Oracle Cloud Infrastructure-Dokumentation

Funktionsübersicht zur Integration von Oracle Access Governance: Unterstützte Vorgänge im orchestrierten System

Oracle Access Governance ermöglicht die Integration mit vielen nativen, direkten oder spezialisierten Anwendungen und Systemen, entweder als zuverlässige Quelle oder als verwaltetes System.

Mit dieser Integrationsunterstützung können Sie Anwendungsfälle verwalten, darunter die Konfiguration orchestrierter Systeme, Dataload, Kontoerstellung und -widerruf, Kennwortänderung sowie die Zuweisung und Entfernung von Rollen.

Orchestriertes System konfigurieren

Die erste Aufgabe, die Sie ausführen müssen, um die Integration Ihrer Anwendung oder Ihres Systems mit Oracle Access Governance zu ermöglichen, ist das Setup und die Konfiguration eines orchestrierten Systems. Dadurch erhalten Sie Oracle Access Governance-Details, wie Sie eine Verbindung zur Zielanwendung oder zum Zielsystem herstellen, aus der Sie Daten laden oder Berechtigungen verwalten möchten. Optional können Sie weitere Elemente des orchestrierten Systems konfigurieren, bevor Sie den ersten Dataload ausführen, einschließlich:

Daten laden

Nachdem Sie das orchestrierte System eingerichtet und geprüft haben, können Sie Dataloads ausführen, um Identitäts- und Accountdetails aufzunehmen, je nach ausgewähltem Konfigurationsmodus, Autoritative Quelle oder Verwaltetes System.

Im Modus "Autoritative Quelle" geladene Daten bestehen aus Benutzerdaten aus dem orchestrierten System. Wenn der Benutzer neu ist, wird in Oracle Access Governance eine neue Identität erstellt. Wenn die Identität bereits in Oracle Access Governance vorhanden ist, werden alle im orchestrierten System initiierten Updates eingespielt.

Im Modus "Verwaltetes System" geladene Daten umfassen Kontodaten und Berechtigungen aus dem orchestrierten System. Wenn der Account über Oracle Access Governance bereitgestellt wird, wird ein neuer Account zusammen mit zugehörigen Berechtigungen im orchestrierten System erstellt. Accounts und Berechtigungen, die direkt aus Ihrem orchestrierten System geladen werden, können von Oracle Access Governance verwaltet werden. Sie können Berechtigungen korrigieren, die mit einem verwalteten Systemaccount verknüpft sind. Wenn dem Konto nur eine Berechtigung zugewiesen ist, führt die Korrektur dieser Berechtigung auch zum Widerruf des Kontos.

Account erstellen

Es gibt zwei Möglichkeiten, einen Account in Oracle Access Governance zu erstellen:
  • Kontodaten aus dem orchestrierten System aufnehmen.
  • Wenn eine Rolle, Policy oder ein Zugriffs-Bundle mit Anwendungsberechtigungen einer Identität zugewiesen wird. Wenn Sie eine Identität in Oracle Access Governance haben, können Sie einen Account anfordern, indem Sie die Funktionalität Neuen Zugriff anfordern in der Oracle Access Governance-Konsole verwenden. Wenn Sie eine Zugriffsanforderung für ein Zugriffs-Bundle oder eine genehmigte Berechtigung erstellen, wird ein Provisioning-Vorgang initiiert. Wenn kein von Oracle Access Governance verwalteter Account vorhanden ist, erstellt der Provisioning-Prozess einen Account für die ausgewählte Anwendung. Wenn bereits ein von Oracle Access Governance verwalteter Account vorhanden ist, werden die Berechtigungen für diesen Account basierend auf den Werten im Zugriffs-Bundle aktualisiert.

Weitere Informationen zur Kontoerstellung finden Sie unter Zugriff anfordern.

Berechtigungen zuordnen

Mit der Funktion Neuen Zugriff anfordern von Oracle Access Governance können Sie einem Account Berechtigungen zuweisen. Auf diese Weise können Sie ein Zugriffs-Bundle anfordern, das Berechtigungen für Ihre Anwendung enthält. Wenn Sie ein Zugriffs-Bundle direkt oder über eine Oracle Access Governance-Rolle oder -Policy anfordern, wird ein Provisioning-Vorgang initiiert, bei dem die Berechtigungen in Ihrer Anwendung mit den Berechtigungen aktualisiert werden, die im referenzierten Zugriffs-Bundle enthalten sind.

Weitere Informationen zur Berechtigungszuweisung finden Sie unter Zugriff anfordern. Weitere Informationen zu Rollen und Policys finden Sie unter Rollen verwalten und Policys verwalten.

Berechtigungen entfernen

Sie können Berechtigungen aus einem Konto entfernen, indem Sie die Berechtigung der Rolle, Policy oder dem Zugriffs-Bundle entziehen, der es zugewiesen ist. In diesem Fall wird die Berechtigungszuweisung allen Benutzern entzogen, auf die die Rolle, die Policy oder das Zugriffs-Bundle angewendet wird. Angenommen, Sie haben ein Zugriffs-Bundle mit zwei Berechtigungen, Admin und Entwickler, das zuvor für Ihre Anwendung bereitgestellt wurde. Sie können das Zugriffs-Bundle mit diesen Berechtigungen aktualisieren, um Entwickler zu entfernen und Composer hinzuzufügen. Dies führt dazu, dass das Zugriffs-Bundle Admin und Composer enthält. Diese Änderung würde sich nach dem nächsten Provisioning-Vorgang widerspiegeln, indem die Entwicklerrolle entfernt und die Composer-Rolle zugewiesen wird. Admin bleibt zugewiesen.

Eine weitere Möglichkeit, eine Berechtigung zu entfernen, besteht darin, die Zuweisung von Rollen, Policys oder Zugriffs-Bundles für ein bestimmtes Konto zu entziehen. Dies würde mit dem Entzugsvorgang in Zugriffsprüfungen geschehen.

Weitere Informationen zur Berechtigungszuweisung finden Sie unter Rolle löschen, Policy löschen oder Zugriffs-Bundles verwalten -> Zugriffs-Bundle löschen.

Benutzer mit der Rolle AG_ServiceDesk_Admin können Berechtigungen direkt auf der Seite Identitäten verwalten mit dem Vorgang Berechtigung widerrufen entziehen. Der Berechtigungstyp dieser Berechtigungen muss entweder DIRECT oder Access Bundles sein, die über REQUEST erteilt wurden. Berechtigungen für Oracle Cloud Infrastructure-(OCI-) oder Oracle Identity Governance-(OIG-)Systeme können nicht entzogen werden. Ausführliche Schritte finden Sie unter Ein oder mehrere Berechtigungen für einen Account widerrufen.

Kennwort zurücksetzen

Sie können das Kennwort für Accounts, die von Oracle Access Governance verwaltet werden, auf der Seite Mein Zugriff zurücksetzen. Verwenden Sie das vom System generierte Passwort, oder erstellen Sie das eigene manuell, basierend auf der vom Administrator festgelegten Konfiguration. Weitere Informationen zum Ändern von Kennwörtern finden Sie unter Accountkennwort ändern und Kennwort-Policy konfigurieren.

Account widerrufen

Wenn Sie einen Account in einer Zugriffsprüfung entziehen, werden Provisioning-Aufgaben erstellt, um den Account in der entsprechenden Anwendung zu entziehen. Weitere Informationen zum Entziehen von Accounts finden Sie unter Rolle löschen oder Policy löschen.

Benutzer mit der Rolle AG_ServiceDesk_Admin können jetzt Konten, die von Oracle Access Governance verwaltet werden, auf der Seite Identitäten verwalten direkt deaktivieren, indem sie den Vorgang Account deaktivieren verwenden. Nach der Deaktivierung werden alle zugehörigen Zugriffe entzogen. Die Accounts können weiterhin von Oracle Access Governance verwaltet werden. Ausführliche Schritte finden Sie unter Von Oracle Access Governance verwaltete Accounts deaktivieren und aktivieren.

Sie können Konten mit dem Vorgang Account löschen löschen. Bei gelöschten Accounts werden alle zugehörigen Zugriffe entfernt, und Sie können die Accounts nicht mehr in Oracle Access Governance verwalten. Ausführliche Schritte finden Sie unter Von Oracle Access Governance verwaltete Accounts löschen.

Account aktivieren

Benutzer mit der Rolle AG_ServiceDesk_Admin können die Accounts und Zugriffe mit dem Vorgang Account aktivieren auf der Seite Identitäten verwalten erneut bereitstellen. Nach der Aktivierung werden alle Accounts und Zugriffe erneut in Oracle Access Governance bereitgestellt. Ausführliche Schritte finden Sie unter Von Oracle Access Governance verwaltete Accounts deaktivieren oder aktivieren.