Gestión de roles y permisos de usuario

Como Password Manager Pro (PMP) sirve como depósito para las contraseñas confidenciales, las restricciones de acceso detalladas son críticas para el uso seguro del producto. La solución proporciona control de acceso basado en roles para lograr esto.

De forma predeterminada, Password Manager Pro tiene cinco roles predefinidos que vienen con un conjunto específico de permisos

  • Los administradores instalan, configuran y administran la aplicación PMP. Los usuarios con este rol pueden gestionar todas las operaciones relacionadas con usuarios, recursos y contraseñas, así como acceder a registros e informes de auditoría. Sin embargo, solo pueden ver los recursos y las contraseñas que crearon y los que otros usuarios compartieron con ellos.
  • Los administradores de contraseñas pueden realizar operaciones relacionadas con recursos y contraseñas. Sin embargo, solo pueden ver los recursos y las contraseñas que crearon y los que otros usuarios compartieron con ellos.
  • Los administradores privilegiados tienen los mismos privilegios que un administrador. Además, también tienen el privilegio de configurar los controles de privacidad y seguridad disponibles en Configuración de privacidad, Restricciones de IP y Medidas de emergencia.
  • Los usuarios de contraseñas solo pueden ver las contraseñas que comparten con ellos los administradores y/o los administradores de contraseñas. Además, los usuarios con este rol pueden modificar las contraseñas compartidas con ellos, si el permiso de uso compartido les otorga ese privilegio.
  • Los auditores de contraseñas tienen los mismos privilegios que los usuarios de contraseñas. Además, tienen acceso a registros e informes de auditoría.

Papel

Operaciones

Administrar usuarios

Administrar recursos

Administrar contraseñas

Ver contraseñas

Gestión de contraseñas personales

Ver auditoría e informes

Controles de privacidad y seguridad

Administrador

Administrador de contraseñas

Administrador privilegiado

Contraseña Usuario

Auditor de contraseñas

Independientemente del rol, las contraseñas personales siguen siendo exclusivas del usuario individual y otros usuarios no tienen control sobre ellas.


Nota: Un administrador/administrador de contraseña/administrador privilegiado se puede convertir en superadministrador. Un superadministrador tendrá el privilegio de ver y administrar todos los recursos almacenados en PMP, independientemente de qué usuario haya agregado el recurso. Por razones de seguridad, un usuario puede convertirse en superadministrador solo por otros administradores de PMP. Para conocer los pasos sobre cómo crear un rol de superadministrador, haga clic aquí )


Funciones personalizadas

(Característica disponible solo en Enterprise Edition)

Además de las funciones predefinidas en Password Manager Pro, el administrador también puede crear funciones personalizadas para sus usuarios. La opción de personalización de roles le permite crear un nuevo rol desde cero, seleccionando las opciones deseadas de la lista de más de 100 operaciones disponibles en PMP. Como medida de seguridad adicional, se aplican controles duales para la creación de funciones personalizadas. Cualquier nuevo rol personalizado agregado por un administrador debe ser aprobado por otro administrador.

  1. Agregar funciones personalizadas
  2. Filtro de roles
  3. Cambiar roles para usuarios
  4. Editar/eliminar funciones personalizadas

Agregar funciones personalizadas

Para agregar un nuevo rol 'personalizado', siga los pasos que se detallan a continuación:

  • Vaya a Admin-->Personalización-->Roles .
  • En la GUI de funciones, haga clic en Agregar función . Se abrirá una nueva ventana GUI. En él, ingrese un nombre para el nuevo rol que desea crear, así como una descripción, según su necesidad.
  • Al crear un nuevo rol desde cero, se debe definir el alcance del rol en cuanto a lo que este rol puede y no puede hacer en PMP. Este es el siguiente paso, es decir, definir el alcance del rol seleccionando las opciones deseadas de la lista de operaciones disponibles. Estas operaciones se clasifican en diferentes secciones, como Contraseña, Usuarios, Organización y más (como se muestra en la columna del lado izquierdo de la GUI).

Elija las operaciones requeridas según sus requisitos. Para una mejor comprensión, aquí hay dos ejemplos de funciones personalizadas y la lista de operaciones que deben seleccionarse para cada ejemplo:

1. Un rol para la adición de recursos y el restablecimiento de contraseña : este rol es perfecto para un técnico junior que mantiene un puñado de recursos en su organización. Con esta función, los técnicos pueden agregar recursos/cuentas desde su extremo, modificar o eliminar recursos propios, restablecer contraseñas y conectarse al recurso a través de PMP. Las operaciones básicas que se seleccionarán para este tipo de rol incluyen,

  1. Contraseña
    1. Recurso
      1. Ver pestaña de Recursos
      2. Agregar manualmente
      3. Editar
      4. Borrar
      5. Reporte
    2. Cuenta
      1. Ver cuentas en la pestaña de recursos
      2. Agregar manualmente
      3. Editar
      4. Borrar
      5. Muevete
    3. Restablecimiento de contraseña
      1. Contraseña Verificar para una cuenta
      2. Restablecimiento de contraseña local
      3. Restablecimiento remoto de contraseña
  2. Acceso remoto
    1. Acceso remoto
      1. Permitir al usuario conectarse a una máquina remota
      2. Mostrar pestaña de inicio de sesión automático
      3. Permitir que el usuario use la función de marcadores
  3. Ajustes personalizados
    1. Ajustes personalizados
      1. Exportar contraseñas
      2. Permitir que los usuarios administren sus contraseñas personales

2. Función de administración de usuarios : si desea crear una función con el único propósito de administrar usuarios, como agregar nuevos usuarios en PMP, editar/eliminar perfiles de usuarios, cambiar funciones y transferir recursos entre usuarios, estas son las operaciones básicas que debe seleccionarse de la lista:

  1. Usuarios
    1. Administrar usuarios web
      1. Agregar usuarios manualmente
      2. Importar desde AD
      3. Importar desde LDAP
      4. Importar desde Azure AD
      5. Importar desde archivo
      6. Editar
      7. Borrar
    2. Administrar usuarios de API
    3. Cambiar roles de usuario
    4. Transferir recursos propiedad de un usuario
    5. Informe de usuario
  2. Protocolos de autenticación de usuarios
    1. Administrar directorio activo
    2. Administrar Azure AD
    3. Administrar la autenticación RADIUS
    4. Administrar la autenticación de dos factores
    5. Administrar LDAP
    6. Administrar el inicio de sesión único de SAML
    7. Administrar autenticación de tarjeta inteligente
    8. Administre el acceso a través del agente de usuario (complemento del navegador/aplicación móvil)
  3. Grupos de Usuarios
    1. Agregar
    2. Agregar/Eliminar usuarios a/de un grupo de usuarios
    3. Informe de grupo de usuarios
    4. Borrar
    5. Administrar la configuración del grupo de usuarios

Además de los ejemplos anteriores, puede personalizar cualquier rol de acuerdo con las necesidades de su empresa con la elección adecuada de operaciones.

Paso opcional Sin embargo, si no desea crear un nuevo rol desde cero, puede seleccionar cualquiera de los roles predefinidos de PMP o roles personalizados creados anteriormente como plantilla básica para el nuevo rol en la opción Usar este rol como plantilla. Una vez que seleccione una función como plantilla del menú desplegable, los niveles de permisos preestablecidos para esa función se aplicarán a la nueva función.


Nota: Preguntas frecuentes

1. Pocas operaciones están marcadas con un icono de varita mágica. ¿Qué significa eso?

Las opciones que van seguidas de una varita mágica denotan aquellas que califican como una operación de administrador. Un rol personalizado creado incluso con una de estas operaciones marcadas con wand se considera un rol equivalente a un Administrador. Puede crear tantos roles personalizados como desee con operaciones marcadas con varita mágica, pero el rol se contará para la licencia solo cuando se asigne a un usuario en PMP. Por ejemplo, si su licencia le permite tener 10 administradores y tiene una función personalizada con una o más de las operaciones marcadas con la varita mágica, la asignación de esta función a un usuario se contará como 1 de las 10 licencias asignadas para su instalación de Password Manager Pro.

2. ¿Quién puede crear funciones personalizadas en Password Manager Pro?

Básicamente, la creación de roles personalizados es una operación administrativa. Entre los roles predefinidos de PMP, solo los administradores, los administradores privilegiados y el superadministrador (si ha creado uno) tienen el privilegio de crear roles personalizados. Aparte de eso, también puede autorizar una función personalizada con privilegios para crear futuras funciones personalizadas, seleccionando las opciones "Crear funciones personalizadas" en Configuración personalizada. (Consulte la imagen de abajo)

  • Además, si desea que este nuevo rol tenga el privilegio de convertirse en superadministrador, marque la casilla Habilitar capacidades de superadministrador para este rol . Habilitar esta opción permite que los usuarios a los que se les asigna esta función se conviertan en superadministradores en el momento de la creación del usuario.
  • Después de completar todos los pasos explicados anteriormente, haga clic en Vista previa y Guardar . Se abrirá un cuadro de vista previa que enumera las operaciones que ha elegido para el rol. Verifique y haga clic en Guardar . El nuevo rol se creará y se pondrá en cola para su aprobación por parte de otro administrador. Para ver los roles que están pendientes de aprobación, haga clic en Solicitudes de roles .
  • Una vez que se revisa y aprueba el rol, puede comenzar a asignarlo a los usuarios deseados. Para saber cómo agregar nuevos usuarios y asignarles funciones, haga clic aquí .

Filtro de roles

La opción de filtro de roles le permite elegir la lista de roles que deben mostrarse en el campo Nivel de acceso en la GUI Agregar usuario. Con el filtro de funciones, puede restringir las funciones que deben asignarse a los usuarios que se han agregado recientemente o han cambiado funciones.

Para habilitar el filtro de roles

  • Vaya a Admin-->Roles-->Filtro de roles . Marque la casilla Habilitar filtro de roles .
  • Ahora, puede decidir qué roles deben habilitarse/deshabilitarse y clasificarlos en las casillas respectivas. Solo los roles en el cuadro Habilitado se mostrarán durante la adición de nuevos usuarios o los cambios de roles. Una vez que haya terminado, haga clic en Guardar . Se aplicará el filtro de roles.

Cambiar roles para usuarios

Puede cambiar fácilmente los roles asignados para diferentes usuarios de forma masiva, siguiendo los pasos que se detallan a continuación.

  • Vaya a Admin-->Roles-->Cambiar roles .
  • En la nueva ventana GUI que se abre, si desea ver primero la lista de todos los usuarios que pertenecen a un rol específico, use el filtro sobre la tabla para elegir el rol. Se mostrarán los usuarios asociados a ese rol. Seleccione los usuarios cuyo rol debe cambiarse.
  • Ahora, elija la función que debe asignarse a los usuarios seleccionados y haga clic en Cambiar función.

Editar/eliminar funciones personalizadas

  • Para editar/modificar cualquier función personalizada, haga clic en el icono Editar junto a la función en particular y realice los cambios necesarios. Luego, haga clic en Vista previa y Guardar . Verifique las ediciones y haga clic en Guardar . Las ediciones también, antes de aplicarse al rol, se pondrán en cola para su aprobación por parte de otro administrador. Las ediciones pendientes de aprobación para una función se pueden ver haciendo clic en la opción [Esperando aprobación] disponible junto a la función específica. En la imagen a continuación, el rojo indica operaciones que se han eliminado y el azul indica operaciones que se han agregado al rol.
  • Para eliminar un rol, haga clic en el icono Eliminar . Antes de la eliminación, se le pedirá que transfiera los usuarios asociados con el rol particular a otro. Después de asignar los usuarios a otro rol, haga clic en Guardar y eliminar .

Nota: Preguntas frecuentes

No puedo eliminar un rol personalizado. ¿Por qué?

Hay dos casos en los que un rol no se puede eliminar de inmediato:

  1. Considere que desea eliminar un rol de tipo de usuario. Tiene 5 usuarios asociados con este rol, que deben transferirse a otro rol antes de eliminarlos. La función que elija para la transferencia puede ser una función de tipo usuario o incluso una función de tipo administrador, siempre que tenga suficientes licencias de administrador. Sin embargo, si no le quedan licencias de administrador, no podrá transferir los usuarios de una función de tipo usuario a una función de tipo administrador. Además, si no tiene un rol de tipo de usuario existente para transferir los usuarios asociados, PMP no le permitirá eliminar el rol seleccionado. En tales casos, debe crear un nuevo rol personalizado de tipo de usuario o comprar licencias adicionales.
  2. Otro escenario puede deberse a los filtros de roles. Supongamos que ha activado la configuración del filtro de roles y deshabilitado todos los roles de tipo de usuario existentes en el filtro. Ahora, cuando intente eliminar un rol de tipo usuario, podrá transferir los usuarios asociados solo a un rol de tipo administrador debido al filtro. Sin embargo, si no le quedan licencias de administrador, no puede completar la transferencia ni eliminar el rol. En tales casos, debe habilitar al menos un rol de tipo de usuario en la configuración del filtro de roles o comprar licencias adicionales.

Lista de operaciones que requieren una licencia de administrador

Categoría de rol: Contraseña
  1. Recurso
  2. Cuenta
    • Descubrir
    • personalizar
  3. Restablecimiento de contraseña
  4. grupo de recursos
    • Agregar
    • Borrar
    • Transferir
    • Editar
    • Generar informes
  5. Control de acceso
    • Configurar
    • Aprobar solicitudes de acceso con contraseña
  6. Compartir contraseñas
    • Compartir cuentas (Con usuarios y grupos de usuarios)
    • Compartir recursos (Con usuarios y grupos de usuarios)
    • Compartir grupos de recursos (Con usuarios y grupos de usuarios)
Categoría de rol: Usuarios
  1. Usuarios
  2. Protocolos de autenticación de usuarios
  3. Grupos de Usuarios
    • Agregar
    • Modificar un grupo existente
    • Borrar
    • Administrar la configuración del grupo de usuarios
    • Generar informes
Categoría de rol: Organización (aplicable solo para la edición MSP)

Todas las operaciones especificadas en esta categoría requieren una licencia de administrador.


Categoría de rol: acceso remoto
  1. Acceso remoto
  2. sesión remota
Categoría de rol: generar informes Categoría de rol: configuración de PMP Categoría de rol: configuración personalizada

©2014, ZOHO Corp. Todos los derechos reservados.

Cima