Administración de usuarios
Es posible crear, editar y eliminar usuarios en el dominio de seguridad nativo. No puede eliminar ni modificar las propiedades de las cuentas de usuario en los dominios de seguridad de LDAP. No puede modificar las asignaciones de usuarios a grupos de LDAP.
Puede asignar funciones, permisos y privilegios a una cuenta de usuario en el dominio de seguridad nativo o en un dominio de seguridad de LDAP. Las funciones, los permisos y los privilegios asignados al usuario determinan las tareas que el usuario puede realizar en el dominio de Informatica.
También puede desbloquear una cuenta de usuario.
Cómo crear usuarios nativos
En la ficha Seguridad, puede añadir, editar o eliminar usuarios nativos.
1. En la herramienta Administrator, haga clic en la ficha Seguridad.
2. En el menú Acciones de seguridad, haga clic en Crear usuario.
3. Introduzca la siguiente información para el usuario:
Propiedad | Descripción |
|---|
Nombre de inicio de sesión | Nombre de inicio de sesión de la cuenta de usuario. El nombre de inicio de sesión de la cuenta de usuario debe ser único dentro del dominio de seguridad al que pertenece. La distinción entre mayúsculas y minúsculas no se aplica a este nombre, el cual no puede contener más de 128 caracteres. Además, este nombre no puede incluir tabulaciones, caracteres de nueva línea ni los siguientes caracteres especiales: , + " \ < > ; / * % ? & Este nombre puede incluir un carácter de espacio ASCII, excepto en el caso de los caracteres primero y último. Los demás caracteres de espacio no están permitidos. Nota: Data Analyzer utiliza el nombre y el dominio de seguridad de la cuenta de usuario con el formato UserName@SecurityDomain para determinar la longitud del nombre de inicio de sesión del usuario. La combinación del nombre de usuario, el símbolo @ y el dominio de seguridad no puede exceder la longitud de 128 caracteres. |
Contraseña | Contraseña de la cuenta de usuario. La contraseña puede contener entre 1 y 80 caracteres. |
Confirmar contraseña | Vuelva a especificar la contraseña para confirmarla. Es necesario que vuelva a introducir la contraseña. No copie y pegue la contraseña. |
Nombre completo | Nombre completo de la cuenta de usuario. El nombre completo no puede incluir los siguientes caracteres especiales: < > “ Nota: En Data Analyzer, la propiedad del nombre completo es equivalente a tres propiedades independientes denominadas nombre, segundo nombre y apellidos. |
Descripción | Descripción de la cuenta de usuario. La descripción no puede exceder 765 caracteres ni incluir los siguientes caracteres especiales: < > “ |
Correo electrónico | Dirección de correo electrónico del usuario. La dirección de correo electrónico no puede incluir los siguientes caracteres especiales: < > “ Escriba la dirección de correo electrónico con el formato UserName@Domain. |
Teléfono | Número de teléfono del usuario. El número de teléfono no puede incluir los siguientes caracteres especiales: < > “ |
4. Haga clic en Aceptar para guardar la cuenta de usuario.
Después de crear una cuenta de usuario, en el panel de detalles aparecen las propiedades de la cuenta de usuario y los grupos a los que está asignado el usuario.
Cómo editar las propiedades generales de usuarios nativos
No puede cambiar el nombre que un usuario nativo emplea para iniciar sesión. Sí puede cambiar la contraseña y otros detalles de la cuenta de un usuario nativo.
1. En Administrator Tool, haga clic en la ficha Seguridad.
2. En la sección Usuarios del navegador, seleccione una cuenta de usuario nativo y haga clic en Editar.
3. Para cambiar la contraseña, seleccione Cambiar contraseña.
En la ficha Seguridad, aparecen vacíos los campos Contraseña y Confirmar contraseña.
4. Escriba una nueva contraseña y confirme.
5. Puede modificar el nombre completo, la descripción, el correo electrónico y el teléfono según sea necesario.
6. Haga clic en Aceptar para aplicar los cambios.
Asignar usuarios nativos a grupos nativos
Asigne usuarios nativos a grupos nativos en la ficha Seguridad.
1. En Administrator Tool, haga clic en la ficha Seguridad.
2. En la sección Usuarios del navegador, seleccione una cuenta de usuario nativo y haga clic en Editar.
3. Haga clic en la ficha Grupos.
4. Para asignar un usuario nativo a un grupo, seleccione un nombre de grupo en la columna Todos los grupos y haga clic en Añadir.
Si no se muestran los grupos anidados en la columna Todos los grupos, expanda cada grupo para mostrar todos los grupos anidados.
Puede asignar un usuario nativo a más de un grupo. Use la tecla Ctrl o Mayús para seleccionar varios grupos al mismo tiempo.
5. Para quitar un usuario nativo de un grupo, seleccione un grupo en la columna Grupos asignados y haga clic en Quitar.
6. Haga clic en Aceptar para guardar las asignaciones de grupos.
Asignar usuarios de LDAP a grupos nativos
Puede asignar cuentas de usuario de LDAP a grupos nativos. No puede cambiar la asignación de las cuentas de usuario de LDAP a los grupos de LDAP.
1. En Administrator Tool, haga clic en la ficha Seguridad.
2. En la sección Grupos del navegador, seleccione un grupo nativo y haga clic en Editar.
3. Haga clic en la ficha Usuarios.
4. Para asignar un usuario de LDAP a un grupo, seleccione un usuario de LDAP en la columna Todos los usuarios y haga clic en Añadir.
5. Para quitar un usuario de LDAP de un grupo, seleccione un usuario de LDAP en la columna Usuarios asignados y haga clic en Quitar.
6. Haga clic en Aceptar para guardar las asignaciones de usuarios.
Cómo habilitar y deshabilitar cuentas de usuario
Los usuarios con cuentas activas pueden iniciar sesión en las aplicaciones cliente y realizar tareas en función de sus permisos y privilegios. Si no desea que los usuarios accedan a las aplicaciones cliente temporalmente, puede deshabilitar sus cuentas. Puede habilitar o deshabilitar las cuentas de usuario en un dominio de seguridad nativo o de LDAP. Cuando deshabilite una cuenta de usuario, éste no podrá iniciar sesión en las aplicaciones cliente.
Para deshabilitar una cuenta de usuario, selecciónela en la sección Usuarios del navegador y haga clic en Deshabilitar. Cuando seleccione una cuenta de usuario deshabilitada, la ficha Seguridad mostrará un mensaje para indicar que la cuenta de usuario está deshabilitada. Cuando una cuenta de usuario está deshabilitada, el botón Habilitar estará disponible. Para habilitar la cuenta de usuario, haga clic en Habilitar.
La cuenta de administrador predeterminada no se puede deshabilitar.
Nota: Cuando el administrador del servicio importa una cuenta de usuario desde el servicio de directorio de LDAP, no importa el atributo LDAP que indica si una cuenta de usuario está habilitada o deshabilitada. El administrador del servicio importa todas las cuentas de usuario como habilitadas. Debe deshabilitar una cuenta de usuario LDAP en la herramienta Administrator si no desea que el usuario acceda a las aplicaciones cliente. Durante la posterior sincronización con el servidor LDAP, la cuenta de usuario conserva el estado habilitado o deshabilitado establecido en la herramienta Administrator.
Cómo eliminar usuarios nativos
Para eliminar una cuenta de usuario nativo, haga clic con el botón derecho sobre el nombre de la cuenta de usuario, en la sección Usuarios del navegador, y seleccione Eliminar usuario. Confirme que desea eliminar la cuenta de usuario.
No se puede eliminar la cuenta del administrador predeterminado. Si inicia sesión en Administrator Tool, no puede eliminar su propia cuenta de usuario.
Cómo eliminar usuarios de PowerCenter
Si elimina un usuario que posee objetos en el repositorio de PowerCenter, estará eliminando toda propiedad que el usuario tenga sobre carpetas, objetos de conexión, grupos de implementación, etiquetas o consultas. Después de eliminar un usuario, el administrador predeterminado se convierte en el propietario de todos los objetos que pertenecían al usuario eliminado.
Si revisa el historial de un objeto con versiones que antes perteneció a un usuario eliminado, verá el nombre del usuario eliminado acompañado de la palabra "eliminado".
Cómo eliminar usuarios de Data Analyzer
Al eliminar un usuario, Data Analyzer elimina las alertas, las cuentas de correo electrónico de las alertas y los paneles y las carpetas personales asociados con el usuario.
Data Analyzer elimina todos los informes a los que se suscribe un usuario en función del perfil de seguridad del informe. Data Analyzer conserva un perfil de seguridad para cada usuario que se suscribe al informe. Un informe que utiliza la seguridad basada en usuarios usa el perfil de seguridad del usuario que accede al informe. Un informe que utiliza la seguridad basada en el proveedor usa el perfil de seguridad del usuario propietario del informe.
Al eliminar un usuario, Data Analyzer no elimina ningún informe de la carpeta pública que pertenece a dicho usuario. Data Analyzer puede ejecutar un informe con seguridad basada en usuarios incluso si no existe el propietario de dicho informe. Sin embargo, Data Analyzer no puede determinar el perfil de seguridad para un informe con seguridad basada en el proveedor si no existe el propietario de dicho informe. Antes de eliminar un usuario, asegúrese de que los informes con seguridad basada en el proveedor tengan un nuevo propietario.
Por ejemplo, es posible que desee eliminar al usuario UserA que tiene un informe en la carpeta pública con seguridad basada en el proveedor. Cree o seleccione un usuario con el mismo perfil de seguridad que UserA. Identifique todos los informes con seguridad basada en el proveedor en la carpeta pública que pertenece a UserA. A continuación, configure el otro usuario para que tenga el mismo inicio de sesión en relación con el perfil de seguridad y guarde tales informes en la carpeta pública, con seguridad basada en el proveedor y el mismo nombre de informe. Esto garantiza que, después de eliminar el usuario, los informes permanezcan en la carpeta pública con la misma seguridad.
Cómo eliminar usuarios de Metadata Manager
Si elimina un usuario que posee accesos directos y carpetas, Metadata Manager mueve la carpeta personal del usuario a una carpeta llamada Usuarios eliminados, perteneciente al administrador predeterminado. La carpeta personal del usuario eliminado contiene todos los accesos directos y carpetas creados por ese usuario. Todas las carpetas compartidas seguirán estando compartidas después de que elimine al usuario.
Si la carpeta Usuarios eliminados contiene una carpeta con el mismo nombre de usuario, Metadata Manager cambia el nombre de la carpeta adicional por "Copia (n) de <username>".
Usuarios de LDAP
No es posible añadir, editar ni eliminar usuarios de LDAP en Administrator Tool. Debe administrar las cuentas de usuario de LDAP en el servicio de directorio de LDAP.
Cómo desbloquear una cuenta de usuario
El administrador del dominio puede desbloquear una cuenta de usuario que está bloqueada fuera del dominio. Si el usuario es un usuario nativo, el administrador puede solicitar que el usuario restablezca su contraseña antes de volver a registrarse en el dominio.
El usuario debe tener una dirección de correo electrónico válida configurada en el dominio para recibir notificaciones cuando se restablece la contraseña de su cuenta.
Si el usuario está bloqueado del servidor de autenticación de LDAP, el administrador de LDAP debe desbloquear la cuenta de usuario en el servidor de LDAP.
1. En la herramienta Administrator, haga clic en la ficha Seguridad.
2. Haga clic en Administración de cuentas.
La página Administración de cuentas muestra las siguientes listas de usuarios bloqueados:
- Usuarios nativos bloqueados
- Incluye las cuentas de usuario del dominio de seguridad nativo que están bloqueadas.
- Usuarios LDAP bloqueados
- Incluye las cuentas de usuario de los dominios de seguridad de LDAP que están bloqueadas.
3. Seleccione los usuarios que desea desbloquear.
4. Seleccione Desbloquear el usuario y restablecer la contraseña para generar una nueva contraseña para el usuario después de desbloquear la cuenta.
El usuario recibe la nueva contraseña en un correo electrónico.
5. Haga clic en el botón Desbloquear usuarios seleccionados.
Cómo aumentar la memoria del sistema para un gran número de usuarios
El tiempo de procesamiento para el reinicio de un dominio de Informatica, la sincronización de usuarios LDAP y algunos comandos infacmd e infasetup aumenta proporcionalmente según el número de usuarios en el dominio de Informatica.
El número de usuarios influye en el tiempo de procesamiento de los siguientes comandos:
- •infasetup BackupDomain, DeleteDomain y RestoreDomain
- •infacmd isp ExportDomainObjects, ExportUsersandGroups, ImportDomainObjects e ImportUsersandGroups
- •infacmd oie ExportObjects e ImportObjects
Tal vez deba aumentar la memoria del sistema que utilizan los servicios de Informatica, infasetup e infacmd cuando tenga un gran número de usuarios en el dominio. Para aumentar el tamaño de heap máximo, configure las siguientes variables de entorno y especifique el valor en megabytes:
- •INFA_JAVA_OPTS. Determina el tamaño de heap máximo utilizado por Informatica Services. Configure las variables en cada nodo donde se instalan los servicios de Informatica.
- •ICMD_JAVA_OPTS. Determina el tamaño de heap máximo utilizado por infacmd. Configure las variables en cada equipo donde ejecuta infacmd.
- •INFA_JAVA_CMD_OPTS. Determina el tamaño de heap máximo utilizado por infasetup. Configure las variables en cada equipo donde ejecuta infasetup.
Por ejemplo, para configurar 2.048 MB de memoria de sistema en UNIX para la variable de entorno INFA_JAVA_OPTS, utilice el siguiente comando:
setenv INFA_JAVA_OPTS "-Xmx2048m"
En Windows, configure las variables como variables del sistema.
La siguiente tabla muestra los requisitos mínimos para la configuración del tamaño máximo del montón, en función del número de usuarios y servicios del dominio:
Número de usuarios del dominio | Tamaño máximo del montón (de 1 a 5 servicios) | Tamaño máximo del montón (de 6 a 10 servicios) |
|---|
1.000 o menos | 512 MB (predeterminado) | 1.024 MB |
5.000 | 2.048 MB | 3.072 MB |
10.000 | 3.072 MB | 5.120 MB |
20.000 | 5.120 MB | 6.144 MB |
30.000 | 5.120 MB | 6.144 MB |
Nota: La configuración máxima de tamaño de heap que aparece en la tabla se basa en el número de servicios de aplicación del dominio.
Después de configurar estas variables del entorno, reinicie el nodo para que los cambios tengan efecto.
Visualización de la actividad del usuario
Utilice el comando infacmd isp getUserActivityLog o la ficha Registros de la herramienta del administrador para ver registros de actividad del usuario. Consulte los eventos de registro de actividad del usuario para determinar el momento en el que un usuario ha creado, actualizado o quitado servicios, nodos, usuarios, grupos o funciones.
Ejecute el siguiente comando para ver los eventos de registro de actividad del usuario de todos los usuarios:
infacmd isp getUserActivityLog -dn domain_name -un user_name -pd password
El comando requiere que tenga asignada la función de administrador o que pertenezca al grupo Administrador.
Puede ver los eventos de registro con base en los siguientes filtros opcionales:
- •Nombre de usuario
- •Dominio de seguridad
- •Fecha y hora
- •Orden cronológico
- •Código de actividad
- •Texto de actividad
Puede mostrar los eventos de registro en la línea de comandos o escribirlos en un archivo de uno de los siguientes formatos:
Si imprime un registro en formato binario, puede utilizar el comando infacmd isp convertUserActivityLog para convertirlo en texto o en formato XML.
Para obtener más información sobre los registros de actividad del usuario y la ficha Registros de la herramienta del administrador, consulte Guía del Informatica Administrator.
Filtros de registros de actividad del usuario
Utilice uno o varios filtros para recuperar eventos de registro de usuarios, fechas o eventos específicos.
Utilice uno o más de los parámetros siguientes del comando infacmd isp getUserActivityLog para filtrar eventos de registro:
- Usuarios y dominios de seguridad
Opcional. La lista de usuarios de los que desea obtener eventos de registro. Utilice un espacio para separar varios usuarios. Utilice el carácter comodín (*) para ver los registros de varios usuarios en uno o en todos los dominios de seguridad. Por ejemplo, las siguientes cadenas son valores válidos de la opción:
user:Native
"user:*"
"user*"
"*_users_*"
"*:Native"
Añada el siguiente parámetro al comando getUserActivityLog para filtrar los eventos de registro por usuario o dominio de seguridad:
-usrs <UserName>:<SecurityDomain>
Por ejemplo, puede añadir el siguiente parámetro para recuperar la actividad del usuario de un usuario llamado User1 en todos los dominios de seguridad:
-usrs "User1:*"
- Fecha y hora
- Opcional. El intervalo de fechas para el que desea consultar eventos de registro.
Si especifica una fecha de finalización anterior a la fecha de inicio, el comando no devuelve ningún evento de registro.
Introduzca la fecha y hora con uno de los formatos siguientes:
- - MM/dd/aaaa
- - MM/dd/aaaa HH:mm:ss
- - aaaa-MM-dd
- - aaaa-MM-dd HH:mm:ss
Añada el siguiente parámetro al comando getUserActivityLog para filtrar los registros por fecha de inicio o de finalización:
-sd <start_date> -ed <end_date>
Por ejemplo, puede añadir el siguiente parámetro para recuperar la actividad del usuario entre el 1 de enero de 2014 y el 3 febrero de 2014:
-sd 01/01/2014 -ed 02/03/2014
- Código de actividad
Opcional. Devuelve eventos de registro con base en el código de actividad.
Utilice el carácter comodín (*) para recuperar eventos de registro de varios códigos de actividad. Entre los códigos de actividad válidos se incluyen:
- - CCM_10437. Indica que una actividad se ha realizado correctamente.
- - CCM_10438. Indica que no se ha podido realizar una actividad.
- Añada el siguiente parámetro al comando getUserActivityLog para filtrar por código de actividad:
-ac <activity_code>
Por ejemplo, puede añadir el siguiente parámetro para recuperar eventos de registro que se han realizado correctamente:
-ac CCM_10437
Si utiliza el carácter comodín, escriba el argumento entre comillas.
- Texto de actividad
Opcional. Devuelve eventos de registro con base en una cadena en el texto de la actividad.
Añada el siguiente parámetro al comando getUserActivityLog para filtrar por texto de actividad:
-atxt <activity_text>
Utilice el carácter comodín (*) para recuperar registros de varios eventos. Por ejemplo, el siguiente parámetro devuelve todos los eventos de registro cuya descripción contiene la frase "Enabling service":
-atxt "*Enabling service*"
Si utiliza el carácter comodín, escriba el argumento entre comillas.
- Orden cronológico
Opcional. Imprime los eventos de registro en orden cronológico inverso. Si este parámetro no se especifica, el comando muestra los eventos de registro en orden cronológico.
Añada el siguiente parámetro al comando getUserActivityLog para imprimir el evento más reciente primero:
-ro true
Escritura y visualización de eventos de registro de actividad del usuario
Si utiliza el comando infacmd isp getUserActivityLog, puede escribir eventos de registro de actividad del usuario en un archivo o mostrarlos la línea de comando. Escriba los eventos de registro de actividad del usuario en un formato determinado en función de la manera en que utilizará el archivo de eventos de registro que se exporte.
Escritura y visualización de archivos de registro
Para escribir eventos de registro de actividad del usuario en un archivo, ejecute el comando con el parámetro de archivo de salida -lo:
-lo output_file_name
Si no especifica un formato de salida, el comando escribe los eventos de registro en un archivo de texto. Por ejemplo, puede ejecutar el siguiente comando para escribir eventos de registro en un archivo llamado log.txt:
infacmd isp getUserActivityLog -dn TestDomain -un Administrator -pd Administrator -lo log.txt
Para especificar un formato de salida, ejecute el comando con el parámetro de formato -fm:
-fm output_format_BIN_TEXT_XML
Entre los formatos válidos se incluyen:
- •Bin (binario). Utilice un archivo binario para hacer copias de seguridad de los eventos de registro en formato binario. Es posible que necesite emplear este formato para enviar eventos de registro al servicio internacional de atención al cliente de Informatica
- •Texto. Utilice el formato de texto si desea analizar los eventos de registro con un editor de texto.
- •XML. Utilice el formato XML si desea analizar los eventos de registro con una herramienta externa que emplee XML o si desea utilizar herramientas XML, como XSLT.
Si establece el formato de texto o XML como formato de salida, pero no especifica un archivo de salida, el comando muestra el registro de texto o XML en la línea de comandos.
Si selecciona el formato binario como formato de salida, debe proporcionar un nombre de archivo de salida.
Por ejemplo, puede ejecutar el siguiente comando para imprimir los eventos de registro en un archivo llamado log.xml:
infacmd isp getUserActivityLog -dn TestDomain -un Administrator -pd Administrator -fm xml -lo log.xml
Conversión de archivos de registro
Si utiliza el comando getUserActivity para escribir eventos de registro en un archivo binario, puede convertir el archivo en formatos de texto o XML.
Ejecute el siguiente comando para convertir un registro binario que ha recuperado en formato de texto o XML:
infacmd isp convertUserActivityLogFile -in BIN_input_file_name -fm output_format_TEXT_XML -lo output_file_name
Por ejemplo, puede ejecutar el siguiente comando para convertir un archivo de entrada binario llamado log.bin en formato XML y, a continuación, obtener un archivo llamado convertedLog.xml como salida:
infacmd isp convertUserActivityLogFile -in log.bin -fm XML -lo convertedLog.xml
Para mostrar el registro en la línea de comandos, omita el nombre del archivo de salida.
Si omite el formato, el comando utiliza formato de texto.