Erläuterungen zu den Maßnahmen des Beurteilers für die Zertifizierung nach Gültigkeitszugriff
Als Zugriffsprüfer können Sie Zugriffsberechtigungen mit dem Feature Meine Zugriffsprüfungen zertifizieren. Sie können Identitäts-, Zugriffskontroll- und Eigentumsüberprüfungsaufgaben prüfen, Artikel mit geringem Risiko im Massenverfahren genehmigen, die mit KI/ML ausgestatteten präskriptiven Analyseeinblicke prüfen, risikoreiche Artikel prüfen und fundierte Entscheidungen basierend auf KI/ML-gesteuerten Empfehlungen von Oracle Access Governance treffen. Sie können Ihre Prüfungsaufgaben auch einem anderen Prüfer neu zuweisen oder delegieren.
Aufgabentypen "Zugriffsprüfung" in Oracle Access Governance
Nach dem Start einer Kampagne verfolgt der Kampagnenservice in Oracle Access Governance aktiv den Zugriff auf die Identitäten im Geltungsbereich, generiert intelligente Einblicke und erstellt die Zugriffsprüfungen. Basierend auf dem Zugriffsprüfungstyp generiert Oracle Access Governance Aufgaben zur Identitätsprüfung, Zugriffskontrolle und/oder Eigentumsüberprüfung.
Im Folgenden finden Sie einige Details zu jeder Zugriffsprüfungsaufgabe:
Identitätsprüfungsaufgaben
Zu den Aufgaben der Identitätsprüfung gehören die Zertifizierung von Identitätszugriffsrechten, die Auswertung von Benutzeraccounts, Berechtigungen und Rollen. Diese werden initiiert, wenn Sie eine On-Demand-Identitätsprüfungsaufgabe starten oder bei Auftreten eines Identitätsereignisses wie Abteilungsänderung, Manageränderung usw. initiiert werden. Eine einzelne Kampagne kann mehrere Prüfungsaufgaben generieren. Beispiel: Wenn Sie Identitätszugriffsprüfungen starten, generiert Oracle Access Governance möglicherweise Zugriffsprüfungsaufgaben für Accounts, Berechtigungen oder Rollen, die mit einer einzelnen Identität verknüpft sind, auf der Seite Meine Zugriffsprüfungen → Identität.
Oracle Access Governance generiert präskriptive Einblicke und bietet Empfehlungen, damit Prüfer eine fundierte Entscheidung treffen können, den erforderlichen Identitätszugriff entweder zu genehmigen oder ablehnen.
Zugriffskontrollprüfungsaufgaben
Zu den Aufgaben der Überprüfung der Zugriffskontrolle gehören das Audit von Identity and Access Management-(IAM-)Policys und Identitäts-Collections, die von On-Demand-Kampagnen der Policy-Überprüfung und der Prüfung der Identitäts-Collections initiiert werden. Beispiel: Wenn Sie die Prüfung der Domainadministrator-Policy für Ihren Mandanten starten, generiert Oracle Access Governance möglicherweise Zugriffsprüfungsaufgaben für den Typ Policy auf der Seite Meine Zugriffsprüfungen → Zugriffskontrolle.
Oracle Access Governance generiert präskriptive Erkenntnisse und bietet Empfehlungen, damit Prüfer fundierte Entscheidungen treffen können, um entweder die gesamte Policy auf einmal zu genehmigen oder ablehnen oder die Entscheidung zu treffen, eine spezifische Policy-Anweisung in dieser Policy zu genehmigen oder ablehnen.
Bei einer OCI-Policy sind Prüfungen auf die grundlegenden Policy-Konstrukte beschränkt. Die erweiterte Syntax, einschließlich der "where"-Klausel, übersteigt den Umfang unserer unterstützten Funktion.
Prüfungsaufgaben für Eigentümerschaft
- Audit von Identity and Access Management-(IAM-)nicht abgeglichenen Accounts, initiiert durch ereignisbasierte Zugriffsprüfungen. Mit diesen Aufgaben können Sie alle nicht zugeordneten Accounts für Identitäten in Oracle Access Governance prüfen. Beim Einrichten eines Ereignisses für nicht abgeglichene Konten können Sie auswählen, dass die nicht abgeglichenen Konten automatisch entfernt werden. Als Prüfer können Sie eine Identität für den Abgleich auswählen oder den nicht abgeglichenen Account entfernen
-
Eigentumsüberprüfung von Oracle Access Governance-Ressourcen. Mit diesen Aufgaben können Sie prüfen und prüfen, ob nur autorisierte Eigentümer Oracle Access Governance-Ressourcen verwalten. Beispiel: Sie möchten regelmäßige Kampagnen ausführen, um die Gruppenverantwortung für Identitäts-Collections zu prüfen, die in Oracle Access Governance definiert sind.
Im Abschnitt Zugriffsprüfungs-Trail können Sie alle früheren Eigentümerprüfungen anzeigen, die für die Ressource ausgeführt wurden. Basierend auf dem in der Kampagne ausgewählten Genehmigungsworkflow wird entweder der primäre Verantwortliche oder eine aktive Oracle Access Governance-Personalidentität als Prüfer ausgewählt. Als Prüfer können Sie den primären und/oder zusätzlichen Eigentümer der Ressourcen ändern, die aktuelle Verantwortung zertifizieren oder die Prüfungsaufgabe einem anderen aktiven Oracle Access Governance-Benutzer neu zuweisen.
Intelligente Einblicke - Empfehlungen basierend auf präskriptiven Analysen prüfen
Oracle Access Governance nutzt präskriptive Analysen, um Erkenntnisse zu gewinnen und erforderliche Aktionen für die Prüfungsaufgaben zu empfehlen. Auf diese Weise können Zugriffsprüfer korrigierende Entscheidungen treffen, den Verwaltungsaufwand verringern und Kosten senken.
Prescriptive Analytics geht über die Vorhersage hinaus und beinhaltet aktionsorientierte Empfehlungen. Dies sind datengesteuerte Anleitungen. Oracle Access Governance führt komplexe Berechnungen durch und berücksichtigt viele Dimensionen, wie Organisation, Standort, Ressource und die Sensibilität dieser Ressource, bevor eine Entscheidung empfohlen wird. Auf allgemeiner Ebene basiert die Berechtigungsanalyse auf folgenden Faktoren:
- Vergleich mit gleichgestellten Mitarbeitern unter demselben Manager
- Vergleich mit gleichgestellten Mitarbeitern mit demselben Tätigkeitscode
- Vergleich mit gleichgestellten Mitarbeitern in derselben Organisation
- Aktuelle Änderungen an einem Benutzerprofil
Als Prüfer erhalten Sie datengesteuerte Empfehlungen, die den Überprüfungsprozess vereinfachen und den manuellen Aufwand bei der Identifizierung der anomalen Berechtigungen verringern. Auf der Seite Insights können Sie auch den Ablauf von Prüfungen verfolgen, die für einen bestimmten Zugriff durchgeführt wurden, der für Auditingzwecke erforderlich ist. Außerdem können Sie eine Reihe von Ereignisänderungen verfolgen, die für diesen Zugriff erforderlich sind. All diese Details helfen Ihnen, eine fundierte Entscheidung für diesen Zugriff zu treffen.
Audittrail: Zugriffsüberprüfung und Zugriffsanforderungsentscheidungen überwachen
Der Audittrail in Oracle Access Governance erfasst die Historie der Anforderungsgenehmigungs- und Zugriffsprüfungsaufgaben. Es zeichnet Entscheidungen auf, die während Zugriffsanfragen und Überprüfungen getroffen wurden, einschließlich der Annahme, Ablehnung oder Entziehung des Zugriffs, zusammen mit den bereitgestellten Begründungen.
In Scope - Was es zeichnet
- Genehmigungs- und Zugriffsprüfungsentscheidungen, einschließlich Entscheidungen zur Annahme, Ablehnung oder Entziehung des Zugriffs, mit Begründungen.
- Genehmigen und entziehen Sie Ereignisse für den Zugriff, der durch Anforderungen oder direkt zugewiesene Zugriffe in verwalteten Systemen gewährt wird (Berechtigungstyp Anforderung und Berechtigungstyp Direkt).
- Entziehen von Identitätszugriffsrechten für ereignisbasierte Prüfungen, die ausgelöst werden, wenn sich Identitätsattribute ändern. Dadurch wird der durch die Policy entzogene Zugriff nicht angezeigt, wenn Attributänderungen vorhanden sind.
- Genehmigung von Zugriffsanforderungen mit SOD-Verstößen. Diese Anforderungen werden durch das Symbol
identifiziert, das angibt, dass die Anforderung genehmigt wurde, obwohl Verletzungen der Aufgabentrennung von Risk Management Cloud aufgetreten sind. - Zeitlimit-Zugriffsprüfungen mit entsprechender Begründung genehmigt oder angefordert. Alle Zeitlimit-Zugriffe werden durch die
Uhrensymbol.
Außerhalb des Geltungsbereichs - Was nicht verfolgt wird
- Zugriff, der über Policys erteilt oder entzogen wird, da diese auf Policy-Ebene und nicht auf Identitätsebene geprüft werden.
- Aktualisierungen direkt in orchestrierten Systemen. Beispiel: Eine Rolle wird aus den orchestrierten Systemen entfernt
Log der letzten Änderungsereignisse: Attributänderungen verfolgen
Im Log "Letzte Änderungen" werden Identitätsattributänderungen verfolgt, die im ereignisbasierten Setup aktiviert sind. Für Kampagnen (nicht ereignisbasiert) werden alle Änderungsereignisse für Attribute angezeigt, bei denen Ereignisbasiertes Setup aktiviert ist und die für die angegebene Identität in den letzten sechs Monaten aufgetreten sind. Bei ereignisbasierten Kampagnen werden nur Änderungen für das Attribut protokolliert, das die Prüfung auslöst.
In Scope - Was es zeichnet
- Attributänderung, z.B. Abteilungsaktualisierungen, wenn sie im ereignisbasierten Setup aktiviert ist.
- Attributänderungen, durch die ereignisbasierte Prüfungen zur Mikrozertifizierung ausgelöst wurden.
- Bei Kampagnen Änderungen an Identitätsattributen, die für das ereignisbasierte Setup für die letzten sechs Monate aktiviert sind.
- Genehmigung von Zugriffsanforderungen und Prüfungen für Zugriffe, die durch Anforderungen oder direkt zugewiesene Zugriffe in verwalteten Systemen erteilt wurden.
- Widerruf geprüft durch ereignisbasierte Zugriffsprüfungen (nicht richtlinienbasiert)
Außerhalb des Geltungsbereichs - Was nicht verfolgt wird
- Spezifischer Zugriff, der aufgrund einer Attributänderung verloren ging oder erlangt wurde.
Beispiel: Wenn sich die Abteilung einer Person ändert und das Abteilungsattribut unter Ereignisbasiertes Setup -> Änderungsereignisse aktiviert wurde, wird der geänderte Attributwert in diesem Abschnitt angezeigt. Sie zeigt nur an, welcher Attributwert geändert wurde, und zeigt nicht an, welcher spezifische Zugriff aufgrund der Attributänderung verloren ging oder erlangt wurde. Für dieses Mover-Szenario müssen alle Zugriffe, die derzeit über die Identity verfügen, als Prüfungsaufgabe geprüft werden.
Prüfungsaufgaben delegieren
Wenn Sie eine Zugriffsprüfungsaufgabe delegieren, können Sie Ihre bevorstehenden Prüfungsaufgaben vorübergehend oder unbegrenzt an andere Prüfer übertragen. Normalerweise möchten Sie ein Beurteilungselement während Ihrer Abwesenheit an einen anderen Prüfer oder eine Identitäts-Collection delegieren, z.B. Urlaub.
Bei der Delegierung ändert sich die Verantwortung für Beurteilungselemente nicht. Ein Backupprüfer wird ohne den vorgesehenen Prüfer zugewiesen, sodass keine Verzögerungen auftreten. Auf der Seite Insights kann der Prüfer vollständige Details aus dem Zugriffsprüfungstrail anzeigen. Beispiel: Als Manager, der Urlaub macht, können Sie Ihre Beurteilungsaufgaben an den Teamleiter delegieren. Während Ihrer Abwesenheit kann der Teamleiter weiterhin Entscheidungen in Ihrem Namen treffen, die Sie im Zugriffsprüfungstrail sehen können. Die Hauptverantwortung für die Prüfung von Zugriffsprüfungsaufgaben liegt jedoch weiterhin beim Manager. Sie können Ihre Zugriffsprüfungen über das Selfservicefeature unter Meine Angaben → Meine Voreinstellungen delegieren. Weitere Informationen finden Sie unter Delegierungsvoreinstellungen verwalten.
Beurteilungsaufgabe neu zuweisen
Wenn Sie eine Zugriffsprüfungsaufgabe neu zuweisen, können Sie den Prüfer für Ihre ausstehenden Prüfungsaufgaben für andere Prüfer dauerhaft ändern. Bei der Neuzuweisung ändert sich die Verantwortung für Prüfungselemente. Die Beurteilungsaufgaben werden vom ursprünglichen Prüfer verschoben und dem neuen Prüfer zugewiesen. Nur der neue Prüfer kann die Neuzuweisungsdetails im Zugriffsprüfungstrail anzeigen.
Normalerweise weisen Sie Ihre ausstehenden Beurteilungselemente neu zu, wenn sich die Zuständigkeit ändert. Beispiel: Als Manager, der das Unternehmen verlässt, können Sie Ihre vorhandenen Beurteilungsaufgaben Ihrem Manager oder Ihrer Ersetzung neu zuweisen. Dadurch werden Ihre ausstehenden Beurteilungselemente an den neuen Prüfer verschoben.
Massenänderungen - Mehrere Prüfungselemente gleichzeitig verwalten
Mit Oracle Access Governance können Sie mehrere Prüfelemente gleichzeitig genehmigen, ablehnen oder neu zuweisen, anstatt dieselben Entscheidungen einzeln zu treffen. Die gleichzeitige Prüfung mehrerer Elemente reduziert den Verwaltungsaufwand und spart Zeit.
Verwenden Sie die datengesteuerten Empfehlungen, um effizient zu entscheiden, ob mehrere Anforderungen gleichzeitig genehmigt oder abgelehnt werden sollen. Beispiel: Während Sie regelmäßige Zugriffsprüfungen für Ihr Team durchführen, können Sie alle Prüfungselemente mit geringem Risiko mit der Empfehlung Akzeptieren gleichzeitig genehmigen. Sie können sogar mehrere oder alle Elemente auswählen, um die Aufgaben einem anderen Prüfer neu zuzuweisen.
- Bei Identitätsprüfungsaufgaben können Sie mehrere Beurteilungsaufgaben gleichzeitig genehmigen oder ablehnen. Sie können sogar mehrere Identitätsprüfungsaufgaben gleichzeitig neu zuweisen.
- Bei Zugriffskontrollaufgaben können Sie für eine Policy alle Anweisungen gleichzeitig genehmigen oder ablehnen.
- Bei Zugriffskontrollaufgaben können Sie für eine Identitätserfassung alle Elemente gleichzeitig genehmigen oder ablehnen.
- Bei ereignisbasierten Prüfungen können Sie konfigurieren, dass Aufgaben mit geringem Risiko automatisch genehmigt werden. Sie können auch konfigurieren, dass nicht abgeglichene Konten automatisch entfernt werden.
Massenänderungen in Kombination mit präskriptiven Analysen ermöglichen es Ihnen, den Prozess zu beschleunigen und die betriebliche Effizienz zu verbessern, ohne die Sicherheit zu beeinträchtigen.
Temporären Zugriff für Identitätszugriffsprüfungen akzeptieren
Sie können den Zugriff vorübergehend akzeptieren, während Sie den Identitätszugriff auf eine Berechtigung zertifizieren. Der Zugriff kann für einen unbefristeten Zeitraum akzeptiert oder auf Basis eines angegebenen Ablaufzeitraums ablaufen.
- Arbeitsstellenart: Berechtigung
- Berechtigungstyp "Erteilt": Zugriffs-Bundle
Im Audittrail werden alle zeitgebundenen Zugriffsprüfungen und die zeitlich begrenzte Annahme mit einem -Uhrsymbol angezeigt.