Oracle Cloud Infrastructure-Dokumentation

Gruppenmitgliedschaften mit Identitäts-Collections zertifizieren - Überprüfungskampagnen

Zertifizieren Sie als Administrator oder Kampagnenadministrator Gruppenmitgliedschaften, indem Sie On-Demand-Kampagnen zur Identitäts-Collection-Prüfung über die Oracle Access Governance-Konsole erstellen. Dabei kann es sich um einmalige oder periodische Policy Review-Kampagnen handeln.

Derzeit können Sie die Gruppenmitgliedschaft für Systeme zertifizieren, die von Oracle Cloud Infrastructure (OCI) und Oracle Access Governance verwaltet werden. Wenn Sie OCI-IAM-Gruppen prüfen und einige in Oracle Access Governance bereitgestellte Mitglieder enthalten, können Sie mit dieser Prüfung nur direkt zugewiesene Mitglieder akzeptieren oder widerrufen. Für Mitglieder, die über Oracle Access Governance bereitgestellt werden, können Sie die OCI-Zugriffs-Bundles mit der Kachel Welche Berechtigungen? prüfen.

Zu Kampagnen navigieren

Kampagnen werden über die Oracle Access Governance-Konsole erstellt. Gehen Sie zur Seite Kampagnen, um den On-Demand-Zugriffsprüfungsprozess zu starten.

  1. Melden Sie sich bei der Oracle Access Governance-Konsole an.
  2. Wählen Sie eine der folgenden Optionen aus, um zum Bildschirm zu navigieren:
    • Wählen Sie auf der Homepage der Oracle Access Governance-Konsole die Registerkarte Zugriffsprüfungen aus. Wählen Sie die Kachel Neue Kampagne definieren aus.
    • Wählen Sie im Navigationsmenü Navigationsmenü die Optionen Zugriff auf Prüfungen, Kampagnen aus. Wählen Sie auf der Seite Kampagnen die Option Kampagne erstellen.
  3. Wählen Sie einen der Systemtypen aus, für die Sie Kampagnen ausführen möchten. Weitere Informationen finden Sie unter Zulässige Systemtypen zum Starten von Zugriffsprüfungskampagnen.
    Definieren Sie auf der Workflow-Seite Neue Zugriffsprüfungskampagne erstellen die Auswahlkriterien für Ihre Kampagne.

Kriterien für Zugriffsprüfungen auswählen

Wählen Sie in der Dimension Auswahlkriterien die entsprechenden Kriterien für Ihre Policenprüfungskampagnen aus. Alle Kriterien können nach Name durchsucht werden.

Derzeit können Sie die Gruppenmitgliedschaft für Systeme zertifizieren, die von Oracle Cloud Infrastructure (OCI) und Oracle Access Governance verwaltet werden. In einer Kampagne können Sie die Mitgliedschaft entweder für OCI-Gruppen oder für Identitätssammlungen zertifizieren, die in Oracle Access Governance erstellt wurden. Sie können nicht zwei verschiedene Gruppentypen in einer Kampagne kombinieren.
  1. Wählen Sie eine oder mehrere Kriterienkacheln aus, die in beliebiger Reihenfolge berücksichtigt werden sollen. Sie müssen nicht jedes Kriterium aktualisieren. Die Auswahlwerte werden aus dem integrierten orchestrierten System abgeleitet. Verfügbare Kacheln:
    OptionBeschreibung
    Welche Mandanten? Zum Filtern und Auswählen eines Cloud-Accounts. Wählen Sie den Link Weitere näher definieren aus, um Compartment und Domain für Ihren Cloud-Account auszuwählen. Nur für Oracle Cloud Infrastructure-(OCI-)System verfügbar.
    Welche Identitäts-Collections? Um Identitäts-Collections zu filtern und auszuwählen, für die Sie die Gruppenmitgliedschaft prüfen möchten. Sie können eine bestimmte Policy nach ihrem Namen durchsuchen oder Filter zum Erstellungsdatum der Policy hinzufügen, um den Umfang Ihrer Suchergebnisse einzuschränken.
  2. Wählen Sie nach der Auswahl Meine Auswahl anwenden aus.
  3. Um Ihre Auswahlkriterien zu aktualisieren, wählen Sie die Schaltfläche Ändern in der entsprechenden Kachel.
    Der Bereich auf der rechten Seite der Seite zeigt Ihnen die Auswirkungen Ihrer Auswahl und bietet Ihnen eine Schätzung der eingeschlossenen Richtlinien, die zur Prüfung berücksichtigt werden.
  4. Nachdem Sie Ihre Auswahl getroffen haben, wählen Sie die Schaltfläche Ich bin zufrieden, gehen Sie zu Workflows, um mit der Dimension Workflow zuweisen fortzufahren.

Zugriffsprüfer durch Auswahl des Genehmigungsworkflows hinzufügen

Wählen Sie in der Dimension Workflow zuweisen den Genehmigungsworkflow für Ihre Zugriffsprüfung aus.

  1. Wählen Sie den Genehmigungsworkflow aus, den Sie dieser Zugriffsprüfungskampagne zuweisen möchten.
    Eine Liste der verfügbaren Workflows zeigt alle in Ihrem System definierten Genehmigungsworkflows an. Ziehen Sie Self Certification Guardrails und Fallback-Mechanismus in Betracht, bevor Sie den Workflow auswählen. Weitere Informationen zum Erstellen und Verwalten von Genehmigungsworkflows finden Sie unter Genehmigungsworkflow erstellen und Genehmigungsworkflow verwalten.
  2. Nachdem Sie Ihren Workflow ausgewählt haben, klicken Sie auf den Link Genehmigungsworkflow anzeigen, um eine grafische Darstellung des ausgewählten Workflows anzuzeigen.
  3. Wählen Sie den für Prüfungsentscheidungen erforderlichen Begründungsumfang aus. Sie können auswählen, dass Prüfer Kommentare für alle Beurteilungsentscheidungen hinzufügen, nur Entscheidungen widerrufen oder das Feld "Begründung" als optional beibehalten.
  4. Wählen Sie Weiter, um mit der Dimension Details hinzufügen fortzufahren.
    Wählen Sie jederzeit Entwurf speichern aus, um Ihre Kampagne zu speichern, und rufen Sie sie später ab, um die Details zu bearbeiten.

Eigentümer hinzufügen

Sie können den Kampagnen primäre und sekundäre Verantwortliche hinzufügen. Bei vorhandenen Kampagnen wird der primäre Verantwortliche als Kampagnenverantwortlicher ohne sekundäre Verantwortliche ausgewählt.

Standardmäßig ist der Ressourcenersteller als Ressourceneigentümer ausgewählt.
  1. Wählen Sie im Feld Wer ist der primäre Verantwortliche einen aktiven Oracle Access Governance-Benutzer aus.
  2. Wählen Sie mindestens einen Benutzer im Feld Wer ist der Eigentümer? aus. Sie können bis zu 20 zusätzliche Eigentümer hinzufügen.

    Der primäre Verantwortliche wird in der Kampagnenliste angezeigt. Alle zugewiesenen Verantwortlichen können Kampagnen anzeigen und verwalten, für die sie verantwortlich sind.

Wenn der primäre Verantwortliche kein gültiger Kampagnenverantwortlicher ist, wird automatisch ein Fallback-Mechanismus ausgelöst, um einen neuen Verantwortlichen zuzuweisen. Siehe Fallback-Mechanismus: Methoden zur Verhinderung der Kampagnenbeendigung.

Kampagnendetails hinzufügen

Wählen Sie in der Dimension Details hinzufügen den Kampagnenplanzyklus aus, geben Sie Ihrer Kampagne einen aussagekräftigen Namen, fügen Sie eine unterstützende Beschreibung hinzu, und weisen Sie weiteren Attributen Werte zu, z.B. dem Verantwortlichen der Kampagne, und legen Sie fest, wann die Kampagne starten oder enden soll.

So fügen Sie Details hinzu:
  1. Wählen Sie im Feld Wie oft soll dies ausgeführt werden? einen entsprechenden Zeitplanzyklus aus.
  2. Geben Sie unter Wie soll der Kampagnenname lauten? einen eindeutigen Kampagnennamen ein.
  3. Geben Sie unter Wie soll die Kampagnenbeschreibung lauten eine Kampagnenbeschreibung ein.
  4. Wählen Sie im Feld Wer ist Eigentümer dieser Kampagne? den Kampagnenverantwortlichen aus.
    Ziehen Sie Self Certification Guardrails und Fallback-Mechanismus in Betracht, bevor Sie den Kampagneneigentümer zuweisen.
  5. Wählen Sie eine der folgenden Optionen für die Oracle Access Governance- und Oracle Identity Governance-(OIG-)Systeme aus:
    OptionBeschreibung
    Accountprüfungen einschließen Wählen Sie diese Option aus, wenn Sie Identitätszugriffsprüfungen für Accounts zusammen mit Berechtigungen einschließen möchten. Deaktivieren Sie das Kontrollkästchen, um Kontenprüfungen auszuschließen.
    Rollenprüfungen einschließen Wählen Sie diese Option aus, wenn Sie Identitätszugriffsprüfungen für Rollen zusammen mit Berechtigungen erstellen möchten. Deaktivieren Sie das Kontrollkästchen, um Rollenprüfungen auszuschließen.
    Bei der Prüfung von Berechtigungen werden standardmäßig Prüfungen für Accounts und Rollen berücksichtigt. Wenn Sie sowohl Konto- als auch Rollenprüfungen ausschließen, werden nur Berechtigungsprüfungen generiert.
  6. Wählen Sie basierend auf dem in Schritt 1 ausgewählten Zeitplanzyklus den Zeitpunkt aus, zu dem die Kampagne gestartet werden soll.
    • Wählen Sie für "Einmal" entweder Jetzt ausführen oder Später planen aus. Standardmäßig beginnt die Kampagne am Tag nach der Kampagnenerstellung zu Beginn der nächsten Stunde.
    • Wählen Sie für Kampagnenreihen das Kalendersymbol aus, und wählen Sie das Start- und Enddatum sowie die Start- und Endzeit der Kampagne.
  7. Nachdem Sie Ihre Voreinstellungen festgelegt haben, wählen Sie die Option Weiter, um zur Dimension Prüfen und weiterleiten zu gelangen.
  8. (Optional) Sie können eine dieser zusätzlichen Aktionen auswählen:
    • Entwurf speichern: Hiermit können Sie Ihre Änderungen speichern und den Workflow oder die Details zu einer späteren Zeit bearbeiten.
    • Abbrechen: Hiermit brechen Sie den aktuellen Prozess abbrechen.
    • Zurück: Hiermit kehren Sie zum vorherigen Schritt zurück.

Kampagne prüfen und starten

Prüfen Sie in der Dimension Prüfen und weiterleiten die Kampagnendetails, und erstellen Sie die Kampagne.

So prüfen Sie Ihre Kampagne und leiten sie weiter:
  1. Prüfen Sie die Kampagneninformationen. Wählen Sie für alle Änderungen die Schaltfläche Zurück.
  2. Wählen Sie Erstellen aus. Die Kampagnenplanung wurde erfolgreich abgeschlossen.