Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
La gestión de la seguridad en JMap engloba distintos elementos.
La gestión de las entidades puede ser efectuada mediante JMap Server o puede ser delegada a otro sistema como un directorio LDAP o Microsoft Active Directory o a administradores de identidades que permiten la autenticación única (SSO) en la web, tales como OpenID Connect o SAML. Las secciones Administradores de usuarios y Usuarios y grupos ofrecen información detallada sobre este tema. JMap permite también la autenticación única para sus aplicaciones JMap Pro y los detalles se encuentran en la sección Autenticación única en JMap Pro.
La gestión de los accesos o gestión de los permisos, se aplica a todos los recursos de JMap. Incluye el acceso de los usuarios a las aplicaciones JMap y el acceso de los administradores a JMap. Los detalles se presentan en la sección Gestión de los permisos.
JMap permite fácilmente la utilización del protocolo HTTPS para JMap Admin y las distintas aplicaciones. Consulte la sección Utilización de HTTPS con JMap para obtener información sobre el tema.
Usted puede acceder a la configuración del administrador de usuarios en JMap Admin, presionando Usuarios / Grupos en la sección JMap Server. Seleccione la pestaña Administrador de usuarios.
El administrador de usuarios permite definir la manera en que JMap administra las cuentas de usuarios y los grupos de usuarios. Esa información puede ser tratada de dos maneras:
Usando la base de datos de cuentas de usuarios de JMap; usted crea y suprime las cuentas de usuarios directamente a partir de JMap Admin.
Conectándose a una base de datos de cuentas de usuarios existente, tal como un sistema Windows Active Directory, un sistema compatible con LDAP (Protocolo para el acceso a directorios jerárquicos de información) o una base de datos relacional o conectándose a un administrador de identidades mediante protocolos tales como SAML2 u OpenId Connect.
También es posible combinar varios sistemas para utilizarlos simultáneamente (la base de datos de JMap y Windows Active Directory, por ejemplo). Los distintos sistemas son utilizados como un solo sistema. Cuando JMap Server se conecta a una base de datos existente, la gestión de las cuentas de usuarios se simplifica ya que no se requiere la creación de cuentas de usuarios o de grupos en JMap.
Las secciones siguientes describen cada una de las opciones posibles.
Cuando usted se conecta a un administrador de usuarios o identidades externa a JMap (Active Directory, LDAP, OIDC, SAML2 o una base de datos relacional externa), resulta útil sincronizar JMap Server con la base de datos por dos razones:
Cuando ciertos usuarios o grupos son suprimidos de la base de datos des administrador externo y éstos tenían permisos otorgados en JMap (ej.: abrir un proyecto, visualizar ciertas capas, etc.), los permisos no son suprimidos automáticamente en las listas de permisos en JMap Server. Esto puede suceder porque JMap Server no sabe que esos usuarios o grupos han sido eliminados en la base de datos del administrador externo. Estableciendo la sincronización, JMap Server elimina los permisos de los usuarios y grupos suprimidos. Si usted no sincroniza JMap Server con la base de datos del administrador externo, la situación no implica problemas a nivel de la seguridad, ya que los usuarios o grupos suprimidos no pueden autenticarse para abrir una aplicación.
Cuando la composición de los grupos de usuarios se modifica (se añaden o retiran miembros), para que JMap Server pueda cargar nuevamente la lista de los miembros de los grupos. JMap Server conserva la lista de miembros de un grupo en la memoria por razones de rendimiento.
Puede automatizar la sincronización activando la opción Sincronización automática cada y especificando un período de tiempo.
Este tipo de administrador de usuarios permite combinar varios administradores. Puede añadir tantos administradores como necesite. Todos funcionarán como un único administrador de usuarios. Las secciones siguientes detallan la configuración de los otros administradores de usuarios e identidades soportados por JMap.
Se recomienda utilizar el administrador de usuarios compuesto si usted desea integrar varios administradores o si desea efectuar una transición hacia un sistema web de identificación única (Single Sign On, SSO web).
Este tipo de administración de cuentas de usuarios guarda los usuarios y los grupos directamente en la base de datos System de JMap Server o en una base de datos externa que contiene las tablas y los campos requeridos. El administrador JMap debe crear y administrar todas las cuentas y grupos de usuarios.
En la sección Usuarios / Grupos, haga clic en la pestaña Administrador de usuarios. Seleccione Administrador de usuarios JMap BD para indicar que las cuentas de usuarios serán administradas en una base de datos relacional. Para almacenar las cuentas y grupos de usuarios en la base de datos System de JMap Server, seleccione la opción Base de datos JMap Server.
Puede también utilizar cualquier base de datos relacional que contiene las tablas y campos requeridos, seleccionando la opción Base de datos externa. En ese caso se visualiza una interfaz para especificar los parámetros de configuración. Seleccione la base de datos que utilizará, luego seleccione las tablas y los campos que contienen la información sobre los usuarios y los grupos. Si resulta necesario, puede seleccionar el modo Sólo lectura para impedir que las cuentas sean modificadas a partir de JMap Admin.
Una vez definida esta configuración, puede crear, modificar o suprimir cuentas de usuarios directamente a partir de JMap Admin.
Usted puede conectarse a Windows Active Directory (en modo lectura solamente).
Para que la opción Administrador de usuarios Active Directory esté disponible en la pestaña Administrador de usuarios de la sección Usuarios / Grupos de JMap Admin, usted debe incluir la línea siguiente en el archivo JMAP_HOME/conf/jmapserver.properties :
usermanager.ad=com.kheops.jmap.server.security.ActiveDirectoryUserManager
Le recomendamos utilizar el Administrador de usuarios compuesto y no el Administrador de usuarios Active Directory solo, para conservar un acceso a JMap Admin aún en el caso que existan errores en la configuración de Active Directory.
En la sección Administrador de usuarios seleccione el Administrador de usuarios compuesto y añada el Administrador de usuarios Active Directory. Se abre entonces una nueva interfaz que le permite especificar los parámetros de configuración de la conexión al servidor Active Directory.
Active Directory
Nombre
Nombre para identificar fácilmente el administrador de usuarios Active Directory.
Dirección del servidor
Dirección del servidor Windows controlador de dominio con Active Directory. Puede añadir varios servidores, separándolos con un espacio.
Ejemplo
ldap://host1 ldap://host2
Donde host1 y host2 son los URL de los servidores Active Directory. Active Directory se basa en el protocolo LDAP.
DN
Identificador único (Distinguished Name) que permite definir la raíz del directorio. Compuesto por una lista de entradas DC (Domain Component, componentes de dominio).
Ejemplo
dc=k2,dc=com.
Dominio
Nombre del dominio Windows.
Ejemplo
k2.com
Usuario/SPN
Nombre del usuario que JMap Server usará para conectarse a Active Directory. Se recomienda crear un usuario especialmente para las necesidades de JMap. Su contraseña no debería expirar nunca. Si desea utilizar una autenticación única, debe crear un SPN (Service Principal Name, nombre principal de servicio) asociado a ese usuario.
La sección Autenticación única en JMap Pro ofrece más detalles sobre el tema.
Contraseña
Contraseña del usuario que JMap Server usará para conectarse al Active Directory.
Contraseña admin.
En JMap siempre debe existe existir un usuario denominado administrator. Si en Active Directory no existe un usuario administrator, JMap se encargará de simular uno. En ese caso, provea la contraseña asociada a ese usuario simulado. Si ya existe un usuario administrator en el Active Directory y se ingresa su contraseña, ésta será simplemente ignorada.
Activar la autenticación única
Activa la autenticación única. La sección Autenticación única en JMap Pro ofrece más detalles sobre el tema.
Tamaño máximo de página
Active Directory limita el tamaño de las transacciones a un número máximo de registros simultáneos (tamaño de la página). El valor de este parámetro no debe ser mayor que el tamaño máximo autorizado por Active Directory (1000 es el valor por defecto en Active Directory). Un tamaño demasiado pequeño puede reducir el rendimiento. Un tamaño mayor que el límite autorizado producirá datos faltantes en las listas de usuarios.
Configuración de LDAP (parámetros siguientes)
Active Directory se basa en el protocolo LDAP. Los parámetros LDAP configurados por defecto son los que se aplican más comúnmente en Active Directory. Si al contrario, esos parámetros no corresponden a los que se utilizan, usted puede modificar los valores. Los parámetros se describen en la sección Administrador de usuarios JMap LDAP.
Las cuentas de usuarios son utilizadas en JMap con fines de controlar el acceso a los recursos y permitir el trabajo colaborativo. Usted puede administrar los usuarios y los grupos en JMap Admin presionando Usuarios / Grupos en la sección JMap Server. Esta sección contiene tres pestañas: Usuarios, Grupos y Administrador de usuarios.
Hay dos usuarios y dos grupos especiales que siempre están presentes en JMap: administrator, anonymous, everyone y authenticated users.
Usted puede crear un nuevo usuario o un nuevo grupo presionando Crear en la sección Usuarios / Grupos.
Usted puede crear usuarios y grupos solamente si está utilizando la base de datos de usuarios de JMap o una base de datos externa que no está configurada en modo sólo lectura.
Usted puede modificar usuarios o grupos existentes haciendo clic sobre su nombre en la lista que los enumera.
Cuando el usuario ha sido creado el nombre de usuario no puede ser modificado.
Usted puede suprimir un usuario o un grupo seleccionándolo en la lista y presionando Suprimir.
Para añadir usuarios a un grupo, presione y una lista de los usuarios disponibles será desplegada. Seleccione los usuarios que desea añadir al grupo y presione Añadir.
Para eliminar usuarios de un grupo, selecciónelos y presione .
Administrator
El usuario administrator se utiliza para acceder a JMap Admin luego de una nueva instalación (tiene los derechos de administración de JMap). El campo de su contraseña está vacío por lo que se aconseja añadir una lo más pronto posible. En la sección siguiente se ofrecen detalles suplementarios. El usuario administrator existe siempre en JMap y no puede ser suprimido.
Anonymous
El usuario anonymous permite dar acceso a los recursos a usuarios que no están autenticados. Permite por ejemplo configurar un acceso sin identificación a un proyecto. El usuario anonymous existe siempre en JMap, no puede ser suprimido y su contraseña (vacía) no puede ser modificada.
Everyone
El grupo everyone se utiliza para dar acceso a un recurso a todos los usuarios, incluyendo el usuario anonymous (sin autenticación). El usuario everyone no aparece en la lista de los grupos de JMap. Es visible únicamente en las interfaces que permiten definir los permisos, cuando su presencia resulta pertinente.
Authenticated users
El grupo authenticated users se utiliza para dar acceso a un recurso a todos los usuarios, con excepción del usuario anonymous. La autenticación es obligatoria para este grupo.
Usuarios
Nombre del usuario
Ingrese un nombre único para el nuevo usuario (nombre utilizado para la autenticación). No podrá guardarlo si el nombre ya existe.
Contraseña
Ingrese una contraseña para el nuevo usuario. La contraseña puede ser dejada vacía pero no se recomienda hacerlo. Las contraseñas son cifradas. Les usuarios de aplicaciones JMap Web y JMap NG pueden cambiar su contraseña directamente en la aplicación. Ésto es posible sólo si las cuentas de usuarios son administradas con JMap DB.
Confirme la contraseña
Ingrese la contraseña una segunda vez para confirmarla.
Nombre y apellido
(Opcional) Ingrese el nombre completo (nombre y apellido) del nuevo usuario.
Correo electrónico
(Opcional) Ingrese la dirección de correo electrónico del nuevo usuario. Será utilizada para enviar mapas al usuario.
Oculto
Seleccione esta opción si desea que el nuevo usuario no sea visible en los directorios de usuarios.
Grupos
Nombre del grupo
Ingrese un nombre único para el nuevo grupo. No podrá guardarlo si el nombre ya existe.
Usted puede conectarse con cualquier directorio compatible con LDAP (en modo lectura solamente). Existen numerosos directorios compatibles con LDAP en los sistemas Unix, Linux y Windows.
Para que la opción Administrador de usuarios JMap LDAP esté disponible en la pestaña Administrador de usuarios de la sección Usuarios / Grupos de JMap Admin, usted debe incluir la línea siguiente en el archivo JMAP_HOME/conf/jmapserver.properties :
usermanager.ldap=com.kheops.jmap.server.security.LDAPUserManager
Le recomendamos utilizar el Administrador de usuarios compuesto y no el Administrador de usuarios JMap LDAP solo, para conservar un acceso a JMap Admin aún en el caso que existan errores en la configuración de LDAP.
En la sección Administrador de usuarios seleccione el Administrador de usuarios compuesto y añada el Administrador de usuarios JMap LDAP. Se abre entonces una nueva interfaz que le permite especificar los parámetros de configuración de la conexión al servidor LDAP.
Puede obtener más detalles sobre el protocolo LDAP en el sitio http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol.
Administrador de usuarios LDAP
Nombre
Nombre para identificar fácilmente el administrador de usuarios LDAP.
URL del servidor
Dirección del servidor LDAP. Puede añadir varios servidores, separándolos con un espacio.
Ejemplo
ldap://host1 ldap://host2
Donde host1 y host2 son los URL de los servidores LDAP.
SSL
Marque esta casilla para conectarse a LDAP a través de Secure Socket Layer (SSL) mediante un certificado de cliente. Debe instalar el certificado en el almacén de claves de JMap. Este artículo detalla el procedimiento a seguir.
DN
Identificador único (Distinguished Name) que permite definir la raíz del directorio. Compuesto por una lista de entradas DC (Domain Component, componentes de dominio).
Ejemplo
dc=k2geospatial,dc=com.
da un DN k2geospatial.com.
Usuario
Nombre del usuario que JMap Server usará para conectarse al directorio LDAP. Se recomienda crear un usuario especialmente para las necesidades de JMap. Su contraseña no debería expirar nunca. El usuario debe acompañarse con el dominio al que pertenece.
Ejemplo
cn=admin,dc=k2geospatial,dc=com
Contraseña
Contraseña del usuario que JMap Server usará para conectarse al directorio LDAP.
Contraseña admin.
En JMap debe existir siempre un usuario denominado administrator. Si no hay un usuario administrator en el directorio LDAP, JMap va a simular uno. En ese caso se debe ingresar una contraseña asociada a ese usuario. Si el usuario administrator existe en el directorio LDAP y se ingresa una contraseña, ésta será ignorada.
Utiliza prefijo y sufijo
Marque esta opción si el servidor LDAP utiliza un prefijo y un sufijo para la autenticación del usuario.
Prefijo de autentificación
Algunos servidores LDAP requieren un prefijo concatenado al nombre del usuario para efectuar la autentificación.
Ejemplo
Prefijo: un_dominio\
Usuario: un_usuario
Resultado: un_dominio\un_usuario
Sufijo de autentificación
Algunos servidores LDAP requieren un sufijo concatenado al nombre del usuario para efectuar la autentificación.
Ejemplo
Sufijo: @un_dominio
Usuario: un_usuario
Resultado: un usuario@un_dominio
Clase usuarios
Este parámetro y los siguientes dependen de la estructura interna del servidor LDAP, es decir de la manera que los usuarios están organizados en grupos. La información sirve para identificar los usuarios y los grupos de LDAP. Usted desde indicar los parámetros correspondientes en el servidor LDAP al que se está conectando. Nombre de la clase de objetos LDAP que se utilizará para identificar un usuario en el directorio LDAP.
Clase grupos
Nombre de la clase de objetos LDAP que se utilizará para identificar un grupo en el directorio LDAP.
Filtro de usuario
Filtro de búsqueda que se utilizará para extraer los usuarios del directorio LDAP. Debe estar formateado según la sintaxis estándar de LDAP.
Filtro de grupo
Filtro de búsqueda que se utilizará para extraer los grupos del directorio LDAP. Debe estar formateado según la sintaxis estándar de LDAP.
Atributo usuario
Atributo de un usuario LDAP que define la identidad del mismo.
Atributo grupo
Atributo de un grupo LDAP que define la identidad del mismo.
Atributo de autentificación
Atributo de un usuario LDAP utilizado para su autentificación.
Atributo miembro
Atributo de un grupo LDAP que define los usuarios que son miembros del mismo.
Atributo nombre completo
Atributo de un usuario LDAP que define el nombre completo del mismo.
Atributo correo electrónico
Atributo de un usuario LDAP que define el correo electrónico del mismo.
Tamaño máximo de página
Los directorios LDAP limitan el tamaño de las transacciones a un número máximo de registros simultáneos (tamaño de la página). El valor de este parámetro no debe ser mayor que el tamaño máximo autorizado por el directorio (1000 es el valor por defecto en los directorios LDAP). Un tamaño demasiado pequeño puede reducir el rendimiento. Un tamaño mayor que el límite autorizado producirá datos faltantes en las listas de usuarios.
La autenticación única permite a los usuarios un acceso seguro a las aplicaciones JMap Pro sin necesidad de autenticarse.
La autenticación de la sesión de Windows se utiliza para abrir automáticamente la sesión JMap.
La autenticación única está disponible sólo en el entorno Windows y cuando se utiliza Active Directory. Se debe efectuar uns configuración especial en el servidor Windows así como en cada computadora donde se desea la autenticación única.
La opción Autenticación única también se debe activar para el despliegue de una aplicación JMap Pro.
Este artículo (en francés e inglés) ofrece más detalles sobre el tema.
Usted puede permitir que sus usuarios que ya tienen una cuenta en administradores de identidades SAML2 se conecten a las aplicaciones JMap Web y JMap NG usando esta cuenta.
SAML2 es un estándar de código abierto que permite establecer una autenticación única entre un administrador de identidades y un servidor de aplicaciones como JMap. Este sitio ofrece los detalles sobre SAML2.
Configurar un administrador de usuarios SAML2 es una tarea compleja. El departamento de TI de su organización le proporciona configuraciones específicas de SAML2. Esta tabla describe los parámetros relacionados con JMap.
Usted puede permitir que sus usuarios que ya tienen una cuenta en administradores de identidades OpenID Connect (OIDC) se conecten a las aplicaciones JMap Web y JMap NG usando esta cuenta.
El sitio OpenID Connect 1.0 ofrece información detallada sobre este protocolo.
Configurar un administrador de usuarios OIDC es una tarea compleja. El departamento de TI de su organización le proporciona configuraciones específicas de OIDC. Esta tabla describe los parámetros relacionados con JMap.
El protocolo HTTPS permite utilizar JMap de manera más segura encriptando todas las comunicaciones entre las aplicaciones JMap, JMap Admin y JMap Server.
Para utilizar HTTPS con JMap Admin usted debe instalar un certificado de seguridad en JMap Server. Para poder efectuar el cifrado de los datos es necesario contar con un certificado de seguridad.
Durante la instalación de JMap se propone una opción para la creación e instalación automática de un certificado de seguridad temporario. Este tipo de certificado permite proteger las comunicaciones pero engendra la aparición de numerosos mensaje de advertencia en los navegadores web dado que no es emitido por una organización de seguridad reconocida (CA o Certificate Authority).
Si usted posee un certificado de seguridad emitido especialmente para su organización, usted puede instalarlo. Este detalla el procedimiento para instalar un certificado.
Cuando usted ha instalado el certificado de seguridad en JMap Server, usted puede comenzar JMap Admin con un URL semejante a este:
(asumiendo que se utiliza el puerto por defecto 443)
Si usted desea forzar la utilización permanente del protocolo HTTPS para JMap Admin, puede activar la redirección automática. Consulte la sección para obtener más información.
Cuando usted despliega las aplicaciones JMap (Pro o Web) con JMap Admin, usted puede especificar el protocolo (HTTP o HTTPS) que será utilizado para las comunicaciones entre la aplicación y JMap Server.
Si el despliegue es de tipo local (aplicación albergada en JMap Server) el protocolo HTTPS se propone sólo si un certificado de seguridad está instalado en JMap Server. Se trata del mismo certificado que para JMap Admin (ver la sección precedente).
Si el despliegue es de tipo externo (aplicación albergada en otro servidor), se proponen los dos protocolos.
En el caso de JMap Pro, los protocolos HTTP o HTTPS se utilizan solamente si la opción por Proxy está seleccionada para el despliegue.
Administrador de usuarios SAML2
Nombre
Nombre para identificar fácilmente el administrador de usuarios SAML2 en JMap Server y poder identificar los usuarios que provienen de este administrador.
Contraseña del administrador
Un administrador se crea automáticamente cuando se utiliza este administrador. Debe ingresar la contraseña de la cuenta en esta casilla.
Grupos
A diferencia de Active Directory y de LDAP, no se conocen con antelación las cuentas de usuario provenientes del administrador SAML2 porque las cuentas se crean a medida que los usuarios se conectan a una aplicación JMap Web o JMap NG. ¿Cómo se pueden otorgar los permisos sobre los recursos de JMap a usuarios que no se conocen previamente? Los grupos definidos con antelación permiten otorgar los permisos sobre los recursos de JMap. Cuando el usuario se conecta por primera vez, SAML2 asigna el usuario a uno o más grupos definidos en el Atributo Grupos en función de los datos de su perfil. Como el administrador de usuarios SAML2 se utiliza en modo sólo lectura, usted no puede crear usuarios no grupos en las secciones Usuarios y Grupos de JMap. Este parámetro le permite crear los grupos ingresando sus nombres. Después, usted puede otorgar los permisos a los grupos a los que pertenecen los usuarios provenientes de SAML2 . Debe existir una correspondencia exacta entre los nombres de los grupos en SAML2 y los grupos que crea en este parámetro. Si un usuario se conecta por primera vez vía SAML2 y su perfil indica un grupo que no existe en ese momento en JMap, el grupo se crea automáticamente y usted lo puede visualizar en la sección Grupos.
Grupo predeterminado
Seleccione el grupo al que son asignados todos los usuarios que no tienen grupo asignado en SAML2 (en Atributo Grupos). Ejemplo Usted puede crear el grupo Guests al que se asignarán los usuarios que se conectan por primera vez a una aplicación JMap Web o JMap NG y cuyo perfil en SAML2 no indica ningún grupo. Usted puede después otorgar al grupo Guests el permiso para acceder a un proyecto en particular.
Imagen del botón
Imagen que aparece en la página de conexión de la aplicación JMap Web o JMap NG y que identifica el acceso al administrador OIDC para autenticarse. Presione Seleccionar para seleccionar la imagen. La imagen debe tener un tamaño máximo de de 100x100 pixeles.
Etiqueta del botón
Texto que aparece en el botón de la imagen.
SSO callback URL
Su servicio TI le provee esta información.
Nombre del cliente
Es el nombre que JMap le da al administrador SAML2. Este nombre integra y completa el URL del administrador SAML2.
Metadatos del IdP
Su servicio TI le provee esta información.
Id de entidad del SP
Su servicio TI le provee esta información.
Atributo del nombre de usuario / ID
Parámetro opcional. Indique el atributo que contiene el nombre del usuario en SAML2. Su servicio TI le provee esta información.
Atributo Correo
Parámetro opcional. Indique el atributo que contiene la dirección de correo electrónico del usuario en SAML2. Su servicio TI le provee esta información.
Atributo Nombre
Parámetro opcional. Indique el atributo que contiene el nombre del usuario en SAML2. Su servicio TI le provee esta información.
Atributo Apellidos
Parámetro opcional. Indique el atributo que contiene el apellido del usuario en SAML2. Su servicio TI le provee esta información.
Atributo Grupos
Parámetro opcional. Indique el atributo personalizable que permite definir los grupos a los que son asignados los usuarios en SAML2. Estos grupos son visibles en las secciones Usuarios y Grupos de JMap. Su servicio TI puede ayudarlo con este parámetro.
Administrador de usuarios OIDC
Nombre
Nombre para identificar fácilmente el administrador de usuarios OIDC en JMap Server y poder identificar los usuarios que provienen de este administrador.
Contraseña del administrador
Un administrador se crea automáticamente cuando se utiliza este administrador. Debe ingresar la contraseña de la cuenta en esta casilla.
Grupos
A diferencia de Active Directory y de LDAP, no se conocen con antelación las cuentas de usuario provenientes del administrador OIDC porque las cuentas se crean a medida que los usuarios se conectan a una aplicación JMap Web o JMap NG. ¿Cómo se pueden otorgar los permisos sobre los recursos de JMap a usuarios que no se conocen previamente? Los grupos definidos con antelación permiten otorgar los permisos sobre los recursos de JMap. Cuando el usuario se conecta por primera vez, OIDC asigna el usuario a uno o más grupos definidos en el Atributo Grupos en función de los datos de su perfil. Como el administrador de usuarios OIDC se utiliza en modo sólo lectura, usted no puede crear usuarios no grupos en las secciones Usuarios y Grupos de JMap. Este parámetro le permite crear los grupos ingresando sus nombres. Después, usted puede otorgar los permisos a los grupos a los que pertenecen los usuarios provenientes de OIDC. Debe existir una correspondencia exacta entre los nombres de los grupos en OIDC y los grupos que crea en este parámetro. Si un usuario se conecta por primera vez vía OIDC y su perfil indica un grupo que no existe en ese momento en JMap, el grupo se crea automáticamente y usted lo puede visualizar en la sección Grupos.
Grupo predeterminado
Seleccione el grupo al que son asignados todos los usuarios que no tienen grupo asignado en OIDC (en Atributo Grupos).
Ejemplo Usted puede crear el grupo Guests al que se asignarán los usuarios que se conectan por primera vez a una aplicación JMap Web o JMap NG y cuyo perfil en OIDC no indica ningún grupo. Usted puede después otorgar al grupo Guests el permiso para acceder a un proyecto en particular.
Imagen del botón
Imagen que aparece en la página de conexión de la aplicación JMap Web o JMap NG y que identifica el acceso al administrador OIDC para autenticarse. Presione Seleccionar para seleccionar la imagen. La imagen debe tener un tamaño máximo de de 100x100 pixeles.
Etiqueta del botón
Texto que aparece en el botón de la imagen.
SSO callback URL
Su servicio TI le provee esta información.
Nombre del cliente
Es el nombre que JMap le da al administrador OIDC. Este nombre integra y completa el URL del administrador OIDC.
URI de descubrimiento
Su servicio TI le provee esta información.
ID de cliente
Su servicio TI le provee esta información.
Secret de cliente
Su servicio TI le provee esta información.
Alcance
Su servicio TI le provee esta información.
Tipo de respuesta
Su servicio TI le provee esta información.
Modo de respuesta
Su servicio TI le provee esta información.
Usar nonce
Su servicio TI le provee esta información.
Con estado
Su servicio TI le provee esta información.
Desactivar PKCE
Su servicio TI le provee esta información.
Atributo del nombre de usuario / ID
Parámetro opcional. Indique el atributo que contiene el nombre del usuario en OIDC. Su servicio TI le provee esta información.
Atributo Correo
Parámetro opcional. Indique el atributo que contiene la dirección de correo electrónico del usuario en OIDC. Su servicio TI le provee esta información.
Atributo Nombre
Parámetro opcional. Indique el atributo que contiene el nombre del usuario en OIDC. Su servicio TI le provee esta información.
Atributo Apellidos
Parámetro opcional. Indique el atributo que contiene el apellido del usuario en OIDC. Su servicio TI le provee esta información.
Atributo Grupos
Parámetro opcional. Indique el atributo personalizable que permite definir los grupos a los que son asignados los usuarios en OIDC. Estos grupos son visibles en las secciones Usuarios y Grupos de JMap. Su servicio TI puede ayudarlo con este parámetro.
JMap Server posee dos familias de permisos: los permisos para los usuarios de las aplicaciones (Pro, Web, NG y Survey) y los permisos para los administradores (JMap Admin).
Los permisos para los usuarios determinan lo que éstos están autorizados a hacer en las aplicaciones JMap Pro, JMap Web, JMap NG y JMap Survey.
El cuadro siguiente presenta los distintos grupos de permisos disponibles para los usuarios.
Los permisos para los administradores determinan lo que los administradores de JMap están autorizados a efectuar en JMap Admin. Ciertos permisos son globales (permisos para efectuar ciertas tareas) mientras que otros conciernen recursos particulares.
Varios de los permisos globales pueden ser configurados en la subsección Permisos de la sección JMap Server.
El cuadro siguiente describe los permisos globales de administración.
Los permisos de administración de los recursos determinan lo que el administrador puede hacer con cada recurso. El cuadro siguiente describe los permisos.
La mayor parte de los recursos administrados en JMap Admin poseen uno o varios propietarios. Los propietarios de un recurso son los únicos que pueden:
Manejar los permisos de administración del recurso;
Manejar la lista de propietarios del recurso,
Suprimir el recurso.
Los super administradores pueden efectuar todas las tareas en JMap Admin. Son los únicos que pueden:
Manejar la lista de super administradores;
Manejar los permisos globales de administración;
Manejar los usuarios y los grupos;
Modificar los parámetros de funcionamiento de JMap Server;
Visualizar los archivos de registro;
Importar y exportar configuraciones.
Usted puede manejar la lista de super administradores en la subsección Permisos de la sección JMap Server. Seleccione la pestaña Super administradores.
El cuadro siguiente presenta las tareas de administración con ejemplos e indica los perfiles o permisos requeridos para efectuar las tareas.
Los reportes sobre los permisos permiten visualizar en un mismo reporte todos los permisos que posee un usuario o un grupo de usuarios. Es una manera rápida de obtener información, sin necesidad de verificar cada recurso.
Puede acceder a los reportes en las pestañas Usuarios y Grupos de la subsección Usuarios / Grupos de la sección JMap Server presionando .
Permisos para los usuarios
Permisos sobre los proyectos
La sección Permisos de los proyectos ofrece los detalles sobre el tema.
Permisos sobre las capas
La sección Permisos de las capas ofrece los detalles sobre el tema.
Permisos sobre las capas personales
Crear capas personales Este permiso otorga al usuario el derecho de crear capas personales en las aplicaciones JMap Pro. Por defecto, los usuarios de JMap no están autorizados a crear capas personales. Usted puede configurar este permiso en Permisos de la sección JMap Server.
Permisos sobre los formularios
La sección Formularios de bases de datos ofrece los detalles sobre el tema.
Permisos globales de administración
Acceso a JMap Admin
Este permiso es necesario para que un administrador pueda acceder a JMap Admin. Luego de la instalación de JMap, sólo el usuario administrator posee este permiso.
Atención: la contraseña de este usuario está inicialmente vacía. Se recomienda enfáticamente establecer una contraseña para el usuario administrator.
La sección Usuarios y grupos ofrece más información sobre la modificación de contraseñas. Asegúrese de dejar al menos un usuario en la lista de autorizaciones y de retener la contraseña. De lo contrario le resultará imposible acceder a JMap Admin.
Crear bases de datos
Este permiso autoriza a un administrador a crear nuevas bases de datos en JMap Admin.
Crear conexión remota
Este permiso autoriza a un administrador a crear en JMap Admin nuevas conexiones a otras instancias de JMap Server.
Crear despliegues
Este permiso autoriza a un administrador a crear en JMap Admin nuevos despliegues de aplicaciones.
Crear plantillas de metadatos
Este permiso autoriza a un administrador a crear en JMap Admin nuevos modelos para los metadatos.
Crear plantillas de estilos
Este permiso autoriza a un administrador a crear en JMap Admin nuevos modelos de estilo.
Crear proyecto
Este permiso autoriza a un administrador a crear en JMap Admin nuevos proyectos.
Crear fuente de datos
Este permiso autoriza a un administrador a crear en JMap Admin nuevas fuentes de datos espaciales
Permisos de administración de los recursos
Acceder a…
Permite ver la información detallada de un recurso y utilizarlo, sin poder efectuar modificaciones. Ejemplo Para utilizar una fuente de datos espaciales para crear una capa, el administrador debe poseer como mínimo el permiso Acceder a sobre la fuente de datos.
Administrar…
Permite modificar el recurso y administrar los permisos de los usuarios del recurso. No permite suprimir el recurso ni gestionar los permisos de administración. Ejemplo Para añadir una capa en un proyecto, el administrador debe poseer el permiso Administrar sobre el proyecto.
Utilizar la consola SQL
Se aplica sólo a las bases de datos. Permite utilizar la consola SQL en la base de datos. La consola SQL permite ver la estructura de la base de datos y ejecutar expresiones SQL en la misma.
Acceso remoto
Permite acceder al recurso a partir de otra instancia de JMap Server. Este permiso se otorga, en general, a una cuenta genérica utilizada para abrir las sesiones de comunicación entre instancias de JMap Server. Las secciones Compartir capas y Compartir fuentes de datos espaciales ofrecen más información sobre el tema.
Tareas
Super Administrador
Administrador
Acceder a JMap Admin
SI
Si tiene el permiso Acceder a JMap Admin
Manejar la lista de Super administradores
SI
NO
Manejar los permisos globales de administración • Otorgar a un administrador el permiso para crear proyectos
• Retirar a un administrador el permiso para crear fuentes de datos espaciales • Otorgar a un administrador el permiso para crear plantillas de metadatos
SI
NO
Efectuar tareas de gestión de JMap Server • Modificar los parámetros de JMap Server (puertos, memoria, etc.) • Administrar los usuarios y los grupos
• Importar o exportar las configuraciones de JMap Server
• Ver los registros o modificar sus parámetros
SI
NO Puede modificar la contraseña de su cuenta de usuario.
Crear un recurso • Crear un proyecto • Crear una base de datos • Crear un despliegue de una aplicación
SI
Si tiene el permiso Crear…
Utilizar un recurso • Utilizar una base de datos para crear una fuente de datos espaciales • Utilizar una fuente de datos espaciales para crear una capa • Utilizar una conexión a JMap Server para crear una capa por referencia
SI
Si tiene el permiso Acceder a…
Ver la información detallada de un recurso • Hacer clic en una base de datos para ver sus parámetros • Hacer clic en un proyecto para ver sus parámetros
SI
Si tiene el permiso Acceder a…
Modificar un recurso • Cambiar el nombre de un proyecto • Añadir una capa en un proyecto • Modificar los parámetros de conexión de una base de datos • Modificar la proyección de una fuente de datos espaciales
SI
Si tiene el permiso Administrar…
Suprimir un recurso • Suprimir un proyecto
• Suprimir un despliegue de una aplicación
• Suprimir un modelo de estilo
SI
Si es propietario del recurso
Administrar los permisos de los usuarios de un recurso • Otorgar a un usuario el permiso para abrir un proyecto
• Otorgar a un usuario el permiso para editar los elementos de una capa de un proyecto • Retirar a un usuario el permiso para copiar los datos de una capa en un proyecto
SI
Si tiene el permiso Administrar…
Manejar los permisos de administración de un recurso • Otorgar a un administrador el permiso para utilizar una fuente de datos espaciales • Otorgar a un administrador el permiso para modificar un proyecto • Retirar a un administrador el permiso para modificar una base de datos
SI
Si es propietario del recurso
Manejar la lista de propietarios de un recurso
SI
Si es propietario del recurso
