Soporte Técnico
Problema
Incapacidad para cambiar el administrador predeterminado de la organización en ArcGIS Online
Descripción
Cuando los administradores de una organización en ArcGIS Online ya no se encuentran activos y no son ubicables, los privilegios deben ser delegados a un usuario nuevo o existente. Por ejemplo, el usuario nombrado como el administrador predeterminado actual ya no trabaja en la organización, pero no delegó los permisos de administrador a otro usuario con anterioridad a su último día de trabajo. Como resultado, los usuarios activos en la actualidad no poseen los permisos necesarios para realizar tareas reservadas para el administrador.
Causa
Las responsabilidades de seguridad de identidad y de manejo de accesos en ArcGIS Online son compartidas tanto por Esri como por el dueño de la Organización en ArcGIS Online. Esri provee las herramientas e infraestructura necesarias para entregar soporte a nuestros clientes, pero la configuración de usuarios y roles es responsabilidad de la organización. Esri es quien procesa los datos, no quien los controla en cuentas de nuestros clientes.
En vez de solicitar que Esri haga cambios a las cuentas de usuarios de ArcGIS Online, como modificar roles, privilegios o usar otros atributos, los clientes deben desarrollar procesos que aseguren que estos aspectos administrativos estén en posesión de miembros de la organización.
Solución o alternativas
Para mantener la confidencialidad, integridad, disponibilidad y privacidad de los usuarios y datos de su organización, es altamente recomendado que el administrador por defecto sea quien invite a nuevos miembros como administradores adicionales de la cuenta, o asigne permisos a otro usuario para que puedan gestionar usuarios y licencias dentro de la organización, antes de estar inactivo.
Se requiere que un miembro actuante como administrador por defecto, asigne a otro miembro del equipo el rol de administrador.
El nuevo administrador por defecto puede deshabilitar o quitar a antiguos administradores luego de que el administrador por default previo haya dejado la organización. Algunas organizaciones pueden escoger nombrar dos administradores por defecto en caso de que alguno de ellos deba ser reemplazado por circunstancias inesperadas. Varias herramientas destacadas en el documento Gestión de Miembros, como cambiar el tipo y rol de usuario, invitar a un nuevo miembro, o modificar direcciones de correo, son buenas formas de actualizar el administrador por default. Es importante nombrar al menos un administrador activo en la lista de Contactos Administrativos para que los miembros puedan acudir a ellos en caso de necesidades administrativas. Los usuarios pueden validar sus direcciones de correo para recibir notificaciones administrativas.
Aprovechar un SAML IDP como usuario de la tienda es altamente recomendado. SAML permite a los administradores de dominio de la organización gestionar de manera centralizada los dominios de cuentas. Cuando se aprovecha el SAML, la contraseña para un administrador por defecto inactivo o inaccesible puede ser cambiado desde el dominio o desde un nivel SAML IDP. Esto significa que, incluso si el administrador deja la organización de manera abrupta, la cuenta es accesible de manera inmediata tan solo cambiando la contraseña de la cuenta del dominio.
En circunstancias donde el administrador por defecto de la organización es inaccesible o inexistente, se deben considerar las siguientes opciones:
Obtén acceso a los registros del administrador previo
- Comienza por trabajar con los miembros de tu organización para identificar si hay algún otro administrador por defecto activo. Puedes hacerlo buscando en el listado de miembros de ArcGIS Online de tu organización o contactándote con tu gerente de departamento, departamento de TI, contacto primario de mantención, o comprador primario de licencias. Idealmente, identificará un administrador que pueda hacer las actualizaciones necesarias a la organización.
- Trabajar con superiores u otros grupos dentro del negocio del cliente, ayuda a mantener sus políticas de seguridad y administración (por ejemplo, un superior designado como administrador de la organización).
- El equipo de soporte técnico de Esri puede ayudar al administrador a seguir los pasos necesarios para identificar contactos de administradores existentes.
- Si ningún otro administrador es identificado, trabaja en conjunto con el departamento de recursos humanos para contactar al administrador por defecto anterior.
- Si no logras identificar al administrador por defecto anterior, intenta ingresar a su registro de usuario para que puedas promover un usuario existente a rol de administrador o invitar a un nuevo usuario a la organización de ArcGIS Online para asumir el rol de administrador.
- Si tu compañía utiliza SAML para la autenticación: Pide a tu administrador de SAML IDP actualizar la contraseña de dominio del antiguo administrador de ArcGIS Online y accede a la organización utilizando su cuenta.
- Si tienes acceso al correo electrónico y conoces la respuesta a la pregunta de seguridad del antiguo administrador: Utiliza los enlaces Forgot Username (Olvidaste tu Usuario) y Forgot Password (Olvidaste tu Contraseña) para determinar el nombre de usuario y sigue los pasos para reestablecer la contraseña de la cuenta.
- Si posees el dominio del correo electrónico corporativo y conoces la respuesta a la pregunta de seguridad: Sigue los pasos descritos en el punto anterior y pide al administrador del correo electrónico interno interceptar los emails de notifications@esri.com.
Solicita un cambio de administrador a través del Equipo de Soporte Técnico de Esri
Si no hay otros administradores en tu organización y no puedes acceder a los registros de usuario del administrador anterior, el equipo de Soporte Técnico de Esri puede, como último recurso, hacer un upgrade a administrador a una cuenta de usuario existente. Para un procesamiento más rápido, debes abrir un caso con el equipo de Soporte Técnico de Esri.
Para hacer el cambio y conservar la seguridad e integridad de los datos de tu organización, Esri requiere que las solicitudes sean enviadas como una carta de un ejecutivo C-level o equivalente (por ejemplo, un CEO - Director General, CIO - Director de Sistemas de Información, CFO - Director de Finanzas o dueño de la empresa), firmado a mano.
Requerimientos para la carta
- La carta debe contener:
- Si se está actualizando el rol de un usuario de ArcGIS Online, incluir el nombre del individuo, su nombre de usuario de ArcGIS Online y su dirección de correo electrónico. Un alias de correo no es aceptable. El correo debe ser individual.
- Sólo para Organizaciones Single-User (de un único usuario): Si se solicita alguien nuevo, la dirección de correo electrónico para el nuevo usuario (siempre prioriza direcciones de dominio corporativo por sobre dominios de terceros como Gmail o Yahoo). Un alias de correo no es aceptable. El correo debe ser individual.
- El número de caso asignado a esta solicitud por parte del equipo de Soporte Técnico de Esri.
- El número de subscripción o URL corta de la organización.
- Especificar si esta solicitud es para actualizar el rol de un usuario existente o para invitar a uno nuevo.
- Especificar por qué este cambio es necesario.
- Debe ser enviada en con el membrete oficial de la compañía o institución.
- Nombre, cargo y correo electrónico de un ejecutivo C-level (o equivalente en la organización) o del dueño de la empresa. Un alias de correo no es aceptable. El correo electrónico debe ser individual.
- Firma en tinta de un ejecutivo C-Level o dueño de la organización.
- Una vez la carta este lista y firmada, deberá ser escaneada y enviada al representante del equipo de Soporte Técnico de Esri asignado a tu caso.
Cómo se procesará la solicitud
Una vez el Equipo de Soporte Técnico reciba la carta, escalará la solicitud y carta de autorización para revisión. Una vez sea revisada y aprobada, Esri realizará el cambio solicitado. Adicionalmente, se notificará al solicitante y al ejecutivo firmando vía correo electrónico.
Nota:
Una vez se haya completado el proceso, se recomienda como buena práctica potenciar una SAML ISP, o tener más de un administrador por default de manera simultánea para evitar nuevos inconvenientes a futuro.
Fuente: Esri.com