Oracle Cloud Infrastructure-Dokumentation

Zugriffsprüfungen in Oracle Access Governance: Zugriffsberechtigungen mit Kampagnen und ereignisgesteuerten Mikrozertifizierungen zertifizieren

Zugriffsprüfungen, auch als Zugriffszertifizierung oder Zugriffsbescheinigung bezeichnet, sind der Prozess zum Auswerten und Zertifizieren der Zugriffsberechtigungen, die Identitäten in einem Unternehmen erteilt wurden. Es prüft und zertifiziert, ob erteilte Berechtigungen noch erforderlich sind, und stimmt mit dem aktuellen Job bei der Arbeit überein. Mit dem Zugriffsprüfungsfeature für Oracle Access Governance können Sie die Zugriffsberechtigungen prüfen. Treffen Sie schnelle und genaue Überprüfungsentscheidungen, indem Sie Erkenntnisse und KI-gestützte Empfehlungen basierend auf präskriptiven Analysen untersuchen.

Unternehmen verfügen über eine große verteilte Landschaft über On-Premises- und Cloud-Systeme. Um eine übermäßige Akkumulation irrelevanter Berechtigungen oder unbefugten Zugriffs auf kritische Informationen zu vermeiden, werden Zugriffsprüfungen regelmäßig ausgeführt, um die Zugriffe zu überwachen und zu zertifizieren. Diese sind für sichere Zugriffsmanagement- und Complianceprozesse unerlässlich.

Wichtige Vorteile der Durchführung von Zugriffsprüfungen mit Oracle Access Governance

Mit Access Reviews können Unternehmen häufige Zugriffsänderungen steuern, Kosten senken, den Lebenszyklus des Identitätszugriffs verwalten, die Compliance aufrechterhalten und den Sicherheitsstatus stärken. Unternehmen verarbeiten täglich umfangreiche Zugriffsänderungen. Regelmäßige Überprüfungen können proaktiv übermäßige Berechtigungen oder irrelevante Berechtigungen erkennen und entfernen.

Das Zugriffsprüfungsfeature für Oracle Access Governance bietet verschiedene Typen zur Prüfung von Zugriffsberechtigungen. Beispiel: Verwenden Sie Kampagnen, um eine Gruppe von Ad-hoc- oder periodischen Zugriffsprüfungen zu starten, oder verwenden Sie Mikrozertifizierungen, die auf einer Ereignisänderung, einer Zeitleistenänderung oder der Erkennung eines verwaisten Kontos basieren.

Mit Zugriffsprüfungen in Oracle Access Governance können Sie:
  • Senken Sie die Kosten, indem Sie Empfehlungen zur Entfernung nicht wesentlicher und unerwünschter Lizenzen oder Ressourcen geben. Beispiel: Entziehen des Anwendungszugriffs für Mitarbeiter, die ihn nicht mehr benötigen.
  • Verbessern Sie den Sicherheitsstatus eines Unternehmens, indem Sie den Zugriff regelmäßig überprüfen und sicherstellen, dass den richtigen Ressourcen genau genug Zugriff auf ihre Rolle gewährt wurde. Beispiel: Oracle Access Governance führt automatische Mikrozertifizierungen aus, um Ereignisänderungen (Standortänderung, Abteilungsänderung), Zeitlinienänderungen oder verwaiste Accounts zu erkennen, die eine Sicherheitsbedrohung darstellen.
  • Erfüllen Sie Governance-Compliance und -Anforderungen, indem Sie regelmäßige Auditberichte zur Zugriffsprüfung verwalten. Beispiel: Sicherstellung der Einhaltung von Branchenvorschriften und Compliance-Gesetzen wie DSGVO, HIPAA, SOX durch regelmäßige Zugriffsprüfungskampagnen.
  • Vereinfachen Sie die Entscheidungsfindung, indem Sie KI/ML-gesteuerte Einblicke in die Zugriffsprüfung empfehlen, wie Peer-Gruppenanalyse, Ausreißererkennung oder Empfehlung. Beispiel: Oracle Access Governance empfiehlt, eine Berechtigung mit hohem Risiko für eine Identität basierend auf präskriptiven Analysen zu widerrufen.

Von Oracle Access Governance angebotene Zugriffsprüfungen

Mit Oracle Access Governance können Sie Kampagnen mit Ad-hoc- oder periodischen Zugriffsprüfungen über mehrere Identitäten, Gruppen, Accounts, Rollen, Policys und Berechtigungen ausführen. Sie können sogar Eigentumsüberprüfungen ausführen, um den Ressourcenverantwortlichen zu prüfen. Verwenden Sie Mikrozertifizierungen in Beinahe-Echtzeit, um automatische Überprüfungen für bestimmte Komponenten basierend auf dem Auftreten einer Ereignisänderung, einer Zeitleistenänderung oder nicht abgeglichener Konten auszuführen.

Zugriff auf Reviewkampagnen: Ad-hoc- oder regelmäßige Zugriffsprüfungen

Mit Kampagnen können Sie einen periodischen oder Ad-hoc-Zugriffsprüfungsprozess initiieren. Hierbei handelt es sich um Snapshot-basierte Prüfungen, die alle relevanten Zugriffsinformationen zu einem bestimmten Zeitpunkt erfassen und anschließend Zugriffsprüfungsaufgaben bewerten und generieren. Änderungen an den Daten, die nach der Einrichtung der Kampagnen vorgenommen wurden, werden in diesen Prüfungen nicht berücksichtigt.

Die Zugriffsprüfungsarten und Auswahlkriterien hängen vom orchestrierten System ab.

Identitätszugriffsprüfungen

Identitätszugriffsprüfungen beziehen sich auf die Bewertung von Zugriffsberechtigungen für Identitäten in Ihrem Unternehmen, bei denen der Zugriff auf eine bestimmte Ressource geprüft oder validiert wird. Sie können den Zugriff für Personal- und Consumer-Identitäten zertifizieren, indem Sie die Identitätszugriffsprüfungen ausführen. Prüfer, die aktive Personalsachbearbeiter sind, können die zugewiesenen Berechtigungen akzeptieren oder entziehen.

Auf dieser Seite definieren Sie Auswahlkriterien:
  • Benutzer (wer hat Zugriff?): Wählen Sie ein Set von Core- und benutzerdefinierten Identitätsattributen aus.
  • Anwendungen (auf welche Elemente greifen sie zu?): Wählen Sie Services, Anwendungen oder Cloud-Accounts aus.
  • Berechtigungen (Welche Berechtigungen?): Wählen Sie Berechtigungen aus, die direkt in Ihrem verwalteten System zugewiesen sind, oder Berechtigungen, die in Oracle Access Governance bereitgestellt sind. Mit diesen Kriterien können Sie Berechtigungen für alle orchestrierten Systeme schnell basierend auf den Berechtigungen zertifizieren, die direkt aus dem verwalteten System aufgenommen wurden. Diese werden auch als "abgestimmte Berechtigungen" bezeichnet. Weitere Informationen zum Ausführen von Prüfungen basierend auf Berechtigungen finden Sie unter Identitätszugriffsprüfungen basierend auf direkt in verwalteten Systemen zugewiesenen Berechtigungen.
    Hinweis

    • Für das Oracle Access Governance-System können Sie Prüfungen basierend auf Berechtigungen ausführen, die direkt zugewiesen sind (DIRECT) oder auf Bundles, die über eine Anforderung in der Kachel Welche Berechtigungen? erteilt wurden. Berechtigungen oder Konten, die über die Richtlinie bereitgestellt werden, sind in dieser Prüfung nicht zulässig.
    • Sie können OCI-IAM-Gruppen und Anwendungsrollen durch Erstellen eines Zugriffs-Bundles bereitstellen. Für das Oracle Cloud Infrastructure-(OCI-)System können Sie OCI-Zugriffs-Bundles in der Kachel Welche Berechtigungen? prüfen.
    Für das Oracle Access Governance-System können Sie Prüfungen basierend auf Berechtigungen ausführen, die direkt zugewiesen sind (DIRECT) oder auf Bundles, die über eine Anforderung in der Kachel Welche Berechtigungen? erteilt wurden. Berechtigungen oder Konten, die über die Richtlinie bereitgestellt werden, sind in dieser Prüfung nicht zulässig.
  • Rollen (Welche Rollen?): Wählen Sie Rollen aus, die für Identitäten bereitgestellt sind.
Sie können auch den Genehmigungsworkflow definieren, um die Anzahl der Beurteilungsebenen, die Beurteilungsdauer und die Prüferdetails auszuwählen. Weitere Informationen zum Erstellen von Identitätszugriffsprüfungen finden Sie unter Identitätszugriffsprüfungskampagnen erstellen.

Beispiel: Sie können Kampagnen ausführen, um zu bewerten und zu zertifizieren, ob Junior Associates oder Auftragnehmer in Ihrer Organisation Zugriff auf kritische Berechtigungen oder eingeschränkte Informationen haben.

Identitätszugriffsprüfungen basierend auf Berechtigungen, die direkt in verwalteten Systemen zugewiesen sind

Sie können Identitätszugriffsberechtigungen zertifizieren, indem Sie Identitätszugriffsprüfungen für die direkt aus dem verwalteten System aufgenommenen Berechtigungen ausführen. Diese werden auch als "abgestimmte Berechtigungen" bezeichnet. Abgestimmte Berechtigungen beziehen sich auf inhärente Berechtigungen, die direkt in den verwalteten Systemen bereitgestellt werden, ohne dass diese aus Oracle Access Governance bereitgestellt werden. Führen Sie diese Prüfungen aus, indem Sie auf der Seite Kampagnen das Oracle Access Governance-System auswählen.

Anhand von Erkenntnissen und Empfehlungen können Prüfer Maßnahmen ergreifen, um diese Berechtigungen zu akzeptieren oder zu widerrufen. Um Ihre Zugriffe jedoch auf granularer Ebene zu verwalten, verwenden Sie Access Bundles, um die Berechtigungen bereitzustellen.

Wenn Sie ein Berechtigungsset in der Kachel Welche Berechtigungen? auswählen, generiert das System Prüfungsaufgaben für alle berechtigten Identitäten, die direkt oder über eine Anforderung (Zugriff auf Bundles) Zugriff auf diese Berechtigungen haben.

Folgendes ist in der Bewertung enthalten:
  • Identitäten mit Berechtigungen, die direkt mit dem Berechtigungstyp DIRECT erteilt wurden.
  • Identitäten mit Berechtigungen, die als Teil von Access Bundles mit dem Berechtigungstyp Anforderung erteilt wurden.
  • Identitäten mit Berechtigungen, die über Rollen mit dem Berechtigungstyp Anforderung erteilt wurden.
  • Konten der Identitäten, die direkt bereitgestellt oder angefordert werden.
    Hinweis

    Berechtigungen oder Accounts, die über eine Policy bereitgestellt werden, oder Oracle Identity Governance-(OIG-) und Oracle Cloud Infrastructure-(OCI-)Identitätsaccounts werden in dieser Prüfung nicht behandelt.

Welche Komponenten geprüft werden können, hängt von den ausgewählten Kriterien ab. Weitere Informationen finden Sie in der Tabelle unter Zulässige orchestrierte Systemtypen zum Starten von Zugriffsprüfungskampagnen.

Wichtige Hinweise
  • Direkt zugewiesene Berechtigungen oder Zugriffsbundles, die über eine Anforderung erteilt wurden, können in der Kachel Welche Berechtigungen? geprüft werden. Der Berechtigungstyp muss Anforderung oder Direkt lauten, damit die Berechtigungen in die Prüfungen aufgenommen werden können.
  • Wenn direkt zugewiesene Berechtigungen mit einem Zugriffs-Bundle verknüpft sind, das dann über Anforderung für Identitäten bereitgestellt wird, werden nur das Zugriffs-Bundle und keine individuellen Berechtigungen angezeigt. Für Rollen, die über Anforderung für Identitäten bereitgestellt werden, wird sie als Rolle in der Kachel Welche Rollen? angezeigt.

    Beispiel: Wenn die Berechtigungen Lesen und Ändern in einem Zugriffs-Bundle enthalten sind und über Anforderung für Identitäten bereitgestellt werden, können Sie diese bestimmten Berechtigungen nicht anzeigen und prüfen. Sie können das Zugriffs-Bundle prüfen.

  • Wenn ein Account Berechtigungen enthält, die über eine Policy erteilt wurden, wird keine Prüfungsaufgabe für diesen Account generiert.

    Beispiel: Wenn ein Account vier Berechtigungen enthält, von denen zwei über eine Policy erteilt werden, wird bei der Prüfung von Berechtigungen nicht die Accountprüfungsaufgabe generiert.

Szenario

Sie möchten Zugriffsprüfungen für die Identitäten basierend auf den Datenbankberechtigungen Lesen und Aktualisieren ausführen. Betrachten wir das folgende Szenario:
  • Alice hat Zugriff auf die direkt zugewiesenen Berechtigungen Lesen und Aktualisieren.
  • Jane hat im Rahmen des Zugriffs-Bundles Zugriff auf diese Berechtigungen mit zusätzlicher Berechtigung zum Schreiben.
  • Betty als Datenbankadministrator hat Zugriff auf diese Berechtigungen.
Hier ist, was enthalten ist:
  • Unter Alice werden ausgewählte Berechtigungen geprüft.
  • Für Jane wird das Zugriffs-Bundle nur dann mit den Berechtigungen Lesen und Aktualisieren und Schreiben geprüft, wenn das Zugriffs-Bundle über Anforderung erteilt wurde.
  • Für Betty wird die Rolle nur geprüft, wenn die Rolle über Anforderung erteilt wurde.
  • Alice-, Jane- und Betty-Identitätsaccounts werden zur Prüfung berücksichtigt, wenn der Account oder die Berechtigungen, die mit dem Account verknüpft sind, nicht mit einer Policy bereitgestellt wurden.

Prüfer können diese Zugriffsprüfungen auf der Seite Meine ZugriffsprüfungenIdentität nach dem unter Zugriffsprüfungen ausführen definierten Prozess validieren.

Korrekturmaßnahmen

Im Rahmen des Closed-Loop-Zugriffsbehebungsprozesses,
  • Wenn ein Prüfer die Berechtigung entzieht, wird sie dem verwalteten System entzogen.
  • Wenn eine Berechtigung Teil eines Zugriffs-Bundles ist, das der Identität erteilt wurde, können Sie diese einzelne Berechtigung nur widerrufen, wenn Sie ein ganzes Zugriffs-Bundle widerrufen.
  • Konten, die mit Berechtigungen verknüpft sind, werden nicht entzogen, wenn Accounts Berechtigungen enthalten, die über eine Policy erteilt wurden.
  • Identitätsaccounts werden nur entzogen, wenn alle mit Accounts verknüpften Berechtigungen entzogen werden.

Richtlinienüberprüfungen

Prüfen Sie die Oracle Access Governance-Policys und OCI Identity and Access Management-(IAM-)Policys, um deren Effektivität und Compliance zu bewerten.

In Oracle Access Governance können Sie On-Demand-Policy-Prüfungen erstellen, in denen Sie die Auswahlkriterien zur Prüfung von Policys definieren. Sie können auch den Genehmigungsworkflow definieren, um die Anzahl der Beurteilungsebenen, die Beurteilungsdauer und die Prüferdetails auszuwählen. Weitere Informationen finden Sie unter Policy-Prüfkampagnen erstellen und Typen von Zertifizierungsaufgaben in Oracle Access Governance.

Beispiel: Sie können vierteljährliche Überprüfungen in der definierten Netzwerk- und Speicher-Policy Ihres Mandanten durchführen, um zu bewerten, ob diese dem Prinzip der geringsten Berechtigung und den geltenden gesetzlichen Anforderungen entsprechen.

Identitätsüberprüfungen

Mitgliedschaftsprüfung einer Gruppe, um zu prüfen, ob einer Gruppe nur berechtigte Mitglieder zugewiesen sind. Dies wird allgemein als "Group Membership Reviews" bezeichnet.

Sie können Identitäts-Collection-Prüfungen erstellen für:
  • In Oracle Access Governance erstellte Identitäts-Collections
  • Von Oracle Cloud Infrastructure (OCI) abgeleitete OCI-Gruppen
Beispiel: Sie können prüfen, ob nur berechtigte Mitglieder zur Gruppe Datenbankadministrator gehören und die Datenbankinfrastruktur für Ihr Projekt verwalten und verwalten. Eine Identität mit der Rolle Vertriebsanalyst darf dieser Gruppe nicht zugeordnet werden. Weitere Informationen finden Sie unter Identity Collection-Prüfkampagnen erstellen und Typen von Zertifizierungsaufgaben in Oracle Access Governance.

Überprüfungen der Ressourcenverantwortung

Prüfen Sie die Verantwortung für Ressourcen, die in Oracle Access Governance erstellt wurden, entweder regelmäßig oder ad hoc. Durch diese Prüfung können Sie sicherstellen, dass die Verantwortung für Ressourcen nur bei den angegebenen Verantwortlichen liegt.

Derzeit können Sie Eigentumsüberprüfungen für die folgenden Oracle Access Governance-Ressourcen ausführen:
  • Zugriffs-Bundle
  • Genehmigungsworkflows
  • Identitäts-Collections
  • Orchestrierte Systeme
  • Policys
  • Rollen
  • Zugriffsleitplanken

Basierend auf dem ausgewählten Genehmigungsworkflow wird der primäre Eigentümer einer Ressource oder eine aktive Oracle Access Governance-Identität für Mitarbeiter zur Prüfung berücksichtigt. Prüfer können beim Durchführen von Prüfungen die Verantwortung für Ressourcen zertifizieren oder ändern. Weitere Informationen finden Sie unter Eigentumsüberprüfungen erstellen und Aufgabe zur Prüfung der Ressourcenverantwortung.

Ereignisbasierte Mikrozertifizierungen

Verwenden Sie Ereignisbasiertes Setup, um automatisierte Mikrozertifizierungen zu konfigurieren, die nur ausgelöst werden, wenn Änderungen im Datensatzsystem, das Auftreten eines wichtigen Datums- oder Zeitmeilensteins oder die Erkennung eines verwaisten Kontos auftreten. Dies sind nahezu Echtzeitprüfungen, und Oracle Access Governance überwacht kontinuierlich Profiländerungen, um Zugriffsprüfungen zu starten.

Sie müssen die Attribute konfigurieren, für die Sie ereignisbasierte Prüfungen aktivieren möchten. Weitere Informationen finden Sie unter Identitätsattribute verwalten.

Als aktiver Mitarbeiter können Sie die Ereignisprüfungsaufgaben auf der Seite Meine ZugriffsprüfungenIdentität prüfen. Wenn sich das Ereignis ändert, aber keine überprüfbaren Zugriffselemente für diese Identität vorhanden sind, werden keine Prüfungsaufgaben für eine Identität generiert.

Sie können ereignisbasierte Prüfungen konfigurieren für:
  • Änderungsereignis: Wird durch im Identitätsprofil vorgenommene Änderungen ausgelöst, wenn ein Identitätsattribut im Datensatzsystem aktualisiert wird. Dies können Core- oder benutzerdefinierte Attribute sein.
  • Zeitrahmenereignis: Wird beim Auftreten eines bestimmten Datums ausgelöst, z.B. das Jubiläumsdatum eines Mitarbeiters für die Zugriffsprüfung.
  • Nicht zugeordnetes Ereignis: Wird ausgelöst, wenn ein integrierter Account keiner Identität in Oracle Access Governance entspricht.

Berechtigte orchestrierte Systemtypen zum Starten von Zugriffsprüfungskampagnen

Welche Art von Zugriffsprüfungen Sie in Oracle Access Governance prüfen können, hängt vom Systemtyp ab, der bei der Ausführung von Prüfungen ausgewählt wurde. Sie können den Zugriff auf von Oracle Access Governance verwaltete Systeme einschließlich Eigentumsüberprüfungen prüfen, den Zugriff auf Oracle Cloud Infrastructure (OCI) prüfen und den Zugriff auf von Oracle Identity Governance (OIG) verwaltete Systeme überprüfen.

Zugriff auf von Oracle Access Governance verwaltete Systeme prüfen

Wählen Sie dieses System aus, um Zugriffsprüfungen auszuführen, oder führen Sie Prüfungen der Ressourceneigentümerschaft aus. Im Oracle Access Governance-System können Sie Identitätszugriffsprüfungen für alle orchestrierten Systeme ausführen, die von Oracle Access Governance verwaltet werden, wie Oracle Database, Flat File, Microsoft Active Directory usw.

Wir können Überprüfungsanfragen in
  • Zugriff prüfen: Zum Ausführen von Identitätszugriffsprüfungen, Policy-Prüfungen und Identitäts-Collection-Prüfungen.
  • Eigentümerschaft prüfen: Sie können prüfen, ob nur autorisierte Eigentümer Ressourcen verwalten, indem Sie Eigentumsüberprüfungen ausführen

Identitätszugriffsprüfungen

Führen Sie Identitätszugriffsprüfungen für alle orchestrierten Systeme mit dem Oracle Access Governance-System aus. Sie können diese Überprüfungen basierend auf Core- oder benutzerdefinierten Identitätsattributen, Anwendungen, auf die sie Zugriff haben, Berechtigungen, die vom verwalteten System erteilt wurden, Berechtigungen, die in Oracle Access Governance als Teil des Zugriffs-Bundles bereitgestellt wurden, oder Rollen ausführen, die Identitäten erteilt wurden. Weitere Informationen zum Ausführen von Identitätszugriffsprüfungen finden Sie unter Identitätszugriffsprüfungen.

Auswahlkriterien Berechtigte Komponenten werden geprüft
Wer hat Zugriff? zum Auswählen von Identitätsattributen
  • Berechtigungen
  • Zugriffs-Bundles
  • Rollen
  • Accounts
Was greifen sie zu? , um auf Anwendungen zuzugreifen
  • Berechtigungen
  • Zugriffs-Bundles
  • Rollen
  • Accounts
Welche Berechtigungen? zum Auswählen von "Zugriff auf Bundles" (REQUEST)
  • Zugriffs-Bundle
  • Rollen
  • Accounts
Welche Berechtigungen?, um Berechtigungen (DIRECT) auszuwählen
  • Berechtigungen
  • Zugriffs-Bundles
  • Rollen
  • Accounts
Hinweis

Wenn der Account, der den Berechtigungen zugeordnet ist, auch enthalten ist, um Zugriff über eine Oracle Access Governance-Policy zu erteilen, werden die Accountprüfungsaufgaben nicht generiert.
Welche Rollen?, um Rollen (REQUEST) auszuwählen Rollen

Richtlinienüberprüfungen

Führen Sie Prüfungen der Oracle Access Governance-Policy aus, um die Effektivität der Policy zu bewerten. In Oracle Access Governance erstellte Policys werden geprüft. Oracle Access Governance-Policys enthalten Details zu Ressourcen und Berechtigungen, die über Rollen und/oder Zugriffs-Bundles an eine Gruppe von Identitäten angehängt sind.

Identitätsüberprüfungen

Führen Sie die Mitgliedschaftsprüfung einer Gruppe aus, um zu prüfen, ob einer Gruppe nur autorisierte Mitgliedergruppen zugewiesen sind. Dies wird allgemein als "Group Membership Reviews" bezeichnet. Sie können Prüfungen für Identitäts-Collections ausführen, die in Oracle Access Governance erstellt wurden.

Eigentümerschaft prüfen

Sie können prüfen, ob nur autorisierte Eigentümer Ressourcen verwalten, indem Sie Eigentumsüberprüfungen ausführen. Beispiel: Sie können Eigentumsüberprüfungen ausführen, um zu prüfen, ob nur bestimmte und autorisierte Verantwortliche die Genehmigungsworkflows verwalten.

Zugriff auf von Oracle Cloud Infrastructure (OCI) verwaltete Cloud-Services prüfen

Wählen Sie dieses System aus, um Identitätszugriffsprüfungen, Policy-Prüfungen und Prüfungen der OCI IAM-Identitätserfassungsmitgliedschaft zu zertifizieren. Darüber hinaus können Sie die Zuweisung von OCI-IAM-Gruppen und Anwendungsrollen prüfen, die von Oracle Access Governance verwaltet werden.

Folgende Überprüfungstypen sind verfügbar:
  • Identitätsprüfungen (direkt): Identitätszugriffsrechte, indem der Anwendungszugriff und die erteilten Anwendungsrollen geprüft werden.
  • Identitätszugriffsprüfungen für von Oracle Access Governance verwaltete Zugriffe: Identitätszugriffsrechte von OCI-IAM-Gruppen und Cloud-Services-Anwendungsrollen, die in Oracle Access Governance über eine Zugriffsanforderung zugewiesen sind.
    Hinweis

    Wenn Sie Oracle Access Governance-Rollen anfordern und zuweisen, die die zugehörigen Zugriffs-Bundles mit OCI-IAM-Gruppen oder Cloud-Services-Anwendungsrollen enthalten, prüfen Sie die Oracle Access Governance-Rollen im Oracle Access Governance-System.
  • Policy-Prüfungen: OCI-IAM-Policys, die das Erstellen und Funktionieren einer Policy auswerten.
  • Prüfungen zur Identitätserfassung: Gruppenmitgliedschaften, bei denen bewertet wird, dass nur berechtigte Mitglieder Zugriff auf die Gruppe haben. Wenn Sie OCI-IAM-Gruppen prüfen und einige von Oracle Access Governance zugewiesene Mitglieder enthalten, können Sie mit dieser Prüfung nur direkt zugewiesene Mitglieder akzeptieren oder widerrufen. Wählen Sie für Mitglieder, die über Oracle Access Governance zugewiesen sind, die OCI-Zugriffs-Bundles mit der Kachel Welche Berechtigungen? aus.

Berechtigte Auswahlkriterien zur Prüfung im Oracle Cloud Infrastructure-(OCI-)System

Welche Komponenten geprüft werden können, hängt von den ausgewählten Kriterien ab:

Auswahlkriterien für Zugriffsprüfung im OCI-System
Auswahlkriterien Berechtigte Komponenten werden geprüft
Welche Mandanten zur Auswahl von Mandanten, Cloud-Compartment oder Domain
  • Von Oracle Access Governance verwaltete OCI-Zugriffe
  • Rollen
  • Identitäts-Collections
  • Policys
    Hinweis

    Wenn Sie eine weitere verfeinern möchten, um eine bestimmte Domain auszuwählen, generiert der Service keine Policy-Prüfungen.
Wer hat Zugriff? zum Auswählen von Identitätsattributen
  • Von Oracle Access Governance verwaltete OCI-Zugriffe
  • Rollen
Auf was greifen sie zu? , um auf Cloud-Services zuzugreifen
  • Von Oracle Access Governance verwaltete OCI-Zugriffe
  • Rollen
Welche Berechtigungen? zum Auswählen von "Zugriff auf Bundles" (REQUEST)
  • Von Oracle Access Governance verwaltete Zugriffe. Enthält OCI Access Bundles
Welche Rollen? zum Auswählen von Anwendungsrollen in OCI (DIRECT) Direkt in OCI zugewiesene Rollen.
Welche Policys? zum Auswählen von OCI-Policys Policys
Welche Identitäts-Collections?, um OCI-IAM-Gruppen (DIRECT) auszuwählen Identitäts-Collections
Hinweis

Wenn Sie OCI-IAM-Gruppen prüfen und einige Mitglieder enthalten, die in Oracle Access Governance zugewiesen sind, können Sie mit dieser Prüfung nur direkt zugewiesene Mitglieder akzeptieren oder widerrufen. Bei Zuweisungen, die von Oracle Access Governance verwaltet werden, sollten Sie die OCI-Zugriffs-Bundles mit der Kachel Welche Berechtigungen? prüfen.

Zugriff auf von Oracle Identity Governance (OIG) verwaltete Systeme prüfen

Wählen Sie dieses System aus, um die Zugriffsrechte einer OIG-Identität zu zertifizieren, indem Sie deren Anwendungszugriff, erteilte Rollen oder Berechtigungen (Berechtigungen) prüfen. Sie können die Prüfung für eine bestimmte Berechtigung (Berechtigung) und Rolle nicht in einer einzelnen Kampagne kombinieren.

Verwendungsbeispiele: Zugriffsberechtigungen mit Zugriffsprüfungskampagnen und ereignisbasierten Prüfungen zertifizieren

Sehen wir uns einige Szenarien an, in denen Kampagnen und automatisierte Zugriffsprüfungen nützlich sind.

Beispiel 1: Zugriffsberechtigungen für High-Profile-Anwendungen mit kritischen Funktionen prüfen

Szenario: Um Ihr Unternehmen dabei zu unterstützen, den Missbrauch von Zugriffsrechten für datenschutzkritische Anwendungen zu verhindern, müssen Sie vierteljährliche Kampagnen planen, um den Zugriff auf kritische Funktionen zu zertifizieren, wie z.B. die Berechtigungen aktualisieren und beenden.

Wählen Sie dazu zuerst das System aus, und wenden Sie dann Filter an, um datenschutzrelevante Anwendungen mit der Kachel Was greifen sie zu? auszuwählen. Wählen Sie die entsprechenden Berechtigungen mit Welche Berechtigungen? aus. Führen Sie die Kampagnenschritte durch, um entsprechende Workflow- und Kampagnendetails zuzuweisen. Wenn Sie diese Option aktivieren, werden die Prüfungsaufgaben generiert, die der Prüfer auf der Seite Meine Zugriffsprüfung prüfen kann.
Hinweis

Sie können entweder eine Kampagne zum Prüfen von Berechtigungen oder zum Prüfen von Rollen erstellen, aber nicht beide können in einer einzelnen Kampagne ausgewählt werden. In diesem Beispiel wird Welche Rollen? zusammen mit Welchen Policys werden deaktiviert? Wenn Sie den Identitätszugriff prüfen möchten, werden die Auswahlparameter für die Policy- und Identitätserfassung ebenfalls deaktiviert.

Beispiel 2: Policys für alle Cloud-Ressourcen prüfen

Szenario: Ihr Unternehmen hat seine Sicherheitsprotokolle für die Datenspeicherung aktualisiert. Als Cloud-Sicherheitsadministrator müssen Sie On-Demand-Zugriffsprüfungen aller IAM-Policys durchführen, die in Ihrem Cloud-Account verfügbar sind, um sicherzustellen, dass sie den neuesten Sicherheitsstandards und -vorschriften entsprechen.

Wählen Sie dazu zuerst das System aus, und fügen Sie Auswahlkriterien hinzu, um Cloud-Provider, Cloud-Account, Domain oder Compartment auszuwählen. Führen Sie die Kampagnenschritte durch, um entsprechende Workflow- und Kampagnendetails zuzuweisen. In diesem Beispiel kann der Kampagnenprüfer alle anwendbaren Prüfungsaufgaben auf der Registerkarte Meine ZugriffsprüfungenZugriffskontrolle mit dem Typ Policy prüfen.

Beispiel 3: Gruppenmitgliedschaftsprüfungen für Projektgruppen

Szenario: Führen Sie als Projektmanager vierteljährliche Gruppenmitgliedschaftsprüfungen für Ihr Team durch, um sicherzustellen, dass nur aktuelle Teammitglieder Zugriff auf Code-Repositorys und den Zugriff auf erforderliche Drittanbieteranwendungen haben. Dieser Prozess hilft Ihnen, unbefugten Zugriff zu entfernen sowie die Projektkosten zu überwachen und zu kontrollieren.

Wählen Sie dazu zunächst das OCI-System aus, fügen Sie Auswahlkriterien hinzu, um OCI-Gruppen auszuwählen, fügen Sie einen Genehmigungsworkflow sowie Kampagnendetails hinzu. In diesem Beispiel kann der Kampagnenprüfer alle anwendbaren Prüfungsaufgaben auf der Registerkarte Meine ZugriffsprüfungenZugriffskontrolle mit dem Typ Identitätserfassung prüfen.

Beispiel 4: Automatisierte Zugriffsprüfungen für Mitarbeiter aktivieren, die durch ein Änderungsereignis ausgelöst werden

Szenario: Als Geschäftseigentümer müssen Sie automatische Zugriffsprüfungen einrichten, um Mikrozertifizierungen durchzuführen, wenn sich Manager, Tätigkeitscode oder Standort für einen Mitarbeiter ändern.

Aktivieren Sie dazu ereignisbasierte Zugriffsprüfungen für Tätigkeitsschlüssel, Manager und Standort. Wenn die letzte Datensynchronisierung aus dem orchestrierten System mit diesen Updates erfolgt, erstellt Oracle Access Governance automatisch mehrere ereignisbasierte Zugriffsprüfungen, die mit dieser einzelnen Identität verknüpft sind.