Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Este tipo de administrador de usuarios permite combinar varios administradores. Puede añadir tantos administradores como necesite. Todos funcionarán como un único administrador de usuarios. Las secciones siguientes detallan la configuración de los otros administradores de usuarios e identidades soportados por JMap.
Se recomienda utilizar el administrador de usuarios compuesto si usted desea integrar varios administradores o si desea efectuar una transición hacia un sistema web de identificación única (Single Sign On, SSO web).
Este tipo de administración de cuentas de usuarios guarda los usuarios y los grupos directamente en la base de datos System de JMap Server o en una base de datos externa que contiene las tablas y los campos requeridos. El administrador JMap debe crear y administrar todas las cuentas y grupos de usuarios.
En la sección Usuarios / Grupos, haga clic en la pestaña Administrador de usuarios. Seleccione Administrador de usuarios JMap BD para indicar que las cuentas de usuarios serán administradas en una base de datos relacional. Para almacenar las cuentas y grupos de usuarios en la base de datos System de JMap Server, seleccione la opción Base de datos JMap Server.
Puede también utilizar cualquier base de datos relacional que contiene las tablas y campos requeridos, seleccionando la opción Base de datos externa. En ese caso se visualiza una interfaz para especificar los parámetros de configuración. Seleccione la base de datos que utilizará, luego seleccione las tablas y los campos que contienen la información sobre los usuarios y los grupos. Si resulta necesario, puede seleccionar el modo Sólo lectura para impedir que las cuentas sean modificadas a partir de JMap Admin.
Una vez definida esta configuración, puede crear, modificar o suprimir cuentas de usuarios directamente a partir de JMap Admin.
Usted puede acceder a la configuración del administrador de usuarios en JMap Admin, presionando Usuarios / Grupos en la sección JMap Server. Seleccione la pestaña Administrador de usuarios.
El administrador de usuarios permite definir la manera en que JMap administra las cuentas de usuarios y los grupos de usuarios. Esa información puede ser tratada de dos maneras:
Usando la base de datos de cuentas de usuarios de JMap; usted crea y suprime las cuentas de usuarios directamente a partir de JMap Admin.
Conectándose a una base de datos de cuentas de usuarios existente, tal como un sistema Windows Active Directory, un sistema compatible con LDAP (Protocolo para el acceso a directorios jerárquicos de información) o una base de datos relacional o conectándose a un administrador de identidades mediante protocolos tales como SAML2 u OpenId Connect.
También es posible combinar varios sistemas para utilizarlos simultáneamente (la base de datos de JMap y Windows Active Directory, por ejemplo). Los distintos sistemas son utilizados como un solo sistema. Cuando JMap Server se conecta a una base de datos existente, la gestión de las cuentas de usuarios se simplifica ya que no se requiere la creación de cuentas de usuarios o de grupos en JMap.
Las secciones siguientes describen cada una de las opciones posibles.
Cuando usted se conecta a un administrador de usuarios o identidades externa a JMap (Active Directory, LDAP, OIDC, SAML2 o una base de datos relacional externa), resulta útil sincronizar JMap Server con la base de datos por dos razones:
Cuando ciertos usuarios o grupos son suprimidos de la base de datos des administrador externo y éstos tenían permisos otorgados en JMap (ej.: abrir un proyecto, visualizar ciertas capas, etc.), los permisos no son suprimidos automáticamente en las listas de permisos en JMap Server. Esto puede suceder porque JMap Server no sabe que esos usuarios o grupos han sido eliminados en la base de datos del administrador externo. Estableciendo la sincronización, JMap Server elimina los permisos de los usuarios y grupos suprimidos. Si usted no sincroniza JMap Server con la base de datos del administrador externo, la situación no implica problemas a nivel de la seguridad, ya que los usuarios o grupos suprimidos no pueden autenticarse para abrir una aplicación.
Cuando la composición de los grupos de usuarios se modifica (se añaden o retiran miembros), para que JMap Server pueda cargar nuevamente la lista de los miembros de los grupos. JMap Server conserva la lista de miembros de un grupo en la memoria por razones de rendimiento.
Puede automatizar la sincronización activando la opción Sincronización automática cada y especificando un período de tiempo.
Usted puede conectarse a Windows Active Directory (en modo lectura solamente).
Para que la opción Administrador de usuarios Active Directory esté disponible en la pestaña Administrador de usuarios de la sección Usuarios / Grupos de JMap Admin, usted debe incluir la línea siguiente en el archivo JMAP_HOME/conf/jmapserver.properties :
usermanager.ad=com.kheops.jmap.server.security.ActiveDirectoryUserManager
Le recomendamos utilizar el Administrador de usuarios compuesto y no el Administrador de usuarios Active Directory solo, para conservar un acceso a JMap Admin aún en el caso que existan errores en la configuración de Active Directory.
En la sección Administrador de usuarios seleccione el Administrador de usuarios compuesto y añada el Administrador de usuarios Active Directory. Se abre entonces una nueva interfaz que le permite especificar los parámetros de configuración de la conexión al servidor Active Directory.
Usted puede conectarse con cualquier directorio compatible con LDAP (en modo lectura solamente). Existen numerosos directorios compatibles con LDAP en los sistemas Unix, Linux y Windows.
Para que la opción Administrador de usuarios JMap LDAP esté disponible en la pestaña Administrador de usuarios de la sección Usuarios / Grupos de JMap Admin, usted debe incluir la línea siguiente en el archivo JMAP_HOME/conf/jmapserver.properties :
usermanager.ldap=com.kheops.jmap.server.security.LDAPUserManager
Le recomendamos utilizar el Administrador de usuarios compuesto y no el Administrador de usuarios JMap LDAP solo, para conservar un acceso a JMap Admin aún en el caso que existan errores en la configuración de LDAP.
En la sección Administrador de usuarios seleccione el Administrador de usuarios compuesto y añada el Administrador de usuarios JMap LDAP. Se abre entonces una nueva interfaz que le permite especificar los parámetros de configuración de la conexión al servidor LDAP.
Puede obtener más detalles sobre el protocolo LDAP en el sitio http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol.
Usted puede permitir que sus usuarios que ya tienen una cuenta en administradores de identidades OpenID Connect (OIDC) se conecten a las aplicaciones JMap Web y JMap NG usando esta cuenta.
El sitio ofrece información detallada sobre este protocolo.
Configurar un administrador de usuarios OIDC es una tarea compleja. El departamento de TI de su organización le proporciona configuraciones específicas de OIDC. Esta tabla describe los parámetros relacionados con JMap.
Active Directory
Nombre
Nombre para identificar fácilmente el administrador de usuarios Active Directory.
Dirección del servidor
Dirección del servidor Windows controlador de dominio con Active Directory. Puede añadir varios servidores, separándolos con un espacio.
Ejemplo
ldap://host1 ldap://host2
Donde host1
y host2
son los URL de los servidores Active Directory. Active Directory se basa en el protocolo LDAP.
DN
Identificador único (Distinguished Name) que permite definir la raíz del directorio. Compuesto por una lista de entradas DC (Domain Component, componentes de dominio).
Ejemplo
dc=k2
,dc=com
.
Dominio
Nombre del dominio Windows.
Ejemplo
k2.com
Usuario/SPN
Nombre del usuario que JMap Server usará para conectarse a Active Directory. Se recomienda crear un usuario especialmente para las necesidades de JMap. Su contraseña no debería expirar nunca. Si desea utilizar una autenticación única, debe crear un SPN (Service Principal Name, nombre principal de servicio) asociado a ese usuario.
La sección Autenticación única en JMap Pro ofrece más detalles sobre el tema.
Contraseña
Contraseña del usuario que JMap Server usará para conectarse al Active Directory.
Contraseña admin.
En JMap siempre debe existe existir un usuario denominado administrator. Si en Active Directory no existe un usuario administrator, JMap se encargará de simular uno. En ese caso, provea la contraseña asociada a ese usuario simulado. Si ya existe un usuario administrator en el Active Directory y se ingresa su contraseña, ésta será simplemente ignorada.
Activar la autenticación única
Activa la autenticación única. La sección Autenticación única en JMap Pro ofrece más detalles sobre el tema.
Tamaño máximo de página
Active Directory limita el tamaño de las transacciones a un número máximo de registros simultáneos (tamaño de la página). El valor de este parámetro no debe ser mayor que el tamaño máximo autorizado por Active Directory (1000 es el valor por defecto en Active Directory). Un tamaño demasiado pequeño puede reducir el rendimiento. Un tamaño mayor que el límite autorizado producirá datos faltantes en las listas de usuarios.
Configuración de LDAP (parámetros siguientes)
Active Directory se basa en el protocolo LDAP. Los parámetros LDAP configurados por defecto son los que se aplican más comúnmente en Active Directory. Si al contrario, esos parámetros no corresponden a los que se utilizan, usted puede modificar los valores. Los parámetros se describen en la sección Administrador de usuarios JMap LDAP.
Administrador de usuarios LDAP
Nombre
Nombre para identificar fácilmente el administrador de usuarios LDAP.
URL del servidor
Dirección del servidor LDAP. Puede añadir varios servidores, separándolos con un espacio.
Ejemplo
ldap://host1 ldap://host2
Donde host1
y host2
son los URL de los servidores LDAP.
SSL
Marque esta casilla para conectarse a LDAP a través de Secure Socket Layer (SSL) mediante un certificado de cliente. Debe instalar el certificado en el almacén de claves de JMap. Este artículo detalla el procedimiento a seguir.
DN
Identificador único (Distinguished Name) que permite definir la raíz del directorio. Compuesto por una lista de entradas DC (Domain Component, componentes de dominio).
Ejemplo
dc=k2geospatial
,dc=com
.
da un DN k2geospatial.com
.
Usuario
Nombre del usuario que JMap Server usará para conectarse al directorio LDAP. Se recomienda crear un usuario especialmente para las necesidades de JMap. Su contraseña no debería expirar nunca. El usuario debe acompañarse con el dominio al que pertenece.
Ejemplo
cn=admin
,dc=k2geospatial
,dc=com
Contraseña
Contraseña del usuario que JMap Server usará para conectarse al directorio LDAP.
Contraseña admin.
En JMap debe existir siempre un usuario denominado administrator. Si no hay un usuario administrator en el directorio LDAP, JMap va a simular uno. En ese caso se debe ingresar una contraseña asociada a ese usuario. Si el usuario administrator existe en el directorio LDAP y se ingresa una contraseña, ésta será ignorada.
Utiliza prefijo y sufijo
Marque esta opción si el servidor LDAP utiliza un prefijo y un sufijo para la autenticación del usuario.
Prefijo de autentificación
Algunos servidores LDAP requieren un prefijo concatenado al nombre del usuario para efectuar la autentificación.
Ejemplo
Prefijo: un_dominio\
Usuario: un_usuario
Resultado: un_dominio\un_usuario
Sufijo de autentificación
Algunos servidores LDAP requieren un sufijo concatenado al nombre del usuario para efectuar la autentificación.
Ejemplo
Sufijo: @un_dominio
Usuario: un_usuario
Resultado: un usuario@un_dominio
Clase usuarios
Este parámetro y los siguientes dependen de la estructura interna del servidor LDAP, es decir de la manera que los usuarios están organizados en grupos. La información sirve para identificar los usuarios y los grupos de LDAP. Usted desde indicar los parámetros correspondientes en el servidor LDAP al que se está conectando. Nombre de la clase de objetos LDAP que se utilizará para identificar un usuario en el directorio LDAP.
Clase grupos
Nombre de la clase de objetos LDAP que se utilizará para identificar un grupo en el directorio LDAP.
Filtro de usuario
Filtro de búsqueda que se utilizará para extraer los usuarios del directorio LDAP. Debe estar formateado según la sintaxis estándar de LDAP.
Filtro de grupo
Filtro de búsqueda que se utilizará para extraer los grupos del directorio LDAP. Debe estar formateado según la sintaxis estándar de LDAP.
Atributo usuario
Atributo de un usuario LDAP que define la identidad del mismo.
Atributo grupo
Atributo de un grupo LDAP que define la identidad del mismo.
Atributo de autentificación
Atributo de un usuario LDAP utilizado para su autentificación.
Atributo miembro
Atributo de un grupo LDAP que define los usuarios que son miembros del mismo.
Atributo nombre completo
Atributo de un usuario LDAP que define el nombre completo del mismo.
Atributo correo electrónico
Atributo de un usuario LDAP que define el correo electrónico del mismo.
Tamaño máximo de página
Los directorios LDAP limitan el tamaño de las transacciones a un número máximo de registros simultáneos (tamaño de la página). El valor de este parámetro no debe ser mayor que el tamaño máximo autorizado por el directorio (1000 es el valor por defecto en los directorios LDAP). Un tamaño demasiado pequeño puede reducir el rendimiento. Un tamaño mayor que el límite autorizado producirá datos faltantes en las listas de usuarios.
Administrador de usuarios OIDC |
Nombre | Nombre para identificar fácilmente el administrador de usuarios OIDC en JMap Server y poder identificar los usuarios que provienen de este administrador. |
Contraseña del administrador | Un administrador se crea automáticamente cuando se utiliza este administrador. Debe ingresar la contraseña de la cuenta en esta casilla. |
Grupos | A diferencia de Active Directory y de LDAP, no se conocen con antelación las cuentas de usuario provenientes del administrador OIDC porque las cuentas se crean a medida que los usuarios se conectan a una aplicación JMap Web o JMap NG. ¿Cómo se pueden otorgar los permisos sobre los recursos de JMap a usuarios que no se conocen previamente? Los grupos definidos con antelación permiten otorgar los permisos sobre los recursos de JMap. Cuando el usuario se conecta por primera vez, OIDC asigna el usuario a uno o más grupos definidos en el Atributo Grupos en función de los datos de su perfil. Como el administrador de usuarios OIDC se utiliza en modo sólo lectura, usted no puede crear usuarios no grupos en las secciones Usuarios y Grupos de JMap. Este parámetro le permite crear los grupos ingresando sus nombres. Después, usted puede otorgar los permisos a los grupos a los que pertenecen los usuarios provenientes de OIDC. Debe existir una correspondencia exacta entre los nombres de los grupos en OIDC y los grupos que crea en este parámetro. Si un usuario se conecta por primera vez vía OIDC y su perfil indica un grupo que no existe en ese momento en JMap, el grupo se crea automáticamente y usted lo puede visualizar en la sección Grupos. |
Grupo predeterminado | Seleccione el grupo al que son asignados todos los usuarios que no tienen grupo asignado en OIDC (en Atributo Grupos). Ejemplo Usted puede crear el grupo Guests al que se asignarán los usuarios que se conectan por primera vez a una aplicación JMap Web o JMap NG y cuyo perfil en OIDC no indica ningún grupo. Usted puede después otorgar al grupo Guests el permiso para acceder a un proyecto en particular. |
Imagen del botón | Imagen que aparece en la página de conexión de la aplicación JMap Web o JMap NG y que identifica el acceso al administrador OIDC para autenticarse. Presione Seleccionar para seleccionar la imagen. La imagen debe tener un tamaño máximo de de 100x100 pixeles. |
Etiqueta del botón | Texto que aparece en el botón de la imagen. |
SSO callback URL | Su servicio TI le provee esta información. |
Nombre del cliente | Es el nombre que JMap le da al administrador OIDC. Este nombre integra y completa el URL del administrador OIDC. |
URI de descubrimiento | Su servicio TI le provee esta información. |
ID de cliente | Su servicio TI le provee esta información. |
Secret de cliente | Su servicio TI le provee esta información. |
Alcance | Su servicio TI le provee esta información. |
Tipo de respuesta | Su servicio TI le provee esta información. |
Modo de respuesta | Su servicio TI le provee esta información. |
Usar nonce | Su servicio TI le provee esta información. |
Con estado | Su servicio TI le provee esta información. |
Desactivar PKCE | Su servicio TI le provee esta información. |
Atributo del nombre de usuario / ID | Parámetro opcional. Indique el atributo que contiene el nombre del usuario en OIDC. Su servicio TI le provee esta información. |
Atributo Correo | Parámetro opcional. Indique el atributo que contiene la dirección de correo electrónico del usuario en OIDC. Su servicio TI le provee esta información. |
Atributo Nombre | Parámetro opcional. Indique el atributo que contiene el nombre del usuario en OIDC. Su servicio TI le provee esta información. |
Atributo Apellidos | Parámetro opcional. Indique el atributo que contiene el apellido del usuario en OIDC. Su servicio TI le provee esta información. |
Atributo Grupos | Parámetro opcional. Indique el atributo personalizable que permite definir los grupos a los que son asignados los usuarios en OIDC. Estos grupos son visibles en las secciones Usuarios y Grupos de JMap. Su servicio TI puede ayudarlo con este parámetro. |
Usted puede permitir que sus usuarios que ya tienen una cuenta en administradores de identidades SAML2 se conecten a las aplicaciones JMap Web y JMap NG usando esta cuenta.
SAML2 es un estándar de código abierto que permite establecer una autenticación única entre un administrador de identidades y un servidor de aplicaciones como JMap. Este sitio ofrece los detalles sobre SAML2.
Configurar un administrador de usuarios SAML2 es una tarea compleja. El departamento de TI de su organización le proporciona configuraciones específicas de SAML2. Esta tabla describe los parámetros relacionados con JMap.
Administrador de usuarios SAML2
Nombre
Nombre para identificar fácilmente el administrador de usuarios SAML2 en JMap Server y poder identificar los usuarios que provienen de este administrador.
Contraseña del administrador
Un administrador se crea automáticamente cuando se utiliza este administrador. Debe ingresar la contraseña de la cuenta en esta casilla.
Grupos
A diferencia de Active Directory y de LDAP, no se conocen con antelación las cuentas de usuario provenientes del administrador SAML2 porque las cuentas se crean a medida que los usuarios se conectan a una aplicación JMap Web o JMap NG. ¿Cómo se pueden otorgar los permisos sobre los recursos de JMap a usuarios que no se conocen previamente? Los grupos definidos con antelación permiten otorgar los permisos sobre los recursos de JMap. Cuando el usuario se conecta por primera vez, SAML2 asigna el usuario a uno o más grupos definidos en el Atributo Grupos en función de los datos de su perfil. Como el administrador de usuarios SAML2 se utiliza en modo sólo lectura, usted no puede crear usuarios no grupos en las secciones Usuarios y Grupos de JMap. Este parámetro le permite crear los grupos ingresando sus nombres. Después, usted puede otorgar los permisos a los grupos a los que pertenecen los usuarios provenientes de SAML2 . Debe existir una correspondencia exacta entre los nombres de los grupos en SAML2 y los grupos que crea en este parámetro. Si un usuario se conecta por primera vez vía SAML2 y su perfil indica un grupo que no existe en ese momento en JMap, el grupo se crea automáticamente y usted lo puede visualizar en la sección Grupos.
Grupo predeterminado
Seleccione el grupo al que son asignados todos los usuarios que no tienen grupo asignado en SAML2 (en Atributo Grupos). Ejemplo Usted puede crear el grupo Guests al que se asignarán los usuarios que se conectan por primera vez a una aplicación JMap Web o JMap NG y cuyo perfil en SAML2 no indica ningún grupo. Usted puede después otorgar al grupo Guests el permiso para acceder a un proyecto en particular.
Imagen del botón
Imagen que aparece en la página de conexión de la aplicación JMap Web o JMap NG y que identifica el acceso al administrador OIDC para autenticarse. Presione Seleccionar para seleccionar la imagen. La imagen debe tener un tamaño máximo de de 100x100 pixeles.
Etiqueta del botón
Texto que aparece en el botón de la imagen.
SSO callback URL
Su servicio TI le provee esta información.
Nombre del cliente
Es el nombre que JMap le da al administrador SAML2. Este nombre integra y completa el URL del administrador SAML2.
Metadatos del IdP
Su servicio TI le provee esta información.
Id de entidad del SP
Su servicio TI le provee esta información.
Atributo del nombre de usuario / ID
Parámetro opcional. Indique el atributo que contiene el nombre del usuario en SAML2. Su servicio TI le provee esta información.
Atributo Correo
Parámetro opcional. Indique el atributo que contiene la dirección de correo electrónico del usuario en SAML2. Su servicio TI le provee esta información.
Atributo Nombre
Parámetro opcional. Indique el atributo que contiene el nombre del usuario en SAML2. Su servicio TI le provee esta información.
Atributo Apellidos
Parámetro opcional. Indique el atributo que contiene el apellido del usuario en SAML2. Su servicio TI le provee esta información.
Atributo Grupos
Parámetro opcional. Indique el atributo personalizable que permite definir los grupos a los que son asignados los usuarios en SAML2. Estos grupos son visibles en las secciones Usuarios y Grupos de JMap. Su servicio TI puede ayudarlo con este parámetro.