Oracle Cloud Infrastructure-Dokumentation

Datenfeed in Oracle Access Governance

Event Data Publishing ist ein Prozess zum Exportieren einmaliger und sequenzieller Datenereignisse und zur kontinuierlichen Veröffentlichung laufender Datenereignisse in externen Systemen, wie einem Oracle Cloud Infrastructure-(OCI-)Cloud-Account. Mit Oracle Access Governance können Sie einmalige Datenereignisse exportieren und kontinuierlich veröffentlichen, wie Identität, Identitäts-Collections, Policy, Ressource, Zugriff auf Ressourcen usw. in Ihren Cloud-Mandanten. Sie können diese Daten verwenden, um Erkenntnisse abzuleiten, Daten für die Compliance zu speichern oder Zugriffsmanagement- und Governance-Daten zu analysieren.

Ein Ereignis bezieht sich auf jede Änderung des Datenstatus, die auftritt, wenn Oracle Access Governance-Komponenten erstellt, geändert oder gelöscht werden, wie Identität, Policys, Ressourcen usw.

Mit Event Data Publisher erhalten Administratoren die vollständige Kontrolle über Zugriffs- und Identitätsdaten und können damit das Ereignislogging automatisieren und das Compliance-Reporting optimieren. Beispiel: Sie können Data Feed aktivieren, um Einblicke in Zugriffsverletzungen in Echtzeit anzuzeigen.

Erläuterungen zum Veröffentlichungsablauf für Datenereignisse

Überblick über den Ablauf zur Veröffentlichung von Datenereignissen in Oracle Access Governance:

Der Datenereignisveröffentlichungsablauf verwendet OCI Buckets für einen einmaligen Export und veröffentlicht nachfolgende Updates entweder in OCI Streams oder OCI Buckets, je nach Dateigröße.


Veröffentlichungsablauf für Datenereignisse

  1. Führen Sie vorläufige Schritte in Ihrem OCI-Cloud-Account aus, um die Daten zu erhalten. Weitere Informationen finden Sie unter OCI-Mandanten für Data Publisher und Streaming einrichten.
  2. Verwenden Sie den Data Feed-Service von Oracle Access Governance, um die Daten in Ihrem Cloud-System zu veröffentlichen.
  3. Stellen Sie eine Verbindung zu Oracle Access Governance her, indem Sie die Konfigurationsdetails eingeben. Weitere Informationen finden Sie unter Event Data Publisher in Oracle Access Governance konfigurieren.
  4. Der Herausgeberservice für Datenfeed-Ereignisse extrahiert die in Oracle Access Governance verfügbaren Datenkomponenten. Am 0. Tag exportiert das erste Ereignis einen vollständigen Snapshot von Datenkomponenten als JSONL-Dateien in den OCI Object Storage-Bucket. Ereignisse des 0. Tages werden im OCI Object Storage-Bucket veröffentlicht.
  5. Der Data Event Handler behält den Veröffentlichungsstatus bei und gibt eine Erfolgs- oder Fehlerbenachrichtigung zurück.
  6. Bei Tag N erkennt der Herausgeber des Datenfeeds die Änderung in Echtzeit und veröffentlicht die sequenziellen Nachrichten in den OCI-Streams, wenn sich der Status von Datenkomponenten im Zusammenhang mit der Erstellung, Änderung oder Löschung von Komponenten ändert. Die maximale Größe einer Nachricht darf 1 MB betragen.
  7. Wenn die Nachrichtengröße für Tag N größer als 1 MB ist, veröffentlicht der Herausgeber des Datenfeeds-Ereignisses die Updates in OCI-Buckets als neue Version, die Einträge in der versionierten JSONL-Datei anhängt oder ersetzt.
  8. Bei Auditereignissen werden alle betrieblichen Aktivitäten, die in Oracle Access Governance stattfinden, in OCI Streams veröffentlicht. Kunden können diese Daten dann nutzen, um aufschlussreiche Berichte zu generieren, Änderungen im Laufe der Zeit zu verfolgen und ihre Sicherheits- und Complianceüberwachung zu verbessern.

Erstes Datenereignis und inkrementelle Datenereignisse: Tag 0 und Tag N Ereignisse

Sie können Oracle Access Governance-Daten in OCI Streams oder OCI Buckets exportieren und veröffentlichen.

Tag 0 Ereignisveröffentlichung mit Zeiträumen

Am 0. Tag, dem ersten Datenexport, wird Oracle Access Governance als JSONL-Dateien (.jsonl) in den OCI-Bucket exportiert. Diese Dateien können mehrere JSON-Objekte in einer einzigen Payload effizient verarbeiten. Pro Datenkomponente erhalten Sie mehrere Dateien.

Am 0. Tag sendet der Herausgeber des Datenfeeds die Startnachricht an den OCI-Bucket mit messageType als Day0, Vorgang CREATE und Status START. Bis alle Datenobjekte exportiert werden, enthält jede Ausgabeobjektdatei von Tag 0 den Status In_PROGRESS. Nach Abschluss sendet der Datenfeed-Ereignisherausgeber die Endnachricht für Tag 0. mit dem Status SUCCESS oder FAILED. Der Status "Erfolg" oder "Fehler" wird in der Oracle Access Governance-Konsole angezeigt, einschließlich des Namens des Administrators, der den Veröffentlichungsvorgang ausgeführt hat.

Veröffentlichung von N-Ereignissen am Tag mit OCI Streams oder OCI Buckets

Nach Tag 0 werden nachfolgende Updates in Echtzeit entweder in OCI Streams oder in OCI Buckets veröffentlicht. Jede in den Streams veröffentlichte Nachricht verfügt über ein eventTime-Attribut, mit dem der Consumer-Service die Reihenfolge von Ereignissen verwalten kann.

Je nach Dateigröße wird das Veröffentlichungsziel bestimmt.
  • Wenn die Dateigröße kleiner als ein Megabyte (< 1 MB) ist, werden Updates im JSON-Format in OCI Streams veröffentlicht. Die Daten in Streams sind base64-codiert und gewährleisten eine schnelle Übertragung. Um die Nachricht zu konsumieren, müssen Sie die Daten dekodieren und dann zur weiteren Verwendung nutzen.
  • Wenn die Dateigröße größer als ein Megabyte (> 1 MB) ist, werden Updates in OCI Buckets als Versionen in Ausgabedateien vom Tag 0 im JSONL-Format veröffentlicht.

Verfügbare Datenkomponenten für die Veröffentlichung

Sie können die folgenden Datenkomponenten exportieren und veröffentlichen:

Auditereignisse

Geltungsbereich: Alle Vorgänge in Oracle Access Governance

messageType: AUDIT_EVENTS

Auditereignisse zeichnen operative Aktivitäten in Oracle Access Governance auf. Auditereignisse konzentrieren sich auf Sicherheit und Compliance und verfolgen im Wesentlichen Benutzeraktionen mit Details darüber, wer wann und wo im System gearbeitet hat.

Alle CRUD-Vorgänge in Oracle Access Governance werden nahezu in Echtzeit als Auditereignisse in OCI Streams aufgezeichnet und veröffentlicht. Diese können nach der Aufzeichnung nicht mehr geändert werden. Beispiel: Zugriff auf Auditereignisdatensatzdetails für Bundle-Erstellung, wie Wer hat das Bundle erstellt? Welche Berechtigungen sind enthalten? Wer kann Zugriff anfordern? und Genehmigungsworkflowstatus?. Schemareferenz- und Attributdetails finden Sie unter Referenzschema und Beispiel für Auditereignisse.

Zugriffs-Bundle

Geltungsbereich: Oracle Access Governance-Rollen

messageType: ACCESS_BUNDLE

Alle Zugriffs-Bundles, die manuell oder automatisch mit dem Empfehlungssystem in Oracle Access Governance erstellt werden, werden als ACCESS_BUNDLE-Ereignisse veröffentlicht. Die Ausgabedatei enthält Zugriffs-Bundles mit bestimmten Berechtigungen und Eigentümerdetails. Schemareferenz- und Attributdetails finden Sie unter Referenzschema und Beispiel für Zugriffs-Bundle.

Zugriffsleitplanken

Geltungsbereich: In Oracle Access Governance erstellte Access Guardrails

messageType: ACCESS_GUARDRAIL

Access Guardrails, die in Oracle Access Governance erstellt und verwaltet werden, werden als ACCESS_GUARDRAIL-Ereignisse veröffentlicht. Die Ausgabedatei enthält vordefinierte Bedingungen und Bewertungskriterien, die von Identitäten erfüllt werden müssen, bevor Sie Zugriff auf eine Ressource erhalten. Schemareferenz- und Attributdetails finden Sie unter Referenzschema und Beispiel für Access Guardrail.

Identität

Geltungsbereich: Alle aktiven Identitäten (Personal oder Verbraucher)

messageType: IDENTITY

Alle aktiven Identitäten, Mitarbeiter oder Verbraucher werden als IDENTITY-Ereignisse in OCI Buckets und OCI-Streams veröffentlicht. Die Ausgabedatei enthält die Details des zusammengesetzten Identitätsprofils, das als Attribut globalIdentity getaggt ist. Sie enthält Zugriffsprofildetails, einschließlich Core- und benutzerdefinierter Attribute. Ein zusammengesetztes Identitätsprofil in Oracle Access Governance wird anhand von Attributen aus mindestens einem orchestrierten System erstellt. Beispiel: jobCode einer Identität und Identitätsprofildetails, wie firstName, lastName aus Oracle Fusion Cloud Applications, werden aufgenommen. Oracle Access Governance verwendet Attribute, die in globalIdentity als Informationsquelle aufgeführt sind, um verschiedene Governance- und Provisioning-Vorgänge auszuführen.

Darüber hinaus enthält es ein Array von Identitätsattributen, die aus anderen integrierten orchestrierten Systemen eingehen, die als targetIdentities getaggt sind, die mit diesem zusammengesetzten Identitätsprofil abgeglichen wurden. Beispiel: Ein zusammengesetztes Identitätsprofil in Oracle Access Governance verwendet Identitätsdetails aus Oracle Fusion Cloud Applications. Wenn jedoch dieselbe Identität in der Microsoft Entra-ID verfügbar und mit der zusammengesetzten Identität abgeglichen ist, werden die in der Microsoft Entra-ID verfügbaren Identitätsattribute als Teil von targetIdentities veröffentlicht. Informationen zu Schemareferenzen und Attributdetails finden Sie unter Identitätsreferenzschema und Beispiel.

Gruppe

Geltungsbereich: OCI-IAM-Gruppen

messageType: OCI_GROUP

Die gesamte verfügbare OCI-IAM-Gruppe, die in Oracle Access Governance aufgenommen wurde, wird als OCI_GROUP-Ereignisse veröffentlicht.

Die Ausgabedatei enthält OCI-IDs, wie Domain-ID, Compartment-ID, Identitätssammlungsname, Beschreibung und Identitäts-Collections mit einem Array von Identitäten, die in einer Identitäts-Collection enthalten sind. Die Vorgänge Aktualisieren und Erstellen verwenden dasselbe Schema. Wenn jedoch eine neue Identitäts-Collection erstellt wird, erhalten Sie keine Identitäten im remove-Attribut. Informationen zu Schemareferenzen und Attributdetails finden Sie unter Gruppenreferenzschema und Beispiele.

Globale Identitäts-Collection

Geltungsbereich: OCI-IAM-Gruppen

messageType: GLOBAL_IDENTITY_COLLECTION

Alle Identitäts-Collections, die in Oracle Access Governance aufgenommen werden, werden als GLOBAL_IDENTITY_COLLECTION-Ereignisse veröffentlicht. Die Identity Collections können von Oracle Access Governance verwaltet werden oder nicht.

Wenn die Identitäts-Collection agManaged true lautet, enthält die Ausgabedatei Mitgliedschaftsregeln, Bedingungen, Mitgliederanzahl und Eigentümerdetails. Wenn die Identitäts-Collection agManaged false ist, enthält sie Details zu OCI-Gruppen oder Active Directory-Gruppen, die nicht in Oracle Access Governance erstellt oder verwaltet werden. Sie können benutzerdefinierte Metadatenattribute für diese Gruppe und Informationen zur Mitgliederanzahl anzeigen. Schemareferenz- und Attributdetails finden Sie unter Referenzschema und Beispiele für Identitäts-Collection.

Cloud-Policy

Geltungsbereich: OCI-Policys

messageType: CLOUD_POLICY

Alle verfügbaren OCI-Policys, die in Oracle Access Governance aufgenommen werden, werden als CLOUD_POLICY-Ereignisse veröffentlicht. Bei einer OCI-Policy enthält die Ausgabedatei OCI-IDs, wie Domain-ID, Compartment-ID, Policy-Name, Beschreibung. Sie enthält Policy-Details, einschließlich des Subjekts, dem der Zugriff gewährt wird, des Zugriffstyps und des Umfangs des erteilten Zugriffs. Schemareferenz- und Attributdetails finden Sie unter Referenzschema und Beispiel für Cloud-Policys.

Ressource

Geltungsbereich: Alle Ressourcen

messageType: RESOURCE

Alle verfügbaren Ressourcen für alle orchestrierten Systeme, die in Oracle Access Governance aufgenommen wurden, werden als RESOURCE-Ereignisse veröffentlicht. Die Ausgabedatei enthält Ressourcen-IDs in Oracle Access Governance und in OCI, Ressourcenname, Beschreibung und Ressourcentyp. Informationen zu Schemareferenzen und Attributdetails finden Sie unter Ressourcenreferenzschema und Beispiel.

Rolle

Geltungsbereich: Oracle Access Governance-Rollen

messageType: ROLE

Alle in Oracle Access Governance erstellten und verwalteten Rollen werden als ROLE-Ereignisse veröffentlicht. Die Ausgabedatei enthält erforderliche IDs sowie in Oracle Access Governance und in OCI, Ressourcenname, Beschreibung und Ressourcentyp. Informationen zu Schemareferenzen und Attributdetails finden Sie unter Ressourcenreferenzschema und Beispiel.

Police

Umfang: Policys, die in Oracle Access Governance aufgenommen werden

messageType: POLICY

Alle in Oracle Access Governance aufgenommenen Policys werden als POLICY-Veranstaltungen veröffentlicht. Die Ausgabedatei enthält Policy-Regeln und Policy-Anweisungen, die angeben, welches Zugriffs-Bundle oder welche Rolle mit welcher Identitäts-Collection verknüpft werden soll. Informationen zu Schemareferenzen und Attributdetails finden Sie unter Referenzschema und Beispiel für Policys.

Zuordnung von Cloud Policy zu Ressource

Geltungsbereich: OCI-Policys und OCI-Ressourcen

messageType: Für die Zuordnung von Policy zu Ressource lautet der Wert POLICY_STATEMENT_RESOURCE_MAPPING. Bei der Zuordnung von Ressource zu Policy ist dies RESOURCE_POLICY_STATEMENT_MAPPING.

Die Access-Komponente enthält zwei Methoden, um dieselben Daten anzuzeigen:
  • Policy, die Zugriff auf Ressourcen erteilt: Liste der Ressourcen, die einer bestimmten Policy unterliegen. Jedes JSON-Objekt enthält eine Policy-Anweisung, die eine Gruppe von Ressourcen enthält, die daran angehängt sind. In diesen Daten liegt der Schwerpunkt auf einer bestimmten Richtlinie, die eine Gruppe von Ressourcen regelt.
  • Zugriff auf Ressourcen mit Policy-Anweisungen: Liste der Policys, die mit einer Ressource verknüpft sind. Jedes JSON-Objekt enthält ein Ressourcendetailset mit Policys, die darauf angewendet werden. Es ist der umgekehrte Prozess und der Fokus liegt auf einer bestimmten Ressource.

Schemareferenz- und Attributdetails finden Sie unter Zugriffs-Policy auf Ressourcenschema und Beispiel und Zugriff auf Ressource auf Policy-Schema und -Beispiel.

Berechtigungen

Geltungsbereich: In Oracle Access Governance aufgenommene Berechtigungen

messageType: PERMISSION

Alle in Oracle Access Governance aufgenommenen Berechtigungen werden als PERMISSION-Ereignisse veröffentlicht. Die Ausgabedatei enthält Berechtigungsattribute, einschließlich ID, externer ID, um die Quelle der Berechtigung, Ressourcendetails und benutzerdefinierte Attribute für die Berechtigung zu verfolgen. Informationen zu Schemareferenzen und Attributdetails finden Sie unter Referenzschema und Beispiel für Berechtigung.

Berechtigungszuweisung

Geltungsbereich: Von Oracle Access Governance verwaltete Berechtigungen

messageType: PERMISSION_ASSIGNMENT

Alle Berechtigungen, die für eine Identität bereitgestellt und in Oracle Access Governance verwaltet werden, werden als PERMISSION_ASSIGNMENT-Ereignisse veröffentlicht. Die Ausgabedatei enthält Berechtigungen und Ressourcendetails, die der Identity zugewiesen sind, einschließlich der Identitäts-ID, des orchestrierten Systems, auf das die Berechtigungen angewendet werden, der Berechtigungs- und Ressourcen-IDs, des Accounts und des Provisioning-Status. Schemareferenz- und Attributdetails finden Sie unter Referenzschema und Beispiel für Berechtigungszuweisung.