12 Manual del administrador para la seguridad de BusinessObjects Planning Información general sobre la administración de seguridad Acerca del sistema de autenticación principal En este manual se tratan las responsabilidades del departamento de Tecnología de la información. Para obtener información más detallada sobre las responsabilidades del usuario principal del sistema, consulte la Ayuda en pantalla de Planning Professional Edition o el Manual del administrador de Planning Professional Edition. Acerca del sistema de autenticación principal Todas las implementaciones de BusinessObjects Planning deben designar un sistema como sistema de autenticación principal. El sistema principal de autenticación controla el acceso de los usuarios a todos los sistemas BusinessObjects Planning definidos en el entorno. ¿En qué consiste un sistema? Un "sistema" es un directorio de usuario y una base de datos únicos de BusinessObjects Planning. Puede que su organización haya adquirido licencias para uno o varios sistemas y los haya implementado. Por ejemplo, puede que tenga licencia para dos aplicaciones de BusinessObjects Planning, una para presupuestos y otra para previsiones. Cada una de estas aplicaciones dispone de un directorio de usuario y una base de datos únicos, por lo que deben definirse en Configuration Manager como sistemas independientes. No siempre existe un directorio de usuario y una base de datos independientes para cada aplicación de BusinessObjects Planning. Por ejemplo, las planificaciones de presupuestos y de nóminas generalmente se implementan con un solo directorio de usuario y una sola base de datos. En este caso, sólo es necesario definir un sistema. Requisitos de configuración de usuarios El sistema de autenticación principal incluye la lista de usuarios de todos los sistemas. Los derechos específicos de acceso de cada usuario (incluidas las asignaciones a grupos) se definen para cada sistema y deben administrarse en cada sistema individual. Manual del administrador para la seguridad de BusinessObjects Planning 13 2 2 Información general sobre la administración de seguridad Acerca del sistema de autenticación principal Si su organización dispone de un único sistema BusinessObjects Planning, éste será el sistema principal de autenticación y sólo habrá que administrar una instancia de parámetros de seguridad. Para ver y administrar parámetros de seguridad para un sistema concreto, inicie sesión en ese sistema utilizando Professional Edition y acceda a Parámetros de seguridad. Con la excepción de la información de usuario (nombre, apellido, dirección de correo electrónico y contraseña), la configuración definida en un sistema no se puede heredar en otro. Administración de usuarios entre sistemas BusinessObjects Planning admite dos métodos de creación de usuarios. Los usuarios pueden importarse de un origen compatible o pueden crearse manualmente dentro de un sistema. Cuando se importan usuarios de un origen compatible, los grupos y usuarios se pueden importar a la vez en el Sistema de autenticación principal y en todos los sistemas adicionales. Si bien todavía debe definir los parámetros específicos de seguridad en cada sistema, los usuarios y grupos se crean automáticamente en todos los sistemas seleccionados. Cada vez que se agrega un usuario a un sistema distinto del sistema de autenticación principal, BusinessObjects Planning comprueba si el usuario ya existe en el sistema de autenticación principal. • • Si existe, BusinessObjects Planning utiliza la información de usuario existente para configurar el usuario en el sistema distinto del sistema de autenticación principal. Si el usuario no existe, se crea en el sistema de autenticación principal y se asigna a su grupo Sin acceso a Planning. El grupo Sin acceso a Planning es un grupo de seguridad estándar de BusinessObjects Planning. Este grupo ha sido diseñado para permitir la autenticación de usuarios en BusinessObjects Planning y, al mismo tiempo, impedir su acceso a las funciones de seguridad, a los datos o a los libros de planes. Si lo desea, puede editar los usuarios para quitar la asignación al grupo Sin acceso a Planning o para permitir determinados derechos. Si se elimina un usuario del sistema de autenticación principal, también se elimina en todos los sistemas. Si se elimina un usuario de un sistema distinto 14 Manual del administrador para la seguridad de BusinessObjects Planning Información general sobre la administración de seguridad Para designar el sistema de autenticación principal del sistema de autenticación principal, el usuario sólo pierde el acceso a dicho sistema. Nota: Los grupos de seguridad no se comparten entre los sistemas. Incluso si importa un grupo en varios sistemas, el grupo existirá como entidad exclusiva dentro de cada uno de ellos. Para designar el sistema de autenticación principal El sistema de autenticación principal se establece en Configuration Manager. Para obtener información detallada sobre Configuration Manager, consulte el Manual de instalación de BusinessObjects Planning. 1. En el servidor que aloja Planning Application Server, elija Inicio > Programas > BusinessObjects EPM > BusinessObjects EPM Tools > BusinessObjects Planning > Configuration Manager. 2. En el menú del panel izquierdo, seleccione Global Parameters > Security. En el panel derecho aparecen las opciones de configuración de seguridad. 3. En la lista Primary Authentication System, seleccione el sistema que desea. Después de definir el sistema de autenticación principal, no debe cambiarse. El cambio posterior de este parámetro afecta al sistema y no se recomienda. Efectos de un cambio de sistema de autenticación principal Una vez definido, el sistema de autenticación principal no debería cambiarse. El cambio posterior de este parámetro afecta al sistema y no se recomienda. Entre los posibles efectos de un cambio de sistema de autenticación principal se incluyen: • Los usuarios que estaban definidos en el sistema de autenticación principal anterior pero no en el nuevo no podrán acceder a BusinessObjects Planning. Es preciso copiar dichos usuarios al sistema de autenticación principal. Manual del administrador para la seguridad de BusinessObjects Planning 15 2 2 Información general sobre la administración de seguridad Flujo de trabajo de seguridad con varios sistemas • • Los usuarios dejarán de tener acceso a favoritos Web o avisos que se hayan guardado antes del cambio. Los favoritos Web y los avisos se guardan en la base de datos del sistema de autenticación principal. La carpeta \ServerRootSplash debe colocarse en el directorio de usuario del nuevo sistema de autenticación principal. Flujo de trabajo de seguridad con varios sistemas En este tema se explica el flujo de trabajo básico al definir parámetros de seguridad de usuario para varios sistemas. Después de configurar BusinessObjects Planning y elegir un sistema de autenticación principal, puede configurar los grupos y los usuarios individuales. Crear usuarios y grupos manualmente 1. Dentro de cada sistema debe crear los grupos necesarios para el mismo y definir los parámetros de seguridad para cada grupo. Los grupos no se comparten entre sistemas. Cada grupo existe como una entidad aparte de las demás en el mismo sistema, tanto si el grupo se ha creado manualmente como si se ha importado como parte de una importación de usuario. Un mismo nombre de grupo se puede usar en varios sistemas. El grupo de administradores integrado es exclusivo para cada sistema. Si se añade un usuario al grupo de administradores dentro de un sistema, ese usuario tendrá derechos de administrador únicamente para ese sistema. 2. Dentro de cada sistema, agregue cada usuario que requiera acceso al mismo y defina los parámetros de seguridad de cada usuario para ese sistema (incluidas las posibles asignaciones de grupo). No es preciso definir de antemano todos los usuarios del sistema de autenticación principal; simplemente añada usuarios a los sistemas para los que requieran acceso. El sistema de autenticación principal se actualizará según se requiera, de acuerdo con las reglas siguientes: • 16 Si agrega un usuario a un sistema y el ID de usuario ya existe en el sistema de autenticación principal, el software se lo notificará y copiará Manual del administrador para la seguridad de BusinessObjects Planning Información general sobre la administración de seguridad Flujo de trabajo de seguridad con varios sistemas • la información del usuario al sistema actual. No se copian parámetros de seguridad, sino sólo datos de usuario como el nombre, los apellidos y la dirección de correo electrónico. Si agrega un usuario a un sistema y el ID de usuario aún no existe en el sistema de autenticación principal, el usuario se copiará al sistema de autenticación principal. En el sistema de autenticación principal el usuario se asigna al grupo Sin acceso a Planning. Posteriormente podrá editar los parámetros de ese usuario en el sistema de autenticación principal, si el usuario requiere acceso al mismo. De no ser así, no es preciso realizar ninguna acción para ese usuario en el sistema de autenticación principal. Importar usuarios y grupos Si importa usuarios, tanto los usuairos como los grupos se crean al ejecutar la importación; aparte de esta diferencia, las reglas aplicadas son las mismas que al crear usuarios manualmente. 1. Dentro del sistema de autenticación principal, configure los parámetros de importación del usuario. Para cada grupo que se vaya a importar, los sistemas de destino deberían ser únicamente aquellos para los que requieran acceso los usuarios pertenecientes al grupo. No es preciso especificar el sistema de autenticación principal como destino de importación a menos que los usuarios dentro del grupo requieran acceso a ese sistema. 2. Ejecute la importación de usuarios. Los grupos y usuarios importados se crean en el sistema de destino requerido. Por lo que respecta al sistema de autenticación principal, los usuarios y grupos se crean del modo siguiente: • Si se especifica el sistema de autenticación principal como destino de importación, el grupo importado y sus usuarios se crearán en el sistema de autenticación principal y los usuarios importados se asignan a ese grupo. • Si no se especifica el sistema de autenticación principal como destino de importación para un grupo, los usuarios del grupo se crearán en el sistema de autenticación principal y se asignarán al grupo Sin acceso a Planning. No es preciso realizar ninguna otra acción para estos usuarios dentro del sistema de autenticación principal. 3. Dentro de cada sistema, defina los parámetros de seguridad para cada grupo y cada usuario importado. Manual del administrador para la seguridad de BusinessObjects Planning 17 2 2 Información general sobre la administración de seguridad Flujo de trabajo de seguridad con varios sistemas El método más sencillo consiste en definir primero la configuración de grupo y luego definir cualquier configuración de parámetros específicos de usuario. Añadir un sistema a una implementación existente Si añade a su implementación de BusinessObjects Planning un sistema nuevo que ya contiene usuarios, debe ejecutar la Utilidad de copia de usuarios en Parámetros de seguridad para copiar los usuarios nuevos al sistema de autenticación principal. Los usuarios añadidos al sistema de autenticación principal se asignarán al grupo Sin acceso a Planning. Si el sistema nuevo no contiene ningún usuario, o si los que contiene ya están definidos en el sistema de autenticación principal (con los mismos identificadores de usuario), no es necesario ejecutar la Utilidad de copia de usuarios. En caso de duda, puede ejecutar dicha utilidad: simplemente no realizará ninguna acción si no encuentra usuarios que no existan aún en el sistema de autenticación principal. Los usuarios definidos después de haberse agregado el sistema a la implementación de BusinessObjects Planning se gestionarán del modo habitual. 18 Manual del administrador para la seguridad de BusinessObjects Planning Integración de seguridad 3 3 Integración de seguridad Opciones de integración de seguridad BusinessObjects Planning admite varias opciones de integración de seguridad, incluidas: • • La capacidad de importar usuarios y grupos de Active Directory en BusinessObjects Planning. La posibilidad de autenticar usuarios basándose en sus credenciales de red. Nota: BusinessObjects Planning también admite la posibilidad de importar usuarios y grupos de BusinessObjects Enterprise. Esta funcionalidad es parte del conjunto de funciones de integración de BusinessObjects, y se trata en el manual independiente Manual de integración de BusinessObjects Planning con BusinessObjects XI. Estas funciones se excluyen mutuamente; puede activar bien la integración de BusinessObjects o bien una de las opciones de integración de seguridad que se explican en este capítulo. Opciones de integración de seguridad BusinessObjects Planning admite tres tipos de integración de seguridad: Desktop, Active Directory implícita y Active Directory explícita. De forma predeterminada, la integración de seguridad no está habilitada. Escritorio La integración Desktop permite validar usuarios basándose en sus credenciales de red. Si el nombre de inicio de sesión en red de un usuario coincide con un nombre de usuario válido en BusinessObjects Planning, este usuario no necesita proporcionar otras credenciales para acceder a BusinessObjects Planning. Los usuarios deben crearse manualmente en BusinessObjects Planning. La opción Desktop equivale a la antigua función de integración de red de versiones anteriores del software. Para habilitar este tipo de integración de seguridad, seleccione Desktop como opción de habilitación de integración en Configuration Manager. Si está habilitada la integración Desktop, se aplican las siguientes consideraciones: • 20 El nombre de usuario en BusinessObjects Planning de cada usuario debe ser el mismo que su nombre de usuario en red. Manual del administrador para la seguridad de BusinessObjects Planning Integración de seguridad Opciones de integración de seguridad • Todos los usuarios deben tener asignada una contraseña en BusinessObjects Planning, para impedir el acceso no autorizado. Se pueden utilizar las funciones de contraseña predeterminada de BusinessObjects Planning para garantizar que se asigna una contraseña a todos los usuarios. Nota: La opción de integración Desktop también se puede utilizar para activar la integración de SiteMinder para las opciones de acceso Web. Active Directory implícita La integración Active Directory implícita permite un inicio de sesión integrado y la posibilidad de importar usuarios de Active Directory. Si el ID de usuario en Windows de un usuario coincide con un ID de usuario importado en BusinessObjects Planning, y el usuario ha iniciado sesión en un dominio reconocido, este usuario no necesita proporcionar otras credenciales para acceder a BusinessObjects Planning. Los grupos y usuarios de Active Directory se pueden importar en BusinessObjects Planning utilizando las funciones de importación de Professional Edition. Estas funciones de importación sólo están a disposición de los administradores y sólo se encuentran en el sistema de autenticación principal. Para habilitar este tipo de integración de seguridad, seleccione ADSImplicit como opción de habilitación de integración en Configuration Manager. Active Directory explícita La integración Active Directory explícita se diferencia de la integración Active Directory implícita en que los usuarios siempre deben proporcionar su contraseña de Windows para acceder a BusinessObjects Planning. Para habilitar este tipo de integración de seguridad, seleccione ADSExplicit como opción de habilitación de integración en Configuration Manager. Nota: La opción de integración de seguridad ADSExplicit no se admite en entornos que usen Novell Netware. Temas relacionados • Integración de Siteminder en la página 47 Manual del administrador para la seguridad de BusinessObjects Planning 21 3 3 Integración de seguridad Comportamiento del inicio de sesión con integración de seguridad Comportamiento del inicio de sesión con integración de seguridad El cuadro de diálogo de inicio de sesión de BusinessObjects Planning se presenta prácticamente siempre a los usuarios. Incluso si el usuario no debe introducir una contraseña, puede que deba seleccionar un sistema específico al que acceder. La excepción es Enterprise Desktop:– si están habilitadas las integraciones Desktop o Active Directory implícita, los usuarios no ven la página de inicio de sesión de Enterprise Desktop y acceden directamente a la página de inicio. El modo en que los usuarios integrados inician una sesión depende de la opción de acceso. Nota: Los siguientes temas sólo se aplican a la integración de Active Directory o Desktop, no a la integración de BusinessObjects. Para obtener información sobre la integración de BusinessObjects, consulte el Manual de integración de BusinessObjects Planning con BusinessObjects XI. Professional Edition Si está activada la integración de seguridad, en el diálogo de inicio de sesión de Professional Edition aparece un campo denominado Autenticación. Si el usuario inicia sesión en un dominio aprobado y el software encuentra una coincidencia para las credenciales del usuario, se selecciona de modo predeterminado el tipo de autenticación apropiado. En caso contrario, el usuario puede elegir el tipo de autenticación de Planning con el que iniciar la sesión utilizando un nombre de usuario y contraseña de BusinessObjects Planning. Acceso Web En el caso de Enterprise Desktop o un inicio de sesión Web independiente, la sintaxis URL determina si se aplica el inicio de sesión predeterminado o integrado. Para obtener más información sobre el inicio de sesión Web independiente y de Enterprise Desktop, consulte el Manual de instalación de BusinessObjects Planning. • 22 Si se usa la página de inicio de sesión integrado (loginedi.aspx o lo ginsai.aspx), el software intentará autenticar el usuario basándose en el tipo de integración de seguridad activado. Si el software no encuentra Manual del administrador para la seguridad de BusinessObjects Planning Integración de seguridad Habilitar la integración de seguridad ninguna coincidencia para las credenciales del usuario, el usuario no podrá iniciar una sesión mediante esta página. El usuario debe utilizar la página de inicio de sesión predeterminada. • Si se usa la página de inicio de sesión predeterminada (logined.aspx o loginsa.aspx), el usuario puede utilizar el campo Autenticación para seleccionar un tipo de autenticación (de Planning o el tipo de integración de seguridad activado). Habilitar la integración de seguridad La integración de seguridad se habilita en Configuration Manager. Para obtener información detallada sobre Configuration Manager, consulte el Manual de instalación de BusinessObjects Planning. Para abrir Configuration Manager, seleccione Inicio > Programas > BusinessObjects EPM > BusinessObjects EPM Tools > BusinessObjects Planning > Configuration Manager en el servidor que aloja Planning Application Server. Para seleccionar una opción de integración de seguridad 1. En la estructura de árbol del panel izquierdo, seleccione Global Parameters > Security. En el panel derecho aparecen las opciones de configuración de seguridad. 2. En la lista Integration Enablement, seleccione una de las siguientes opciones: Opción Descripción Escritorio habilita el inicio de sesión integrado basado en credenciales de red. También se puede usar para activar la integración de SiteMinder. ADSImplicit habilita el inicio de sesión integrado basado en credenciales de Windows y la posibilidad de importar usuarios y grupos de Active Directory. Manual del administrador para la seguridad de BusinessObjects Planning 23 3 3 Integración de seguridad Habilitar la integración de seguridad Opción Descripción ADSExplicit habilita la posibilidad de importar usuarios y grupos de Active Directory. Los usuarios deben proporcionar su contraseña de Windows para acceder al sistema. None No se habilita la integración de seguridad y todos los usuarios deben proporcionar un nombre de usuario y una contraseña de BusinessObjects Planning para acceder al sistema. Ésta es la configuración predeterminada. Nota: Si se habilita la integración ADSImplicit o ADSExplicit, la cuenta de usuario del servidor de aplicaciones de Planning (cuenta de servicio de Planning) debe tener privilegios suficientes para ver Active Directory. • • Si se selecciona una opción diferente a None, también debe definir los dominios disponibles para la integración de la seguridad. Si está activada la integración de Active Directory (ADSImplicit o ADSExplicit), asegúrese de que también se han seleccionado los parámetros Server Host Name y Server Port del nodo Global Parameters > Application Server. Para definir los dominios disponibles para integración de seguridad Si la integración está habilitada (Integration Enablement está definido con un valor distinto de None), deben definir los dominios disponibles. Para los fines de inicio de sesión integrado, BusinessObjects Planning sólo reconoce los usuarios conectados en los dominios incluidos en la lista Available Domains. 1. Expanda el nodo Security y seleccione Available Domains. En el panel derecho aparece la cuadrícula Available Domains. 2. Escriba un nombre de dominio en la celda en blanco. En la cuadrícula siempre hay una celda en blanco visible. Cuando empieza a escribir en una celda en blanco, bajo ella se crea automáticamente otra celda en blanco nueva. 24 Manual del administrador para la seguridad de BusinessObjects Planning Integración de seguridad Habilitar la integración de seguridad 3. Repita este proceso (un nombre de dominio por celda) hasta que disponga de todos los dominios que desea reconocer para la integración de seguridad. Todos los dominios incluidos deben pertenecer al mismo bosque. Manual del administrador para la seguridad de BusinessObjects Planning 25 3 3 Integración de seguridad Habilitar la integración de seguridad 26 Manual del administrador para la seguridad de BusinessObjects Planning Integración de Active Directory 4 4 Integración de Active Directory Funciones de importación de usuarios de Active Directory En este capítulo se proporciona una descripción general de las funciones de importación de Active Directory en Professional Edition e instrucciones para configurar y ejecutar una importación. La integración de Active Directory debe estar habilitada para poder utilizarse. Para obtener información detallada sobre la habilitación de la integración de Active Directory, consulte Habilitar la integración de seguridad en la página 23. Nota: A la función Integración de Active Directory sólo pueden acceder los administradores que pertenezcan al sistema principal de autenticación. Aunque los usuarios y los grupos pueden importarse en cualquier sistema, la importación debe administrarse desde el sistema principal de autenticación. Funciones de importación de usuarios de Active Directory Si está habilitada la integración de Active Directory, se muestra un nuevo comando en Professional Edition llamado Integración de Active Directory. Este comando sólo está disponible en el sistema de autenticación principal y sólo pueden acceder a él los administradores. Además, el usuario administrador debe estar conectado en Windows con una cuenta de usuario de dominio con privilegios suficientes para ver los grupos y usuarios de Active Directory. El cuadro de diálogo Integración de Active Directory permite realizar las siguientes tareas: • • • • • • • 28 Seleccionar grupos de Active Directory para importar desde diferentes dominios Establecer los sistemas BusinessObjects Planning de destino para cada grupo Asignar las propiedades de usuario de Active Directory a las propiedades de usuario de BusinessObjects Planning asociadas Habilitar o deshabilitar sistemas BusinessObjects Planning específicos para la importación. Guardar los parámetros de configuración de la importación Exportar los parámetros de configuración de la importación Iniciar una importación de Active Directory. Manual del administrador para la seguridad de BusinessObjects Planning Integración de Active Directory Funciones de importación de usuarios de Active Directory Una vez guardados los parámetros de configuración de la importación, puede programar las importaciones de Active Directory para que las ejecute automáticamente la utilidad Scheduler. Acerca de los usuarios importados El uso de las funciones de integración de usuarios introduce el concepto de dos tipos de usuarios: ”usuarios importados" y “usuarios de BusinessObjects Planning”. Los términos "usuario impoartado" y "grupo importado hacen referencia a usuario y grupos que se han importado a BusinessObjects Planning desde una fuente externa y que se mantienen sincronizados con la fuente original. Los términos "usuario de BusinessObjects Planning" y "grupo de BusinessObjetcs Planning" hacen referencia a usuarios y grupos creados en BusinessObjects Planning o usuarios y grupos que se han convertido al formato de BusinessObjects Planning. Todos los usuarios y grupos importados se marcan con la casilla Importado situada en la parte superior de las fichas Información de usuario o Información de grupo de Parámetros de seguridad. Si la casilla de verificación Importado está marcada, el usuario o grupo se sincronizará con la fuente durante cualquier importación futura. Puede convertir un usuario o un grupo importado en un usuario o grupo de BusinessObjects Planning si anula la selección de la casilla Importado. Si un usuario importado se convierte, dicho usuario quedará totalmente administrado por BusinessObjects Planning y no se verá afectado por importaciones futuras. Esta conversión no se puede anular. Propiedades importadas de Active Directory Se importan las siguientes propiedades desde Active Directory: nombre, apellido y dirección de correo electrónico. Estas propiedades no se pueden editar en BusinessObjects Planning mientras el usuario siga marcado como un usuario importado. Se actualizan en las importaciones posteriores de Active Directory. Las asignaciones de grupo de los usuarios importados se sincronizan como parte de la importación de Active Directory. Sin embargo, también puede Manual del administrador para la seguridad de BusinessObjects Planning 29 4 4 Integración de Active Directory Funciones de importación de usuarios de Active Directory asignar usuarios importados a grupos de BusinessObjects Planning. Estas asignaciones a grupos de BusinessObjects Planning no se ven afectadas por posteriores importaciones de Active Directory. Cuando importa un grupo de Active Directory por primera vez, se le asignan un conjunto de filtros que impiden el acceso a los datos y a los libros de planes. Ésta es una medida de seguridad diseñada para impedir que los nuevos usuarios importados tengan acceso completo al sistema mientras se establecen las propiedades de seguridad específicas del grupo y de los usuarios importados. Si se importa un nuevo usuario en un grupo existente, el usuario hereda los parámetros de seguridad establecidos para el grupo y no se le aplican restricciones adicionales. Temas relacionados • Reglas de importación de Active Directory en la página 41 Gestionar jerarquías de grupo Active Directory es compatible con las jerarquías de grupo. En Active Directory, los grupos pueden contener otros grupos. BusinessObjects Planning no admite jerarquías de grupo. Cada grupo de BusinessObjects Planning es una entidad independiente que no tiene relación con ningún otro grupo. Los usuarios de BusinessObjects Planning pueden pertenecer a varios grupos. Cuando se importan grupos jerárquicos en BusinessObjects Planning, la estructura jerárquica se aplana. Los usuarios se asignan a su grupo más inmediato o a cualquier grupo principal según corresponda. Por ejemplo, el grupo B es un subgrupo del grupo A y ambos grupos están seleccionados para su importación. Si un usuario es miembro del grupo B, en BusinessObjects Planning será asignado tanto al grupo A como al grupo B. Puede seleccionar importar un subgrupo sin importar sus grupos principales, pero no puede seleccionar importar un grupo principal sin importar todos los subgrupos de este. 30 Manual del administrador para la seguridad de BusinessObjects Planning Integración de Active Directory Proceso de importación de usuarios Limitaciones de la integración de Active Directory La importación de grupos de Active Directory está sujeta a las siguientes limitaciones. • • • Todos los grupos de Active Directory que vayan a importarse deben existir en el mismo bosque. El cuadro de diálogo Integración de Active Directory muestra todos los dominios del bosque actual. Aunque puede importar grupos de cualquier dominio del bosque, por razones de autenticación BusinessObjects Planning sólo reconoce los usuarios pertenecientes a los dominios incluidos en Planning Configuration Manager. Las asignaciones de grupo cíclicas sin elementos principales definitivos no se muestran en el cuadro de diálogo de integración de Active Directory y, por lo tanto, no pueden importarse. (Por ejemplo: Grupo A es un elemento hijo de Grupo B, y grupo B es un elemento secundario de Grupo A.) Se fuerza esta limitación para prevenir un bucle infinito al rellenar la lista de grupos disponibles en el cuadro de diálogo. Si un grupo de una asignación cíclica también forma parte de una asignación no cíclica, el grupo se mostrará en el cuadro de diálogo como parte de la asignación no cíclica y podrá importarse. Temas relacionados • Para definir los dominios disponibles para integración de seguridad en la página 24 Proceso de importación de usuarios Esta sección describe el proceso de importación de usuarios y proporciona orientación para encontrar más información sobre cada paso. 1. Planifique los grupos que desea importar. En este paso debería analizar el entorno de usuario en relación a Active Directory y BusinessObjects Planning. ¿Qué usuarios requieren acceso a BusinessObjects Planning? ¿Se pueden utilizar grupos de Active Directory existentes o hay que crear nuevos grupos? ¿Con qué frecuencia se deben realizar importaciones para mantener el sistema sincronizado? 2. Si es necesario, cree los grupos que se van a importar en Active Directory. Manual del administrador para la seguridad de BusinessObjects Planning 31 4 4 Integración de Active Directory Configurar los parámetros de importación de usuario de Active Directory Para obtener más información, consulte la documentación de Active Directory. 3. Habilite la integración de Active Directory dentro de Planning Configuration Manager. Consulte Integración de seguridad en la página 19 para obtener más información sobre las opciones de integración de Active Directory disponibles (ADImplicit y ADExplicit) y cómo habilitarlas dentro de Configuration Manager. 4. Configure y guarde la configuración de las importaciones. En este paso, definirá qué grupos desea importar a sistemas de BusinessObjects Planning específicos, así como las relaciones de asignación entre las propiedades de usuario de BusinessObjects Planning y las propiedades de usuario de Active Directory. Consulte Para configurar los parámetros de importación de Active Directory en la página 33. 5. Realice la importación. Las importaciones pueden hacerse manualmente de forma periódica o se pueden programar para que se realicen automáticamente mediante la utilidad Scheduler. Ambas opciones se tratan en Importación de grupos y usuarios de Active Directory en la página 39. Esta sección también describe las reglas utilizadas durante una importación. 6. Defina la configuración de seguridad de los usuarios y grupos importados. La configuración de seguridad de usuarios y grupos de BusinessObjects Planning normalmente la define el usuario principal del sistema de BusinessObjects Planning. Para obtener más información sobre los parámetros disponibles, consulte el Manual del administrador de Professional Edition. Se pueden realizar importaciones posteriores con tanta frecuencia como sea necesario para sincronizar las listas de usuarios. Configurar los parámetros de importación de usuario de Active Directory Esta sección proporciona información acerca de la configuración de los parámetros de importación de usuarios en Active Directory. Antes de poder 32 Manual del administrador para la seguridad de BusinessObjects Planning Integración de Active Directory Configurar los parámetros de importación de usuario de Active Directory realizar la importación, debe configurar los parámetros de importación de usuarios. Una vez guardados, estos parámetros pueden utilizarse en importaciones futuras y editarse en cualquier momento. Para configurar los parámetros de importación de Active Directory Este cuadro de diálogo de integración en Active Directory sólo está disponible en el Sistema de autenticación principal y sólo pueden acceder a él los administradores. 1. Haga clic en Plan > Administración > Integración de Active Directory. En Excel 2007: en la ficha Plan, en el grupo Administración del sistema, haga clic en Administración > Integración de Active Directory. 2. En la ficha Grupos de usuarios, seleccione los grupos de Active Directory que desea importar. Seleccione un dominio y utilice los botones de flecha para mover los grupos seleccionados desde el cuadro se Grupos disponibles hasta el cuadro Grupos seleccionados. Para obtener más información y consideraciones específicas, consulte Para seleccionar grupos de Active Directory para su importación en la página 34. 3. Para cada grupo de la lista Grupos asignados, seleccione los sistemas BusinessObjects Planning de destino en los que desea importar el grupo. Si una casilla de verificación está seleccionada, el grupo se importará a ese sistema. Para obtener más información y consideraciones específicas, consulte Para seleccionar sistemas de destino para la importación de usuarios de Active Directory en la página 35. 4. En la ficha Configuración, defina los parámetros de asignación de propiedades de la importación. Indique la propiedad correspondiente de Active Directory para cada propiedad de BusinessObjects Planning. Para obtener información más específica, consulte Para definir la configuración de asignación de propiedades para la importación de usuarios de Active Directory en la página 37. 5. En el cuadro Habilitar/Deshabilitar importación por sistema, seleccione los sistemas que desea habilitar para la importación. Manual del administrador para la seguridad de BusinessObjects Planning 33 4 4 Integración de Active Directory Configurar los parámetros de importación de usuario de Active Directory Si la casilla de verificación de un sistema está seleccionada, ese sistema estará habilitado para su importación. Para obtener más información y consideraciones específicas, consulte Para habilitar o deshabilitar sistemas para la importación de usuarios de Active Directory en la página 37. 6. Haga clic en Guardar. Si está preparado para realizar la importación ahora, haga clic en Importar. Consulte Importación de grupos y usuarios de Active Directory en la página 39, para obtener información completa sobre cómo realizar importaciones. Para seleccionar grupos de Active Directory para su importación 1. Haga clic en la ficha Grupos de usuarios del cuadro de diálogo Integración de Active Directory. 2. Para agregar un grupo a la importación: a. En la lista Dominio, haga clic en el dominio que desee. En el cuadro Grupos disponibles se muestran los grupos disponibles para dicho dominio. b. En el cuadro Grupos disponibles, seleccione la casilla de verificación de los grupos que desee importar. Nota: • • Puede utilizar los botones Seleccionar todo y Borrar todo situados en la parte inferior del cuadro de diálogo para activar o desactivar las casillas de todos los grupos. Si un grupo tiene un icono junto a su nombre, puede expandir el grupo para ver sus subgrupos. Los grupos secundarios pueden seleccionarse de manera independiente de sus grupos principales. Al seleccionar un grupo principal, se seleccionan automáticamente todos sus grupos secundarios. c. Haga clic en el botón >> para agregar los grupos seleccionados al cuadro Grupos asignados. Sugerencia: Para ver una lista de los usuarios de un grupo, haga clic con el botón derecho en el grupo correspondiente, en el cuadro Grupos asignados. 3. Para eliminar un grupo: 34 Manual del administrador para la seguridad de BusinessObjects Planning Integración de Active Directory Configurar los parámetros de importación de usuario de Active Directory a. En el cuadro Grupos asignados, haga clic en la casilla gris junto al nombre del grupo para seleccionar la fila entera. Puede usar las teclas MAYÚS o CTRL para seleccionar múltiples filas. b. Haga clic en el botón << para eliminar el grupo del cuadro Grupos asignados. Consideraciones al seleccionar grupos de Active Directory para importar La importación de usuarios se define por grupos – no puede seleccionar usuarios individuales para importarlos. Los grupos jerárquicos (grupos con subgrupos) se aplanarán al importarlos a BusinessObjects Planning. Consulte Gestionar jerarquías de grupo en la página 30. Para otras consideraciones sobre la importación de grupos, consulte Limitaciones de la integración de Active Directory en la página 31. Si elimina un grupo que se importó anteriormente, todos los usuarios importados pertenecientes a dicho grupo se quedarán obsoletos en la siguiente importación, a menos que pertenezcan a otro grupo importado. Para seleccionar sistemas de destino para la importación de usuarios de Active Directory Cuando seleccione grupos de Active Directory para su importación, debe indicar los sistemas de destino de BusinessObjects Planning de cada grupo. 1. Haga clic en la ficha Grupos de usuarios del cuadro de diálogo Integración de Active Directory. Cada grupo seleccionado para importación aparece enumerado en el cuadro Grupos asignados. A la derecha de la columna Nombre de grupo existe una columna para todos los sistemas ("Todos") y, a continuación, una columna por cada sistema individual. De manera predeterminada, cuando un grupo se selecciona por primera vez para su importación, todos los sistemas se seleccionan como destinos de importación. 2. Para agregar sistemas de destino para su importación: Manual del administrador para la seguridad de BusinessObjects Planning 35 4 4 Integración de Active Directory Configurar los parámetros de importación de usuario de Active Directory • Seleccione la casilla de verificación de un sistema específico para importar el grupo a ese sistema. O • Active la casilla de verificación Todos para seleccionar todos los sistemas. 3. Para eliminar sistemas de destino para su importación: • Desmarque la casilla de verificación de un sistema concreto. O • Desactive la casilla de verificación Todos para eliminar todos los sistemas. Consideraciones al seleccionar sistemas de destino para importar usuarios Importación a sistemas recién añadidos De manera predeterminada, cuando se agrega un grupo a la lista Grupos seleccionados, todos los sistemas están seleccionados como sistemas de destino. Si más tarde se agrega un sistema nuevo, deberá editar manualmente los grupos seleccionados para incluir dicho sistema. Selección del Sistema de autenticación principal como sistema de destino Si los usuarios de un grupo no necesitan acceso al Sistema de autenticación principal, no es necesario seleccionar dicho sistema como sistema de destino. Los usuarios se agregarán de todas maneras al Sistema de autenticación principal para que puedan iniciar sesión en BusinessObjects Planning, pero dentro del Sistema de autenticación principal serán asignados al grupo de Planning Sin acceso. Si más tarde cambia de opinión y decide indicar el Sistema de autenticación principal como sistema de destino, el grupo se creará en Sistema de autenticación principal y los usuarios ya existentes serán asignados a dicho grupo. Como ahora los usuarios están asignados a un grupo, la asignación de Planning Sin acceso se eliminará. Nota: La eliminación automatizada de la asignación de Planning Sin acceso sólo se produce porque la asignación original se produjo automáticamente. Si asigna manualmente a un usuario al grupo de Planning Sin acceso, dicha asignación permanecerá hasta que la elimine. 36 Manual del administrador para la seguridad de BusinessObjects Planning Integración de Active Directory Configurar los parámetros de importación de usuario de Active Directory Eliminar un sistema de destino Si elimina un sistema de la lista de sistemas de destino de un grupo y ya ha importado usuarios de ese grupo en dicho sistema, esos usuarios se volverán obsoletos en el sistema en la siguiente importación. Para definir la configuración de asignación de propiedades para la importación de usuarios de Active Directory Durante la importación de Active Directory, el Nombre de usuario siempre se asigna a la propiedad samaccountname de Active Directory. Las propiedades de Planning restantes deben asignarse a la propiedad de Active Directory adecuada en su entorno. 1. Haga clic en la ficha Configuración del cuadro de diálogo Integración de Active Directory. 2. Para cada propiedad de Planning, escriba el nombre de la propiedad de Active Directory correspondiente en el cuadro apropiada o haga clic en el botón situado a la derecha del cuadro para buscar un nombre de propiedad. Por ejemplo, si utiliza nombres de propiedad habituales de Active Directory, las propiedades se asignarían de la siguiente forma: Propiedad de Planning Propiedad de Active Directory Nombre givenname Apellido sn Correo electrónico mail Para habilitar o deshabilitar sistemas para la importación de usuarios de Active Directory Puede habilitar y deshabilitar sistemas para la importación de Active Directory sin que afecten a las asignaciones del sistema de destino de los grupos importados. La primera vez que se accede al diálogo de integración de Active Directory, todos los sistemas están habilitados para importación de forma Manual del administrador para la seguridad de BusinessObjects Planning 37 4 4 Integración de Active Directory Configurar los parámetros de importación de usuario de Active Directory predeterminada. Si se agregan sistemas posteriormente, deberá habilitarlos manualmente. 1. Haga clic en la ficha Configuración del cuadro de diálogo Integración de Active Directory. Los sistemas disponibles de BusinessObjects Planning aparecen en el cuadro Habilitar/Deshabilitar importación por sistema. 2. Seleccione la casilla de verificación de un sistema para habilitar dicho sistema para importación o desactive la casilla de verificación para deshabilitar dicho sistema para importación. Consecuencias de la deshabilitación de sistemas para la importación de usuarios Si se deshabilita un sistema para la importación de usuarios, no se importarán usuarios o grupos a ese sistema, incluso si se selecciona como sistema de destino en la ficha Grupos de usuarios. (Tenga en cuenta que la información de nombre y correo electrónico de usuarios importados previamente se seguirá sincronizando.) La deshabilitación del sistema de autenticación principal deshabilitar todas las funciones de importación de usuarios. El proceso de importación debe ser capaz de crear usuarios en el Sistema de autenticación principal. Para exportar los parámetros de importación de Active Directory Puede exportar los parámetros de importación de Active Directory como un archivo XML para ayudarle a solucionar problemas con la importación. 1. Haga clic en Plan > Administración > Integración de Active Directory. En Excel 2007: en la ficha Plan, en el grupo Administración del sistema, haga clic en Administración > Integración de Active Directory. 2. Haga clic en la ficha Configuración. 3. Seleccione una de las opciones de exportación siguientes: • Haga clic en Exportar configuración para exportar los parámetros de importación. Esto incluye la lista de grupos de Active Directory y sistemas de destino seleccionados, los parámetros de asignación de propiedades y los parámetros de habilitación de sistemas. 38 Manual del administrador para la seguridad de BusinessObjects Planning Integración de Active Directory Importación de grupos y usuarios de Active Directory • Haga clic en Exportar grupos/usuarios para exportar la lista de grupos y usuarios de Active Directory seleccionados para la importación. 4. Desplácese a la ubicación donde desea guardar el archivo de exportación y haga clic en Aceptar. Importación de grupos y usuarios de Active Directory Dispone de dos métodos para importar grupos y usuarios de Active Directory. Puede realizar manualmente una importación mediante el cuadro de diálogo Integración de Active Directory o bien puede programar una importación para su ejecución automática mediante la utilidad Scheduler. Para obtener información más detallada sobre las reglas que se aplican a usuarios y grupos durante una importación de Active Directory, consulte Reglas de importación de Active Directory en la página 41 . Después de ejecutar una importación correctamente, asegúrese de comprobar si existe alguna advertencia en el registro de auditorías. Temas relacionados • Registro de auditorías en la página 57 Para importar usuarios de Active Directory 1. Haga clic en Plan > Administración > Integración de Active Directory. En Excel 2007: en la ficha Plan, en el grupo Administración del sistema, haga clic en Administración > Integración de Active Directory. 2. Revise los parámetros de importación para confirmar que son los que desea. Si todavía no ha configurado los parámetros de importación, consulte Para configurar los parámetros de importación de Active Directory en la página 33. 3. Haga clic en Importar. Si se producen errores durante la importación, un cuadro de mensaje advierte que se han guardado en el registro de auditorías. Manual del administrador para la seguridad de BusinessObjects Planning 39 4 4 Integración de Active Directory Importación de grupos y usuarios de Active Directory Temas relacionados • Registro de auditorías en la página 57 Para programar una importación de usuarios de Active Directory para que se ejecute automáticamente Puede programar una importación de usuarios para que la ejecute automáticamente mediante la utilidad Scheduler. Antes de programar una importación, es necesario configurar y guardar sus parámetros mediante el cuadro de diálogo Integración de Active Directory. A continuación se describen los pasos básicos para programar una importación de usuarios. Para obtener información completa sobre la utilidad Scheduler, consulte la Ayuda en pantalla de Planning Professional Edition o el Manual del administrador de Planning Professional Edition. 1. Seleccione Utilidades > Scheduler en el menú Plan o en la vista en árbol. 2. Haga clic en el icono Nuevo trabajo, y escriba un nombre y una descripción para el nuevo trabajo. También puede agregar la tarea de importación de usuarios a un trabajo existente. 3. Agregue la tarea de importación de usuarios al trabajo: a. En el panel Tareas de trabajo, situado en la parte inferior del cuadro de diálogo, haga clic en el icono Nueva tarea. Se abrirá el cuadro de diálogo Configurar tarea. b. En la lista Tipo de tarea, haga clic en Importación de usuarios. c. Asigne un nombre a la tarea y haga clic en Aceptar. 4. Complete los restantes parámetros del trabajo (Periodicidad del trabajo y Notificaciones) haciendo clic en el Asistente para trabajos. Nota: Recuerde que la hora de programación se determina teniendo en cuenta la zona horaria del servidor de bases de datos de Planning. El Asistente para trabajos muestra la hora de la base de datos (como "Hora de Scheduler") y la hora local como referencia. 40 Manual del administrador para la seguridad de BusinessObjects Planning Integración de Active Directory Importación de grupos y usuarios de Active Directory Reglas de importación de Active Directory En esta sección se describen las reglas que BusinessObjects Planning aplica cuando se realiza una importación de Active Directory. Este resumen le ayudará a comprender el modo en que BusinessObjects Planning controla las distintas condiciones de usuario y de grupo que pueden presentarse durante una importación. Reglas de grupo Para cada grupo que se va a importar, BusinessObjects Planning comprueba si en la lista de grupos del sistema de destino existe dicho grupo. La base para la comparación es el ID de grupo. • Si no se encuentra una coincidencia para el ID de grupo, ocurre lo siguiente: • • Antes de crear un nuevo grupo, el software realiza una comprobación para asegurarse de que no existe ningún grupo de BusinessObjects Planning con el mismo nombre. Si aparece un nombre de grupo duplicado, no se lleva a cabo ninguna acción con el grupo existente y no se importa ningún usuario para el grupo de Active Directory. En este caso, se guarda un mensaje de advertencia en el registro de auditorías. Si no aparece ningún nombre de grupo duplicado, se crea el nuevo grupo, se marca como grupo importado y se le asignan filtros que impiden su acceso a los datos y a los libros de planes. El ID de grupo y el nombre de grupo se importan de Active Directory. Los usuarios asociados se importan en el nuevo grupo. Nota: Si el nombre del grupo importado contiene caracteres no compatibles con la base de datos de BusinessObjects Planning, dicho grupo no se considerará válido y no se importará ningún usuario del mismo. En este caso, se guarda un mensaje de advertencia en el registro de auditorías. • Si se encuentra una coincidencia para el ID de grupo, los usuarios nuevos se importan en el grupo existente. Esto se cumple independientemente de si el grupo todavía está marcado como importado en BusinessObjects Planning. Si el grupo aún está marcado como importado y el nombre de grupo se ha cambiado en Active Directory, dicho nombre se sincronizará para que coincida con el nuevo nombre en Active Directory. Manual del administrador para la seguridad de BusinessObjects Planning 41 4 4 Integración de Active Directory Importación de grupos y usuarios de Active Directory Reglas de usuario Para cada usuario que se va a importar, BusinessObjects Planning comprueba si en la lista de usuarios existe dicho usuario. La base para la comparación es el ID de usuario. • Si no se encuentra una coincidencia para el ID de usuario, ocurre lo siguiente: • • Antes de crear un nuevo usuario, el software realiza una comprobación para asegurarse de que no existe ningún usuario de BusinessObjects Planning con el mismo nombre. Si aparece un nombre de usuario duplicado, no se lleva a cabo ninguna acción con el usuario existente. En este caso, se guarda un mensaje de advertencia en el registro de seguridad. Si no aparece ningún nombre de usuario duplicado, se crea el nuevo usuario, se marca como usuario importado y se asigna a los grupos importados adecuados. Se importan las propiedades de nombre, apellido y correo electrónico del usuario. Nota: Si el nombre de usuario importado contiene caracteres no compatibles con la base de datos de BusinessObjects Planning, dicho usuario no se considerará válido y no será importado. En este caso, se guarda un mensaje de advertencia en el registro de auditorías. • Si se encuentra una coincidencia para el ID de usuario, ocurre lo siguiente: • • Si el usuario está marcado como usuario importado, se procederá a la actualización del nombre, el apellido y el correo electrónico de dicho usuario. También se sincronizan las asignaciones a grupos importados del usuario. No se modifican las asignaciones a grupos efectuadas manualmente por un administrador. Si el usuario no está marcado como usuario importado (se ha convertido en un usuario de BusinessObjects Planning), no se lleva a cabo ninguna acción con el usuario existente. Si no se ha indicado el sistema principal de autenticación como sistema de destino para el grupo del que se está importando el usuario, todos los nuevos usuarios que se agreguen a un sistema no principal de autenticación se agregarán también al sistema principal de autenticación. El nuevo usuario se crea, se marca como usuario importado y se asigna al grupo Sin acceso a Planning. 42 Manual del administrador para la seguridad de BusinessObjects Planning Integración de Active Directory Reconciliar usuarios existentes con Active Directory Usuarios obsoletos Dentro del conjunto de grupos que se están importando, BusinessObjects Planning compara su lista de usuarios importados (usuarios marcados como importados) con los usuarios de la importación actual. Si un usuario previamente importado no existen en la importación actual, se marca como obsoleto. Las situaciones más habituales en las que un usuario se marca como obsoleto son: • • • El usuario se ha eliminado completamente de Active Directory. El usuario se ha quitado de todos los grupos de Active Directory que se han designado para la importación. El usuario pertenece a un grupo que se ha quitado de los parámetros de integración de Active Directory, pero no pertenece a ningún otro grupo designado para la importación. Los usuarios obsoletos no pueden acceder al sistema. Si el usuario obsoleto es propietario de una etapa de Control del proceso o de un trabajo de Scheduler, esta circunstancia se anota en el registro de auditorías para que el administrador puede desplazar la asignación a otros usuarios según convenga. Los nombres de los usuarios obsoletos se muestran con una fuente gris en el cuadro de diálogo Parámetros de seguridad. Los usuarios obsoletos permanecen en el sistema hasta que un administrador los elimina. Por razones de seguridad, BusinessObjects Planning no permite quitar manualmente la marca de obsoleto de un usuario. Si un usuario se quita por error de un grupo de Active Directory (lo que provoca que se marque como obsoleto), puede volver a ejecutar la importación para restaurar el usuario después de corregir el problema en Active Directory. Temas relacionados • Acerca del sistema de autenticación principal en la página 13 Reconciliar usuarios existentes con Active Directory Professional Edition contiene una herramienta de reconciliación para ayudar a los clientes existentes a llevar a cabo la implementación de la integración de Active Directory. Esta función sólo está disponible en el sistema de autenticación principal y sólo pueden acceder a ella los administradores. Manual del administrador para la seguridad de BusinessObjects Planning 43 4 4 Integración de Active Directory Reconciliar usuarios existentes con Active Directory La utilidad de reconciliación de usuarios de Active Directory compara los usuarios de BusinessObjects Planning con los de Active Directory basándose en el nombre de usuario. Si se encuentra una coincidencia, el usuario de BusinessObjects Planning se convierte en un usuario de Active Directory importado. Los parámetros de seguridad y las asignaciones de grupo del usuario permanecen iguales. Requisitos previos La utilidad de reconciliación de usuarios de Active Directory requiere que el nombre del usuario de BusinessObjects Planning y el nombre del usuario de Active Directory sean idénticos. Si desea habilitar la integración de Active Directory pero no puede reconciliar los usuarios basándose en su nombre de usuario, póngase en contacto con el departamento de soporte para obtener ayuda. Antes de ejecutar la utilidad, debe configurar los parámetros de importación de Active Directory en el cuadro de diálogo Integración de Active Directory. Los grupos incluidos en el cuadro Grupos asignados de la ficha Grupos de usuarios definen el conjunto de grupos y usuarios de Active Directory con los que se efectúa la reconciliación. Temas relacionados • Para configurar los parámetros de importación de Active Directory en la página 33 Reglas de reconciliación de usuarios Cuando se ejecuta la utilidad de reconciliación, los usuarios y grupos de BusinessObjects Planning se reconcilian con Active Directory de acuerdo con las siguientes reglas: • • • 44 La base de comparación es el nombre de usuario o de grupo. Los usuarios y grupos de BusinessObjects Planning se comparan con los usuarios y grupos de Active Directory (como se ha definido en el cuadro de diálogo Integración de Active Directory). Los usuarios y grupos marcados como Importados en BusinessObjetcs se pasan por alto. Si la utilidad encuentra un nombre de usuario de BusinessObjects Planning idéntico a un nombre de usuario de Active Directory, convierte dicho usuario en un usuario importado de la manera siguiente: Manual del administrador para la seguridad de BusinessObjects Planning Integración de Active Directory Reconciliar usuarios existentes con Active Directory • • • • • El ID de usuario de BusinessObjects Planning cambia al SID de Active Directory correspondiente. El usuario se marca como Importado y el tipo de autenticación se cambia a Active Directory. El nombre, el apellido y la dirección de correo electrónico del usuario se sincronizan con la información correspondiente de Active Directory. Las asignaciones de grupo del usuario se actualizan según sea necesario para incluir las asignaciones de grupo de Active Directory del usuario. Si no se encuentra un grupo de Active Directory en el sistema de destino, se crea en éste. Si la utilidad encuentra un nombre de grupo de BusinessObjects Planning idéntico a un nombre de grupo de Active Directory, cambia el ID de grupo por el correspondiente SID de Active Directory SID y marca el grupo como importado. Para reconciliar usuarios de Active Directory con usuarios existentes de BusinessObjects Planning Precaución: No ejecute la utilidad de reconciliación de usuarios de Active Directory a menos que esté absolutamente seguro de que los usuarios tienen el mismo nombre de usuario en BusinessObjects Planning y en Active Directory. Si los nombres de los usuarios tienen formatos diferentes (por ejemplo, si el usuario Daniel Salgado es "dsalgado" en Active Directory y "daniels" en BusinessObjects Planning), cabe la posibilidad de que la utilidad de reconciliación de usuarios reconcilie un usuario de BusinessObjects Planning con un usuario de Active Directory incorrecto. 1. Haga clic en Plan > Administración > Integración de Active Directory. En Excel 2007: en la ficha Plan, en el grupo Administración del sistema, haga clic en Administración > Integración de Active Directory. 2. Confirme que los parámetros de la integración de Active Directory están configurados como desea. Si es necesario, realice modificaciones y haga clic en Guardar. Los usuarios y los grupos de BusinessObjects Planning se compararán con los grupos de Active Directory que aparecen en el cuadro Grupos asignados de la ficha Grupos de usuarios. 3. Haga clic en Reconciliar. Manual del administrador para la seguridad de BusinessObjects Planning 45 4 4 Integración de Active Directory Reconciliar usuarios existentes con Active Directory Los usuarios y grupos se reconcilian según las reglas de reconciliación de usuarios. El registro de seguridad conserva la información de cada usuario o grupo convertidos mediante la utilidad de reconciliación de usuarios. Temas relacionados • • 46 Reglas de reconciliación de usuarios en la página 44 Registro de auditorías en la página 57 Manual del administrador para la seguridad de BusinessObjects Planning Integración de Siteminder 5 5 Integración de Siteminder Requisitos de integración de SiteMinder BusinessObjects Planning admite la utilización de CA SiteMinder® para controlar el acceso de los usuarios a las opciones de acceso Web de Planning. La función de integración de SiteMinder básicamente transfiere la responsabilidad de autenticación para Enterprise Desktop a SiteMinder. Si SiteMinder autentica el usuario, y si el nombre de usuario ya existe en la seguridad de BusinessObjects Planning, el usuario tendrá permiso para acceder a Enterprise Desktop. Se utiliza una página de inicio de sesión de Enterprise Desktop especial, loginsm.aspx, para facilitar la integración de SiteMinder. Los usuarios no pueden iniciar directamente las opciones de acceso Web de Planning específicas cuando utilizan la integración de SiteMinder. Es preciso que los usuarios utilicen la interfaz de Enterprise Desktop para seleccionar los sistemas e iniciar las opciones de acceso. Requisitos de integración de SiteMinder • • • El uso de la integración de SiteMinder requiere CA SiteMinder 6.0 SP3 o superior. Los nombres de usuario de BusinessObjects Planning deben coincidir con los nombres de usuario de SiteMinder. Los usuarios no se pueden marcar como importados en BusinessObjects Planning. Nota: El uso de la integración de SiteMinder requiere la activación de la integración de seguridad de Desktop para BusinessObjects Planning. Por tanto, la integración de SiteMinder no se puede utilizar junto con la integración de Active Directory o BusinessObjects. Para habilitar la integración de SiteMinder en Planning Configuration Manager La integración de SiteMinder debe habilitarse en Planning Configuration Manager. Para acceder a Configuration Manager, vaya al servidor de aplicaciones de Planning y seleccione Inicio > Programas > BusinessObjects EPM > BusinessObjects EPM Tools > BusinessObjects Planning > 48 Manual del administrador para la seguridad de BusinessObjects Planning Integración de Siteminder Para habilitar la integración de SiteMinder en Planning Configuration Manager Configuration Manager. Para obtener información detallada sobre Configuration Manager, consulte el Manual de instalación de BusinessObjects Planning. Para permitir la integración de Siteminder, es preciso completar dos áreas de Configuration Manager: • En Global Parameters > Security, configure Integration Enablement como Desktop y, a continuación, complete Available Domains. Para obtener más información sobre la configuración de los parámetros de integración de seguridad, consulte Habilitar la integración de seguridad en la página 23. • En Global Parameters > SiteMinder integration, complete todos los parámetros de integración de SiteMinder. Una vez guardados los parámetros de configuración actualizados, debe reiniciar Planning Application Service en todos los servidores de aplicaciones de Planning. Configuración de integración de Siteminder Si desea la integración de SiteMinder, complete la configuración en el nodo Global Parameters > Integración de SiteMinder. Campo Descripción Nombre de agente Escriba el nombre del agente para la implementación de SiteMinder. Ruta de acceso del archivo de Escriba el directorio y el nombre del archivo para el archivo configuración de configuración de SiteMinder. Se recomienda utilizar una ruta UNC. Manual del administrador para la seguridad de BusinessObjects Planning 49 5 5 Integración de Siteminder Configuración de SiteMinder para utilizar con BusinessObjects Planning Configuración de SiteMinder para utilizar con BusinessObjects Planning Al configurar SiteMinder para utilizar con BusinessObjects Planning, se requieren determinados parámetros. En esta sección se detallan los parámetros necesarios. El uso de determinadas opciones de acceso Web de Planning requiere parámetros adicionales. En la tabla siguiente se resumen los pasos de configuración de SiteMinder y el entorno al que se aplican: Paso de configuración de SiteMinder Se aplica a Configurar el directorio virtual de Planning como dominio. Todos los entornos Ajustar los parámetros de Agent Config Object. Sólo Web Reports Editar el registro de SiteMinder. Sólo Web Checkout Este manual da por sentado que tiene una instalación operativa de SiteMinder. La persona que configura SiteMinder para utilizar con BusinessObjects Planning debe estar familiarizada con las operaciones de SiteMinder y con la configuración de sistemas para utilizar en entornos Web. Para obtener más información sobre la configuración de SiteMinder, consulte la documentación de SiteMinder. Para configurar el entorno de Planning en SiteMinder Para controlar el acceso a las opciones de acceso Web de Planning con SiteMinder, el directorio virtual de Planning debe estar configurado como dominio en SiteMinder. Nota: Este tema abarca los parámetros necesarios para el dominio de Planning. Para obtener más información sobre cómo configurar dominios en SiteMinder, consulte la documentación de SiteMinder. 50 Manual del administrador para la seguridad de BusinessObjects Planning Integración de Siteminder Configuración de SiteMinder para utilizar con BusinessObjects Planning 1. En la consola de administración de SiteMinder, cree un dominio para las opciones de acceso Web de Planning. Utilice los parámetros siguientes: • El nombre del dominio puede ser el que desee. • Defina Resource Filter como directorio virtual de Planning. El nombre del directorio virtual predeterminado de Planning es /PlanningDesk top. • Configure Default Resource Protection como Unprotected. 2. En el nuevo dominio, cree una regla con los siguientes parámetros: • El nombre de la regla puede ser el que desee. • Seleccione las opciones siguientes para la regla: Allow Access y Enabled. • Defina Resource como /loginsm.aspx o /login*.aspx , según el nivel de protección que desee. Consulte Niveles de protección para la integración de SiteMinder en la página 51. • En Web Agent Actions, configure la acción como Get y Post. Niveles de protección para la integración de SiteMinder Al configurar el directorio virtual de Planning como dominio en SiteMinder, hay dos opciones para que el parámetro Recurso especifique el nivel de protección. • • Si indica /loginsm.aspx como recurso, la integración de SiteMinder sólo se aplica cuando los usuarios acceden a Enterprise Desktop utilizando la página de inicio de sesión de SiteMinder. No obstante, los usuarios pueden seguir utilizando la autenticación de Planning mediante las páginas logined.aspx o loginsa.aspx. Si indica /login*.aspx como recurso, todo el acceso a Enterprise Desktop y las opciones de acceso Web estarán controlados por SiteMinder. No es posible utilizar la autenticación de planificación. Para ajustar la configuración de Agent Config Objects para usar con Web Reports Si utiliza Web Reports, debe realizar un cambio en los parámetros de Agent Config Objects en SiteMinder. Manual del administrador para la seguridad de BusinessObjects Planning 51 5 5 Integración de Siteminder Registro en Enterprise Desktop con la integración de SiteMinder 1. En la consola SiteMinder Administration, vaya a Agent Config Objects y, a continuación, seleccione el objeto activo. 2. Configure Css Checking como No. Para editar la configuración de registro de SiteMinder para usar con Web Checkout Si utiliza Web Checkout, debe cambiar a los parámetros de registro de SiteMinder. 1. En el equipo en el que esté instalado SiteMinder, abra el Editor del Registro y vaya a HKEY_LOCAL_MACHINE/Software/Netegrity/SiteMinder Web Agent/Microsoft IIS. 2. Agregue un nuevo valor DWORD denominado MaxRequestAllowed. 3. Configure el valor de MaxRequestAllowed con un tamaño superior al del libro de planes mayor que se descargará mediante Web Checkout. Por ejemplo, si todos los libros de planes tienen menos de 200 MB, puede configurar el valor de MaxRequestAllowed como 200000000 (200 MB como valor decimal). Registro en Enterprise Desktop con la integración de SiteMinder A continuación se describe el proceso básico de registro en Enterprise Desktop con la integración de SiteMinder: 1. En el Explorador de Internet, el usuario debe ir a la página de inicio de sesión de SiteMinder para configurar las opciones de acceso Web de Planning. Por ejemplo: http://nombre_servidor/PlanningDesktop/lo ginsm.aspx. 2. Las credenciales del usuario se transfieren a SiteMinder para su autenticación. Los parámetros de SiteMiner determinan el protocolo de autenticación y los requisitos de conexión. 3. Si el nombre de usuario autenticado de SiteMinder y el nombre de usuario de BusinessObjects Planning coinciden, el usuario tiene permiso para acceder a Enterprise Desktop. 52 Manual del administrador para la seguridad de BusinessObjects Planning Funciones de administración de seguridad 6 6 Funciones de administración de seguridad Administración de contraseñas En este capítulo se tratan las funciones de seguridad de BusinessObjects Planning que puede utilizar el departamento de Tecnología de la información como parte de sus actividades de administración de seguridad. Salvo que se indique lo contrario, todas las funciones de seguridad sólo estarán disponibles en Professional Edition, y únicamente los administradores podrán acceder a ellas. Esta información también se incluye en el Manual del administrador de Planning Professional Edition para los usuarios principales del sistema. Administración de contraseñas Los administradores pueden establecer las reglas y los valores predeterminados de las contraseñas globales en el cuadro de diálogo Administración de contraseñas. Administración de contraseñas sólo está disponible en el sistema principal de autenticación. Nota: BusinessObjects Planning siempre aplica una regla que evita que la contraseña de un usuario no coincida con sus tres contraseñas anteriores. Las demás reglas sobre contraseñas se pueden configurar. Las reglas de contraseña sólo se aplican a los usuarios de BusinessObjects Planning. Los usuarios importados se autentican a través del origen del que fueron importados, por lo que no tienen contraseñas diferentes en BusinessObjects Planning. Para definir reglas y valores predeterminados de contraseñas para usuarios de BusinessObjects Planning Administración de contraseñas sólo está disponible en el sistema principal de autenticación. 1. Haga clic en Plan > Administración > Parámetros de seguridad. En Excel 2007: en la ficha Plan, en el grupo Administración del sistema, haga clic en Administración > Parámetros de seguridad. 2. 54 Haga clic en el icono Administración de contraseñas para todos los usuarios en la barra de herramientas. Manual del administrador para la seguridad de BusinessObjects Planning Funciones de administración de seguridad Administración de contraseñas Sugerencia: También puede hacer clic con el botón derecho en cualquier lugar de la lista de usuarios y seleccionar Administración de contraseñas para todos los usuarios. 3. Seleccione las reglas de contraseñas que quiera aplicar y complete las opciones predeterminadas. 4. Haga clic en Aceptar. En general, las reglas de contraseña se aplican a las nuevas contraseñas que se crean a partir de su definición. Las contraseñas existentes no se ven afectadas. Por ejemplo, si establece una longitud mínima de contraseña de 8 caracteres, las contraseñas existentes que contengan menos de 8 caracteres seguirán siendo válidas, hasta que expiren. Configuración de administración de contraseñas Las siguientes reglas y opciones predeterminadas de contraseñas pueden definirse en Administración de contraseñas para todo los usuarios. Reglas Opción Descripción Longitud mínima de contraseña Active esta casilla de verificación para imponer que la contraseña utilice una longitud mínima de caracteres. En el cuadro situado a la derecha de este parámetro, escriba un número para definir la longitud mínima en caracteres. Número obligatorio Active esta casilla de verificación para imponer que las contraseñas deben contener al menos un número. At Least One Special Carácter Requerido Active esta casilla de verificación para que sea obligatorio que las contraseñas contengan al menos un caracter especial. En el cuadro situado a la derecha de este parámetro, escriba los caracteres especiales obligatorios. Manual del administrador para la seguridad de BusinessObjects Planning 55 6 6 Funciones de administración de seguridad Administración de contraseñas Opción Descripción Al menos un carácter en mayúscu- Active esta casilla de verificación para imponer que las las obligatorio contraseñas deben contener al menos un carácter en mayúsculas. No se encuentra en Nombre, Apellido ni Nombre de usuario Active esta casilla de verificación para imponer que las contraseñas no pueden contener el nombre, apellido o nombre de usuario de un usuario. Esta regla sólo se aplica cuando se cambia la contraseña de un usuario individual. Si el cambio de contraseña afecta a varios usuarios (como el restablecimiento de la contraseña predeterminada de los usuarios), esta regla no se aplica. Defaults Parámetro Descripción Contraseña predeterminada Escriba una contraseña que se aplicará de forma predeterminada a los nuevos usuarios. Restablecer valores predetermina- Seleccione la casilla de verificación Restablecer valores dos predeterminados para cambiar las contraseñas de los usuarios por la contraseña predeterminada. Excluir administrador Las casilla de verificación Excluir administrador está relacionada con esta opción y le permite conservar la contraseña actual del administrador. Caducidad de la contraseña tras Escriba el número de meses que una contraseña puede permanecer en el sistema antes de caducar. Este parámetro es un valor predeterminado; puede anularse con el valor establecido para el usuario en la ficha Información del usuario. Si este parámetro se deja en blanco o se establece en cero, indica que la contraseña no caduca. 56 Manual del administrador para la seguridad de BusinessObjects Planning Funciones de administración de seguridad Registro de auditorías Parámetro Descripción Nº máximo de intentos de conexión en caso de error Escriba el número máximo de intentos de conexión que se permiten en caso de error. Si este parámetro se deja en blanco o se establece en cero, indica que no se establece ningún límite en el número de intentos de conexión. Si el usuario supera el número máximo de intentos de conexión en una sola sesión, se marca como bloqueado. El usuario no podrá acceder al sistema hasta que el administrador anule la selección de la casilla Bloqueado en la ficha Información de usuario. Registro de auditorías El registro de auditoría realiza un seguimiento de la actividad del usuario y de los cambios en BusinessObjects Planning, para todos los sistemas. Los elementos registrados pueden organizarse en dos categorías principales: • Seguridad: realiza un seguimiento de la actividad de inicio se sesión del usuario y de los cambios en los parámetros de seguridad. • Aplicación: realiza un seguimiento de la actividad de la aplicación, como los cambios en las áreas de configuración, la ejecución de utilidades y el acceso a libros. Sólo los administradores pueden acceder al libro de auditorías. El administrador puede ver las entradas de registro de todos los sistemas. Los integrantes del grupo de administradores sólo pueden ver las entradas de registro del sistema activo. El registro de auditorías contiene información sobre todos los sistemas en la implementación de BusinessObjects Planning. Durante la visualización del registro, se puede filtrar la vista por sistema. Para ver el registro de auditorías Nota: Sólo los administradores pueden acceder al Registro de auditorías. Manual del administrador para la seguridad de BusinessObjects Planning 57 6 6 Funciones de administración de seguridad Registro de auditorías 1. Haga clic en Plan > Administración > Registro de auditorías. En Excel 2007: en la ficha Plan, en el grupo Administración del sistema, haga clic en Administración > Registro de auditorías. También puede acceder al registro haciendo clic en el icono Examinar registro de seguridad en Parámetros de seguridad. Sugerencia: Aparecerá el cuadro de diálogo Examinar registro. Figura 6-1: Ejemplo de registro de auditorías 2. En la lista Tipo de registro, seleccione el tipo de registro deseado: Opción Descripción Todo Muestra todos los elementos del registro de auditorías. Seguridad Muestra datos de actividad de inicio de sesión de usuarios y cambios aplicados a los parámetros de seguridad. Aplicación Muestra información sobre eventos de aplicación. 3. En el área Filtrar por, especifique un rango de fechas para el registro De forma predeterminada, el registro muestra la actividad durante el mes pasado. Si desea ver una actividad de otro periodo de tiempo, edite los 58 Manual del administrador para la seguridad de BusinessObjects Planning Funciones de administración de seguridad Registro de auditorías campos De: y Hasta: según el periodo deseado. Puede indicar fechas concretas o hacer clic en los botones de flecha para seleccionar fechas en una vista de calendario. Nota: El intervalo de fechas disponible en el registro depende de cuándo se haya depurado el registro. 4. En la barra de herramientas, haga clic en Actualizar. El registro muestra actividad correspondiente a la categoría seleccionada y el rango de fechas indicado. Puede ordenar los datos de registro según una columna concreta, haciendo clic en el encabezado de la columna. Para filtrar el registro de auditorías El registro de auditorías tiene varias opciones de filtro avanzadas. 1. En la barra de herramientas Registro de auditorías, haga clic en Filtro avanzado. Las opciones de Filtro avanzado aparecerán en el cuadro de diálogo. 2. Complete los campos siguientes para definir el filtro: Campo Descripción Operación Seleccione una operación. Cada operación representa un tipo específico de actividad que se detalla en el registro. Las operaciones disponibles dependen del tipo de registro especificado (Todo, Seguridad o Aplicación). Nombre del sistema Seleccione un nombre de sistema. Nota: Esta opción sólo está disponible en sesiones de administrador. Los integrantes del grupo de administradores sólo pueden ver entradas de registro del sistema actual. ID de cliente Indique un ID de cliente. Se trata del ID del ordenador cliente en que se realizó la operación. Puede copiar y pegar un ID desde el registro. Manual del administrador para la seguridad de BusinessObjects Planning 59 6 6 Funciones de administración de seguridad Registro de auditorías Campo Descripción ID de usuario Indique un ID de usuario. Se trata del nombre de usuario de quien haya realizado la operación. Descripción Escriba una descripción de la operación. Este campo se puede utilizar para buscar palabras clave, por ejemplo, un cambio en el nivel de acceso de una hoja de cálculo. También puede copiar y pegar una descripción desde el registro, a fin de filtrarlo para que muestre elementos similares. 3. En la barra de herramientas, haga clic en Actualizar. El registro se filtra según las selecciones indicadas. Puede ocultar el área Filtro avanzado haciendo clic en el botón Filtro avanzado de la barra de herramientas. Para exportar el contenido del registro de auditorías Puede exportar el contenido del registro de auditorías como archivo TXT. Nota: La utilidad Scheduler permite exportar el contenido del registro de auditoría en intervalos programados. 1. Filtre la vista para que la ventana Registro de auditorías muestre los datos que desea exportar. Sólo se exportarán los datos que cumplan el filtro actual. 2. Haga clic en Guardar. 3. Vaya a la ubicación en la que quiera guardar el archivo y asígnele un nombre. Haga clic en Guardar. El nombre de archivo predeterminado es SavePlanningLog.txt. Actividades registradas La información del registro de auditorías se organiza en dos categorías, Seguridad y Aplicación. 60 Manual del administrador para la seguridad de BusinessObjects Planning Funciones de administración de seguridad Registro de auditorías Registro de seguridad La categoría Seguridad del registro de auditorías realiza un seguimiento de la actividad de inicio de sesión del usuario, la administración del sistema (agregar, eliminar y editar usuarios) y las importaciones de usuarios. Se registran las operaciones siguientes: Nombre de operación Descripción ADReconcile Se ejecuta la utilidad Reconciliar de Active Directory ChangePassword Se cambia la contraseña del usuario CreateUser Se crea un usuario o grupo DeleteUser Se elimina un usuario o grupo ExportGroupList Se exporta lista de grupos y usuarios desde el cuadro de diálogo Importación de usuarios LicenseExceeded Se ha superado el número de usuarios con licencia LoginFailed Error de inicio de sesión del usuario LoginSuccess El usuario ha iniciado sesión correctamente Desconexión El usuario ha finalizado la sesión ObsoleteUser Usuario marcado como obsoleto PasswordRules Se ha cambiado la administración de contraseñas UpdateUser Se han cambiado las propiedades de seguridad de usuario o grupo UserImport Se ha ejecutado importación de usuarios UserImportSettings Se ha cambiado la configuración de la importación de usuarios UserImportSettingsExport Se ha exportado la configuración de la importación de usuarios UserReport Se ha generado informe de usuario desde Parámetros de seguridad WebAccess El usuario inicia una opción de acceso en la Web Manual del administrador para la seguridad de BusinessObjects Planning 61 6 6 Funciones de administración de seguridad Registro de auditorías Registro de la aplicación La categoría Aplicación del Registro de auditorías realiza un seguimiento de la actividad de la aplicación, como los cambios en las áreas de configuración, la ejecución de utilidades y el acceso a libros. Se registran las operaciones siguientes: 62 Nombre de operación Descripción ChangePeriod Se ha ejecutado la utilidad Cambiar periodo actual CompactDatabase Se ha ejecutado la utilidad Compactar base de datos CopyDatabase Se ha ejecutado la utilidad Copiar datos DataStructures Se ha cambiado Estructuras de datos ExportMapTable Se ha exportado tabla de asignación a otro sistema ImportData Se ha ejecutado la utilidad Importar LogPurged Se ha depurado el registro de auditorías LogPurgeFailed Error al depurar el registro de auditorías OpenWorkbook Se ha abierto libro de planes, informe o libro Dimensiones PurgeJobResults Se han purgado resultados de trabajo de Scheduler SavetoTable Se han guardado datos en tabla mediante informe de almacenamiento en base de datos SaveWorkbook Se ha guardado libro de planes, informe o libro Dimensiones StageSetup Se ha cambiado configuración de etapa de Control del proceso VerifyData Se ha ejecutado la utilidad Comprobar·datos WebCheckIn Se ha cargado libro de plan mediante Web Checkout WebCheckOut Se ha descargado libro de plan mediante Web Checkout Manual del administrador para la seguridad de BusinessObjects Planning Funciones de administración de seguridad Bloquear usuarios Nombre de operación Descripción WebUndoCheckout Se ha quitado libro de plan cargado mediante Web Checkout ZeroData Se ha ejecutado la utilidad Puesta a cero de datos Archivar y depurar el registro de auditorías La utilidad Scheduler proporciona dos opciones para archivar periódicamente el contenido del archivo de registro y depurar este último. • La tarea Depurar registro de auditorías depura las entradas de registro anteriores al número especificado de días y las archiva con una ubicación y nombre de archivo especificados. Si lo desea, puede filtrar la operación de depuración por categoría de registro (Todo, Seguridad, Aplicación). Se recomienda depurar periódicamente el registro de auditorías, ya que con el tiempo su tamaño puede aumentar considerablemente. • La tarea Guardar registro de auditorías guarda una copia de las entradas de registro con una ubicación y nombre de archivo especificados. En este caso, las entradas de registro archivadas no se depuran desde el registro. Puede filtrar la operación de guardar mediante cualquiera de las opciones de filtro disponibles durante la visualización del registro de auditoría. En ambos casos, tenga en cuenta que el archivo se sobrescribe cada vez que se ejecuta la tarea. Si desea guardar un registro del archivo, debe archivarlo manualmente antes de que se vuelva a ejecutar la tarea de depuración. Bloquear usuarios Los administradores pueden bloquear usuarios de un sistema mediante Professional Edition o Enterprise Desktop. • Professional Edition 1. Elija Seguridad > Parámetros de seguridad en el menú Plan o en la vista en árbol. Manual del administrador para la seguridad de BusinessObjects Planning 63 6 6 Funciones de administración de seguridad Para ver una lista de los usuarios conectados 2. Haga clic en el icono Bloquear usuarios de la barra de herramientas. Este método sólo bloquea a los usuarios del sistema actual. Para bloquear a usuarios de varios sistemas, utilice la interfaz de Enterprise Desktop. • Enterprise Desktop 1. Seleccione Plan > Administración global. 2. En la ficha Bloqueo, haga clic en el icono de bloqueo situado junto a cada sistema que desea bloquear. En ambos casos, haga clic de nuevo en los iconos de bloqueo correspondientes para desbloquear los sistemas. Si un sistema está bloqueado, los usuarios no pueden conectarse a él mediante ninguna opción de acceso. Cualquier usuario que ya hubiera iniciado sesión en el sistema al realizar el cambio no cerrará sesión. Nota: • • Cuando se bloquea el sistema también se impide a la utilidad Scheduler realizar trabajos para dicho sistema. Los trabajos tendrán que ejecutarse cuando el sistema se vuelva a desbloquear. Los administradores también pueden bloquear usuarios y grupos específicos para que no accedan al sistema. Este parámetro se controla en la ficha Información del usuario o Información de grupo en Parámetros de seguridad. Para ver una lista de los usuarios conectados Nota: Sólo los administradores con derechos de Delegación a grupos pueden acceder a la utilidad Usuarios conectados. La utilidad Usuarios conectados permite a los administradores ver qué usuarios están conectados actualmente a BusinessObjects Planning. La utilidad muestra los usuarios existentes en todos los sistemas y todas las opciones de acceso. • Haga clic en Plan > Administración > Usuarios conectados. En Excel 2007: en la ficha Plan, en el grupo Administración del sistema, haga clic en Administración > Usuarios conectados. 64 Manual del administrador para la seguridad de BusinessObjects Planning Funciones de administración de seguridad Para exportar una lista de usuarios y grupos En caso de un cierre anormal del software (por ejemplo, un corte de suministro eléctrico o un bloqueo del equipo), BusinessObjects Planning todavía puede registrar a ese usuario como conectado. La utilidad Compactar base de datos puede utilizarse para borrar estos registros antiguos de la lista Usuarios conectados. Para exportar una lista de usuarios y grupos Con fines de auditoría y reconciliación de usuarios, Professional Edition incluye una herramienta que permite exportar una lista de usuarios y grupos a un archivo de Excel. Sólo los administradores tienen acceso a esta función. 1. Haga clic en Plan > Administración > Parámetros de seguridad. En Excel 2007: en la ficha Plan, en el grupo Administración del sistema, haga clic en Administración > Parámetros de seguridad. 2. En la barra de herramientas, haga clic en el icono Generar informe de usuario. 3. Haga clic en Continuar. 4. Defina un nombre de archivo y una ubicación y, a continuación, haga clic en Guardar. El nombre de archivo predeterminado es PlanningUserReport.xls. Contenido de informes de usuario Los informes de usuario creados con el comando Generar informe de usuario están organizados en tres fichas: • • Summary: contiene detalles del informe, como la fecha de ejecución y el usuario que lo ha ejecutado. En esta ficha también se incluye el nombre del sistema de autenticación principal como referencia. Users: contiene una lista de todos los usuarios. La lista indica los grupos a los que pertenece el usuario y los sistemas donde está definido. Cada combinación de usuario, grupo y sistema única se muestra en una fila independiente. Si un usuario no pertenece a ningún grupo, la columna Group estará en blanco. Manual del administrador para la seguridad de BusinessObjects Planning 65 6 6 Funciones de administración de seguridad Para exportar una lista de usuarios y grupos • Groups: contiene una lista de todos los grupos. La lista indica los usuarios que pertenecen al grupo y los sistemas donde éste está definido. Cada combinación de grupo, usuario y sistema única se muestra en una fila independiente. Si un grupo no contiene ningún usuario, la columna User estará en blanco. El informe también indica el ID de cada usuario y de cada grupo, y el tipo de autenticación de cada usuario. 66 Manual del administrador para la seguridad de BusinessObjects Planning Índice dominios 31, 34 definir dominios disponibles 24 A Active Directory integration enabling 23 Administración de contraseñas 54, 55 establecer reglas y configuración predeterminada 54 parámetros disponibles 55 ADSExplicit 20, 23 ADSImplicit 20, 23 Al menos un carácter en mayúsculas obligatorio 55 asistencia 9 Available Domains (Configuration Manager) 24 bloquear usuarios 63 bosque 31 BusinessObjects Enterprise 20 C Caducidad de la contraseña tras 55 Carácter especial obligatorio 55 comportamiento del inicio de sesión con integración de seguridad 22 Contraseña predeterminada 55 contraseñas establecer reglas de contraseña 54, 55 Desktop 20, 23 documentación 9 enabling security integration 23 Excluir administrador 55 exportar configuración de importación de usuarios 38 datos del registro de auditoría 60 lista de usuarios y grupos 65 Exportar configuración 38 Exportar grupos / usuarios 38 F B D E formación 9 G Generar informe de usuario 65 grupos exportar una lista de grupos 65 grupos importados, definición 29 importar de Active Directory 28 de BusinessObjects Enterprise 20 jerarquías de grupo, gestionar al importar 30 I importación de usuarios configuración configurar 32, 33 Manual del administrador para la seguridad de BusinessObjects Planning 67 Índice importación de usuarios (continúa) configuración (continúa) exportar 38 configurar parámetros de importación 32, 33 gestionar jerarquías de grupo 30 grupos, seleccionar para su importación 34, 35 importar usuarios y grupos a través de Scheduler 40 introducción al proceso 31 parámetros de asignación de propiedades para importación 37 programar una importación de usuarios 40 propiedades importadas 29 reglas aplicadas durante la importación 41 sistemas de destino para importación, seleccionar 35, 36 sistemas habilitados para importación efectos de deshabilitación de un sistema 38 habilitar o deshabilitar sistemas 37 usuarios obsoletos 41 importación de usuarios de Active Directory (cuadro de diálogo) 33 importar usuarios y grupos de Active Directory 20, 28 de BusinessObjects Enterprise 20 integración de Active Directory 20, 28 configurar parámetros de importación 32, 33 funciones 28 importar usuarios y grupos 39 introducción al proceso 31 limitaciones 31 opciones de integración (implícita y explícita) 20 reconciliar usuarios existentes de BusinessObjects Planning 43, 44, 45 integración de seguridad 20, 24 comportamiento de inicio de sesión, cambios a 22 68 integración de seguridad (continúa) opciones 20 integración de Siteminder 48, 52 configurar SiteMinder 50 niveles de protección 51 parámetros 49 requisitos 48 requisitos de configuración de Web Checkout 52 requisitos de configuración de Web Reports 51 L logined.aspx 22 loginedi.aspx 22 loginsa.aspx 22 loginsai.aspx 22 Longitud mínima de contraseña 55 N Nº máximo de intentos de conexión en caso de error 55 Novell Netware 20 Número obligatorio 55 P PlanningUserReport.xls 65 presentación general 12 Primary Authentication System designating 15 R Reconciliar 43, 44, 45 reconciliar usuarios existentes de BusinessObjects Planning con Active Directory 43, 44, 45 recursos de información 9 Manual del administrador para la seguridad de BusinessObjects Planning Índice registro 57 registro de auditorías 57 actividades registradas 60 archivar 63 exportar 60 filtrar 59 purgar 63 ver 57 registro de seguridad 57 responsabilidades, administración de seguridad 12 Restablecer valores predeterminados 55 S Scheduler, usar para realizar una importación de Active Directory 40 security integration enabling 23 seguridad bloquear usuarios 63 contraseñas administración 54 registro 57 varios sistemas, definir parámetros de seguridad 16 servicios de asesoría 9 servidor de aplicaciones 23 Sin acceso a Planning, grupo 14, 41 sistema de autenticación principal 13, 28 administrar usuarios entre sistemas 14 efectos de un cambio 15 grupo Sin acceso a Planning 14 requisitos de configuración de usuarios 13 sistemas definición 13 SiteMinder integration enabling 48 U Usuario principal del sistema 12 usuarios convertir un usuario importado en un usuario de BusinessObjects Planning 29 exportar una lista de usuarios 65 importar de Active Directory 28 de BusinessObjects Enterprise 20 usuarios conectados 64 usuarios importados, definición 29 usuarios obsoletos 41 Usuarios conectados 64 usuarios importados convertir un usuario importado en un usuario de BusinessObjects Planning 29 definición 29 usuarios obsoletos 41 Manual del administrador para la seguridad de BusinessObjects Planning 69 Índice 70 Manual del administrador para la seguridad de BusinessObjects Planning
© Copyright 2024