Definir usuarios y roles
Una cuenta de usuario viene definida por un nombre y una contraseña de inicio de sesión y tiene asociado un conjunto de derechos de acceso. Los usuarios de FlowForce Server acceden al servidor para realizar tareas administrativas o como usuarios finales.
Los derechos de acceso del usuario vienen dados por los privilegios que este tiene concedidos. Los usuarios reciben privilegios de dos maneras: (i) heredándolos de roles de los que el usuario es miembro o (ii) directamente mediante asignaciones directas. Un rol viene definido por un conjunto de privilegios. Los roles reciben privilegios mediante asignaciones directas o heredándolos de otro rol del cual es miembro. Los privilegios son derechos de acceso a las diferentes funciones administrativas y a los servicios de FlowForce Server. Algunos ejemplos de privilegios serían los derechos a: reemplazar la configuración de seguridad, establecer una contraseña propia o detener cualquier trabajo.
Mediante el uso de roles podemos definir privilegios de forma jerárquica para los usuarios. Por ejemplo, el rol SimpleAdmin tiene el privilegio Detener cualquier trabajo. Si AdvancedAdmin es miembro de SimpleAdmin, AdvancedAdmin hereda el derecho a detener cualquier trabajo, independientemente del usuario que haya creado este trabajo. Además, se le podría asignar el privilegio Mantener usuarios, roles y privilegios. Y así sucesivamente la estructura jerárquica puede seguir ampliándose.
Usuarios
Un usuario es una persona que inicia sesión en FlowForce Server para configurar trabajos, implementar transformaciones de MapForce o StyleVision o simplemente gestionar FlowForce Server. El número de acciones que están a disposición de cada usuario en FlowForce Server depende de:
a) qué permisos o privilegios tengan asignados y
b) qué permisos y privilegios se asignaran a los roles de los que es miembro el usuario.
Hay dos usuarios especiales predeterminados:
•El usuario root es el usuario administrador inicial. Tiene asignados automáticamente todos los permisos y privilegios disponibles. Su combinación inicial de nombre de usuario y contraseña es root-root. La contraseña puede cambiarse en todo momento.
•La cuenta anonymous es una cuenta para usuarios anónimos que accedan a servicios expuestos a través de la interfaz del servicio HTTP (véase Trabajos como servicios web). No se puede utilizar para acceder a la interfaz web y no dispone de contraseña inicial.
Para más información sobre cómo crear, editar, importar y eliminar usuarios, consulte el apartado Usuarios.
Roles
Un rol es un conjunto con nombre que agrupa los privilegios necesarios para garantizar el nivel de seguridad que requiere la organización. Un modelo de seguridad basado en roles suele estar compuesto por dos roles: un rol "administrador" y un usuario estándar. Cada rol viene definido por los privilegios que tiene concedidos. Por ejemplo: el administrador puede cambiar su propia contraseña y la de los demás usuarios, mientras que los usuarios estándar pueden cambiar su propia contraseña solamente. En FlowForce Server puede asignar roles a usuarios y revocar los roles asignados previamente.
Estos son los roles predeterminados:
•El rol authenticated se asigna automáticamente a todas las cuentas de usuario excepto la cuenta anonymous.
•El rol all se asigna automáticamente a todos los usuarios incluido el usuario anonymous.
Para más información sobre cómo crear, editar, importar y eliminar roles, consulte el apartado Roles.
Privilegios
Los privilegios definen qué pueden hacer los usuarios en FlowForce Server (p.ej. definir su propia contraseña, leer los usuarios y los roles, detener cualquier trabajo, etc.). Es necesario distinguir entre privilegios y permisos porque los permisos controlan el acceso de los usuarios a los contenedores, mientras que los privilegios afectan a todo FlowForce Server en general. En otras palabras y para que se entienda bien la diferencia entre privilegios y permisos: los privilegios son globales y los permisos son locales.
Al igual que los permisos, los privilegios se pueden asignar a cada uno de los usuarios y a los roles. Por tanto, cuando el usuario inicia sesión en FlowForce Server, sus privilegios reales vienen determinados por:
a) los privilegios directos que tenga asignados
b) los privilegios que tengan asignados los roles de los que es miembro el usuario.
Herencia
La jerarquía de su organización o negocio se puede modelar en FlowForce Server asignando roles a otros roles. Por ejemplo, puede crear un rol llamado 
Empleados y otro llamado Dep. Marketing. Después puede designar el rol Dep. Marketing como miembro del rol Empleados. Esto significa que todos los privilegios y permisos concedidos a Empleados serán heredados automáticamente por los usuarios que sean miembros del rol Dep. Marketing.
Asignar un privilegio
Para asignar un privilegio a un usuario o un rol, seleccione el usuario o el rol en cuestión en la pestaña correspondiente (Usuarios o Roles, respectivamente) de la página de administración y seleccione uno o varios privilegios que desea asignar. En la tabla siguiente describimos los privilegios disponibles.
Definir filas de ejecución de trabajos | Este privilegio permite crear y mantener las filas de ejecución de trabajos. Esto incluye las dos filas locales del trabajo y las filas externas definidas fuera del trabajo. Las filas externas se usan conjuntamente con la ejecución distribuida.
|
Mantener un clúster | Este privilegio otorga derechos para llevar a cabo acciones que permitan gestionar varias instancias de FlowForce Server como un clúster. Por ejemplo, un usuario necesita este privilegio para poder convertir la instancia actual de servicio de FlowForce Server en trabajador. Para más detalles, consulte Clústers.
|
Mantener la configuración global | Este privilegio permite cambiar la configuración global de FlowForce Server (la zona horaria y el correo electrónico) en la página de configuración. Se trata de un privilegio administrativo y debería concederse únicamente a los administradores de FlowForce Server.
|
Mantener usuarios, roles y privilegios | Este privilegio permite añadir, editar y eliminar estos datos: usuarios, roles, privilegios y contraseñas. Se trata de un privilegio administrativo y debería concederse únicamente a los administradores de FlowForce Server. El único usuario que tiene este privilegio de forma predeterminada es el usuario root.
|
Reemplazar configuración de seguridad | Los usuarios que tienen este privilegio pueden cambiar los permisos de los contenedores sin necesidad de tener el permiso de escritura. Esto permite a los administradores de FlowForce Server recuperar el acceso a aquellos recursos a los que se perdiera el acceso por error. Se trata de un privilegio administrativo y debería concederse únicamente a los administradores de FlowForce Server. El único usuario que tiene este privilegio de forma predeterminada es el usuario root.
|
Lectura de usuarios y roles | En FlowForce Server los usuarios solamente pueden ver sus propias cuentas de usuario y los roles de los que son miembros. Si se concede este privilegio a un usuario, puede ver todos los usuarios y roles de FlowForce Server. El único usuario que tiene este privilegio de forma predeterminada es el usuario root.
|
Recuperar información sensible | Este privilegio permite recuperar y visualizar estas categorías de información sensible como texto plano: contraseñas, claves privadas de certificados, tokens de acceso, tokens de actualización y secretos de cliente OAuth 2.0. El único usuario que tiene este privilegio de forma predeterminada es el usuario root.
|
Establecer contraseña propia | Este privilegio permite cambiar su contraseña. Los usuarios que no tengan este privilegio deberán solicitar al administrador de FlowForce Server que les cambie la contraseña. El único usuario que tiene este privilegio de forma predeterminada es el usuario authenticated y, por tanto, todas las cuentas de usuario excepto anonymous.
|
Detener cualquier trabajo | Este privilegio permite detener cualquier trabajo de FlowForce Server que esté en ejecución, independientemente de qué usuario lo creara.
|
Ver registro sin filtrar | En la configuración predeterminada los usuarios pueden ver entradas del registro relacionadas con configuraciones para las que tengan permiso de lectura. Los usuarios que tienen este privilegio pueden leer todas las entradas del registro, incluso las que no estén asociadas a sus configuraciones. El único usuario que tiene este privilegio de forma predeterminada es el usuario root.
|
En la pestaña Administración | Informes | Informe de privilegios encontrará una lista de todos los privilegios, en la que aparece cada privilegio junto con todos los usuarios/roles que lo tienen.