¿Cómo funcionan los privilegios?
Los privilegios definen qué pueden hacer los usuarios en FlowForce Server (p. ej. definir su propia contraseña, leer los usuarios y los roles, detener cualquier trabajo, etc.). Es necesario distinguir entre privilegios y permisos porque los permisos controlan el acceso de los usuarios a los contenedores, mientras que los privilegios afectan a todo FlowForce Server en general. En otras palabras y para que se entienda bien la diferencia entre privilegios y permisos: los privilegios son globales y los permisos son locales.
Al igual que los permisos, los privilegios se pueden asignar a cada uno de los usuarios y a los roles. Por tanto, cuando el usuario inicia sesión en FlowForce Server, sus privilegios reales vienen determinados por:
a) los privilegios directos que tenga asignados
b) los privilegios que tengan asignados los roles de los que es miembro el usuario.
Estos son los privilegios que se pueden conceder en FlowForce Server.
Definir filas de trabajos | Otorga derechos para crear y mantener las filas de ejecución de trabajos. Esto incluye las dos filas locales del trabajo y las filas externas definidas fuera del trabajo. Las filas externas se usan conjuntamente con la ejecución distribuida (véase Ejecución distribuida). |
Mantenimiento de clúster | Otorga derechos para llevar a cabo acciones que permitan gestionar varias instancias de FlowForce Server como un clúster. Por ejemplo, un usuario necesita este privilegio para poder convertir la instancia actual de servicio de FlowForce Server en "trabajador" (véase Ejecución distribuida y equilibrio de carga). |
Mantenimiento de configuración global | Este privilegio concede derechos para cambiar la configuración global de FlowForce Server en la página Configuración, es decir, la zona horaria y la configuración de correo electrónico. Se trata de un privilegio administrativo y debería concederse únicamente a los administradores de FlowForce Server. |
Mantenimiento de usuarios, roles y privilegios | Este privilegio concede derechos para añadir, editar y eliminar estos datos:
•Usuarios •Roles •Privilegios •Contraseñas
Se trata de un privilegio administrativo y debería concederse únicamente a los administradores de FlowForce Server. El único usuario que tiene este privilegio de forma predeterminada es el usuario |
Reemplazar configuración de seguridad | Los usuarios que tienen este privilegio pueden cambiar los permisos de los contenedores sin necesidad de tener el permiso de seguridad Escritura. Esto permite a los administradores de FlowForce Server recuperar el acceso a aquellos recursos a los que se perdiera el acceso por error.
Se trata de un privilegio administrativo y debería concederse únicamente a los administradores de FlowForce Server. El único usuario que tiene este privilegio de forma predeterminada es el usuario |
Lectura de usuarios y roles | En FlowForce Server los usuarios solamente pueden ver su propia cuenta de usuario y los roles de los que son miembros. Si se les concede este privilegio, el usuario puede ver todos los usuarios y roles de FlowForce Server.
El único usuario que tiene este privilegio de forma predeterminada es el usuario |
Recuperar información sensible | Este privilegio otorga el derecho a recuperar y visualizar estas categorías de información sensible como texto plano:
•Contraseñas •Claves privadas de certificados •Tokens de acceso, tokens de actualización y secretos de cliente OAuth 2.0.
Por defecto, solo el usuario |
Establecer contraseña propia | Este privilegio concede al usuario derechos para cambiar su propia contraseña. Los usuarios que no tengan este privilegio deberán solicitar al administrador de FlowForce Server que les cambie la contraseña.
El único usuario que tiene este privilegio de forma predeterminada es el usuario |
Detener cualquier trabajo | Este privilegio concede derechos para detener cualquier trabajo de FlowForce Server que esté en ejecución, independientemente de qué usuario lo creara. |
Ver registro sin filtrar | Los usuarios de FlowForce Server pueden ver las entradas del registro relacionadas con las configuraciones en las que tienen el permiso Lectura. Sin embargo, si se les concede este privilegio, los usuarios pueden leer todas las entradas del registro, incluso las que no estén asociadas a sus configuraciones.
El único usuario que tiene este privilegio de forma predeterminada es el usuario |
Herencia
Los privilegios se pueden asignar directamente a un usuario concreto (p. ej. a 
Alicia Alonso) o a un rol concreto (p. ej. a 
Responsable de marketing). Este último método es el recomendado porque simplifica la gestión de privilegios a largo plazo. Por ejemplo, tenga en cuenta que los usuarios pueden cambiar de departamento o abandonar la organización y otros usuarios nuevos pueden unirse a la organización. En todos estos casos, el mantenimiento de los privilegios de cada uno de los usuarios puede convertirse en una tarea contraproducente. Sin embargo, si los privilegios se asignan a los roles en lugar de a los usuarios, se reduce el número de posibilidades, se simplifica el mantenimiento y el foco de atención pasa de los usuarios a los requisitos comerciales de cada grupo o departamento.
La jerarquía de su organización o negocio se puede modelar en FlowForce Server asignando roles a otros roles. Por ejemplo, puede crear un rol llamado Empleados y otro llamado Dep. Marketing. Después puede designar el rol Dep. Marketing como miembro del rol Empleados. Esto significa que todos los privilegios y permisos concedidos a Employees serán heredados automáticamente por los usuarios que sean miembros del rol Dep. Marketing.
Además, puede crear el rol Responsable de marketing y asignarlo al rol Dep. Marketing. En este caso, el rol Responsable de marketing heredará los privilegios tanto de Dep. Marketing como de Employees. Ahora, imagine que hay un nuevo responsable de marketing (Alicia Alonso). Si le asignamos el rol Responsable de marketing, heredará todos los privilegios de los roles más generales.
Tal y como puede ver en el esquema anterior, Alicia Alonso hereda los permisos y los privilegios del rol Responsable de marketing. Este rol hereda a su vez los privilegios del rol Dep. Marketing y así sucesivamente.
Por tanto, si tenemos en cuenta los usuarios y roles predeterminados, en un sistema de FlowForce Server recién instalado esta sería la jerarquía de usuarios y privilegios:
Como puede ver en el esquema, cada usuario del sistema hereda los privilegios definidos en el rol all. Sin embargo, solamente los usuarios actuales (en este caso root) heredan los privilegios definidos en el rol authenticated. Si en este momento se añaden usuarios nuevos a FlowForce Server, se asignan automáticamente a los roles all y authenticated de la siguiente manera:
Temas relacionados
•Usuarios y roles predeterminados