Seguridad

IBM® UrbanCode Deploy proporciona un modelo de seguridad flexible basado en equipo y basado en rol que se correlaciona con la estructura organizativa

A alto nivel, el sistema de seguridad consta de un dominio de autenticación, un dominio de autorización, roles y equipos. El dominio de autenticación verifica la identidad del usuario o sistema que está intentando iniciar sesión en IBM UrbanCode Deploy. El dominio de autorización gestiona los grupos de usuarios. Los roles gestionan los permisos. Los equipos unen a los usuarios con los roles y protegen áreas del producto.

Visión general de permisos y tipos de seguridad

Un buen punto de partida para obtener información sobre el sistema de seguridad basado en equipos es entender los permisos. IBM UrbanCode Deploy utiliza el término permiso de una forma con la que están familiarizados la mayoría de los lectores: cada permiso controla el acceso a un área del producto o función del producto. La mayoría de los permisos hacen referencia a actividades típicas como creación, lectura, actualización y supresión. Los permisos definen qué se puede hacer y no quién puede hacerlo

La mayoría de las áreas de producto tienen un conjunto de permisos que afectan a la manera en que los usuarios interactúan con él. Los permisos de un área de producto se definen mediante tipos de seguridad. El área de producto de componente tiene tipos de seguridad que afectan a la capacidad del usuario de interactuar con los componentes. Los tipos de seguridad que están disponibles para el área de producto de agente afectan a los agentes, y así sucesivamente.

En la mayoría de las áreas de producto se pueden definir más tipos de seguridad. Cada tipo de seguridad elegible se proporciona con un tipo "estándar" definido para él, por ejemplo "Agente estándar" o "Componente estándar". Cada tipo adicional dentro de un área comparte el mismo conjunto de permisos. Por ejemplo, cada tipo de agente tiene el mismo conjunto de permisos: editar y ver. Consulte Tipos de seguridad.

Roles

Un rol es un conjunto de permisos otorgados. La definición de un rol consta del otorgamiento de permisos para todos los tipos de seguridad a los que afecta el rol. Un rol de tipo desarrollador podría tener permisos para crear aplicaciones, pero no para ejecutarlas en entornos de producción. O también, un rol de tipo desplegador podría ejecutar aplicaciones, pero no crearlas. Usted decide el número de roles y sus funciones. Tal como se entrega, IBM UrbanCode Deploy proporciona un rol, el rol de administrador, que tiene otorgados permisos para todos los tipos de seguridad.

Importante: Un rol por sí mismo no imparte sus permisos otorgados a ningún usuario real. Como los permisos, los roles definen qué se puede hacer, no quién puede hacerlo. Los roles y sus permisos asociados se aplican a los usuarios mediante equipos.

Equipos

Un equipo es una construcción que asocia usuarios o grupos con roles. Cuando se añade un usuario a un equipo, esa persona se asigna a un rol; no es posible añadir usuarios a un equipo sin una asignación de rol. Los miembros de un rol obtienen automáticamente todos los permisos definidos para el rol. También pueden añadirse grupos a los roles, en cuyo caso todos los miembros del grupo obtienen de forma automática los permisos definidos para el rol.

Cuando se crea un equipo, todos los usuarios y grupos están disponibles para su asignación y todos los roles están disponibles para su uso. Es posible asignar usuarios a más de un rol. Si un usuario está asignado a un rol que otorga un permiso concreto y a otro rol que no otorga dicho permiso, se considera que el usuario tiene el permiso.

Los equipos protegen los recursos. Para proteger un entorno, por ejemplo, se le asigna un equipo. Después de que se haya protegido el entorno, únicamente los miembros del equipo asignados a un rol con el permiso adecuado pueden afectar al entorno.

El equipo de sistema que viene con IBM UrbanCode Deploy tiene el usuario admin, que se asigna al rol de administrador. El rol de administrador tiene todos los permisos que se otorgan para todos los tipos de seguridad estándar y para los valores de UI web y servidor. El equipo de sistema no se puede suprimir.

Seguridad de recursos

Los permisos son de dos tipos: tipos con un ámbito específico y tipos con un ámbito más general. Los tipos de seguridad de entorno tienen cuatro permisos: crear, editar, ejecutar y ver. Excepto en el caso del permiso para crear, estos permisos sólo afectan a un recurso específico; abarcan un entorno específico. Si un equipo con el permiso ejecutar se conecta al entorno de producción, por ejemplo, sólo los miembros del equipo con dicho permiso podrán ejecutar aplicaciones en el entorno. Los miembros del equipo que tengan otros roles que no otorguen el permiso ejecutar, no podrán ejecutar aplicaciones allí. Los miembros de equipos que no estén conectados al entorno no podrán ejecutar aplicaciones, independientemente de si tienen el permiso ejecutar o no.

El permiso crear es diferente de otro tipos de permisos. El permiso crear tipo no está restringido a un recurso específico, sino que tiene un ámbito más amplio. Los miembros de equipo con un permiso para crear tipo pueden crear recursos del tipo relacionado sin que se hayan conectado primero los miembos del equipo a un recurso específico. Para continuar el ejemplo del entorno, los usuarios con el permiso crear entorno pueden crear entornos, incluso si su equipo no está conectado a un entorno específico.

En la figura siguiente, el equipo productionTeam está conectado al entorno tutorialProdEnvironment. El rol productionRole tiene el permiso ejecutar para ejecutar entornos. Los miembros del equipo con dicho rol, como prodDeployer, pueden ejecutar aplicaciones en el entorno. Los miembros del equipo que no tengan dicho rol, como developerLead, no podrán ejecutar aplicaciones aunque el equipo esté conectado al entorno.

Figura 1. Permisos de seguridad de equipo
Nota:
El usuario developerLead puede crear y modificar entornos. Además, el usuario developerDB puede crear entornos aunque el equipo developmentTeam no esté conectado a este o a cualquier otro entorno.

Cuando se asigna un equipo a un objeto, también se determina un tipo de seguridad. Puede ajustar los permisos de equipo variando los tipos de seguridad. Por ejemplo, un equipo puede tener un conjunto de permisos para un componente y, cambiando el tipo de seguridad, otro conjunto para un componente diferente.


Comentarios