Altova FlowForce Server 2023 Advanced Edition

Los privilegios definen qué pueden hacer los usuarios en FlowForce Server (p. ej. definir su propia contraseña, leer los usuarios y los roles, detener cualquier trabajo, etc.). Es necesario distinguir entre privilegios y permisos porque los permisos controlan el acceso de los usuarios a los contenedores, mientras que los privilegios afectan a todo FlowForce Server en general. En otras palabras y para que se entienda bien la diferencia entre privilegios y permisos: los privilegios son globales y los permisos son locales.

 

Al igual que los permisos, los privilegios se pueden asignar a cada uno de los usuarios y a los roles. Por tanto, cuando el usuario inicia sesión en FlowForce Server, sus privilegios reales vienen determinados por:

 

a) los privilegios directos que tenga asignados

b) los privilegios que tengan asignados los roles de los que es miembro el usuario.

 

Estos son los privilegios que se pueden conceder en FlowForce Server.

 

Definir filas de trabajos

Otorga derechos para crear y mantener las filas de ejecución de trabajos. Esto incluye las dos filas locales del trabajo y las filas externas definidas fuera del trabajo. Las filas externas se usan conjuntamente con la ejecución distribuida (véase Ejecución distribuida).

Mantenimiento de clúster

Otorga derechos para llevar a cabo acciones que permitan gestionar varias instancias de FlowForce Server como un clúster. Por ejemplo, un usuario necesita este privilegio para poder convertir la instancia actual de servicio de FlowForce Server en "trabajador" (véase Ejecución distribuida y equilibrio de carga).

Mantenimiento de configuración global

Este privilegio concede derechos para cambiar la configuración global de FlowForce Server en la página Configuración, es decir, la zona horaria y la configuración de correo electrónico. Se trata de un privilegio administrativo y debería concederse únicamente a los administradores de FlowForce Server.

Mantenimiento de usuarios, roles y privilegios

Este privilegio concede derechos para añadir, editar y eliminar estos datos:

 

Usuarios

Roles

Privilegios

Contraseñas

 

Se trata de un privilegio administrativo y debería concederse únicamente a los administradores de FlowForce Server. El único usuario que tiene este privilegio de forma predeterminada es el usuario userroot.

Reemplazar configuración de seguridad

Los usuarios que tienen este privilegio pueden cambiar los permisos de los contenedores sin necesidad de tener el permiso de seguridad Escritura. Esto permite a los administradores de FlowForce Server recuperar el acceso a aquellos recursos a los que se perdiera el acceso por error.

 

Se trata de un privilegio administrativo y debería concederse únicamente a los administradores de FlowForce Server. El único usuario que tiene este privilegio de forma predeterminada es el usuario userroot.

Lectura de usuarios y roles

En FlowForce Server los usuarios solamente pueden ver su propia cuenta de usuario y los roles de los que son miembros. Si se les concede este privilegio, el usuario puede ver todos los usuarios y roles de FlowForce Server.

 

El único usuario que tiene este privilegio de forma predeterminada es el usuario userroot.

Recuperar información sensible

Este privilegio otorga el derecho a recuperar y visualizar estas categorías de información sensible como texto plano:

 

Contraseñas

Claves privadas de certificados

Tokens de acceso, tokens de actualización y secretos de cliente OAuth 2.0.

 

Por defecto, solo el usuario userroot tiene este privilegio y debería reservarse solamente para este usuario, a no ser que tenga una buena razón para lo contrario.

Establecer contraseña propia

Este privilegio concede al usuario derechos para cambiar su propia contraseña. Los usuarios que no tengan este privilegio deberán solicitar al administrador de FlowForce Server que les cambie la contraseña.

 

El único usuario que tiene este privilegio de forma predeterminada es el usuario role authenticated y, por tanto, todas las cuentas de usuario excepto useranonymous.

Detener cualquier trabajo

Este privilegio concede derechos para detener cualquier trabajo de FlowForce Server que esté en ejecución, independientemente de qué usuario lo creara.

Ver registro sin filtrar

Los usuarios de FlowForce Server pueden ver las entradas del registro relacionadas con las configuraciones en las que tienen el permiso Lectura. Sin embargo, si se les concede este privilegio, los usuarios pueden leer todas las entradas del registro, incluso las que no estén asociadas a sus configuraciones.

 

El único usuario que tiene este privilegio de forma predeterminada es el usuario userroot.

 

Herencia

Los privilegios se pueden asignar directamente a un usuario concreto (p. ej. a userAlicia Alonso) o a un rol concreto (p. ej. a role Responsable de marketing). Este último método es el recomendado porque simplifica la gestión de privilegios a largo plazo. Por ejemplo, tenga en cuenta que los usuarios pueden cambiar de departamento o abandonar la organización y otros usuarios nuevos pueden unirse a la organización. En todos estos casos, el mantenimiento de los privilegios de cada uno de los usuarios puede convertirse en una tarea contraproducente. Sin embargo, si los privilegios se asignan a los roles en lugar de a los usuarios, se reduce el número de posibilidades, se simplifica el mantenimiento y el foco de atención pasa de los usuarios a los requisitos comerciales de cada grupo o departamento.

 

La jerarquía de su organización o negocio se puede modelar en FlowForce Server asignando roles a otros roles. Por ejemplo, puede crear un rol llamado role Empleados y otro llamado role Dep. Marketing. Después puede designar el rol Dep. Marketing como miembro del rol role Empleados. Esto significa que todos los privilegios y permisos concedidos a role Employees serán heredados automáticamente por los usuarios que sean miembros del rol role Dep. Marketing.

 

Además, puede crear el rol role Responsable de marketing y asignarlo al rol role Dep. Marketing. En este caso, el rol role Responsable de marketing heredará los privilegios tanto de roleDep. Marketing como de role Employees. Ahora, imagine que hay un nuevo responsable de marketing (userAlicia Alonso). Si le asignamos el rol role Responsable de marketing, heredará todos los privilegios de los roles más generales.

 

RoleHierarchyDiagram

 

Tal y como puede ver en el esquema anterior, userAlicia Alonso hereda los permisos y los privilegios del rol role Responsable de marketing. Este rol hereda a su vez los privilegios del rol role Dep. Marketing y así sucesivamente.

 

Por tanto, si tenemos en cuenta los usuarios y roles predeterminados, en un sistema de FlowForce Server recién instalado esta sería la jerarquía de usuarios y privilegios:

 

UserRoles2

 

Como puede ver en el esquema, cada usuario del sistema hereda los privilegios definidos en el rol role all. Sin embargo, solamente los usuarios actuales (en este caso user root) heredan los privilegios definidos en el rol role authenticated. Si en este momento se añaden usuarios nuevos a FlowForce Server, se asignan automáticamente a los roles role all y role authenticated de la siguiente manera:

 

UserRoles3

 

 

Temas relacionados

Usuarios y roles predeterminados

Informes de privilegios

 

© 2017-2023 Altova GmbH