Oracle Cloud Infrastructure-Dokumentation

Identitätszugriffsprüfungskampagnen erstellen

Zertifizieren Sie als Administrator oder Kampagnenadministrator Identitätszugriffsrechte, indem Sie On-Demand-Kampagnen zur Identitätszugriffsprüfung über die Oracle Access Governance-Konsole erstellen. Dies können Einmal- oder periodische Zugriffsprüfungskampagnen sein.

Voraussetzungen

Beachten Sie Folgendes, bevor Sie Kampagnen zur Identitätszugriffsprüfung erstellen:

  • Um Kampagnen für Zugriffsprüfungen erstellen zu können, müssen Ihnen die Rolle Administrator oder Kampagnenadministrator für Oracle Access Governance zugewiesen sein.
  • Aktivieren Sie die Identitätsattribute (Core und benutzerdefiniert) und Zugehörigkeiten auf der Seite Identitätsattribute. Beispiel: Sie müssen die Kampagnen basierend auf dem Projektcode oder der Kostenstelle definieren. Siehe Benutzerdefinierte Identitätsattribute anzeigen und konfigurieren.
  • Sie müssen mindestens ein Auswahlkriterium auswählen, um Kampagnen auszuführen, um einen erheblichen Ressourcenverbrauch zu vermeiden.
  • Wählen Sie das Oracle Access Governance-System aus, um Identitätszugriffsprüfungen basierend auf den Berechtigungen auszuführen, die direkt aus den orchestrierten Systemen aufgenommen wurden.
  • Wählen Sie für das Oracle Access Governance-System Berechtigungen aus, die direkt (DIRECT) zugewiesen sind, oder greifen Sie auf Bundles zu, die auf Anforderung in der Kachel Welche Berechtigungen? erteilt wurden. Berechtigungen oder Accounts, die über die Policy bereitgestellt werden, sind in dieser Prüfung nicht zulässig.
  • Sie können keine bestimmten Berechtigungen und Rollen in derselben Kampagne wie die Kampagne auswählen wie Welche Berechtigungen? und Welche Rollen? schließen sich gegenseitig aus. Dies bedeutet, dass Sie beim Erstellen einer Kampagne eine der beiden Optionen auswählen können. Sie können jedoch alle verfügbaren Berechtigungen und Rollen prüfen, wenn Sie Wer hat Zugriff? und Worauf greifen sie zu? auswählen.

Weitere Informationen zu Kampagnen finden Sie unter Best Practices für die Arbeit mit Kampagnen.

Zu Kampagnen navigieren

Kampagnen werden über die Oracle Access Governance-Konsole erstellt. Gehen Sie zur Seite Kampagnen, um den On-Demand-Zugriffsprüfungsprozess zu starten.

  1. Melden Sie sich bei der Oracle Access Governance-Konsole an.
  2. Wählen Sie eine der folgenden Optionen aus, um zum Bildschirm zu navigieren:
    • Wählen Sie auf der Homepage der Oracle Access Governance-Konsole die Registerkarte Zugriffsprüfungen aus. Wählen Sie die Kachel Neue Kampagne definieren aus.
    • Wählen Sie im Navigationsmenü Navigationsmenü die Optionen Zugriff auf Prüfungen, Kampagnen aus. Wählen Sie auf der Seite Kampagnen die Option Kampagne erstellen.
  3. Wählen Sie einen der Systemtypen aus, für die Sie Kampagnen ausführen möchten. Weitere Informationen finden Sie unter Zulässige Systemtypen zum Starten von Zugriffsprüfungskampagnen.
    Definieren Sie auf der Workflow-Seite Neue Zugriffsprüfungskampagne erstellen die Auswahlkriterien für Ihre Kampagne.

Kriterien für Ihre Zugriffsprüfungen auswählen

Wählen Sie in der Dimension Auswahlkriterien die entsprechenden Kriterien für Ihre Identitätszugriffsprüfungskampagnen aus. Die auf der Seite Identitätsattribute konfigurierten Attribute sind als Auswahlkriterien verfügbar. Alle Kriterien können nach Name durchsucht werden.

Die Auswahlkacheln basieren auf dem im vorherigen Schritt ausgewählten System. Beispiel: Für Oracle Cloud Infrastructure (OCI) werden möglicherweise zusätzliche Kacheln angezeigt, wie Welche Mandanten?, damit Sie Ihren Cloud-Account auswählen können, für den Sie die Prüfung ausführen möchten.
  1. Wählen Sie eine oder mehrere Kriterienkacheln aus, die Sie in beliebiger Reihenfolge einschließen möchten. Sie müssen nicht jedes Kriterium aktualisieren. Die Auswahlwerte werden aus dem integrierten orchestrierten System abgeleitet. Verfügbare Kacheln:
    OptionBeschreibung
    Wer hat Zugriff? Identitäten basierend auf Core- oder benutzerdefinierten Identitätsattributen filtern.
    1. Wählen Sie im Feld Welche Attribute möchten Sie zur Auswahl hinzufügen? bis zu fünf Attribute aus.
    2. Wählen Sie auf jeder Registerkarte mindestens einen verfügbaren Auswahlwert aus.
    Worauf wird zugegriffen? Identitäten basierend auf ihrem Zugriff auf Anwendungen oder Ressourcen auswählen.
    Welche Berechtigungen? Identitäten basierend auf ihrem Zugriff auf Berechtigungen auswählen.
    • Für Oracle Identity Governance (OIG) können Sie Berechtigungen auswählen.
    • Für Oracle Access Governance können Sie Berechtigungen auswählen, die direkt im verwalteten System zugewiesen sind, oder Berechtigungen, die über das Zugriffs-Bundle Symbol für Zugriffs-Bundle über Anforderung in Oracle Access Governance bereitgestellt werden. Die Berechtigungen variieren je nach orchestriertem System.
    • Für OCI können Sie OCI-IAM-Gruppen und Anwendungsrollen prüfen, die über das Symbol für Zugriffs-Bundle-Zugriffs-Bundle über Anforderung in Oracle Access Governance zugewiesen sind.
    Welche Rollen? Identitäten nach ihren Rollen filtern.
    • Für Oracle Identity Governance (OIG) können Sie direkt zugewiesene Rollen auswählen.
    • Für Oracle Access Governance können Sie Rollen auswählen, die direkt im verwalteten System zugewiesen oder in Oracle Access Governance erstellt wurden.
    • Für Oracle Cloud Infrastructure (OCI) können Sie Anwendungsrollen für OCI Cloud-Services prüfen, die direkt in OCI zugewiesen sind.
    Welche Mandanten? So filtern Sie Cloud-Accounts: Wählen Sie den Link Weitere näher definieren aus, um Compartment und Domain für Ihren Cloud-Account auszuwählen. Nur für Oracle Cloud Infrastructure-Überprüfungssystem verfügbar.
    Verwenden Sie den Filter, um die relevanten Werte auszuwählen. Beispiel: Wählen Sie für den Geltungsbereich von Oracle Access Governance in der Kachel Welche Berechtigungen? die Option Zugriffs-Bundle als Berechtigungstyp erteilt aus, und legen Sie Begrenzt als Grenzwert für Zugriffszeit fest, um Zugriffs-Bundles mit zeitgebundenem Zugriff zu prüfen. Wählen Sie für Oracle Cloud Infrastructure (OCI) in der Liste Zugriffszeitlimit die Option Begrenzt aus.
  2. Wählen Sie nach der Auswahl Meine Auswahl anwenden aus.
  3. Um Ihre Auswahlkriterien zu aktualisieren, wählen Sie die Schaltfläche Ändern in der entsprechenden Kachel.
    Der Bereich auf der rechten Seite der Seite zeigt Ihnen die Auswirkungen Ihrer Auswahl und bietet Ihnen eine Schätzung der eingeschlossenen Identitäten, die für die Überprüfung in Betracht gezogen werden.
  4. Nachdem Sie Ihre Auswahl getroffen haben, wählen Sie die Schaltfläche Ich bin zufrieden, gehen Sie zu Workflows, um mit der Dimension Workflow zuweisen fortzufahren.
    Wählen Sie jederzeit Entwurf speichern aus, um Ihre Kampagne zu speichern, und rufen Sie sie später ab, um die Details zu bearbeiten.

Zugriffsprüfer durch Auswahl des Genehmigungsworkflows hinzufügen

Wählen Sie in der Dimension Workflow zuweisen den Genehmigungsworkflow für Ihre Zugriffsprüfung aus.

  1. Wählen Sie den Genehmigungsworkflow aus, den Sie dieser Zugriffsprüfungskampagne zuweisen möchten.
    Eine Liste der verfügbaren Workflows zeigt alle in Ihrem System definierten Genehmigungsworkflows an. Ziehen Sie Self Certification Guardrails und Fallback-Mechanismus in Betracht, bevor Sie den Workflow auswählen. Weitere Informationen zum Erstellen und Verwalten von Genehmigungsworkflows finden Sie unter Genehmigungsworkflow erstellen und Genehmigungsworkflow verwalten.
  2. Nachdem Sie den Workflow ausgewählt haben, klicken Sie auf den Link Genehmigungsworkflow anzeigen, um eine grafische Darstellung des ausgewählten Workflows anzuzeigen.
    Hinweis

    Wenn eine Kampagne einen Workflow für Geschäftsgenehmiger verwendet, wird die Prüfung dem Ressourceneigentümer zugewiesen. Beispiel: Zugriffs-Bundle-Prüfungen werden dem primären Verantwortlichen für das Zugriffs-Bundle, Rollenprüfungen dem primären Verantwortlichen für die Access Governance-Rolle, OIG-Berechtigungsprüfungen dem Verantwortlichen für die Berechtigung und OIG-Rollenprüfungen dem Verantwortlichen für die Rolle zugewiesen, der aus dem orchestrierten System aufgenommen wurde. Wenn der primäre Eigentümer kein gültiger Ressourceneigentümer ist, wird der Fallback-Mechanismus automatisch ausgelöst, um einen neuen Eigentümer zuzuweisen. Siehe Fallback-Mechanismus: Methoden zur Verhinderung der Kampagnenbeendigung.
  3. Wählen Sie den für Prüfungsentscheidungen erforderlichen Begründungsumfang aus. Sie können auswählen, dass Prüfer Kommentare für alle Beurteilungsentscheidungen hinzufügen, nur Entscheidungen widerrufen oder das Feld "Begründung" als optional beibehalten.
  4. Wählen Sie Weiter, um mit der Dimension Details hinzufügen fortzufahren.
    Wählen Sie jederzeit Entwurf speichern aus, um Ihre Kampagne zu speichern, und rufen Sie sie später ab, um die Details zu bearbeiten.

Eigentümer hinzufügen

Sie können den Kampagnen primäre und sekundäre Verantwortliche hinzufügen. Bei vorhandenen Kampagnen wird der primäre Verantwortliche als Kampagnenverantwortlicher ohne sekundäre Verantwortliche ausgewählt.

Standardmäßig ist der Ressourcenersteller als Ressourceneigentümer ausgewählt.
  1. Wählen Sie im Feld Wer ist der primäre Verantwortliche einen aktiven Oracle Access Governance-Benutzer aus.
  2. Wählen Sie mindestens einen Benutzer im Feld Wer ist der Eigentümer? aus. Sie können bis zu 20 zusätzliche Eigentümer hinzufügen.

    Der primäre Verantwortliche wird in der Kampagnenliste angezeigt. Alle zugewiesenen Verantwortlichen können Kampagnen anzeigen und verwalten, für die sie verantwortlich sind.

Wenn der primäre Verantwortliche kein gültiger Kampagnenverantwortlicher ist, wird automatisch ein Fallback-Mechanismus ausgelöst, um einen neuen Verantwortlichen zuzuweisen. Siehe Fallback-Mechanismus: Methoden zur Verhinderung der Kampagnenbeendigung.

Kampagnendetails hinzufügen

Wählen Sie in der Dimension Details hinzufügen den Kampagnenplanzyklus aus, geben Sie Ihrer Kampagne einen aussagekräftigen Namen, fügen Sie eine unterstützende Beschreibung hinzu, und weisen Sie zusätzlichen Attributen Werte zu, z.B. dem primären und sekundären Verantwortlichen, und wann die Kampagne gestartet oder beendet werden muss.

So fügen Sie Details hinzu:
  1. Wählen Sie im Feld Wie oft soll dies ausgeführt werden? einen entsprechenden Zeitplanzyklus aus.
  2. Geben Sie unter Wie soll der Kampagnenname lauten? einen eindeutigen Kampagnennamen ein.
  3. Geben Sie unter Wie soll die Kampagnenbeschreibung lauten eine Kampagnenbeschreibung ein.
  4. Wählen Sie eine der folgenden Optionen für die Oracle Access Governance- und Oracle Identity Governance-(OIG-)Systeme aus:
    OptionBeschreibung
    Accountprüfungen einschließen Wählen Sie diese Option aus, wenn Sie Identitätszugriffsprüfungen für Accounts zusammen mit Berechtigungen einschließen möchten. Deaktivieren Sie das Kontrollkästchen, um Kontenprüfungen auszuschließen.
    Rollenprüfungen einschließen Wählen Sie diese Option aus, wenn Sie Identitätszugriffsprüfungen für Rollen zusammen mit Berechtigungen erstellen möchten. Deaktivieren Sie das Kontrollkästchen, um Rollenprüfungen auszuschließen.
    Bei der Prüfung von Berechtigungen werden standardmäßig Prüfungen für Accounts und Rollen berücksichtigt. Wenn Sie sowohl Konto- als auch Rollenprüfungen ausschließen, werden nur Berechtigungsprüfungen generiert.
  5. Wählen Sie basierend auf dem in Schritt 1 ausgewählten Zeitplanzyklus den Zeitpunkt aus, zu dem die Kampagne gestartet werden soll.
    • Wählen Sie für "Einmal" entweder Jetzt ausführen oder Später planen aus. Standardmäßig beginnt die Kampagne am Tag nach der Kampagnenerstellung zu Beginn der nächsten Stunde.
    • Wählen Sie für Kampagnenreihen das Kalendersymbol aus, und wählen Sie das Start- und Enddatum sowie die Start- und Endzeit der Kampagne.
  6. Wählen Sie Weiter, um zur Dimension Prüfen und weiterleiten zu wechseln.
  7. (Optional) Wählen Sie eine der zusätzlichen Aktionen aus:
    • Entwurf speichern: Hiermit können Sie die Änderungen speichern und den Workflow oder die Details zu späterem Zeitpunkt bearbeiten.
    • Abbrechen: Hiermit brechen Sie den aktuellen Prozess abbrechen.
    • Zurück: Hiermit kehren Sie zum vorherigen Schritt zurück.

Kampagne prüfen und starten

Prüfen Sie in der Dimension Prüfen und weiterleiten die Kampagnendetails, und erstellen Sie die Kampagne.

So prüfen und weiterleiten Sie die Kampagne:
  1. Prüfen Sie die Kampagneninformationen. Wählen Sie für alle Änderungen die Schaltfläche Zurück.
  2. Wählen Sie Erstellen aus. Die Kampagnenplanung wurde erfolgreich abgeschlossen.