Para facilitar la gestión de la base de datos y garantizar la seguridad, el acceso a WebSphere Commerce debe restringirse a personas y organizaciones específicas. El proceso de restricción de acceso se denomina control de acceso o autorización. El control de acceso puede definirse como las directrices de seguridad que:
- Permiten o niegan a un usuario de un sistema el acceso a los recursos gestionados por un sistema.
- Especifican qué acciones puede realizar el usuario en cada recurso.
El modelo de control de acceso de WebSphere Commerce se basa en la imposición de políticas de control de acceso. Las políticas de control de acceso las impone el Gestor de políticas de control de acceso. En general, cuando un usuario intenta realizar una acción en un recurso protegido, el gestor de políticas de control de acceso determina primero qué políticas de control de acceso son aplicables para dicho recurso y, a continuación, basándose en las políticas de control de acceso aplicables, determina si se permite al usuario realizar la acción solicitada en el recurso en concreto.
El Administrador de sitio gestiona las políticas de control de acceso que se aplican a un sitio entero y puede gestionar las políticas de control de acceso que se aplican a una tienda. Para obtener más información sobre cómo gestionar políticas de control de acceso, consulte la publicación WebSphere Commerce, Guía de seguridad.
Grupos de políticas de control de acceso
Organizaciones diferentes de un sitio de comercio electrónico necesitan conjuntos diferentes de políticas de control de acceso. Por ejemplo, una organización vendedora necesitará políticas relacionadas con las compras, mientras que una organización compradora no las necesitará. Para satisfacer este tipo de requisito, en WebSphere Commerce, las políticas de control de acceso se dividen en grupos de políticas de control de acceso. Para que se aplique una política de control de acceso en el sitio, dicha política debe pertenecer a un grupo de políticas de control de acceso. Entonces, basándose en el negocio y los requisitos de control de acceso, las organizaciones se suscriben a los grupos de políticas de control de acceso apropiados. El Administrador de sitio puede Subscribirse a grupos de política de control de acceso utilizando la Consola de administración.
Políticas de control de acceso
Una política de control de acceso autoriza a un grupo de usuarios a realizar acciones concretas en un grupo de recursos de WebSphere Commerce. A no ser que estén autorizados mediante una o más políticas de control de acceso, los usuarios no tienen acceso a ninguna función. Las políticas de control de acceso otorgan la autorización a un grupo específico de usuarios para realizar acciones determinadas en los recursos de un grupo de recursos especificado.
Una política de control de acceso consta de cuatro partes:
- Grupo de acceso: Grupo de usuarios a los que se aplica la política.
- Grupo de acciones: Grupo de acciones.
- Grupo de recursos: Recursos controlados por la política. Un grupo de recursos puede incluir objetos de negocio, por ejemplo un "contrato" o "pedido" o un conjunto de mandatos relacionados.
- Relación (opcional): Cada tipo de recurso puede tener un conjunto de relaciones asociadas a él. Cada recurso puede tener un conjunto de usuarios que satisface cada relación.
Nota: A un usuario que pertenece a un grupo de acceso específico se le permite realizar acciones del grupo de acciones especificado en los recursos que pertenecen al grupo de recursos especificado, a condición de que el usuario satisfaga una relación determinada en lo que concierne al recurso.
Los Administradores de sitio examinan las políticas de control de acceso para el sitio entero. WebSphere Commerce se entrega con dos conjuntos de políticas de control de acceso por omisión que se pueden utilizar tal como se proporcionan o personalizándolas. Las políticas de control de acceso por omisión son:
- Políticas estándares agrupables (política de tipo -2)
- Políticas de plantilla agrupables (política de tipo -3)
Tanto las políticas estándares agrupables como las políticas de plantilla agrupables deben pertenecer a un grupo de políticas para poderse aplicar en el sistema. Una política estándar agrupable se aplica, una sola vez, en las organizaciones que se suscriben a un grupo de políticas que contiene una política.
Las políticas de plantilla agrupables son dinámicas por naturaleza en el sentido que tienen un grupo de acceso que está en el ámbito, cuando el sistema está en ejecución, de la organización que es propietaria del recurso. Por ejemplo, cuando se aplica este tipo de política a un recurso que es propiedad de la Organización XYZ, se comprobará si el usuario desempeña uno de los roles especificados para la Organización XYZ o sus predecesoras.
Un Administrador de sitio puede realizar las tareas siguientes en la Consola de administración:
- Ver políticas de control de acceso
- Actualizar una política de control de acceso
- Suprimir una política de control de acceso
Recursos y grupos de recursos
Los recursos son los objetos del sistema que deben protegerse. Por ejemplo, RFQ, subastas, usuarios y pedidos son algunos de los recursos de WebSphere Commerce que deben protegerse. Cada recurso tiene un propietario. La propiedad del recurso puede utilizarse para determinar las políticas de control de acceso que se le aplican.
Un grupo de recursos identifica un conjunto de recursos relacionados. Un grupo de recursos puede incluir objetos de negocio, por ejemplo un contrato o un conjunto de mandatos relacionados. En control de acceso, los grupos de recursos especifican los recursos a los que la política de control de acceso autoriza el acceso. Los grupos de recursos pueden ser explícitos o implícitos.
- Grupos de recursos implícitos que coinciden con un determinado conjunto de atributos, por ejemplo "usuarios del departamento abc", "directores", "compradores", o el nombre de clase Java de los recursos.
- Grupos de recursos explícitos que se identifican por nombre.
La adición implícita de recursos a un grupo, especificando sus atributos, facilita la autorización de acceso a numerosos recursos sin tener que especificar cada recurso. También evita la necesidad de añadir o suprimir recursos cuando se producen cambios de recurso.
La adición explícita de un recurso a un grupo, listando su nombre, le permite agrupar recursos individuales que puede que no compartan necesariamente atributos comunes.
Nota: Los recursos y grupos de recursos son propiedad de la organización raíz. Otras organizaciones no pueden poseer recursos ni grupos de recursos. Las RFQ no están disponibles en WebSphere Commerce Professional Edition.
Un Administrador de sitio puede realizar las tareas siguientes en la Consola de administración:
Categoría de recursos
Una categoría de recursos hace referencia a una clase de recursos. Las categorías de recursos son clases Java, por ejemplo Order, RFQ (Solicitud de presupuesto) y Auction. Los recursos son las instancias de estas clases. Por ejemplo, Auction1 creado por el Administrador de subastas A es un recurso; Auction2 creado por el Administrador de subastas B es otro recurso. Estos dos recursos pertenecen a la categoría de recursos Auction. Todos los recursos utilizados por los componentes de WebSphere Commerce se registran en la tabla ACRESCGRY.
Relaciones de recurso
Todos los recursos tienen algún tipo de relación asociada y un conjunto de miembros que satisfacen esa relación. Por ejemplo, todos los recursos tienen una relación de "propietario," que la satisface el propietario del recurso. Otras relaciones pueden incluir los destinatarios de documentos y los proveedores de entradas de catálogo. Estas relaciones de recurso son importantes al determinar quién puede realizar determinadas acciones en una instancia concreta de un recurso. Por ejemplo, es posible que el creador de un documento no pueda suprimirlo, pero quizá sí lo pueda suprimir un auditor. De forma similar, es posible que un revisor sólo pueda leer y aprobar un documento, pero no enviarlo ni realizar otras operaciones.
Acciones y grupos de acciones
Las acciones son un conjunto de operaciones que los usuarios pueden llevar a cabo en los recursos. Normalmente, las acciones se correlacionan con mandatos de WebSphere Commerce. Si el grupo de recursos es un objeto de negocio como, por ejemplo, un contrato, la acción puede ser "crear" o "aprobar". En WebSphere Commerce, cuando se aplican mandatos a otros recursos, los mandatos se convierten en acciones. Por ejemplo, el mandato UserProfileUpdate puede aplicarse, como una acción, al perfil de usuario.
Los grupos de acciones son grupos de acciones relacionadas. Un ejemplo de un grupo de acciones es el grupo AccountManage, que incluye los mandatos siguientes:
- com.ibm.commerce.account.commands.AccountDeleteCmd
- com.ibm.commerce.account.commands.AccountSaveCmd
Un Administrador de sitio puede realizar las tareas siguientes en la Consola de administración:
Para obtener más información sobre el control de acceso y las tareas realizadas fuera de la Consola de administración, consulte la publicación WebSphere Commerce, Guía de seguridad.