Oracle Cloud Infrastructure-Dokumentation

Zugriffs-Bundle erstellen

Ein Access Bundle ist eine Sammlung von Berechtigungen, die den Zugriff auf Ressourcen, Anwendungsfunktionen und Funktionen in einer anforderbaren Einheit verpacken. Ein bestimmtes Zugriffs-Bundle wird mit einem einzelnen Ziel verknüpft.

Überblick

Mit Access Bundles müssen Sie nicht einzeln Zugriff auf jede Berechtigung erteilen, sondern können das Zugriffs-Bundle für diese Ressource anfordern. Dadurch wird das Provisioning von Accounts mit Ressourcenberechtigungen vereinfacht.

Beispiel: Sie können ein Zugriffs-Bundle für Entwickler mit der Zielanwendung "Oracle Apex" erstellen. Sie können dieses Bundle als Zugriff auf Apex-Entwickler aufrufen und die Berechtigungen "Lesen", "Bearbeiten" und "Erstellen" auswählen, die für die Verwendung der Anwendung durch einen Entwickler erforderlich sind. Wenn ein Entwickler in Ihrer Organisation Entwicklerzugriff auf Apex anfordern muss, muss er nur das Bundle anfordern, nicht die drei individuellen Berechtigungen. Sie können ihnen diese Berechtigungen über Oracle Access Governance-Policys automatisch zuweisen.

Zugriff mit Oracle Access Governance-Zugriffs-Bundles verwalten

Sie können Gruppen für Microsoft Entra ID (früher Azure Active Directory) und Microsoft Active Directory verwalten.

Orchestriertes Oracle Cloud Infrastructure-(OCI-)System
Bei Domains, die Berechtigungen verwalten, werden Berechtigungen als OCI-IAM-Gruppen und Anwendungsrollen gepackt. Sie können Folgendes erreichen:
  • Gruppenzuweisung: Bündeln Sie OCI-IAM-Gruppen in einem Zugriffs-Bundle, das dann über eine Policy oder eine Zugriffsanforderung Identitäten zugewiesen werden kann.
  • Anwendungsrollenzuweisung: Bündeln Sie Anwendungsrollen für OCI-Cloud-Services in einem Zugriffs-Bundle, das dann über eine Policy oder eine Zugriffsanforderung Identitäten zugewiesen werden kann.

Zu Access Bundle navigieren

So navigieren Sie zur Seite "Zugriffs-Bundle":

  1. Melden Sie sich bei der Oracle Access Governance-Konsole mit einem Benutzer an, dem die Anwendungsrolle Administrator oder Zugriffskontrolladministrator zugewiesen ist.
  2. Sie können eine der folgenden Optionen auswählen, um zur Seite "Zugriffs-Bundle" zu navigieren:
    • Klicken Sie auf das Navigationsmenüsymbol Navigationsmenü, und wählen Sie Zugriffskontrollen > Auf Bundles zugreifen aus.
    • Klicken Sie auf der Konsolenhomepage auf die Registerkarte Zugriffskontrollen und dann auf die Schaltfläche Auswählen in der Kachel Zugriffs-Bundles verwalten.
    Unabhängig davon, welche Option Sie auswählen, werden Sie zur Seite Zugriffs-Bundle weitergeleitet, auf der Sie Zugriffs-Bundles erstellen, anzeigen und verwalten können.
  3. Um ein neues Zugriffs-Bundle zu erstellen, klicken Sie auf die Schaltfläche Zugriffs-Bundle erstellt. Die Seite Neues Zugriffs-Bundle erstellen wird angezeigt.

Bundle-Einstellungen

In der Aufgabe Bundle-Einstellungen können Sie allgemeine Einstellungen zu Ihrem Zugriffs-Bundle eingeben. Sie können auch benutzerfreundliche Tags hinzufügen, die bei einer Suche nach diesem Zugriffs-Bundle beim Erstellen von Policys verwendet werden können.

  1. Wählen Sie das orchestrierte System im Feld Für welches System ist dieses Bundle bestimmt?.
    Abhängig von den Daten, die aus Ihren integrierten Systemen aufgenommen werden, werden Ihnen die zur Auswahl stehenden Anwendungen angezeigt.
  2. [Nur OCI] Wählen Sie im Feld Welche Domain? eine Domain aus, aus der Sie Anwendungsrollen oder OCI-IAM-Gruppen auswählen möchten.
  3. [Nur OCI] Wählen Sie im Feld Welcher Berechtigungstyp? eine der folgenden Optionen aus:
    • Anwendungsrolle: Zum Packen von OCI-Anwendungsrollen in einem Zugriffs-Bundle und Zuweisen zu Identitäten.
    • Gruppenzugriff: Zum Packen und Zuweisen von OCI-IAM-Gruppen in einem Zugriffs-Bundle.
    Sie können Anwendungsrolle und Gruppenzugriff nicht in einem einzigen Zugriffs-Bundle kombinieren. Sie können eine Rolle in Oracle Access Governance erstellen und zwei separate Zugriffs-Bundles damit verknüpfen. Diese können dann entweder über Selfservice-Abläufe angefordert oder über Oracle Access Governance-Policys bereitgestellt werden. Weitere Informationen finden Sie unter Rollen verwalten.
  4. Wählen Sie aus, wer dieses Bundle aus den verfügbaren Optionen anfordern kann:
    • Jeder: Jede Identität kann den Zugriff auf dieses Zugriffs-Bundle anfordern.
    • Keiner: Das Zugriffs-Bundle kann nur von einem Administrator über Policys zugewiesen werden. Sie können keinen Zugriff auf dieses Zugriffs-Bundle über Self-Service-Abläufe anfordern.
    • Mitglieder der Organisation: Nur Mitglieder bestimmter Organisationen können über Self-Service-Abläufe Zugriff auf dieses Bundle anfordern. Weitere Informationen zum Verwalten von Oracle Access Governance Organization finden Sie unter Organisationen erstellen und verwalten.
  5. Wählen Sie unter Organisationsmitglieder mindestens einen Organisationsnamen aus, der Zugriff auf dieses Zugriffs-Bundle anfordern kann.
  6. Wählen Sie den entsprechenden Genehmigungsworkflow im Feld Welcher Genehmigungsworkflow soll verwendet werden? aus.
    Die angezeigte Liste basiert auf den benutzerdefinierten Genehmigungsworkflows, die in der Oracle Access Governance-Konsole erstellt wurden. Weitere Informationen finden Sie unter Genehmigungsworkflow erstellen.
    Hinweis

    Wenn Sie Niemand ausgewählt haben, wird dieses Feld deaktiviert, da die Zugriffs-Bundles mit Policys bereitgestellt werden können.
  7. Aktivieren Sie das Kontrollkästchen Anforderungen ohne Access Guardrail- oder SoD-Verletzungen automatisch genehmigen, um den ausgewählten Genehmigungsworkflow nur auszulösen, wenn eine Zugriffsanforderung zu einer Verletzung einer Access Guardrail- oder Segregation of Duties (SoD) führt. Andernfalls wird die Anforderung automatisch genehmigt.
  8. Wählen Sie ein oder mehrere Tags für dieses Zugriffs-Bundle im Feld Möchten Sie Tags hinzufügen? aus. Beispiele können General-org , Database Admin oder Ähnliches sein.
  9. Wählen Sie in der Liste Access Guardrail auswählen, der für den Zugriff erforderlich ist die entsprechende Access Guardrail-Liste aus, um die Zugriffstrennung von Aufgaben oder Constraints für das Zugriffs-Bundle durchzusetzen. Weitere Informationen finden Sie unter Access Guardrails - Constraints für die präventive Zugriffskontrolle durchsetzen.
  10. Klicken Sie auf Weiter, um zur Aufgabe Berechtigungen wählen zu gehen.

Berechtigungen auswählen

In der Aufgabe Berechtigungen auswählen können Sie Berechtigungen auswählen, die in dieses Zugriffs-Bundle aufgenommen werden sollen. Je nach orchestriertem System werden möglicherweise zusätzliche Attribute angezeigt, die für die Accountbereitstellung erforderlich sind. Weitere Informationen zu den Standardattributen finden Sie in den jeweiligen orchestrierten Systemartikeln. Für OCI können Sie OCI-IAM-Gruppen oder Anwendungsrollen auswählen.

  1. Wählen Sie mindestens eine Berechtigung aus, die mit der Zielanwendung verknüpft ist. Alternativ können Sie das Feld Suchen verwenden, um die erforderliche Berechtigung oder Rolle zu suchen.
  2. Klicken Sie nach der Auswahl der Berechtigungen auf Weiter, um zur Aufgabe Details hinzufügen zu gelangen.

Primäre und zusätzliche Verantwortliche hinzufügen

Sie können Ressourcenverantwortung zuordnen, indem Sie primäre und zusätzliche Verantwortliche hinzufügen. Dies steuert Self-Service, da diese Eigentümer dann die Ressourcen verwalten (lesen, aktualisieren oder löschen) können, deren Eigentümer sie sind. Standardmäßig wird der Ressourcenersteller als Ressourceneigentümer angegeben. Sie können einen primären Verantwortlichen und bis zu 20 zusätzliche Verantwortliche für die Ressourcen zuweisen.

Um Ressourcenverantwortung zuweisen zu können, müssen Sie über aktive Oracle Access Governance-Benutzer verfügen. Wenn Sie das erste orchestrierte System für Ihre Serviceinstanz einrichten, können Sie Eigentümer erst zuweisen, nachdem Sie die Identitäten im Abschnitt Identitäten verwalten aktiviert haben.
Für die Zuweisung der Ressourcenverantwortung sind keine speziellen Anwendungsrollen erforderlich. Jeder aktive Oracle Access Governance-Benutzer kann als Eigentümer der Ressourcen zugewiesen werden. Alle Verantwortlichen können die Ressourcen lesen, aktualisieren oder löschen, für die sie verantwortlich sind. Der primäre Verantwortliche wird jedoch als Zugriffsprüfer zugewiesen, wenn Sie die Vorlage Verantwortlicher im Genehmigungsworkflow für die Ausführung von Eigentumsprüfungen in Kampagnen auswählen. Weitere Informationen finden Sie unter Arten von Zugriffsprüfungen, die von Oracle Access Governance angeboten werden.
  1. Wählen Sie im Oracle Access Governance-Navigationsmenüsymbol Navigationsmenü die Option Serviceadministration → Orchestrierte Systeme.
  2. Wählen Sie die Option Integration verwalten im Aktionsmenü Aktionsmenü für das orchestrierte System aus, das Sie konfigurieren möchten. Zeigt die Seite "Integration verwalten" für das ausgewählte orchestrierte System an.
  3. Wählen Sie im Abschnitt Systemeinstellungen der Seite in der Kachel Eigentümereinstellungen die Option Verwalten aus. Dadurch wird die Seite mit den Eigentümereinstellungen für das ausgewählte orchestrierte System angezeigt.
  4. Wählen Sie im Feld Wer ist der primäre Eigentümer? einen aktiven Oracle Access Governance-Benutzer als primären Eigentümer aus.
  5. Wählen Sie einen oder mehrere zusätzliche Eigentümer in der Liste Wer ist Eigentümer? aus. Sie können bis zu 20 zusätzliche Eigentümer für die Ressource hinzufügen.
    Sie können den primären Eigentümer in der Liste anzeigen. Alle Verantwortlichen können die Ressourcen anzeigen und verwalten, für die sie verantwortlich sind.

Zugriff auf Zeitlimit

Legen Sie einen Ablaufzeitraum fest, um den Zugriff auf Tage oder Stunden zu begrenzen. Sie können Benutzern auch erlauben, eine Verlängerung anzufordern, bevor der Zugriff nach Ablauf widerrufen wird. Zeitgebundener Zugriff stellt sicher, dass Identitäten nur für den erforderlichen Zeitraum Zugriff haben, wodurch die Sicherheit erhöht wird.

Zeitgebundener Zugriff gilt nur für Self-Service-Zugriffsanforderungen und nicht, wenn der Zugriff über eine Policy erteilt wird.
  1. Wie lange soll der Zugriff gewährt werden?: Wählen Sie eine der folgenden Optionen aus:
    1. Unbegrenzt: Ermöglicht permanenten Zugriff ohne zeitliche Begrenzungen. Der Zugriff wird nur widerrufen, wenn er manuell widerrufen oder das Konto deaktiviert wird.
    2. Maximale Anzahl an Tagen [1-365]: Geben Sie an, wie viele Tage maximal der Zugriff gewährt werden soll. Der Zugriff wird nach Ablauf dieser Frist widerrufen.
    3. Maximale Anzahl an Stunden [1-24]: Geben Sie die maximale Anzahl an Stunden ein, die Zugriff gewährt werden soll. Der Zugriff wird nach den angegebenen Stunden widerrufen.
  2. Wie viele Tage/Stunden vor Ablauf sollen eine Benachrichtigung gesendet werden?: Geben Sie basierend auf Ihrer Auswahl von Tagen oder Stunden für den Zugriff die Anzahl der Tage oder Stunden vor Ablauf ein, um eine E-Mail-Benachrichtigung an den Benutzer zu senden.
  3. Wie viele Tage/Stunden dürfen maximal verlängert werden?: Geben Sie basierend auf Ihrer Auswahl von Tagen oder Stunden für den Zugriff die maximal zulässige Anzahl von Tagen/Stunden für eine Verlängerung nach Ablauf des Zugriffs ein. Wenn zulässig, können Identitäten eine Selfservice-Zugriffserweiterungsanforderung auf der Seite Mein Zugriff auslösen.
    • Wenn das Zugriffs-Bundle zeitgebunden ist, wird die Verlängerungsperiode durch die Konfiguration des Zugriffs-Bundles bestimmt.
    • Wenn das Zugriffs-Bundle unbegrenzt ist, sind Erweiterungen standardmäßig bis zu 90 Tage zulässig.
  4. Welcher Genehmigungsworkflow soll für Verlängerungsanforderungen verwendet werden?: Wählen Sie den entsprechenden Genehmigungsworkflow aus, der zur Genehmigung von Verlängerungsanforderungen verwendet werden soll.

Details hinzufügen

In dieser Aufgabe Details hinzufügen können Sie Ihrem Zugriffs-Bundle einen Namen geben, eine Beschreibung hinzufügen und ein Kontenprofil anhängen.

  1. Geben Sie im Feld Name den Namen für das Zugriffs-Bundle ein.
  2. Fügen Sie eine Beschreibung für Ihr Zugriffs-Bundle in das Feld Beschreibung ein.
    Hinweis

    Die anderen Felder auf dem Bildschirm hängen vom Zieltyp und den Berechtigungen ab, die in den vorherigen Aufgaben ausgewählt wurden.
  3. Wählen Sie eine der folgenden Aktionen für das Feld Möchten Sie ein Kontenprofil verwenden? aus. Weitere Informationen finden Sie unter Accountprofile in Oracle Access Governance einrichten.
    • Ja: Wählen Sie ein Kontenprofil aus der Liste Welches Kontenprofil? aus.
    • Nein: Geben Sie Werte in die anderen Felder ein, die je nach verwaltetem System angezeigt werden.
  4. Klicken Sie auf Weiter, um zur Aufgabe Prüfen und weiterleiten zu gehen.

Prüfen und übermitteln

Die Aufgabe Prüfen und weiterleiten zeigt die Informationen an, die Sie in den vorherigen Aufgaben hinzugefügt haben.

Wenn alles korrekt aussieht, klicken Sie auf Erstellen, um das Zugriffs-Bundle zu erstellen. Sie können zusätzliche Aktionen auswählen:
  • Abbrechen: Damit brechen Sie den Prozess ab.
  • Zurück: Hiermit kehren Sie zum vorherigen Schritt zurück.
  • Als Entwurf speichern: So speichern Sie das Zugriffs-Bundle als Entwurfskopie. Dadurch wird das Zugriffs-Bundle auf dem Bildschirm Zugriffs-Bundle mit dem Status "Entwurf" angezeigt.