Administración de roles de usuario de Service Manager
En esta sección se proporciona información general sobre los roles de usuario en Lista de perfiles de rol de usuario en Service Manager. Incluye procedimientos que puede usar para trabajar con roles de usuario.
Acerca de los roles de usuario
En su organización, algunos empleados son responsables de admitir hardware, como equipos portátiles y servidores. Algunos de los empleados pueden crear y actualizar elementos de configuración, pero no eliminarlos, mientras que otros pueden crear, actualizar y eliminar elementos de configuración.
En la lista de perfiles de rol de usuario en Service Manager, los derechos de seguridad que permiten a los usuarios acceder o actualizar información se definen en un perfil de rol de usuario. Un perfil de rol de usuario es una colección con nombre de derechos de acceso y normalmente corresponde a las responsabilidades empresariales de un empleado. Cada perfil de rol de usuario controla el acceso a estos artefactos como artículos de conocimiento, elementos de trabajo (incidentes, solicitudes de cambio), creación, administración y otras credenciales. Piense en los perfiles de rol de usuario como definir lo que se le permite hacer.
En el futuro, los administradores de su organización pueden decidir separar el grupo de empleados que mantienen elementos de configuración en dos grupos: aquellos que administran elementos de configuración para equipos de escritorio y aquellos que administran elementos de configuración para equipos portátiles. Quieren conservar estos dos perfiles de rol de usuario, un perfil que puede crear y editar, pero no eliminar elementos de configuración, y otro perfil que pueda crear, editar y eliminar elementos de configuración. Definiría estos perfiles de rol de usuario con distintos ámbitos, uno para escritorios y otro para equipos portátiles. Si los perfiles de rol de usuario definen lo que se le permite hacer, piense en ámbitos como definir qué elementos puede modificar. La combinación de un perfil de rol de usuario y un ámbito se denomina rol de usuario.
Descripción de los roles de usuario
En Service Manager, al seleccionar Administración, expanda Seguridad y seleccione Roles de usuario, un panel Roles de usuario muestra una lista de roles de usuario. Cada uno de estos roles de usuario se ha configurado con un perfil de rol de usuario y un ámbito indefinido. Dado que el ámbito no está definido para estos roles de usuario, puede ejercer sus perfiles de usuario en todos los módulos de administración, colas, grupos, tareas, vistas y plantillas de formulario. En la tabla siguiente se enumeran los roles de usuario predeterminados, sus perfiles de rol de usuario asociados y el ámbito.
| Rol de usuario | Perfil de rol de usuario | Ámbito |
|---|---|---|
| Implementadores de actividad | Implementador de actividad | Global |
| Administradores | Administrador | Global |
| Operadores avanzados | Operador avanzado | Global |
| Cambiar iniciadores | Cambiar iniciador | Global |
| Usuarios finales | Usuario final | Global |
| Operadores de solo lectura | Operador de solo lectura | Global |
| Autores | Autor | Global |
| Analistas de problemas | Analista de problemas | Global |
| Flujos de trabajo | Flujo de trabajo | Global |
| Solucionadores de incidentes | Solucionador de incidentes | Global |
| Administradores de cambios | Administrador de cambios | Global |
| Usuarios del informe | Usuario del informe | Global |
| Administradores de versiones | Administrador de versiones | Global |
| Analistas de solicitudes de servicio | Analista de solicitudes de servicio | Global |
Nota:
El rol de usuario Usuarios de informes de Service Manager solo está disponible después de registrarse en el almacenamiento de datos de Service Manager y después de que el botón de navegación Almacenamiento de datos esté disponible. Para ver el rol de usuario Usuarios de informes de Service Manager, seleccione Almacenamiento de datos, expanda Seguridad y roles de usuario.
Ejemplo
Por ejemplo, supongamos que desea definir un acceso de seguridad que permita a los usuarios crear y editar, pero no eliminar, elementos de configuración y otro acceso de seguridad que permita a los usuarios crear, editar y eliminar elementos de configuración. En el apéndice A, al final de esta guía, se enumeran los perfiles de rol de usuario y sus artefactos asociados. En la tabla siguiente se muestran los perfiles de rol de usuario relacionados con los elementos de configuración.
| Perfil de rol de usuario | Crear elementos de configuración | Actualizar elementos de configuración | Eliminar elementos de configuración |
|---|---|---|---|
| Usuario del informe | No | N.º | No |
| Usuario final | No | N.º | No |
| Operador de solo lectura | No | N.º | No |
| Implementador de actividad | No | N.º | No |
| Cambiar iniciador | No | N.º | No |
| Solucionador de incidentes | No | N.º | No |
| Analista de problemas | No | N.º | No |
| Administrador de cambios | No | N.º | No |
| Operador avanzado | Sí | Sí | No |
| Autor | Sí | Sí | No |
| Flujo de trabajo | Sí | Sí | No |
| Administrador | Sí | Sí | Sí |
Con la tabla anterior, puede ver que el perfil de rol de usuario Operadores avanzados puede crear y actualizar, pero no eliminar elementos de configuración. El perfil de rol de usuario Administradores puede crear, actualizar y eliminar elementos de configuración. Los miembros del equipo de administración de recursos que pueden crear y actualizar, pero no eliminar, los elementos de configuración se convierten en miembros del perfil predefinido operadores avanzados de Service Manager. Los miembros del equipo de administración de recursos que pueden crear, editar y eliminar elementos de configuración se convierten en miembros del perfil Administradores.
Como procedimiento recomendado, suponga que los miembros del equipo de administración de recursos pueden cambiar. Debe crear dos grupos en Servicios de dominio de Active Directory (AD DS) y convertir esos grupos en los perfiles operadores y administradores avanzados. Después, a medida que cambian los miembros, los usuarios se agregan y quitan del grupo de Active Directory y no es necesario realizar ningún cambio en Service Manager.
En el futuro, si divide el equipo de administración de recursos en dos grupos, uno para equipos de escritorio y el otro para portátiles, puede crear su propio rol de usuario mediante los mismos perfiles de rol de usuario, pero con distintos ámbitos.
¿Por qué no se pueden crear algunos roles de usuario?
Al crear un rol de usuario, observe que no hay tres roles de usuario disponibles: Administrador, Usuario de informe y Flujos de trabajo. Estos tres roles de usuario se crean y rellenan durante la instalación y, por lo general, estos roles de usuario los usa Service Manager. En las secciones siguientes se describe cada uno de estos roles de usuario.
Administrador
El rol de usuario Administrador es global en el ámbito; por lo tanto, no hay ninguna razón para crear otro rol de usuario de este tipo.
Usuario del informe
El rol de usuario, Usuario de informe, tiene un propósito en Service Manager: para buscar el equipo que hospeda Microsoft SQL Server Reporting Services (SSRS) para el usuario en una consola de Service Manager. Cuando un usuario de una consola de Service Manager intenta ejecutar un informe, se realiza una consulta al servidor de administración de Service Manager que busca el equipo que hospeda el servidor de administración del almacenamiento de datos. A continuación, la consola de Service Manager consulta el servidor de administración del almacenamiento de datos que busca el nombre del equipo que hospeda SSRS. Con esa información, la consola de Service Manager se conecta a SSRS. El propósito singular del rol de usuario, Usuario de informe, es realizar estas consultas. Después de que la consola de Service Manager se conecte a SSRS, las credenciales del usuario que ejecuta la consola conceden acceso tal como se define en SSRS. Debido al propósito estrecho de este rol de usuario, no hay ninguna razón para crear otro rol de usuario.
Flujos de trabajo
Es posible que los flujos de trabajo tengan que leer y escribir en la base de datos de Service Manager. Durante la instalación, se le pedirá que proporcione credenciales para el rol de usuario Flujos de trabajo y este rol de usuario realiza las acciones necesarias en la base de datos de Service Manager. Al igual que el rol de usuario, usuario de informe, el propósito estrecho del rol de usuario flujo de trabajo significa que no hay ninguna razón para crear otros roles de usuario.
Agregar un miembro a un rol de usuario
En Service Manager, puede asignar usuarios a un rol de usuario para definir lo que pueden hacer.
En este ejemplo, tendrá que agregar miembros de un equipo de administración de recursos que pueda crear y actualizar, pero no eliminar elementos de configuración al rol de usuario. Al examinar la sección Elementos de configuración de perfiles de rol de usuario en Service Manager, verá que el perfil de rol de usuario Operadores avanzados proporciona lo que necesita con respecto a los permisos para este equipo. En este momento, todos los miembros del equipo de administración de activos son responsables de todos los activos de la empresa; por lo tanto, requieren un ámbito ilimitado.
Use los procedimientos siguientes para agregar un usuario al rol de usuario Operadores avanzados de Service Manager y, a continuación, validar la asignación del usuario al rol de usuario.
Para asignar un usuario a un rol de usuario
En la consola de Service Manager, seleccione Administración.
En el panel Administración , expanda Seguridad y, a continuación, seleccione Roles de usuario.
En el panel Roles de usuario, haga doble clic en Operadores avanzados.
En el cuadro de diálogo Editar rol de usuario, seleccione Usuarios.
En la página Usuarios , seleccione Agregar.
En el cuadro de diálogo Seleccionar usuarios o grupos , escriba el nombre de un usuario o grupo que quiera agregar a este rol de usuario, seleccione Comprobar nombres y seleccione Aceptar.
En el cuadro de diálogo Editar rol de usuario, seleccione Aceptar.
Para validar la asignación de un usuario a un rol de usuario
- Inicie sesión en la consola de Service Manager como uno de los usuarios asignados al rol de usuario. Compruebe que no puede acceder a los datos para los que no tiene derechos de acceso, tal como se especifica en los roles de usuario.
Puede usar un comando de Windows PowerShell para ver a los usuarios. Para obtener información sobre cómo usar Windows PowerShell para recuperar usuarios definidos en Service Manager, consulte Get-SCSMUser.
Creación de un rol de usuario
Use los procedimientos siguientes para crear un rol de usuario y asignar usuarios a ese rol en Service Manager y, a continuación, validar la creación del rol de usuario.
Para crear un rol de usuario
En la consola de Service Manager, seleccione Administración.
En el panel Administración , expanda Seguridad y, a continuación, seleccione Roles de usuario.
En el panel Tareas , en Roles de usuario, seleccione Crear rol de usuario y, a continuación, seleccione el perfil de rol de usuario que desea usar para este rol de usuario, como Autor.
Complete el Asistente para roles de usuario haciendo lo siguiente:
En la página Antes de empezar, seleccione Siguiente.
En la página General , escriba un nombre y una descripción para este rol de usuario y seleccione Siguiente.
En la página Módulos de administración, empiece a filtrar el ámbito de los datos a los que desea asignar acceso. Seleccione los módulos de administración que contienen los datos a los que desea asignar acceso, como la biblioteca de administración de incidentes. Seleccione Siguiente.
En las páginas siguientes, se muestran todas las clases, colas, grupos, tareas, vistas y plantillas de formulario que están disponibles para el rol de usuario especificado de los módulos de administración especificados. Puede seleccionar elementos específicos en estas páginas para limitar aún más el conjunto de datos a los que se asigna acceso.
Importante
Los grupos y las listas de colas no se filtran; se muestran todos los grupos y colas de todos los módulos de administración. Si selecciona el elemento Seleccionar todas las colas en la página Colas, en la página Grupos, seleccionar todos los grupos se selecciona automáticamente. Además, de forma predeterminada, no se ha creado ningún grupo. Debe crear un grupo si desea limitar el ámbito por grupo.
En la página Usuarios, seleccione Agregar y use el cuadro de diálogo Seleccionar usuarios o grupos para seleccionar usuarios y grupos de usuarios de Servicios de dominio de Active Directory (AD DS) para este rol de usuario y, a continuación, seleccione Siguiente.
En la página Resumen , asegúrese de que la configuración es correcta y seleccione Crear.
En la página Finalización , asegúrese de que aparece correctamente el rol de usuario y seleccione Cerrar.
Para validar la creación de un rol de usuario
En la consola de Service Manager, compruebe que el rol de usuario recién creado aparece en el panel central.
Inicie sesión en la consola de Service Manager como uno de los usuarios asignados al rol de usuario. Compruebe que no puede acceder a los datos para los que no tiene derechos de acceso, tal como se especifica en el rol de usuario.
Puede usar comandos de Windows PowerShell para completar estas y otras tareas relacionadas, como se indica a continuación:
Para obtener información sobre cómo usar Windows PowerShell para crear un nuevo rol de usuario en Service Manager, consulte New-SCSMUserRole.
Para obtener información sobre cómo usar Windows PowerShell para recuperar roles de usuario definidos en Service Manager, consulte Get-SCSMUserRole.
Para obtener información sobre cómo usar Windows PowerShell para establecer la propiedad UserRole para un usuario de Service Manager, vea Update-SCSMUserRole.
Para obtener información sobre cómo usar Windows PowerShell para quitar un rol de usuario de Service Manager, consulte Remove-SCSMUserRole.
Pasos siguientes
- Para conocer los requisitos de seguridad de contraseña, la expiración de contraseñas y los cambios de nombre de usuario, consulte Administrar cuentas de ejecución.