Implementación de roles de usuario
En System Center Operations Manager, los roles de usuario son el método que se usa para asignar los derechos necesarios para acceder a los datos de supervisión y realizar acciones. Los roles de usuario están diseñados para aplicarse a grupos de usuarios que necesitan acceso y para realizar acciones en el mismo grupo de objetos supervisados. De forma predeterminada, solo la cuenta de administrador de Operations Manager tiene derecho a ver y actuar en todos los datos de supervisión. Todos los demás usuarios deben tener asignado un rol de usuario para ver o actuar sobre datos específicos o de supervisión.
Los roles de usuario se crean mediante el asistente Create User Role. En este asistente, configurarás a qué grupos de seguridad de Active Directory se les asigna este rol de usuario, a qué grupo o grupos de Operations Manager de objetos supervisados puede acceder este usuario y a qué tareas, paneles y vistas puede acceder este rol de usuario.
Un rol de usuario es la combinación de un perfil y un ámbito, como se muestra en la ilustración siguiente. Un usuario puede formar parte de varios roles y el ámbito resultante es la unión de todos los roles de usuario.
Descripción de los perfiles
Antes de crear roles de usuario en el grupo de administración, selecciona un perfil que se aplique al rol de usuario que vas a crear. Un perfil determina las acciones que un usuario puede realizar. Los perfiles tienen un conjunto definido de derechos y no se puede agregar ni quitar ninguno de estos derechos asignados. Al crear roles de usuario para operadores y otros usuarios, selecciona el perfil que mejor coincida con las responsabilidades del grupo de usuarios en la implementación de System Center Operations Manager.
Dado que Operations Manager es una plataforma de supervisión empresarial capaz de supervisar la infraestructura, la carga de trabajo o las aplicaciones implementadas en la empresa, es conveniente alinear el acceso para supervisar datos con los procesos de operación de servicio, de modo que los distintos niveles de soporte de escalamiento de incidencias o el equipo de desarrolladores de aplicaciones puedan ver los datos operativos relevantes según la función que desempeñen. La seguridad basada en roles permite limitar los privilegios que tienen los usuarios para varios aspectos de Operations Manager.
Importante
Agregar una cuenta de equipo a un miembro de rol de usuario permite que todos los servicios de ese equipo tengan acceso en Operations Manager. Se recomienda no agregar una cuenta de máquina a ningún rol de usuario.
En Operations Manager, las operaciones, como la resolución de alertas, la ejecución de tareas, la invalidación de monitores, la creación de roles de usuario, la visualización de alertas, la visualización de eventos, etc., se han agrupado en perfiles, con cada perfil representando una función de trabajo determinada, como se muestra en la tabla siguiente. Para obtener una lista de operaciones específicas asociadas a cada perfil, consulta Operaciones asociadas a perfiles de rol de usuario.
Nota:
Un ámbito define los grupos de entidades, los tipos de objeto, las tareas o las vistas a los que está restringido un perfil. No todos los ámbitos se aplican a todos los perfiles.
| Perfil | Funciones y ámbito del trabajo |
|---|---|
| Administrador | Incluye privilegios completos disponibles en Operations Manager. Nota: Solo puedes agregar grupos de seguridad de Active Directory al rol Administrador. |
| Operador avanzado | Incluye un conjunto de privilegios diseñados para los usuarios que necesitan acceder a un ajuste limitado de las configuraciones de supervisión, además de los privilegios de Operador. Concede a los miembros la capacidad de invalidar la configuración de reglas y supervisores para destinos específicos o grupos de destinos dentro del ámbito configurado. Operador avanzado también hereda privilegios de Operador. |
| Operador de supervisión de aplicaciones | Incluye un conjunto de privilegios diseñados para los usuarios que necesitan acceso a Application Diagnostics. Un rol de usuario basado en el perfil del operador de supervisión de aplicaciones concede a los miembros la capacidad de ver los eventos de supervisión de aplicaciones en la consola web de Application Diagnostics. Nota: El acceso a la característica de Application Advisor requiere el perfil de Administrador o de Operador de informes. |
| Autor | Incluye un conjunto de privilegios diseñados para la creación de configuraciones de supervisión. Concede a los miembros la capacidad de crear, editar y eliminar la configuración de supervisión (por ejemplo, tareas, reglas, supervisores y vistas) para determinados destinos o grupos de destinos dentro del ámbito configurado. |
| Operador | Incluye un conjunto de privilegios diseñados para los usuarios que necesitan acceso a alertas, vistas y tareas. Concede a los miembros la capacidad de interactuar con alertas, ejecutar tareas y acceder a vistas según su ámbito configurado. Nota de seguridad: cuando una vista de panel usa datos de la base de datos de almacenamiento de datos, es posible que los operadores puedan ver los datos a los que, de lo contrario, no tendrán acceso en vistas que usan datos de la base de datos operativa. |
| Operador de solo lectura | Incluye un conjunto de privilegios diseñados para los usuarios que necesitan acceso de solo lectura a alertas y vistas. Concede a los miembros la capacidad de ver alertas y acceder a las vistas según su ámbito configurado. Nota: Los miembros del rol Operador de solo lectura no tienen derechos asignados a la vista Estado de la tarea. Nota de seguridad: cuando una vista de panel usa datos de la base de datos de almacenamiento de datos, es posible que los operadores puedan ver los datos a los que, de lo contrario, no tendrán acceso en vistas que usan datos de la base de datos operativa. |
| Operador de informe | Incluye un conjunto de privilegios diseñados para los usuarios que necesitan acceso a informes. Concede a los miembros la capacidad de ver informes según su ámbito configurado. Precaución: los usuarios asignados a este rol tienen acceso a todos los datos del informe en el almacenamiento de datos de informes y no están limitados por ámbito. |
| Administrador de seguridad de informes | Habilita la integración de la seguridad de SQL Server Reporting Services con roles de usuario de Operations Manager. Esto proporciona a los administradores de Operations Manager la capacidad de controlar el acceso a los informes. Este rol solo puede tener una cuenta de miembro y no se puede definir el ámbito. |
Además de los perfiles de trabajo existentes enumerados antes, Operations Manager 2022 admite los siguientes perfiles de trabajo nuevos:
| Perfil | Funciones y ámbito del trabajo |
|---|---|
| Administrador de solo lectura | Incluye todos los privilegios de lectura en Operations Manager junto con la creación de informes. |
| Administrador delegado | Incluye todos los privilegios de lectura en Operations Manager excepto la creación de informes. Concede a los miembros la capacidad de crear un rol de usuario personalizado con Administrador delegado como perfil base. |
Definición de un ámbito mediante grupos de Operations Manager
El ámbito de un rol de usuario determina los objetos que ese rol de usuario puede visualizar y las acciones que puede realizar en ellos en System Center Operations Manager. Un ámbito se compone de uno o varios grupos de Operations Manager y se define al crear un rol de usuario como parte del Asistente para crear roles de usuario. La página Ámbito de grupo del Asistente para crear roles de usuario proporciona una lista de todos los grupos de Operations Manager existentes. Puede elegir todos o algunos de estos grupos como ámbito del rol de usuario que va a crear.
Los grupos, al igual que otros objetos de Operations Manager, se definen en módulos de administración. En Operations Manager, los grupos son recopilaciones lógicas de objetos, como equipos Windows, discos duros o instancias de Microsoft SQL Server. Los módulos de administración que se importan automáticamente durante una instalación de Operations Manager crean varios grupos. Si estos grupos no contienen los objetos supervisados que necesitas para un ámbito, puedes crear un grupo que sí lo haga. Para ello, debes salir del Asistente para crear roles de usuario, cambiar al área de trabajo Supervisión y usar el Asistente para crear grupos para crear un grupo que mejor se adapte a tus necesidades.
Asignar tareas, paneles y vistas
Una tarea es una acción iniciada por el usuario desde la consola del operador que se ejecuta en un agente de Operations Manager o en el sistema desde el que se inicia la consola. Las tareas que concedes a un rol de usuario que vas a crear pueden realizar esos comandos o acciones específicos para el rol de usuario que vas a crear. La configuración predeterminada es que todos los usuarios asignados a ese rol de usuario pueden ejecutar todas las tareas y abrir todos los paneles y vistas siempre que su perfil y ámbito lo permitan. La alternativa en la página Tareas del Asistente para crear roles de usuario es enumerar las tareas específicas a las que puede acceder la regla de usuario que estás creando. De forma similar, en la página Paneles y vistas del Asistente para crear roles de usuario se especifican paneles y vistas, así como a qué paneles específicos disponibles desde el panel de tareas se puede acceder.
Asignación de miembros a roles de usuario integrados
Operations Manager proporciona ocho roles de usuario estándar que se crean durante la instalación. Puedes asignar grupos e individuos directamente a estos roles de usuario integrados para proporcionarles la capacidad de realizar determinadas tareas y acceder a cierta información. Estos roles integrados tienen ámbito global para el grupo de administración.
Para limitar el ámbito de un usuario, crea un nuevo rol de usuario.
Para asignar miembros a un rol de usuario integrado
En la Consola del operador, seleccione Administración.
En Seguridad, selecciona Roles de usuario.
En el panel de resultados, haz clic con el botón derecho en cualquiera de los roles de usuario, como Operadores de Operations Manager, y selecciona Propiedades.
En la pestaña Propiedades generales, en Miembros de rol de usuario, selecciona Agregar.
En Introduce los nombres de objeto que deseas seleccionar, escribe el nombre de la cuenta de usuario o grupo que deseas agregar al rol de usuario y selecciona Aceptar para cerrar el cuadro de diálogo.
Selecciona Aceptar para cerrar las propiedades del rol de usuario.