Manual del administrador para la seguridad de

Manual del administrador para la
seguridad de BusinessObjects
Planning
BusinessObjects Planning XI Release 2
Copyright
© 2007 Business Objects. Reservados todos los derechos. Business Objects es
propietaria de las siguientes patentes de EE.UU., que pueden incluir productos
ofrecidos y con licencia de Business Objects: 5,555,403; 6,247,008; 6,289,352;
6,490,593; 6,578,027; 6,768,986; 6,772,409; 6,831,668; 6,882,998 y 7,139,766.
Business Objects y el logotipo de Business Objects, BusinessObjects, Crystal
Reports, Crystal Xcelsius, Crystal Decisions, Intelligent Question, Desktop
Intelligence, Crystal Enterprise, Crystal Analysis, Web Intelligence, RapidMarts y
BusinessQuery son marcas comerciales o marcas comerciales registradas de
Business Objects en los Estados Unidos y/u otros países. Todos los demás
nombres aquí mencionados pueden ser marcas comerciales de sus respectivos
propietarios.
Terceros
contribuyentes
Los productos de Business Objects de esta versión pueden contener
redistribuciones de software con licencia de terceros contribuyentes. Algunos de
estos componentes individuales también pueden estar disponibles bajo licencias
alternativas. Una lista parcial de terceros contribuyentes que han solicitado o
permitido que se mencionen, así como los avisos necesarios, se puede encontrar
en: http://www.businessobjects.com/thirdparty
Contenido
Capítulo 1
Introducción
7
Acerca de este manual................................................................................8
Quién debe leer este manual.................................................................8
Recursos de información de Business Objects...........................................9
Capítulo 2
Información general sobre la administración de seguridad
11
Responsabilidades de la administración de seguridad en BusinessObjects
Planning.....................................................................................................12
Acerca del sistema de autenticación principal...........................................13
¿En qué consiste un sistema?.............................................................13
Requisitos de configuración de usuarios.............................................13
Administración de usuarios entre sistemas .........................................14
Para designar el sistema de autenticación principal.................................15
Efectos de un cambio de sistema de autenticación principal...............15
Flujo de trabajo de seguridad con varios sistemas...................................16
Capítulo 3
Integración de seguridad
19
Opciones de integración de seguridad......................................................20
Comportamiento del inicio de sesión con integración de seguridad.........22
Habilitar la integración de seguridad.........................................................23
Para seleccionar una opción de integración de seguridad..................23
Para definir los dominios disponibles para integración de seguridad...24
Capítulo 4
Integración de Active Directory
27
Funciones de importación de usuarios de Active Directory.......................28
Acerca de los usuarios importados......................................................29
Manual del administrador para la seguridad de BusinessObjects Planning
3
Contenido
Propiedades importadas de Active Directory.......................................29
Gestionar jerarquías de grupo..............................................................30
Limitaciones de la integración de Active Directory...............................31
Proceso de importación de usuarios.........................................................31
Configurar los parámetros de importación de usuario de Active Directory.32
Para configurar los parámetros de importación de Active Directory.....33
Para seleccionar grupos de Active Directory para su importación..34
Consideraciones al seleccionar grupos de Active Directory para
importar.....................................................................................35
Para seleccionar sistemas de destino para la importación de usuarios
de Active Directory..........................................................................35
Para definir la configuración de asignación de propiedades para la
importación de usuarios de Active Directory..................................37
Para habilitar o deshabilitar sistemas para la importación de usuarios
de Active Directory..........................................................................37
Para exportar los parámetros de importación de Active Directory.......38
Importación de grupos y usuarios de Active Directory..............................39
Para importar usuarios de Active Directory..........................................39
Para programar una importación de usuarios de Active Directory para
que se ejecute automáticamente.........................................................40
Reglas de importación de Active Directory..........................................41
Reconciliar usuarios existentes con Active Directory................................43
Reglas de reconciliación de usuarios...................................................44
Para reconciliar usuarios de Active Directory con usuarios existentes de
BusinessObjects Planning....................................................................45
Capítulo 5
Integración de Siteminder
47
Requisitos de integración de SiteMinder...................................................48
Para habilitar la integración de SiteMinder en Planning Configuration
Manager.....................................................................................................48
Configuración de integración de Siteminder........................................49
Configuración de SiteMinder para utilizar con BusinessObjects Planning.50
4
Manual del administrador para la seguridad de BusinessObjects Planning
Contenido
Para configurar el entorno de Planning en SiteMinder........................50
Niveles de protección para la integración de SiteMinder................51
Para ajustar la configuración de Agent Config Objects para usar con Web
Reports.................................................................................................51
Para editar la configuración de registro de SiteMinder para usar con Web
Checkout..............................................................................................52
Registro en Enterprise Desktop con la integración de SiteMinder............52
Capítulo 6
Funciones de administración de seguridad
53
Administración de contraseñas.................................................................54
Configuración de administración de contraseñas................................55
Registro de auditorías................................................................................57
Para ver el registro de auditorías.........................................................57
Para filtrar el registro de auditorías......................................................59
Para exportar el contenido del registro de auditorías..........................60
Actividades registradas........................................................................60
Archivar y depurar el registro de auditorías.........................................63
Bloquear usuarios......................................................................................63
Para ver una lista de los usuarios conectados..........................................64
Para exportar una lista de usuarios y grupos............................................65
Contenido de informes de usuario.......................................................65
Índice
67
Manual del administrador para la seguridad de BusinessObjects Planning
5
Contenido
6
Manual del administrador para la seguridad de BusinessObjects Planning
Introducción
1
1
Introducción
Acerca de este manual
Acerca de este manual
En este manual se explican conceptos y procedimientos de la administración
de seguridad para BusinessObjects™ Planning. La información de este
manual supone que dispone de una instalación de BusinessObjects Planning
en uso. Para obtener la información sobre la instalación, consulte el Manual
de instalación de BusinessObjects Planning.
En este manual se tratan los siguientes temas:
•
•
•
•
•
Sistema de autenticación principal
Opciones de integración de seguridad
Integración de Microsoft® Active Directory®
Integración de SiteMinder
Funciones de administración de seguridad
En este manual no se tratan los siguientes temas:
•
•
•
Crear manualmente usuarios y grupos de seguridad
Establecer derechos de acceso de usuario
Integración de usuarios de BusinessObjects
Para obtener información sobre los temas de seguridad que no incluye este
manual, consulte la Ayuda en pantalla de Planning Professional Edition o el
Manual del administrador de Planning Professional Edition. Para obtener
información sobre la integración de usuarios de BusinessObjects, consulte
el Manual de integración de BusinessObjects Planning con BusinessObjects
XI.
Quién debe leer este manual
Generalmente, la administración de seguridad de BusinessObjects Planning
se gestiona en el departamento de Tecnología de la información de la
organización. La persona que se ocupe de la administración de seguridad
debe estar familiarizada con los conceptos generales de seguridad así como
con las tecnologías específicas de administración de seguridad como Active
Directory.
8
Manual del administrador para la seguridad de BusinessObjects Planning
Introducción
Recursos de información de Business Objects
Recursos de información de Business
Objects
Documentación
Puede acceder a la documentación desde la interfaz del producto, la Web
o la distribución del producto.
Para conocer la documnentación disponible para BusinessObjects Planning,
consulte la Guía para la documentación de BusinessObjects Planning.
El conjunto completo de documentación electrónica (incluida la guía) se
encuentra en la Web en http://support.businessobjects.com/documentation/,
o en la distribución del producto en la carpeta \Documents.
Soporte al cliente en línea
El sitio Web de soporte al cliente de Business Objects contiene información
sobre los programas y servicios de soporte al cliente. También contiene
vínculos a una gran variedad de información técnica, incluidos artículos de
la base de conocimientos, descargas y foros de asistencia.
http://www.businessobjects.com/support/
¿Está buscando la solución de despliegue más adecuada para su empresa?
Los consultores de Business Objects pueden acompañarle desde la fase
de análisis inicial hasta la entrega de su proyecto de despliegue. Tenemos
experiencia en bases de datos relacionales y multidimensionales,
conectividades, herramientas de diseño de bases de datos, administración
del rendimiento y planificación, tecnología de incorporación personalizada
y en más campos.
Para obtener más información, póngase en contacto con su representante
de ventas o con nosotros en:
http://www.businessobjects.com/services/consulting/
¿Busca opciones de formación?
Podemos ofrecerle desde cursos tradicionales presenciales hasta seminarios
concretos de e-learning, podemos ofrecerle un paquete de formación que
Manual del administrador para la seguridad de BusinessObjects Planning
9
1
1
Introducción
Recursos de información de Business Objects
se adapte a sus necesidades de aprendizaje y al estilo de enseñanza que
prefiera. Consulte más información en el sitio Web de formación de Business
Objects:
http://www.businessobjects.com/services/training
Envíenos sus comentarios
¿Tiene alguna sugerencia sobre cómo podemos mejorar la documentación?
¿Hay algo en particular que le gusta o que ha encontrado útil? Envíenos
unas líneas y haremos todo lo posible por garantizar que su sugerencia esté
incluida en la próxima versión de nuestra documentación:
[email protected]
Nota: Si su problema se refiere a un producto de Business Objects y no a
la documentación, póngase en contacto con nuestros expertos en soporte
al cliente. Para obtener información sobre Asistencia al cliente, visite:
http://www.businessobjects.com/support/.
10
Manual del administrador para la seguridad de BusinessObjects Planning
Información general sobre
la administración de
seguridad
2
2
Información general sobre la administración de seguridad
Responsabilidades de la administración de seguridad en BusinessObjects Planning
Responsabilidades de la administración
de seguridad en BusinessObjects
Planning
La administración de seguridad en BusinessObjects Planning supone un
esfuerzo de colaboración entre el departamento de Tecnología de la
información y el administrador del sistema BusinessObjects Planning (o el
"usuario principal del sistema").
La autenticación de usuarios de BusinessObjects Planning se controla
mediante un sistema de autenticación principal definido. Los usuarios y
grupos se pueden importar de orígenes admitidos como Active Directory, o
bien se pueden crear manualmente en BusinessObjects Planning.
Los derechos de acceso de cada usuario en BusinessObjects Planning se
controlan por sistema. El acceso del usuario se puede controlar en diferentes
niveles, como por función o por área principal de menús. Los usuarios
también pueden estar limitados a un subconjunto específico de datos.
Las responsabilidades de la administración de seguridad por lo general se
dividen entre el departamento de Tecnología de la información y el usuario
principal del sistema, como se explica en la siguiente tabla:
Departamento de Tecnología de la informa- Usuario principal del sistema
ción
•
•
•
Definición de parámetros de configuración •
de seguridad como el sistema de autenticación principal y la integración de seguri- •
dad
Configuración e inicio de importaciones de
usuario desde Active Directory
Definición de reglas de administración de
contraseñas
Definición de derechos de acceso de
usuario y grupo a cada sistema
Creación manual de usuarios y grupos (si
no se habilita la integración con Active Directory)
Otras responsabilidades relacionadas con la seguridad, como la revisión y
el archivo del registro de seguridad, por lo general se comparten.
12
Manual del administrador para la seguridad de BusinessObjects Planning
Información general sobre la administración de seguridad
Acerca del sistema de autenticación principal
En este manual se tratan las responsabilidades del departamento de
Tecnología de la información. Para obtener información más detallada sobre
las responsabilidades del usuario principal del sistema, consulte la Ayuda
en pantalla de Planning Professional Edition o el Manual del administrador
de Planning Professional Edition.
Acerca del sistema de autenticación
principal
Todas las implementaciones de BusinessObjects Planning deben designar
un sistema como sistema de autenticación principal. El sistema principal de
autenticación controla el acceso de los usuarios a todos los sistemas
BusinessObjects Planning definidos en el entorno.
¿En qué consiste un sistema?
Un "sistema" es un directorio de usuario y una base de datos únicos de
BusinessObjects Planning. Puede que su organización haya adquirido
licencias para uno o varios sistemas y los haya implementado.
Por ejemplo, puede que tenga licencia para dos aplicaciones de
BusinessObjects Planning, una para presupuestos y otra para previsiones.
Cada una de estas aplicaciones dispone de un directorio de usuario y una
base de datos únicos, por lo que deben definirse en Configuration Manager
como sistemas independientes.
No siempre existe un directorio de usuario y una base de datos
independientes para cada aplicación de BusinessObjects Planning. Por
ejemplo, las planificaciones de presupuestos y de nóminas generalmente
se implementan con un solo directorio de usuario y una sola base de datos.
En este caso, sólo es necesario definir un sistema.
Requisitos de configuración de usuarios
El sistema de autenticación principal incluye la lista de usuarios de todos
los sistemas. Los derechos específicos de acceso de cada usuario (incluidas
las asignaciones a grupos) se definen para cada sistema y deben
administrarse en cada sistema individual.
Manual del administrador para la seguridad de BusinessObjects Planning
13
2
2
Información general sobre la administración de seguridad
Acerca del sistema de autenticación principal
Si su organización dispone de un único sistema BusinessObjects Planning,
éste será el sistema principal de autenticación y sólo habrá que administrar
una instancia de parámetros de seguridad.
Para ver y administrar parámetros de seguridad para un sistema concreto,
inicie sesión en ese sistema utilizando Professional Edition y acceda a
Parámetros de seguridad. Con la excepción de la información de usuario
(nombre, apellido, dirección de correo electrónico y contraseña), la
configuración definida en un sistema no se puede heredar en otro.
Administración de usuarios entre sistemas
BusinessObjects Planning admite dos métodos de creación de usuarios.
Los usuarios pueden importarse de un origen compatible o pueden crearse
manualmente dentro de un sistema.
Cuando se importan usuarios de un origen compatible, los grupos y usuarios
se pueden importar a la vez en el Sistema de autenticación principal y en
todos los sistemas adicionales. Si bien todavía debe definir los parámetros
específicos de seguridad en cada sistema, los usuarios y grupos se crean
automáticamente en todos los sistemas seleccionados.
Cada vez que se agrega un usuario a un sistema distinto del sistema de
autenticación principal, BusinessObjects Planning comprueba si el usuario
ya existe en el sistema de autenticación principal.
•
•
Si existe, BusinessObjects Planning utiliza la información de usuario
existente para configurar el usuario en el sistema distinto del sistema de
autenticación principal.
Si el usuario no existe, se crea en el sistema de autenticación principal
y se asigna a su grupo Sin acceso a Planning.
El grupo Sin acceso a Planning es un grupo de seguridad estándar de
BusinessObjects Planning. Este grupo ha sido diseñado para permitir la
autenticación de usuarios en BusinessObjects Planning y, al mismo tiempo,
impedir su acceso a las funciones de seguridad, a los datos o a los libros
de planes. Si lo desea, puede editar los usuarios para quitar la asignación
al grupo Sin acceso a Planning o para permitir determinados derechos.
Si se elimina un usuario del sistema de autenticación principal, también se
elimina en todos los sistemas. Si se elimina un usuario de un sistema distinto
14
Manual del administrador para la seguridad de BusinessObjects Planning
Información general sobre la administración de seguridad
Para designar el sistema de autenticación principal
del sistema de autenticación principal, el usuario sólo pierde el acceso a
dicho sistema.
Nota: Los grupos de seguridad no se comparten entre los sistemas. Incluso
si importa un grupo en varios sistemas, el grupo existirá como entidad
exclusiva dentro de cada uno de ellos.
Para designar el sistema de autenticación
principal
El sistema de autenticación principal se establece en Configuration Manager.
Para obtener información detallada sobre Configuration Manager, consulte
el Manual de instalación de BusinessObjects Planning.
1. En el servidor que aloja Planning Application Server, elija Inicio >
Programas > BusinessObjects EPM > BusinessObjects EPM Tools
> BusinessObjects Planning > Configuration Manager.
2. En el menú del panel izquierdo, seleccione Global Parameters >
Security.
En el panel derecho aparecen las opciones de configuración de seguridad.
3. En la lista Primary Authentication System, seleccione el sistema que
desea.
Después de definir el sistema de autenticación principal, no debe cambiarse.
El cambio posterior de este parámetro afecta al sistema y no se recomienda.
Efectos de un cambio de sistema de autenticación
principal
Una vez definido, el sistema de autenticación principal no debería cambiarse.
El cambio posterior de este parámetro afecta al sistema y no se recomienda.
Entre los posibles efectos de un cambio de sistema de autenticación principal
se incluyen:
•
Los usuarios que estaban definidos en el sistema de autenticación
principal anterior pero no en el nuevo no podrán acceder a
BusinessObjects Planning. Es preciso copiar dichos usuarios al sistema
de autenticación principal.
Manual del administrador para la seguridad de BusinessObjects Planning
15
2
2
Información general sobre la administración de seguridad
Flujo de trabajo de seguridad con varios sistemas
•
•
Los usuarios dejarán de tener acceso a favoritos Web o avisos que se
hayan guardado antes del cambio. Los favoritos Web y los avisos se
guardan en la base de datos del sistema de autenticación principal.
La carpeta \ServerRootSplash debe colocarse en el directorio de usuario
del nuevo sistema de autenticación principal.
Flujo de trabajo de seguridad con varios
sistemas
En este tema se explica el flujo de trabajo básico al definir parámetros de
seguridad de usuario para varios sistemas.
Después de configurar BusinessObjects Planning y elegir un sistema de
autenticación principal, puede configurar los grupos y los usuarios
individuales.
Crear usuarios y grupos manualmente
1. Dentro de cada sistema debe crear los grupos necesarios para el mismo
y definir los parámetros de seguridad para cada grupo.
Los grupos no se comparten entre sistemas. Cada grupo existe como
una entidad aparte de las demás en el mismo sistema, tanto si el grupo
se ha creado manualmente como si se ha importado como parte de una
importación de usuario. Un mismo nombre de grupo se puede usar en
varios sistemas.
El grupo de administradores integrado es exclusivo para cada sistema.
Si se añade un usuario al grupo de administradores dentro de un sistema,
ese usuario tendrá derechos de administrador únicamente para ese
sistema.
2. Dentro de cada sistema, agregue cada usuario que requiera acceso al
mismo y defina los parámetros de seguridad de cada usuario para ese
sistema (incluidas las posibles asignaciones de grupo).
No es preciso definir de antemano todos los usuarios del sistema de
autenticación principal; simplemente añada usuarios a los sistemas para
los que requieran acceso. El sistema de autenticación principal se
actualizará según se requiera, de acuerdo con las reglas siguientes:
•
16
Si agrega un usuario a un sistema y el ID de usuario ya existe en el
sistema de autenticación principal, el software se lo notificará y copiará
Manual del administrador para la seguridad de BusinessObjects Planning
Información general sobre la administración de seguridad
Flujo de trabajo de seguridad con varios sistemas
•
la información del usuario al sistema actual. No se copian parámetros
de seguridad, sino sólo datos de usuario como el nombre, los apellidos
y la dirección de correo electrónico.
Si agrega un usuario a un sistema y el ID de usuario aún no existe
en el sistema de autenticación principal, el usuario se copiará al
sistema de autenticación principal. En el sistema de autenticación
principal el usuario se asigna al grupo Sin acceso a Planning.
Posteriormente podrá editar los parámetros de ese usuario en el
sistema de autenticación principal, si el usuario requiere acceso al
mismo. De no ser así, no es preciso realizar ninguna acción para ese
usuario en el sistema de autenticación principal.
Importar usuarios y grupos
Si importa usuarios, tanto los usuairos como los grupos se crean al ejecutar
la importación; aparte de esta diferencia, las reglas aplicadas son las mismas
que al crear usuarios manualmente.
1. Dentro del sistema de autenticación principal, configure los parámetros
de importación del usuario.
Para cada grupo que se vaya a importar, los sistemas de destino deberían
ser únicamente aquellos para los que requieran acceso los usuarios
pertenecientes al grupo. No es preciso especificar el sistema de
autenticación principal como destino de importación a menos que los
usuarios dentro del grupo requieran acceso a ese sistema.
2. Ejecute la importación de usuarios.
Los grupos y usuarios importados se crean en el sistema de destino
requerido. Por lo que respecta al sistema de autenticación principal, los
usuarios y grupos se crean del modo siguiente:
• Si se especifica el sistema de autenticación principal como destino
de importación, el grupo importado y sus usuarios se crearán en el
sistema de autenticación principal y los usuarios importados se asignan
a ese grupo.
• Si no se especifica el sistema de autenticación principal como destino
de importación para un grupo, los usuarios del grupo se crearán en
el sistema de autenticación principal y se asignarán al grupo Sin
acceso a Planning. No es preciso realizar ninguna otra acción para
estos usuarios dentro del sistema de autenticación principal.
3. Dentro de cada sistema, defina los parámetros de seguridad para cada
grupo y cada usuario importado.
Manual del administrador para la seguridad de BusinessObjects Planning
17
2
2
Información general sobre la administración de seguridad
Flujo de trabajo de seguridad con varios sistemas
El método más sencillo consiste en definir primero la configuración de
grupo y luego definir cualquier configuración de parámetros específicos
de usuario.
Añadir un sistema a una implementación existente
Si añade a su implementación de BusinessObjects Planning un sistema
nuevo que ya contiene usuarios, debe ejecutar la Utilidad de copia de
usuarios en Parámetros de seguridad para copiar los usuarios nuevos al
sistema de autenticación principal. Los usuarios añadidos al sistema de
autenticación principal se asignarán al grupo Sin acceso a Planning.
Si el sistema nuevo no contiene ningún usuario, o si los que contiene ya
están definidos en el sistema de autenticación principal (con los mismos
identificadores de usuario), no es necesario ejecutar la Utilidad de copia de
usuarios. En caso de duda, puede ejecutar dicha utilidad: simplemente no
realizará ninguna acción si no encuentra usuarios que no existan aún en el
sistema de autenticación principal.
Los usuarios definidos después de haberse agregado el sistema a la
implementación de BusinessObjects Planning se gestionarán del modo
habitual.
18
Manual del administrador para la seguridad de BusinessObjects Planning
Integración de seguridad
3
3
Integración de seguridad
Opciones de integración de seguridad
BusinessObjects Planning admite varias opciones de integración de
seguridad, incluidas:
•
•
La capacidad de importar usuarios y grupos de Active Directory en
BusinessObjects Planning.
La posibilidad de autenticar usuarios basándose en sus credenciales de
red.
Nota: BusinessObjects Planning también admite la posibilidad de importar
usuarios y grupos de BusinessObjects Enterprise. Esta funcionalidad es
parte del conjunto de funciones de integración de BusinessObjects, y se
trata en el manual independiente Manual de integración de BusinessObjects
Planning con BusinessObjects XI. Estas funciones se excluyen mutuamente;
puede activar bien la integración de BusinessObjects o bien una de las
opciones de integración de seguridad que se explican en este capítulo.
Opciones de integración de seguridad
BusinessObjects Planning admite tres tipos de integración de seguridad:
Desktop, Active Directory implícita y Active Directory explícita. De forma
predeterminada, la integración de seguridad no está habilitada.
Escritorio
La integración Desktop permite validar usuarios basándose en sus
credenciales de red. Si el nombre de inicio de sesión en red de un usuario
coincide con un nombre de usuario válido en BusinessObjects Planning,
este usuario no necesita proporcionar otras credenciales para acceder a
BusinessObjects Planning.
Los usuarios deben crearse manualmente en BusinessObjects Planning. La
opción Desktop equivale a la antigua función de integración de red de
versiones anteriores del software.
Para habilitar este tipo de integración de seguridad, seleccione Desktop
como opción de habilitación de integración en Configuration Manager.
Si está habilitada la integración Desktop, se aplican las siguientes
consideraciones:
•
20
El nombre de usuario en BusinessObjects Planning de cada usuario debe
ser el mismo que su nombre de usuario en red.
Manual del administrador para la seguridad de BusinessObjects Planning
Integración de seguridad
Opciones de integración de seguridad
•
Todos los usuarios deben tener asignada una contraseña en
BusinessObjects Planning, para impedir el acceso no autorizado. Se
pueden utilizar las funciones de contraseña predeterminada de
BusinessObjects Planning para garantizar que se asigna una contraseña
a todos los usuarios.
Nota: La opción de integración Desktop también se puede utilizar para
activar la integración de SiteMinder para las opciones de acceso Web.
Active Directory implícita
La integración Active Directory implícita permite un inicio de sesión integrado
y la posibilidad de importar usuarios de Active Directory. Si el ID de usuario
en Windows de un usuario coincide con un ID de usuario importado en
BusinessObjects Planning, y el usuario ha iniciado sesión en un dominio
reconocido, este usuario no necesita proporcionar otras credenciales para
acceder a BusinessObjects Planning.
Los grupos y usuarios de Active Directory se pueden importar en
BusinessObjects Planning utilizando las funciones de importación de
Professional Edition. Estas funciones de importación sólo están a disposición
de los administradores y sólo se encuentran en el sistema de autenticación
principal.
Para habilitar este tipo de integración de seguridad, seleccione ADSImplicit
como opción de habilitación de integración en Configuration Manager.
Active Directory explícita
La integración Active Directory explícita se diferencia de la integración Active
Directory implícita en que los usuarios siempre deben proporcionar su
contraseña de Windows para acceder a BusinessObjects Planning.
Para habilitar este tipo de integración de seguridad, seleccione ADSExplicit
como opción de habilitación de integración en Configuration Manager.
Nota: La opción de integración de seguridad ADSExplicit no se admite en
entornos que usen Novell Netware.
Temas relacionados
•
Integración de Siteminder en la página 47
Manual del administrador para la seguridad de BusinessObjects Planning
21
3
3
Integración de seguridad
Comportamiento del inicio de sesión con integración de seguridad
Comportamiento del inicio de sesión con
integración de seguridad
El cuadro de diálogo de inicio de sesión de BusinessObjects Planning se
presenta prácticamente siempre a los usuarios. Incluso si el usuario no debe
introducir una contraseña, puede que deba seleccionar un sistema específico
al que acceder. La excepción es Enterprise Desktop:– si están habilitadas
las integraciones Desktop o Active Directory implícita, los usuarios no ven
la página de inicio de sesión de Enterprise Desktop y acceden directamente
a la página de inicio.
El modo en que los usuarios integrados inician una sesión depende de la
opción de acceso.
Nota: Los siguientes temas sólo se aplican a la integración de Active
Directory o Desktop, no a la integración de BusinessObjects. Para obtener
información sobre la integración de BusinessObjects, consulte el Manual de
integración de BusinessObjects Planning con BusinessObjects XI.
Professional Edition
Si está activada la integración de seguridad, en el diálogo de inicio de sesión
de Professional Edition aparece un campo denominado Autenticación. Si el
usuario inicia sesión en un dominio aprobado y el software encuentra una
coincidencia para las credenciales del usuario, se selecciona de modo
predeterminado el tipo de autenticación apropiado.
En caso contrario, el usuario puede elegir el tipo de autenticación de Planning
con el que iniciar la sesión utilizando un nombre de usuario y contraseña de
BusinessObjects Planning.
Acceso Web
En el caso de Enterprise Desktop o un inicio de sesión Web independiente,
la sintaxis URL determina si se aplica el inicio de sesión predeterminado o
integrado. Para obtener más información sobre el inicio de sesión Web
independiente y de Enterprise Desktop, consulte el Manual de instalación
de BusinessObjects Planning.
•
22
Si se usa la página de inicio de sesión integrado (loginedi.aspx o lo
ginsai.aspx), el software intentará autenticar el usuario basándose en
el tipo de integración de seguridad activado. Si el software no encuentra
Manual del administrador para la seguridad de BusinessObjects Planning
Integración de seguridad
Habilitar la integración de seguridad
ninguna coincidencia para las credenciales del usuario, el usuario no
podrá iniciar una sesión mediante esta página. El usuario debe utilizar
la página de inicio de sesión predeterminada.
•
Si se usa la página de inicio de sesión predeterminada (logined.aspx
o loginsa.aspx), el usuario puede utilizar el campo Autenticación para
seleccionar un tipo de autenticación (de Planning o el tipo de integración
de seguridad activado).
Habilitar la integración de seguridad
La integración de seguridad se habilita en Configuration Manager. Para
obtener información detallada sobre Configuration Manager, consulte el
Manual de instalación de BusinessObjects Planning.
Para abrir Configuration Manager, seleccione Inicio > Programas >
BusinessObjects EPM > BusinessObjects EPM Tools > BusinessObjects
Planning > Configuration Manager en el servidor que aloja Planning
Application Server.
Para seleccionar una opción de integración de
seguridad
1. En la estructura de árbol del panel izquierdo, seleccione Global
Parameters > Security.
En el panel derecho aparecen las opciones de configuración de seguridad.
2. En la lista Integration Enablement, seleccione una de las siguientes
opciones:
Opción
Descripción
Escritorio
habilita el inicio de sesión integrado basado en credenciales
de red. También se puede usar para activar la integración
de SiteMinder.
ADSImplicit
habilita el inicio de sesión integrado basado en credenciales
de Windows y la posibilidad de importar usuarios y grupos
de Active Directory.
Manual del administrador para la seguridad de BusinessObjects Planning
23
3
3
Integración de seguridad
Habilitar la integración de seguridad
Opción
Descripción
ADSExplicit
habilita la posibilidad de importar usuarios y grupos de Active Directory. Los usuarios deben proporcionar su contraseña de Windows para acceder al sistema.
None
No se habilita la integración de seguridad y todos los
usuarios deben proporcionar un nombre de usuario y una
contraseña de BusinessObjects Planning para acceder al
sistema. Ésta es la configuración predeterminada.
Nota: Si se habilita la integración ADSImplicit o ADSExplicit, la cuenta
de usuario del servidor de aplicaciones de Planning (cuenta de servicio
de Planning) debe tener privilegios suficientes para ver Active Directory.
•
•
Si se selecciona una opción diferente a None, también debe definir los
dominios disponibles para la integración de la seguridad.
Si está activada la integración de Active Directory (ADSImplicit o
ADSExplicit), asegúrese de que también se han seleccionado los
parámetros Server Host Name y Server Port del nodo Global Parameters
> Application Server.
Para definir los dominios disponibles para
integración de seguridad
Si la integración está habilitada (Integration Enablement está definido con
un valor distinto de None), deben definir los dominios disponibles. Para los
fines de inicio de sesión integrado, BusinessObjects Planning sólo reconoce
los usuarios conectados en los dominios incluidos en la lista Available
Domains.
1. Expanda el nodo Security y seleccione Available Domains.
En el panel derecho aparece la cuadrícula Available Domains.
2. Escriba un nombre de dominio en la celda en blanco.
En la cuadrícula siempre hay una celda en blanco visible. Cuando
empieza a escribir en una celda en blanco, bajo ella se crea
automáticamente otra celda en blanco nueva.
24
Manual del administrador para la seguridad de BusinessObjects Planning
Integración de seguridad
Habilitar la integración de seguridad
3. Repita este proceso (un nombre de dominio por celda) hasta que disponga
de todos los dominios que desea reconocer para la integración de
seguridad.
Todos los dominios incluidos deben pertenecer al mismo bosque.
Manual del administrador para la seguridad de BusinessObjects Planning
25
3
3
Integración de seguridad
Habilitar la integración de seguridad
26
Manual del administrador para la seguridad de BusinessObjects Planning
Integración de Active
Directory
4
4
Integración de Active Directory
Funciones de importación de usuarios de Active Directory
En este capítulo se proporciona una descripción general de las funciones
de importación de Active Directory en Professional Edition e instrucciones
para configurar y ejecutar una importación.
La integración de Active Directory debe estar habilitada para poder utilizarse.
Para obtener información detallada sobre la habilitación de la integración
de Active Directory, consulte Habilitar la integración de seguridad en la
página 23.
Nota: A la función Integración de Active Directory sólo pueden acceder los
administradores que pertenezcan al sistema principal de autenticación.
Aunque los usuarios y los grupos pueden importarse en cualquier sistema,
la importación debe administrarse desde el sistema principal de autenticación.
Funciones de importación de usuarios de
Active Directory
Si está habilitada la integración de Active Directory, se muestra un nuevo
comando en Professional Edition llamado Integración de Active Directory.
Este comando sólo está disponible en el sistema de autenticación principal
y sólo pueden acceder a él los administradores. Además, el usuario
administrador debe estar conectado en Windows con una cuenta de usuario
de dominio con privilegios suficientes para ver los grupos y usuarios de
Active Directory.
El cuadro de diálogo Integración de Active Directory permite realizar las
siguientes tareas:
•
•
•
•
•
•
•
28
Seleccionar grupos de Active Directory para importar desde diferentes
dominios
Establecer los sistemas BusinessObjects Planning de destino para cada
grupo
Asignar las propiedades de usuario de Active Directory a las propiedades
de usuario de BusinessObjects Planning asociadas
Habilitar o deshabilitar sistemas BusinessObjects Planning específicos
para la importación.
Guardar los parámetros de configuración de la importación
Exportar los parámetros de configuración de la importación
Iniciar una importación de Active Directory.
Manual del administrador para la seguridad de BusinessObjects Planning
Integración de Active Directory
Funciones de importación de usuarios de Active Directory
Una vez guardados los parámetros de configuración de la importación, puede
programar las importaciones de Active Directory para que las ejecute
automáticamente la utilidad Scheduler.
Acerca de los usuarios importados
El uso de las funciones de integración de usuarios introduce el concepto de
dos tipos de usuarios: ”usuarios importados" y “usuarios de BusinessObjects
Planning”.
Los términos "usuario impoartado" y "grupo importado hacen referencia a
usuario y grupos que se han importado a BusinessObjects Planning desde
una fuente externa y que se mantienen sincronizados con la fuente original.
Los términos "usuario de BusinessObjects Planning" y "grupo de
BusinessObjetcs Planning" hacen referencia a usuarios y grupos creados
en BusinessObjects Planning o usuarios y grupos que se han convertido al
formato de BusinessObjects Planning.
Todos los usuarios y grupos importados se marcan con la casilla Importado
situada en la parte superior de las fichas Información de usuario o
Información de grupo de Parámetros de seguridad. Si la casilla de verificación
Importado está marcada, el usuario o grupo se sincronizará con la fuente
durante cualquier importación futura.
Puede convertir un usuario o un grupo importado en un usuario o grupo de
BusinessObjects Planning si anula la selección de la casilla Importado. Si
un usuario importado se convierte, dicho usuario quedará totalmente
administrado por BusinessObjects Planning y no se verá afectado por
importaciones futuras. Esta conversión no se puede anular.
Propiedades importadas de Active Directory
Se importan las siguientes propiedades desde Active Directory: nombre,
apellido y dirección de correo electrónico. Estas propiedades no se pueden
editar en BusinessObjects Planning mientras el usuario siga marcado como
un usuario importado. Se actualizan en las importaciones posteriores de
Active Directory.
Las asignaciones de grupo de los usuarios importados se sincronizan como
parte de la importación de Active Directory. Sin embargo, también puede
Manual del administrador para la seguridad de BusinessObjects Planning
29
4
4
Integración de Active Directory
Funciones de importación de usuarios de Active Directory
asignar usuarios importados a grupos de BusinessObjects Planning. Estas
asignaciones a grupos de BusinessObjects Planning no se ven afectadas
por posteriores importaciones de Active Directory.
Cuando importa un grupo de Active Directory por primera vez, se le asignan
un conjunto de filtros que impiden el acceso a los datos y a los libros de
planes. Ésta es una medida de seguridad diseñada para impedir que los
nuevos usuarios importados tengan acceso completo al sistema mientras
se establecen las propiedades de seguridad específicas del grupo y de los
usuarios importados. Si se importa un nuevo usuario en un grupo existente,
el usuario hereda los parámetros de seguridad establecidos para el grupo
y no se le aplican restricciones adicionales.
Temas relacionados
•
Reglas de importación de Active Directory en la página 41
Gestionar jerarquías de grupo
Active Directory es compatible con las jerarquías de grupo. En Active
Directory, los grupos pueden contener otros grupos.
BusinessObjects Planning no admite jerarquías de grupo. Cada grupo de
BusinessObjects Planning es una entidad independiente que no tiene relación
con ningún otro grupo. Los usuarios de BusinessObjects Planning pueden
pertenecer a varios grupos.
Cuando se importan grupos jerárquicos en BusinessObjects Planning, la
estructura jerárquica se aplana. Los usuarios se asignan a su grupo más
inmediato o a cualquier grupo principal según corresponda.
Por ejemplo, el grupo B es un subgrupo del grupo A y ambos grupos están
seleccionados para su importación. Si un usuario es miembro del grupo B,
en BusinessObjects Planning será asignado tanto al grupo A como al grupo
B.
Puede seleccionar importar un subgrupo sin importar sus grupos principales,
pero no puede seleccionar importar un grupo principal sin importar todos
los subgrupos de este.
30
Manual del administrador para la seguridad de BusinessObjects Planning
Integración de Active Directory
Proceso de importación de usuarios
Limitaciones de la integración de Active Directory
La importación de grupos de Active Directory está sujeta a las siguientes
limitaciones.
•
•
•
Todos los grupos de Active Directory que vayan a importarse deben
existir en el mismo bosque. El cuadro de diálogo Integración de Active
Directory muestra todos los dominios del bosque actual.
Aunque puede importar grupos de cualquier dominio del bosque, por
razones de autenticación BusinessObjects Planning sólo reconoce los
usuarios pertenecientes a los dominios incluidos en Planning Configuration
Manager.
Las asignaciones de grupo cíclicas sin elementos principales definitivos
no se muestran en el cuadro de diálogo de integración de Active Directory
y, por lo tanto, no pueden importarse. (Por ejemplo: Grupo A es un
elemento hijo de Grupo B, y grupo B es un elemento secundario de Grupo
A.) Se fuerza esta limitación para prevenir un bucle infinito al rellenar la
lista de grupos disponibles en el cuadro de diálogo. Si un grupo de una
asignación cíclica también forma parte de una asignación no cíclica, el
grupo se mostrará en el cuadro de diálogo como parte de la asignación
no cíclica y podrá importarse.
Temas relacionados
•
Para definir los dominios disponibles para integración de seguridad en
la página 24
Proceso de importación de usuarios
Esta sección describe el proceso de importación de usuarios y proporciona
orientación para encontrar más información sobre cada paso.
1. Planifique los grupos que desea importar.
En este paso debería analizar el entorno de usuario en relación a Active
Directory y BusinessObjects Planning. ¿Qué usuarios requieren acceso
a BusinessObjects Planning? ¿Se pueden utilizar grupos de Active
Directory existentes o hay que crear nuevos grupos? ¿Con qué frecuencia
se deben realizar importaciones para mantener el sistema sincronizado?
2. Si es necesario, cree los grupos que se van a importar en Active
Directory.
Manual del administrador para la seguridad de BusinessObjects Planning
31
4
4
Integración de Active Directory
Configurar los parámetros de importación de usuario de Active Directory
Para obtener más información, consulte la documentación de Active
Directory.
3. Habilite la integración de Active Directory dentro de Planning
Configuration Manager.
Consulte Integración de seguridad en la página 19 para obtener más
información sobre las opciones de integración de Active Directory
disponibles (ADImplicit y ADExplicit) y cómo habilitarlas dentro de
Configuration Manager.
4. Configure y guarde la configuración de las importaciones.
En este paso, definirá qué grupos desea importar a sistemas de
BusinessObjects Planning específicos, así como las relaciones de
asignación entre las propiedades de usuario de BusinessObjects Planning
y las propiedades de usuario de Active Directory. Consulte Para configurar
los parámetros de importación de Active Directory en la página 33.
5. Realice la importación.
Las importaciones pueden hacerse manualmente de forma periódica o
se pueden programar para que se realicen automáticamente mediante
la utilidad Scheduler. Ambas opciones se tratan en Importación de grupos
y usuarios de Active Directory en la página 39. Esta sección también
describe las reglas utilizadas durante una importación.
6. Defina la configuración de seguridad de los usuarios y grupos
importados.
La configuración de seguridad de usuarios y grupos de BusinessObjects
Planning normalmente la define el usuario principal del sistema de
BusinessObjects Planning. Para obtener más información sobre los
parámetros disponibles, consulte el Manual del administrador de
Professional Edition.
Se pueden realizar importaciones posteriores con tanta frecuencia como
sea necesario para sincronizar las listas de usuarios.
Configurar los parámetros de importación
de usuario de Active Directory
Esta sección proporciona información acerca de la configuración de los
parámetros de importación de usuarios en Active Directory. Antes de poder
32
Manual del administrador para la seguridad de BusinessObjects Planning
Integración de Active Directory
Configurar los parámetros de importación de usuario de Active Directory
realizar la importación, debe configurar los parámetros de importación de
usuarios. Una vez guardados, estos parámetros pueden utilizarse en
importaciones futuras y editarse en cualquier momento.
Para configurar los parámetros de importación de
Active Directory
Este cuadro de diálogo de integración en Active Directory sólo está disponible
en el Sistema de autenticación principal y sólo pueden acceder a él los
administradores.
1. Haga clic en Plan > Administración > Integración de Active Directory.
En Excel 2007: en la ficha Plan, en el grupo Administración del sistema,
haga clic en Administración > Integración de Active Directory.
2. En la ficha Grupos de usuarios, seleccione los grupos de Active Directory
que desea importar.
Seleccione un dominio y utilice los botones de flecha para mover los
grupos seleccionados desde el cuadro se Grupos disponibles hasta el
cuadro Grupos seleccionados. Para obtener más información y
consideraciones específicas, consulte Para seleccionar grupos de Active
Directory para su importación en la página 34.
3. Para cada grupo de la lista Grupos asignados, seleccione los sistemas
BusinessObjects Planning de destino en los que desea importar el grupo.
Si una casilla de verificación está seleccionada, el grupo se importará a
ese sistema. Para obtener más información y consideraciones específicas,
consulte Para seleccionar sistemas de destino para la importación de
usuarios de Active Directory en la página 35.
4. En la ficha Configuración, defina los parámetros de asignación de
propiedades de la importación.
Indique la propiedad correspondiente de Active Directory para cada
propiedad de BusinessObjects Planning. Para obtener información más
específica, consulte Para definir la configuración de asignación de
propiedades para la importación de usuarios de Active Directory en la
página 37.
5. En el cuadro Habilitar/Deshabilitar importación por sistema, seleccione
los sistemas que desea habilitar para la importación.
Manual del administrador para la seguridad de BusinessObjects Planning
33
4
4
Integración de Active Directory
Configurar los parámetros de importación de usuario de Active Directory
Si la casilla de verificación de un sistema está seleccionada, ese sistema
estará habilitado para su importación. Para obtener más información y
consideraciones específicas, consulte Para habilitar o deshabilitar
sistemas para la importación de usuarios de Active Directory en la
página 37.
6. Haga clic en Guardar.
Si está preparado para realizar la importación ahora, haga clic en Importar.
Consulte Importación de grupos y usuarios de Active Directory en la
página 39, para obtener información completa sobre cómo realizar
importaciones.
Para seleccionar grupos de Active Directory para su importación
1. Haga clic en la ficha Grupos de usuarios del cuadro de diálogo
Integración de Active Directory.
2. Para agregar un grupo a la importación:
a. En la lista Dominio, haga clic en el dominio que desee.
En el cuadro Grupos disponibles se muestran los grupos disponibles
para dicho dominio.
b. En el cuadro Grupos disponibles, seleccione la casilla de verificación
de los grupos que desee importar.
Nota:
•
•
Puede utilizar los botones Seleccionar todo y Borrar todo situados
en la parte inferior del cuadro de diálogo para activar o desactivar
las casillas de todos los grupos.
Si un grupo tiene un icono junto a su nombre, puede expandir el
grupo para ver sus subgrupos. Los grupos secundarios pueden
seleccionarse de manera independiente de sus grupos principales.
Al seleccionar un grupo principal, se seleccionan automáticamente
todos sus grupos secundarios.
c. Haga clic en el botón >> para agregar los grupos seleccionados al
cuadro Grupos asignados.
Sugerencia: Para ver una lista de los usuarios de un grupo, haga clic
con el botón derecho en el grupo correspondiente, en el cuadro Grupos
asignados.
3. Para eliminar un grupo:
34
Manual del administrador para la seguridad de BusinessObjects Planning
Integración de Active Directory
Configurar los parámetros de importación de usuario de Active Directory
a. En el cuadro Grupos asignados, haga clic en la casilla gris junto al
nombre del grupo para seleccionar la fila entera.
Puede usar las teclas MAYÚS o CTRL para seleccionar múltiples
filas.
b. Haga clic en el botón << para eliminar el grupo del cuadro Grupos
asignados.
Consideraciones al seleccionar grupos de Active Directory para importar
La importación de usuarios se define por grupos – no puede seleccionar
usuarios individuales para importarlos.
Los grupos jerárquicos (grupos con subgrupos) se aplanarán al importarlos
a BusinessObjects Planning. Consulte Gestionar jerarquías de grupo en la
página 30.
Para otras consideraciones sobre la importación de grupos, consulte
Limitaciones de la integración de Active Directory en la página 31.
Si elimina un grupo que se importó anteriormente, todos los usuarios
importados pertenecientes a dicho grupo se quedarán obsoletos en la
siguiente importación, a menos que pertenezcan a otro grupo importado.
Para seleccionar sistemas de destino para la importación de
usuarios de Active Directory
Cuando seleccione grupos de Active Directory para su importación, debe
indicar los sistemas de destino de BusinessObjects Planning de cada grupo.
1. Haga clic en la ficha Grupos de usuarios del cuadro de diálogo
Integración de Active Directory.
Cada grupo seleccionado para importación aparece enumerado en el
cuadro Grupos asignados. A la derecha de la columna Nombre de grupo
existe una columna para todos los sistemas ("Todos") y, a continuación,
una columna por cada sistema individual.
De manera predeterminada, cuando un grupo se selecciona por primera
vez para su importación, todos los sistemas se seleccionan como destinos
de importación.
2. Para agregar sistemas de destino para su importación:
Manual del administrador para la seguridad de BusinessObjects Planning
35
4
4
Integración de Active Directory
Configurar los parámetros de importación de usuario de Active Directory
•
Seleccione la casilla de verificación de un sistema específico para
importar el grupo a ese sistema.
O
•
Active la casilla de verificación Todos para seleccionar todos los
sistemas.
3. Para eliminar sistemas de destino para su importación:
• Desmarque la casilla de verificación de un sistema concreto.
O
•
Desactive la casilla de verificación Todos para eliminar todos los
sistemas.
Consideraciones al seleccionar sistemas de destino para importar usuarios
Importación a sistemas recién añadidos
De manera predeterminada, cuando se agrega un grupo a la lista Grupos
seleccionados, todos los sistemas están seleccionados como sistemas de
destino. Si más tarde se agrega un sistema nuevo, deberá editar
manualmente los grupos seleccionados para incluir dicho sistema.
Selección del Sistema de autenticación principal como sistema de destino
Si los usuarios de un grupo no necesitan acceso al Sistema de autenticación
principal, no es necesario seleccionar dicho sistema como sistema de destino.
Los usuarios se agregarán de todas maneras al Sistema de autenticación
principal para que puedan iniciar sesión en BusinessObjects Planning, pero
dentro del Sistema de autenticación principal serán asignados al grupo de
Planning Sin acceso.
Si más tarde cambia de opinión y decide indicar el Sistema de autenticación
principal como sistema de destino, el grupo se creará en Sistema de
autenticación principal y los usuarios ya existentes serán asignados a dicho
grupo. Como ahora los usuarios están asignados a un grupo, la asignación
de Planning Sin acceso se eliminará.
Nota: La eliminación automatizada de la asignación de Planning Sin acceso
sólo se produce porque la asignación original se produjo automáticamente.
Si asigna manualmente a un usuario al grupo de Planning Sin acceso, dicha
asignación permanecerá hasta que la elimine.
36
Manual del administrador para la seguridad de BusinessObjects Planning
Integración de Active Directory
Configurar los parámetros de importación de usuario de Active Directory
Eliminar un sistema de destino
Si elimina un sistema de la lista de sistemas de destino de un grupo y ya ha
importado usuarios de ese grupo en dicho sistema, esos usuarios se volverán
obsoletos en el sistema en la siguiente importación.
Para definir la configuración de asignación de propiedades para
la importación de usuarios de Active Directory
Durante la importación de Active Directory, el Nombre de usuario siempre
se asigna a la propiedad samaccountname de Active Directory. Las
propiedades de Planning restantes deben asignarse a la propiedad de Active
Directory adecuada en su entorno.
1. Haga clic en la ficha Configuración del cuadro de diálogo Integración
de Active Directory.
2. Para cada propiedad de Planning, escriba el nombre de la propiedad de
Active Directory correspondiente en el cuadro apropiada o haga clic en
el botón situado a la derecha del cuadro para buscar un nombre de
propiedad.
Por ejemplo, si utiliza nombres de propiedad habituales de Active
Directory, las propiedades se asignarían de la siguiente forma:
Propiedad de Planning
Propiedad de Active Directory
Nombre
givenname
Apellido
sn
Correo electrónico
mail
Para habilitar o deshabilitar sistemas para la importación de
usuarios de Active Directory
Puede habilitar y deshabilitar sistemas para la importación de Active Directory
sin que afecten a las asignaciones del sistema de destino de los grupos
importados. La primera vez que se accede al diálogo de integración de Active
Directory, todos los sistemas están habilitados para importación de forma
Manual del administrador para la seguridad de BusinessObjects Planning
37
4
4
Integración de Active Directory
Configurar los parámetros de importación de usuario de Active Directory
predeterminada. Si se agregan sistemas posteriormente, deberá habilitarlos
manualmente.
1. Haga clic en la ficha Configuración del cuadro de diálogo Integración
de Active Directory.
Los sistemas disponibles de BusinessObjects Planning aparecen en el
cuadro Habilitar/Deshabilitar importación por sistema.
2. Seleccione la casilla de verificación de un sistema para habilitar dicho
sistema para importación o desactive la casilla de verificación para
deshabilitar dicho sistema para importación.
Consecuencias de la deshabilitación de sistemas para la importación de usuarios
Si se deshabilita un sistema para la importación de usuarios, no se importarán
usuarios o grupos a ese sistema, incluso si se selecciona como sistema de
destino en la ficha Grupos de usuarios. (Tenga en cuenta que la información
de nombre y correo electrónico de usuarios importados previamente se
seguirá sincronizando.)
La deshabilitación del sistema de autenticación principal deshabilitar todas
las funciones de importación de usuarios. El proceso de importación debe
ser capaz de crear usuarios en el Sistema de autenticación principal.
Para exportar los parámetros de importación de Active
Directory
Puede exportar los parámetros de importación de Active Directory como un
archivo XML para ayudarle a solucionar problemas con la importación.
1. Haga clic en Plan > Administración > Integración de Active Directory.
En Excel 2007: en la ficha Plan, en el grupo Administración del sistema,
haga clic en Administración > Integración de Active Directory.
2. Haga clic en la ficha Configuración.
3. Seleccione una de las opciones de exportación siguientes:
• Haga clic en Exportar configuración para exportar los parámetros de
importación. Esto incluye la lista de grupos de Active Directory y
sistemas de destino seleccionados, los parámetros de asignación de
propiedades y los parámetros de habilitación de sistemas.
38
Manual del administrador para la seguridad de BusinessObjects Planning
Integración de Active Directory
Importación de grupos y usuarios de Active Directory
•
Haga clic en Exportar grupos/usuarios para exportar la lista de grupos
y usuarios de Active Directory seleccionados para la importación.
4. Desplácese a la ubicación donde desea guardar el archivo de exportación
y haga clic en Aceptar.
Importación de grupos y usuarios de
Active Directory
Dispone de dos métodos para importar grupos y usuarios de Active Directory.
Puede realizar manualmente una importación mediante el cuadro de diálogo
Integración de Active Directory o bien puede programar una importación
para su ejecución automática mediante la utilidad Scheduler.
Para obtener información más detallada sobre las reglas que se aplican a
usuarios y grupos durante una importación de Active Directory, consulte
Reglas de importación de Active Directory en la página 41 .
Después de ejecutar una importación correctamente, asegúrese de
comprobar si existe alguna advertencia en el registro de auditorías.
Temas relacionados
•
Registro de auditorías en la página 57
Para importar usuarios de Active Directory
1. Haga clic en Plan > Administración > Integración de Active Directory.
En Excel 2007: en la ficha Plan, en el grupo Administración del sistema,
haga clic en Administración > Integración de Active Directory.
2. Revise los parámetros de importación para confirmar que son los que
desea. Si todavía no ha configurado los parámetros de importación,
consulte Para configurar los parámetros de importación de Active Directory
en la página 33.
3. Haga clic en Importar.
Si se producen errores durante la importación, un cuadro de mensaje advierte
que se han guardado en el registro de auditorías.
Manual del administrador para la seguridad de BusinessObjects Planning
39
4
4
Integración de Active Directory
Importación de grupos y usuarios de Active Directory
Temas relacionados
•
Registro de auditorías en la página 57
Para programar una importación de usuarios de
Active Directory para que se ejecute automáticamente
Puede programar una importación de usuarios para que la ejecute
automáticamente mediante la utilidad Scheduler. Antes de programar una
importación, es necesario configurar y guardar sus parámetros mediante el
cuadro de diálogo Integración de Active Directory.
A continuación se describen los pasos básicos para programar una
importación de usuarios. Para obtener información completa sobre la utilidad
Scheduler, consulte la Ayuda en pantalla de Planning Professional Edition
o el Manual del administrador de Planning Professional Edition.
1. Seleccione Utilidades > Scheduler en el menú Plan o en la vista en
árbol.
2. Haga clic en el icono Nuevo trabajo, y escriba un nombre y una
descripción para el nuevo trabajo.
También puede agregar la tarea de importación de usuarios a un trabajo
existente.
3. Agregue la tarea de importación de usuarios al trabajo:
a. En el panel Tareas de trabajo, situado en la parte inferior del cuadro
de diálogo, haga clic en el icono Nueva tarea.
Se abrirá el cuadro de diálogo Configurar tarea.
b. En la lista Tipo de tarea, haga clic en Importación de usuarios.
c. Asigne un nombre a la tarea y haga clic en Aceptar.
4. Complete los restantes parámetros del trabajo (Periodicidad del trabajo
y Notificaciones) haciendo clic en el Asistente para trabajos.
Nota: Recuerde que la hora de programación se determina teniendo en
cuenta la zona horaria del servidor de bases de datos de Planning. El
Asistente para trabajos muestra la hora de la base de datos (como "Hora
de Scheduler") y la hora local como referencia.
40
Manual del administrador para la seguridad de BusinessObjects Planning
Integración de Active Directory
Importación de grupos y usuarios de Active Directory
Reglas de importación de Active Directory
En esta sección se describen las reglas que BusinessObjects Planning aplica
cuando se realiza una importación de Active Directory. Este resumen le
ayudará a comprender el modo en que BusinessObjects Planning controla
las distintas condiciones de usuario y de grupo que pueden presentarse
durante una importación.
Reglas de grupo
Para cada grupo que se va a importar, BusinessObjects Planning comprueba
si en la lista de grupos del sistema de destino existe dicho grupo. La base
para la comparación es el ID de grupo.
•
Si no se encuentra una coincidencia para el ID de grupo, ocurre lo
siguiente:
•
•
Antes de crear un nuevo grupo, el software realiza una comprobación
para asegurarse de que no existe ningún grupo de BusinessObjects
Planning con el mismo nombre. Si aparece un nombre de grupo
duplicado, no se lleva a cabo ninguna acción con el grupo existente
y no se importa ningún usuario para el grupo de Active Directory. En
este caso, se guarda un mensaje de advertencia en el registro de
auditorías.
Si no aparece ningún nombre de grupo duplicado, se crea el nuevo
grupo, se marca como grupo importado y se le asignan filtros que
impiden su acceso a los datos y a los libros de planes. El ID de grupo
y el nombre de grupo se importan de Active Directory. Los usuarios
asociados se importan en el nuevo grupo.
Nota: Si el nombre del grupo importado contiene caracteres no
compatibles con la base de datos de BusinessObjects Planning, dicho
grupo no se considerará válido y no se importará ningún usuario del
mismo. En este caso, se guarda un mensaje de advertencia en el
registro de auditorías.
•
Si se encuentra una coincidencia para el ID de grupo, los usuarios nuevos
se importan en el grupo existente. Esto se cumple independientemente
de si el grupo todavía está marcado como importado en BusinessObjects
Planning. Si el grupo aún está marcado como importado y el nombre de
grupo se ha cambiado en Active Directory, dicho nombre se sincronizará
para que coincida con el nuevo nombre en Active Directory.
Manual del administrador para la seguridad de BusinessObjects Planning
41
4
4
Integración de Active Directory
Importación de grupos y usuarios de Active Directory
Reglas de usuario
Para cada usuario que se va a importar, BusinessObjects Planning
comprueba si en la lista de usuarios existe dicho usuario. La base para la
comparación es el ID de usuario.
•
Si no se encuentra una coincidencia para el ID de usuario, ocurre lo
siguiente:
•
•
Antes de crear un nuevo usuario, el software realiza una comprobación
para asegurarse de que no existe ningún usuario de BusinessObjects
Planning con el mismo nombre. Si aparece un nombre de usuario
duplicado, no se lleva a cabo ninguna acción con el usuario existente.
En este caso, se guarda un mensaje de advertencia en el registro de
seguridad.
Si no aparece ningún nombre de usuario duplicado, se crea el nuevo
usuario, se marca como usuario importado y se asigna a los grupos
importados adecuados. Se importan las propiedades de nombre,
apellido y correo electrónico del usuario.
Nota: Si el nombre de usuario importado contiene caracteres no
compatibles con la base de datos de BusinessObjects Planning, dicho
usuario no se considerará válido y no será importado. En este caso,
se guarda un mensaje de advertencia en el registro de auditorías.
•
Si se encuentra una coincidencia para el ID de usuario, ocurre lo siguiente:
•
•
Si el usuario está marcado como usuario importado, se procederá a
la actualización del nombre, el apellido y el correo electrónico de dicho
usuario. También se sincronizan las asignaciones a grupos importados
del usuario. No se modifican las asignaciones a grupos efectuadas
manualmente por un administrador.
Si el usuario no está marcado como usuario importado (se ha
convertido en un usuario de BusinessObjects Planning), no se lleva
a cabo ninguna acción con el usuario existente.
Si no se ha indicado el sistema principal de autenticación como sistema de
destino para el grupo del que se está importando el usuario, todos los nuevos
usuarios que se agreguen a un sistema no principal de autenticación se
agregarán también al sistema principal de autenticación. El nuevo usuario
se crea, se marca como usuario importado y se asigna al grupo Sin acceso
a Planning.
42
Manual del administrador para la seguridad de BusinessObjects Planning
Integración de Active Directory
Reconciliar usuarios existentes con Active Directory
Usuarios obsoletos
Dentro del conjunto de grupos que se están importando, BusinessObjects
Planning compara su lista de usuarios importados (usuarios marcados como
importados) con los usuarios de la importación actual. Si un usuario
previamente importado no existen en la importación actual, se marca como
obsoleto.
Las situaciones más habituales en las que un usuario se marca como
obsoleto son:
•
•
•
El usuario se ha eliminado completamente de Active Directory.
El usuario se ha quitado de todos los grupos de Active Directory que se
han designado para la importación.
El usuario pertenece a un grupo que se ha quitado de los parámetros de
integración de Active Directory, pero no pertenece a ningún otro grupo
designado para la importación.
Los usuarios obsoletos no pueden acceder al sistema. Si el usuario obsoleto
es propietario de una etapa de Control del proceso o de un trabajo de
Scheduler, esta circunstancia se anota en el registro de auditorías para que
el administrador puede desplazar la asignación a otros usuarios según
convenga. Los nombres de los usuarios obsoletos se muestran con una
fuente gris en el cuadro de diálogo Parámetros de seguridad.
Los usuarios obsoletos permanecen en el sistema hasta que un administrador
los elimina. Por razones de seguridad, BusinessObjects Planning no permite
quitar manualmente la marca de obsoleto de un usuario. Si un usuario se
quita por error de un grupo de Active Directory (lo que provoca que se marque
como obsoleto), puede volver a ejecutar la importación para restaurar el
usuario después de corregir el problema en Active Directory.
Temas relacionados
•
Acerca del sistema de autenticación principal en la página 13
Reconciliar usuarios existentes con Active
Directory
Professional Edition contiene una herramienta de reconciliación para ayudar
a los clientes existentes a llevar a cabo la implementación de la integración
de Active Directory. Esta función sólo está disponible en el sistema de
autenticación principal y sólo pueden acceder a ella los administradores.
Manual del administrador para la seguridad de BusinessObjects Planning
43
4
4
Integración de Active Directory
Reconciliar usuarios existentes con Active Directory
La utilidad de reconciliación de usuarios de Active Directory compara los
usuarios de BusinessObjects Planning con los de Active Directory basándose
en el nombre de usuario. Si se encuentra una coincidencia, el usuario de
BusinessObjects Planning se convierte en un usuario de Active Directory
importado. Los parámetros de seguridad y las asignaciones de grupo del
usuario permanecen iguales.
Requisitos previos
La utilidad de reconciliación de usuarios de Active Directory requiere que el
nombre del usuario de BusinessObjects Planning y el nombre del usuario
de Active Directory sean idénticos. Si desea habilitar la integración de Active
Directory pero no puede reconciliar los usuarios basándose en su nombre
de usuario, póngase en contacto con el departamento de soporte para
obtener ayuda.
Antes de ejecutar la utilidad, debe configurar los parámetros de importación
de Active Directory en el cuadro de diálogo Integración de Active Directory.
Los grupos incluidos en el cuadro Grupos asignados de la ficha Grupos de
usuarios definen el conjunto de grupos y usuarios de Active Directory con
los que se efectúa la reconciliación.
Temas relacionados
•
Para configurar los parámetros de importación de Active Directory en la
página 33
Reglas de reconciliación de usuarios
Cuando se ejecuta la utilidad de reconciliación, los usuarios y grupos de
BusinessObjects Planning se reconcilian con Active Directory de acuerdo
con las siguientes reglas:
•
•
•
44
La base de comparación es el nombre de usuario o de grupo.
Los usuarios y grupos de BusinessObjects Planning se comparan con
los usuarios y grupos de Active Directory (como se ha definido en el
cuadro de diálogo Integración de Active Directory). Los usuarios y grupos
marcados como Importados en BusinessObjetcs se pasan por alto.
Si la utilidad encuentra un nombre de usuario de BusinessObjects
Planning idéntico a un nombre de usuario de Active Directory, convierte
dicho usuario en un usuario importado de la manera siguiente:
Manual del administrador para la seguridad de BusinessObjects Planning
Integración de Active Directory
Reconciliar usuarios existentes con Active Directory
•
•
•
•
•
El ID de usuario de BusinessObjects Planning cambia al SID de Active
Directory correspondiente.
El usuario se marca como Importado y el tipo de autenticación se
cambia a Active Directory.
El nombre, el apellido y la dirección de correo electrónico del usuario
se sincronizan con la información correspondiente de Active Directory.
Las asignaciones de grupo del usuario se actualizan según sea
necesario para incluir las asignaciones de grupo de Active Directory
del usuario. Si no se encuentra un grupo de Active Directory en el
sistema de destino, se crea en éste.
Si la utilidad encuentra un nombre de grupo de BusinessObjects Planning
idéntico a un nombre de grupo de Active Directory, cambia el ID de grupo
por el correspondiente SID de Active Directory SID y marca el grupo
como importado.
Para reconciliar usuarios de Active Directory con
usuarios existentes de BusinessObjects Planning
Precaución: No ejecute la utilidad de reconciliación de usuarios de Active
Directory a menos que esté absolutamente seguro de que los usuarios tienen
el mismo nombre de usuario en BusinessObjects Planning y en Active
Directory. Si los nombres de los usuarios tienen formatos diferentes (por
ejemplo, si el usuario Daniel Salgado es "dsalgado" en Active Directory y
"daniels" en BusinessObjects Planning), cabe la posibilidad de que la utilidad
de reconciliación de usuarios reconcilie un usuario de BusinessObjects
Planning con un usuario de Active Directory incorrecto.
1. Haga clic en Plan > Administración > Integración de Active Directory.
En Excel 2007: en la ficha Plan, en el grupo Administración del sistema,
haga clic en Administración > Integración de Active Directory.
2. Confirme que los parámetros de la integración de Active Directory están
configurados como desea. Si es necesario, realice modificaciones y haga
clic en Guardar.
Los usuarios y los grupos de BusinessObjects Planning se compararán
con los grupos de Active Directory que aparecen en el cuadro Grupos
asignados de la ficha Grupos de usuarios.
3. Haga clic en Reconciliar.
Manual del administrador para la seguridad de BusinessObjects Planning
45
4
4
Integración de Active Directory
Reconciliar usuarios existentes con Active Directory
Los usuarios y grupos se reconcilian según las reglas de reconciliación de
usuarios. El registro de seguridad conserva la información de cada usuario
o grupo convertidos mediante la utilidad de reconciliación de usuarios.
Temas relacionados
•
•
46
Reglas de reconciliación de usuarios en la página 44
Registro de auditorías en la página 57
Manual del administrador para la seguridad de BusinessObjects Planning
Integración de Siteminder
5
5
Integración de Siteminder
Requisitos de integración de SiteMinder
BusinessObjects Planning admite la utilización de CA SiteMinder® para
controlar el acceso de los usuarios a las opciones de acceso Web de
Planning.
La función de integración de SiteMinder básicamente transfiere la
responsabilidad de autenticación para Enterprise Desktop a SiteMinder. Si
SiteMinder autentica el usuario, y si el nombre de usuario ya existe en la
seguridad de BusinessObjects Planning, el usuario tendrá permiso para
acceder a Enterprise Desktop. Se utiliza una página de inicio de sesión de
Enterprise Desktop especial, loginsm.aspx, para facilitar la integración de
SiteMinder.
Los usuarios no pueden iniciar directamente las opciones de acceso Web
de Planning específicas cuando utilizan la integración de SiteMinder. Es
preciso que los usuarios utilicen la interfaz de Enterprise Desktop para
seleccionar los sistemas e iniciar las opciones de acceso.
Requisitos de integración de SiteMinder
•
•
•
El uso de la integración de SiteMinder requiere CA SiteMinder 6.0 SP3
o superior.
Los nombres de usuario de BusinessObjects Planning deben coincidir
con los nombres de usuario de SiteMinder.
Los usuarios no se pueden marcar como importados en BusinessObjects
Planning.
Nota: El uso de la integración de SiteMinder requiere la activación de la
integración de seguridad de Desktop para BusinessObjects Planning. Por
tanto, la integración de SiteMinder no se puede utilizar junto con la integración
de Active Directory o BusinessObjects.
Para habilitar la integración de
SiteMinder en Planning Configuration
Manager
La integración de SiteMinder debe habilitarse en Planning Configuration
Manager. Para acceder a Configuration Manager, vaya al servidor de
aplicaciones de Planning y seleccione Inicio > Programas > BusinessObjects
EPM > BusinessObjects EPM Tools > BusinessObjects Planning >
48
Manual del administrador para la seguridad de BusinessObjects Planning
Integración de Siteminder
Para habilitar la integración de SiteMinder en Planning Configuration Manager
Configuration Manager. Para obtener información detallada sobre
Configuration Manager, consulte el Manual de instalación de BusinessObjects
Planning.
Para permitir la integración de Siteminder, es preciso completar dos áreas
de Configuration Manager:
•
En Global Parameters > Security, configure Integration Enablement
como Desktop y, a continuación, complete Available Domains.
Para obtener más información sobre la configuración de los parámetros
de integración de seguridad, consulte Habilitar la integración de seguridad
en la página 23.
•
En Global Parameters > SiteMinder integration, complete todos los
parámetros de integración de SiteMinder.
Una vez guardados los parámetros de configuración actualizados, debe
reiniciar Planning Application Service en todos los servidores de aplicaciones
de Planning.
Configuración de integración de Siteminder
Si desea la integración de SiteMinder, complete la configuración en el nodo
Global Parameters > Integración de SiteMinder.
Campo
Descripción
Nombre de agente
Escriba el nombre del agente para la implementación de SiteMinder.
Ruta de acceso del archivo de Escriba el directorio y el nombre del archivo para el archivo
configuración
de configuración de SiteMinder. Se recomienda utilizar una
ruta UNC.
Manual del administrador para la seguridad de BusinessObjects Planning
49
5
5
Integración de Siteminder
Configuración de SiteMinder para utilizar con BusinessObjects Planning
Configuración de SiteMinder para utilizar
con BusinessObjects Planning
Al configurar SiteMinder para utilizar con BusinessObjects Planning, se
requieren determinados parámetros. En esta sección se detallan los
parámetros necesarios.
El uso de determinadas opciones de acceso Web de Planning requiere
parámetros adicionales. En la tabla siguiente se resumen los pasos de
configuración de SiteMinder y el entorno al que se aplican:
Paso de configuración de SiteMinder
Se aplica a
Configurar el directorio virtual de Planning
como dominio.
Todos los entornos
Ajustar los parámetros de Agent Config Object.
Sólo Web Reports
Editar el registro de SiteMinder.
Sólo Web Checkout
Este manual da por sentado que tiene una instalación operativa de
SiteMinder. La persona que configura SiteMinder para utilizar con
BusinessObjects Planning debe estar familiarizada con las operaciones de
SiteMinder y con la configuración de sistemas para utilizar en entornos Web.
Para obtener más información sobre la configuración de SiteMinder, consulte
la documentación de SiteMinder.
Para configurar el entorno de Planning en SiteMinder
Para controlar el acceso a las opciones de acceso Web de Planning con
SiteMinder, el directorio virtual de Planning debe estar configurado como
dominio en SiteMinder.
Nota: Este tema abarca los parámetros necesarios para el dominio de
Planning. Para obtener más información sobre cómo configurar dominios
en SiteMinder, consulte la documentación de SiteMinder.
50
Manual del administrador para la seguridad de BusinessObjects Planning
Integración de Siteminder
Configuración de SiteMinder para utilizar con BusinessObjects Planning
1. En la consola de administración de SiteMinder, cree un dominio para las
opciones de acceso Web de Planning. Utilice los parámetros siguientes:
• El nombre del dominio puede ser el que desee.
• Defina Resource Filter como directorio virtual de Planning. El nombre
del directorio virtual predeterminado de Planning es /PlanningDesk
top.
• Configure Default Resource Protection como Unprotected.
2. En el nuevo dominio, cree una regla con los siguientes parámetros:
• El nombre de la regla puede ser el que desee.
• Seleccione las opciones siguientes para la regla: Allow Access y
Enabled.
• Defina Resource como /loginsm.aspx o /login*.aspx , según el
nivel de protección que desee. Consulte Niveles de protección para
la integración de SiteMinder en la página 51.
• En Web Agent Actions, configure la acción como Get y Post.
Niveles de protección para la integración de SiteMinder
Al configurar el directorio virtual de Planning como dominio en SiteMinder,
hay dos opciones para que el parámetro Recurso especifique el nivel de
protección.
•
•
Si indica /loginsm.aspx como recurso, la integración de SiteMinder sólo
se aplica cuando los usuarios acceden a Enterprise Desktop utilizando
la página de inicio de sesión de SiteMinder. No obstante, los usuarios
pueden seguir utilizando la autenticación de Planning mediante las
páginas logined.aspx o loginsa.aspx.
Si indica /login*.aspx como recurso, todo el acceso a Enterprise
Desktop y las opciones de acceso Web estarán controlados por
SiteMinder. No es posible utilizar la autenticación de planificación.
Para ajustar la configuración de Agent Config Objects
para usar con Web Reports
Si utiliza Web Reports, debe realizar un cambio en los parámetros de Agent
Config Objects en SiteMinder.
Manual del administrador para la seguridad de BusinessObjects Planning
51
5
5
Integración de Siteminder
Registro en Enterprise Desktop con la integración de SiteMinder
1. En la consola SiteMinder Administration, vaya a Agent Config Objects
y, a continuación, seleccione el objeto activo.
2. Configure Css Checking como No.
Para editar la configuración de registro de SiteMinder
para usar con Web Checkout
Si utiliza Web Checkout, debe cambiar a los parámetros de registro de
SiteMinder.
1. En el equipo en el que esté instalado SiteMinder, abra el Editor del
Registro y vaya a
HKEY_LOCAL_MACHINE/Software/Netegrity/SiteMinder Web
Agent/Microsoft IIS.
2. Agregue un nuevo valor DWORD denominado MaxRequestAllowed.
3. Configure el valor de MaxRequestAllowed con un tamaño superior al
del libro de planes mayor que se descargará mediante Web Checkout.
Por ejemplo, si todos los libros de planes tienen menos de 200 MB, puede
configurar el valor de MaxRequestAllowed como 200000000 (200 MB
como valor decimal).
Registro en Enterprise Desktop con la
integración de SiteMinder
A continuación se describe el proceso básico de registro en Enterprise
Desktop con la integración de SiteMinder:
1. En el Explorador de Internet, el usuario debe ir a la página de inicio de
sesión de SiteMinder para configurar las opciones de acceso Web de
Planning. Por ejemplo: http://nombre_servidor/PlanningDesktop/lo
ginsm.aspx.
2. Las credenciales del usuario se transfieren a SiteMinder para su
autenticación. Los parámetros de SiteMiner determinan el protocolo de
autenticación y los requisitos de conexión.
3. Si el nombre de usuario autenticado de SiteMinder y el nombre de usuario
de BusinessObjects Planning coinciden, el usuario tiene permiso para
acceder a Enterprise Desktop.
52
Manual del administrador para la seguridad de BusinessObjects Planning
Funciones de
administración de seguridad
6
6
Funciones de administración de seguridad
Administración de contraseñas
En este capítulo se tratan las funciones de seguridad de BusinessObjects
Planning que puede utilizar el departamento de Tecnología de la información
como parte de sus actividades de administración de seguridad.
Salvo que se indique lo contrario, todas las funciones de seguridad sólo
estarán disponibles en Professional Edition, y únicamente los administradores
podrán acceder a ellas.
Esta información también se incluye en el Manual del administrador de
Planning Professional Edition para los usuarios principales del sistema.
Administración de contraseñas
Los administradores pueden establecer las reglas y los valores
predeterminados de las contraseñas globales en el cuadro de diálogo
Administración de contraseñas. Administración de contraseñas sólo está
disponible en el sistema principal de autenticación.
Nota: BusinessObjects Planning siempre aplica una regla que evita que la
contraseña de un usuario no coincida con sus tres contraseñas anteriores.
Las demás reglas sobre contraseñas se pueden configurar.
Las reglas de contraseña sólo se aplican a los usuarios de BusinessObjects
Planning. Los usuarios importados se autentican a través del origen del que
fueron importados, por lo que no tienen contraseñas diferentes en
BusinessObjects Planning.
Para definir reglas y valores predeterminados de
contraseñas para usuarios de BusinessObjects
Planning
Administración de contraseñas sólo está disponible en el sistema principal
de autenticación.
1. Haga clic en Plan > Administración > Parámetros de seguridad.
En Excel 2007: en la ficha Plan, en el grupo Administración del sistema,
haga clic en Administración > Parámetros de seguridad.
2.
54
Haga clic en el icono Administración de contraseñas para todos
los usuarios en la barra de herramientas.
Manual del administrador para la seguridad de BusinessObjects Planning
Funciones de administración de seguridad
Administración de contraseñas
Sugerencia: También puede hacer clic con el botón derecho en cualquier
lugar de la lista de usuarios y seleccionar Administración de contraseñas
para todos los usuarios.
3. Seleccione las reglas de contraseñas que quiera aplicar y complete las
opciones predeterminadas.
4. Haga clic en Aceptar.
En general, las reglas de contraseña se aplican a las nuevas contraseñas
que se crean a partir de su definición. Las contraseñas existentes no se ven
afectadas. Por ejemplo, si establece una longitud mínima de contraseña de
8 caracteres, las contraseñas existentes que contengan menos de 8
caracteres seguirán siendo válidas, hasta que expiren.
Configuración de administración de contraseñas
Las siguientes reglas y opciones predeterminadas de contraseñas pueden
definirse en Administración de contraseñas para todo los usuarios.
Reglas
Opción
Descripción
Longitud mínima de contraseña
Active esta casilla de verificación para imponer que la
contraseña utilice una longitud mínima de caracteres.
En el cuadro situado a la derecha de este parámetro, escriba un número para definir la longitud mínima en caracteres.
Número obligatorio
Active esta casilla de verificación para imponer que las
contraseñas deben contener al menos un número.
At Least One Special Carácter
Requerido
Active esta casilla de verificación para que sea obligatorio
que las contraseñas contengan al menos un caracter especial.
En el cuadro situado a la derecha de este parámetro, escriba los caracteres especiales obligatorios.
Manual del administrador para la seguridad de BusinessObjects Planning
55
6
6
Funciones de administración de seguridad
Administración de contraseñas
Opción
Descripción
Al menos un carácter en mayúscu- Active esta casilla de verificación para imponer que las
las obligatorio
contraseñas deben contener al menos un carácter en
mayúsculas.
No se encuentra en Nombre,
Apellido ni Nombre de usuario
Active esta casilla de verificación para imponer que las
contraseñas no pueden contener el nombre, apellido o
nombre de usuario de un usuario.
Esta regla sólo se aplica cuando se cambia la contraseña
de un usuario individual. Si el cambio de contraseña
afecta a varios usuarios (como el restablecimiento de la
contraseña predeterminada de los usuarios), esta regla
no se aplica.
Defaults
Parámetro
Descripción
Contraseña predeterminada
Escriba una contraseña que se aplicará de forma predeterminada a los nuevos usuarios.
Restablecer valores predetermina- Seleccione la casilla de verificación Restablecer valores
dos
predeterminados para cambiar las contraseñas de los
usuarios por la contraseña predeterminada.
Excluir administrador
Las casilla de verificación Excluir administrador está relacionada con esta opción y le permite conservar la contraseña actual del administrador.
Caducidad de la contraseña tras
Escriba el número de meses que una contraseña puede
permanecer en el sistema antes de caducar. Este parámetro es un valor predeterminado; puede anularse con el
valor establecido para el usuario en la ficha Información
del usuario.
Si este parámetro se deja en blanco o se establece en
cero, indica que la contraseña no caduca.
56
Manual del administrador para la seguridad de BusinessObjects Planning
Funciones de administración de seguridad
Registro de auditorías
Parámetro
Descripción
Nº máximo de intentos de conexión en caso de error
Escriba el número máximo de intentos de conexión que
se permiten en caso de error.
Si este parámetro se deja en blanco o se establece en
cero, indica que no se establece ningún límite en el número de intentos de conexión.
Si el usuario supera el número máximo de intentos de
conexión en una sola sesión, se marca como bloqueado.
El usuario no podrá acceder al sistema hasta que el administrador anule la selección de la casilla Bloqueado en la
ficha Información de usuario.
Registro de auditorías
El registro de auditoría realiza un seguimiento de la actividad del usuario y
de los cambios en BusinessObjects Planning, para todos los sistemas. Los
elementos registrados pueden organizarse en dos categorías principales:
• Seguridad: realiza un seguimiento de la actividad de inicio se sesión del
usuario y de los cambios en los parámetros de seguridad.
• Aplicación: realiza un seguimiento de la actividad de la aplicación, como
los cambios en las áreas de configuración, la ejecución de utilidades y
el acceso a libros.
Sólo los administradores pueden acceder al libro de auditorías. El
administrador puede ver las entradas de registro de todos los sistemas. Los
integrantes del grupo de administradores sólo pueden ver las entradas de
registro del sistema activo.
El registro de auditorías contiene información sobre todos los sistemas en
la implementación de BusinessObjects Planning. Durante la visualización
del registro, se puede filtrar la vista por sistema.
Para ver el registro de auditorías
Nota: Sólo los administradores pueden acceder al Registro de auditorías.
Manual del administrador para la seguridad de BusinessObjects Planning
57
6
6
Funciones de administración de seguridad
Registro de auditorías
1. Haga clic en Plan > Administración > Registro de auditorías.
En Excel 2007: en la ficha Plan, en el grupo Administración del sistema,
haga clic en Administración > Registro de auditorías.
También puede acceder al registro haciendo clic en el
icono Examinar registro de seguridad en Parámetros de seguridad.
Sugerencia:
Aparecerá el cuadro de diálogo Examinar registro.
Figura 6-1: Ejemplo de registro de auditorías
2. En la lista Tipo de registro, seleccione el tipo de registro deseado:
Opción
Descripción
Todo
Muestra todos los elementos del registro de auditorías.
Seguridad
Muestra datos de actividad de inicio de sesión de
usuarios y cambios aplicados a los parámetros de
seguridad.
Aplicación
Muestra información sobre eventos de aplicación.
3. En el área Filtrar por, especifique un rango de fechas para el registro
De forma predeterminada, el registro muestra la actividad durante el mes
pasado. Si desea ver una actividad de otro periodo de tiempo, edite los
58
Manual del administrador para la seguridad de BusinessObjects Planning
Funciones de administración de seguridad
Registro de auditorías
campos De: y Hasta: según el periodo deseado. Puede indicar fechas
concretas o hacer clic en los botones de flecha para seleccionar fechas
en una vista de calendario.
Nota: El intervalo de fechas disponible en el registro depende de cuándo
se haya depurado el registro.
4. En la barra de herramientas, haga clic en Actualizar.
El registro muestra actividad correspondiente a la categoría seleccionada y
el rango de fechas indicado. Puede ordenar los datos de registro según una
columna concreta, haciendo clic en el encabezado de la columna.
Para filtrar el registro de auditorías
El registro de auditorías tiene varias opciones de filtro avanzadas.
1. En la barra de herramientas Registro de auditorías, haga clic en Filtro
avanzado.
Las opciones de Filtro avanzado aparecerán en el cuadro de diálogo.
2. Complete los campos siguientes para definir el filtro:
Campo
Descripción
Operación
Seleccione una operación. Cada operación representa un tipo específico de actividad que se detalla
en el registro. Las operaciones disponibles dependen del tipo de registro especificado (Todo, Seguridad o Aplicación).
Nombre del sistema
Seleccione un nombre de sistema.
Nota: Esta opción sólo está disponible en sesiones de administrador. Los integrantes del grupo
de administradores sólo pueden ver entradas de
registro del sistema actual.
ID de cliente
Indique un ID de cliente. Se trata del ID del ordenador cliente en que se realizó la operación.
Puede copiar y pegar un ID desde el registro.
Manual del administrador para la seguridad de BusinessObjects Planning
59
6
6
Funciones de administración de seguridad
Registro de auditorías
Campo
Descripción
ID de usuario
Indique un ID de usuario. Se trata del nombre de
usuario de quien haya realizado la operación.
Descripción
Escriba una descripción de la operación. Este
campo se puede utilizar para buscar palabras
clave, por ejemplo, un cambio en el nivel de acceso de una hoja de cálculo. También puede copiar
y pegar una descripción desde el registro, a fin de
filtrarlo para que muestre elementos similares.
3. En la barra de herramientas, haga clic en Actualizar.
El registro se filtra según las selecciones indicadas.
Puede ocultar el área Filtro avanzado haciendo clic en el botón Filtro
avanzado de la barra de herramientas.
Para exportar el contenido del registro de auditorías
Puede exportar el contenido del registro de auditorías como archivo TXT.
Nota: La utilidad Scheduler permite exportar el contenido del registro de
auditoría en intervalos programados.
1. Filtre la vista para que la ventana Registro de auditorías muestre los
datos que desea exportar.
Sólo se exportarán los datos que cumplan el filtro actual.
2. Haga clic en Guardar.
3. Vaya a la ubicación en la que quiera guardar el archivo y asígnele un
nombre. Haga clic en Guardar.
El nombre de archivo predeterminado es SavePlanningLog.txt.
Actividades registradas
La información del registro de auditorías se organiza en dos categorías,
Seguridad y Aplicación.
60
Manual del administrador para la seguridad de BusinessObjects Planning
Funciones de administración de seguridad
Registro de auditorías
Registro de seguridad
La categoría Seguridad del registro de auditorías realiza un seguimiento de
la actividad de inicio de sesión del usuario, la administración del sistema
(agregar, eliminar y editar usuarios) y las importaciones de usuarios. Se
registran las operaciones siguientes:
Nombre de operación
Descripción
ADReconcile
Se ejecuta la utilidad Reconciliar de Active Directory
ChangePassword
Se cambia la contraseña del usuario
CreateUser
Se crea un usuario o grupo
DeleteUser
Se elimina un usuario o grupo
ExportGroupList
Se exporta lista de grupos y usuarios desde el
cuadro de diálogo Importación de usuarios
LicenseExceeded
Se ha superado el número de usuarios con licencia
LoginFailed
Error de inicio de sesión del usuario
LoginSuccess
El usuario ha iniciado sesión correctamente
Desconexión
El usuario ha finalizado la sesión
ObsoleteUser
Usuario marcado como obsoleto
PasswordRules
Se ha cambiado la administración de contraseñas
UpdateUser
Se han cambiado las propiedades de seguridad
de usuario o grupo
UserImport
Se ha ejecutado importación de usuarios
UserImportSettings
Se ha cambiado la configuración de la importación
de usuarios
UserImportSettingsExport
Se ha exportado la configuración de la importación
de usuarios
UserReport
Se ha generado informe de usuario desde Parámetros de seguridad
WebAccess
El usuario inicia una opción de acceso en la Web
Manual del administrador para la seguridad de BusinessObjects Planning
61
6
6
Funciones de administración de seguridad
Registro de auditorías
Registro de la aplicación
La categoría Aplicación del Registro de auditorías realiza un seguimiento
de la actividad de la aplicación, como los cambios en las áreas de
configuración, la ejecución de utilidades y el acceso a libros. Se registran
las operaciones siguientes:
62
Nombre de operación
Descripción
ChangePeriod
Se ha ejecutado la utilidad Cambiar periodo actual
CompactDatabase
Se ha ejecutado la utilidad Compactar base de
datos
CopyDatabase
Se ha ejecutado la utilidad Copiar datos
DataStructures
Se ha cambiado Estructuras de datos
ExportMapTable
Se ha exportado tabla de asignación a otro sistema
ImportData
Se ha ejecutado la utilidad Importar
LogPurged
Se ha depurado el registro de auditorías
LogPurgeFailed
Error al depurar el registro de auditorías
OpenWorkbook
Se ha abierto libro de planes, informe o libro Dimensiones
PurgeJobResults
Se han purgado resultados de trabajo de Scheduler
SavetoTable
Se han guardado datos en tabla mediante informe
de almacenamiento en base de datos
SaveWorkbook
Se ha guardado libro de planes, informe o libro
Dimensiones
StageSetup
Se ha cambiado configuración de etapa de Control
del proceso
VerifyData
Se ha ejecutado la utilidad Comprobar·datos
WebCheckIn
Se ha cargado libro de plan mediante Web Checkout
WebCheckOut
Se ha descargado libro de plan mediante Web
Checkout
Manual del administrador para la seguridad de BusinessObjects Planning
Funciones de administración de seguridad
Bloquear usuarios
Nombre de operación
Descripción
WebUndoCheckout
Se ha quitado libro de plan cargado mediante Web
Checkout
ZeroData
Se ha ejecutado la utilidad Puesta a cero de datos
Archivar y depurar el registro de auditorías
La utilidad Scheduler proporciona dos opciones para archivar periódicamente
el contenido del archivo de registro y depurar este último.
•
La tarea Depurar registro de auditorías depura las entradas de registro
anteriores al número especificado de días y las archiva con una ubicación
y nombre de archivo especificados. Si lo desea, puede filtrar la operación
de depuración por categoría de registro (Todo, Seguridad, Aplicación).
Se recomienda depurar periódicamente el registro de auditorías, ya que
con el tiempo su tamaño puede aumentar considerablemente.
•
La tarea Guardar registro de auditorías guarda una copia de las entradas
de registro con una ubicación y nombre de archivo especificados. En
este caso, las entradas de registro archivadas no se depuran desde el
registro. Puede filtrar la operación de guardar mediante cualquiera de
las opciones de filtro disponibles durante la visualización del registro de
auditoría.
En ambos casos, tenga en cuenta que el archivo se sobrescribe cada vez
que se ejecuta la tarea. Si desea guardar un registro del archivo, debe
archivarlo manualmente antes de que se vuelva a ejecutar la tarea de
depuración.
Bloquear usuarios
Los administradores pueden bloquear usuarios de un sistema mediante
Professional Edition o Enterprise Desktop.
•
Professional Edition
1. Elija Seguridad > Parámetros de seguridad en el menú Plan o en la
vista en árbol.
Manual del administrador para la seguridad de BusinessObjects Planning
63
6
6
Funciones de administración de seguridad
Para ver una lista de los usuarios conectados
2.
Haga clic en el icono Bloquear usuarios de la barra de
herramientas.
Este método sólo bloquea a los usuarios del sistema actual. Para bloquear
a usuarios de varios sistemas, utilice la interfaz de Enterprise Desktop.
•
Enterprise Desktop
1. Seleccione Plan > Administración global.
2. En la ficha Bloqueo, haga clic en el icono de bloqueo situado junto a
cada sistema que desea bloquear.
En ambos casos, haga clic de nuevo en los iconos de bloqueo
correspondientes para desbloquear los sistemas.
Si un sistema está bloqueado, los usuarios no pueden conectarse a él
mediante ninguna opción de acceso. Cualquier usuario que ya hubiera
iniciado sesión en el sistema al realizar el cambio no cerrará sesión.
Nota:
•
•
Cuando se bloquea el sistema también se impide a la utilidad Scheduler
realizar trabajos para dicho sistema. Los trabajos tendrán que ejecutarse
cuando el sistema se vuelva a desbloquear.
Los administradores también pueden bloquear usuarios y grupos
específicos para que no accedan al sistema. Este parámetro se controla
en la ficha Información del usuario o Información de grupo en Parámetros
de seguridad.
Para ver una lista de los usuarios
conectados
Nota: Sólo los administradores con derechos de Delegación a grupos pueden
acceder a la utilidad Usuarios conectados.
La utilidad Usuarios conectados permite a los administradores ver qué
usuarios están conectados actualmente a BusinessObjects Planning. La
utilidad muestra los usuarios existentes en todos los sistemas y todas las
opciones de acceso.
•
Haga clic en Plan > Administración > Usuarios conectados.
En Excel 2007: en la ficha Plan, en el grupo Administración del sistema,
haga clic en Administración > Usuarios conectados.
64
Manual del administrador para la seguridad de BusinessObjects Planning
Funciones de administración de seguridad
Para exportar una lista de usuarios y grupos
En caso de un cierre anormal del software (por ejemplo, un corte de
suministro eléctrico o un bloqueo del equipo), BusinessObjects Planning
todavía puede registrar a ese usuario como conectado. La utilidad
Compactar base de datos puede utilizarse para borrar estos registros
antiguos de la lista Usuarios conectados.
Para exportar una lista de usuarios y
grupos
Con fines de auditoría y reconciliación de usuarios, Professional Edition
incluye una herramienta que permite exportar una lista de usuarios y grupos
a un archivo de Excel. Sólo los administradores tienen acceso a esta función.
1. Haga clic en Plan > Administración > Parámetros de seguridad.
En Excel 2007: en la ficha Plan, en el grupo Administración del sistema,
haga clic en Administración > Parámetros de seguridad.
2.
En la barra de herramientas, haga clic en el icono Generar informe
de usuario.
3. Haga clic en Continuar.
4. Defina un nombre de archivo y una ubicación y, a continuación, haga clic
en Guardar.
El nombre de archivo predeterminado es PlanningUserReport.xls.
Contenido de informes de usuario
Los informes de usuario creados con el comando Generar informe de usuario
están organizados en tres fichas:
•
•
Summary: contiene detalles del informe, como la fecha de ejecución y
el usuario que lo ha ejecutado. En esta ficha también se incluye el nombre
del sistema de autenticación principal como referencia.
Users: contiene una lista de todos los usuarios. La lista indica los grupos
a los que pertenece el usuario y los sistemas donde está definido. Cada
combinación de usuario, grupo y sistema única se muestra en una fila
independiente. Si un usuario no pertenece a ningún grupo, la columna
Group estará en blanco.
Manual del administrador para la seguridad de BusinessObjects Planning
65
6
6
Funciones de administración de seguridad
Para exportar una lista de usuarios y grupos
•
Groups: contiene una lista de todos los grupos. La lista indica los usuarios
que pertenecen al grupo y los sistemas donde éste está definido. Cada
combinación de grupo, usuario y sistema única se muestra en una fila
independiente. Si un grupo no contiene ningún usuario, la columna User
estará en blanco.
El informe también indica el ID de cada usuario y de cada grupo, y el tipo
de autenticación de cada usuario.
66
Manual del administrador para la seguridad de BusinessObjects Planning
Índice
dominios 31, 34
definir dominios disponibles 24
A
Active Directory integration
enabling 23
Administración de contraseñas 54, 55
establecer reglas y configuración
predeterminada 54
parámetros disponibles 55
ADSExplicit 20, 23
ADSImplicit 20, 23
Al menos un carácter en mayúsculas obligatorio
55
asistencia 9
Available Domains (Configuration Manager) 24
bloquear usuarios 63
bosque 31
BusinessObjects Enterprise 20
C
Caducidad de la contraseña tras 55
Carácter especial obligatorio 55
comportamiento del inicio de sesión con
integración de seguridad 22
Contraseña predeterminada 55
contraseñas
establecer reglas de contraseña 54, 55
Desktop 20, 23
documentación 9
enabling security integration 23
Excluir administrador 55
exportar
configuración de importación de usuarios 38
datos del registro de auditoría 60
lista de usuarios y grupos 65
Exportar configuración 38
Exportar grupos / usuarios 38
F
B
D
E
formación 9
G
Generar informe de usuario 65
grupos
exportar una lista de grupos 65
grupos importados, definición 29
importar
de Active Directory 28
de BusinessObjects Enterprise 20
jerarquías de grupo, gestionar al importar 30
I
importación de usuarios
configuración
configurar 32, 33
Manual del administrador para la seguridad de BusinessObjects Planning
67
Índice
importación de usuarios (continúa)
configuración (continúa)
exportar 38
configurar parámetros de importación 32,
33
gestionar jerarquías de grupo 30
grupos, seleccionar para su importación 34,
35
importar usuarios y grupos
a través de Scheduler 40
introducción al proceso 31
parámetros de asignación de propiedades
para importación 37
programar una importación de usuarios 40
propiedades importadas 29
reglas aplicadas durante la importación 41
sistemas de destino para importación,
seleccionar 35, 36
sistemas habilitados para importación
efectos de deshabilitación de un sistema
38
habilitar o deshabilitar sistemas 37
usuarios obsoletos 41
importación de usuarios de Active Directory
(cuadro de diálogo) 33
importar usuarios y grupos
de Active Directory 20, 28
de BusinessObjects Enterprise 20
integración de Active Directory 20, 28
configurar parámetros de importación 32,
33
funciones 28
importar usuarios y grupos 39
introducción al proceso 31
limitaciones 31
opciones de integración (implícita y explícita)
20
reconciliar usuarios existentes de
BusinessObjects Planning 43, 44, 45
integración de seguridad 20, 24
comportamiento de inicio de sesión, cambios
a 22
68
integración de seguridad (continúa)
opciones 20
integración de Siteminder 48, 52
configurar SiteMinder 50
niveles de protección 51
parámetros 49
requisitos 48
requisitos de configuración de Web Checkout
52
requisitos de configuración de Web Reports
51
L
logined.aspx 22
loginedi.aspx 22
loginsa.aspx 22
loginsai.aspx 22
Longitud mínima de contraseña 55
N
Nº máximo de intentos de conexión en caso de
error 55
Novell Netware 20
Número obligatorio 55
P
PlanningUserReport.xls 65
presentación general 12
Primary Authentication System
designating 15
R
Reconciliar 43, 44, 45
reconciliar usuarios existentes de
BusinessObjects Planning con Active Directory
43, 44, 45
recursos de información 9
Manual del administrador para la seguridad de BusinessObjects Planning
Índice
registro 57
registro de auditorías 57
actividades registradas 60
archivar 63
exportar 60
filtrar 59
purgar 63
ver 57
registro de seguridad 57
responsabilidades, administración de seguridad
12
Restablecer valores predeterminados 55
S
Scheduler, usar para realizar una importación
de Active Directory 40
security integration
enabling 23
seguridad
bloquear usuarios 63
contraseñas
administración 54
registro 57
varios sistemas, definir parámetros de
seguridad 16
servicios de asesoría 9
servidor de aplicaciones 23
Sin acceso a Planning, grupo 14, 41
sistema de autenticación principal 13, 28
administrar usuarios entre sistemas 14
efectos de un cambio 15
grupo Sin acceso a Planning 14
requisitos de configuración de usuarios 13
sistemas
definición 13
SiteMinder integration
enabling 48
U
Usuario principal del sistema 12
usuarios
convertir un usuario importado en un usuario
de BusinessObjects Planning 29
exportar una lista de usuarios 65
importar
de Active Directory 28
de BusinessObjects Enterprise 20
usuarios conectados 64
usuarios importados, definición 29
usuarios obsoletos 41
Usuarios conectados 64
usuarios importados
convertir un usuario importado en un usuario
de BusinessObjects Planning 29
definición 29
usuarios obsoletos 41
Manual del administrador para la seguridad de BusinessObjects Planning
69
Índice
70
Manual del administrador para la seguridad de BusinessObjects Planning