Reglas y restricciones de la Administración global de tarjetahabientes - Security Center 5.8

Guía para el Administrador de Security Center 5.8

Applies to
Security Center 5.8
Last updated
2019-08-28
Language
Español
Product
Security Center
Version
5.8

Hay algunas reglas y restricciones que se aplican cuando se usa la Administración global de tarjetahabientes.

Antes de comenzar a administrar sus tarjetahabientes de manera global, lea las siguientes reglas y restricciones.

Reglas relacionadas con las particiones locales y globales

  • Un huésped compartido no puede tener más de un host. Solo se permite una instancia de la función del GCS por sistema.
  • No se puede modificar una partición global en un huésped compartido, pero sí a sus miembros. Lo que puede modificar el huésped compartido está, en realidad, sujeto a los privilegios del usuario asignado a la función del GSC.
  • Ningún sistema tiene permitido compartir lo que no le pertenece. El uso compartido de dos niveles no está permitido. Uno de los efectos de esta regla es que no se puede convertir una partición local en una partición global si contiene entidades globales, a menos que se lleve a cabo en el sistema host.
  • Si agrega una entidad local a una partición global, se transfiere la propiedad de esa entidad de su propietario local (huésped compartido) al propietario de la partición (host para compartir).
  • Si elimina una entidad global en un huésped compartido, también se elimina en el host para compartir, a menos que la entidad también pertenezca a otra partición global, en cuyo caso, solo se elimina su membresía en la primera partición.

Reglas relacionadas con las entidades locales y globales

  • Una entidad es global en virtud de su membresía en una partición global. Esto significa que un tarjetahabiente no se convierte en global de manera automática simplemente porque su grupo primario de tarjetahabientes es global.
  • Las reglas de acceso local se aplican a tarjetahabientes locales y globales por igual. Las reglas de acceso nunca se comparten. Esto garantiza que los administradores locales siempre tengan control total sobre la seguridad de sus instalaciones locales.
  • Los tarjetahabientes/grupos globales pueden convertirse en miembros de grupos de tarjetahabientes locales.
  • Los tarjetahabientes/grupos locales no pueden convertirse en miembros de grupos de tarjetahabientes globales. Una excepción de esta regla se produce cuando ambas entidades pertenecen al mismo sistema. En este caso, no se puede compartir el tarjetahabiente local, aunque el grupo de tarjetahabientes sí.
  • Se pueden asignar credenciales tanto globales como locales a tarjetahabientes globales.
  • No se pueden asignar credenciales globales a tarjetahabientes locales.
  • Se pueden usar y editar credenciales globales usando formatos de tarjeta personalizados en el huésped compartido. Sin embargo, los datos de las credenciales solo serían visibles si también se define el formato de tarjeta personalizado correspondiente (archivo XML) en el huésped compartido mediante el uso de la herramienta de Editor de formato de tarjeta personalizado.
MEJOR PRÁCTICA: Siempre se recomienda aplicar reglas de acceso a los grupos de tarjetahabientes, en lugar de a tarjetahabientes individuales. Por este motivo, se recomienda compartir los tarjetahabientes junto con sus grupos primarios de tarjetahabientes. Si esto no es posible por alguna razón, entonces le recomendamos que cree un grupo de tarjetahabientes local para los tarjetahabientes globales.

Reglas acerca de campos personalizados globales y tipos de datos

  • Los campos personalizados y los tipos de datos definidos para las entidades globales se comparten de manera automática cuando se comparten entidades globales.
  • Las definiciones de campos personalizados globales y tipos de datos no se pueden modificar en el huésped compartido.
  • Los campos personalizados globales y locales permanecen separados aunque usen el mismo nombre. Se diferencian por su propietario, que es el sistema que los define.
  • No se pueden usar tipos de datos globales para definir campos personalizados locales.
  • Se pueden modificar los valores de campos personalizados de las entidades globales en los huéspedes compartidos.
  • Los campos personalizados globales también se aplican a entidades locales, pero sus valores permanecen locales.
  • Los campos personalizados locales también se aplican a entidades globales, pero sus valores permanecen locales.
  • Cuando un sistema huésped deja de compartir una partición global, se eliminan todas las copias de las entidades globales compartidas y todos los valores de campos personalizados de las entidades locales.
MEJOR PRÁCTICA: Si debe implementar la GCM dentro de su organización, le recomendamos que defina todos los campos personalizados y los tipos de datos para entidades globales en el host para compartir.

Reglas relacionadas con Federation™ y entidades globales

  • Si un host para compartir también federa su huésped compartido, solo se federan las entidades locales que pertenecen al huésped compartido. Las entidades compartidas no se federarán en el host para compartir.
  • El host para compartir que también es un host de federación no debería compartir las entidades que federa al agregarlas a una partición global, porque no es propietario de las entidades federadas. Una entidad solo puede ser compartida por su propietario legítimo. Para que las entidades federadas se compartan, el sistema federado tiene que ser un huésped compartido del host de Federation™. Esto otorga al host de Federation™ los derechos de compartir cualquiera de las entidades federadas.
  • Un huésped compartido que podría federar un sistema de un tercero no puede compartir sus entidades federadas con el host para compartir, porque no es el propietario de las entidades federadas.
  • Si un huésped compartido está federado por otro sistema, tanto las entidades locales como las globales aparecen como entidades federadas en el host de Federation™.

Reglas relacionadas con el Active Directory y las entidades globales

  • Los tarjetahabientes y grupos de tarjetahabientes importados desde un Active Directory pueden agregarse a una partición global en el host para compartir.
  • Los tarjetahabientes y grupos de tarjetahabientes importados desde un Active Directory que es local para el huésped compartido no se puede agregar a una partición global porque el Active Directory y el host para compartir no pueden ser ambos propietarios de los tarjetahabientes compartidos.
  • Los tarjetahabientes y grupos de tarjetahabientes globales importados desde un Active Directory solo deben ser modificados a través del servicio de directorio al que pertenecen.
PRECAUCIÓN:
Si bien es posible modificar tarjetahabientes y grupos de tarjetahabientes globales importados desde un Active Directory en el huésped compartido, estos cambios son temporales. Pierde los cambios que realizó cuando el host para compartir se sincroniza con el Active Directory.
MEJOR PRÁCTICA: Si se debe centralizar toda la entrada de datos de tarjetahabientes, el sistema que importa tarjetahabientes desde su Active Directory corporativo debería actuar como el host para compartir, y todas las modificaciones deben realizarse mediante el servicio de directorio.