Oracle Cloud Infrastructure-Dokumentation

Access Guardrails in Oracle Access Governance verwalten

Verwalten und erzwingen Sie Sicherheits-Constraints oder -bedingungen in Oracle Access Governance mit dem Feature Access Guardrails, um sicherzustellen, dass nur autorisierte und konforme Identitäten Zugriff auf bestimmte Berechtigungen erhalten.

Access Guardrail erstellen

Um eine neue Access Guardrail zu erstellen, wählen Sie die Schaltfläche Create an access guardrail. Die Seite Neue Zugriffs-Guardrail erstellen wird angezeigt.

Details hinzufügen

In der Aufgabe Details hinzufügen können Sie allgemeine Einstellungen zur Access Guardrail eingeben. Sie können auch benutzerfreundliche Tags hinzufügen, die bei einer Suche nach diesem Access Guardrail verwendet werden können.

  1. Name: Geben Sie einen Namen für den Access Guardrail ein.
  2. Beschreibung: Geben Sie eine Beschreibung für Access Guardrail ein.
  3. Tags: Geben Sie ein oder mehrere Tags für diese Access Guardrail ein.
  4. Wählen Sie eines aus, um das Ereignis auszuwählen, wenn Sie diese Leitplanke durchsetzen möchten
    1. Nur neue Zugriffsanforderungen: Dadurch werden Guardrails nur durchgesetzt, wenn eine Identität einen neuen Zugriff mit dem Selfservicemodul anfordert.
    2. Neue Zugriffsanforderungen und vorhandener Zugriff: Dadurch werden Guardrails für vorhandene Zugriffe und für neue Zugriffe durchgesetzt.
    Je nach den Konfigurationseinstellungen werden vorhandene Zugriffe blockiert, oder eine Verlängerungsfrist ist zulässig, wenn eine Verletzung für diese Regel ausgelöst wird.
  5. Nachdem Sie mit den Einstellungen zufrieden sind, wählen Sie Weiter, um zur Aufgabe Regeln definieren zu gehen, oder wählen Sie Abbrechen, um den aktuellen Prozess abzubrechen.

Regeln für Access Guardrails definieren

Definieren Sie in der Aufgabe Regel definieren eine oder mehrere Bedingungen, die eine Identität bestehen muss, um Zugriff zu erhalten.

  1. Wählen Sie die Schaltfläche + Bedingung hinzufügen.
    Der Bereich Bedingung hinzufügen wird angezeigt.
  2. Wählen Sie in der Dropdown-Liste Welcher Bedingungstyp? den Bedingungstyp aus, den Sie definieren und erzwingen möchten:
    OptionBeschreibung
    Identität hat eine Berechtigung Aktivieren Sie dieses Kontrollkästchen, wenn eine Identität diese Berechtigung haben muss. In diesem Fall wird der Zugriffsschutz verletzt, wenn eine Identität keinen Zugriff auf die definierte Berechtigung hat.

    Beispiel: Verwenden Sie diese Option, bevor Sie erweiterte Berechtigungen zuweisen. Sie können prüfen, ob eine Identität Standardberechtigungen für die Ausführung allgemeiner Funktionen hat.
    Identität darf keine Berechtigung haben Aktivieren Sie dieses Kontrollkästchen, wenn eine Identität nicht über diese Berechtigung verfügen darf. In diesem Fall wird der Zugriffsschutz verletzt, wenn eine Identität Zugriff auf die definierte Berechtigung hat.

    Beispiel: Verwenden Sie diese Option für ein Entra-ID-Orchestrierungssystem, um zu verhindern, dass Benutzer eine Zugriffsgruppe mit Zugriffsrechten anfordern, wenn sie Teil der Gruppe Externe Mitwirkende sind.
    Identität stimmt mit einem Attribut überein Aktivieren Sie dieses Kontrollkästchen, wenn eine Identität mit dem definierten Attribut übereinstimmen muss.

    Beispiel: Mit dieser Option können Sie Identitäten nur in der Abteilung IT Security Corp einschränken, um die Rolle IAM-Administrator anzufordern.
    Identität hat einen Account für ein System

    Wählen Sie diese Option aus, wenn eine Identität einen Account in einem bestimmten System haben muss, bevor ein Zugriff gewährt wird.
  3. Wählen Sie unter Identität hat eine Berechtigung oder Identität darf keine Berechtigung haben die Berechtigungsbedingungen wie folgt aus:
    1. Welches System?: Wählen Sie das von Oracle Access Governance verwaltete orchestrierte System aus.
    2. Welcher Berechtigungstyp wurde erteilt?: Wählen Sie den Berechtigungstyp aus, z.B. Rolle, Gruppen, Berechtigung, Schema usw. für das ausgewählte orchestrierte System.
    3. Welche Berechtigung?: Wählen Sie die Berechtigung aus, die Sie definieren oder erzwingen möchten.
    4. (Optional) Je nach ausgewähltem orchestriertem System und ausgewählter Berechtigung können Sie zusätzliche Attribute festlegen, wie z.B. Sicherheitskontextwerte, um eine detaillierte Kontrolle über die definierte Bedingung zu erhalten.
    5. Wählen Sie Hinzufügen aus.
  4. Wählen Sie unter Identität hat ein Konto für ein System die folgenden Bedingungen aus:
    1. Welches System?: Wählen Sie das orchestrierte System aus, für das ein Identitätsaccount vorhanden sein muss. Wenn keine Verletzung gefunden wird, kann der Genehmiger eine Zugriffsanforderung akzeptieren oder ablehnen.
    2. (Optional) Welche Domain: Wählen Sie für OCI-orchestrierte Systeme die Domain aus, um sicherzustellen, dass eine Identität einen Account in der ausgewählten Systemdomain aufweist.
    3. Wählen Sie Hinzufügen aus.
  5. Wählen Sie unter Identität mit einem Attribut übereinstimmt die Attributbedingungen wie folgt aus:
    1. Welches Attribut?: Wählen Sie das Identitätsattribut aus, das übereinstimmen muss, bevor ein Zugriff erteilt wird.
    2. Wählen Sie Hinzufügen aus.
  6. Fügen Sie bei Bedarf weitere Bedingungen hinzu.
  7. Wählen Sie Beliebig, wenn eine der Set-Bedingungen erfüllt werden muss, oder wählen Sie Alle, wenn alle Set-Bedingungen erfüllt sein müssen.
Auf Identität testen
  1. Wählen Sie den Link Nach einer Identität testen aus, um die definierten Bedingungen anhand einer Identität zu prüfen.
    1. Wählen Sie die Identität Ihrer Wahl aus, um den Test im Feld Welche Identität möchten Sie testen? auszuführen.
    2. Wählen Sie Test aus.
      Wenn die Bedingung nicht erfolgreich ist, wird der Test mit den entsprechenden Details für den Fehler Nicht erfolgreich angezeigt.
  2. Wählen Sie Weiter.

Aktion bei Ausfall von Access Guardrail-Bedingungen

In dieser Aufgabe Aktion bei Fehler müssen Sie die Aktion oder den Vorgang definieren, die/den Oracle Access Governance ausführen muss, wenn eine Access Guardrail-Verletzung ausgelöst wird. Sie können den Zugriff sofort blockieren oder eine Nachfrist für einige Tage zulassen, um die in den Bedingungen genannten obligatorischen Anforderungen zu erfüllen.

  1. Wählen Sie im Feld Was soll geschehen, wenn die Access Guardrail ausfällt? je nach Zugriffsrisikostufe eine der folgenden Optionen aus.
    OptionBeschreibung
    Hohes Risiken - Zugriff sofort blockieren Bei neuen Zugriffsanforderungen wird die Anforderung nicht ausgelöst, und die Verletzung wird mit dem Status "Blockiert" ausgelöst. Bei vorhandenen Zugriffen (falls in der vorherigen Aufgabe ausgewählt) wird der Zugriff zusammen mit der Statusverletzung "Gesperrt" entfernt.
    Niedriges Risiko - Risiko für eine bestimmte Anzahl von Tagen akzeptieren Bei neuen oder vorhandenen Zugriffen wird der Zugriff bei Genehmigung bedingt für eine definierte Anzahl von Tagen gewährt oder beibehalten, um die obligatorischen Anforderungen zu erfüllen. Der Verstoß wird mit dem Status "Erinnert" ausgelöst.
  2. Geben Sie für die Option Niedriges Risiko - Risiko für eine Anzahl von Tagen akzeptieren die Anzahl der Tage (kleiner als oder gleich 90) ein, für die Sie den Zugriff behalten möchten.
  3. Aktivieren Sie das Kontrollkästchen Identitätsmanager in Benachrichtigungen einbeziehen, um den Identitätsmanager in die Benachrichtigung bei einer Zugriffs-Guardrail-Verletzung einzuschließen.
  4. Wählen Sie Weiter.
  5. (Optional) Sie können eine dieser zusätzlichen Aktionen auswählen:
    • Abbrechen: Hiermit brechen Sie den aktuellen Prozess abbrechen
    • Zurück: Hiermit kehren Sie zum vorherigen Schritt zurück.

Primäre und zusätzliche Verantwortliche hinzufügen

Sie können Ressourcenverantwortung zuordnen, indem Sie primäre und zusätzliche Verantwortliche hinzufügen. Dies steuert Self-Service, da diese Eigentümer dann die Ressourcen verwalten (lesen, aktualisieren oder löschen) können, deren Eigentümer sie sind. Standardmäßig wird der Ressourcenersteller als Ressourceneigentümer angegeben. Sie können einen primären Verantwortlichen und bis zu 20 zusätzliche Verantwortliche für die Ressourcen zuweisen.
Hinweis

Wenn Sie das erste orchestrierte System für Ihre Serviceinstanz einrichten, können Sie Eigentümer erst zuweisen, nachdem Sie die Identitäten im Abschnitt Identitäten verwalten aktiviert haben.
So fügen Sie Eigentümer hinzu:
  1. Wählen Sie im Feld Wer ist der primäre Eigentümer? einen aktiven Oracle Access Governance-Benutzer als primären Eigentümer aus.
  2. Wählen Sie einen oder mehrere zusätzliche Eigentümer in der Liste Wer ist Eigentümer? aus. Sie können bis zu 20 zusätzliche Eigentümer für die Ressource hinzufügen.
Sie können den primären Eigentümer in der Liste anzeigen. Alle Verantwortlichen können die Ressourcen anzeigen und verwalten, für die sie verantwortlich sind.

Prüfen und übermitteln

Prüfen Sie in der Aufgabe Prüfen und weiterleiten die Details der Access Guardrail, und erstellen Sie die Access Guardrail.

Prüfen Sie die Access Guardrail-Details, und wählen Sie Erstellen aus. Die Access Guardrail wurde erfolgreich erstellt.

Für Identität testen

Sie können die definierten Bedingungen anhand einer Identität prüfen, während Sie ein Access Guardrail erstellen, oder dessen Erstellung über das Menü Aktionen (drei Punkte) veröffentlichen.

  1. Wählen Sie auf der Seite Access Guardrails das Symbol Aktionen Aktionen aus, und wählen Sie Nach einer Identität testen aus.
  2. Wählen Sie die Identität aus, um den Test im Feld Welche Identität möchten Sie testen? auszuführen.
  3. Wählen Sie Test aus.
    Wenn die Bedingung nicht erfolgreich ist, wird der Status Nicht erfolgreich mit den entsprechenden Fehlerdetails angezeigt.

Access Guardrails in Oracle Access Governance durchsetzen

Nachdem Sie eine Zugriffs-Leitschiene erstellt haben, müssen Sie sie mit einem oder mehreren Zugriffs-Bundles für ein System verknüpfen. Alternativ können Sie eine Zugriffs-Guardrail mit einer Identitäts-Collection verknüpfen, um sicherzustellen, dass nur autorisierte und konforme Identitäten, die vordefinierten Kriterien entsprechen, Mitglieder einer Identitäts-Collection sind.

Sie können Access Guardrails systemübergreifend verknüpfen, um Constraints durchzusetzen. Beispiel: Erteilen Sie die OCI-Sicherheitsgruppe nur, wenn die Identitätsabteilung mit Unternehmenssicherheit in Active Directory übereinstimmt. Implementieren Sie Access Guardrails wie beschrieben:
  1. Erstellen Sie Access Guardrail.
  2. Verknüpfen Sie eine Zugriffs-Guardrail, während Sie ein Zugriffs-Bundle ändern oder erstellen.
  3. Identity löst eine Self-Service-Zugriffsanforderung für ein Zugriffs-Bundle aus.
  4. Leitplankenprüfungen werden ausgelöst.
    Wenn keine Verletzung gefunden wird, kann der Genehmiger entscheiden, eine Zugriffsanforderung zu akzeptieren oder abzulehnen.
    Wenn eine Verletzung mit hohem Risiko identifiziert wird, schlägt die Zugriffsanforderung fehl, und der Lösungsstatus wird auf "Gesperrt" gesetzt.
    Bei Verstößen mit geringem Risiko kann der Genehmiger die Details der Verletzung anzeigen und entscheiden, ob die Zugriffsanforderung genehmigt oder abgelehnt werden soll. In diesem Fall wird der Verstoß auf den Status Erinnern gesetzt. Bei Genehmigung wird der Zugriff für eine definierte, begrenzte Anzahl von Tagen gewährt. Wenn die Verletzung während dieser Zeit nicht behoben wurde, wird die Berechtigung widerrufen.

Access Guardrails suchen und Details anzeigen

Suche, um spezifische und relevante Ergebnisse zu erhalten. Sie können eine einfache Stichwortsuche für alles verwenden, was Sie suchen möchten, und die Suche mit den vorgeschlagenen Filtern einschränken.

Nachdem Sie die Suche eingegrenzt haben, wählen Sie den Link "Access Guardrail" unter der Spalte Name aus, um die Details anzuzeigen. Sie können auch das Menü Aktionen Aktionen (drei Punkte) auswählen und Details anzeigen auswählen.

Access Guardrail bearbeiten

Sie können eine Zugriffs-Guardrail bearbeiten, um zusätzliche Bedingungen aufzunehmen, Durchsetzungskriterien zu ändern, Fehleraktionen zu ändern oder allgemeine Details zu aktualisieren. Wenn Sie Enforcement-Kriterien als Neue Zugriffsanforderungen und vorhandener Zugriff ausgewählt haben, werden die vorhandenen Zugriffe basierend auf den Änderungsdetails neu bewertet.

  1. Gehen Sie zur Seite Access Guardrails.
  2. Wählen Sie für einen Guardrail, den Sie bearbeiten möchten, das Menü Aktionen Aktionen (drei Punkte), und wählen Sie Bearbeiten aus.
  3. Je nach Anforderung ändern.
    Die Seite Zugriffs-Guardrail bearbeiten bietet denselben geführten Workflow wie das Erstellen einer Guardrail.
  4. Wählen Sie im Schritt Prüfen und weiterleiten die Option Aktualisieren.

Bericht zu Zugriffs-Guardrail-Verletzungen anzeigen

Generieren Sie einen Bericht über Verletzungen der Zugriffs-Guardrails, indem Sie auf die Schaltfläche Zugriffs-Guardrail-Bericht anzeigen klicken. Sie können einen Bericht basierend auf dem Datumsbereich, dem Guardrail-Namen, dem Verletzungsstatus oder dem Remediation-Status generieren.

Sie können Verletzungen durch Korrektur, Verletzungen durch Risiko und die 5 wichtigsten Sicherheitsverletzungen anzeigen, die ausgelöst wurden. Sie können den Screenshot des Berichts auch im PDF-Format speichern.
Hier sind die Berichtsfilterparameter:
  • Nach Datumsbereich: Verwenden Sie die Felder Von und Bis, um Datumsangaben auszuwählen.
  • Nach Access Guardrail-Name: Zeigen Sie den Bericht für eine bestimmte Access Guardrail an.
  • Nach Verletzungsstatus: Verletzungen werden entweder geöffnet, wobei der Anforderungsstatus weiterhin als "Gesperrt" oder "Geschlossen" markiert ist, wenn eine vorherige Verletzung jetzt behoben wurde.
  • Nach Behebung von Verletzungen: Der Lösungsstatus für Verletzungen kann wie folgt lauten:
    • Abgebrochen: Eine vorherige Verletzung wurde behoben und geschlossen.
    • Gesperrt: Eine Verletzung ist weiterhin vorhanden, und der Status der Zugriffsanforderung ist blockiert.
    • Snoozed: Eine Verletzung, die für Access Guardrails mit geringem Risiko vorliegt. Der Genehmiger kann das Risiko akzeptieren und den Zugriff für die definierte Anzahl von Tagen genehmigen.

Access Guardrail löschen

Sie können eine Zugriffs-Guardrail löschen und seine Zuordnung aus einem Zugriffs-Bundle entfernen. Nach dem Löschen würde die Zugangskontrolle nicht mehr durchgesetzt. Darüber hinaus werden alle offenen oder blockierten Verstöße im Zusammenhang mit der Access Guardrail entfernt.

  1. Gehen Sie zur Seite Access Guardrails.
  2. Wählen Sie für einen zu löschenden Guardrail das Menü Aktionen Aktionen (drei Punkte), und wählen Sie Löschen aus.
  3. Wählen Sie im Popup-Dialogfeld Bestätigung die Option Löschen aus.