Oracle Cloud Infrastructure-Dokumentation

Zugriff auf das Geburtsrecht erteilen

Birthright-Zugriff bezieht sich auf eine Gruppe von Standardberechtigungen, die Benutzern automatisch mit automatisierten Oracle Access Governance-Policys erteilt werden, um sicherzustellen, dass neue Joiner vor oder zu Beginn der Beschäftigung wesentlichen Zugriff haben.

Oracle Access Governance gewährt Geburtsrecht Zugriff auf
  • Voreinstellung: Das Startdatum liegt in der Zukunft.
  • Einstellung: Das Startdatum ist jetzt oder in der Vergangenheit; es wurde nicht beendet.
Bundesland des Mitarbeiters AG-Status Status (aus autoritativer Quelle) Join-Datum (aus autoritativer Quelle) Austritt gestartet Austrittsdatum (aus autoritativer Quelle)
Voreinstellung AG aktiv Deaktiviert Größer als heute FALSCH Größer als heute
Einstellung AG aktiv Aktiv Kleiner/gleich heute FALSCH Größer als heute

Voraussetzungen

Stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind, um birthright-Zugriff von Oracle Access Governance zu erteilen:

    1. Die autoritative Quelle muss Mitarbeiterattribute enthalten, einschließlich des offiziellen Beitrittsdatums oder Startdatums
    2. Erstellen Sie ein Systemattribut und ein globales Identitätsattribut, um den Quellwert abzurufen.
    3. Die autoritative Quelle muss ein orchestriertes Systemattribut für das Austrittsdatum oder das letzte Arbeitsdatum enthalten.
    4. Globales AG-Identitätsattribut erstellen terminated
    5. Personal-/Verbraucherbedingungen für Aktivierung festlegen

Schritt 1: Systemattribut und globales Identitätsattribut für JoinDate erstellen

  1. Erstellen Sie ein einfaches Systemattribut joinDate, und ordnen Sie es der Join-Datumsquelle zu, z.B. startDate. Siehe Systemattribut erstellen.
  2. Gehen Sie jetzt zur Seite Identitätsattribute, und suchen Sie das joinDate-Core-Identitätsattribut. Bearbeiten Sie das Core-Identitätsattribut, um das relevante orchestrierte System auszuwählen, und aktualisieren Sie die Wertquelle mit einer einzelnen Attributregel, wie:
    if (user.getCustomAttributes() != null) 
{ user.getCustomAttributes()['startDate'] }
    Siehe Attributeinstellungen verwalten.

Schritt 2: Globales Identitätsattribut erstellen, um beendete Benutzer auszuschließen

Erstellen Sie ein AG-Attribut, terminated, für Policys, die vor dem joinDate birthright-Zugriff erteilen, um beendete Benutzer von der Zuweisung von Berechtigungen über diese Policys auszuschließen. Hier ist terminationDate die letzte Quelle des Arbeitsdatums aus der zuverlässigen Quelle.

    1. Gehen Sie zur Seite Identitätsattribute, und erstellen Sie ein internes AG-Attribut, beendet, vom Typ Boolesch. Weitere Informationen finden Sie unter Erstellen eines Oracle Access Governance-Attributs.
    2. Verwenden Sie die Regel für ein einzelnes Attribut, um terminationDate mit heute zu vergleichen. Wenn terminationDate kleiner als oder gleich heute ist, wird "true" zurückgegeben. Andernfalls wird "false" zurückgegeben, wie:
      if( user.getStatus() == 'Disabled' && user.getCustomAttributes() != null && user.getCustomAttributes()['terminationDate'] != null ) 
{ var currentDate=new Date(); 
var today = new Date(currentDate.getFullYear(),currentDate.getMonth(),currentDate.getDate(),23,59,59,999); 
var terminationDate = new Date(user.getCustomAttributes()['terminationDate']); 
if(terminationDate <= today) 
{ true } 
else { false } 
} 
else { false }
    3. Wählen Sie die entsprechenden Identitäts-Flags aus, um diese Attribute in die Oracle Access Governance-Features einzuschließen

Schritt 3: Personal-/Verbraucheraktivierungsregeln konfigurieren

Gehen Sie zur Seite Identitäten verwalten, und legen Sie die folgenden Aktivierungsregeln fest:
  • Für aktive Benutzer:
    Status In Active Disabled
  • Für Consumer-Benutzer:
    Status Equals Disabled

Workflow für Erstberechtigungszugriff

Sie können den birthright-Zugriff über Oracle Access Governance konfigurieren, indem Sie Identitäts-Collections erstellen, Berechtigungen in einem Zugriffs-Bundle verpacken und dann Policys konfigurieren, um sicherzustellen, dass Neueinstellungen vor oder zu Beginn der Beschäftigung wesentlichen Zugriff erhalten.

  1. Erstellen Sie eine Identity Collection basierend auf Mitgliedschaftsregeln. Siehe Identitäts-Collection erstellen.
    1. Damit Benutzer den Zugriff am oder nach dem Startdatum erteilen können.
      Status Equals Active
Worker Type Equals Employee
    2. Für Voreinstellungen, um Zugriff vor dem Startdatum zu erteilen
      {JoinDate} Number of days before {10}
{Terminated} Equals {False}
      Hinweis

      • Um den Zugriff am oder nach dem Startdatum zu erteilen, müssen Sie die Bedingung Status Equals Active hinzufügen.
      • Wenn Sie die Policy mit today() konfiguriert haben, fügt ein interner Scheduler jeden Tag ein neues Mitglied hinzu, das die Mitgliedschaftskriterien erfüllt. Je nach Konfiguration wird die Policy jeden Tag um Mitternacht ausgelöst.
  2. Erstellen Sie ein Zugriffs-Bundle und Paketzugriff auf die erforderlichen Berechtigungen. Beispiel: Zugriff auf Standardtools für die Zusammenarbeit. Siehe Zugriffs-Bundle erstellen.
  3. Erstellen Sie eine Policy, und verknüpfen Sie den Berechtigungsteil des Zugriffs-Bundles mit der Identitätserfassung. Siehe Policys bearbeiten.

Beispiel für Voreinstellung

Lassen Sie uns den vollständigen birthright-Zugriffsworkflow für Voreinstellungen verstehen, in dem der Zugriff vor dem Startdatum erteilt werden soll.

Alice wird voraussichtlich am 20. März der Acme Corporation beitreten. Geben Sie als AG_Administrator und AG_AccessControl_Admin Folgendes ein:

    1. Stellen Sie sicher, dass Sie die Voraussetzungen konfigurieren, um Personalregeln zu aktivieren und das Startdatum im Core-Attribut joinDate zu erfassen.
    2. Erstellen Sie eine Identitäts-Collection mit der Mitgliedschaftsregel:
      {JoinDate} Number of days before {10}
	{Terminated} Equals {False}
    3. Packageberechtigungen in einem Zugriffs-Bundle für die standardmäßigen Collaboration- oder Enterprise-Tools. Sie können weiter konfigurieren, um sicherzustellen, dass Keiner dieses Zugriffs-Bundle anfordern kann und nur über eine Policy erteilt werden darf.
    4. Erstellen Sie eine Policy, und verknüpfen Sie den Berechtigungsteil des Zugriffs-Bundles mit der Identitätserfassung.

    Wenn das Join-Datum für Alice 20. März lautet, wird die Policy am 10. März ausgelöst, um den Zugriff auf das Geburtsrecht zu erteilen.

Konfiguration validieren

Prüfen Sie, ob das Setup korrekt ist.

  1. Wählen Sie unter Systemadministration die Option Identitätsattribute aus, und aktivieren Sie dann In Identitätsdetails aufnehmen und das Kennzeichen In Identitys verwalten einbeziehen für die folgenden Identitätsattribute: status, startDate, joinDate, terminated, terminationDate und terminationStarted.
  2. Wählen Sie unter Wer Zugriff auf was hat die Option Unternehmensweiter Browser aus, wählen Sie Identitäten aus, wählen Sie Listeneinstellungen bearbeiten aus, und fügen Sie den Listeneinstellungen die folgenden Attribute hinzu: status, startDate, joinDate, terminated, terminationDate und terminationStarted.
  3. Validieren Sie Folgendes für Identitäten, die aus dem Authoritative Source-System geladen wurden:
    • Die Attribute startDate und joinDate müssen auf denselben Wert gesetzt werden.
    • Identitäten mit einer startDate in der Zukunft und einer terminationDate, die nicht festgelegt ist oder in der Zukunft liegt, müssen die folgenden Werte aufweisen:
      • status=Disabled
      • AG status=Active
      • AG subtype=Consumer
      • terminated=false
    • Identitäten mit einer startDate in der Vergangenheit und einer terminationDate, die nicht festgelegt ist oder in der Zukunft liegt, müssen die folgenden Werte aufweisen:
      • status=Active
      • AG status=Active
      • AG subtype=Workforce
      • terminated=false
    • Identitäten mit einem terminationDate in der Vergangenheit müssen die folgenden Werte aufweisen:
      • status=Disabled
      • AG status=Active oder Inactive (hängt von der Konfiguration der Gruppe ab. Wenn es sich um aktive Identitäts-Collections von Oracle Access Governance für Pre-Hire-Policys handelt, muss die Bedingung terminated=false vorhanden sein)
      • AG subtype=Consumer (wenn diese Identitäten in Oracle Access Governance geladen werden, muss der F-Typ Consumer lauten)
      • terminated=true