En las grandes organizaciones, la gestión de la seguridad en toda la empresa se convierte en un reto cada vez mayor a medida que aumenta el número de aplicaciones y usuarios. Contar con un modelo de control de acceso basado en roles permite controlar con precisión a qué tienen acceso los usuarios. Sin embargo, a medida que aumenta el número de usuarios, la gestión individual de los permisos de cada uno de ellos puede convertirse en todo un reto.

Si la gestión de los permisos de usuario no se hace correctamente (por ejemplo, si modificamos los permisos de usuario de forma incorrecta en caso de que cambien de responsabilidades laborales o abandonen una empresa), podría dar lugar a que alguien obtuviera accidentalmente permisos elevados o, en otros casos, a que no pudiera completar su trabajo debido a la insuficiencia de privilegios.

En este blog, vamos a discutir acerca de una nueva capacidad de 'Grupos' en Couchbase, junto con pasos fáciles de seguir para empezar. Este blog se centrará sólo en los grupos aplicados a los usuarios domain=couchbase, y en el siguiente blog hablaremos sobre el soporte de grupos basado en LDAP.

¿Qué son los grupos de Couchbase?


Los grupos de Couchbase se utilizan para agrupar usuarios de Couchbase con el fin de simplificar la administración y el mantenimiento de la seguridad en Couchbase. Típicamente, un usuario en Couchbase puede tomar varias acciones en recursos basados en los privilegios RBAC asignados al usuario. Por ejemplo, un empleado puede necesitar acceso SELECT en todos los buckets. En versiones anteriores de Couchbase, la incorporación de usuarios implicaba crear cuentas de usuario (domain=couchbase) para cada empleado, y asignarles individualmente el privilegio SELECT en bucket['*'].

Con Couchbase 6.5, se pueden crear grupos para agrupar a los usuarios que tienen roles de trabajo similares, y controlar fácilmente sus permisos. En lugar de modificar cada cuenta de usuario, los privilegios pueden asociarse directamente a un grupo y ser heredados por los usuarios miembros del grupo.

Figura : Los roles fijos en Couchbase pueden aplicarse a usuarios individuales o a grupos

Usuarios y grupos en Couchbase 


En la interfaz de administración de Couchbase, ahora puedes alternar entre la vista de usuario y de grupo en la pestaña de seguridad. Debes ser un administrador completo o un administrador de seguridad para poder acceder a la pestaña de seguridad.  

Como se muestra en la siguiente figura, seleccionando "usuarios" se listará toda la información de los usuarios, incluyendo su dominio de autorización (en este caso sólo Couchbase), y los diferentes roles que tiene un usuario.

Seleccionando "grupos" se listarán todos los grupos y sus roles asociados.

Creación de un grupo Couchbase


Crear un grupo y asignarle funciones es fácil. Basta con hacer clic en "Añadir grupo" en la esquina superior derecha de la interfaz de usuario y elegir un nombre de grupo junto con las funciones que se asociarán al grupo.


Añadir usuarios a grupos

Al igual que crear grupos es fácil, crear nuevos usuarios y asignarlos a un grupo también lo es. Al hacer clic en el enlace "Añadir usuario" situado en la esquina superior derecha de la interfaz de usuario, aparece un cuadro de diálogo como el que se muestra a continuación. En el ejemplo que se muestra a continuación, sam es un usuario que está asignado al grupo de ejecutivos que se creó. En este caso sólo hemos seleccionado el grupo 'ejecutivos', y está permitido añadir un usuario a más de un grupo. En ese caso, el permiso efectivo del usuario es una unión de los permisos de todos los grupos y los permisos asignados directamente al usuario.

Resumen de las correspondencias entre grupos y funciones

He aquí un resumen rápido de los diferentes grupos y asignaciones de funciones basado en nuestra configuración hasta el momento -


Esto significa que... 

  1. El Ejecutivo es efectivamente un administrador completo y tiene todos los privilegios de Couchbase.
  2. El gestor tiene acceso total de lectura y escritura a los buckets, así como privilegios de administrador del cluster y de los buckets. No tiene acceso a la configuración de seguridad.
  3. El empleado sólo debe poder emitir sentencias SELECT N1QL para cualquier bucket, y gestionar índices.

Iniciar sesión como "María": La empleada

Observe que el usuario conectado es "mary", que aparece en la parte superior derecha.


 La consulta select de N1QL funciona correctamente, permitiendo a Mary seleccionar de la muestra de cerveza

La consulta de inserción N1QL falla ya que María no tiene los privilegios requeridos como se esperaba

Iniciando sesión como "Bob": El Director
Observa que el usuario conectado es 'bob', que aparece en la parte superior derecha.

Observa que Bob no puede cambiar la configuración de seguridad y que la opción "seguridad" no aparece en el menú de la izquierda.

Conclusión

El soporte de grupo para los usuarios de Couchbase es una nueva y emocionante característica en Couchbase Server 6.5. Esperamos que hayas disfrutado de este blog, y como siempre, esperamos tus comentarios. Prueba Couchbase Server y echa un vistazo a todas las nuevas características.

Recursos

Descargar

Descargar Couchbase Server 6.5

 Documentación

Notas de la versión de Couchbase Server 6.5

Novedades de Couchbase Server 6.5

Blogs

Blog: Anuncio de Couchbase Server 6.5 - Novedades y mejoras

Blog: Couchbase lleva las Transacciones Distribuidas Multidocumento ACID a NoSQL

Todos los blogs de 6.5

 

Autor

Publicado por Chaitra Ramarao, Sr. Director de producto, Couchbase Inc.

Chaitra Ramarao es gestora sénior de productos en Couchbase, una empresa de bases de datos NoSQL que lidera las herramientas de bases de datos, la replicación entre centros de datos y las integraciones de socios. Anteriormente trabajó en la gestión de productos de análisis de datos para Kaiser Permanente y en el desarrollo de software para Hewlett Packard. Es licenciada en ECE y tiene un máster de Carnegie Mellon en Ingeniería y Gestión de la Innovación Tecnológica.

Todos los mensajes

Dejar una respuesta