Configuración de seguridad

Este artículo contiene los siguientes temas:
casm173
Este artículo contiene los siguientes temas:
Antes de permitir el uso de CA SDM, es importante configurar la seguridad para determinar lo siguiente:
  • qué usuarios pueden acceder al sistema.
  • qué nivel o niveles de acceso pueden tener los usuarios.
  • cómo se autentican los usuarios al iniciar sesión.
Configuraciones de la base de usuarios de CA EEM
CA EEM es un repositorio central de información de usuario (identidades). CA EEM define la autenticación del usuario y el acceso a otras aplicaciones. Si existen varios productos de CA Technologies instalados, es posible que algunos de ellos se sirvan de CA EEM para almacenar las identidades y acceder a las políticas. CA SDM solo utiliza CA EEM para la autenticación. CA EEM no es una opción de configuración de CA SDM y debe instalarse por separado.
El repositorio de CA EEM de registros de usuario proviene de
una
de las siguientes fuentes:
  • Un directorio LDAP externo
  • Sus propias tablas internas de MDB
CA EEM tiene una interfaz LDAP para su uso si se configura para utilizarse con MDB.
Las tablas de MDB que utiliza CA EEM son diferentes de las que utiliza CA SDM.
Si su organización utiliza un servidor de directorios, como Active Directory o eTrust Directory, considere la posibilidad de configurar CA EEM para que utilice el directorio como base de usuarios. Con esta configuración, cualquier otra aplicación que utilice CA EEM podrá acceder a su directorio. Como CA EEM centraliza la gestión del acceso, este se suele instalar en un solo servidor.
CA SDM
CA SDM almacena información del contacto en las tablas de MDB. Estas tablas no tienen ninguna relación con CA EEM. CA SDM no utiliza CA EEM para la gestión del acceso ni de las identidades. CA SDM gestiona sus propias opciones de acceso y seguridad mediante tipos de acceso y particiones de datos.
CA SDM utiliza CA EEM solo para la autenticación. Si desea utilizar CA EEM para autenticar a los usuarios en CA SDM, se debe instalar CA EEM. Si se integra CA SDM con CA EEM, se reemplaza la autenticación del sistema operativo de CA SDM con la autenticación de CA EEM.
Para integrar CA EEM y CA SDM, se deben establecer las opciones
eiam_hostname
,
use_eiam_artifact
y
use_eiam_authentication
en Gestor de opciones, Seguridad.
En resumen:
  • La base de usuarios de CA SDM es independiente de CA EEM.
  • CA SDM utiliza MDB para almacenar la información de contacto. CA SDM también se caracteriza por la integración de LDAP, lo que le permite crear nuevos contactos desde los servidores LDAP y sincronizar los contactos existentes con el directorio.
  • CA EEM es la solución de CA para la gestión centralizada de usuarios. Si hay varios productos de CA instalados, es posible que utilicen CA EEM para almacenar las identidades y acceder a las políticas.
  • CA EEM se puede configurar para indicar un directorio externo (LDAP) o utilizar la MDB para almacenar información sobre el usuario. CA EEM dispone de una interfaz LDAP propia para utilizar si se configura su uso con la MDB.
    Las tablas que utiliza CA EEM en la MDB son diferentes de las que utiliza CA SDM.
CA EEM como configuración de LDAP
Cuando CA EEM se configura para utilizar CA MDB en lugar de un directorio externo para almacenar la información sobre el usuario, CA EEM exhibirá el directorio de usuarios mediante una interfaz LDAP. Si el sitio no usa el servidor LDAP externo, se pueden aprovechar las ventajas de la configuración externa de LDAP cuando se configura CA SDM para utilizar CA EEM como fuente de LDAP. Esta configuración puede ser útil si el sitio no utiliza ningún servidor LDAP, pero si desea consolidar la gestión de los usuarios en CA EEM. Otros productos de CA también utilizan CA EEM, lo que puede simplificar la gestión de usuarios en gran medida.
Diagrama que describe CA EEM como configuración de LDAP
Diagram depicting CA EEM as LDAP configuration
Esta configuración es aplicable solamente cuando CA EEM se ha configurado para utilizarse con la MDB. Si CA EEM se ha configurado en un servidor LDAP externo, configure CA SDM para indicar el mismo servidor LDAP,
no
de CA EEM. Para obtener más información, consulte Cómo integrar CA SDM con LDAP.
Configuración del almacén de usuarios CA EEM r8.4 SP4 CR05
Es posible configurar CA EEM r8.4 SP4 CR05 para almacenar registros de usuarios en un directorio LDAP externo o en tablas propias de la base de datos de gestión interna. La interfaz de usuario de CA EEM utilizada para un directorio LDAP es una interfaz de solo lectura, por lo que no se puede agregar ni modificar ningún usuario a través de esta interfaz.
Siga los pasos siguientes:
  1. Seleccione Inicio, Programas, CA, Embedded Entitlements Manager, EEM UI.
    Aparecerá la interfaz de usuario de CA EEM.
  2. Haga clic en la ficha Configurar.
  3. Haga clic en la subficha Servidor de CA EEM.
  4. En el panel izquierdo, haga clic en el vínculo Usuarios globales/Grupos globales.
  5. En el panel derecho, seleccione una de las opciones siguientes:
    • Almacenar en el almacén de datos interno
    • Referencia desde un directorio externo
    • Referencia desde CA SiteMinder
      Si selecciona la opción Referencia de un directorio externo, se le pedirán los detalles del servidor LDAP.
  6. Haga clic en Guardar.
    De este modo termina la configuración del almacenamiento de usuarios de CA EEM.
Configuración del almacenamiento de usuarios de CA EEM r12 CR02e
Es posible configurar CA EEM r12 CR02 para almacenar registros de usuarios en un directorio LDAP externo o en tablas propias de la base de datos de gestión interna. La interfaz de usuario de CA EEM utilizada para un directorio LDAP es una interfaz de solo lectura, por lo que no se puede agregar ni modificar ningún usuario a través de esta interfaz.
Siga los pasos siguientes:
  1. Seleccione Inicio, Programas, CA, Embedded Entitlements Manager, UI de administración.
    Aparecerá la interfaz de usuario de CA EEM.
  2. Haga clic en la ficha Configurar.
  3. Haga clic en la subficha Almacén de usuarios.
  4. En el panel izquierdo, haga clic en el vínculo Almacén de usuarios.
  5. En el panel derecho, seleccione una de las opciones siguientes:
    • Almacenar en el almacén de usuarios interno
    • Referencia desde un directorio LDAP externo
    • Referencia desde CA SiteMinder
Si selecciona la opción Referencia de un directorio externo, se le pedirán los detalles del servidor LDAP.
6. Haga clic en Guardar.
De este modo termina la configuración del almacenamiento de usuarios de CA EEM.
Cómo agregar usuarios y grupos
Si CA EEM se ha configurado para hacer referencia a un directorio externo, no se pueden agregar usuarios mediante la interfaz de usuario de CA EEM. CA EEM es una interfaz de solo lectura para el servidor LDAP. Para actualizar los registros de los usuarios, es preciso emplear la interfaz suministrada con el producto de servidor LDAP en particular del que se disponga.
Siga los pasos siguientes:
  1. Haga clic en Inicio, Programas, CA, Embedded Entitlements Manager, UI de administración/UI de EEM.
  2. Inicie sesión con el nombre de usuario del administrador y la contraseña de CA EEM. Estos se especifican durante la instalación de CA EEM. CA EEM debe instalarse por separado y no es una opción de configuración para CA SDM.
  3. Haga clic en la ficha Gestionar identidades.
  4. En el panel izquierdo haga clic en la ficha Usuarios para buscar y actualizar registros de usuarios existentes.
    Para gestionar los grupos de CA EEM, haga clic en la ficha Grupos.
  5. Haga clic en el icono que aparece a la izquierda de la carpeta Usuarios.
    Aparecerá el formulario para crear un registro de usuario.
  6. Complete el formulario y haga clic en Guardar.
    Se guarda el nuevo registro de usuario de CA EEM en la MDB.
Los pasos para editar un registro de usuarios existente y para conservar los registros de grupos son similares a estos pasos.
Consideraciones sobre seguridad
Al instalar por primera vez CA SDM, el sistema está configurado para permitir el acceso máximo a cualquier contacto para el que no se haya definido ningún tipo de acceso definido en el registro del contacto. Realice los pasos siguientes antes de utilizar la aplicación:
  1. Repase los tipos de acceso predefinidos para determinar un valor predeterminado razonable para el sistema.
    El administrador se establece como el tipo de acceso predeterminado, aunque no suele ser una elección adecuada en la mayoría de sitios. Por ejemplo, algunos sitios ofrecen acceso a CA de sólo lectura a la mayoría de los miembros de la organización de IT. Si establece el usuario CMDB como el tipo de acceso predeterminado, no tendrá que configurar el tipo de acceso de los nuevos usuarios salvo que necesiten privilegios adicionales. De igual forma, si la mayoría de los usuarios requieren el privilegio de escribir información de configuración, puede seleccionar Analista de CMDB como el tipo de acceso predeterminado.
  2. Asigne explícitamente los tipos de acceso del resto de contactos.
    Por ejemplo, si elige Usuario de CMDB como el tipo de acceso predeterminado, modifique los registros de contactos de los contactos de analistas para asignar el tipo de acceso de analista.
Autenticación de CA EEM para CA Process Automation
CA SDM y CA Process Automation se comunican mediante un intercambio de servicios web a través de HTTP. Aunque todas las medidas están hechas para que pase la mínima cantidad de información confidencial entre los productos, una entidad maliciosa puede acceder a nombres de usuario, contraseñas e información propietaria. Puede tomar pasos deliberados para proteger la comunicación del servidor.
Para la autenticación de CA Process Automation, tenga en cuenta las siguientes recomendaciones:
  • Una opción es configurar CA Process Automation para utilizar CA EEM como servidor de autenticación. CA Process Automation implementa las políticas y los grupos predeterminados de CA EEM. Puede modificar las políticas y grupos predeterminados para cubrir las necesidades de su organización.
  • El uso de CA EEM elimina la necesidad de introducir nombres de usuario y contraseñas de texto sin formato con fines de autenticación. Si se utiliza la opción multicliente, CA EEM será necesario para activar la opción multicliente en CA Process Automation.
    Para que la autenticación en esta integración sea segura, no es necesario haber configurado CA SDM para utilizar CA EEM. Sin embargo, CA EEM es necesario para la implementación de multicliente de CA Process Automation.
  • Configure CA Process Automation para comunicarse de manera segura a través de HTTPS. Las URL HTTPS utilizan SSL/TLS para eliminar intercambios de texto sin formato mientras protegen datos confidenciales y con derecho de propiedad de divulgación maliciosa o accidental.