Crear políticas de acceso

Prerrequisitos

Los siguientes permisos:

  • Autorización > política > Todos los permisos
  • Autorización > política > Añadir
  • Autorización > política > Suprimir
  • Autorización > política > Ver

El siguiente entorno de organización:

Puede crear una nueva política de acceso desde cero utilizando la opción Create Policy o utilizar una plantilla de política prediseñada disponible diseñada por Genesys Cloud, editarla y guardarla como política.

Crear una política de acceso a partir de una plantilla predefinida

Para crear una política de acceso a partir de una plantilla de política existente, haga lo siguiente: 

  1. Hacer clic Administración.
  2. En Personas y permisos, haga clic en Acceso Políticas.
  3. Haga clic en Plantillas.
  4. Seleccione una plantilla existente. Actualmente, Genesys Cloud proporciona las siguientes plantillas de políticas de acceso para que pueda empezar:
  5. Haga clic en la plantilla de política basada en sus necesidades. Aparecen los detalles de la plantilla.
  6. Edite el nombre y la descripción de la política.
  7. Modifique los campos de dominio, entidad y acción si está especificando un objetivo diferente para la política.
  8. (Opcional) Permita que la política se active inmediatamente activando la opción Enable Policy. También puede activar una política más tarde editando la política. Para obtener más información, consulte Habilitar política de acceso
  9. Modifique las secciones de asunto, efecto y condición en el JSON de la política, si es necesario, para satisfacer sus necesidades organizativas.
    Nota:
  10. Para validar la sintaxis JSON, haga clic en Validar sintaxis en la pestaña Validar sintaxis. Resuelva cualquier error sintáctico y proceda a guardar la política. En caso de que no valide la sintaxis explícitamente, Genesys Cloud la valida automáticamente al guardar la política. El paso de validación de sintaxis valida lo siguiente: 
    • Si los campos obligatorios están disponibles.
    • Los atributos enumerados son válidos para el objetivo especificado.
    • Todas las comparaciones de atributos son válidas para sus respectivos tipos de datos.
    • Los nombres de atributos preestablecidos no entran en conflicto con los definidos en el sistema.
  11. Haga clic en Guardar como política
  12. Para verificar si la política funciona como se espera, haga clic en la pestaña Política de prueba y proporcione datos de muestra y haga clic en Política de prueba.
  13. Para volver a la página de políticas, haga clic en Cancelar.

Ejemplos de plantillas prediseñadas

Actualmente, Genesys Cloud incluye las siguientes plantillas de políticas de acceso:

Esta plantilla de directiva está diseñada para evitar que usuarios que no son administradores concedan funciones que ellos mismos no tienen.

Puede modificar los parámetros de la plantilla en el JSON de la política: los campos de dominio, entidad y acción especifican el objetivo o grupo de llamadas a la API.

Editor de políticas ABAC que muestra la plantilla No se pueden conceder nuevas funciones

Esta plantilla tiene las dos condiciones siguientes:

Condición 1

"subject.role.names": {
"contains_one": "admin.role.names"
}

Esta condición comprueba si el sujeto tiene un rol de administrador. Si el sujeto tiene un rol de administrador, el resultado es Permitir.

Condición 2

"subject.role.names": {
"contains_one": "authorization.grant.role.name"
}

Si el sujeto no tiene un rol de administrador, la acción sólo se permite si el sujeto ya tiene el rol que está intentando otorgar. authorization.grant.role.name es un atributo que contiene el nombre del rol que el sujeto está intentando otorgar a sí mismo o a otro usuario. Así, por ejemplo, si el sujeto tiene un rol de supervisor pero no de administrador, el resultado es Denegar, si se intenta otorgar un rol de administrador. En este caso, el rol admin no está incluido en la lista de nombres de roles temáticos.

En esta plantilla, los atributos preestablecidos para admin.role.names pueden ser una lista que contenga los roles admin y masterAdmin. Si tienes otros roles de administrador personalizados en tu organización, puedes añadirlos a esta lista, separados por comas.

Esta plantilla de directiva está diseñada para impedir que los campos definidos del perfil de usuario sean modificados, excepto por supervisores o administradores. 

Nota: Esta plantilla contiene atributos para todos los campos que aparecen en la página Perfil de usuario. No puede impedir que un usuario actualice los campos que no están incluidos en la página Perfil de usuario mediante una política de acceso; por ejemplo, la configuración de WebRTC no forma parte de la página Perfil de usuario.

Editor de políticas ABAC que muestra la plantilla No se pueden actualizar determinados campos del perfil de usuario

Esta plantilla contiene una regla Cualquiera, lo que significa que la política devuelve un resultado de Permitir si se cumple cualquiera de las condiciones especificadas. La plantilla tiene por defecto las dos condiciones siguientes. 

Condición 1

"profile.fields": {
"contains_none_ignore_case": "restricted.fields.value"

Esta condición comprueba si el campo del perfil de usuario que se está modificando no está incluido en la lista de atributos preestablecidos de restricted.fields.value e ignora la distinción entre mayúsculas y minúsculas en la comparación. Si el campo que se está modificando no está en la lista, el resultado de esta condición es True. Puede editar la lista de atributos predefinidos como campos individuales o como nombre de sección o una combinación de ambos, según las necesidades de su entorno. Para obtener más información sobre los atributos predefinidos admitidos, consulte restricted fields value list

Condición 2

"subject.role.names": {
"contains_one": "manager.role.names"

Esta condición comprueba si el sujeto tiene una función incluida en la lista de atributos preestablecidos de manager.role.names. Si el sujeto tiene alguno de estos roles, entonces la acción está permitida.

Una vez guardada la plantilla como política, puede probarla para confirmar que funciona como se espera. En la siguiente imagen de ejemplo, el sujeto tiene el rol de administrador por lo que la solicitud está permitida, aunque el campo de perfil (agent.name) está incluido en la lista de campos restringidos.

Muestra datos de ejemplo para la plantilla No se pueden actualizar determinados campos de usuario

Crear una política de acceso mediante la función Crear política

Para crear una política de acceso desde cero, haga lo siguiente:

  1. Hacer clic Administración.
  2. En Personas y permisos, haga clic en Acceso Políticas.
  3. Haga clic en Crear política.
  4. Introduzca el nombre y la descripción de la política.
  5. Especifique los campos de dominio, entidad y acción en función de los requisitos de su política. Puede consultar las plantillas prediseñadas para crear su propia política. 
  6. (Opcional) Permita que la política se active inmediatamente activando la opción Enable Policy. Puede activar una política más tarde editando la política. Para obtener más información, consulte Habilitar política de acceso
  7. Defina las secciones de asunto, efecto y condición en el JSON de la política en función de sus necesidades organizativas.
    Nota:
  8. Para validar la sintaxis JSON, haga clic en Validar sintaxis en la pestaña Validar sintaxis. Resuelva cualquier error sintáctico y proceda a guardar la política. En caso de que no valide la sintaxis explícitamente, Genesys Cloud la valida automáticamente al guardar la política. El paso de validación de sintaxis valida lo siguiente:
    • Si los campos obligatorios están disponibles.
    • Los atributos enumerados son válidos para el objetivo especificado.
    • Todas las comparaciones de atributos son válidas para sus respectivos tipos de datos.
    • Los nombres de atributos preestablecidos no entran en conflicto con los definidos en el sistema.
  9. Hacer clic Ahorrar
  10. Para verificar si la política funciona como se espera, haga clic en la pestaña Política de prueba y proporcione datos de muestra y haga clic en Política de prueba.
  11. Para volver a la página de políticas, haga clic en Cancelar.