Administración de roles de usuario de Service Manager
En esta sección se proporciona información general sobre los roles de usuario en la Lista de perfiles de rol de usuario en Service Manager. Incluye procedimientos que puedes usar para trabajar con roles de usuario.
Sobre los roles de usuario
En tu organización, algunos empleados son responsables del mantenimiento del hardware, como equipos portátiles y servidores. Algunos de los empleados pueden crear y actualizar elementos de configuración, pero no eliminarlos, mientras que otros pueden crear, actualizar y eliminar elementos de configuración.
En la Lista de perfiles de rol de usuario en Service Manager, los derechos de seguridad que permiten a los usuarios acceder a información, o actualizarla, se definen en un perfil de rol de usuario. Un perfil de rol de usuario es una colección con nombre de derechos de acceso y suele corresponderse con las responsabilidades empresariales de un empleado. Cada perfil de rol de usuario controla el acceso a artefactos como artículos de conocimiento, elementos de trabajo (incidentes, solicitudes de cambio), creación, administración y otras credenciales. Crear un perfil de rol de usuario es como definir lo que se permite hacer a este usuario.
En el futuro, los administradores de tu organización pueden decidir separar el grupo de empleados que mantienen los elementos de configuración en dos grupos: aquellos que administran elementos de configuración para equipos de escritorio y aquellos que administran elementos de configuración para equipos portátiles. Quieren conservar estos dos perfiles de rol de usuario: un perfil que pueda crear y editar, pero no eliminar elementos de configuración, y otro perfil que pueda crear, editar y eliminar elementos de configuración. Definirías estos perfiles de rol de usuario con distintos ámbitos, uno para equipos de escritorio y otro para equipos portátiles. Si los perfiles de rol de usuario definen lo que se te permite hacer, piensa en ámbitos como definir qué elementos puedes modificar. La combinación de un perfil de rol de usuario y un ámbito se denomina rol de usuario.
Descripción de los roles de usuario
En Service Manager, cuando seleccionas Administración, expandes Seguridad y seleccionas Roles de usuario, un panel Roles de usuario muestra una lista de roles de usuario. Cada uno de estos roles de usuario se ha configurado con un perfil de rol de usuario y un ámbito no definido. Como el ámbito de estos roles de usuario no está definido, pueden ejercer sus perfiles de usuario en todos los módulos de administración, colas, grupos, tareas, vistas y plantillas de formulario. En la tabla siguiente se enumeran los roles de usuario predeterminados, sus perfiles de rol de usuario asociados y el ámbito.
| Rol de usuario | Perfil de rol de usuario | Ámbito |
|---|---|---|
| Implementadores de actividades | Implementador de actividades | Global |
| Administradores | Administrador | Global |
| Operadores avanzados | Operador avanzado | Global |
| Iniciadores de cambios | Iniciador de cambios | Global |
| Usuarios finales | Usuario final | Global |
| Operadores de solo lectura | Operador de solo lectura | Global |
| Autores | Autor | Global |
| Analistas de problemas | Analista de problemas | Global |
| Flujos de trabajo | Flujo de trabajo | Global |
| Solucionadores de incidentes | Solucionador de incidentes | Global |
| Administradores de cambios | Administrador de cambios | Global |
| Usuarios de informes | Usuario de informes | Global |
| Administradores de versión | Administrador de versión | Global |
| Analistas de solicitud de servicio | Analista de solicitud de servicio | Global |
Nota:
El rol de usuario Usuarios de informes de Service Manager solo está disponible después de que te registres en el almacenamiento de datos de Service Manager y después de que el botón de navegación Almacenamiento de datos esté disponible. Para ver el rol de usuario Usuarios de informes de Service Manager, selecciona Almacenamiento de datos, expande Seguridad y selecciona Roles de usuario.
Ejemplo
Por ejemplo, supongamos que quieres definir un acceso de seguridad que permita a los usuarios crear y editar, pero no eliminar, elementos de configuración y otro acceso de seguridad que permita a los usuarios crear, editar y eliminar elementos de configuración. En el apéndice A, al final de esta guía, se enumeran los perfiles de rol de usuario y sus artefactos asociados. En la tabla siguiente se muestran los perfiles de rol de usuario en relación con los elementos de configuración.
| Perfil de rol de usuario | Crear elementos de configuración | Actualizar elementos de configuración | Eliminar elementos de configuración |
|---|---|---|---|
| Usuario de informes | No | N.º | No |
| Usuario final | No | N.º | No |
| Operador de solo lectura | No | N.º | No |
| Implementador de actividades | No | N.º | No |
| Iniciador de cambios | No | N.º | No |
| Solucionador de incidentes | No | N.º | No |
| Analista de problemas | No | N.º | No |
| Administrador de cambios | No | N.º | No |
| Operador avanzado | Sí | Sí | No |
| Autor | Sí | Sí | No |
| Flujo de trabajo | Sí | Sí | No |
| Administrador | Sí | Sí | Sí |
Con la tabla anterior, puedes ver que el perfil de rol de usuario Operadores avanzados puede crear y actualizar, pero no eliminar elementos de configuración. El perfil de rol de usuario Administradores puede crear, actualizar y eliminar elementos de configuración. Los miembros del equipo de administración de recursos que pueden crear y actualizar, pero no eliminar elementos de configuración se convierten en miembros del perfil predefinido operadores avanzados de Service Manager. Los miembros del equipo de administración de recursos que pueden crear, editar y eliminar elementos de configuración se convierten en miembros del perfil Administradores.
Como procedimiento recomendado, supongamos que los miembros del equipo de administración de recursos pueden cambiar. Debes crear dos grupos en Servicios de dominio de Active Directory (AD DS) y convertir esos grupos en miembros de los perfiles operadores y administradores avanzados. Después, a medida que cambian los miembros, los usuarios se agregan y quitan del grupo de Active Directory y no es necesario realizar ningún cambio en Service Manager.
En el futuro, si divides el equipo de administración de recursos en dos grupos, uno para equipos de escritorio y el otro para portátiles, puedes crear tu propio rol de usuario mediante los mismos perfiles de rol de usuario, pero con distintos ámbitos.
¿Por qué no se pueden crear algunos roles de usuario?
Al crear un rol de usuario, observa que tres roles de usuario no están disponibles: Administrador, Usuario de informe y Flujos de trabajo. Estos tres roles de usuario se crean y rellenan durante la instalación y, por lo general, estos roles de usuario los usa Service Manager. En las secciones siguientes se describe cada uno de estos roles de usuario.
Administrador
El rol de usuario Administrador es global en el ámbito; por lo tanto, no hay ninguna razón para crear otro rol de usuario de este tipo.
Usuario de informe
El rol de usuario, Usuario de informe, tiene un propósito en Service Manager: buscar el equipo que hospeda Microsoft SQL Server Reporting Services (SSRS) para el usuario en una consola de Service Manager. Cuando un usuario de una consola de Service Manager intenta ejecutar un informe, se realiza una consulta al servidor de administración de Service Manager que busca el equipo que hospeda el servidor de administración del almacenamiento de datos. A continuación, la consola de Service Manager consulta el servidor de administración del almacenamiento de datos para buscar el nombre del equipo que hospeda SSRS. Con esa información, la consola de Service Manager se conecta a SSRS. El propósito singular del rol de usuario, Usuario de informe, es realizar estas consultas. Después de que la consola de Service Manager se conecte a SSRS, las credenciales del usuario que ejecuta la consola conceden acceso tal como se define en SSRS. Debido al propósito delimitado de este rol de usuario, no hay ninguna razón para crear otro rol de usuario.
Flujos de trabajo
Es posible que los flujos de trabajo tengan que leer y escribir en la base de datos de Service Manager. Durante la instalación, se te pedirá que proporciones credenciales para el rol de usuario Flujos de trabajo, y este rol de usuario realizará las acciones necesarias en la base de datos de Service Manager. Al igual que ocurre con el rol de usuario Usuario de informes, el propósito tan limitado del rol de usuario Flujo de trabajo hace que no haya ninguna razón para crear otros roles de usuario.
Adición de un miembro a un rol de usuario
En Service Manager, puedes asignar usuarios a un rol de usuario para definir lo que pueden hacer.
En este ejemplo, tendrás que agregar miembros de un equipo de administración de activos que podrán crear y actualizar, pero no eliminar elementos de configuración al rol de usuario. Si examinas la sección sobre elementos de configuración de Perfiles de rol de usuario en Service Manager, verás que el perfil de rol de usuario Operadores avanzados te ofrece lo que necesitas en cuestión de permisos para este equipo. En este momento, todos los miembros del equipo de administración de activos son responsables de todos los activos de la empresa, por lo que requieren un ámbito ilimitado.
Usa los procedimientos siguientes para agregar un usuario al rol de usuario Operadores avanzados de Service Manager y, después, validar la asignación del usuario al rol de usuario.
Asignación de un usuario a un rol de usuario
En la consola de Service Manager, haz clic en Administración.
En el panel Administración, expande Seguridad y luego selecciona Roles de usuario.
En el panel Roles de usuario, haz doble clic en Operadores avanzados.
En el cuadro de diálogo Editar rol de usuario, selecciona Usuarios.
En la página Usuarios, selecciona Agregar.
En el cuadro de diálogo Seleccionar usuarios o grupos, escribe el nombre de un usuario o grupo que quieras agregar a este rol de usuario, selecciona Comprobar nombres y selecciona Aceptar.
En el cuadro de diálogo Editar rol de usuario, selecciona Aceptar.
Validar la asignación de un usuario a un rol de usuario
- Inicia sesión en la consola de Service Manager como uno de los usuarios asignados al rol de usuario. Comprueba que no puedes acceder a los datos para los que no tienes derechos de acceso, tal como se especifica en los roles de usuario.
Puedes usar un comando de Windows PowerShell para ver usuarios. Para ver información sobre cómo usar Windows PowerShell para recuperar usuarios definidos en Service Manager, consulta Get-SCSMUser.
Creación de un rol de usuario
Usa los procedimientos siguientes para crear un rol de usuario, asignar usuarios a ese rol en Service Manager y, luego, validar la creación del rol de usuario.
Para crear un rol de usuario, siga estos pasos:
En la consola de Service Manager, haz clic en Administración.
En el panel Administración, expande Seguridad y luego selecciona Roles de usuario.
En el panel Tareas, en Roles de usuario, selecciona Crear rol de usuario y, luego, selecciona el perfil de rol de usuario que quieres usar para este rol de usuario, como Autor.
Completa el Asistente para roles de usuario haciendo lo siguiente:
En la página Antes de empezar, selecciona Siguiente.
En la página General, escribe un nombre y una descripción para este rol de usuario y selecciona Siguiente.
En la página Módulos de administración, empieza a filtrar el ámbito de los datos a los que quieres asignar el acceso. Selecciona los módulos de administración que contienen los datos a los que quieres asignar el acceso, como Biblioteca de administración de incidentes. Seleccione Siguiente.
En las páginas siguientes, se muestran todas las clases, colas, grupos, tareas, vistas y plantillas de formulario que están disponibles para el rol de usuario especificado en los módulos de administración especificados. Puedes seleccionar elementos específicos en estas páginas para limitar aún más el conjunto de datos a los que se asigna el acceso.
Importante
Las listas de grupos y colas no se filtran. Se muestran todos los grupos y las colas de todos los módulos de administración. Si seleccionas el elemento Seleccionar todas las colas en la página Colas, en la página Grupos, se selecciona automáticamente Seleccionar todos los grupos. Además, de forma predeterminada, no se habrá creado ningún grupo. Debes crear un grupo si quieres limitar el ámbito por grupo.
En la página Usuarios, selecciona Agregar y usa el cuadro de diálogo Seleccionar usuarios o grupos para seleccionar usuarios y grupos de usuarios de Active Directory Domain Services (AD DS) para este rol de usuario. Luego selecciona Siguiente.
En la página Resumen, asegúrate de que la configuración sea correcta y selecciona Crear.
En la página Finalización, confirma que aparezca el mensaje El rol de usuario se creó correctamente y selecciona Cerrar.
Validación de la creación de un rol de usuario
En la consola de Service Manager, comprueba que el rol de usuario recién creado aparece en el panel central.
Inicia sesión en la consola de Service Manager como uno de los usuarios asignados al rol de usuario. Comprueba que no puedes acceder a los datos para los que no tienes derechos de acceso, tal como se especifica en el rol de usuario.
Puedes usar comandos de Windows PowerShell para completar estas tareas y otras relacionadas, como se indica a continuación:
Para obtener información sobre cómo usar Windows PowerShell para crear un nuevo rol de usuario en Service Manager, consulta New-SCSMUserRole.
Para obtener información sobre cómo usar Windows PowerShell para recuperar roles de usuario definidos en Service Manager, consulta Get-SCSMUserRole.
Para obtener información sobre cómo usar Windows PowerShell para establecer la propiedad UserRole para un usuario de Service Manager, consulta Update-SCSMUserRole.
Para obtener información sobre cómo usar Windows PowerShell para eliminar un rol de usuario de Service Manager, consulta Remove-SCSMUserRole.
Pasos siguientes
- Para conocer los requisitos de seguridad de contraseña, la expiración de contraseñas y los cambios de nombre de usuario, consulta Administrar cuentas de ejecución.