Oracle Cloud Infrastructure-Dokumentation

Anwendungsrollen

Oracle Access Governance bietet mehrere vordefinierte Anwendungsrollen mit verschiedenen Funktionsebenen, um die Zugriffsmanagement- und Governance-Vorgänge auszuführen. Sie können Benutzern aus Ihrer Oracle Access Governance-Cloud-Serviceinstanz eine oder mehrere Anwendungsrollen zuweisen. Sie können keine vordefinierten Anwendungsrollen ändern oder Berechtigungen ändern, die in diesen Rollen zugewiesen sind.

Administrator (AG_Administrator)

Der Oracle Access Governance-Administrator verfügt über die höchste Zugriffsebene in Oracle Access Governance. Benutzer mit der Administratorrolle sind für die Verwaltung aller Oracle Access Governance-Vorgänge verantwortlich, einschließlich der Verwaltung orchestrierter Systeme, Zugriffskontrollen, administrativer Servicevorgänge usw.

Die Hauptverantwortung eines Administrators besteht darin,
  • Definieren Sie grundlegende Aufgaben, die als Teil des Serviceadministrationsmoduls in Oracle Access Governance verfügbar sind, wie das Einrichten von orchestrierten Systemen, das Verwalten von Identitäten, das Konfigurieren von Core- und benutzerdefinierten Identitätsattributen, das Konfigurieren von Benachrichtigungen und das Prüfen von Dataload-Vorgängen in Oracle Access Governance.
  • Konfigurieren Sie ereignisbasierte Zugriffsprüfungen, um Mikrozertifizierungen durchzuführen und nicht zugeordnete Konten zu verwalten.
Beispiel: Sie können AG_Administrator Sicherheitsadministratoren oder Identity and Access Management Specialist zuweisen, um Ihre Oracle Access Governance-Cloud-Serviceinstanz zu verwalten.

Normalerweise richtet AG_Administrator die erste Integration mit der zuverlässigen Quelle ein, indem es ein orchestriertes System erstellt, den vollständigen Dataload ausführt und Regeln für die Definition von Personal- und Consumer-Benutzern festlegt. AG_Administrator kann dann jedem aktiven Oracle Access Governance-Benutzer Eigentümer zur Verwaltung des orchestrierten Systems zuweisen.

Eine AG_Administrator hat vollständigen Zugriff auf alle Features und Funktionisten innerhalb der Serviceinstanz. Sie verfügen über alle Berechtigungen zum Erstellen, Anzeigen, Aktualisieren und Löschen der Oracle Access Governance-Ressourcen:
  • Orchestrierte System
  • Identitäts-Collections
  • Zugriffs-Bundles
  • Rollen
  • Policys
  • Genehmigungsworkflows
  • Zugriffsleitplanken
  • Automatisch generierte Zugriff-Bundles
  • Firmenprofile

Service Desk-Administrator (AG_ServiceDesk_Admin)

Der Oracle Access Governance Service Desk-Administrator ist dafür verantwortlich, erweiterte administrative Accountfunktionen direkt in Oracle Access Governance auszuführen. Die Hauptverantwortung eines Service Desk-Administrators besteht darin, äußerst kritische und dringende Vorgänge auszuführen, ohne dass Genehmigungen erforderlich sind, insbesondere im Zusammenhang mit Account Lifecycle Management-Vorgängen.

Benutzer mit der Rolle "Service Desk-Administrator" können die administrativen Accountfunktionen auf der Seite Serviceadministration > Identitäten verwalten > Identitäten ausführen:
  • Identitätsdetails für alle Identitäten anzeigen.
  • Accountdetails für Berechtigungen anzeigen.
  • Beenden Sie alle Accounts und Zugriffe für eine Identität auf einmal ohne Genehmigungen. Nach dem Beenden können Sie die Accounts und Zugriffe mit dem Berechtigungstyp Policy erneut bereitstellen oder aktivieren.
  • Aktivieren, deaktivieren oder löschen oder ändern Sie einen oder mehrere Accounts und Attribute für eine Identität.
  • Entziehen Sie eine oder mehrere Berechtigungen, die direkt aus dem verwalteten System zugewiesen oder über eine Anforderung bereitgestellt wurden.
  • Wiederholen Sie das Provisioning für den Status "Nicht erfolgreich" oder "Ausstehend".
  • Kennwort für einen Account ändern, der von Oracle Access Governance verwaltet wird.
  • Delegationen für Genehmigungen oder Zugriffsprüfungen verwalten
Beispiel: Sie können AG_ServiceDesk_Admin einem IT-Spezialisten zuweisen, um alle Accounts und Zugriffe sofort zu beenden, basierend auf einer Incident-Antwort, die durch wiederholte fehlgeschlagene Anmeldeversuche ausgelöst wird, um potenzielle nicht autorisierte Aktivitäten zu verhindern.
Darüber hinaus kann AG_ServiceDesk_Admin die folgenden Vorgänge als Teil des Oracle Access Governance-Benutzers ausführen:
  • Zeigen Sie orchestrierte Systemdetails zusammen mit Aktivitätslogs an.
  • Zeigen Sie als Ressourceneigentümer die Oracle Access Governance-Ressourcen an, aktualisieren oder löschen Sie sie.
  • Genehmigen Sie als Prüfer für Genehmigungsworkflows Zugriffsanforderungen, und prüfen Sie Zugriffsaufgaben.
  • Als Benutzer können Sie die zugewiesenen Berechtigungen für die eigene und die direkte Berichtslinie anzeigen.
  • Als Zugriffsprüfer können Sie die Zugriffsprüfungsaufgaben prüfen und zertifizieren, wenn sie einem bestimmten Genehmigungsworkflow zugeordnet sind.
  • Delegationen verwalten

Kampagnenadministrator (AG_CampaignAdmin)

Oracle Access Governance-Kampagnenadministratoren können einen Zugriffsprüfungsprozess starten, indem sie Kampagnen erstellen. Sie können selbst erstellte Zugriffsprüfungskampagnen ändern, löschen und überwachen. Sie können Kampagnenberichte anzeigen und CSV-Daten für Offiline-Zwecke herunterladen.

Ihre Hauptverantwortung besteht darin, Ad-hoc- oder periodische Kampagnen für Identity Access Reviews, Policy Reviews, Identity Collection Reviews oder Resource Ownership Review über alle Systeme hinweg zu planen.

Die Kampagnenadministratoren:
  • Kann Genehmigungsworkflows erstellen
  • Identitäts-Collections können erstellt werden
  • Als Ressourceneigentümer Ressourcen ändern, löschen und anzeigen, für die sie verantwortlich sind
  • Genehmigen Sie als Prüfer für Genehmigungsworkflows Zugriffsanforderungen, und prüfen Sie Zugriffsaufgaben.
  • Als Benutzer können Sie die zugewiesenen Berechtigungen für die eigene und die direkte Berichtslinie anzeigen.

Enterprise-wide Browser Access Administrator (AG_Enterprise_Wide_Access_Admin)

Oracle Access Governance Enterprise-wide Access Administrator erhalten auf der Seite Wer hat Zugriff auf Was → Enterprise-wide Browser einen umfassenden Einblick in alle Komponenten, Zugriffsinformationen und Ressourcen innerhalb eines Unternehmens-Frameworks.

In erster Linie können unternehmensweite Zugriffsadministratoren:
  • Durchsuchen Sie Zugriffsinformationen aus verschiedenen Perspektiven, wie Identitäten, Identitäts-Collections, Rollen, Berechtigungen, Policys, Ressourcen und Organisationen.
  • Führen Sie vom Benutzer erstellte Überprüfungen für Identitäten, Identitäts-Collections und Policys über das unternehmensweite Browser-Dashboard aus.
  • Generieren Sie einen monatlichen Bericht über Zugriffsprüfungen, die über den unternehmensweiten Browser erstellt wurden.
  • Laden Sie den Screenshot von CSV und PDF herunter.
Darüber hinaus können:
  • Identitäts-Collections können erstellt werden
  • Zeigen Sie als Ressourceneigentümer die Oracle Access Governance-Ressourcen an, aktualisieren oder löschen Sie sie.
  • Genehmigen Sie als Prüfer für Genehmigungsworkflows Zugriffsanforderungen, und prüfen Sie Zugriffsaufgaben.
  • Als Benutzer können Sie die zugewiesenen Berechtigungen für die eigene und die direkte Berichtslinie anzeigen.

Anwendungseigentümeradministrator (AG_AppOwner_Admin)

Der Oracle Access Governance-Anwendungseigentümeradministrator ist für die Durchführung von Integrationen mit anderen Systemen verantwortlich, indem er ein orchestriertes System hinzufügt, die Verbindungseinstellungen ändert, die Daten in Oracle Access Governance validiert und lädt. Außerdem können sie ein orchestriertes System konfigurieren, indem sie die Integrationseinstellungen bearbeiten, Benachrichtigungseinstellungen konfigurieren, das empfohlene Zugriffs-Bundle konfigurieren, Transformationsregeln für eingehende und ausgehende Daten für Identitäts- und Accountattribute definieren und Korrelationsregeln für übereinstimmende Identitäten und Identitätsaccounts definieren.

Der Administrator des Anwendungseigentümers ist in erster Linie verantwortlich für:

  • Richten Sie Integrationen mit einer Anwendung als zuverlässige Quelle oder als verwaltetes System ein, indem Sie ein orchestriertes System erstellen.
  • Integrierte Systeme verwalten und konfigurieren.
    Hinweis

    AG_AppOwner_Admin kann keine Identitäten aktivieren oder Identitätsattribute für ein orchestriertes System konfigurieren. Dazu benötigen Sie die Rolle AG_Administrator.
Administrator des Anwendungseigentümers:
  • Kann Genehmigungsworkflows erstellen
  • Kann Zugangsschienen erstellen
  • Identitäts-Collections können erstellt werden
  • Kann Zugriffs-Bundles erstellen
  • Kann automatisch generierte Zugriffs-Bundles verwalten
  • Als Ressourceneigentümer können Sie Ressourcen ändern, löschen und anzeigen, für die sie verantwortlich sind. Ressourcen können eine beliebige Oracle Access Governance-Entität sein (Zugriff auf Bundles, Organisationen, Identitäts-Collections, Policys, Genehmigungsworkflows, orchestrierte Systeme, Access Guardrails, automatisch generierte Zugriffs-Bundles oder Rollen).
  • Als Prüfer, der Genehmigungsworkflows zugeordnet ist, können Sie Zugriffsanforderungen genehmigen und Zugriffsaufgaben prüfen.
  • Als Benutzer können Sie die zugewiesenen Berechtigungen für die eigene und die direkte Berichtslinie anzeigen.
  • Als Benutzer können Sie mit dem Self-Service-Modul neuen Zugriff anfordern, Anforderungen verfolgen, Voreinstellungen zuweisen usw.

Eingeschränkter Administrator des Anwendungsverantwortlichen (AG_AppOwner_Admin_Restricted)

Der eingeschränkte Administrator des Oracle Access Governance-Anwendungseigentümers ist für die Erstellung einer neuen Integration mit anderen Systemen verantwortlich, indem er ein orchestriertes System als verwaltetes System hinzufügt. Sie können jedoch Integrationen verwalten und Einstellungen nur für Systeme konfigurieren, deren Eigentümer sie sind.

Rolle Kann orchestriertes System erstellen Kann orchestriertes System verwalten
Anwendungsverantwortlicher - Administrator JA (Autoritative Quelle und verwaltetes System) JA
Eingeschränkter Administrator für Anwendungsverantwortlichen JA (nur verwaltetes System) Beschränkt auf Ressourcen, die sie besitzen

Der eingeschränkte Administrator des Anwendungseigentümers ist in erster Linie verantwortlich für:

  • Richten Sie Integrationen mit einer Anwendung als verwaltetes System ein, indem Sie ein orchestriertes System erstellen.
  • Verwalten und konfigurieren Sie das orchestrierte System, für das es der Ressourceneigentümer ist.
    Hinweis

    AG_AppOwner_Admin_Restricted kann keine Identitäten aktivieren oder Identitätsattribute für ein orchestriertes System konfigurieren. Dazu benötigen Sie die Rolle AG_Administrator.
Eingeschränkter Administrator für Anwendungseigentümer:
  • Kann Genehmigungsworkflows erstellen
  • Identitäts-Collections können erstellt werden
  • Kann Zugriffs-Bundles und automatisch generierte Zugriffs-Bundles erstellen
  • Als Ressourceneigentümer können Sie Ressourcen ändern, löschen und anzeigen, für die sie verantwortlich sind. Ressourcen können eine beliebige Oracle Access Governance-Entität sein (Zugriff auf Bundles, Organisationen, Identitäts-Collections, Policys, Genehmigungsworkflows, orchestrierte Systeme, Access Guardrails, automatisch generierte Zugriffs-Bundles oder Rollen).
  • Genehmigen Sie als Prüfer für Genehmigungsworkflows Zugriffsanforderungen, und prüfen Sie Zugriffsaufgaben.
  • Als Benutzer können Sie die zugewiesenen Berechtigungen für die eigene und die direkte Berichtslinie anzeigen.
  • Als Benutzer können Sie mit dem Self-Service-Modul neuen Zugriff anfordern, Anforderungen verfolgen, Voreinstellungen zuweisen usw.

Szenario: Wenn Betty die Rolle AG_AppOwner_Admin_Restricted zugewiesen ist, kann Betty neue Integrationen als verwaltetes System einrichten, indem auf der Seite ServiceadministrationOrchestrierte Systeme ein neues orchestriertes System erstellt wird. Betty kann jedoch keine autoritative Quelle erstellen. Darüber hinaus kann Betty Einstellungen für die orchestrierten Systeme nur konfigurieren, wenn Betty als Ressourceneigentümer (primärer Eigentümer oder einer der zusätzlichen Eigentümer) für die orchestrierte Systemressource zugewiesen ist.

Access Control-Administrator (AG_AccessControl_Admin)

Der Oracle Access Governance Access Control-Administrator ist für die Verwaltung der Access Control-Administration in Oracle Access Governance verantwortlich.

Rolle Zugriffskontrollressourcen erstellen Zugriffskontrollressourcen verwalten
Access-Control-Administrator JA JA
Zugriffskontrolle - Eingeschränkter Administrator JA Beschränkt auf Ressourcen, die sie besitzen

Access Control-Administratoren sind in erster Linie verantwortlich für:

  • Identitäts-Collections erstellen und verwalten
  • Zugriffs-Bundles erstellen und verwalten
  • Genehmigungsworkflows erstellen und verwalten
  • Rollen erstellen und verwalten
  • Policys erstellen und verwalten
  • Access Guardrails erstellen und verwalten
  • Organisationen auf der Seite Identitäten verwalten erstellen und verwalten
Zugriffskontrolladministrator:
  • Als Ressourceneigentümer können Sie Ressourcen ändern, löschen und anzeigen, für die sie verantwortlich sind. Ressourcen können eine beliebige Oracle Access Governance-Entität sein (Zugriff auf Bundles, Organisationen, Identitäts-Collections, Policys, Genehmigungsworkflows, orchestrierte Systeme, Access Guardrails oder Rollen).
  • Als Prüfer, der Genehmigungsworkflows zugeordnet ist, können Sie Zugriffsanforderungen genehmigen und Zugriffsaufgaben prüfen.
  • Als Benutzer können Sie die zugewiesenen Berechtigungen für die eigene und die direkte Berichtslinie anzeigen.
  • Als Benutzer können Sie mit dem Self-Service-Modul neuen Zugriff anfordern, Anforderungen verfolgen, Voreinstellungen zuweisen usw.

Eingeschränkter Administrator der Zugriffskontrolle (AG_AccessControl_Admin_Restricted)

Der eingeschränkte Administrator von Oracle Access Governance Access Control ist für die Erstellung von Access Controls-Ressourcen in Oracle Access Governance verantwortlich.

Rolle Zugriffskontrollressourcen erstellen Zugriffskontrollressourcen verwalten
Access-Control-Administrator JA JA
Zugriffskontrolle - Eingeschränkter Administrator JA Beschränkt auf Ressourcen, die sie besitzen

Access Control Restricted Administrator ist in erster Linie verantwortlich für:

  • Identitäts-Collections, Zugriffs-Bundles, Genehmigungsworkflows, Rollen, Policys und Organisationen erstellen.
Access Control Restricted Administrator:
  • Als Ressourceneigentümer können Sie Ressourcen ändern, löschen und anzeigen, für die sie verantwortlich sind. Ressourcen können eine beliebige Oracle Access Governance-Entität sein (Zugriff auf Bundles, Organisationen, Identitäts-Collections, Policys, Genehmigungsworkflows, orchestrierte Systeme, Access Guardrails oder Rollen).
  • Als Prüfer, der Genehmigungsworkflows zugeordnet ist, können Sie Zugriffsanforderungen genehmigen und Zugriffsaufgaben prüfen.
  • Als Benutzer können Sie die zugewiesenen Berechtigungen für die eigene und die direkte Berichtslinie anzeigen.
  • Als Benutzer können Sie mit dem Self-Service-Modul neuen Zugriff anfordern, Anforderungen verfolgen, Voreinstellungen zuweisen usw.

Szenario: Wenn Betty die Rolle AG_AccessControl_Admin_Restricted zugewiesen ist, kann Betty mit dem Modul Zugriffskontrollen Zugriffskontrollressourcen erstellen, wie neue Identitäts-Collections, Genehmigungsworkflows, Policys, Rollen und Paketberechtigungen in Zugriffs-Bundles. Betty kann diese Ressourcen jedoch nur verwalten (anzeigen, bearbeiten, löschen usw.), wenn Betty als Ressourceneigentümer (primärer Eigentümer oder einer der zusätzlichen Verantwortlichen) für die Ressourcen zugewiesen ist.

Auditor (AG_AUDITOR)

Die Oracle Access Governance-Auditorrolle ist für die Überwachung aller Kampagnen verantwortlich. Sie können Kampagnendetails anzeigen und den Zugriffsprüfungsbericht für jede Kampagne herunterladen. Zusätzlich zur Anzeige des Berichts kann der Auditor die Berichte offline im PDF-Format speichern oder die CSV-Daten zur Aufzeichnung oder weiteren Analyse oder Prüfung herunterladen.

Je nach Eigentümer in Oracle Access Governance kann ein Auditor außerdem:
  • Als Kampagneneigentümer können eigene Zugriffsprüfungskampagnen geändert, gelöscht und überwacht werden.
  • Als Zugriffsprüfer können Sie die Zugriffsprüfungsaufgaben prüfen und zertifizieren, wenn sie einem bestimmten Genehmigungsworkflow zugeordnet sind.
  • Als Ressourceneigentümer können Sie Ressourcen anzeigen, ändern und löschen, für die sie verantwortlich sind.
  • Identitäts-Collections erstellen.
  • Identitäts-Collections verwalten, deren Eigentümer sie sind.

Benutzer (AG_USER)

Oracle Access Governance-Benutzer ist ein Endbenutzer, der für die Anzeige und Verwaltung seiner Zugriffe mit Oracle Access Governance verantwortlich ist. Diese Rolle wird standardmäßig allen Benutzern von Oracle Access Governance Active Workforce zugewiesen.

Der Cloud-Domainadministrator kann diese Anwendungsrolle (AG_USER) auch auf der OCI-Cloud-Serviceseite zuweisen. Benutzer nehmen hauptsächlich an Selfserviceaufgaben teil, die das Anfordern von Berechtigungen über Zugriffs-Bundles oder -Rollen, das Anzeigen von Zugriffsdetails, das Verwalten von Voreinstellungen, das Ändern von Kontopasswörtern usw. umfassen können.

Je nach Eigentümer in Oracle Access Governance kann ein Endbenutzer außerdem:
  • Als Kampagneneigentümer können eigene Zugriffsprüfungskampagnen geändert, gelöscht und überwacht werden.
  • Als Zugriffsprüfer können Sie die Zugriffsprüfungsaufgaben prüfen und zertifizieren, wenn sie einem bestimmten Genehmigungsworkflow zugeordnet sind.
  • Als Ressourceneigentümer können Sie Ressourcen anzeigen, ändern und löschen, für die sie verantwortlich sind.
  • Identitäts-Collections erstellen.
  • Identitäts-Collections verwalten, deren Eigentümer sie sind.