Monografía RECINTOS SEGUROS v4.2 (6 Septiembre 2011)
(Conservar esta página si se va a imprimir a doble cara) MONOGRAFÍA RECINTOS SEGUROS V4.2 Página 2 de 19
Departamento de Consultoría Documento Confidencial Fecha de Impresión: 6 Septiembre 2011 Esta publicación pertenece al Servicio de Documentación de AuraPortal (SDAP) y todos los derechos están reservados. La reproducción total o parcial de este documento, así como la entrega a terceras partes sin el permiso escrito del SDAP quedan prohibidas. www.auraportal.com info@auraportal.com skype: AuraPortal Tel. 902 504 321 Llamadas Internacionales: +34 962 954 497 MONOGRAFÍA RECINTOS SEGUROS V4.2 Página 3 de 19
(Conservar esta página si se va a imprimir a doble cara) MONOGRAFÍA RECINTOS SEGUROS V4.2 Página 4 de 19
ÍNDICE 1. CONCEPTOS BÁSICOS... 6 2. PERMISO DEL VISITANTE... 6 3. SEGURIDAD DE UN RECINTO SEGURO... 7 4. ELEMENTOS PROTEGIDOS... 7 Mensajes... 8 Clases de Procesos... 9 Consultas Públicas... 10 Familias Propias... 10 Bibliotecas en Diccionario.... 13 5. ACCESO ESPECIAL PARA EL RESPONSABLE DEL PROCESO... 14 6. ESTRUCTURA Y OPERATIVA... 15 6.1. DICCIONARIO DE RECINTOS SEGUROS... 15 6.2. CREACIÓN DE RECINTOS SEGUROS... 15 MONOGRAFÍA RECINTOS SEGUROS V4.2 Página 5 de 19
1. CONCEPTOS BÁSICOS Los controles de acceso a las diferentes partes de la aplicación en función de sus características y de los permisos ostentados por los visitantes operan siguiendo el sistema de Control de Accesos por Recintos Seguros que se explica en esta Monografía. A grandes rasgos, el sistema se basa en las siguientes definiciones. Elementos Protegidos. Son las partes de la aplicación que realizan operaciones cuyo acceso por los usuarios se desea controlar mediante un sistema de seguridad. Los Elementos Protegidos obtienen su protección al alojarse virtualmente en Recintos Seguros. Recinto Seguro. Sitio que alberga virtualmente un número indeterminado de Elementos Protegidos. Seguridad. Conjunto de requisitos de un Recinto Seguro que concede la entrada al mismo para efectuar operaciones en los modos de LECTURA, EDICIÓN, ADICIÓN y CANCELACIÓN en los Elementos Protegidos alojados en dicho sitio. Visitante. Usuario que pretende realizar operaciones de Lectura, Edición, Adición o Cancelación en un Elemento Protegido, lo que significa que pretende entrar en el Recinto Seguro que lo alberga. Los posibles visitantes son Empleados, Usuarios Externos y Usuarios Invitados. Permiso. Conjunto de títulos que ostenta un Visitante para vencer la Seguridad del Recinto Seguro. Guardián. Función del sistema que se encarga de comparar la Seguridad de un Recinto Seguro con el Permiso del Visitante y en consecuencia permitir o no la entrada y la consiguiente operación de Lectura, Edición, Adición o Cancelación de sus Elementos Protegidos. Cuando un Visitante pretende realizar una operación en un Elemento Protegido que se encuentra en un Recinto Seguro, el Guardián busca dicho Recinto Seguro y después de asegurarse de que el Período de Validez se cumple, examina el Permiso del Visitante y lo compara con la Seguridad del Recinto Seguro para determinar si concede o no el acceso. _Abierto. Recinto Seguro predeterminado sin ninguna restricción. Se aplica automáticamente a todas las opciones para cuya configuración sea necesario un Recinto Seguro y no se haya aplicado ninguno. Nota. AdminPortal no está sujeto a las restricciones impuestas por Recintos Seguros. Los Administradores Delegados siempre pueden configurar Consultas Públicas pero a nivel de usuario están sujetos a Recintos Seguros como cualquier otro usuario. 2. PERMISO DEL VISITANTE El Permiso de un Visitante para acceder al Recinto Seguro tiene varios componentes en cualquiera de los modos posibles (LECTURA, EDICIÓN, ADICIÓN o CANCELACIÓN) y siempre es el resultado del conjunto de los distintos componentes: 1. Creador. Este componente se puede aplicar a la configuración de cada permiso, de manera que dicho permiso se pueda aplicar al creador del elemento que se está protegiendo. 2. Nivel de seguridad. Este Nivel es un número del 0 al 99 que se otorga a cada Cargo (Posición) del Organigrama (Árbol de Empleados) del sistema. Este Nivel se define cuando se da de alta el Cargo y se puede cambiar en cualquier momento. Un usuario con Nivel de Seguridad =99, tiene permiso para entrar en todos los Recintos Seguros y en todos sus modos sin ninguna restricción. MONOGRAFÍA RECINTOS SEGUROS V4.2 Página 6 de 19
El Nivel de Seguridad de cada usuario solo lo puede otorgar y modificar AdminPortal y los Administradores Delegados con permiso. 3. Dependiendo de la naturaleza del visitante, varía la forma de agruparlos: Para los Empleados se utilizan los Roles Singulares. Este componente del permiso lo obtiene el Visitante por estar asignado a un rol específico, bien sea individualmente o por pertenecer a un grupo. Para Usuarios Externos o Invitados se utilizan Perfiles de Cuentas y Perfiles de Roles. El Visitante quedará asociado al Recinto por pertenecer a una determinada cuenta (a través del Perfil de Cuentas) y tener cierta característica en su ficha de Rol (a través del Perfil de Roles). 3. SEGURIDAD DE UN RECINTO SEGURO Cuando se define un Recinto Seguro, se establece, además de su Nombre y Descripción, la Seguridad necesaria para entrar en él. A continuación se comentan los distintos parámetros. Periodo de validez. Puede ser: Permanente. Siempre se aplica la Seguridad especificada aquí. Según Calendario. Se aplica la Seguridad especificada solo dentro de los días, horas y minutos hábiles del Calendario seleccionado. Creador. Filtra el permiso según el creador del elemento. Nivel de Seguridad (0-99). Cumplen este parámetro los Visitantes con un Nivel de Seguridad igual o superior al indicado aquí. Roles o Perfiles Permitidos. Roles Singulares en el caso de los Empleados y Perfiles de Cuentas-Perfiles de Roles en el caso de los usuarios Externos o Invitados. Operador (OR, AND). Este operador liga los distintos parámetros para obtener un resultado. Si el valor del operador es OR, basta con que el Visitante cumpla uno de los parámetros. Si es AND, deben cumplirse todos. Nota. Si uno de los parámetros no tiene valor, no se aplica al Recinto Seguro, es decir, que no actúa para restringir el acceso. Si no se define ninguno de los parámetros, el Recinto Seguro no restringe el acceso a ningún usuario. 4. ELEMENTOS PROTEGIDOS El Diccionario de Recintos Seguros (Estructura) contiene las definiciones de los Recintos Seguros. Cada Recinto Seguro puede alojar uno o más Elementos Protegidos de AuraPortal pero un Elemento Protegido no puede estar en más de un Recinto Seguro. Los elementos a los que se pueden aplicar Recintos Seguros son: Mensajes, de Inicio o Intermedios MONOGRAFÍA RECINTOS SEGUROS V4.2 Página 7 de 19
Clases de Proceso Consultas Públicas Familias Propias Bibliotecas en Diccionario Más abajo se describen sus peculiaridades: Mensajes Se puede aplicar Recintos Seguros a los mensajes: Formularios de Mensaje de Inicio. Formularios de Mensaje Intermedio. El Recinto Seguro se configura en la opción Más Información de la ventana de configuración del mensaje. Ver la siguiente imagen. Aplicación del Recinto Seguro. LECTURA. Permite ver los mensajes de Inicio o Intermedios en el grid de mensajes. Ver la siguiente imagen: MONOGRAFÍA RECINTOS SEGUROS V4.2 Página 8 de 19
EDICIÓN. Habilita el botón Guardar. El formulario se muestra como se diseñó, permitiendo o no la edición de determinados campos. ADICIÓN. Permite abrir el formulario y habilita el botón Crear, que pone en marcha el proceso. Es necesario este permiso para abrir el formulario, ya que al abrirlo se crea el mensaje, aunque sea un borrador. CANCELACIÓN. Habilita el botón Eliminar. Clases de Procesos El Recinto Seguro para la Clase de Proceso se configura en la sección IDENTIDAD de la página de configuración de la Clase de Proceso. Ver la imagen siguiente. Aplicación del Recinto Seguro. LECTURA. Permite ver los procesos en el grid de procesos de Monitorización. Ver la imagen inferior. EDICIÓN, ADICIÓN y CANCELACIÓN no se aplican. MONOGRAFÍA RECINTOS SEGUROS V4.2 Página 9 de 19
Consultas Públicas No existe Permiso de Edición, sino solo de Lectura, para Visitantes en la Monitorización, ya que el diseño de la Monitorización se realiza en la Estructura por un Administrador Delegado o AdminPortal. En las Consultas, tanto si son de Cuadro de Mandos o Informes de Business Intelligence, se establecen dos Controles de Permiso de lectura: Por el Nombre de la Consulta. Se aplica cuando dicho nombre ha sido agregado al Recinto Seguro. Por la Clase de Proceso que contiene. Independientemente del permiso debido al Nombre de la Consulta, también se tienen en cuenta los Recintos Seguros de las Clases de Proceso que contenga, por lo que es posible que un visitante tenga acceso a la Consulta pero no a sus Procesos. Nota. Los Administradores Delegados pueden siempre configurar o modificar las consultas públicas, pero, en cuanto a la ejecución de las mismas, se consideran como cualquier otro empleado. El Recinto Seguro se configura en la página de configuración de la Consulta. Ver la siguiente imagen. Familias Propias Para los elementos de las Familias de Sistema (Cuentas, Proyectos, etc ), la Plataforma de Intranet de AuraPortal ya lleva incorporado un sistema de Autorizaciones que contempla la variada casuística de los accesos y las acciones a los elementos de las Familias. En el futuro, el presente sistema de Permisos a través de Recintos Seguros también se aplicará a las Familias de Sistema como sistema preferente, de modo que solo será aplicable el sistema anterior cuando no se hayan definido Recintos Seguros para dichos elementos. Los Recintos Seguros se pueden aplicar en las Familias Propias a 3 niveles: Familia, Clase y Elemento. El punto en el que se aplica el Recinto, según el nivel, es el siguiente: Familia. Opción Recinto Seguro en la Ficha general de cada Familia. MONOGRAFÍA RECINTOS SEGUROS V4.2 Página 10 de 19
Clase. Opción Recinto Seguro en la Ficha de la Clase, en Estructura - Familias Propias - Árbol y Clases. Elemento. Botón Recinto Seguro de la Barra de Acciones en la Ficha de cada Elemento. Ver la imagen siguiente. MONOGRAFÍA RECINTOS SEGUROS V4.2 Página 11 de 19
Se aplicará el Recinto Seguro al nivel más restrictivo de los tres, es decir, sólo actuará el primero que exista, buscando en el orden Familia-Clase-Elemento. No se suman los permisos. Si en uno de estos niveles no tiene acceso de Lectura, se interrumpe la comprobación y se deniega el acceso. En el nivel de Elemento, el visitante tendrá el permiso definido para el elemento o, si no hay permisos definidos, el del nivel superior que lo tenga. El resultado de la aplicación de los diferentes permisos de los Recintos Seguros en las Familias Propias es el siguiente: Aplicación del Recinto Seguro La aplicación del Recinto Seguro depende del nivel al que se aplique. 1. Nivel de Familia. LECTURA. Actúa en: o El Grid de Familias. o El Grid de Elementos en prefijos de familia en formularios, el que aparece para seleccionar un prefijo de familia propia desde un formulario de un proceso en ejecución. El visitante ve las familias si cumple las condiciones del Recinto Seguro. ADICIÓN. Actúa en: o El Grid de Familias (Barra de Acciones). El botón Crear (Elementos) aparece activado. Permite crear nuevos elementos. EDICIÓN y CANCELACIÓN. No se aplican. 2. Nivel de Clase. Determina los permisos por Clases de elementos. Si está definido este nivel, prevalece sobre el Nivel de Familia, aunque se necesita al menos permiso de LECTURA sobre éste. LECTURA. Actúa en: MONOGRAFÍA RECINTOS SEGUROS V4.2 Página 12 de 19
o Grid de elementos general. o Grid de elementos en prefijos de familia en formularios, el que aparece para seleccionar un prefijo de familia propia desde un formulario de un proceso en ejecución. El empleado ve las familias o elementos si cumple las condiciones del Recinto Seguro. ADICIÓN. Actúa en: o Botón Crear del Grid de familias (Barra de Acciones). o Botón Crear Nuevo en la ficha. El visitante solo podrá crear elementos de las clases si cumple las condiciones del Recinto Seguro. EDICIÓN y CANCELACIÓN. No se aplican. 3. Nivel de Elemento. Determina los permisos por Elementos. Si está definido este nivel, prevalece sobre los niveles superiores, aunque se necesita al menos permiso de LECTURA sobre ellos. LECTURA. Actúa en: o Grid de familias. o Grid de elementos en prefijos de familia en formularios. El empleado ve los elementos si cumple las condiciones del Recinto Seguro. La ficha del elemento se abre en modo lectura. ADICIÓN. No se aplica. EDICIÓN. Actúa en: o Barra de Acciones de la ficha. El botón Guardar (Elementos) aparece activado. El formulario se muestra tal como se diseñó. CANCELACIÓN. Actúa en: o Barra de Acciones de la ficha. El botón Eliminar (Elementos) aparece activado. Bibliotecas en Diccionario. Cuando las Bibliotecas en Diccionario se ven bajo su Presentación Básica, esto es, desde el Árbol o el Grid de Bibliotecas, están sujetas a Recintos Seguros. En el Tomo 1 de la monografía Gestión Documental- se puede encontrar información completa sobre las Bibliotecas en Diccionario, implementadas en AuraPortal a partir de la versión 4.2. El Recinto Seguro se aplica a la biblioteca en la Presentación Básica de la misma. Ver la imagen inferior. MONOGRAFÍA RECINTOS SEGUROS V4.2 Página 13 de 19
CONSIDERACIONES PREVIAS: Para que una biblioteca esté visible en el Árbol o en el grid es necesario que se le haya aplicado un recinto seguro con modo LECTURA; si no ni siquiera se ve. Esto es una característica diferenciadora respecto a las bibliotecas de SharePoint, las cuales siempre se ven y puede darse el caso de intentar acceder a una biblioteca en la que no se tiene ningún permiso. Nota. Sin embargo, por motivos de rendimiento, hay una excepción a este comportamiento. Si la opción Creador está marcada en cualquier modo del recinto seguro, un usuario, aunque no cumpla las otras condiciones del modo, verá el nombre de la biblioteca en el árbol. El permiso en este caso se aplica a los documentos de la biblioteca. Para los documentos integrados desde Procesos, Familias Propias o Roles Personales el único permiso que se aplica es el de LECTURA, ya que estos solo pueden modificarse desde donde fueron integrados. El resto de permisos se aplican solo a los documentos que se han integrado desde la propia biblioteca. Los permisos del recinto seguro actúan de forma independiente. Así, no se podrán editar documentos, aunque se tenga permiso de EDICIÓN, si no se tiene también permiso de LECTURA. Aplicación del Recinto Seguro La aplicación de los modos del Recinto Seguro a las Bibliotecas es como sigue: LECTURA. Permite ver la biblioteca y todos los documentos en modo lectura. Si está marcada la opción Creador, el permiso se aplica al creador del documento. Es decir, un empleado que cumple las condiciones del modo LECTURA sin opción Creador marcada- de un Recinto Seguro puede leer todos los documentos de la biblioteca. Si el Recinto tiene marcada la opción Creador, sólo podrá leer los documentos creados por él. EDICIÓN. Editar los documentos que se han integrado directamente desde la biblioteca. La opción Creador actúa aquí de forma equivalente y según lo explicado en el permiso de LECTURA. ADICIÓN. Permite agregar documentos desde la propia biblioteca. CANCELACIÓN. Permite eliminar documentos agregados desde la propia biblioteca. La opción Creador actúa aquí de forma equivalente y según lo explicado en el permiso de LECTURA. 5. ACCESO ESPECIAL PARA EL RESPONSABLE DEL PROCESO De forma independiente a la gestión de acceso a los procesos mediante Recintos Seguros, existe una mecánica que permite al Responsable de cada Proceso acceder a la información del mismo. Esto tiene un gran interés práctico ya que permite que el Responsable del Proceso pueda consultarlo en cualquier momento, aunque no haya sido autorizado expresamente en el Recinto Seguro que controla la Clase de Proceso, pero no pueda consultar aquellos procesos de la misma clase de los cuales él no es responsable. Esto se debe a la flexibilidad que AuraPortal proporciona a la hora de establecer el responsable de un proceso. En la siguiente imagen aparece una sección de la página de configuración de la Clase de Proceso. Pulsando en el icono buscador del campo Responsable de cada Proceso, se accede a la ventana Responsable de cada Proceso, en la que se puede elegir cualquier responsable que se desee. En cada caso, se utilizará una u otra opción. MONOGRAFÍA RECINTOS SEGUROS V4.2 Página 14 de 19
La opción De Panel, por ejemplo, permite asignar el responsable de forma dinámica a través de cualquier campo de tipo Familia de Empleados o Prefijo de Familia de Empleados. Incluso se podría elegir como responsable de cada proceso al Responsable de una Cuenta implicada en el Proceso, seleccionando el campo Sufijo de la Cuenta correspondiente a su responsable. 6. ESTRUCTURA Y OPERATIVA 6.1. Diccionario de Recintos Seguros Los Recintos Seguros, al igual que los Términos, Roles, Formularios y Consultas, se gestionan mediante un Diccionario que posee su propio Árbol. Los Árboles de los Diccionarios son muy parecidos a los Árboles de las Familias de AuraPortal pero con las siguientes diferencias: 1. Un Árbol de Familia consta de Ramas que pueden albergar Clases de Elementos. Sin embargo, el Árbol nunca muestra los Elementos (Cuentas, Ítems, Proyectos, etc., según sea la Familia) que contiene cada Clase. Es por tanto un Árbol de Ramas y Clases pero no de Elementos. 2. Un Árbol de Diccionario también tiene Ramas, pero estas reciben el nombre de Capítulos. Los Capítulos no alojan Clases (los Diccionarios no tienen Clases) sino directamente los Elementos (Términos, Roles, Formularios, Consultas o Recintos Seguros, según sea el Diccionario). Es por tanto un Árbol de Capítulos y Elementos. 6.2. Creación de Recintos Seguros Para crear Recintos Seguros, desde la Estructura de AuraPortal, panel GENERAL: MONOGRAFÍA RECINTOS SEGUROS V4.2 Página 15 de 19
Pulsar sobre Diccionarios - Recintos Seguros. Aparece la ventana: Pulsar sobre Crear Recintos Seguros. Aparece la ventana: En esta ventana se elige el Capítulo y se introduce el Nombre del Recinto Seguro y su Descripción (opcional) y el cajetín del Visitante es seleccionado. Al pulsar Guardar, el Recinto queda creado. Una vez guardado el Recinto, se muestra el grid SEGURIDAD. Cuando se marcan las casillas del campo Visitante, se añaden a ese grid los Modos del Recinto: LECTURA EDICIÓN CANCELACIÓN y ADI- CIÓN. MONOGRAFÍA RECINTOS SEGUROS V4.2 Página 16 de 19
Nota. Los Modos para el Externo y el Invitado van precedidos de UE- (Usuario Externo) o UI- (Usuario Invitado), para diferenciarlos de los del Empleado. Ver la siguiente imagen: El siguiente paso es configurar los Modos según las necesidades de restricciones del Recinto. Para cada uno de los Modos hay que introducir los parámetros de su Seguridad. Esta es ligeramente diferente según sea la naturaleza del usuario al que se quiere aplicar el recinto. En la imagen inferior se puede ver la ventana para Empleados: MONOGRAFÍA RECINTOS SEGUROS V4.2 Página 17 de 19
El campo Tipo de selección de Roles tiene dos opciones: o Indicar. Se indican los Roles que estarán permitidos en el Recinto Seguro. Esta asignación es estática y se hace en el campo Roles Permitidos. o Diccionario. Se indica un campo de Panel del tipo Diccionario-Rol Singular. De esta manera, la asignación de Roles se hace dinámicamente. Durante la ejecución del proceso se podrán elegir los Roles (los empleados, en definitiva) que pueden tener acceso al elemento donde se está aplicando el Recinto Seguro. En la siguiente imagen se muestra la ventana para usuarios Externos e Invitados: Aquí se seleccionan los Perfiles, de Cuentas y de Roles, que quedan asociados al Recinto Seguro. Un Perfil de Cuentas permite agrupar un conjunto de cuentas cuyo denominador común puede ser pertenecer a la misma clase, a la misma rama de árbol, e incluso cumplir una condición basada en un campo de la ficha de la Cuenta (Por ahora, y mientras los campos de la ficha de cuenta se guarden en SharePoint, el único campo disponible es _ItemProfile). También se ha de seleccionar uno o varios Perfiles de Roles, que agrupan un conjunto de roles y permiten definir condiciones basadas en campos de la ficha de Rol Personal. Al pulsar Guardar y Salir, los parámetros quedan guardados. MONOGRAFÍA RECINTOS SEGUROS V4.2 Página 18 de 19
MONOGRAFÍA RECINTOS SEGUROS V4.2 Página 19 de 19