universitas xxi® - acadÉmico guÍa de administraciÓn · universitas xxi® - acadÉmico guÍa de...

UNIVERSITAS XXI® - ACADÉMICOGUÍA DE ADMINISTRACIÓN

OFICINA DE COOPERACIÓN UNIVERSITARIA, S.A.SEPTIEMBRE DE 2003

Oficina deCooperación Universitaria, S.A. Guía de Administración

Versión 5.1.

Archivo: GR20030930_UXXI_Administración 5.1.doc F. modif.: 01/12/2003 Pág.: 2 / 39

ÍNDICE DE CONTENIDOS

1. INTRODUCCIÓN ..................................................................................................................................................................4

2. QUÉ SON LOS PARÁMETROS DEL SISTEMA Y CÓMO MODIFICAR SUS VALORES...................................................4

3. CÓMO SE PUEDEN MODIFICAR LITERALES Y TEXTOS.................................................................................................6

4. CÓMO MODIFICAR ETIQUETAS Y DESCRIPCIONES DE CAMPOS................................................................................6

4.1. CÓMO PERSONALIZAR LOS PUNTOS DE MENÚ ...................................................................................................6

4.2. CÓMO MODIFICAR ETIQUETAS ASOCIADAS A CAMPOS .....................................................................................7

4.3. MODIFICACIÓN DE LOS TEXTOS DE AYUDA..........................................................................................................8

4.4. MODIFICACIÓN DE LAS ETIQUETAS DE BOTONES...............................................................................................8

5. GESTIÓN DE LA SEGURIDAD............................................................................................................................................9

5.1. CÓMO SE DA DE ALTA UN PERFIL ..........................................................................................................................9

5.2. CÓMO RESTRINGIR EL ACCESO A LA INFORMACIÓN POR PLANES DE ESTUDIOS ......................................10

5.3. CÓMO PUEDO DEFINIR LOS PERMISOS DE ACCESO DE UN PERFIL ...............................................................10

5.3.1. CÓMO CONCEDER Y DENEGAR ACCESOS .................................................................................................11

5.3.2. CÓMO PUEDO DAR ACCESO A LOS BOTONES DE ENLACE.....................................................................11

5.3.3. DUPLICAR UN PERFIL.....................................................................................................................................12

5.4. CREACIÓN DE UN USUARIO...................................................................................................................................12

5.5. CÓMO ASOCIAR UN USUARIO A UN PERFIL........................................................................................................13

6. SEGURIDAD EN LA GESTIÓN DE ACTAS.......................................................................................................................14

6.1. CONTROL DE MODIFICACIÓN EN ACTAS .............................................................................................................14

6.1.1. CÓMO OPERA EL CONTROL DE MODIFICACIÓN PARA EL PAS ...............................................................14

6.1.2. CÓMO OPERA EL CONTROL DE MODIFICACIÓN PARA EL PDI.................................................................15

6.2. CONTROL DE VISUALIZACIÓN EN ACTAS............................................................................................................16

6.3. CONVIVENCIA DE LOS CONTROLES DE MODIFICACIÓN Y VISUALIZACIÓN SIMULTÁNEAMENTE ..............17

7. OPCIONES DE PERSONALIZACIÓN DE LOS REPORT ..........................................................................................19

8. CÓMO LLEVAR A CABO LA GESTIÓN DE FICHEROS ...........................................................................................20

9. CÓMO LLAMAR DESDE LA APLICACIÓN A DESARROLLOS PROPIOS ..............................................................22

9.1. ¿CÓMO SE REALIZA LA LLAMADA A LOS DESARROLLOS PROPIOS? .......................................................22

9.1.1. CÓDIGO GENÉRICO DE LLAMADA A FORM ...............................................................................................22

9.1.2. CÓDIGO GENÉRICO DE LLAMADA A REPORTS.........................................................................................23

9.2. CONTROL DE ACCESOS A LOS NUEVOS DESARROLLOS.............................................................................23

10. CONTROL DE LA EXPIRACIÓN DE CLAVES Y BLOQUEOS DE CUENTAS..........................................................23

10.1. CÓMO SE DEFINEN LOS VALORES QUE SE APLICAN A CADA PROFILE ....................................................24

10.2. ASIGNACIÓN DE USUARIOS A UN PROFILE ....................................................................................................24

10.3. CÓMO BLOQUEAR Y DESBLOQUEAR USUARIOS...........................................................................................25

10.4. CONTROL DE LAS CLAVES DE USUARIO.........................................................................................................25

11. VISIÓN GENERAL DE MEDIDAS DE SEGURIDAD EN UNIVERSITAS XXI® - ACADÉMICO VERSIÓN 5.1. .........26

11.1. CONTROLES EN LA CONEXIÓN A LA BASE DE DATOS .................................................................................27

11.1.1. SISTEMA DE CONTRASEÑAS INTERNAS ..............................................................................................27

11.1.2. BLOQUEO DE USUARIOS ........................................................................................................................28

11.1.3. CONTROLES BASADOS EN PERFILES DE ACCESO A BASE DE DATOS ..........................................29


Versión 5.1.


11.1.4. CONTROLES ESPECÍFICOS EN LA CONEXIÓN.....................................................................................31

11.2. CONTROLES DE ACCESO A LAS APLICACIONES...........................................................................................34

11.2.1. ACCESO A LAS APLICACIONES.............................................................................................................34

11.2.2. ACCESO A MÓDULOS..............................................................................................................................34

11.3. CONTROLES DE ACCESO A DATOS .................................................................................................................36

12. ANEXO ........................................................................................................................................................................37

12.1. UNIVERSITAS XXI 5.0: ACCESO AL SISTEMA E IDENTIFICACIÓN DE VIAS DE ACCESO............................37

12.1.1. INTRODUCCION ........................................................................................................................................37

12.1.2. ACCESO A LA BASE DE DATOS DE UNIVERSITAS XXI. CONTRASEÑAS INTERNAS EIDENTIFICACIÓN DE VÍAS.........................................................................................................................................37


Versión 5.1.


1. INTRODUCCIÓNEsta Guía Rápida del Módulo Administración presenta los aspectos más destacables para el manejo porusuarios funcionales de todos los aspectos relacionados con la administración del sistema. Recoge elfuncionamiento en versión 5.1 de UNIVERSITAS XXI® - ACADÉMICO, siguiendo un esquema de procesos quelos responsables funcionales deben tener en cuenta, tanto desde gestión académica como desde laplanificación docente con la aplicación.

Por tanto, se van a revisar todos aquellos aspectos que los responsables del sistema en la Universidaddeberán conocer para que se garantice la correcta explotación del sistema, y sólo aquellas pantallas que estánimplicadas en dichos procesos.

2. QUÉ SON LOS PARÁMETROS DEL SISTEMA Y CÓMO MODIFICAR SUS VALORES

FORMA DE ACCESO

• Administración

Parametrización

Parámetros

FUNCIÓNLos parámetros permiten personalizar y adaptar el comportamiento de determinadas funcionalidades queaporta el sistema. En este apartado no se definen todos los parámetros con que cuenta el sistema, y que sondescritos y revisados en un documento específico, sino el procedimiento general a seguir para la correctadefinición de los parámetros.

Esta pantalla presenta diferentes bloques. El primero de ellos recupera los datos básicos del parámetro asícomo el campo en el que se debe establecer el valor por defecto. Los campos de este primer bloque son:

• Tipo de parámetro. Este campo indica el módulo sobre el que actúa dicho parámetro: actas, matrícula,recursos docentes, etc.

• Código. Se muestra el código y la descripción del parámetro. Esta última se completa mostrando mayorinformación en el campo “Obs”.

• Tipo de dato. Es un campo de salida que muestra la naturaleza del dato que define el parámetro; esdecir, indica si el valor o valores que pueda adoptar el parámetro serán de tipo numérico, alfanumérico,de fecha u horario.

• Valor por defecto. Indica el valor que el sistema aplicará siempre que no se defina otro valor encualquiera de los niveles que permite el sistema.

Por ejemplo, parámetro DEFSCOCODALF Tipo ACT Actas

Código: DEFSCOCODALF Sistema de convocatorias por defecto

Tipo de dato: alfanumérico

Valor por defecto: ABC (si no se encuentra un valor definido en otro nivel para el plan en cuestión, seutilizará el sistema de convocatorias ABC).

Los diferentes niveles de definición que puede tener un parámetro se muestran en la pantalla representadosesquemática y jerárquicamente mediante un esquema de árbol.


Versión 5.1.


ATENCIÓN:

• Es esencial tener en cuenta que no todos los parámetros se pueden definir a todos los niveles ya quedependiendo de cómo se hayan implementado en el desarrollo es frecuente que el sistema sólo tenga encuenta el valor por defecto; por tanto, el usuario debe consultar el documento de parámetros y, si existealguna duda, dirigirse a OCU para confirmar los niveles de definición para los que se ha dado de alta.

Para que un usuario pueda utilizar cada uno de los niveles de definición, basta con pinchar sobre el quedesee utilizar. En este momento se activa el nivel seleccionado en una ventana multirregistro en la que,mediante las listas de valores, podrá ir seleccionando y dando de alta los valores. El sistema aplica el valor delparámetro definido en el nivel más fino (desde plan/año hasta centro) y, sólo en el caso de que no encuentreningún valor en los niveles, aplica el valor por defecto asignado.

Los niveles de definición son los que se describen a continuación, aplicándose en el orden en que aparecen:

• Valor por plan y año: si un usuario quiere definir para un año académico concreto y por plan de estudiosun valor diferente, bastará con pulsar sobre el botón “Plan Año” que está situado bajo el primer bloque.

• Valor por centro y año:. para poder fijar esta condición el usuario debe pulsar sobre el botón que llevaesta descripción e insertar los valores en el bloque correspondiente.

• Valor anual: se aplicará el valor del parámetro para el año académico que se seleccione.

• Valor por plan de estudios: ejercerá un control del valor únicamente para los planes de estudioindicados.

• Valor por centro: el valor asignado al parámetro a este nivel se aplicará únicamente para los centrosque se especifiquen. Para el resto, se aplicará el valor por defecto.

• Valor por ejercicio: el valor asignado a este parámetro se aplicará para el ejercicio seleccionado por elusuario, es decir, sólo tendrá sentido para aquellos parámetros que afectan al módulo de recursosdocentes.

Siguiendo con el ejemplo anterior: en la Universidad el sistema de convocatorias que se aplica varía de unosplanes de estudios a otros. Por lo general se aplica el sistema de convocatorias C01 a todos los planes deprimer y segundo ciclo excepto en las titulaciones técnicas que se rigen por el sistema de convocatorias T01 yademás los planes de tercer ciclo siguen el sistema de convocatorias D01. El parámetro que controla esteproceso es “DEFSCOCODALF” y por tanto se consulta sobre el campo “Código”. Para recoger correctamentela casuística descrita anteriormente se deberá definir el parámetro a 3 niveles diferentes, y tal y como se detallaa continuación:

• Para las titulaciones técnicas necesitamos un nivel de definición por año y plan de estudios. Por tanto,se pulsa sobre el botón “Plan Año” y, en el bloque inferior, se define el curso académico en que debeaplicarse el valor, el plan de estudios a aplicar (que en este caso serán los planes de estudios detitulaciones técnicas) y el valor que debe tomar (en este caso, T01)

• Para los planes de tercer ciclo y puesto que todos ellos pertenecen a un centro denominado “Estudios dePostgrado”, el nivel a definir será por centro. Bastará con pulsar el botón Centro y, en el bloquecorrespondiente, seleccionar mediante la lista de valor el centro a aplicar el valor (en este caso el deEstudios de Postgrado) y el valor a aplicar (D01).

• Finalmente, y para el resto de casos, es decir, para los planes de primer y segundo ciclo, y puesto quetodos se rigen por el mismo sistema de convocatorias, se utiliza el valor por defecto del parámetro (valorC01 en el campo Valor por defecto del primer bloque).

Las pantallas de Tipos de parámetro y Parámetros son utilizadas para dar de alta los parámetros por elequipo de desarrollo de OCU cuando se considera necesario y no se describen en este documento.


Versión 5.1.


3. CÓMO SE PUEDEN MODIFICAR LITERALES Y TEXTOS

FORMA DE ACCESO

• Administración

Idioma

Mantenimiento de literales

FUNCIÓNDesde esta pantalla se realiza el mantenimiento de todos los textos asociados a mensajes de pantalla quedevuelve la aplicación, ya sea en mensaje de error, aviso, etc… Funcionalmente, la importancia de la pantallaradica en que permite al usuario modificar y personalizar textos en salidas de información, como es el caso delas cartas de pago, justificantes de devolución, listados de actas, etc.

La pantalla presenta tres bloques. En el bloque Módulo se seleccionará la pantalla o listado en que se deseemodificar el texto asociado o mensaje. En el segundo bloque se mostrará entonces un código y descripción delos textos susceptibles de modificación, siendo en el tercer bloque, denominado Idiomas textos, donde setendrá que modificar el texto.

Por ejemplo:. La Universidad debe revisar durante la fase de implantación los textos asociados a las cartas depago que se extraerán desde la aplicación. La Universidad desea personalizar (puesto que se danprecargados una serie de textos estándar) el de las cartas de pago para los pagos fraccionados y domiciliados.Para ello el usuario debe entrar en la pantalla Mantenimiento de literales. En modo consulta, y pulsando en elbotón de lista de valores del primer bloque, deberá seleccionar la opción “Carta de pago” y realizar la consulta.En el segundo bloque buscará por la descripción el texto que desea modificar, es decir, se seleccionará “Textodescriptivo para pagos fraccionados en el primer pago para domiciliaciones” y sobre el tercer bloque y en elidioma que interese (castellano o catalán) se podrá modificar el texto precargado y proceder a registrar el quedeberá figurar en las cartas de pago de alumnos que domicilien el pago. A continuación y para verificar que eltexto está correcto, se debe generar una carta de pago de una matrícula con pago domiciliado.

4. CÓMO MODIFICAR ETIQUETAS Y DESCRIPCIONES DE CAMPOSEn este apartado se explica cómo se pueden efectuar modificaciones de los nombres de los puntos de menú,etiquetas asociadas a campos de pantallas y de las descripciones de los campos (hints) que se muestran alpulsar sobre ellos y que el usuario puede visualizar en la barra de estado (situada en la parte inferior de lapantalla).

4.1. CÓMO PERSONALIZAR LOS PUNTOS DE MENÚ

FORMA DE ACCESO

• Administración

Control de Acceso

Módulos

FUNCIÓNDesde esta pantalla se puede modificar el nombre de un punto de menú. Para ello se recupera en la pantallael menú que se quiere modificar y se pulsa en el botón de enlace “Idioma” (situado en la parte derecha de lapantalla). La modificación habrá que realizarla para el idioma activo (es decir, en el que se quiera que serecupere la modificación) y sobre el campo “Etiqueta” se introduce el nuevo nombre.


Versión 5.1.


Por ejemplo, en el módulo Expediente, punto de menú “Traslados” se quiere modificar por “Gestión deTraslados”. Se deberán realizar los siguientes pasos desde la pantalla:

• Se realiza una consulta filtrada por los campos “Tipo” y “Aplicación”. En el primero de ellos se seleccionamenú y en el campo “Aplicación” se elige Expedientes. La consulta muestra todos los puntos de menú delmódulo.

• Se selecciona el registro del código MALU_TRASLL, que es el referido a “Traslados”, y se pulsa el botón“Idioma”.

• Una vez situados sobre el registro del idioma que interese modificar, en el campo etiqueta se introduce“Gestión de Traslados”. Una vez grabada la modificación, se puede verificar el cambio accediendo denuevo al módulo de Expediente.

4.2. CÓMO MODIFICAR ETIQUETAS ASOCIADAS A CAMPOSEl tratamiento de estos cambios difiere para el módulo de Recursos Docentes. En primer lugar se describecómo realizar las modificaciones en cualquier módulo, excepto el de Recursos Docentes.

FORMA DE ACCESO

• Administración

Idioma

Prompts

FUNCIÓNLa pantalla está dividida en 3 bloques: en el primero de ellos, sólo se puede acceder en Modo Consulta. Ellistado recupera tanto pantallas como tipos diversos de listados; se deberá por tanto seleccionar la pantalla oel listado sobre el que se va a realizar la modificación. En el segundo bloque se selecciona el idioma en el quela modificación tendrá efecto, y por último, en el tercer bloque y de nuevo en el registro del idioma se visualizantodos los prompts o etiquetas de los campos de la pantalla.

Por ejemplo: se quiere modificar la etiqueta del campo que indica la fecha en que se realiza una emisión decartas en la pantalla Control de Emisiones del módulo de Cartas. Los pasos a realizar son los siguientes:

• En modo consulta, sobre el campo “Módulo” y pulsando en la lista de valores asociada al campo, sebusca la pantalla control de emisión.

• Una vez ejecutada la consulta, en el segundo bloque se selecciona el idioma que interesa, por ejemplo,castellano, y se activa, en el tercer bloque, las etiquetas de los campos del mismo idioma.

• En el tercer bloque se busca la etiqueta a modificar y se efectúa el cambio, es decir, se selecciona eneste caso el ítem “F. Emisión” y se modifica por “Fecha Emisión”. Grabado el cambio, se podrá visualizaral entrar en la pantalla en la que se ha realizado la modificación.

Sin embargo, si la modificación de la etiqueta de un campo pertenece al módulo de Recursos Docentes, lamodificación deberá realizarse como se indica a continuación:

FORMA DE ACCESO

• Administración

Idioma


Versión 5.1.


Bloques, Items

FUNCIÓNLa pantalla tiene dos bloques diferenciados. En el primero de ellos se selecciona, en modo consulta y con laayuda de la lista de valores, la pantalla en la que está el campo para el que se desea modificar la etiqueta.Seleccionada la pantalla y ejecutada la consulta, el segundo bloque muestra, en el campo “Item”, el código delcampo cuya etiqueta se quiere modificar. El nombre que tiene la etiqueta figura en el campo “Label” situado enla esquina inferior derecha de la pantalla.

4.3. MODIFICACIÓN DE LOS TEXTOS DE AYUDASe explica en este apartado cómo modificar las leyendas que describen cada campo en la barra de estado dela pantalla y que se muestran al usuario al posicionar el ratón sobre él, los llamados “hint”.

FORMA DE ACCESO

• Administración

Idioma

Bloques, Items

FUNCIÓNPara modificar el texto de ayuda o hint de un campo se deben seguir los siguientes pasos:

• Seleccionar en el primer bloque la pantalla en que realizar la modificación. Para ello se ha de desplegarla lista de valores.

• En el segundo bloque se recuperan todos los campos de la pantalla. Para cada registro, el campo hint(situado debajo del bloque “Items”), indica el texto de ayuda que aparece en pantalla cuando se pulsasobre él. Por tanto, es este campo el que se debe modificar.

4.4. MODIFICACIÓN DE LAS ETIQUETAS DE BOTONESA continuación se describe cómo realizar una modificación en las etiquetas que nombran botones, comopuede ser el caso de botones de ordenación que puedan aparecer en bloques multirregistro o bien el caso debotones como el “¿Porqué no puedo?” que se muestra en matrícula.

FORMA DE ACCESO

• Administración

Idioma

Bloques, Items

FUNCIÓNLa modificación de estas etiquetas se realiza sobre esta pantalla seleccionando en el primer bloque la pantallaen que está el botón a modificar. Sobre el segundo bloque se debe identificar el “Item” cuya etiqueta se quieramodificar y proceder a la modificación de texto sobre el campo “Label”.


Versión 5.1.


5. GESTIÓN DE LA SEGURIDADUNIVERSITAS XXI® - ACADÉMICO es una aplicación compuesta por una serie de módulos y pantallas queincorporan los procesos necesarios para llevar a cabo la gestión académica y de planificación docente de unauniversidad. Sin embargo, se debe tener en cuenta que dentro del trabajo que realizan los diferentes usuariosque utilizan la aplicación, no todos tienen que realizar las mismas funciones. Por ello, existe un sistema decontrol de accesos, que permite determinar a qué módulos y a qué pantallas puede acceder cada uno de losusuarios que va a utilizar la aplicación dentro de la Universidad, así como las operaciones que podrán realizardentro de los mismos. Para este control empleamos los perfiles.

Para crear un perfil se debe proceder del siguiente modo:

• Dar de alta un código y un nombre para ese perfil.

• Definir las características del mismo.

• Asociar el perfil a los usuarios a los que afecta.

5.1. CÓMO SE DA DE ALTA UN PERFIL

FORMA DE ACCESO

• Administración

Control Acceso

Perfiles

FUNCIÓNEsta pantalla se utiliza fundamentalmente para realizar dos operaciones1:

• Dar de alta los datos básicos del perfil.

• Restringir el acceso a la información por planes de estudios.

Debemos tener en cuenta que inicialmente se darán precargados los perfiles:

• P_ADMIN: es el perfil del administrador y el que tiene autorización para acceder a todos los elementos dela aplicación, así como para visualizar en pantalla los mensajes de errores, avisos, etc.

• P_PAS: es el perfil definido para el personal administrativo. Es igual que el perfil del administrador sóloque no le permite el acceso al módulo de administración.

• P_COMUN: es el perfil con pantallas comunes a todos los usuarios. Los usuarios con los perfilesanteriores (P_ADMIN y P_PAS) no lo necesitan, pero para usuarios con otros perfiles habrá queasociarles además el perfil P_COMUN para que pueda visualizar en pantalla los mensajes de error,avisos, calendario, pantallas especiales, etc.

• INFORMES. Este perfil deberá estar asociado a los usuarios que tengan permitido extraer informesdesde el Generador de Informes.

• P_TITUC: es el perfil asignado a la gestión central de Títulos

• P_TITCEN: perfil de trabajo para las secretarías de los centros en las tareas de gestión de Títulos querealizan.

• P_ADMTIT: es el perfil del responsable-administrador del módulo de Títulos.

1 El resto de la estructura del perfil se dará de alta desde la pantalla “mantenimiento de perfiles” por ser más

intuitiva y visual.


Versión 5.1.


Hechas estas consideraciones, a continuación se detalla la información a completar para dar de alta un perfil:

• Introducir el código del perfil en el campo “identificador” (es un campo alfanumérico de 8 caracteres).

• Introducir el nombre del perfil en el campo “descripción” y grabar.

• Habrá que marcar la casilla “Acceso” siempre que se quiera activar la seguridad por planes de estudios(se describe en detalle en próximos apartados).

5.2. CÓMO RESTRINGIR EL ACCESO A LA INFORMACIÓN POR PLANES DE ESTUDIOSHay universidades que consideran que los usuarios de un centro no deben poder ver la información del restode centros (expedientes de los alumnos, matrículas, etc.). Por ello, la aplicación permite realizar un control deacceso a la información, en función de los planes de estudios que gestione cada centro. Para ello se daránde alta tantos perfiles como centros tenga la Universidad y se asociará, a cada uno de ellos, los planes que lecorrespondan, pulsando el botón de enlace “Planes de estudios”. Este control de accesos está limitado a losactualmente a los módulos de expediente y matrícula.

Para registrar los planes de estudios por los que restringir la información a visualizar por los usuariosasociados al perfil, deben seguirse los siguientes pasos:

• Dar de alta el código y descripción del perfil tal y como hemos visto en el punto 5.1.

• Marcar la casilla de “Acceso” en la pantalla de perfiles. Si un usuario tuviese más de un perfil y alguno deéstos estuviese restringido por planes dicho usuario sólo podrá consultar los planes que se indiquen enlos perfiles asociados. Podría ser el caso de tener dos perfiles y que en ambos se indicase restricción porplanes, siendo los planes de cada perfil diferentes. En esta situación el usuario podrá acceder a losplanes que aporta cada perfil.

• Acceder a la pantalla de planes de estudios a través del botón de enlace del mismo nombre.

• La pantalla muestra en primer lugar el perfil seleccionado en la pantalla anterior y para el que seespecificarán los planes para los que tendrá permisos. Bastará con introducir cada uno de los planes deestudio con la ayuda de la lista de valores y grabar.

Una vez asociados los usuarios a los perfiles, las consultas que podrán realizar sobre la base de datosquedarán restringidas. Actualmente este control sólo es aplicable para los módulos de matrícula y expedientey siempre y cuando se estén tratando datos en los que se mantiene la relación con el plan de estudios.

5.3. CÓMO PUEDO DEFINIR LOS PERMISOS DE ACCESO DE UN PERFILDefinir los accesos de un perfil es un proceso que sigue una estructura muy sencilla. Basta con dar de alta lospermisos desde el más genérico al más concreto.

FORMA DE ACCESO

• Administración

Control Acceso

Mantenimiento de Perfiles

FUNCIÓNComo se puede apreciar, esta pantalla nos permite definir la estructura de los perfiles de una forma muyintuitiva ya que, el usuario que realice esta tarea, no necesitará conocer el nombre de todas y cada una de las


Versión 5.1.


tablas que integran la aplicación, sino que simplemente tendrá que ir dando acceso, pulsando directamentesobre el diseño que aparece en pantalla.

Las funciones principales de esta pantalla son:

• Permitir el acceso.

• Denegar el acceso.

• Determinar qué funciones concede ese acceso, es decir, si cuando el usuario acceda a una pantalla enella puede realizar funciones de inserción de datos, borrado y modificaciones; sólo alguna/s de ella/s oninguna (sólo podría realizar consultas). Simplemente hay que marcar o desmarcar la casilla quecorresponda.

• Duplicar un perfil. Hay veces que es más sencillo quitar características de un perfil ya existente, quecrear uno completamente nuevo por lo que, por medio de esta opción, se podrá copiar un perfil ymodificar lo que sea necesario.

Se describen a continuación detalladamente cada una de estas funciones.

5.3.1. CÓMO CONCEDER Y DENEGAR ACCESOS

• Para conceder o denegar accesos, el sistema cuenta con dos botones y simplemente se pulsará el botónque corresponda en cada momento (el de la marca roja b para conceder el permiso o el de la señal deprohibido para denegarlo).

Los pasos a realizar son los siguientes:

• Recuperar mediante consulta el perfil creado.

• El primer diseño que aparece en pantalla es el del menú general, al que también hay que dar acceso alusuario.

• Pulsar el botón de “permitir acceso” representando por una marca roja b

• Pulsar en el módulo al que se le quiere dar acceso al usuario. Se accederá a una segunda pantalla en laque visualizan cada uno de los puntos de menú de dicho módulo.

• Situados en el punto de menú al que se quiere dar permiso, basta con pulsar el botón correspondiente(marca rojab). Esta operación se ha de realizar para cada punto de menú dando acceso o denegando,según corresponda.

• A continuación se continúa con el acceso a pantallas. De igual forma, al situarse sobre los puntos demenú, se puede ver que se despliegan todas las pantallas asociadas a los mismos. Al igual que en casoanterior, basta con situarse en cada una de ellas, e ir pulsando el botón que corresponda en función de sise quiere dar permiso o denegarlo.

5.3.2. CÓMO PUEDO DAR ACCESO A LOS BOTONES DE ENLACEComo ya se comentó anteriormente, desde la pantalla “mantenimiento de perfiles” se puede dar o denegaracceso al menú de inicio, a los módulos y a las pantallas, pero no a los botones de enlace. Para este últimopermiso se debe utilizar la pantalla de “perfiles” que se ha descrito en el apartado 5.1 de este documento.

FORMA DE ACCESO

• Administración

Control Acceso


Versión 5.1.


Perfiles

Botón de Enlace Módulos por Perfil

FUNCIÓNEsta pantalla muestra la relación de módulos a los que tendrá acceso el perfil. La pantalla presenta dosbloques. En el primer bloque se recupera el código y la descripción del perfil seleccionado en la pantallaanterior. En el segundo bloque aparecen todos los módulos a los que el perfil tendrá acceso, entendiendomódulo en sentido amplio, es decir, pantallas, menús, etc.…

El usuario podrá añadir o eliminar para el perfil los módulos que precise si bien se recomienda, para estaoperación y siempre que no se trate de botones de enlace, utilizar la pantalla “Mantenimiento de perfiles” quese ha descrito en el apartado 5.3 de este documento.

Los pasos a seguir para permitir el acceso a pantallas a las que se accede desde botones de enlace son:

• Entrar en la pantalla “perfiles”.

• Pulsar el botón “Módulos por perfil”.

• Introducir el nombre de la pantalla a la que da acceso el botón de enlace. Para conocer el nombre bastacon acceder a la pantalla en cuestión y pulsar la tecla F1. Automáticamente aparece una ventana quemuestra dicho dato.

• Definir mediante las casillas de verificación si tendrá permiso para insertar, modificar y borrar.

• Grabar.

5.3.3. DUPLICAR UN PERFILEsta funcionalidad permite replicar perfiles que ya han sido definidos por el usuario. Por ejemplo, laUniversidad define un perfil genérico de secretarías y lo duplica tantas veces como sea necesario, según lassecretarías que vayan a acceder a la aplicación.

No obstante, y aunque el nuevo perfil será una copia exacta del que se ha tomado como referencia, se podránconceder y denegar permisos a pantallas si es que se necesita una mayor personalización del nuevo perfilcreado.

La duplicación de perfiles se realiza desde la pantalla “Mantenimiento de perfiles” según el proceso que sedetalla a continuación:

• Entrar en la pantalla “mantenimiento de perfiles”.

• Recuperar mediante consulta el perfil que se quiere duplicar.

• Introducir el código y descripción del nuevo perfil que se quiere crear, en los campos “Nuevo perfil” y“Descrip.”, que se encuentran en la parte de abajo de la pantalla.

• Pulsar el botón duplicar. El proceso puede durar unos minutos.

5.4. CREACIÓN DE UN USUARIO

FORMA DE ACCESO

• Administración

Control Acceso


Versión 5.1.


Usuarios

FUNCIÓNEn esta pantalla se registran todos los requisitos necesarios para el alta de usuarios.

Los datos que es necesario informar son los siguientes:

• Seleccionar el tipo de usuario. En este caso hay varias opciones:

Alumno, profesor o personal administrativo. Si se elige cualquiera de estos usuarios, el sistemaobligará a insertar su DNI para darlos de alta ya que sus datos se encuentran ya registrados en laaplicación, a través de las pantallas de mantenimiento habilitadas en el menú de Tablas Generales. Lalista de valores del campo DNI quedará restringida por el tipo de usuario que se especifique.

Otros: cuando es un usuario del cual no tenemos ningún tipo de información en la aplicación. En estecaso no se tendrá que insertar DNI para darlo de alta.

• Introducir los datos obligatorios:

Clave: es el nombre que la aplicación pide que se introduzca en el campo “usuario”, antes de accederal menú principal.

DNI: sólo es obligatorio en los casos mencionados anteriormente.

Indicación de si el usuario es de un Centro, Departamento o su acceso a los datos es total.Pulsando el botón de enlace, situado en la parte inferior derecha de la pantalla, se registrarán loscentros a cuyos datos va a tener acceso o, en su caso, los departamentos. Igualmente se deberáindicar a qué ejercicios tiene acceso el usuario (módulo de recursos docentes) y si dicho accesoestá restringido a consulta o es libre.

Idioma: con el que accede el usuario a la aplicación por defecto.

Profile. Permite asignar al usuario un conjunto de restricciones en el acceso al sistema (tales como elnúmero de sesiones abiertas, los tiempos de conexión, etc.…) y que son definidos en la pantalla“Profiles” del menú “Control de Acceso”. El sistema siempre dará cargado un profile por defecto.

• Adicionalmente tenemos otros datos que se pueden definir si interesa:

Número de sesiones: número máximo de sesiones que se le permite tener abiertas a un usuario. Sepermite evitar que los usuarios acumulen un gran número de sesiones activadas, y los problemas quede ello se derivan.

Observaciones: cualquier tipo de comentario de interés acerca del usuario.

5.5. CÓMO ASOCIAR UN USUARIO A UN PERFILFinalmente hay que realizar la asociación entre el usuario y el perfil, para que los usuarios, al acceder alsistema, tengan los permisos que se hayan definido para el perfil.

FORMA DE ACCESO

• Administración

Control Acceso

Usuarios

Perfiles por Usuario

FUNCIÓN


Versión 5.1.


En esta pantalla se establece la relación de cada usuario con los perfiles que debe tener asignados. Para ello,la pantalla recupera como referencia en su parte superior los datos básicos del usuario tales como clave, tipode usuario, DNI y nombre del usuario.

El segundo bloque muestra el código y la descripción de los perfiles que se van asociando. Para realizar estaasociación basta con pulsar en el botón de lista de valores, seleccionar el perfil deseado y grabar.

También desde la pantalla “perfiles” se puede realizar esta asociación, a través del botón “usuarios por perfil”.

6. SEGURIDAD EN LA GESTIÓN DE ACTASDada la importancia y criticidad de la seguridad en el proceso de gestión de actas se ha implementadoespecíficamente un control más restrictivo con independencia de los permisos y privilegios que se definan parael acceso en general a la aplicación que se ha descrito en el apartado 5 de este documento.

Se pueden distinguir dos tipos de controles para la gestión de actas:

• Control de modificación: determina qué actas pueden ser modificadas por un usuario, entendiendo pormodificación la apertura, calificación, cierre y rectificación de un acta.

• Control de visualización: determina qué actas puede ver un usuario.

Ambos controles vienen determinados por el perfil asociado al usuario, en donde el criterio a seguir será eldepartamento, para la modificación de actas, y el plan de estudios, para la visualización.

6.1. CONTROL DE MODIFICACIÓN EN ACTASEste control se activa en la aplicación por medio del parámetro CONTROLACT. Si su valor es igual a ‘S’, elcontrol operará como se describe a continuación, si por el contrario su valor es igual ‘N’ el control estarádesactivado y no se restringirá la modificación de actas a los usuarios que sólo tengan permisos sobre ellas.

A continuación se describe el funcionamiento del control de modificación de actas para usuarios quepertenezcan al tipo “PAS” (Personal administrativo) y Profesor (PDI), tipología ésta que debe definirse alregistrar a cada usuario en la pantalla “Usuarios”.

Es importante insistir en que únicamente se aplicarán los controles de modificación si los usuarios pertenecen auna de estas dos tipologías.

Los usuarios registrados en el Sistema con las tipologías “Alumno” y “Otro” no tendrán en ningún caso permisopara la modificación de actas.

6.1.1. CÓMO OPERA EL CONTROL DE MODIFICACIÓN PARA EL PASEl PAS que puede modificar una acta está en función del perfil que se le asocie, y del departamento quetenga asociado ese mismo perfil. Con lo cual un PAS podrá modificar todas las actas de las asignaturas quecontrola el departamento que tiene asociado el mismo perfil que el usuario PAS.

Esquemáticamente se representaría así:

Usuario PAS Perfil Departamento Asignatura


Versión 5.1.


Previamente y antes de entrar más con profundidad en cómo actúa este control, es importante tener en cuentalas siguientes relaciones:

• Un usuario puede tener asociado uno o varios perfiles.

• Un departamento sólo puede tener asociado un único perfil.

• Aunque la dedicación de la asignatura puede estar repartida entre varios departamentos, sólo uno deellos puede tener el control de las actas.

Por ejemplo:

Supongamos que se imparten dos asignaturas: 100 y 200, cuya dedicación departamental es la siguiente: laasignatura 100 pertenece al departamento “Dep1” y la asignatura 200 es del departamento “Dep2”.

Cada departamento tiene asociado un perfil propio: P_Dep1 y P_Dep2 respectivamente. En función de losperfiles que tenga asociado el usuario con el que se accede, se podrá modificar una acta, las dos o ninguna.

Por tanto, las posibilidades que podrían darse son:

• Si el usuario tiene asociado el perfil P_Dep1 sólo podrá modificar el acta de la asignatura 100.

• Si tiene asociado el perfil P_Dep2 sólo podrá permisos sobre el acta de la asignatura 200.

• Si tiene asociados ambos perfiles podrá modificar ambas actas.

• Si no tiene asociado ninguno de estos perfiles, no podrá modificar ni el acta de la asignatura 100 ni de la200.

¿Qué modificaciones puede hacer el PAS sobre las actas que tiene permisos?• Se permite la apertura y la calificación.

• No puede hacer el cierre del profesor.

• La posibilidad de publicar el acta depende del valor del parámetro FLGPASPUB:

Si dicho parámetro es igual a S, el PAS puede publicar el acta.

Si dicho parámetro es igual a N, el PAS no puede publicar el acta.

• Si el acta ya ha sido cerrada por el profesor: Puede hacer el cierre definitivo.

Puede modificar las calificaciones.

• Si el acta no ha sido cerrada por el profesor existe un parámetro FLGTANPRFACT que indica si parahacer el cierre definitivo del acta es necesario o no el previo cierre del profesor.

• Las calificaciones que puede utilizar el PAS son todas aquellas que en el mantenimiento decalificaciones tenga marcada la casilla ‘acta’.

6.1.2. CÓMO OPERA EL CONTROL DE MODIFICACIÓN PARA EL PDIEl profesor que puede modificar una acta no depende del perfil que tenga asociado, sino de su relación con elgrupo de acta. Se considera que un profesor puede modificar una acta si se encuentra en una de lassiguientes situaciones:

• Es un profesor asociado al grupo de acta.

• Es miembro del Tribunal asociado al acta.

• Es el director del departamento que tiene el control del acta.


Versión 5.1.


¿Qué modificaciones puede hacer el PDI sobre las actas que tiene permisos?• Se permite la apertura y la calificación del acta.

• Puede hacer el cierre del acta como profesor.

• Puede realizar la publicación del acta.

• Si el acta ya está cerrada con cierre del profesor no puede rectificar actas.

• Si el acta ya está cerrada sin cierre del profesor si puede rectificar actas.

• Existe un parámetro FLGTANPRFDFI que indica si se permite que el profesor realice el cierre definitivodel acta o no.

• Las calificaciones que puede utilizar el PDI son todas aquellas que en el mantenimiento decalificaciones tenga marcada la casilla ‘acta’ y ‘profesor’.

Para las actas de los proyectos fin de carrera, el profesor sólo podrá calificar, modificar y cerrar la línea deacta si es el director del departamento que controla el acta de la asignatura.

6.2. CONTROL DE VISUALIZACIÓN EN ACTASCon independencia del control sobre la modificación de actas descrito anteriormente, el usuario puedevisualizar cualquier acta a no ser que se active el control sobre la visualización. Estos controles son diferentesya que determinados usuarios podrán consultar actas, visualizarlas, pero no realizar modificaciones sobre lasmismas.

Este control se activa en la aplicación por medio del parámetro CTRACTPLAN. Si su valor es igual a ‘S’ elcontrol operará como se describe a continuación, si por el contrario su valor es igual ‘N’ el control estarádesactivado y no se restringirá la visualización de actas a los usuarios que sólo tengan permisos sobre ellas.

El control sobre la visualización de actas se realiza por medio de la asociación del perfil al plan de estudios,tanto para el caso del PAS como del PDI. Para consultar cómo realizar esta asociación, se aconseja revisar elapartado 5.2. de este documento.

Por tanto el esquema para el control de la visualización de actas sería el siguiente:

Con este planteamiento es necesario hacer una mención especial a las asignaturas que pertenecen a más deun plan de estudios y a las asignaturas de libre configuración.

• Asignaturas que pertenecen a más de un plan de estudios: el perfil del usuario, PAS o PDI, debe teneracceso a uno de los planes de la asignatura para poder visualizar el acta. Pero no necesita tener accesoa todos los planes a los que pertenece la asignatura.

Por ejemplo. La asignatura 100 pertenece a los planes A y B. Dentro del acta hay alumnos que pertenecenal plan A y al B. El usuario con el que se está accediendo tiene permisos de visualización sobre el plan A.En este caso el usuario puede ver el acta completa de la asignatura 100, y, si además tiene permisos demodificación, podrá calificar a todos los alumnos del acta, con independencia de que pertenezcan al plan Ao B.

Usuario PAS oPDI Perfil Plan de estudio Asignatura


Versión 5.1.


• Asignaturas de libre configuración: los alumnos que matriculan asignaturas de libre elección en planesdistintos al suyo, sólo podrán ser visualizados por los usuarios cuyo perfil tenga permisos sobre el plan enel que matriculan la asignatura, y no sobre el plan al que pertenece el alumno.

Por ejemplo, si la asignatura 100 pertenece al plan A y los alumnos del plan B la matriculan como libreconfiguración, podrán visualizarla los usuarios con permisos sobre el plan A. Si además tiene permisos demodificación podrá calificarlos. Sin embargo, el usuario que sólo tenga permisos de visualización sobre el planB no podrá ver a sus alumnos que matriculan la asignatura 100 como libre configuración.

• Los alumnos de los planes especiales (Erasmus, Visitantes, etc.) entrarían dentro de la casuística deasignaturas de libre configuración. Finalmente, el control de visualización en actas también se extiende ala emisión de listados. El usuario sólo podrá ver los listados de las actas que pertenecen a alguno delos planes de estudio sobre los que tiene permisos de visualización, para los restantes no recuperarádatos en la parametrización del listado.

6.3. CONVIVENCIA DE LOS CONTROLES DE MODIFICACIÓN Y VISUALIZACIÓNSIMULTÁNEAMENTENormalmente convivirán ambos tipos de controles para permitir el acceso a las actas. Pero es importante teneren cuenta que se definen a distintos niveles, y que en función de cómo se hayan establecido, el usuario nosiempre podrá modificar todo lo que visualice ni visualizará todo lo que realmente puede modificar.

Un esquema del control de visualización y modificación en actas sería el siguiente:

En donde:

Determina el control de visualización, tanto para PAS como para PDI.Determina el control de modificación para el PAS.

Determina el control de modificación para el PDI.

A continuación se presenta un ejemplo para explicar como podría ser el control de actas para distintos centrosy planes de estudio.

Ejemplo:

USUARIO PERFIL PLAN

DEPARTAMENTO ASIGNATURA

ACTA PROFESOR


Versión 5.1.


Supongamos una Universidad con dos centros A y B, y tres planes de estudio 1, 2 y 3, que se estructura dela siguiente forma:

La Universidad quiere definir cuatro tipos de usuarios PAS`s:

• Usuario del departamento: sólo puede acceder a las actas que gestiona su departamento.

• Usuario del plan de estudios: sólo puede acceder a las actas de su plan.

• Usuario del centro: sólo puede acceder a las actas de su centro.

• Usuario de la Universidad: puede acceder a las actas de todos los centros (administrador).

Como mínimo habría 10 usuarios en la Universidad:

• 4 usuarios de departamentos: U_DZ, U_DY, U_DX, U_DV.

• 3 usuarios de planes: U_P1, U_P2, U_P3.

• 2 usuarios de centros: U_CA, U_CB.

• 1 usuario de toda la Universidad. U_U.

Bastaría con definir cuatro perfiles para establecer el control de accesos. Se definiría perfil por departamento:P_Z, P_Y, P_X, P_V. Y se establecería la siguiente relación.

En el caso de que la Universidad determine, por ejemplo, que los usuarios de un plan sólo pueden modificar lasactas propias de su plan, pero que pueden visualizar las restantes de su mismo centro, en el ejemplo, bastaríacon asociar a los

Control de modificación Control de visualización

USUARIO PERFIL PERFIL PLAN

CENTRO A

PLAN 1Asig. A Dpto. Z

Asig. B Dpto. Y

Asig. C Dpto. Y

PLAN 2Asig. C Dpto. Y

Asig. D Dpto. X

Asig. E Dpto. X

CENTRO B

PLAN 3Asig. A Dpto. Z

Asig. F Dpto. V

Asig. G Dpto. V


Versión 5.1.


U_DZ

U_DY

U_DX

U_DV

P_Z

P_Y

P_X

P_V

U_P1

U_P2

U_P3

P_Z y P_Y

P_Y y P_X

P_Z y P_V

U_CA

U_CB

P_Z y P_Y y P_X

P_Z y P_V

U_U P_Z y P_Y y P_X y P_V

P_Z

P_Y

P_X

P_V

P1 y P3

P1 y P2

P2

P3

Es importante tener en cuenta que los usuarios pueden tener más de un perfil. Claramente los usuarios de lasecretaría del centro A, por ejemplo, además de la calificación de las actas de sus planes tendrán otrascompetencias sobre sus expedientes, matrícula, etc. Lo expuesto hasta ahora regula la competencia sobre lamodificación/visualización de actas, pero se le añadirían otros perfiles en función del resto de sus actividades.

Se plantean varios supuestos sobre el ejemplo expuesto:

• ¿Qué usuarios pueden ver y modificar las actas de la asignatura A?: podrán todos aquellos que tenganasociado el perfil P_Z, es decir: U_DZ, U_P1, U_P3, U_CA, U_CB, U_U. Puesto que es una asignatura quecomparten dos planes y dos centros, tendrán acceso a ella los propios usuarios del departamento que lagestiona, los usuarios de ambos planes, los usuarios de ambos centros y el usuario de la Universidad.

• ¿Qué usuarios pueden ver y modificar las actas de la asignatura B?: igualmente, podrán los usuarios quetengan asociado el perfil P_Y, que en este caso serán los del propio departamento Y, los usuarios de losplanes 1 y 2, los usuarios del centro A (ya que es una asignatura que se imparte en dos planes del mismocentro), y el usuario de la Universidad.

• ¿Qué usuarios pueden ver y modificar las actas de la asignatura F?: únicamente podrán los propiosusuarios del departamento V, los usuarios del plan 3 y del centro B, en donde se imparte, y el usuario de laUniversidad.

• Supongamos un alumno del plan 3 que selecciona la asignatura D como libre elección: este alumno sólopodrá ser calificado por los usuarios del departamento X, del plan 2, del centro A y de la Universidad.Aunque este alumno pertenezca al plan 3 y al centro B, no podrá ser calificado en esta asignatura por sususuarios.

Supongamos que la Universidad además determina que todos los usuarios de un plan sólo pueden modificarlas actas de su propio plan, pero pueden visualizar las restantes del centro. Bastaría con asociar al perfil P_Z elplan 2, para que pueda ver todas las actas del centro A, aunque sólo puede modificar las asignaturas del plan1.

7. OPCIONES DE PERSONALIZACIÓN DE LOS REPORTEn este epígrafe se describe la funcionalidad que UNIVERSITAS XXI® - ACADÉMICO aporta en lapersonalización de las pantallas parámetricas en las que se fijan las condiciones para la obtención de un“report”. Por report se entiende listados, cartas de pago y cartas.

El alcance de esta personalización es limitado y afecta a los campos que se pueden informar en la pantallaparamétrica y que por tanto filtrarán el report.


Versión 5.1.


FORMA DE ACCESO

• Administración

Listados

Mantenimiento definiciones report

FUNCIÓNEsta pantalla permite, con una serie de limitaciones, definir los campos que aparecen en la pantallaparamétrica de la lanzadora. La limitación más importante que hay que considerar es que únicamente sepodrán personalizar aquellos campos que estén programados para el propio listado y que por tantointernamente tengan construida la consulta.

El primer bloque de la pantalla recupera el report, mostrando su código y descripción. Una vez seleccionado elreport a personalizar, el segundo bloque de la pantalla muestra los parámetros que permiten restringirlo. Loscampos que muestra esta pantalla son los siguientes:

• Orden en que aparecerá el campo en la pantalla paramétrica.

• “Param”. Indica el código del parámetro a utilizar al lanzar el informe. Este campo tiene una lista devalores asociada para poder seleccionar el que corresponda, mostrando además la etiqueta genérica quevisualizará el usuario.

• Etiqueta. Muestra la descripción de la etiqueta. Este campo, junto con los de tipo y formato, son camposde salida que recuperan información técnica asociada al parámetro.

• Visible: chequeada esta casilla, el usuario visualizará el parámetro en pantalla y por tanto podrá filtrardatos por él.

• Obl. Indica si el parámetro es obligatorio para obtener el report o por el contrario el usuario puede noinformar el campo.

• Var. Si la casilla está chequeada indica que existirá una lista de valores asociada al campo delparámetro.

• V. Defecto. Indica el valor por defecto que tendrá el parámetro en caso de no ser informado.

• Query. Este campo indica el código de la consulta que permite que el parámetro recupere datos.Completa esta información del código los campos situados en la parte inferior de la pantalla y que recibenel nombre Notas Query y Query.

Por ejemplo: listado de alumnos ordenados por curso (descripción), cuyo código (que mostrará el primerbloque) es RALU_CEN_REJ. Se quiere que el campo tipo de destino, que actualmente aparece en pantalla nose muestre. Para ello basta por buscar por el campo “etiqueta” la descripción “tipo de destino”, quitar el check“Visible” y grabar. Para verificar el cambio no hay más que entrar en la pantalla “Lanzadora” (en la opción demenú Listados) y seleccionando el módulo y la aplicación correspondiente, comprobar que el campo “Tipo dedestino” ya no se visualiza.

8. CÓMO LLEVAR A CABO LA GESTIÓN DE FICHEROSEn este apartado se describe cómo llevar a cabo la carga y descarga de ficheros en la aplicación. Lanaturaleza de los ficheros puede ser muy diversa: ficheros con alumnos de preinscripción, remesas bancarias,etc.…

FORMA DE ACCESO

• Administración


Versión 5.1.


Gestión de ficheros

Ficheros

FUNCIÓNEn esta pantalla se lleva a cabo el proceso de descarga y validación ficheros pudiendo también verificar loserrores que ocasionalmente se hayan producido.

En el primer bloque de la pantalla figuran los datos relativos a tipo de fichero y el directorio en que se guarda elfichero a descargar. El tipo de fichero hace referencia a distintas agrupaciones de ficheros que haránreferencia a un módulo. Por ejemplo, si se selecciona el tipo de fichero “Acceso a selectividad”, el código delmódulo (que figura en el primer campo del primer bloque) será Acceso. Es importante el campo Directoriopuesto que indica la ruta del directorio de la que extrae el fichero a cargar o donde deja el fichero generado.

Una vez seleccionado el tipo de fichero, en el segundo bloque se tiene que seguir el siguiente proceso:

• Introducir en el campo “Fichero” el nombre exacto del fichero a procesar.

• Al grabar, se registra información del usuario que registra el fichero y la fecha. El campo “Est.” Tendrávalor “0”, que indica que el fichero está pendiente de procesar.

• En la parte inferior de la pantalla, pinchar sobre el botón procesar. En ese momento, queda registrado elusuario que lanza el proceso de carga o descarga y la fecha en que se realiza. El sistema lanza unprocedimiento de comprobación que permitirá identificar errores que se puedan producir. En caso de noproducirse errores, únicamente habrá que validar el proceso, pulsando el botón “Validar”. Si se producenerrores es posible consultar el origen de ellos pulsando el botón “Errores” habilitado en la esquinaderecha de la pantalla.

Como ya se ha comentado anteriormente, el campo “Est.” muestra, mediante códigos, el estado en que quedael fichero. Los posibles estados son:

• Si el campo muestra el valor “0”, el fichero no está procesado.

• Si el campo muestra el valor “1”, el fichero está procesado pero no se ha validado.

• Si el campo muestra el valor “2”, el fichero está procesado y validado y por tanto generado.

El sistema permite también la posibilidad de consultar por pantalla todos los tipos de ficheros y seleccionandouno de ellos acceder a la pantalla anteriormente descrita para procesar un fichero.

FORMA DE ACCESO

• Administración

Gestión de ficheros

Mantenimiento de Ficheros

FUNCIÓNÉsta es una pantalla únicamente de consulta que muestra:

• El código del módulo al que pertenece el tipo de fichero. Es el campo “Cód”.

• Código y descripción del tipo de fichero

• Tipo de operación que se puede realizar, es decir, lectura, escritura o todas.


Versión 5.1.


• Directorio en que está el fichero del tipo de fichero seleccionado.

9. CÓMO LLAMAR DESDE LA APLICACIÓN A DESARROLLOS PROPIOSMediante este módulo se facilita a la Universidad poder llamar a los desarrollos propios, pantallas o listados,para ejecutarlos desde la aplicación.

9.1. ¿CÓMO SE REALIZA LA LLAMADA A LOS DESARROLLOS PROPIOS?Para realizar el enlace con los desarrollos propios que ha elaborado la Universidad se deben seguir lossiguientes pasos:

• Abrir el menú: “menu_des_propios.mmb”.

• Copiar el código genérico que se encuentra en la opción de menú genérico form, o menú genéricoreports, según trate de un desarrollo u otro.

• Añadir un nuevo menú y editarlo (PL/SQL Editor)

• Pegar el código genérico.

• Personalizar el código genérico:

Sustituir el nombre del form o report al que se está llamando (FORM_NAME o NAME_REPORT)

Si el nuevo desarrollo no requiere parámetros; omitir el código que crea la lista de parámetros.

Si el nuevo desarrollo si requiere parámetros:

Sustituir el nombre del parámetro que se está añadiendo (NAME_PARAM1….n)

Añadir el valor o los valores del parámetro requerido (XXX)

• Generar el Menú. Ctrl+Alt.+T y copiarlo en el servidor de pantallas de la aplicación de Alumnado.

9.1.1. CÓDIGO GENÉRICO DE LLAMADA A FORMdeclare

pl_id ParamList;

begin

pl_id := Get_Parameter_List('pl_name');

IF (not id_null (pl_id)) THEN

destroy_parameter_list (pl_id);

END IF;

pl_id := create_parameter_list ('pl_name');

Add_Parameter(pl_id, 'NAME_PARAM1', TEXT_PARAMETER, 'XXX');


call_form('FORM_NAME', NO_HIDE, NO_REPLACE, NO_QUERY_ONLY, pl_id);


end;


Versión 5.1.


En color se resalta el código que la Universidad debe sustituir para realizar la llamada.

9.1.2. CÓDIGO GENÉRICO DE LLAMADA A REPORTSdeclare

pl_id ParamList;

begin

pl_id := Get_Parameter_List('pl_name');

IF (not id_null (pl_id)) THEN


END IF;

pl_id := create_parameter_list ('pl_name');



RUN_PRODUCT(REPORTS,'NAME_REPORT',

ASYNCHRONOUS,RUNTIME,FILESYSTEM,PL_ID,NULL);


end;

En color se resalta el código que la Universidad debe sustituir para realizar la llamada.

9.2. CONTROL DE ACCESOS A LOS NUEVOS DESARROLLOSUna vez que se ha hecho la llamada a los nuevos desarrollos, propios de la Universidad, se puede restringir elacceso a los usuarios mediante la definición de perfiles en el módulo de administración, de la misma forma quecon el resto de la aplicación.

10. CONTROL DE LA EXPIRACIÓN DE CLAVES Y BLOQUEOS DE CUENTASMediante esta funcionalidad definición se ejerce el control de las claves de los usuarios, los bloqueos de lascuentas del usuario, el número de sesiones a las que se puede conectar y el tiempo de conexión. Esto se va acontrolar por medio de los PROFILE de ORACLE.

Las tareas que se pueden gestionar a través de los profile son las siguientes:

• Definición de los valores a aplicar para el control de claves (se realiza a través de la pantalla demantenimiento de Profiles)

• Asociación de usuarios a un profile. Los usuarios que no tengan profile asignado tomarán el profile“DEFECTO”.

• Implementación de un proceso de bloqueo y desbloqueo manual de claves y consulta general del estadode las claves de los usuarios


Versión 5.1.


• Verificación de las claves del usuario.

Se describe a continuación el funcionamiento de cada una de ellas indicando la forma de acceso.

10.1. CÓMO SE DEFINEN LOS VALORES QUE SE APLICAN A CADA PROFILE

FORMA DE ACCESO

• Módulo de Administración

Control de Acceso

Mantenimiento de Profiles

FUNCIÓNEsta pantalla permite el mantenimiento de las condiciones a asignar a cada profile que se defina en el sistema.Está permitido dejar las características con valor nulo; en tal caso el sistema toma los valores del Profile“DEFAULT” (o “por defecto”) que es interno de Oracle y para toda la base de datos.

Es importante destacar:

• En caso de borrar un Profile ya asociado a usuarios, estos serán gestionados automáticamente por elProfile por defecto.

• El Profile por defecto se puede modificar pero no borrar.

Los campos de la pantalla son los siguientes:

• Código de Profile. Es un código alfanumérico que siempre debe comenzar por “EUIB_”.

• Tiempo de conexión por sesión: indica el número de sesiones total a las que el usuario puede acceder.Debe ser mayor al número de sesiones de la aplicación de cualquier usuario que esté asociado a esteProfile.

• Número de sesiones por usuario: muestra el número de sesiones total al que el usuario puede acceder.Debe ser mayor al número de sesiones de la aplicación de cualquier usuario que esté asociado a esteProfile.

• Número de intentos de fallidos de registro del usuario. Al superar este número de intentos se bloquea elusuario y desconecta la sesión. Al hacer la siguiente conexión con éxito, el número de intentos fallidos sereinicializa. Los intentos fallidos se contabilizan sobre la vida del usuario y no por cada intento fallido parauna conexión.

• Tiempo de bloqueo: indica el tiempo, en días, que permanece bloqueada la cuenta cuando se superalos intentos fallidos. En caso de no querer que se desbloquee automáticamente al cabo de un tiempo,este valor debe dejarse nulo.

• Vida de la clave: muestra el tiempo de vigencia de una clave en días. Admite números decimales parapoder indicar horas y minutos. Una vez superado este tiempo, Oracle pide la introducción de la nueva.

• Tiempo de gracia: indica el intervalo de tiempo en días desde que expiró la clave hasta que realmenteésta expira. El valor no puede ser mayor al de la vida de la clave.

10.2. ASIGNACIÓN DE USUARIOS A UN PROFILE

MODO DE ACCESO


Control de Acceso


Versión 5.1.


Usuarios

FUNCIÓNEsta pantalla ya ha sido descrita en el punto 5.4. del documento puesto que en ella se realiza el registro de losusuarios. En ella se asigna al usuario indicado el profile que debe tener, seleccionándolo de la lista de valoresasociada al campo.

10.3. CÓMO BLOQUEAR Y DESBLOQUEAR USUARIOS

MODO DE ACCESO


Control de Acceso

Bloqueo de Usuarios

FUNCIÓNDesde esta pantalla se permite el bloqueo y desbloqueo de los usuarios registrados en el sistema, mediantelos botones habilitados en la parte inferior de la pantalla. Si la cuenta del usuario está desbloqueada, el botónde bloquear se activa y viceversa.

La pantalla muestra los siguientes campos:

• La fecha de bloqueo (si está bloqueado).

• La fecha de expiración de la clave.

• Los días de gracia de expiración.

• El estado del usuario. Los posibles estados son:

Vigente

Expirado

Expirado con tiempo de Gracia

Bloqueado por intentos fallidos

Bloqueado por Administrador

Expirado y Bloqueado por intentos fallidos

Expirado (Gracia) y Bloqueado por intentos

Expirado y Bloqueado por Administrador

Expirado (Gracia) y Bloqueado por Administrador

10.4. CONTROL DE LAS CLAVES DE USUARIO Este control se ejerce a través de las condiciones especificadas en el profile asignado a cada usuario.

Se detalla a continuación el comportamiento que sigue el sistema según las diferentes casuísticas:

• Si se introduce el usuario o la clave incorrectos muestra el mensaje: “Usuario/Clave incorrectos” ycierra el programa.


Versión 5.1.


• Si el usuario tiene la cuenta bloqueada muestra el mensaje: “Cuenta del usuario bloqueada” y cierra elprograma.

• Si se supera el número de sesiones por usuario muestra el mensaje: “Número de sesiones por usuarioexcedido” y cierra el programa.

• Si la clave ha expirado aparece un dialogo propio del FORMS en el que se pide introducir la claveantigua y la nueva clave el usuario por dos veces.

Si hubiera asignada una función de verificación, muestra el mensaje: “Error en la verificación de laclave”

Si no se modifica la clave muestra el mensaje: “No se han cambiado las claves”

Si se tuviera activada la no reutilización de claves muestra el mensaje: “La clave no se puede volver ausar”

Si se falla más del número de veces permitido por Profile, al introducir la clave, muestra el mensaje:“Cuenta del usuario bloqueada” y bloquea el usuario.

11. VISIÓN GENERAL DE MEDIDAS DE SEGURIDAD EN UNIVERSITAS XXI® -ACADÉMICO VERSIÓN 5.1.

En este apartado se pretende ofrecer una visión general de las medidas de seguridad existentes enUNIVERSITAS XXI® - ACADÉMICO, exponiendo las novedades incorporadas a partir de la versión 5.0 dentrodel contexto del resto de medidas de seguridad, que también se exponen. Su contenido básico es de carácterfuncional, aunque en determinados puntos se introducen algunas observaciones de carácter técnico.

El siguiente cuadro esquematiza las medidas de seguridad que contempla el sistema; para cada una de ellasse llama la atención sobre novedades incorporadas en la versión 5.0. y por ende en la versión 5.1., que quedandetalladas en este documento.

MEDIDAS DE SEGURIDAD DE ACCESO OBSERVACIONES

SISTEMA DE CONTRASEÑAS INTERNAS Se incorpora en UXXI 5.0

BLOQUEO DE USUARIOS Disponible desde UXXI 4.2

Límite de sesiones por usuario Disponible desde UXXI 4.2

Límite de intentos de conexión Disponible desde UXXI 4.2PERFILES DE ACCESO A

BASE DE DATOSLímite de uso de claves Disponible desde UXXI 4.2

Vías de accesoDisponible desde UXXI 4.2. Se amplía en

UXXI 5.0

Máquinas Disponible desde UXXI 4.2

AC

CES

O A

LA

BA

SE D

E D

ATO

S

CONTROLES ESPECÍFICOS

EN LA CONEXIÓN

Franjas horarias Disponible desde UXXI 4.2

ACCESO A LAS APLICACIONES Modificado en UXXI 5.0

Perfiles de acceso a módulosDisponible desde versiones anteriores. Con

modificaciones en UXXI 5.0

AC

CES

O A

LA

SA

PLIC

AC

ION

ES

ACCESO A LOS MÓDULOS Control de versionesDisponible desde versiones anteriores. Con

modificaciones en UXXI 5.0


Versión 5.1.


Control de acceso de lectura /

escritura

Se incorpora en UXXI 5.0

ACCESO A LOS DATOSAmpliado en UXXI 5.0. Se incorporan

controles asociados al nuevo módulo de

Gestión de Recursos Docentes.

11.1. CONTROLES EN LA CONEXIÓN A LA BASE DE DATOS

11.1.1. SISTEMA DE CONTRASEÑAS INTERNAS

CONSIDERACIONES FUNCIONALESConcepto del sistema:Consiste en la posibilidad de utilizar contraseñas de usuario distintas de las contraseñas de acceso a labase de datos. El sistema se encarga de trasformar la contraseña con la que un usuario se autentica, en otracontraseña interna, que desconoce, pero que le autentica en la base de datos. Esta medida impide laposibilidad de que un usuario gestionado mediante UNIVERSITAS XXI se autentique en la base de datosutilizando vías de acceso no contempladas en el sistema, considerado éste en sentido amplio2.

Cuando el sistema está activo su uso es absolutamente trasparente para el usuario, en todas las funciones enlas que interviene: creación de usuarios, cambio de contraseña forzada en la primera conexión, conexiónhabitual, cambio de contraseña bajo demanda, cambio de contraseña forzada por expiración de la anterior.

El único punto de interferencia en las tareas de los usuarios se produce cuando se activa o desactiva elsistema, tareas que requieren el cambio de contraseñas y que se deben abordar siempre con apoyoinformático.

Activación:

La activación del sistema se realiza actuando sobre el parámetro SISCONTRSINT, Sistema de contraseñasinternas, de tipo SIS. Una vez activado, todas las funcionalidades afectadas harán uso de sistema para latransformación de contraseñas. Por las razones que se indican a continuación, nunca debe activarsemanualmente.

Sin embargo, para los usuarios ya existentes, el sistema no puede trasformar las contraseñas porque lasdesconoce. Para solucionar esta situación es necesario apoyo informático que consiste en la asignación denuevas contraseñas a los usuarios, tarea que se puede apoyar en utilidades suministradas con UXXI 5.1.

CONSIDERACIONES TÉCNICAS PARA PUESTA EN MARCHA

• Puesta en marcha:

Antes de poner en marcha el sistema de contraseñas internas es necesario transformar las actualescontraseñas de los usuarios. Como en versiones anteriores de UXXI, el sistema no almacena las contraseñassino que se apoya en el gestor de la base de datos. Para facilitar la reasignación de contraseñas a los usuariosde forma acorde con el nuevo sistema, se suministran dos procedimientos para su activación y generación delas nuevas contraseñas:

2 Esto es, considerando el propio UNIVERSITAS XXI, herramientas diversas proporcionadas por OCU, comoRed C@mpus, el Generador de Informes, el Generador de Cartas y Etiquetas, etc., e incluso aplicativosconsistentes en desarrollos propios de las universidades, que explotan la base de datos de UXXI y utilizan losusuarios gestionados por este sistema.


Versión 5.1.


El primer método3 consiste en regenerar contraseñas de forma que la contraseña de usuario coincidacon su nombre de usuario, del mismo modo que en el procedimiento de alta. Con este método lacomunicación de contraseñas a los usuarios es de carácter general, aunque supone un menor nivelde seguridad.

El segundo método consiste en regenerar contraseñas asignando nuevas contraseñas de usuario.Esto supone comunicar las nuevas contraseñas a cada uno de los usuarios gestionados a través delsistema.

La transformación nunca incluye al propietario del esquema de UNIVERSITAS XXI, cuando éste se configuracomo usuario del sistema.

• Acceso a la base de datos de UNIVERSITAS XXI desde aplicaciones externas:

Aquellos clientes usuarios de Universitas XXI que hayan abordado desarrollos propios consistentes enaplicaciones que utilizan el sistema de usuarios que proporciona UXXI, deberán adaptar el acceso delos usuarios en las condiciones que se especifican en el documento Universitas XXI 5.0. Acceso al sistemae identificación de vías de acceso.

• Importación y exportación de la base de datos o del esquema de UNIVERSITAS XXI:

Para implementar el sistema de contraseñas internas se suministran varios componentes de la base de datosen formato plb (wrapped). Puesto que las utilidades import / export del gestor de base de datos no contemplanese formato, tras realizar operaciones de exportación e importación, esos componentes quedan en estadoincorrecto.

Para solucionar el problema basta con reinstalar los componentes de la correspondiente versión deUNIVERSITAS XXI. Los componentes a reinstalar son los siguientes:PKG_ACCESOS.plb

PKG_CTX_APLICACION.plb

PKG_ACTUALIZA_CLAVES_INTERNAS.plb

11.1.2. BLOQUEO DE USUARIOSUna cuenta de usuario bloqueada es una cuenta desactivada manualmente, respondiendo a cualquier motivofuncional u organizativo, en la que no se permiten conexiones mientras permanezca el bloqueo. La pantalla debloqueo y desbloqueo de usuarios – FUIB_MANBLQUSU – permite establecer y eliminar bloqueos. La pantallatambién permite estudiar los periodos de expiración de claves y de gracia.

3 Para activar o desactivar el sistema de contraseñas internas basta realizar las siguientes acciones, enSQL*Plus desde el esquema propietario de UNIVERSITAS XXI, que tras actuar sobre el parámetro de control(SISCONTRSINT) y reasignar contraseñas a los usuarios, generarán una salida de información detallando loscambios:

set serverout on size 1000000set lines 250set pages 500exec uib$uini.inicialitzar;exec pkg_actualiza_claves_internas.pr_actualiza_claves_internas(1, ‘A’, NULL);

El primer parámetro indica el método (1 ó 2) y el segundo el modo (‘A’ Activar ó ‘D’ Desactivar); el tercerparámetro admite un usuario al que se limitará la trasformación cuando se informa (se recomienda no utilizaresta posibilidad y realizar la trasformación para todos los usuarios a la vez, manteniendo el valor del parámetroa NULL).


Versión 5.1.


Conviene aclarar que el bloqueo de una cuenta de usuario es un impedimento de conexión incondicional, queno se debe confundir con otras limitaciones a la conexión, de carácter condicional, que se consideran en losapartados 10.1.3.y 10.1.4.

11.1.3. CONTROLES BASADOS EN PERFILES DE ACCESO A BASE DE DATOSConcepto:

Un perfil de acceso a base de datos (o profile) reúne una serie de características que permiten controlar elacceso de los usuarios a los que se asigna ese perfil. El concepto de perfil de acceso a base de datos essimilar al de perfiles de acceso a módulos (los perfiles tradicionales en UNIVERSITAS XXI), con los que no hayque confundirlos; existen diferencias conceptuales importantes:

• A un usuario sólo se le puede asignar un perfil de acceso a base de datos, mientras que se le puedenasignar múltiples perfiles de acceso a módulos.

• El número de características definibles en un perfil de acceso a base de datos es reducido ypreestablecido, siempre finito, mientras que a un perfil de acceso a módulos se le puede asignar un númerode características (módulos), potencialmente ilimitado.

La posibilidad de uso de estos perfiles de acceso a base de datos desde UXXI 4.2 generaliza, amplia opotencia algunos controles de acceso de versiones anteriores que tenían un alcance más limitado.

Las características de acceso que se asocian a uno de estos perfiles permite implementar las siguientesmedidas de seguridad:

• Límite del número de sesiones por usuario (apartado 10.1.3.1.)

• Límite de los intentos de conexión a una cuenta de usuario (apartado 10.1.3.2.)

• Límite de uso de contraseñas (apartado 10.1.3.3.)

El detalle de esas características se encuentra en los apartados indicados, que siempre se establecen enmantenimiento de profiles – FUIB_MANPFL – para la definición de un perfil de acceso a base de datos, y seasignan a los usuarios a través del mantenimiento de usuarios – FUIB_MAMUSU –, campo USUARIO.PFL_CODALF.

Activación y desactivación de los controles:

Los controles indicados se activan, desactivan o modifican para un usuario de alguna de las siguientesmaneras:

• Modificando las características de acceso del perfil asociado al usuario, a través del mantenimiento deprofiles – FUIB_MANPFL –, en los campos correspondientes a cada control, según se detalla en los apartados10.1.3.1., 10.1.3.2., y 10.1.3.3.; estos cambios afectarán también a cualquier otro usuario asignado al perfilmodificado.

• Reasignando al usuario un perfil con características diferentes, a través del mantenimiento de usuarios –FUIB_MAMUSU –.

10.1.3.1. LÍMITE DE NÚMERO SESIONES POR USUARIOTradicionalmente UNIVERSITAS XXI ha permitido limitar el número de sesiones simultáneas que podíaestablecer un determinado usuario (mantenimiento de usuarios – FUIB_MANUSU, campo USUARIO.NUMMAXSES);pero este control se realizaba exclusivamente en las sesiones abiertas desde las propias pantallas de UXXI, sinconsiderar otras herramientas o aplicaciones disponibles.


Versión 5.1.


Desde UXXI 4.2 esta posibilidad del control se generaliza a cualquier conexión abierta por un usuariogestionado por el sistema.

El nuevo control es compatible y coherente con el anterior. La nueva limitación se establece en un perfil deacceso a base de datos (ver mantenimiento de profiles – FUIB_MANPFL, campo PROFILE.MAXSES) que se asocia alusuario (ver mantenimiento de usuarios – FUIB_MANUSU, campo USUARIO.PFL_CODALF).

10.1.3.2. LÍMITE DE INTENTOS DE CONEXIÓNTradicionalmente el menú de acceso a UNIVERSITAS XXI ha establecido un límite fijo de tres intentos en laconexión de un usuario, pero el control sólo se realizaba en la conexión a través del menú, sin considerar otrasherramientas o aplicaciones disponibles. Por otra parte el control no tenía mayor trascendencia, al no asociarseninguna acción especial al evento de alcanzar ese límite en una cuenta de usuario.

Desde UXXI 4.2 esta posibilidad del control se generaliza a cualquier conexión abierta por un usuariogestionado por el sistema, y al evento de alcanzar ese límite se le puede asociar el bloqueo de la cuenta delusuario en cuestión.

El número intentos de conexión fallidos, a partir del cual se impide la conexión, se establece en un perfil deacceso a base de datos (ver mantenimiento de profiles – FUIB_MANPFL, campo PROFILE.INTCLV), que se asocia alusuario (ver mantenimiento de usuarios – FUIB_MANUSU, campo USUARIO.PFL_CODALF). Si se desea que lascuentas queden bloqueadas hay que definir también en el perfil el número de días que permanecerá bloquedala cuanta, cuando se alcanza el máximo de intentos (ver mantenimiento de profiles – FUIB_MANPFL, campoPROFILE.DIABLQ).

Los cuentas bloqueadas se desbloquean automáticamente en las fechas resultantes, pero en caso necesariopueden desbloquearse previamente a través de la pantalla de bloqueo / desbloqueo de usuarios –FUIB_MANBLQUSU.

10.1.3.3. LÍMITE DE USO DE CONTRASEÑAS: EXPIRACIÓN DE CONTRASEÑASDesde UXXI 4.2 se introduce la posibilidad de limitar el periodo de tiempo en que un usuario utiliza una mismacontraseña. Una vez transcurrido ese periodo las contraseñas expiran, y en cualquier intento de conexiónposterior se forzará al usuario, a través del menú general de UNIVERSITAS XXI, a cambiar su contraseña.

Opcionalmente, el periodo de expiración efectivo se puede ampliar definiendo un periodo de gracia. Duranteeste último, en cualquier solicitud de conexión la situación es la siguiente:

• Se informa al usuario, a través del menú de UNIVERSITAS XXI, de la fecha definitiva de expiración de sucontraseña.

• Se permitirá la conexión con la contraseña próxima a expirar.

• El usuario podrá modificar voluntariamente la contraseña, cancelando el proceso de expiración einiciando un nuevo ciclo.

El periodo de expiración de una contraseña de usuario (número de días desde que se asigna una contraseña alusuario hasta que la contraseña expira) se establece a nivel de perfil de acceso a base de datos(mantenimiento de profiles – FUIB_MANPFL, campo PROFILE. DIACLVEXP) que se asocia al usuario (mantenimientode usuarios – FUIB_MANUSU, campo USUARIO.PFL_CODALF). La posibilidad de considerar un periodo de gracia(número de días desde la fecha teórica de expiración hasta la fecha de expiración efectiva) se establecetambién en mantenimiento de profiles – FUIB_MANPFL –, campo PROFILE.DIAMRGCLV.


Versión 5.1.


10.1.3.4. ESQUEMA RESUMEN Y CONSIDERACIONES TECNICASLos controles basados en perfiles de acceso a base de datos se fundamentan en los objetos profile (perfil) delgestor de la base de datos. A cada perfil de acceso a base de datos de UNIVERSITAS XXI se le hacecorresponder un profile en la base de datos, de igual forma que a los perfiles de acceso a módulos (perfilestradicionales) se le hace corresponder un role.

La tabla siguiente resume las características que definen un perfil de acceso a base de datos, sucorrespondencia a un determinado control y la correspondencia de cada característica en UNIVERSITAS XXIcon su homóloga en el gestor de la base de datos.

Controles basados en perfiles de acceso a bases de datos (profiles)

Características que lo definenCONTROL Descripción Perfil en UXXI:

TUIB_PROFILE

Parámetros del profile (Oracle)

Nro. de sesiones por usuario Número de sesiones MAXSES SESSIONS_PER_USER

Número de intentos INTCLV FAILED_LOGIN_ATTEMPTSMáximos intentos de conexión

Días de bloqueo DIABLQ PASSWORD_LOCK_TIME

Periodo de expiración (días) DIACLVEXP PASSWORD_LIFE_TIMEExpiración de contraseñas

Periodo de gracia (días) DIAMRGCLV PASSWORD_GRACE_TIME

11.1.4. CONTROLES ESPECÍFICOS EN LA CONEXIÓNConcepto: Se denomina de este modo a los siguientes controles disponibles desde UXXI 4.2., con algunas modificacionesen UXXI 5.0:

• Control de la vía de acceso con la que se establece la conexión.

• Control de la máquina desde la que se accede.

• Control de la franja horaria en la que se realiza la conexión.

Estos controles específicos, se plantean para restringir el acceso en determinadas condiciones y sematerializan definiendo unas conexiones tipo (ver mantenimiento de conexiones – FUIB_MANCNX –), queconsisten básicamente en relacionar un conjunto de usuarios con una o más de las características de acceso4

que definen en qué condiciones se autoriza o deniega una conexión.

• El conjunto de usuarios se establece asignando un perfil de acceso a módulos a la conexión tipo.

Para cada perfil se definirán una o más conexiones tipo que autorizan o deniegan el acceso a sususuarios, por lo que a estos controles se refiere. Un usuario queda afectado por las restricciones deconexión asociadas a cualquiera de sus perfiles de acceso a módulos, con total independencia de losmódulos a los que da acceso cada uno de los perfiles5. Las autorizaciones prevalecen sobre lasdenegaciones.

4 Una vía de acceso y/o una definición de máquina y/o una definición de franja horaria, previamenteestablecidas.5 El propósito de la definición por perfiles es no obligar a definir los comportamientos deseados usuario ausuario, sino por grupos de usuarios. Pueden utilizarse los mismos perfiles que dan acceso a los módulos delas aplicaciones, u otros definidos únicamente para definir los controles que aquí nos ocupan, a los que no seasociaría módulo alguno.


Versión 5.1.


Pueden establecerse excepciones para algún usuario de un determinado perfil: para ello se definiráuna conexión tipo asociada al mismo perfil y también al usuario que se exceptúa, indicando si se leautoriza o deniega el acceso.

El objeto de las conexiones asociadas a usuario y perfil es establecer comportamientosexcepcionales para algún usuario en situaciones puntuales de breve duración. El responsable delmantenimiento de cada perfil debe eliminarlas cuando la situación excepcional desaparece.

Las conexiones tipo asociadas a usuario y perfil predominan sobre las conexiones tipo asociadas aperfil.

En caso de contradicción entre dos o más conexiones asociadas a usuario y perfil, predomina laque autoriza el acceso.

Finalmente, por lo que a estos controles se refiere, hay que tener en cuenta que se permitirá laconexión de un usuario para el que no existe ninguna definición de conexiones tipo, esto es, paraninguno de los perfiles del usuario, ni para el usuario en cuestión.

• La asignación de las características de acceso a una conexión tipo se realiza:

Asignando, o no, una de las vías de acceso establecidas.

Asignando, o no, una definición de maquinas, entendida como una dirección IP o como un rangode direcciones IP.

Asignando, o no, una definición de las franjas horarias mediante los atributos que éstasconsideran.

En una conexión, al menos debe asignarse uno de los grupos de características para que la autorización orestricción tenga significado; cuando se asigna más de uno, la conexión tipo aplica a conexiones de usuarioque cumplen la totalidad de las características asignadas.

Cada grupo de características que se asigna debe estar preestablecido; las características de acceso debentipificarse previamente para simplificar el mantenimiento.

Por último, hay que indicar que las comprobaciones se realizan en el momento en que se establece la conexióna base de datos y en el momento en que se autentica la vía de acceso, según se explica en el apartado10.1.4.1. En el primer caso se realizan comprobaciones con independencia de la vía de acceso.

Activación:Se realiza en la propia conexión tipo actuando sobre un indicador de activación (mantenimiento de conexiones– FUIB_MANCNX –, campo TUIB_CONEXION.FLGATV); las características de una conexión de usuario se validan sólocontra las características de las conexiones tipo activas que afectan a la conexión que se valida.

11.1.4.1. VÍAS DE ACCESOConcepto:Entendemos por vía de acceso, en la conexión de un usuario, la herramienta o tipo de herramienta a través dela cual se realiza la conexión a la base de datos de UNIVERSITAS XXI, ya sea a través de las aplicacionesque componen el sistema, a través de otras aplicaciones externas que la explotan, o a través de herramientasadministrativas diversas.

La vía de una conexión es un valor declarado, y autenticado mediante una clave, por la aplicación queestablece la conexión. La efectividad del control de vías de acceso depende pues de que las aplicacionesautentiquen su vía de acceso y está íntimamente relacionada con el uso del sistema de contraseñas internas.Con este sistema activo, la situación es la siguiente:


Versión 5.1.


• Un usuario gestionado por UNIVERSITAS XXI sólo podrá conectarse a la base de datos de UXXI a travésde una herramienta que interactúe con el sistema de contraseñas internas, de forma que disponga de lacontraseña interna del usuario que solicita la conexión. Esta no será posible a través de otras herramientaspor desconocimiento de la propia contraseña interna de acceso a la base de datos.

• Un usuario no gestionado por UNIVERSITAS XXI, no pudiendo acceder a través de las herramientas quecomponen el sistema, sí podrá acceder a la base de datos pero no dispondrá de permisos de acceso a losdatos de UXXI6.

El uso del sistema de contraseñas internas, además de proporcionar el control de acceso descrito, asegura laidentificación de la vía de acceso que a su vez permite realizar los controles definidos sobre ella, limitando lasvías válidas para algunos usuarios, en combinación, o no, con los controles de máquina y franja horaria.

En detalle, el control de vías de acceso se realiza dependiendo del valor del parámetro NIVCTLVIAACC (Nivelde control de vías de acceso), de tipo SIS, que puede adoptar los siguientes valores:

0 - No realizar el control.

1 - Controlar la vía de acceso sólo cuando está definida.

2 - Controlar las vías de acceso e impedir el acceso a datos cuando la vía de acceso no está definida.

El control de vías de acceso está disponible desde UXXI 4.2, pero es en UXXI 5.0. donde arranca la posibilidadde definir las vías de acceso de las conexiones, y por tanto de controlarlas efectivamente. El nivel 1 suponeun control parcial, pero efectivo sobre las vías autenticadas y el resto de controles del apartado 10.1.4,orientado a la situación transitoria en que existen aplicaciones lícitas que deben acceder a UNIVERSITAS XXIy todavía no autentican la vía de acceso. El nivel 2 quedará implementado en futuras versiones.

Las diferentes vías de acceso que considera UNIVERSITAS XXI son unos valores predefinidos7 sujetos amodificación y/o ampliación en la medida en que se incorporen o varíen las herramientas que componenUniversitas XXI, o las herramientas que estén autorizadas para explotar sus datos. En el documentoUniversitas XXI 5.0. Acceso al sistema e identificación de vías de acceso, se detallan las vías de accesoconsideradas en UXXI 5.08 y las aplicaciones que autentican la vía de acceso en esta versión.

11.1.4.2. MÁQUINASLas definiciones que se asignan a una conexión tipo para denegar o autorizar el acceso desde determinadasmáquinas, consisten en establecer un rango de direcciones IP caracterizado por una dirección IP mínima yuna dirección IP máxima. Si ambas direcciones coinciden, la denegación o autorización se limita a una únicamáquina.

Estas definiciones se realizan a través del mantenimiento de IP’s – FUIB_MANIPD –.

11.1.4.3. FRANJAS HORARIASLas definiciones de franjas horarias que se asignan a una conexión tipo para denegar o autorizar el acceso endeterminados momentos, consisten en categorizarlas a través del mantenimiento de franjas horarias –FUIB_MANFRH –.

6 Salvo que, administrativamente, se le concedieran permisos por métodos externos a los que proporcionaUNIVERSITAS XXI.7 Es una tabla precargada.8 Las vías válidas pueden consultarse también en el mantenimiento de vías – FUIB_MANVAC –.


Versión 5.1.


Una franja queda definida estableciendo:

• El horario de conexión, referido a un intervalo de fechas en el que es válido.

• Opcionalmente, los días de la semana a los aplica ese horario.

El horario queda definido por una hora de inicio y una hora de fin, que aplica a un periodo de tiempo definidopor una fecha de inicio y una fecha de fin. Opcionalmente se indicará si se desea restringir ese horario adeterminados días de la semana (TUIB_FRANJA. FLGDIASEM), y, en caso afirmativo, se indicaran los días de lasemana a los que quedará referida la franja horaria en cuestión.

11.2. CONTROLES DE ACCESO A LAS APLICACIONESSe refiere a los controles que realiza el sistema cuando un usuario accede a un módulo (por ejemplo, unapantalla o un informe) de una de las aplicaciones que componen UNIVERSITAS XXI, cuyo comportamientodepende de varios factores. En este apartado consideramos los siguientes controles:

• Control de acceso a las aplicaciones.

• Control de acceso a los módulos, en tres aspectos:

Control de acceso del usuario al módulo solicitado.

Control de versión del módulo.

Control de permisos de lectura / escritura del usuario a través de módulo.

11.2.1. ACCESO A LAS APLICACIONESEl menú principal de UNIVERSITAS XXI, a partir de la versión 5.0. y por tanto en esta versión 5.1., sólomuestra las aplicaciones activas definidas en el sistema (ver mantenimiento de aplicaciones – FUIB_MANAPL;campo APLICACION.ACTIVO_SN)9, con total independencia del usuario que realiza el acceso.

11.2.2. ACCESO A MÓDULOSCuando un usuario solicita el acceso a un módulo, se realizan los controles que se indican a continuación, justoen el momento en que se inicia la ejecución del módulo:

• Control de acceso del usuario al módulo solicitado.

• Control de versión del módulo.

• Control de permisos de lectura / escritura del usuario para ese módulo.

11.2.2.1. CONTROL DE ACCESO POR PERFILESConcepto:Es el mecanismo que permite otorgar o denegar a un usuario el permiso de acceso a un determinado módulode la aplicación. La concesión de permisos se realiza por grupos de usuarios homogéneos, que denominamosperfiles o perfiles de acceso a módulos; se realiza del siguiente modo:

• Creando un perfil (FUIB_MANPER) y asignándole los módulos a los que se desea que tenga accesocualquier usuario que se asigne al perfil. La asignación debe hacerse preferentemente a través delmantenimiento de perfiles – FUIB_MENUPER – que guía al usuario a través de los menús de la aplicaciónpara localizar los módulos deseados. En la asignación de un módulo a un perfil pueden definirse tambiénrestricciones de acceso:

9 La aplicación aparece en el grupo indicado por el campo tipo de menú del mantenimiento de aplicaciones.


Versión 5.1.


Por fechas, estableciendo un periodo de tiempo de acceso válido, que se puede generalizar paratodos los años, en las condiciones que se explican más adelante en este mismo apartado.

En la modificación de datos a través del módulo.

• Creado usuarios (FUIB_MANUSU) y asociándolos al perfil (FUIB_MANUSU O FUIB_MANPER)10.

Cuando este control está activo, para que un usuario pueda acceder a un módulo, deben concurrir lassiguientes circunstancias:

• El usuario debe tener asociado al menos un perfil que conceda acceso al modulo.

• La restricción por fechas debe superarse, de alguna de las siguientes formas, de acuerdo con lasrestricciones establecidas en la asignación del módulo al perfil:

No se ha especificado rango de fechas (no hay restricción).

Se ha especificado fecha de inicio, pero no fecha de finalización, y la fecha de acceso supera a lafecha de inicio del periodo.

No se ha especificado fecha de inicio pero sí fecha de finalización, y la fecha de acceso es anteriora la fecha de finalización del periodo.

Se han establecido fechas de inicio y de finalización, y la fecha de acceso se encuentra entre lasfechas de inicio y de finalización.

Se han establecido fechas de inicio y de finalización que detreminan un periodo inferior a un año y conindicación de que aplica todos los años (PRG_PERFIL.TODOS_ANNOS_SN), y la fecha de acceso seencuentra entre las fechas de inicio y de finalización del periodo, supuestas éstas adaptadas al añoen curso.

Conviene señalar, como ya se ha visto anteriormente, que las fechas de inicio y finalización del periodo deacceso permiten indicar horas y minutos.

Activación del control:El control de acceso se activa a nivel de aplicación (ver mantenimiento de aplicaciones – FUIB_MANAPL; campoAPLICACION. SEG_ACT_SN), afectando a todos los módulos asociados a esa aplicación. Si no se activa el controlde acceso, cualquier usuario podrá acceder a los módulos de la aplicación en cuestión.

La activación de este control se independiza de la activación del control de versiones a partir de UXXI 5.0.

11.2.2.2. CONTROL DE VERSIONESConcepto:El control de versión consiste en comparar:

• La versión del módulo que se ejecuta declarada en la base de datos (TUIB_MODUL.VERSION_PRG).

• La versión incluida internamente en el módulo que se ejecuta.

Cuando las dos versiones no coinciden se informa de la situación y se impide utilizar el programa como medidade protección ante errores de sincronización entre la versión de la base de datos y la instalación de losmódulos que componen UXXI.

Activación de control: El control de versiones se activa a nivel de aplicación (APLICACION.FLGACTCNTVER), afectando a todos losmódulos asociados a esa aplicación. Conviene tener siempre el control activo.

La activación de este control se independiza de la activación del control de versiones a partir de UXXI 5.0.

10 Hay que tener presente que cualquier usuario requiere además que se le asigne el perfil P_COMUN que leotorga acceso a módulos de propósito general.


Versión 5.1.


11.2.2.3. CONTROL DE ACCESO DE LECTURA / ESCRITURAConcepto: El control de acceso de lectura / escritura tiene por objeto limitar las capacidades de inserción, modificación yborrado de un módulo, de acuerdo con las indicaciones de usuario reflejadas en la asignación de módulos aperfiles. El acceso de lectura de un usuario a un módulo se desprende directamente de la concesión de accesoal módulo a través de un perfil asignado al usuario, en las condiciones que se indican en el apartado 10.2.2.1.,mientras que los diferentes permisos de escritura, en inserción, modificación y borrado de datos, son los que seindican el la relación del módulo con el perfil.

La definición de los permisos de lectura / escritura puede realizarse actuando sobre los indicadores deinserción, de modificación y de borrado en la relación entre el módulo y el perfil:

• Accediendo desde perfil (FUIB_MANPER) y entrando en la definición de módulos por perfil (FUIB_MDLPER).

• Accediendo desde módulo (FUIB_MANMDL) y accediendo a los perfiles por módulo (FUIB_PERMDL).

Este control está disponible desde UXXI 5.0.

Activación: El control de acceso de lectura / escritura se activa y desactiva en el ámbito de perfil (mantenimiento deperfiles, FUIB_MANPER; campo PERFIL.FLGACCESO_LE), y afecta a todos los módulos asociados a ese perfil.

• Cuando un usuario dispone de acceso a un determinado módulo a través de más de un perfil, prevalecenlas definiciones menos restrictivas, con independencia del perfil que otorga el acceso; en consecuencia,si alguno de los perfiles tiene desactivado el control de lectura / escritura, el usuario dispondrá de accesototal al módulo.

• El control de acceso de lectura / escritura se suministra desactivado.

El control de acceso de lectura / escritura se aplica con carácter general en todos los módulosdefinidos con un nivel de acceso general (mantenimiento de módulos FUIB_MANMDL; campoTUIB_MODUL.AFI_ACCESOLE). Ese nivel de acceso de los módulos se define en fábrica; los usuarios nopueden modificarlo. Los niveles de acceso considerados son los siguientes:

General:

Indica que el módulo está sujeto a los controles descritos, sin implementación específica en el módulocorrespondiente; el propio sistema se encarga del funcionamiento descrito.

Pantalla.

Indica que el módulo está sujeto a los controles descritos, pero la implementación la realiza el propiomódulo.

No procede.

Indica que el control de lectura / escritura en el módulo tiene un carácter específico, no sujeto a lasdefiniciones de usuario en la relación con el perfil, que queda implementado por el propio módulo y queresponde, en general, a una mecánica más compleja asociada a las funciones que el módulo aporta.

11.3. CONTROLES DE ACCESO A DATOSA partir de UNIVERSITAS XXI 5.0 se establecen los siguientes controles de acceso a datos.

• En las aplicaciones correspondientes a Gestión de Alumnado:

Diversas funcionalidades permiten el filtro de datos por plan de estudios.


Versión 5.1.


El filtro se establece asociando a un perfil uno o más de los planes de estudio a los que se permitirá elacceso, y activando el indicador de control de acceso a datos a nivel de perfil (mantenimiento de perfiles,FUIB_MANPER; campo PERFIL.FLGACCESO). El filtro puede generalizarse para filtrar por centro indicando todoslos planes del centro correspondiente.

• En la aplicación de Gestión de Recursos Docentes:

Diversas funcionalidades permiten el filtro de datos por centro, por departamento y por ejercicio

El acceso por centro, departamento, o total se indica a nivel de usuario (mantenimiento de usuarios –FUIB_MANUSU –, campo TUIB_USUARI.FLGACCDAT), y accediendo al mantenimiento de usuarios por centro,ejercicio y departamento (FUIB_USUCED) se definen los centros y/o departamentos a los que tendráacceso

En la asignación de ejercicios, se indican si el acceso a la información de un ejercicio está o nolimitada a funciones de consulta de datos.

12. ANEXOSe adjunta el documento mencionado en los apartados 10.1.1. Sistema de contraseñas internas y 10.1.4.1.Vías de acceso:

• UNIVERSITAS XXI 5.0. : Acceso al sistema e identificación de vías de acceso.

12.1. UNIVERSITAS XXI 5.0: ACCESO AL SISTEMA E IDENTIFICACIÓN DE VIAS DE ACCESO

12.1.1. INTRODUCCIONEl objeto de este documento es documentar la forma de acceso a UNIVERSITAS XXI como consecuencia denovedades introducidas en materia de seguridad a partir de la versión 5.0. Las consideraciones que seexponen afectan a cualquier aplicación externa, herramienta o componente del propio sistema UNIVERSITASXXI, que pretenda establecer conexiones a cuentas de usuarios gestionadas a través de UNIVERSITAS XXI.

Las novedades incorporadas en relación con este asunto son las siguientes:

• Posibilidad de utilizar contraseñas de usuario distintas de las contraseñas de acceso a la base de datos(Sistema de contraseñas internas). Esta medida se orienta a impedir conexiones a través de vías deacceso no autorizadas.

• Posibilidad de definir las vías de acceso a la aplicación, con propósito general, posibilitandocomportamientos del sistema dependientes de esa vía, por ejemplo, impedir accesos desde determinadasip’s cuando un usuario accede desde determinadas vías.

12.1.2. ACCESO A LA BASE DE DATOS DE UNIVERSITAS XXI. CONTRASEÑAS INTERNAS EIDENTIFICACIÓN DE VÍAS

La utilización del sistema de contraseñas internas incorporado en UXXI supone la necesidad de trasformarcontraseñas; es necesario trasformar la contraseña con la que el usuario se autentica11 en la contraseña con laque se establece conexión a la base de datos de UNIVERSITAS XXI.

Cuando este sistema de seguridad está activo, cualquier aplicación que acceda a la base datos, ya sea uncomponente del sistema UNIVERSITAS XXI o una aplicación externa que pretenda establecer acceso a travésde cuentas de usuario gestionadas mediante UNIVERSITAS XXI, deberá realizar esa transformación de claves

11 En una aplicación externa, herramienta o componente del propio sistema UNIVERSITAS XXI


Versión 5.1.


que sólo será posible mediante la correcta autenticación de la vía de acceso12. La forma de proceder es lasiguiente:

1. Establecer una conexión MST a la base de datos de Universitas XXI (BD) para realizar la transformación. Esta conexión estásecurizada; debe realizarse del siguiente modo (MSTAGOR/MSTAGOR@BD):

Usuario: MSTAGOR

Contraseña: MSTAGOR

Cadena de conexión: BD

2. Autenticar la vía de acceso:

Debe invocarse el siguiente procedimiento:

AG_PKG_CTX_APLICACION.pr_fijar_via_acceso (<Vía> , <AutenticaciónVía>');

Donde:

Vía VARCHAR2(8) Es una vía de acceso válida (ver tabla adjunta).

AutenticaciónVía VARCHAR2(32) Es un hash para autenticación de la vía correspondiente.

Debe solicitarse a Universitas XXI; sujeto a cambio periódico.

3. Obtener la contraseña interna para un usuario y contraseña de usuario dados:

Debe invocarse la siguiente función:

<ContraseñaInterna> := AG_PKG_ACCESOS.fu_genera_password (<Usuario>, <ContraseñaUsuario>);

Donde:

ContraseñaInterna VARCHAR2(22) Es la contraseña a obtener.

Usuario VARCHAR2(30) Es la cuenta del usuario de Universitas XXI.

ContraseñaUsuario VARCHAR2(30) Es la constraseña que introduce el usuario.

4. Cerrar la conexión MST

5. Establecer la conexión deseada: <Usuario>/<ContraseñaInterna>@BD

6. Atenticar la vía de acceso en la conexión deseada.

Se realiza del mismo modo que en el punto 2.

Este último paso es opcional en UXXI 5.0, pero será obligatorio en futuras versiones; por este motivo es convenienteimplementarlo junto con los pasos anteriores.

Mientras la autenticación de vía sea opcional, cuando no se realice no estarán disponibles las funciones asociadas a la vía deacceso.

El código de los programas que se encarguen de implementar los puntos anteriores, debe quedar en todo casoprotegido, de forma que los usuarios no dispongan de acceso a sus contraseñas internas ni a las claves deautenticación de vías (hash). Adicionalmente, los clientes que deseen hacer uso de estas medidas deseguridad se comprometen a mantener la privacidad de las claves de autenticación de vías que OCU facilitarábajo demanda y que actualizará periódicamente.

Vías de acceso en Universitas XXI 5.0

VÍA DESCRIPCIÓNFORM Pantallas de la aplicación (Developer Forms).

REPORT Listados de la aplicación (Developer Reports). Lanzadora de informes y otros.

GRAPHIC Gráficos de la aplicación (Developer Graphics).

JDBC Accesos JDBC en Universitas XXI.

12 Cuando la cuenta correspondiente al esquema de base de datos propietario de UNIVERSITAS XXI seconfigura como usuario del sistema, no se realiza transformación de claves, aunque la forma de proceder es lamisma. El acceso a través de esta cuenta debe ser restringido y acceso es o no posible a través delconocimiento de la correspondiente contraseña.


Versión 5.1.


ODBC Accesos ODBC en Universitas XXI; ejemplo Gestión de Horarios.

GENCAR_I Generador de Cartas y Etiquetas integrado en Universitas XXI.

GENCAR_S Generador de Cartas y Etiquetas en uso independiente (standalone).

GENINF_I Generador de informes integrado en Universitas XXI13.

PICASSO Accesos de PICASSO a Universitas XXI.

INTEGRA Accesos del INTEGRADOR DE SISTEMAS a Universitas XXI.

CAMPUS Accesos de RED CAMPUS a Universitas XXI.

SQL Accesos a través de SQL

APPEXT_1 Acceso de aplicaciones externas desarrolladas por clientes.





13 Actualmente el uso independiente (standalone) del Generador de Informes como herramienta administrativapara la definición de informes no utiliza conexiones a cuentas de usuario de UNIVERSITAS XXI.

universitas xxi® - acadÉmico guÍa de administraciÓn · universitas xxi® - acadÉmico guÍa de...

Documents