Evaluar las políticas de control de acceso

Este apartado se puede utilizar como guía para evaluar las políticas de control de acceso. En este apartado se incluye un escenario y se le guía por un ejemplo de cómo evaluar una política de control de acceso agrupable estándar y otra de plantilla. Cada apartado comienza por una descripción de políticas relacionadas y de escenarios en los que se utiliza cada una de estas políticas.

Para obtener más información sobre las políticas estándar agrupables y las políticas de plantilla agrupables, consulte Tipos de políticas de control de acceso.

El diagrama siguiente muestra este escenario de forma gráfica:

Este diagrama muestra la jerarquía de miembros y el diseño de las políticas de control de acceso para este escenario. La información detallada figura en el texto que viene a continuación del diagrama

Jerarquía de organización

En el diagrama puede ver las cuatro organizaciones siguientes que están en el sitio:

  • Organización raíz
  • Organización vendedora
  • Organización predeterminada
  • Organización del departamento A

Las líneas continuas del diagrama indican la propiedad, las líneas discontinuas indican las suscripciones. Como puede ver, la organización raíz es la organización padre de la organización vendedora y de la organización predeterminada. La organización vendedora es la organización padre de la organización del departamento A.

Usuarios

En el diagrama, Joaquín y Emilio están registrados en la organización vendedora. Juan, Carlos y Carolina están registrados en la organización del departamento A. El usuario invitado 1 no está registrado pero, para fines de control de acceso, pertenece de forma implícita a la organización predeterminada.

Roles

Joaquín desempeña el rol de aprobador para la organización vendedora. Juan tiene asignado el rol de aprobador de la organización del departamento A.

Grupos de acceso

En este escenario se utilizan los siguientes grupos de acceso:

  • Usuarios registrados: Este grupo incluye implícitamente a todos los usuarios que están registrados al menos en una organización del sitio.
  • Aprobadores para el vendedor: Este grupo incluye implícitamente a todos los usuarios que tienen el rol de aprobador de la organización vendedora.
  • Aprobadores para el departamento A: Este grupo incluye implícitamente a todos los usuarios que tienen el rol de aprobador de la organización del departamento A.

Documentos

El objeto de documentos es un recurso protegido. El propietario de un documento está definido de modo que sea la organización en la que se ha creado el documento.

Requisitos de control de acceso relacionados con la actualización de documentos

A continuación se muestran los requisitos de control de acceso para actualizar documentos:

  1. Los usuarios registrados pueden actualizar un documento de los que son el creador.
  2. Los aprobadores del departamento A pueden actualizar documentos que son propiedad del departamento A pero no documentos que son propiedad de la organización vendedora. Los aprobadores de la organización vendedora pueden actualizar los documentos que son propiedad del departamento A y de la organización vendedora.

Evaluación de las políticas estándar agrupables

Este apartado explica las políticas estándar agrupables y los escenarios para evaluarlas.

Políticas de control de acceso relacionadas con la actualización de documentos

A continuación se muestra el formato de política y las políticas de control de acceso que están relacionadas con la actualización de documentos:

Formato de la política: [Access Group, Action Group, Resource Group, Relationship]

Política 1

[Registered Users, Execute Command Action Group,  Update Document 
Resource Group, - ]

Se trata de una política basada en roles estándar y agrupable que forma parte del grupo de políticas de la organización raíz a la que se han suscrito la organización raíz, la organización vendedora y la organización del departamento A. En esta política, los usuarios registrados pueden ejecutar mandatos Update Document.

Política 2

[Registered Users, Update Document Action Group, document, creator ]

Se trata de una política a nivel de recursos estándar y agrupable que forma parte del grupo de políticas de la organización raíz a la que se han suscrito la organización raíz, la organización vendedora y la organización del departamento A. En esta política, los usuarios registrados pueden actualizar un documento si son los creadores de dicho documento.

Política 3

[Approvers for Seller, Update Document Action Group, document, - ]

Se trata de una política a nivel de recursos estándar y agrupable que forma parte del grupo de políticas de la organización vendedora a la que se han suscrito la organización vendedora y la unidad organizativa del departamento A. En esta política, los aprobadores de la organización vendedora pueden actualizar documentos que son propiedad de la organización vendedora.

Política 4

[Approvers for Division A, Update Document Action Group, document, - ]

Se trata de una política a nivel de recursos estándar y agrupable que forma parte del grupo de políticas de la organización del departamento A a la que se ha suscrito la organización del departamento A. En esta política, los aprobadores del departamento A pueden actualizar documentos que son propiedad del departamento A.

Escenarios

Escenario 1 : Carlos intenta actualizar su propio documento

A continuación se muestra la evaluación de control de acceso para este escenario:

Comprobación a nivel de mandato
  1. No se ha especificado ningún ID de tienda, por lo tanto, el propietario del mandato se establece en la organización raíz. Por consiguiente, solo se utilizarán las políticas pertenecientes a grupos de políticas a los que se ha suscrito la organización raíz para evaluar si el usuario tiene acceso a nivel de mandatos: las políticas 1 y 2 forman parte del grupo de políticas al que se ha suscrito la organización raíz.
  2. La política 1 otorga acceso ya que Carlos es miembro del grupo de acceso de usuarios registrados y está realizando la acción Execute en el recurso de mandato Update Document.
Comprobación a nivel de recursos
  1. El mandato Update Document especifica que el recurso de documento se ha de proteger. El documento de Carlos es propiedad del departamento A. Puesto que el departamento A se suscribe a los grupos de políticas, se aplicarán todas las políticas que pertenecen a dichos grupos de políticas: políticas 1, 2, 3 y 4.
  2. La política 2 otorga acceso ya que Carlos es miembro del grupo de acceso de usuarios registrados, realiza la acción de mandato Update Document en el recurso de documento y satisface la relación de creador con el documento.

Dado que Carlos ha pasado las dos comprobaciones de control de acceso, a nivel de mandatos y a nivel de recursos, puede actualizar su propio documento.

Caso de ejemplo 2: Joaquín intenta actualizar el documento de Carolina

A continuación se muestra la evaluación de control de acceso para este escenario:

Comprobación a nivel de mandato
  1. No se ha especificado ningún ID de tienda, por lo tanto, el propietario del mandato se establece en la organización raíz. Por consiguiente, solo se utilizarán las políticas pertenecientes a grupos de políticas a los que se ha suscrito la organización raíz para evaluar si el usuario tiene acceso a nivel de mandatos: las políticas 1 y 2 son propiedad de la organización raíz.
  2. La política 1 otorga acceso ya que Joaquín es miembro del grupo de acceso de usuarios registrados y está realizando la acción Execute en el recurso de mandato Update Document.
Comprobación a nivel de recursos
  1. El mandato Update Document especifica que el recurso de documento se debe proteger. El documento de Carlolina es propiedad del departamento A. Puesto que el departamento A se suscribe a los grupos de políticas, se aplicarán todas las políticas que pertenecen a dichos grupos de políticas: políticas 1, 2, 3 y 4.
  2. La política 3 otorga acceso ya que Joaquín es miembro del grupo de acceso Approvers for Seller y está realizando la acción de mandato Update Document en el recurso del documento.

Dado que Joaquín ha pasado las dos comprobaciones de control de acceso, a nivel de mandatos y a nivel de recursos, puede actualizar el documento de Carolina.

Caso de ejemplo 3: Juan intenta actualizar el documento de Emilio

A continuación se muestra la evaluación de control de acceso para este escenario:

Comprobación a nivel de mandato
  1. No se ha especificado ningún ID de tienda, por lo tanto, el propietario del mandato se establece en la organización raíz. Por consiguiente, solo se utilizarán las políticas pertenecientes a grupos de políticas a los que se ha suscrito la organización raíz para evaluar si el usuario tiene acceso a nivel de mandatos: las políticas 1 y 2 son propiedad de la organización raíz.
  2. La política 1 otorga acceso, ya que Juan es miembro del grupo de acceso de usuarios registrados y está realizando la acción Execute en el recurso de mandato Update Document.
Comprobación a nivel de recursos
  1. El mandato Update Document especifica que el recurso de documento se debe proteger. El documento de Emilio es propiedad de la organización vendedora. Puesto que la organización vendedora se suscribe a los grupos de políticas, se aplicarán todas las políticas que pertenecen a dichos grupos de políticas: políticas 1, 2 y 3.
  2. La política 3 NO otorga acceso ya que Juan NO es miembro del grupo de acceso Aprobadores de la organización vendedora.

Aunque Juan ha pasado la comprobación a nivel de mandato, como no ha pasado la comprobación de control de acceso a nivel de recursos, no puede actualizar el documento de Emilio.

Caso de ejemplo 4: El usuario invitado 1 intenta actualizar su propio documento

A continuación se muestra la evaluación de control de acceso para este escenario:

Comprobación a nivel de mandato
  1. No se ha especificado ningún ID de tienda, por lo tanto, el propietario del mandato se establece en la organización raíz. Por consiguiente, solo se utilizarán las políticas pertenecientes a grupos de políticas a los que se ha suscrito la organización raíz para evaluar si el usuario tiene acceso a nivel de mandatos: las políticas 1 y 2 son propiedad de la organización raíz.
  2. La política 1 NO otorga acceso, ya que el usuario invitado 1 NO es miembro del grupo de acceso Registered Users.
Comprobación a nivel de recursos
  1. La comprobación a nivel de recursos no se lleva a cabo ya que la comprobación a nivel de mandato no ha sido satisfactoria.

Dado que el usuario invitado 1 no ha pasado la comprobación a nivel de mandato, no puede actualizar su propio documento.

Evaluación de las políticas de plantilla agrupables

Este apartado se basa en la configuración que se muestra en el siguiente diagrama.

Este diagrama describe un caso de ejemplo para evaluar el acceso

Políticas de control de acceso relacionadas con la actualización de documentos

En esta configuración, aunque se siguen aplicando las políticas de control de acceso 1 y 2, las políticas estándar agrupables 3 y 4 se sustituyen ahora por la política de plantilla agrupable 5. Para obtener más información sobre las políticas 1 y 2, consulte Evaluar políticas estándar agrupables.

Política 5


[Approvers for Organization, Update Document Action Group, document, - ]

Esta política es una política de plantilla agrupable a nivel de recursos. Forma parte del grupo de políticas de la organización raíz a la que se ha suscrito la organización raíz. Las políticas de plantilla agrupables se aplican dinámicamente a la organización propietaria del recurso durante la ejecución. Estas políticas generalmente utilizan grupos de acceso definidos con parámetros. En este caso, se utiliza el siguiente grupo de acceso definido con parámetros:

  • Aprobadores de la organización: Este grupo incluye implícitamente todos los usuarios que tienen el rol de aprobador de la organización propietaria del recurso de documento o de las organizaciones predecesoras.

Escenarios

Los siguientes escenarios están basados en la configuración que se muestra en el diagrama anterior que solamente tiene un grupo de políticas. El grupo de políticas de la organización raíz incluye las políticas 1, 2 y 5.

Caso de ejemplo 1: Joaquín intenta actualizar el documento de Carolina

A continuación se muestra la evaluación de control de acceso para este escenario:

Comprobación a nivel de mandato
  1. No se ha especificado ningún ID de tienda, por lo tanto, el propietario del mandato se establece en la organización raíz. Por consiguiente, solo se utilizarán las políticas pertenecientes a grupos de políticas a los que se ha suscrito la organización raíz para evaluar si el usuario tiene acceso a nivel de mandatos: políticas 1, 2 y 5.
  2. La política 1 otorga acceso ya que Joaquín es miembro del grupo de acceso de usuarios registrados y está realizando la acción Execute en el recurso de mandato Update Document.
Comprobación a nivel de recursos
  1. El mandato Update Document especifica que el recurso de documento se debe proteger. El documento de Carolina es propiedad del departamento A. El departamento A no se suscribe a ningún grupo de políticas, de modo que la infraestructura de control de acceso empezará a buscar en la jerarquía de organización hasta que encuentre una organización que se suscriba a un grupo de políticas como mínimo. Asimismo, la organización vendedora, que es la organización padre inmediata del departamento A, no se suscribe a grupos de políticas. Continuando en sentido ascendente por la jerarquía organizativa, se llega a la organización raíz. Esta organización se suscribe a un grupo de políticas. De este modo, se pueden aplicar sus políticas: políticas 1, 2 y 5.
  2. La política de plantilla agrupable 5 se aplica a la organización propietaria del recurso: Departamento A. El grupo de acceso definido con parámetros, Aprobadores de la organización, abarca de forma dinámica el ámbito del contexto de recurso actual, de modo que comprobará si el usuario cumple con la condición del grupo de acceso para la organización propietaria del recurso o sus predecesores. En este caso, Joaquín es aprobador de la organización vendedora (predecesora del departamento A), por lo tanto, cumple con la condición del grupo de acceso. Dado que ejecuta la acción del mandato Update Document en el recurso de documento, también se cumplen los demás elementos de la política 5 y, de este modo, la comprobación de política a nivel de recurso se pasa satisfactoriamente.

Dado que Joaquín ha pasado las dos comprobaciones de control de acceso, a nivel de mandatos y a nivel de recursos, puede actualizar el documento de Carolina.

Caso de ejemplo 2: Juan intenta actualizar el documento de Emilio

A continuación se muestra la evaluación de control de acceso para este escenario:

Comprobación a nivel de mandato
  1. No se ha especificado ningún ID de tienda, por lo tanto, el propietario del mandato se establece en la organización raíz. Por consiguiente, solo se utilizarán las políticas pertenecientes a grupos de políticas a los que se ha suscrito la organización raíz para evaluar si el usuario tiene acceso a nivel de mandatos: políticas 1, 2 y 5.
  2. La política 1 otorga acceso ya que Juan es miembro del grupo de acceso de usuarios registrados y está realizando la acción Execute en el recurso de mandato Update Document.
Comprobación a nivel de recursos
  1. El mandato Update Document especifica que el recurso de documento se debe proteger. El documento de Emilio es propiedad de la organización vendedora. La organización vendedora no se suscribe a ningún grupo de políticas, por lo tanto, la infraestructura de control de acceso comienza a buscar en sentido ascendente en la jerarquía organizativa hasta que encuentra una organización que se suscriba como mínimo a un grupo de políticas. Continuando en sentido ascendente por la jerarquía organizativa, se llega a la organización raíz. Esta organización se suscribe a un grupo de políticas. De este modo, se pueden aplicar sus políticas: políticas 1, 2 y 5.
  2. La política de plantilla agrupable 5 se aplica a la organización propietaria del recurso: Organización vendedora. El grupo de acceso definido con parámetros, Aprobadores de la organización, abarca de forma dinámica el ámbito del contexto de recurso actual, de modo que comprobará si el usuario cumple con la condición del grupo de acceso para la organización propietaria del recurso o sus predecesores. En este caso, dado que Juan es aprobador de la unidad de organización del departamento A (descendiente de la organización vendedora), no satisface las condiciones del grupo de acceso.

Aunque Juan ha pasado la comprobación a nivel de mandato, como no ha pasado la comprobación de control de acceso a nivel de recursos, no puede actualizar el documento de Emilio.