Reglas y restricciones de la Administración global de tarjetahabientes - Security Center 5.10

Guía del Administrador de Security Center 5.10

Applies to
Security Center 5.10
Last updated
2023-07-07
Content type
Guías > Guías del administrador
Language
Español
Product
Security Center
Version
5.10

Antes de comenzar a administrar sus tarjetahabientes de manera global, lea las reglas y restricciones que se aplican a la Administración global de tarjetahabientes.

Reglas sobre particiones locales y globales

  • Un invitado compartido no puede tener más de un host. Solo se permite una instancia de la función del GCS por sistema.
  • Una partición global no se puede modificar en un huésped compartido, pero sus miembros sí. Lo que el huésped compartido está autorizado a modificar está sujeto a los privilegios del usuario asignado a la función del GCS.
  • Ningún sistema puede compartir lo que no posee. No se permite compartir dos niveles. Un efecto de esta regla es que una partición local no se puede convertir en una partición global si contiene entidades globales, a menos que se realice en el sistema host.
  • Agregar una entidad local a una partición global transfiere la propiedad de esa entidad de su propietario local (invitado compartido) al propietario de la partición (host compartido).
  • La eliminación de una entidad global en un invitado compartido también la elimina en el host compartido, a menos que esa entidad también pertenezca a otra partición global, en cuyo caso, solo su membresía se elimina de la primera partición.

Reglas sobre las entidades locales y globales

  • Una entidad es global en virtud de su pertenencia a una partición global. Esto significa que un tarjetahabiente no se vuelve global de manera automática solo porque su grupo de tarjetahabientes principal sea global.
  • Las reglas de acceso local pueden aplicarse tanto a los tarjetahabientes locales como a los globales. Las reglas de acceso nunca se comparten. Esto garantiza que los administradores locales siempre tengan control total sobre la seguridad de sus instalaciones locales.
  • Los tarjetahabientes y grupos globales no pueden convertirse en miembros de grupos locales de tarjetahabientes.
  • Los tarjetahabientes y grupos locales no pueden convertirse en miembros de grupos globales de tarjetahabientes. Una excepción a esta regla es cuando ambas entidades pertenecen al mismo sistema. En este caso, no se puede compartir el tarjetahabiente local, aunque el grupo de tarjetahabientes sí.
  • Se pueden asignar credenciales locales y globales a los titulares de tarjetas globales.
  • Las credenciales globales no se pueden asignar a los tarjetahabientes locales.
  • Las credenciales globales que utilizan formatos de tarjeta personalizados se pueden usar y editar en el invitado compartido. Sin embargo, los datos de la credencial solo serían visibles si el formato de tarjeta personalizado correspondiente (archivo XML) también se define en el huésped compartido utilizando la herramienta del Editor de formato de tarjeta personalizado.
MEJOR PRÁCTICA: Siempre se recomienda aplicar reglas de acceso a los grupos de titulares de tarjetas en lugar de a los titulares de tarjetas individuales. Por este motivo, se recomienda compartir los tarjetahabientes junto con sus grupos de tarjetahabientes principales. Si esto no es factible por algún motivo, le recomendamos que cree un grupo local de titulares de tarjetas para los titulares de tarjetas globales.

Reglas sobre campos personalizados globales y tipos de datos

  • Los campos personalizados y los tipos de datos definidos para las entidades globales se comparten automáticamente cuando se comparten las entidades globales.
  • Las definiciones de campos personalizados globales y tipos de datos no se pueden modificar en el huésped compartido.
  • Los campos personalizados globales y locales permanecen separados. Se diferencian por su propietario, que es el sistema que los define.
  • Las definiciones de tipo de datos y campos personalizados globales y locales no pueden tener los mismos nombres. El uso de los mismos nombres para campos personalizados o tipos de datos hace que falle la sincronización de los tarjetahabientes y las credenciales.
  • Los tipos de datos globales no se pueden usar para definir campos personalizados locales.
  • Se pueden modificar los valores de campos personalizados de las entidades globales en los huéspedes compartidos.
  • Los campos personalizados globales también se aplican a las entidades locales, pero sus valores siguen siendo locales.
  • Los campos personalizados locales también se aplican a las entidades globales, pero sus valores siguen siendo locales.
  • Cuando un sistema huésped deja de compartir una partición global, se eliminan todas las copias de las entidades globales compartidas y todos los valores de campos personalizados de las entidades locales.
MEJOR PRÁCTICA: Si va a implementar GCM dentro de su organización, le recomendamos que defina todos los campos personalizados y tipos de datos para entidades globales en el host compartido.

Reglas concernientes Federation™ y entidades globales

  • Si un host para compartir también federa su huésped compartido, solo se federan las entidades locales que pertenecen al huésped compartido. Las entidades que se comparten no están federadas en el host para compartir.
  • El host para compartir que también es un host de Federation™ no debería compartir las entidades que federa al agregarlas a una partición global, porque no es propietario de las entidades federadas. Una entidad solo puede ser compartida por su legítimo propietario. Para que las entidades federadas se compartan, el sistema federado debe ser un huésped compartido del host de Federation™. Esto otorga al host de Federation™ los derechos de compartir cualquiera de las entidades federadas.
  • Un invitado compartido que pasa a federar un tercer sistema no puede compartir sus entidades federadas con el host compartido, porque no es el propietario de las entidades federadas.
  • Si un invitado compartido está federado por otro sistema, sus entidades locales y globales aparecen como entidades federadas en el Federation™ anfitrión.

Reglas sobre Active Directory y entidades globales

  • Los titulares de tarjetas y los grupos de titulares de tarjetas importados de un Active Directory se pueden agregar a una partición global en el host compartido.
  • Los tarjetahabientes y grupos de tarjetahabientes importados desde un Active Directory que es local para el huésped compartido no se puede agregar a una partición global porque el Active Directory y el host para compartir no pueden ser ambos propietarios de los tarjetahabientes compartidos.
  • Los titulares de tarjetas globales y los grupos de titulares de tarjetas importados de un Active Directory solo deben modificarse a través del servicio de directorio que los posee.
PRECAUCIÓN:
Aunque es posible modificar los titulares de tarjetas globales y los grupos de titulares de tarjetas importados de un Active Directory en el invitado compartido, estos cambios son temporales. Pierde los cambios que realizó cuando el host compartido se sincroniza con Active Directory.
MEJOR PRÁCTICA: Si toda la entrada de datos de titulares de tarjetas debe estar centralizada, el sistema que importa titulares de tarjetas desde su Active Directory corporativo debe actuar como el host para compartir, y todas las modificaciones deben realizarse utilizando el servicio de directorio.