S ISTEMAS I DEALES SISTIDE, S.A. SISTEMA GESTION DE USUARIOS S ISTEMAS I DEALES SISTIDE, S.A. P ÁGINA 2 S ISTEMA DE GESTIÓN DE USUARIOS (SGU) Hoy en día los centros de tecnología de información tienen a su cargo muchas tareas operativas las que poco a poco la organización ha ido delegando a las diferentes áreas según las funciones que les corresponda. Una tendencia que se ha dado por el crecimiento de las redes y de la cantidad de usuarios, son los departamentos de administración de la seguridad, con los cuales, usuarios especializados administran las cuentas de los usuarios, atendiendo los procesos de creación, borrado, desbloqueo, habilitación, deshabilitación, asignación grupos y OU’s de cuentas de usuarios. Una herramienta que se ha generalizado es el Active Directory de MICROSOFT, que le permite a las organizaciones el manejo de cuentas de usuario y equipos. Sin embargo esta aplicación no restringe el uso de ciertos campos y objetos que para algunas organizaciones se consideran datos sensibles, además de que está diseñado para que sea manipulado por personal experto en el área de TI. Es por esta razón que nace el SGU (Sistema de Gestión de Usuarios) que le brinda la posibilidad a las organizaciones de administrar de una forma más dinámica y controlada la seguridad dentro del ambiente Active Directory, sin perder de vista las políticas de cada organización, así como las características propias del Active Directory. S ISTEMAS I DEALES SISTIDE, S. A. P ÁGINA 3 Función del SGU Administrar la Gestión de Usuarios: Permite crear, modificar, activar, desactivar, desbloquear cuentas y equipos, asignar grupos y OU’s en las cuentas del Active Directory dejando bitácoras de cada movimiento y restringiendo ciertos accesos a los usuarios del sistema. El uso intensivo de bitácoras permite a la Auditoria y a la organización tener un control absoluto de los movimientos en las cuentas de usuarios y equipos y por ende de la seguridad. Características: • El sistema está desarrollado sobre plataforma Web, utilizando tecnología Microsoft .NET • Se le puede incorporar los estilos gráficos del sitio del cliente. • Se hace uso intensivo del estándar XML y Webservices. • Utiliza protocolo de comunicaciones TCP/IP. • El módulo que se comunica con el AD validando las transacciones solicitadas y entregando solamente la información requerida. • Permite manejar varios dominios. • • Uso intensivo de bitácoras para determinar cada operación realizada. Permite que el supervisor configure las operaciones que puede realizar cada operador. • El software interactúa con el Microsoft Active Directory Windows 2003 con sus últimas actualizaciones o Service Packs. • El software está diseñado en 3 capas. La capa de presentación es Web y no contiene instrucciones ni parámetros en su código, esta capa se comunica vía tramas de información a un puerto específico con la capa de aplicación. La capa de aplicación verifica que la operación solicitada sea valida antes de ejecutarla, de manera que corresponda al usuario originalmente autenticado. La capa de aplicación interactúa directamente con el servidor de AD con los permisos estrictamente requeridos. La capa de aplicación almacena en una bitácora operación efectuada mediante la aplicación.. Y por último la capa de datos maneja solo la información básica de los procesos ya que todo se trabaja directamente en el Active Directory. • Todos los procesos se llevan a cabo en un servidor de dominio y estos cambios se replican a todos los demás configurados en la red. S ISTEMAS I DEALES SISTIDE, S. A. P AGE 4 • El software es totalmente parametrizable. • La validación de pertenencia a grupos para ingreso al software y la asignación de perfiles es paramétrica, de manera que se pueda seleccionar los grupos existentes en el Domain Controler y asignar un perfil definido. • La instalación del software se realiza mediante un CD de instalación con sus respectivos manuales. • El sistema puede manejar “n” cantidad de usuarios a la vez, pero no más de uno por sesión y/o estación. • La base de datos utiliza un esquema de integridad relacional, minimizando la existencia de inconsistencias. Validación de ingreso al sistema: La autenticación de los usuarios se realiza contra un servidor de dominio Active Directory W2003 tomando las credenciales del usuario del equipo cliente. El software no almacena ningún tipo de clave o password. El software solicita la autorización al dominio, rechazando al usuario en caso negativo o autenticando y autorizando el acceso al sistema de acuerdo al perfil definido, el perfil y parte de la validación de acceso se hace revisando la pertenencia del usuario a un grupo definido en el Active Directory. P AGE 5 S ISTEMAS I DEALES SISTIDE, S.A. El Sistema utiliza 3 tipos de perfiles: operador (realiza funciones sobre cuentas y grupos autorizados), Supervisor igual que el Operador más la posibilidad de ver reportes y Administrador que es igual al Supervisor más la posibilidad de definir parámetros. Los usuarios definidos no tienen permisos especiales sobre el AD, ellos no pueden realizar acciones directamente sobre el directorio, los permisos son para el ingreso al sistema de gestión de usuarios. • Perfil Operador Este perfil tiene acceso a los diferentes procesos del software. Características: Permite a los operadores desbloquear una cuenta bloqueada por intentos fallidos o cambiar la clave en el Active Directory. Permite cambiar la clave a usuarios que se encuentren bloqueados por intentos fallidos, pero no a usuarios habilitados o deshabilitados.. Permite crear para los nuevos usuarios o para aquellos que soliciten una nueva clave, una nueva clave de forma aleatoria o fija de acuerdo con los parámetros del sistema (en caso de ser fija debe tener esa clave parametrizada), quedando el usuario en modo bloqueado, con requerimiento de cambio de clave en el próximo inicio de sesión. La clave deberá cumplir con las políticas de clave definidas en el AD, en cuanto a longitud y complejidad (mayúsculas, minúsculas y números), estos valores deben tomarse de los definidos en el AD de manera que si son modificados el software se ajuste a la nueva definición del AD. Para el perfil operador se pueden ocultar usuarios especiales pertenecientes a OU’s (Organizacional Unit) o grupos específicos definidos por el Administrador del Sistema. • Perfil Supervisor En este módulo se definen todas las directivas y esquemas de seguridad para el manejo y control de las actividades de los operadores sobre el Active Directory. P AGE 6 S ISTEMAS I DEALES SISTIDE, S.A. Características: Facilidad de creación de nuevos operadores así como la modificación y eliminación de la información de operadores previamente definidos. Define Grupos de Operadores en los cuales se especifica que operaciones pueden realizar los miembros de cada uno de estos grupos y en un horario especifico. Restringe el acceso de los operadores a las OU’s y Grupos del Active Directory que se definan en la aplicación. Genera reportes de las diferentes operaciones realizadas por cuenta de Active Directory y rango de fechas. • Perfil Administrador El Administrador del sistema configura los parámetros necesarios para el funcionamiento óptimo de la aplicación, definiendo los esquemas de seguridad que regirán para los Módulos: Supervisor y Operador. Características: Define parámetros generales para el Active Directory, envíos de correos en el caso de notificaciones y para los operadores del sistema. Define cuales son los Grupos y OU’s que quedan restringidas para los supervisores y operadores. Genera reportes de ingresos al sistema por usuarios y rango de fechas así como modificaciones a las tablas de la base de datos. Otras Características Soporta Active Directory / LDAP Facilidad de búsqueda por descripción, texto o nombres S ISTEMAS I DEALES SISTIDE, S.A. P ÁGINA 7 Requerimientos Servidor Procesador Pentium IV 2.4 Ghz ó superior Sistema Operativo Windows 2000 ó 2003 Server Base de datos Sql Server 2000 ó superior Otros Software Active Directory 2003 Memoria 1GB de RAM ó superior Disco Duro 50 MB para instalación y 1 GB para la base de datos. Va a depender mucho del crecimiento que tenga la organización. Otros Tarjeta de Red / soporte SMTP para correos Cliente Browser Internet Explorer o Netscape Resolución de Pantalla 800 por 600 256 colores ó superior Otros dispositivos Tarjeta de Red 10/100 ó superior Esperamos que este software sea de utilidad para su organización, simplifique el proceso de administración de la seguridad y les evite muchos problemas al limitar las posibilidades de los usuarios sobre el Active Directory. Teléfonos: 244-5714/244-2822 www.sistide.com [email protected] utiliza tecnología de punta Microsoft : Sistemas Ideales SISTIDE, S. A. Teléfonos: 244-5714/244-2822 www.sistide.com