Seguridad
Índice
- Administradores de usuarios
- Gestión de las cuentas de usuarios y de los grupos
- Gestión de los permisos
- Autenticación única en JMap Pro
- Gestión de las sesiones
- Utilización de HTTPS con JMap
La gestión de la seguridad en JMap engloba distintos elementos.
La gestión de las entidades puede ser efectuada mediante JMap Server o puede ser delegada a otro sistema como un directorio LDAP o Microsoft Active Directory o a administradores de identidades que permiten la autenticación única (SSO) en la web, tales como OpenID Connect o SAML. Las secciones Administradores de usuarios y Gestión de las cuentas de usuarios y grupos ofrecen información detallada sobre este tema. JMap permite también la autenticación única para sus aplicaciones JMap Pro y los detalles se encuentran en la sección Autenticación única en JMap Pro.
La gestión de los accesos o gestión de los permisos, se aplica a todos los recursos de JMap. Incluye el acceso de los usuarios a las aplicaciones JMap y el acceso de los administradores a JMap. Los detalles se presentan en la sección Gestión de los permisos.
JMap permite fácilmente la utilización del protocolo HTTPS para JMap Admin y las distintas aplicaciones. Consulte la sección Utilización de HTTPS con JMap para obtener información sobre el tema.
Administradores de usuarios
Usted puede acceder a la configuración del administrador de usuarios en JMap Admin, presionando Usuarios / Grupos en la sección JMap Server. Seleccione la pestaña Administrador.
El administrador de usuarios permite definir la manera en que JMap administra las cuentas de usuarios y los grupos de usuarios. Esa información puede ser tratada de dos maneras:
-
Usando la base de datos de cuentas de usuarios de JMap; usted crea y suprime las cuentas de usuarios directamente a partir de JMap Admin.
-
Conectándose a una base de datos de cuentas de usuarios existente, tal como un sistema Windows Active Directory, un sistema compatible con LDAP (Protocolo para el acceso a directorios jerárquicos de información) o una base de datos relacional o conectándose a un administrador de identidades mediante protocolos tales como SAML2 u OpenId Connect.
También es posible combinar varios sistemas para utilizarlos simultáneamente (la base de datos de JMap y Windows Active Directory, por ejemplo). Los distintos sistemas son utilizados como un solo sistema. Cuando JMap Server se conecta a una base de datos existente, la gestión de las cuentas de usuarios se simplifica ya que no se requiere la creación de cuentas de usuarios o de grupos en JMap.
Las secciones siguientes describen cada una de las opciones posibles.
Administrador de usuarios JMap BD
Este tipo de administración de cuentas de usuarios guarda los usuarios y los grupos directamente en la base de datos System de JMap Server o en una base de datos externa que contiene las tablas y los campos requeridos. El administrador JMap debe crear y administrar todas las cuentas y grupos de usuarios.
En la sección Usuarios / Grupos, haga clic en la pestaña Administrador. Seleccione Administrador de usuarios JMap BD para indicar que las cuentas de usuarios serán administradas en una base de datos relacional. Para almacenar las cuentas y grupos de usuarios en la base de datos System de JMap Server, seleccione la opción Base de datos JMap Server.
Puede también utilizar cualquier base de datos relacional que contiene las tablas y campos requeridos, seleccionando la opción Base de datos externa. En ese caso se visualiza una interfaz para especificar los parámetros de configuración. Seleccione la base de datos que utilizará, luego seleccione las tablas y los campos que contienen la información sobre los usuarios y los grupos. Si resulta necesario, puede seleccionar el modo Sólo lectura para impedir que las cuentas sean modificadas a partir de JMap Admin.
Una vez definida esta configuración, puede crear, modificar o suprimir cuentas de usuarios directamente a partir de JMap Admin.
Administrador de usuarios compuesto
Este tipo de administrador de usuarios permite combinar varios administradores. Puede añadir tantos administradores como necesite. Todos funcionarán como un único administrador de usuarios. Las secciones siguientes detallan la configuración de los otros administradores de usuarios e identidades soportados por JMap.
Se recomienda utilizar el administrador de usuarios compuesto si usted desea integrar varios administradores o si desea efectuar una transición hacia un sistema web de identificación única (Single Sign On, SSO web).
Administrador de usuarios Active Directory
Usted puede conectarse a Windows Active Directory (en modo lectura solamente).
Para que la opción Administrador de usuarios Active Directory esté disponible en la pestaña Administrador de usuarios de la sección Usuarios / Grupos de JMap Admin, usted debe incluir la línea siguiente en el archivo JMAP_HOME/conf/jmapserver.properties :
usermanager.ad=com.kheops.jmap.server.security.ActiveDirectoryUserManager
Le recomendamos utilizar el Administrador de usuarios compuesto y no el Administrador de usuarios Active Directory solo, para conservar un acceso a JMap Admin aún en el caso que existan errores en la configuración de Active Directory.
En la sección Administrador de usuarios seleccione el Administrador de usuarios compuesto y añada el Administrador de usuarios Active Directory. Se abre entonces una nueva interfaz que le permite especificar los parámetros de configuración de la conexión al servidor Active Directory.
Active Directory | |
---|---|
Nombre | Nombre para identificar fácilmente el administrador de usuarios Active Directory. |
Dirección del servidor | Dirección del servidor Windows controlador de dominio con Active Directory. Puede añadir varios servidores, separándolos con un espacio. Ejemplo : ldap://host1 ldap://host2 Donde host1 y host2 son los URL de los servidores Active Directory. Active Directory se basa en el protocolo LDAP. |
DN | Identificador único (Distinguished Name) que permite definir la raíz del directorio. Compuesto por una lista de entradas DC (Domain Component, componentes de dominio). Ejemplo: dc= k2 ,dc=com . |
Dominio | Nombre del dominio Windows. Ejemplo: k2.com |
Usuario/SPN | Nombre del usuario que JMap Server usará para conectarse a Active Directory. Se recomienda crear un usuario especialmente para las necesidades de JMap. Su contraseña no debería expirar nunca. Si desea utilizar una autenticación única, debe crear un SPN (Service Principal Name, nombre principal de servicio) asociado a ese usuario. La sección Autenticación única en JMap Pro ofrece más detalles sobre el tema. |
Contraseña | Contraseña del usuario que JMap Server usará para conectarse al Active Directory. |
Contraseña admin. | En JMap siempre debe existe existir un usuario denominado administrator. Si en Active Directory no existe un usuario administrator, JMap se encargará de simular uno. En ese caso, provea la contraseña asociada a ese usuario simulado. Si ya existe un usuario administrator en el Active Directory y se ingresa su contraseña, ésta será simplemente ignorada. |
Activar la autenticación única | Activa la autenticación única. La sección Autenticación única en JMap Pro ofrece más detalles sobre el tema. |
Tamaño máximo de página | Active Directory limita el tamaño de las transacciones a un número máximo de registros simultáneos (tamaño de la página). El valor de este parámetro no debe ser mayor que el tamaño máximo autorizado por Active Directory (1000 es el valor por defecto en Active Directory). Un tamaño demasiado pequeño puede reducir el rendimiento. Un tamaño mayor que el límite autorizado producirá datos faltantes en las listas de usuarios. |
Configuración de LDAP (parámetros siguientes) | Active Directory se basa en el protocolo LDAP. Los parámetros LDAP configurados por defecto son los que se aplican más comúnmente en Active Directory. Si al contrario, esos parámetros no corresponden a los que se utilizan, usted puede modificar los valores. Los parámetros se describen en la sección Administrador de usuarios JMap LDAP. |
Administrador de usuarios JMap LDAP
Puede conectarse con cualquier directorio compatible con LDAP (en modo lectura solamente). Existen numerosos directorios compatibles con LDAP en los sistemas Unix, Linux y Windows.
Para que la opción Administrador de usuarios JMap LDAP esté disponible en la pestaña Administrador de usuarios de la sección Usuarios / Grupos de JMap Admin, usted debe incluir la línea siguiente en el archivo JMAP_HOME/conf/jmapserver.properties :
usermanager.ldap=com.kheops.jmap.server.security.LDAPUserManager
Le recomendamos utilizar el Administrador de usuarios compuesto y no el Administrador de usuarios JMap LDAP solo, para conservar un acceso a JMap Admin aún en el caso que existan errores en la configuración de LDAP.
En la sección Administrador de usuarios seleccione el Administrador de usuarios compuesto y añada el Administrador de usuarios JMap LDAP. Se abre entonces una nueva interfaz que le permite especificar los parámetros de configuración de la conexión al servidor LDAP.
Administrador de usuarios LDAP | |
---|---|
Nombre | Nombre para identificar fácilmente el administrador de usuarios LDAP. |
URL del servidor | Dirección del servidor LDAP. Puede añadir varios servidores, separándolos con un espacio. Ejemplo : ldap://host1 ldap://host2 Donde host1 y host2 son los URL de los servidores LDAP. |
DN | Identificador único (Distinguished Name) que permite definir la raíz del directorio. Compuesto por una lista de entradas DC (Domain Component, componentes de dominio). Ejemplo: dc= k2geospatial ,dc=com .da un DN k2geospatial.com . |
Usuario | Nombre del usuario que JMap Server usará para conectarse al directorio LDAP. Se recomienda crear un usuario especialmente para las necesidades de JMap. Su contraseña no debería expirar nunca. El usuario debe acompañarse con el dominio al que pertenece. Ejemplo : cn= admin ,dc=k2geospatial ,dc=com |
Contraseña | Contraseña del usuario que JMap Server usará para conectarse al directorio LDAP. |
Contraseña admin. | En JMap debe existir siempre un usuario denominado administrator. Si no hay un usuario administrator en el directorio LDAP, JMap va a simular uno. En ese caso se debe ingresar una contraseña asociada a ese usuario. Si el usuario administrator existe en el directorio LDAP y se ingresa una contraseña, ésta será ignorada. |
Utiliza prefijo y sufijo | Marque esta opción si el servidor LDAP utiliza un prefijo y un sufijo para la autenticación del usuario. |
Prefijo de autentificación | Algunos servidores LDAP requieren un prefijo concatenado al nombre del usuario para efectuar la autentificación. Ejemplo: Prefijo: un_dominio\ Usuario: un_usuario Resultado: un_dominio\un_usuario |
Sufijo de autentificación | Algunos servidores LDAP requieren un sufijo concatenado al nombre del usuario para efectuar la autentificación. Ejemplo: Sufijo: @un_dominio Usuario: un_usuario Resultado: un usuario@un_dominio |
Clase usuarios | Este parámetro y los siguientes dependen de la estructura interna del servidor LDAP, es decir de la manera que los usuarios están organizados en grupos. La información sirve para identificar los usuarios y los grupos de LDAP. Usted desde indicar los parámetros correspondientes en el servidor LDAP al que se está conectando. Nombre de la clase de objetos LDAP que se utilizará para identificar un usuario en el directorio LDAP. |
Clase grupos | Nombre de la clase de objetos LDAP que se utilizará para identificar un grupo en el directorio LDAP. |
Filtro de usuario | Filtro de búsqueda que se utilizará para extraer los usuarios del directorio LDAP. Debe estar formateado según la sintaxis estándar de LDAP. |
Filtro de grupo | Filtro de búsqueda que se utilizará para extraer los grupos del directorio LDAP. Debe estar formateado según la sintaxis estándar de LDAP. |
Atributo usuario | Atributo de un usuario LDAP que define la identidad del mismo. |
Atributo grupo | Atributo de un grupo LDAP que define la identidad del mismo. |
Atributo de autentificación | Atributo de un usuario LDAP utilizado para su autentificación. |
Atributo miembro | Atributo de un grupo LDAP que define los usuarios que son miembros del mismo. |
Atributo nombre completo | Atributo de un usuario LDAP que define el nombre completo del mismo. |
Atributo correo electrónico | Atributo de un usuario LDAP que define el correo electrónico del mismo. |
Tamaño máximo de página | Los directorios LDAP limitan el tamaño de las transacciones a un número máximo de registros simultáneos (tamaño de la página). El valor de este parámetro no debe ser mayor que el tamaño máximo autorizado por el directorio (1000 es el valor por defecto en los directorios LDAP). Un tamaño demasiado pequeño puede reducir el rendimiento. Un tamaño mayor que el límite autorizado producirá datos faltantes en las listas de usuarios. |
Puede obtener más detalles sobre el protocolo LDAP en el sitio http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol.
Administrador de usuarios OpenID Connect (OIDC)
Usted puede permitir que sus usuarios que ya tienen una cuenta en administradores de identidades OpenID Connect (OIDC) se conecten a las aplicaciones JMap Web y JMap NG usando esta cuenta.
El sitio OpenID Connect 1.0 ofrece información detallada sobre este protocolo.
Configurar un administrador de usuarios OIDC es una tarea compleja. El departamento de TI de su organización le proporciona configuraciones específicas de OIDC. Esta tabla describe los parámetros relacionados con JMap.
Administrador de usuarios OIDC | |
---|---|
Nombre | Nombre para identificar fácilmente el administrador de usuarios OIDC en JMap Server y poder identificar los usuarios que provienen de este administrador. |
Contraseña del administrador | Un administrador se crea automáticamente cuando se utiliza este administrador. Debe ingresar la contraseña de la cuenta en esta casilla. |
Grupos | A diferencia de Active Directory y de LDAP, no se conocen con antelación las cuentas de usuario provenientes del administrador OIDC porque las cuentas se crean a medida que los usuarios se conectan a una aplicación JMap Web o JMap NG. ¿Cómo se pueden otorgar los permisos sobre los recursos de JMap a usuarios que no se conocen previamente? Los grupos definidos con antelación permiten otorgar los permisos sobre los recursos de JMap. Cuando el usuario se conecta por primera vez, OIDC asigna el usuario a uno o más grupos definidos en el Atributo Grupos en función de los datos de su perfil. Como el administrador de usuarios OIDC se utiliza en modo sólo lectura, usted no puede crear usuarios no grupos en las secciones Usuarios y Grupos de JMap. Este parámetro le permite crear los grupos ingresando sus nombres. Después, usted puede otorgar los permisos a los grupos a los que pertenecen los usuarios provenientes de OIDC. Debe existir una correspondencia exacta entre los nombres de los grupos en OIDC y los grupos que crea en este parámetro. Si un usuario se conecta por primera vez vía OIDC y su perfil indica un grupo que no existe en ese momento en JMap, el grupo se crea automáticamente y usted lo puede visualizar en la sección Grupos. |
Grupo predeterminado | Seleccione el grupo al que son asignados todos los usuarios que no tienen grupo asignado en OIDC (en Atributo Grupos). Ejemplo: Usted puede crear el grupo Guests al que se asignarán los usuarios que se conectan por primera vez a una aplicación JMap Web o JMap NG y cuyo perfil en OIDC no indica ningún grupo. Usted puede después otorgar al grupo Guests el permiso para acceder a un proyecto en particular. |
Imagen del botón | Imagen que aparece en la página de conexión de la aplicación JMap Web o JMap NG y que identifica el acceso al administrador OIDC para autenticarse. Presione Seleccionar para seleccionar la imagen. La imagen debe tener un tamaño máximo de de 100x100 pixeles. |
Etiqueta del botón | Texto que aparece en el botón de la imagen. |
SSO callback URL | Su servicio TI le provee esta información. |
Nombre del cliente | Es el nombre que JMap le da al administrador OIDC. Este nombre integra y completa el URL del administrador OIDC. |
URI de descubrimiento | Su servicio TI le provee esta información. |
ID de cliente | Su servicio TI le provee esta información. |
Secret de cliente | Su servicio TI le provee esta información. |
Alcance | Su servicio TI le provee esta información. |
Tipo de respuesta | Su servicio TI le provee esta información. |
Modo de respuesta | Su servicio TI le provee esta información. |
Usar nonce | Su servicio TI le provee esta información. |
Con estado | Su servicio TI le provee esta información. |
Desactivar PKCE | Su servicio TI le provee esta información. |
Atributo del nombre de usuario / ID | Parámetro opcional. Indique el atributo que contiene el nombre del usuario en OIDC. Su servicio TI le provee esta información. |
Atributo Correo | Parámetro opcional. Indique el atributo que contiene la dirección de correo electrónico del usuario en OIDC. Su servicio TI le provee esta información. |
Atributo Nombre | Parámetro opcional. Indique el atributo que contiene el nombre del usuario en OIDC. Su servicio TI le provee esta información. |
Atributo Apellidos | Parámetro opcional. Indique el atributo que contiene el apellido del usuario en OIDC. Su servicio TI le provee esta información. |
Atributo Grupos | Parámetro opcional. Indique el atributo personalizable que permite definir los grupos a los que son asignados los usuarios en OIDC. Estos grupos son visibles en las secciones Usuarios y Grupos de JMap. Su servicio TI puede ayudarlo con este parámetro. |
Administrador de usuarios SAML2
Usted puede permitir que sus usuarios que ya tienen una cuenta en administradores de identidades SAML2 se conecten a las aplicaciones JMap Web y JMap NG usando esta cuenta.
SAML2 es un estándar de código abierto que permite establecer una autenticación única entre un administrador de identidades y un servidor de aplicaciones como JMap. Este sitio ofrece los detalles sobre SAML2.
Configurar un administrador de usuarios SAML2 es una tarea compleja. El departamento de TI de su organización le proporciona configuraciones específicas de SAML2. Esta tabla describe los parámetros relacionados con JMap.
Administrador de usuarios SAML2 | |
---|---|
Nombre | Nombre para identificar fácilmente el administrador de usuarios SAML2 en JMap Server y poder identificar los usuarios que provienen de este administrador. |
Contraseña del administrador | Un administrador se crea automáticamente cuando se utiliza este administrador. Debe ingresar la contraseña de la cuenta en esta casilla. |
Grupos | A diferencia de Active Directory y de LDAP, no se conocen con antelación las cuentas de usuario provenientes del administrador SAML2 porque las cuentas se crean a medida que los usuarios se conectan a una aplicación JMap Web o JMap NG. ¿Cómo se pueden otorgar los permisos sobre los recursos de JMap a usuarios que no se conocen previamente? Los grupos definidos con antelación permiten otorgar los permisos sobre los recursos de JMap. Cuando el usuario se conecta por primera vez, SAML2 asigna el usuario a uno o más grupos definidos en el Atributo Grupos en función de los datos de su perfil. Como el administrador de usuarios SAML2 se utiliza en modo sólo lectura, usted no puede crear usuarios no grupos en las secciones Usuarios y Grupos de JMap. Este parámetro le permite crear los grupos ingresando sus nombres. Después, usted puede otorgar los permisos a los grupos a los que pertenecen los usuarios provenientes de SAML2 . Debe existir una correspondencia exacta entre los nombres de los grupos en SAML2 y los grupos que crea en este parámetro. Si un usuario se conecta por primera vez vía SAML2 y su perfil indica un grupo que no existe en ese momento en JMap, el grupo se crea automáticamente y usted lo puede visualizar en la sección Grupos. |
Grupo predeterminado | Seleccione el grupo al que son asignados todos los usuarios que no tienen grupo asignado en SAML2 (en Atributo Grupos). Ejemplo: Usted puede crear el grupo Guests al que se asignarán los usuarios que se conectan por primera vez a una aplicación JMap Web o JMap NG y cuyo perfil en SAML2 no indica ningún grupo. Usted puede después otorgar al grupo Guests el permiso para acceder a un proyecto en particular. |
Imagen del botón | Imagen que aparece en la página de conexión de la aplicación JMap Web o JMap NG y que identifica el acceso al administrador OIDC para autenticarse. Presione Seleccionar para seleccionar la imagen. La imagen debe tener un tamaño máximo de de 100x100 pixeles. |
Etiqueta del botón | Texto que aparece en el botón de la imagen. |
SSO callback URL | Su servicio TI le provee esta información. |
Nombre del cliente | Es el nombre que JMap le da al administrador SAML2. Este nombre integra y completa el URL del administrador SAML2. |
Metadatos del IdP | Su servicio TI le provee esta información. |
Id de entidad del SP | Su servicio TI le provee esta información. |
Atributo del nombre de usuario / ID | Parámetro opcional. Indique el atributo que contiene el nombre del usuario en SAML2. Su servicio TI le provee esta información. |
Atributo Correo | Parámetro opcional. Indique el atributo que contiene la dirección de correo electrónico del usuario en SAML2. Su servicio TI le provee esta información. |
Atributo Nombre | Parámetro opcional. Indique el atributo que contiene el nombre del usuario en SAML2. Su servicio TI le provee esta información. |
Atributo Apellidos | Parámetro opcional. Indique el atributo que contiene el apellido del usuario en SAML2. Su servicio TI le provee esta información. |
Atributo Grupos | Parámetro opcional. Indique el atributo personalizable que permite definir los grupos a los que son asignados los usuarios en SAML2. Estos grupos son visibles en las secciones Usuarios y Grupos de JMap. Su servicio TI puede ayudarlo con este parámetro. |
Sincronización de los permisos de usuarios y grupos
Cuando usted se conecta a un administrador de usuarios o identidades externa a JMap (Active Directory, LDAP, OIDC, SAML2 o una base de datos relacional externa), resulta útil sincronizar JMap Server con la base de datos por dos razones:
-
Cuando ciertos usuarios o grupos son suprimidos de la base de datos des administrador externo y éstos tenían permisos otorgados en JMap (ej.: abrir un proyecto, visualizar ciertas capas, etc.), los permisos no son suprimidos automáticamente en las listas de permisos en JMap Server. Esto puede suceder porque JMap Server no sabe que esos usuarios o grupos han sido eliminados en la base de datos del administrador externo. Estableciendo la sincronización, JMap Server elimina los permisos de los usuarios y grupos suprimidos. Si usted no sincroniza JMap Server con la base de datos del administrador externo, la situación no implica problemas a nivel de la seguridad, ya que los usuarios o grupos suprimidos no pueden autenticarse para abrir una aplicación.
-
Cuando la composición de los grupos de usuarios se modifica (se añaden o retiran miembros), para que JMap Server pueda cargar nuevamente la lista de los miembros de los grupos. JMap Server conserva la lista de miembros de un grupo en la memoria por razones de rendimiento.
Puede automatizar la sincronización activando la opción Sincronización automática cada y especificando un período de tiempo.
Gestión de las cuentas de usuarios y de los grupos
Las cuentas de usuarios son utilizadas en JMap con fines de controlar el acceso a los recursos y permitir el trabajo colaborativo. Usted puede administrar los usuarios y los grupos en JMap Admin presionando Usuarios / Grupos en la sección JMap Server.
Hay dos usuarios y dos grupos especiales que siempre están presentes en JMap: administrator, anonymous, everyone y authenticated users.
Usuarios y grupo especiales | |
---|---|
Administrator | El usuario administrator se utiliza para acceder a JMap Admin luego de una nueva instalación (tiene los derechos de administración de JMap). El campo de su contraseña está vacío por lo que se aconseja añadir una lo más pronto posible. En la sección siguiente se ofrecen detalles suplementarios. El usuario administrator existe siempre en JMap y no puede ser suprimido. |
Anonymous | El usuario anonymous permite dar acceso a los recursos a usuarios que no están autenticados. Permite por ejemplo configurar un acceso sin identificación a un proyecto. El usuario anonymous existe siempre en JMap, no puede ser suprimido y su contraseña (vacía) no puede ser modificada. |
Everyone | El grupo everyone se utiliza para dar acceso a un recurso a todos los usuarios, incluyendo el usuario anonymous (sin autenticación). El usuario everyone no aparece en la lista de los grupos de JMap. Es visible únicamente en las interfaces que permiten definir los permisos, cuando su presencia resulta pertinente. |
Authenticated users | El grupo authenticated users se utiliza para dar acceso a un recurso a todos los usuarios, con excepción del usuario anonymous. La autenticación es obligatoria para este grupo. |
Creación de usuarios y de grupos
Usted puede crear un nuevo usuario o un nuevo grupo presionando Crear en la sección Usuarios / Grupos. Pasará entonces a la sección de configuración del nuevo usuario o grupo. Atención: usted puede crear usuarios y grupos solamente si está utilizando la base de datos de usuarios de JMap o una base de datos externa que no está configurada en modo sólo lectura.
Usuarios | |
---|---|
Nombre del usuario | Ingrese un nombre único para el nuevo usuario (nombre utilizado para la autenticación). No podrá guardarlo si el nombre ya existe. |
Contraseña | Ingrese una contraseña para el nuevo usuario. La contraseña puede ser dejada vacía pero no se recomienda hacerlo. Les usuarios de aplicaciones JMap Web pueden cambiar su contraseña directamente en la aplicación. Ésto es posible sólo si las cuentas de usuarios son administradas con JMap DB. |
Confirme la contraseña | Ingrese la contraseña una segunda vez para confirmarla. |
Nombre y apellido | (Opcional) Ingrese el nombre completo (nombre y apellido) del nuevo usuario. |
Correo electrónico | (Opcional) Ingrese la dirección de correo electrónico del nuevo usuario. Será utilizada para enviar mapas al usuario. |
Oculto | Seleccione esta opción si desea que el nuevo usuario no sea visible en los directorios de usuarios. |
Grupos | |
---|---|
Nombre del grupo | Ingrese un nombre único para el nuevo grupo. No podrá guardarlo si el nombre ya existe. |
Modificación de usuarios y de grupos
Usted puede modificar usuarios o grupos existentes haciendo clic sobre su nombre en la lista que los enumera. Atención: cuando el usuario ha sido creado el nombre de usuario no puede ser modificado. Para añadir usuarios a un grupo, presione y una lista de los usuarios disponibles será desplegada. Seleccione los usuarios que desea añadir al grupo y presione Añadir. Para eliminar usuarios de un grupo, selecciónelos y presione .
Supresión de usuarios y de grupos
Usted puede suprimir un usuario o un grupo seleccionándolo en la lista y presionando Suprimir.
Gestión de los permisos
JMap posee dos familias de permisos: los permisos para los usuarios de las aplicaciones (Pro, Web, NG y Survey) y los permisos para los administradores (JMap Admin).
Permisos para los usuarios
Los permisos para los usuarios determinan lo que éstos están autorizados a hacer en las aplicaciones JMap Pro, JMap Web, JMap NG y JMap Survey.
El cuadro siguiente presenta los distintos grupos de permisos disponibles para los usuarios.
Permisos para los usuarios | |
---|---|
Permisos sobre los proyectos | La sección Permisos de los proyectos ofrece los detalles sobre el tema. |
Permisos sobre las capas | La sección Permisos de las capas ofrece los detalles sobre el tema. |
Permisos sobre las capas personales | Crear capas personales Este permiso otorga al usuario el derecho de crear capas personales en las aplicaciones JMap Pro. Por defecto, los usuarios de JMap no están autorizados a crear capas personales. Usted puede configurar este permiso en la subsección Permisos de la sección JMap Server. |
Permisos sobre los formularios | La sección Formularios de bases de datos ofrece los detalles sobre el tema. |
Permisos para los administradores
Los permisos para los administradores determinan lo que los administradores de JMap están autorizados a efectuar en JMap Admin. Ciertos permisos son globales (permisos para efectuar ciertas tareas) mientras que otros conciernen recursos particulares.
Varios de los permisos globales pueden ser configurados en la subsección Permisos de la sección JMap Server.
El cuadro siguiente describe los permisos globales de administración.
Permisos globales de administración | |
---|---|
Acceso a JMap Admin | Este permiso es necesario para que un administrador pueda acceder a JMap Admin. Luego de la instalación de JMap, sólo el usuario administrator posee este permiso. Atención: la contraseña de este usuario está inicialmente vacía. Se recomienda enfáticamente establecer una contraseña para el usuario administrator. La sección Gestión de las cuentas de usuarios y de los grupos ofrece más información sobre la modificación de contraseñas. Asegúrese de dejar al menos un usuario en la lista de autorizaciones y de retener la contraseña. De lo contrario le resultará imposible acceder a JMap Admin. |
Crear bases de datos | Este permiso autoriza a un administrador a crear nuevas bases de datos en JMap Admin. |
Crear conexión remota | Este permiso autoriza a un administrador a crear en JMap Admin nuevas conexiones a otras instancias de JMap Server. |
Crear despliegues | Este permiso autoriza a un administrador a crear en JMap Admin nuevos despliegues de aplicaciones. |
Crear plantillas de metadatos | Este permiso autoriza a un administrador a crear en JMap Admin nuevos modelos para los metadatos. |
Crear plantillas de estilos | Este permiso autoriza a un administrador a crear en JMap Admin nuevos modelos de estilo. |
Crear proyecto | Este permiso autoriza a un administrador a crear en JMap Admin nuevos proyectos. |
Crear fuente de datos | Este permiso autoriza a un administrador a crear en JMap Admin nuevas fuentes de datos espaciales |
Los permisos de administración de los recursos determinan lo que el administrador puede hacer con cada recurso. El cuadro siguiente describe los permisos.
Permisos de administración de los recursos | |
---|---|
Acceder a… | Permite ver la información detallada de un recurso y utilizarlo, sin poder efectuar modificaciones. Ejemplo: Para utilizar una fuente de datos espaciales para crear una capa, el administrador debe poseer como mínimo el permiso Acceder a sobre la fuente de datos. |
Administrar… | Permite modificar el recurso y administrar los permisos de los usuarios del recurso. No permite suprimir el recurso ni gestionar los permisos de administración. Ejemplo: Para añadir una capa en un proyecto, el administrador debe poseer el permiso Administrar sobre el proyecto. |
Utilizar la consola SQL | Se aplica sólo a las bases de datos. Permite utilizar la consola SQL en la base de datos. La consola SQL permite ver la estructura de la base de datos y ejecutar expresiones SQL en la misma. |
Acceso remoto | Permite acceder al recurso a partir de otra instancia de JMap Server. Este permiso se otorga, en general, a una cuenta genérica utilizada para abrir las sesiones de comunicación entre instancias de JMap Server. Las secciones Uso compartido de las capas y Uso compartido de las fuentes de datos espaciales ofrecen más información sobre el tema. |
Propietarios de un recurso
La mayor parte de los recursos administrados en JMap Admin poseen uno o varios propietarios. Los propietarios de un recurso son los únicos que pueden:
-
Manejar los permisos de administración del recurso;
-
Manejar la lista de propietarios del recurso,
-
Suprimir el recurso.
Super administradores
Los super administradores pueden efectuar todas las tareas en JMap Admin. Son los únicos que pueden:
-
Manejar la lista de super administradores;
-
Manejar los permisos globales de administración;
-
Manejar los usuarios y los grupos;
-
Modificar los parámetros de funcionamiento de JMap Server;
-
Visualizar los archivos de registro;
-
Importar y exportar configuraciones.
Usted puede manejar la lista de super administradores en la subsección Permisos de la sección JMap Server. Seleccione la pestaña Super administradores.
El cuadro siguiente presenta las tareas de administración con ejemplos e indica los perfiles o permisos requeridos para efectuar las tareas.
Tareas | Super Administrador | Administrador |
---|---|---|
Acceder a JMap Admin | SI | Si tiene el permiso Acceder a JMap Admin |
Manejar la lista de Super administradores | SI | NO |
Manejar los permisos globales de administración Otorgar a un administrador el permiso para crear proyectos Retirar a un administrador el permiso para crear fuentes de datos espaciales Otorgar a un administrador el permiso para crear plantillas de metadatos | SI | NO |
Efectuar tareas de gestión de JMap Server •Modificar los parámetros de JMap Server (puertos, memoria, etc.) Administrar los usuarios y los grupos•Importar o exportar las configuraciones de JMap Server Ver los registros o modificar sus parámetros | SI | NO Puede modificar la contraseña de su cuenta de usuario. |
Crear un recurso Crear un proyecto Crear una base de datos Crear un despliegue de una aplicación | SI | Si tiene el permiso Crear… |
Utilizar un recurso Utilizar una base de datos para crear una fuente de datos espaciales Utilizar una fuente de datos espaciales para crear una capa Utilizar una conexión a JMap Server para crear una capa por referencia | SI | Si tiene el permiso Acceder a… |
Ver la información detallada de un recurso Hacer clic en una base de datos para ver sus parámetros Hacer clic en un proyecto para ver sus parámetros | SI | Si tiene el permiso Acceder a… |
Modificar un recurso Cambiar el nombre de un proyecto Añadir una capa en un proyecto Modificar los parámetros de conexión de una base de datos Modificar la proyección de una fuente de datos espaciales | SI | Si tiene el permiso Administrar… |
Suprimir un recurso Suprimir un proyecto Suprimir un despliegue de una aplicación•Suprimir un modelo de estilo | SI | Si es propietario del recurso |
Administrar los permisos de los usuarios de un recurso Otorgar a un usuario el permiso para abrir un proyecto Otorgar a un usuario el permiso para editar los elementos de una capa de un proyecto Retirar a un usuario el permiso para copiar los datos de una capa en un proyecto | SI | Si tiene el permiso Administrar… |
Manejar los permisos de administración de un recurso Otorgar a un administrador el permiso para utilizar una fuente de datos espaciales Otorgar a un administrador el permiso para modificar un proyecto Retirar a un administrador el permiso para modificar una base de datos | SI | Si es propietario del recurso |
Manejar la lista de propietarios de un recurso | SI | Si es propietario del recurso |
Reportes sobre los permisos
Los reportes sobre los permisos permiten visualizar en un mismo reporte todos los permisos que posee un usuario o un grupo de usuarios. Es una manera rápida de obtener información, sin necesidad de verificar cada recurso.
Puede acceder a los reportes en las pestañas Usuarios y Grupos de la subsección Usuarios / Grupos de la sección JMap Server presionando .
Autenticación única en JMap Pro
La autenticación única permite a los usuarios un acceso seguro a las aplicaciones JMap Pro sin necesidad de autenticarse.
La autenticación de la sesión de Windows se utiliza para abrir automáticamente la sesión JMap. La autenticación única está disponible sólo en el entorno Windows y cuando se utiliza Active Directory. Se debe efectuar uns configuración especial en el servidor Windows así como en cada computadora donde se desea la autenticación única. Atención: la opción Autenticación única también se debe activar para el despliegue de una aplicación JMap Pro.
Este artículo (en francés e inglés) ofrece más detalles sobre el tema.
Gestión de las sesiones
Todo usuario que se conecta a JMap Server utilizando una aplicación JMap tiene una sesión abierta en el servidor. La sesión continúa abierta hasta que la aplicación JMap se cierra. Las sesiones contienen información sobre la identidad del usuario. Es posible que su licencia de utilización de JMap limite el número permitido de sesiones simultáneas.
Para acceder a la sección de administración de las sesiones, presione Sesiones en la sección JMap Server.
Las sesiones pueden ser de 6 tipos diferentes. La tabla siguiente describe cada uno de ellos.
Tipos de sesiones JMap | |
---|---|
JMap Pro | Este tipo de sesión se utiliza cuando un usuario se conecta a JMap Server a través de una aplicación JMap Pro. Su licencia de uso de JMap prescribe el número de sesiones simultáneas de este tipo que son permitidas. |
JMap Survey | Este tipo de sesión se utiliza cuando un usuario se conecta a JMap Server a través de una aplicación JMap Survey. Su licencia de uso de JMap prescribe el número de sesiones concurrentes de este tipo que son permitidas. |
JMap Web | Este tipo de sesión se utiliza cuando un usuario se conecta a JMap Server a través de una aplicación JMap Web. Su licencia de uso de JMap prescribe el número de sesiones concurrentes de este tipo que son permitidas. |
JMap NG | Este tipo de sesión se utiliza cuando un usuario se conecta a JMap Server a través de una aplicación JMap NG. Su licencia de uso de JMap prescribe el número de sesiones concurrentes de este tipo que son permitidas. |
JMap Admin | Una sesión de este tipo se abre cuando un usuario se conecta a JMap Admin para administrar JMap Server. Este tipo de sesión no es controlada y en consecuencia, el número de sesiones concurrentes de JMap Admin no es limitado. |
JMap Server | Este tipo de sesión se utiliza cuando un JMap Server se conecta a otro JMap Server. La sesión se abre en el servidor que acepta la conexión. Este tipo de sesión se utiliza cuando se comparten datos de JMap a JMap. Este tipo de sesión debe estar autorizado en su licencia de uso de JMap. |
Sesiones activas
Usted puede ver la lista de las sesiones abiertas. Seleccionando la pestaña Sesiones activas, puede ver la lista de las sesiones en curso así como información de utilidad sobre cada sesión. Puede cerrar las sesiones abiertas seleccionándolas y presionando Cerrar las sesiones.
Sesiones reservadas
Son sesiones especiales para usuarios que tienen prioridad sobre los otros. Esos usuarios pueden abrir siempre una sesión de JMap Pro, JMap Web, JMap NG o JMap Survey aún cuando el número máximo de sesiones haya sido alcanzado, según los términos de la licencia. Esas sesiones reservadas se contabilizan de manera separada del resto de las sesiones.
Si su licencia de JMap lo permite, usted puede asignar un cierto número de sesiones reservadas a los usuarios de su elección. Presione para seleccionar un usuario y asignarle una sesión reservada. Cuando el número máximo de sesiones reservadas asignadas ha sido alcanzado, usted no puede asignar nuevas sesiones a otros usuarios. Puede retirar una sesión reservada a un usuario seleccionando su nombre y presionando .
Estadísticas
Las estadísticas de las sesiones proveen información sintética sobre las actividades de los usuarios durante un período dado. Usted puede conocer el número total de sesiones así como el número máximo de sesiones concurrentes alcanzado en un período de tiempo dado. Las estadísticas se presentan en diagramas de barras. Presione Actualizar para generar el gráfico.
Estadísticas sobre las sesiones | |
---|---|
Mostrar | Seleccione la información que desea mostrar. Puede tratarse del Número total de sesiones o del Máximo de sesiones concurrentes. |
Usuarios | Seleccione uno o varios usuarios cuyas informaciones podrán ser visualizadas. |
Unidad de tiempo | Seleccione la unidad de tiempo que desea utilizar para mostrar la información. Las unidades posibles son: Hora, Día, Semana o Mes. |
La información sobre las sesiones se almacena en la base de datos System de JMap durante 18 meses. Las sesiones más antiguas se eliminan automáticamente de la base de datos System.
Utilización de HTTPS con JMap
El protocolo HTTPS permite utilizar JMap de manera más segura encriptando todas las comunicaciones entre las aplicaciones JMap, JMap Admin y JMap Server.
Utilización de HTTPS con JMap Admin
Para utilizar HTTPS con JMap Admin usted debe instalar un certificado de seguridad en JMap Server. Para poder efectuar el cifrado de los datos es necesario contar con un certificado de seguridad.
Durante la instalación de JMap se propone una opción para la creación e instalación automática de un certificado de seguridad temporario. Este tipo de certificado permite proteger las comunicaciones pero engendra la aparición de numerosos mensaje de advertencia en los navegadores web dado que no es emitido por una organización de seguridad reconocida (CA o Certificate Authority).
Si usted posee un certificado de seguridad emitido especialmente para su organización, usted puede instalarlo. Este artículo detalla el procedimiento para instalar un certificado.
Cuando usted ha instalado el certificado de seguridad en JMap Server, usted puede comenzar JMap Admin con un URL semejante a este:
https://miservidorjmap (asumiendo que se utiliza el puerto por defecto 443)
Si usted desea forzar la utilización permanente del protocolo HTTPS para JMap Admin, puede activar la redirección automática. Consulte la sección Parámetros de JMap Server para obtener más información.
Utilización de HTTPS con las aplicaciones JMap
Cuando usted despliega las aplicaciones JMap (Pro o Web) con JMap Admin, usted puede especificar el protocolo (HTTP o HTTPS) que será utilizado para las comunicaciones entre la aplicación y JMap Server. Si el despliegue es de tipo local (aplicación albergada en JMap Server). el protocolo HTTPS se propone sólo si un certificado de seguridad está instalado en JMap Server. Se trata del mismo certificado que para JMap Admin (ver la sección precedente). Si el despliegue es de tipo externo (aplicación albergada en otro servidor), se proponen los dos protocolos.
En el caso de JMap Pro, los protocolos HTTP o HTTPS se utilizan solamente si la opción por Proxy está seleccionada para el despliegue.