Puede crear grupos, agregar miembros a grupos y crear reglas de grupo. A continuación, puede rellenar los grupos en función de las reglas que defina.
Use los grupos para autorizar varios usuarios en los mismos recursos al mismo tiempo, en lugar de autorizar cada usuario individualmente. Un usuario puede pertenecer a varios grupos. Por ejemplo, si se crea un grupo Ventas y un grupo Dirección, un director de ventas puede pertenecer a ambos grupos.
Puede especificar las opciones de directivas que se aplican a los miembros de un grupo. Los usuarios de los grupos se definen según las reglas que establece para un atributo de usuario. Si un valor del atributo de usuario cambia del valor definido de la regla de grupo, el usuario se elimina del grupo.
Procedimiento
- En la consola de VMware Identity Manager, dentro de la pestaña Usuarios y grupos, haga clic en Grupos.
- Haga clic en Agregar grupo.
- Introduzca un nombre de grupo y una descripción. Haga clic en Siguiente.
- Agregue autorizaciones al grupo. Para agregar usuarios al grupo, introduzca algunas letras del nombre de usuario. A medida que introduzca texto, verá los nombres coincidentes.
- Seleccione el nombre de usuario y haga clic en +Agregar usuario.
Continúe para agregar miembros al grupo.
- Después de agregarlos, haga clic en Siguiente.
- En la página Reglas del grupo, seleccione cómo se concede la pertenencia al grupo. En el menú desplegable, seleccione cualquiera o todo.
Opción
Acción
Cualquiera
Concede la pertenencia a un grupo cuando se cumple cualquiera de las condiciones de pertenencia a grupos. Esta acción funciona como una condición O. Por ejemplo, si selecciona Cualquiera para las reglas Grupo Es Ventas y Grupo Es Marketing, se concederá la pertenencia a este grupo al personal de ventas y marketing.
Todo
Concede la pertenencia a un grupo cuando se cumplen todas las condiciones de pertenencia a grupos. Esta acción funciona como una condición Y. Por ejemplo, si selecciona Todos los que hay a continuación para las reglas Grupo Es Ventas y Correo electrónico Empieza por 'western_region', solo se concederá la pertenencia a este grupo al personal de ventas de la región occidental. La pertenencia no se concederá al personal de ventas de otras regiones.
- Configure una o más reglas para el grupo. También puede anidar reglas.
Opción
Descripción
Atributo
Seleccione uno de estos atributos en el menú desplegable de la primera columna. Seleccione Grupo para agregar un grupo existente al que está creando. Puede agregar otros tipos de atributos para administrar los usuarios de los grupos que son miembros del que creó.
Reglas de atributos
Las siguientes reglas están disponibles dependiendo del atributo que seleccionó.
Con es puede seleccionar un grupo o un directorio que se asocie a este grupo. Escriba un nombre en el cuadro de texto. Al escribir, aparecerá una lista de grupos o directorios disponibles.
Con no es puede seleccionar el grupo o el directorio que desea excluir. Escriba un nombre en el cuadro de texto. Al escribir, aparecerá una lista de grupos o directorios disponibles.
Seleccione coincide para conceder la pertenencia a un grupo a las entradas que coincidan exactamente con los criterios introducidos. Por ejemplo, su organización podría contar con un departamento de viajes de empresa que comparte un número de teléfono central. Si desea conceder acceso a una aplicación de reserva de viajes a todos los empleados que compartan dicho número de teléfono, cree una regla como Teléfono coincide (555) 555-1000.
Seleccione no coincide para conceder la pertenencia a un grupo a todas las entradas de servidor del directorio, excepto las que coincidan con los criterios introducidos. Por ejemplo, si uno de sus departamentos comparte un número de teléfono central, puede excluir dicho departamento del acceso a una aplicación de red social mediante la creación de una regla como Teléfono no coincide (555) 555-2000. Las entradas de servidor del directorio con otros números de teléfono tendrán acceso a la aplicación.
Seleccione empieza por para conceder la pertenencia a un grupo a las entradas de servidor del directorio que empiecen con los criterios introducidos. Por ejemplo, las direcciones de correo electrónico de la organización podrían empezar por el nombre del departamento, como en [email protected]. Si desea conceder acceso a una aplicación a todo su personal de ventas, puede crear una regla, como correo electrónico empieza por ventas_.
Seleccione no empieza por para conceder la pertenencia a un grupo a todas las entradas de servidor del directorio, excepto las que empiecen con los criterios introducidos. Por ejemplo, si las direcciones de correo electrónico de su departamento de recursos humanos tienen el formato [email protected], puede configurar una regla para denegar el acceso a una aplicación como, por ejemplo, correo electrónico no empieza por rrhh_. Las entradas de servidor del directorio con otras direcciones de correo electrónico tendrán acceso a la aplicación.
Usar atributos Cualquiera y Todo
(Opcional) Para incluir los atributos Cualquiera y Todo como parte de las reglas de grupo, agregue esta regla la última.
Seleccione Cualquiera para conceder la pertenencia a un grupo cuando, para esta regla, se cumple cualquiera de las condiciones de pertenencia a grupos. Al utilizar el atributo Cualquiera se anidan reglas. Por ejemplo, puede crear una regla que sea Todos los que hay a continuación: Grupo Es Ventas; Grupo Es California. Para Grupo Es California, Cualquiera de los siguientes: Teléfono empieza por 415; Teléfono empieza por 510. El miembro del grupo debe pertenecer al personal de ventas de California y tener un número de teléfono que empiece por 415 o 510.
Seleccione Todo si desea que se cumplan todas las condiciones para esta regla. Esta es una forma de anidar reglas. Por ejemplo, puede crear una regla que sea Cualquiera de los siguientes: Grupo Es Administradores; Grupo Es Atención al cliente. Para Grupo Es Atención al cliente, todos los que se especifican a continuación: Correo electrónico empieza por ac_; Teléfono empieza por 555. Los miembros del grupo pueden ser administradores o representantes del servicio de atención al cliente, pero estos últimos deben tener un correo electrónico que empiece por ac y un número de teléfono que empiece por 555.
- (Opcional) Para excluir usuarios específicos, introduzca un nombre de usuario en la casilla de texto y haga clic en Excluir usuario.
- Haga clic en Siguiente y revise la información del grupo. Haga clic en Crear grupo.
Qué hacer a continuación
Agregue los recursos para cuyo uso está autorizado el grupo.