Oracle Cloud Infrastructure-Dokumentation

Account Lifecycle Management – Automatisiertes Provisioning für Joiner Movers and Leavers (JML) Prozess

Oracle Access Governance unterstützt das automatisierte Provisioning und die Deprovisioning von Accounts und Zugriffen basierend auf der Identitätslebenszyklusphase. Identity Lifecycle umfasst drei wichtige Phasen: Joiners, Movers und Leavers, die im Allgemeinen als JML-Prozess bezeichnet werden. Die Unterstützung für diesen Prozess umfasst das Erstellen, Ändern und Löschen von Identitätsaccounts und deren Zugriffsberechtigungen basierend auf Attributänderungen im integrierten orchestrierten System.

Dieser Prozess stellt sicher, dass Identitäten den erforderlichen Zugriff automatisch erhalten, ohne dass die Zugriffsanforderung manuell ausgelöst wird. Es reduziert nicht nur den Verwaltungsaufwand, sondern sorgt auch für Datenintegrität und Compliance. Sie können den Zugriff auch manuell anfordern oder direkt über das verwaltete System bereitstellen. Weitere Informationen finden Sie unter Meine Zugriffsanforderungen anzeigen.

Als Benutzer mit der Rolle AG_ServiceDesk_Admin können Sie den Accountlebenszyklus direkt ohne Genehmigungsworkflows verwalten. Auf der Seite Identitäten verwalten → Identitäten können Sie alle Accounts und zugehörigen Zugriffe für eine Identität aktivieren, deaktivieren, löschen oder beenden. Sie können das Provisioning auch für den Status "Nicht erfolgreich" oder "Ausstehend" wiederholen und die direkt oder über Anforderungen zugewiesenen Berechtigungen entziehen. Ausführliche Schritte finden Sie unter Accountlebenszyklus mit Service Desk Executive Support verwalten.

Mit Oracle Access Governance:

  • Joiner erhalten ihren Geburtsrecht-Zugang, wenn sie dem Unternehmen beitreten.
  • Umzugsunternehmen erhalten die erforderlichen Zugriffsrechte, wenn sie Rollen ändern, interne Transfers erhalten oder Promotions im Unternehmen erhalten.
  • Ausscheidende haben ihr Konto widerrufen (löschen oder deaktiviert), sobald sie das Unternehmen verlassen.

In Oracle Access Governance werden Ihre Identitätsinformationen mit einem Set von Core- und benutzerdefinierten Identitätsattributen erstellt. Wenn Sie einen Identitätsdatensatz in der zuverlässigen Quelle erstellen, ändern oder aktualisieren, nimmt Oracle Access Governance die neuesten Daten im bevorstehenden Dataload-Vorgang auf und initiiert die entsprechenden Provisioning-/Deprovisioning-Vorgänge. Oracle Access Governance erreicht diesen granularen und flexiblen Zugriffskontrollmechanismus mit dem Modell Policy-Based Access Control (PBAC). Oracle Access Governance weist Identitäten die Mitgliedschaft mithilfe der Attribute (Attribute-Based Access Control (ABAC)) zu und stellt die Identitäten dann basierend auf definierten Policys bereit. Eine Policy kann das Modell Rollenbasierte Zugriffskontrolle weiter nutzen, um geeignete rollenbasierte Berechtigungen zuzuweisen, die aus Identitätsattributen aufgenommen werden.

Unterstützte Vorgänge: Account erstellen, Account lesen, Berechtigungen zuweisen, Berechtigungen entziehen, Kennwort ändern, Account deaktivieren, Account aktualisieren, Account löschen. Weitere Details finden Sie in der spezifischen Dokumentation zum orchestrierten System, wie unter Unterstützte Integrationen in Oracle Access Governance beschrieben.

Mitarbeiter-Onboarding - Joiners-Provisioning

Wenn ein neuer Mitarbeiter einem Unternehmen beitritt oder in einem Unternehmen eingestellt wird, wird ein neuer Datensatz in der zuverlässigen Quelle erstellt, wie Oracle HCM. Sobald Identitäten in Oracle Access Governance integriert sind, können geburtsrechtlicher Zugriff oder Standardkonten und -berechtigungen basierend auf den Zugriffskontrollkonfigurationen in Oracle Access Governance bereitgestellt werden.

Der Joiners-Prozess stellt sicher, dass jeder neue Mitarbeiter das erforderliche Konto und die erforderlichen Berechtigungen erhält, um seinen Onboarding-Prozess zu starten.

Wenn eine Identität integriert wird und in Oracle Access Governance aktiv ist, werden alle Identitätsattribute mit den definierten Policys verglichen. Wenn eine Oracle Access Governance-Policy bestimmten Rollen- oder Zugriffs-Bundle-Zugriff auf Identitäten gewährt, die zu einer bestimmten Abteilung gehören, werden sie für diese Rolle oder dieses Zugriffs-Bundle bereitgestellt.

Szenario: Wenn ein neuer Mitarbeiter, Alice, der Abteilung Kundenerfolg des Geschäftsbereichs Vertrieb beitritt, stellt Joiners-Provisioning sicher, dass Alice alle erforderlichen Konten und Berechtigungen erhält, die für ihren Geschäftsbereich und ihre Abteilung gelten. Sehen wir uns an, wie Sie dies in Oracle Access Governance erreichen.

Joiners-Provisioning in Oracle Access Governance ausführen

Betrachten wir das oben genannte Szenario und die allgemeinen Schritte, die erforderlich sind, um das Provisioning von Joinern in Oracle Access Governance zu erreichen:

  1. Richten Sie als Access Control-Administrator die Access Control-Konfiguration wie folgt ein:
    1. Erstellen Sie eine Identity Collection basierend auf Mitgliedschaftsregeln. Beispiel: Erstellen Sie eine Identitäts-Collection mit der Mitgliedschaftsregel Quellorganisation gleich Sales und einer anderen Identitäts-Collection, wobei Department gleich Customer Success ist. Weitere Informationen finden Sie unter Identity Collections erstellen.
    2. Erstellen Sie ein Access Bundle oder eine Rolle, und packen Sie den Zugriff auf die erforderlichen Berechtigungen ein. Beispiel: Erstellen Sie ein Zugriffs-Bundle Sales_AB mit Berechtigungen, die für Vertrieb gelten, und ein anderes Zugriffs-Bundle Customer_Success_AB mit Berechtigungen, die für Kundenerfolg gelten. Weitere Informationen finden Sie unter Zugriffs-Bundle erstellen.
    3. Erstellen Sie eine Policy, und verknüpfen Sie den Berechtigungsteil des Zugriffs-Bundles mit der Identitätserfassung. Beispiel: Erstellen Sie eine Policy Sales_Policy, und verknüpfen Sie Sales_AB mit Sales Identity Collection. Erstellen Sie Customer_Success_Policy, und verknüpfen Sie Customer_Success_AB mit der Identity Collection vom Typ Kundenerfolg. Weitere Informationen finden Sie unter Policy erstellen.
  2. Autoritative Quelle registriert einen neuen Datensatz eines Mitarbeiters. Beispiel: Die Personalabteilung fügt einen neuen Datensatz von Alice hinzu, wobei die Geschäftseinheit Vertrieb und die Abteilung Kundenerfolg ist.
  3. Orchestriertes System führt das Laden von Daten durch, nimmt die neuesten Daten auf und erstellt ein zusammengesetztes Identitätsprofil in Oracle Access Governance. Weitere Informationen finden Sie unter Identitätsorchestrierungsprozessablauf.

In Oracle Access Governance wird ein neues Identitätsprofil erstellt. Die Attribute werden mit den definierten Policys abgeglichen, und geeignete Provisioning-Vorgänge werden ausgelöst. Für Joiner löst das orchestrierte System Provisioning-Vorgänge zum Erstellen von Accounts und zum Hinzufügen von Account- oder Berechtigungsdaten aus, um neue Accounts und Berechtigungen zuzuweisen.

Joiners-Provisioning in Oracle Access Governance validieren

  • Als Enterprise-wide Access-Administrator können Sie die Identität durchsuchen, um vollständige Identitätsdetails anzuzeigen, in denen Identitätsattribute, Berechtigungen und Accountinformationen angezeigt werden. Sie können auch Identitäts-Collection-Details anzeigen, um die neue Mitgliederliste zu prüfen.
  • Als Identity Manager können Sie umfassende Identitätsdetails für die direkt unterstellten Mitarbeiter unter Wer hat Zugriff auf WhatMy Directs' Access anzeigen.
  • Als Benutzer können Sie Ihre Accounts und Berechtigungen auf der Seite Meine AngabenMein Zugriff validieren.

Je nach den für das orchestrierte System konfigurierten Accounteinstellungen erhält ein Benutzer oder Benutzermanager eine Benachrichtigung, wenn neue Accounts erstellt werden. Standardmäßig werden die Benachrichtigungen an den Benutzer gesendet. Weitere Informationen finden Sie unter Orchestrierte Systemaccounteinstellungen konfigurieren.

Mitarbeitertransfers - Transfer-Provisioning

Wenn ein Mitarbeiter in einem Unternehmen intern versetzt, versetzt oder befördert wird, wird ein Datensatz für diesen Mitarbeiter in der Authoritative Source-Datei aktualisiert. Bei der Übertragung sollte die Identität nur Zugriff auf die für das neue Tätigkeitsprofil relevanten Berechtigungen haben. Verbleibende Accounts und Berechtigungen müssen basierend auf den Accountlebenszykluseinstellungen widerrufen werden. Sie können dieses automatische Provisioning basierend auf den Zugriffskontrollkonfigurationen in Oracle Access Governance erreichen.

Der Prozess Übertragungen stellt sicher, dass den Mitarbeitern, die sie in ihrer neuen Rolle benötigen, nur die erforderlichen und korrekten Berechtigungen oder Konten zugewiesen werden.

Szenario: Wenn ein Mitarbeiter, Alice, eine interne Versetzung von der Abteilung Kundenerfolg in die Abteilung Cloud Sales des Geschäftsbereichs Sales erhält, stellt das Provisioning von Movers sicher, dass Alice alle Berechtigungen erhält, die für ihre neue Rolle gelten, und entzieht oder deaktiviert vorherige Accounts und Berechtigungen, die von ihrer früheren Rolle benötigt werden. In diesem Beispiel hat Alice weiterhin Berechtigungen für den Geschäftsbereich Vertrieb, erhält jedoch neue Berechtigungen, die für die Cloud Sales-Abteilung relevant sind. Wenn sie nicht mehr anwendbar ist, werden ihre vorherigen Konten entweder deaktiviert oder widerrufen, und die Berechtigungen, die mit den Konten verknüpft sind, werden ebenfalls entfernt. Sehen wir uns an, wie Sie dies in Oracle Access Governance erreichen.

Umzugs-Provisioning in Oracle Access Governance ausführen

Betrachten wir das oben genannte Szenario und die allgemeinen Schritte, die erforderlich sind, um das Provisioning von Movers in Oracle Access Governance zu erreichen:

  1. Als Access Control-Administrator müssen Sie diese Mindestkonfiguration wie folgt einrichten:
    1. Erstellen Sie eine Identity Collection basierend auf Mitgliedschaftsregeln. Beispiel: Erstellen Sie eine Identitäts-Collection mit der Mitgliedschaftsregel Abteilung gleich Cloud Sales und einer anderen Identitäts-Collection, bei der Abteilung gleich Kundenerfolg ist. Weitere Informationen finden Sie unter Identity Collections erstellen.
    2. Erstellen Sie ein Access Bundle oder eine Rolle, und packen Sie den Zugriff auf die erforderlichen Berechtigungen ein. Beispiel: Erstellen Sie ein Zugriffs-Bundle Cloud_Sales_AB mit Berechtigungen, die für Cloud Sales gelten, und ein anderes Zugriffs-Bundle Customer_Success_AB mit Berechtigungen, die für Kundenerfolg gelten. Weitere Informationen finden Sie unter Zugriffs-Bundle erstellen.
    3. Erstellen Sie eine Policy, und verknüpfen Sie den Berechtigungsteil des Zugriffs-Bundles mit der Identitätserfassung. Beispiel: Erstellen Sie eine Policy Cloud_Sales_Policy, und verknüpfen Sie Cloud_Sales_AB mit Cloud Sales. Weitere Informationen finden Sie unter Policy erstellen.
  2. Autoritative Quelle zeichnet eine Aktualisierung für die Identität auf. Beispiel: Die Personalabteilung aktualisiert die Abteilung von Alice von Kundenerfolg in Cloud Sales.
  3. Orchestriertes System führt das Laden von Daten durch, nimmt die neuesten Daten auf und erstellt ein zusammengesetztes Identitätsprofil in Oracle Access Governance. Je nach den Lebenszykluseinstellungen Ihres Accounts für ein orchestriertes System werden Berechtigungen oder Accounts entweder deaktiviert oder entzogen. Weitere Informationen finden Sie unter Identitätsorchestrierungsprozessablauf.

    Benutzer mit der Rolle AG_ServiceDesk_Admin können Berechtigungen direkt auf der Seite Identitäten verwalten mit dem Vorgang Berechtigung widerrufen entziehen. Der Berechtigungstyp dieser Berechtigungen muss entweder DIRECT oder Access Bundles sein, die über REQUEST erteilt wurden. Berechtigungen für Oracle Cloud Infrastructure-(OCI-) oder Oracle Identity Governance-(OIG-)Systeme können nicht entzogen werden. Ausführliche Schritte finden Sie unter Ein oder mehrere Berechtigungen für einen Account widerrufen.

Verschieben von Provisioning in Oracle Access Governance validieren

Bei Movers löst das orchestrierte System in der Regel die folgenden Vorgänge aus:
  • Um die Zuordnung früherer Berechtigungen zu den Identitätsaccounts aufzuheben, wird Account- oder Berechtigungsdaten entfernen ausgelöst.
  • Um die Accounts zu deaktivieren, wird Account aktualisieren ausgelöst, oder um die Accounts zu löschen, wird Revoke ausgelöst.
  • Um neue Accounts und Berechtigungen zuzuordnen, werden Account erstellen und Account- oder Berechtigungsdaten hinzufügen ausgelöst.
  • Wenn nur Berechtigungen unterschiedlich sind, bleibt "Account" aktiviert, aber die Vorgänge Account- oder Berechtigungsdaten hinzufügen und/oder Account- oder Berechtigungsdaten entfernen werden ausgelöst, um die Berechtigungen für dieses Konto zu aktualisieren.
  • Wenn ein deaktivierter Account aktiviert ist, wird Account aktualisieren zusammen mit Account- oder Berechtigungsdaten hinzufügen und/oder Account- oder Berechtigungsdaten entfernen ausgelöst.
Sie können die Änderungen in der Oracle Access Governance-Konsole prüfen:
  • Als Enterprise-wide Access-Administrator können Sie die Identität durchsuchen und vollständige Identitätsdetails anzeigen, in denen Identitätsattribute, Berechtigungen und Accountinformationen angezeigt werden. Sie können auch Identitäts-Collection-Details anzeigen, um die neue Mitgliederliste zu prüfen.
  • Als Benutzer können Sie Ihre Accounts und Berechtigungen auf der Seite Meine AngabenMein Zugriff validieren.

Je nach den für das orchestrierte System konfigurierten Accounteinstellungen erhält ein Benutzer oder Benutzermanager eine Benachrichtigung, wenn neue Accounts erstellt werden. Standardmäßig werden die Benachrichtigungen an den Benutzer gesendet. Die vorhandenen Konten können je nach Kontoeinstellungen entweder gelöscht oder deaktiviert werden. Weitere Informationen finden Sie unter Orchestrierte Systemaccounteinstellungen konfigurieren.

Mitarbeiter-Offboarding - Rückstellung durch Schulabgänger

Wenn ein Mitarbeiter das Unternehmen verlässt, wird ein Datensatz in der zuverlässigen Quelle gelöscht oder deaktiviert. Beim Beenden werden alle Accounts und zugehörigen Berechtigungen, die dieser Identität zugewiesen sind, entweder gelöscht oder aus dem verwalteten System deaktiviert.

Der Leavers-Prozess stellt sicher, dass alle Accounts und Berechtigungen, die der Identity zugewiesen sind, beim Beenden automatisch entzogen werden. Wenn eine Identität beendet wird und in Oracle Access Governance als Inaktiv markiert ist, werden Identitätszugriffsrechte basierend auf Accounteinstellungen entweder entzogen oder deaktiviert.

Benutzer mit der Rolle AG_ServiceDesk_Admin können Berechtigungen direkt auf der Seite Identitäten verwalten mit dem Vorgang Berechtigung widerrufen entziehen. Der Berechtigungstyp dieser Berechtigungen muss entweder DIRECT oder Access Bundles sein, die über REQUEST erteilt wurden. Berechtigungen für Oracle Cloud Infrastructure-(OCI-) oder Oracle Identity Governance-(OIG-)Systeme können nicht entzogen werden. Ausführliche Schritte finden Sie unter Ein oder mehrere Berechtigungen für einen Account widerrufen.

Benutzer mit der Rolle AG_ServiceDesk_Admin können jetzt Konten, die von Oracle Access Governance verwaltet werden, auf der Seite Identitäten verwalten direkt deaktivieren, indem sie den Vorgang Account deaktivieren verwenden. Nach der Deaktivierung werden alle zugehörigen Zugriffe entzogen. Die Accounts können weiterhin von Oracle Access Governance verwaltet werden. Ausführliche Schritte finden Sie unter Von Oracle Access Governance verwaltete Accounts deaktivieren und aktivieren.

Szenario: Wenn ein Mitarbeiter, Alice, das Unternehmen beendet, stellt das Deprovisioning für Leavers sicher, dass alle zugewiesenen Accounts und Berechtigungen, die für seine Rolle gelten, widerrufen werden (löschen oder deaktiviert). Sehen wir uns an, wie Sie dies in Oracle Access Governance erreichen.

De-Provisioning von Abgängern in Oracle Access Governance ausführen

Betrachten wir das oben genannte Szenario und die allgemeinen Schritte, die erforderlich sind, um Leavers-Deprovisioning in Oracle Access Governance zu erreichen:

  1. Als Access Control-Administrator müssen Sie diese Mindestkonfiguration wie folgt einrichten:
    1. Eine Identitätserfassung basierend auf Mitgliedschaftsregeln. Weitere Informationen finden Sie unter Identity Collections erstellen.
    2. Ein Zugriffs-Bundle oder eine Rolle, wenn erforderliche Berechtigungen in einem Package integriert sind. Weitere Informationen finden Sie unter Zugriffs-Bundle erstellen und Rollen verwalten.
    3. Eine Policy, die Berechtigungen (über das Zugriffs-Bundle) mit der Identitätserfassung verknüpft. Weitere Informationen finden Sie unter Policy erstellen.
  2. Autoritative Quelle deaktiviert einen vorhandenen Datensatz eines Mitarbeiters im System.
  3. Das Orchestrierte System lädt Daten und nimmt die neuesten Daten auf. Weitere Informationen finden Sie unter Identitätsorchestrierungsprozessablauf.

Wenn ein Identitätsprofil deaktiviert ist und der Dataload erfolgreich ist, wird die Provisioning-Aufgabe Account widerrufen oder Account aktualisieren ausgelöst, um die Accounts der Identität zu löschen oder zu deaktivieren. Mit dem Account verknüpfte Berechtigungen werden entzogen, und Account- oder Berechtigungsdaten entfernen wird ausgelöst, um Berechtigungen aus dem verwalteten System zu entfernen. Weitere Informationen finden Sie unter Orchestrierte Systemaccounteinstellungen konfigurieren.