Los controles de acceso a los derechos disponibles en la Gestión de Derechos/Licencias proporcionan una forma muy flexible de gestionar los derechos en una organización que tiene usuarios con diferentes funciones y responsabilidades. Esta es una guía de las mejores prácticas recomendadas en torno a la gestión de derechos. Aunque es difícil dar una recomendación general que se ajuste a las necesidades de cada organización, hay un par de enfoques que describiremos aquí.
Hay dos casos comunes que las organizaciones pueden necesitar manejar:
Quieren limitar el acceso de determinados usuarios a una lista muy específica de aplicaciones.
O quieren limitar el uso de ciertas aplicaciones, posiblemente las que tienen costes de licencia más elevados, sólo al subconjunto de usuarios que están autorizados a utilizarlas.
La buena noticia es que los controles de acceso a través de la Gestión de Derechos/Licencias pueden manejar fácilmente estos casos. En las siguientes secciones se describe cómo lograr cada uno de ellos.
En primer lugar, será útil describir los derechos y cómo los diferentes niveles de control de acceso trabajan juntos.
Conceptos básicos de los derechos y los controles de acceso a los derechos
Derechos
Controles de acceso a los derechos
Más información sobre los grupos de derechos
Recomendaciones para casos comunes
Limitar usuarios específicos a una lista estricta de aplicaciones
Limitar el uso de determinadas aplicaciones sólo al subconjunto de usuarios que están autorizados a utilizarlas
Conceptos básicos sobre los derechos y los controles de acceso a los derechos
Derechos
En el Servicio de asignación de derechos de suscripción (SES), el término "derecho" se refiere simplemente a la autorización de un usuario para ejecutar una aplicación de Bentley. Estos derechos están disponibles para los usuarios de la organización en función de las obligaciones contractuales del programa comercial en el que participa la organización. Como los contratos se firman en países específicos, la lista de derechos está disponible en esos países. Nos referimos a un país en el que los derechos están disponibles como un "país con derechos".
Los usuarios se asocian a una organización y a un país con derechos a través de su registro en el Sistema de Gestión de Identidades (IMS) de Bentley. De forma predeterminada, los usuarios de la organización tienen acceso a todas las aplicaciones de Bentley con derecho a esa organización en su país de derecho.
Controles de acceso a los derechos
Los controles de acceso están disponibles para el administrador de licencias de la organización para ayudar a controlar a qué productos deben tener acceso los usuarios. El acceso se puede controlar en varios niveles.
Configuración de acceso predeterminada para todas las aplicaciones de un país de asignación de derechos
Ajustes de acceso a nivel de aplicación para un país de asignación de derechos
Ajustes de acceso de grupos de derechos
Ajustes de acceso a nivel de usuario.
Cuando un usuario solicita un derecho para ejecutar una aplicación, el SES evalúa las configuraciones de acceso desde el nivel de usuario ascendiendo por la jerarquía hasta que se encuentre una configuración de acceso que se aplique al usuario. Si existe una configuración de acceso para la aplicación para ese usuario específico en el nivel de usuario, esa será la configuración de acceso utilizada. Si no, SES buscará cualquier grupo al que esté asociado el usuario que incluya una configuración de control de acceso para la aplicación en cuestión.
Las configuraciones de acceso se heredan hacia abajo como una jerarquía y se evalúan desde la parte inferior (nivel de usuario) hasta la superior (nivel de organización) para buscar la configuración de acceso a la aplicación que se aplica al usuario. Lo siguiente debería ayudar a ilustrar el concepto.
Los grupos de derechos se crean y gestionan en la Gestión de Usuarios.
Para obtener más información sobre cómo crear y gestionar grupos de derechos, consulte Crear y gestionar grupos de derechos
Es importante tener en cuenta que los usuarios pueden estar en varios grupos de derechos. En estos casos, los derechos de un usuario se consideran acumulativos en todos sus grupos, por lo que si el usuario tiene permiso para utilizar una aplicación debido a la configuración de cualquiera de sus grupos, entonces tiene permiso para utilizar la aplicación.
Volviendo a la ilustración de la jerarquía de control de acceso, también vale la pena señalar la diferencia en el comportamiento de un grupo de derechos que está restringido a un conjunto específico de productos frente a uno que no está restringido, lo que significa que incluye todas las aplicaciones marcadas como permitidas para su uso en el país de los derechos más la lista definida en la lista de aplicaciones permitidas en el grupo. Esta diferencia de comportamiento se activa con la opción "Incluir aplicaciones permitidas de <país de asignación de derechos>" en el grupo de asignación de derechos.
Por defecto, los grupos de asignación de derechos se configuran como grupos restringidos con la lista de aplicaciones permitidas que define todas las aplicaciones a las que tienen acceso los usuarios del grupo.
Recomendaciones para casos comunes
Ahora, pasaremos a las recomendaciones para los casos comunes mencionados en la Introducción.
Limitar a determinados usuarios a una lista estricta de aplicaciones
En este caso, el requisito es limitar a ciertos usuarios a un conjunto específico de aplicaciones mientras que otros dentro de la organización tienen acceso a todas las aplicaciones. Esto puede ser común si ciertas oficinas dentro de la organización o ciertos contratistas sólo necesitan acceso a productos específicos.
El mejor enfoque para este caso es crear un grupo de derechos que incluya a esos usuarios y definir la lista de aplicaciones permitidas a las que el grupo tiene acceso.
Paso 1: Crear un grupo de asignación de derechos y asignar usuarios
Para crear un grupo de asignación de derechos, vaya a Gestión de usuarios - Grupos y seleccione Añadir grupo.
Consulte la sección Gestión de grupos para obtener más información.
Paso 2: Configurar los derechos
Vaya a Gestión de derechos\NGrupos de derechos.
Encuentre su nuevo grupo de derechos en la lista y haga clic en su nombre para gestionar los derechos del grupo.
En la pestaña Aplicaciones permitidas, busque y añada cada producto al que deban tener acceso los usuarios del grupo.
Asegúrese de que la opción "Incluir aplicaciones permitidas de <país de derechos>" permanece desactivada.
Hay que tener en cuenta un par de cosas sobre este método de uso de los grupos de derechos
Cualquier configuración de acceso a nivel de usuario configurada para los usuarios anulará cualquier configuración de grupo. Si sabe que ninguno de los usuarios del grupo tiene una configuración de control de acceso a nivel de usuario, esto no debería ser un problema.
Si no está seguro, lo mejor sería comprobar que los usuarios no tienen anulaciones específicas a nivel de usuario para cualquier producto al que no deberían tener acceso. Para comprobarlo, vaya a Gestión de Derechos \N - Acceso y Alertas y busque cada una de las aplicaciones del grupo. Para cada aplicación, haga clic en Acceso general y busque en la sección Excepciones. Si alguno de los usuarios del grupo tiene una excepción a nivel de usuario a un producto al que no debería tener acceso, elimine esa excepción.
La configuración del control de acceso sólo tendrá efecto cuando los usuarios actualicen su archivo de política local. Si alguno de los usuarios del grupo había solicitado previamente un derecho a la aplicación, entonces su archivo de política local puede mantener ese derecho válido durante algún tiempo.
Antes de que estos usuarios tengan restringido el acceso a cualquier producto que no esté permitido en el grupo de derechos, los usuarios deben tener un archivo de políticas actualizado. Esto ocurrirá automáticamente en un plazo de 4 horas si los usuarios han iniciado sesión en CONNECTION Client. También puede iniciarse una actualización manualmente abriendo Bentley Licensing Tool y yendo a Herramientas - Actualizar política.
Limitar el uso de ciertas aplicaciones sólo al subconjunto de usuarios que están autorizados a utilizarlas
En este caso, el requisito es permitir el acceso de ciertos productos a un grupo más pequeño de usuarios dentro de la organización. Estos usuarios deben tener acceso a todo lo que se permite utilizar desde el país de los derechos, además de las aplicaciones que se intentan controlar.
Paso 1: Crear un grupo de asignación de derechos y asignar usuarios
Para crear un grupo de asignación de derechos, vaya a Gestión de usuarios - Grupos y seleccione Añadir grupo.
Consulte la sección Gestión de grupos para obtener más información.
Paso 2: Configurar los derechos del grupo
Vaya a Gestión de derechos\NGrupos de derechos.
Busque su nuevo grupo de derechos en la lista y haga clic en su nombre para gestionar los derechos del grupo.
En la pestaña Aplicaciones permitidas, busque y añada cada producto al que deban tener acceso los usuarios del grupo.
Active la opción de "Incluir aplicaciones permitidas de <país de derechos>".
Paso 3: Desactivar el acceso a las aplicaciones para todos los demás
Vaya a Gestión de derechos - Acceso y alertas.
Nota: Asegúrese de que ha elegido el país de la asignación de derechos que está intentando editar.
Filtre la lista de aplicaciones para encontrar cada una de las aplicaciones añadidas al grupo de derechos.
Haga clic en Acceso general.
Cambie la configuración de acceso de la aplicación a Denegado.