Oracle Cloud Infrastructure-Dokumentation

Mit Zugriffsprüfungskampagnen in Oracle Access Governance arbeiten

Mit Kampagnen können Sie einen Zugriffsprüfungsprozess initiieren. Um Zugriffsprüfungen effektiv zu verwenden, müssen Sie den Kampagnenlebenszyklus sowie wichtige Konzepte wie die Selbstzertifizierung von Zugriffen und den Fallback-Mechanismus verstehen, wenn ein ungültiger Prüfer oder Eigentümer ermittelt wird. Verwenden Sie Richtlinien oder Best Practices bei der Arbeit mit Kampagnen, um sicherzustellen, dass ein effektiver Überprüfungsprozess durchgeführt wird.

Zugriffsprüfung - Kampagnenphasen

Als Administrator oder Kampagnenadministrator, um Zugriffsberechtigungen zu zertifizieren, müssen Sie zunächst Zugriffsprüfungskampagnen einrichten und planen. Während seines Lebenszyklus durchläuft eine Kampagne verschiedene Zugriffsprüfungsstatus. Welche Aufgaben Sie ausführen können, hängt vom Status oder dem Status einer Kampagne ab.

Initiieren Sie als Administrator oder Kampagnenadministrator den Zugriffsprüfungsprozess, indem Sie im Abschnitt Zugriffsprüfungen eine Kampagne erstellen. Sie können entweder eine Ad-hoc-Kampagne einrichten oder eine periodische Kampagne planen, um eine Kampagnenreihe zu bilden. Eine Kampagne durchläuft verschiedene Phasen oder Status in ihrem Lebenszyklus. Dazu gehören die Definition des Geltungsbereichs, das Festlegen von Genehmigungsworkflows, die Auswahl von Kampagnenverantwortlichen und die Planung von Kampagnen. Nach dem Start können Prüfer Zugriffsberechtigungen akzeptieren oder entziehen. Die getroffenen Entscheidungen werden im Rahmen des Closed-Loop-Sanierungsprozesses erfüllt.

Nachfolgend sind die Zertifizierungsstatus für Zugriffsprüfungskampagnen aufgeführt:
Zugriffsprüfung - Kampagnenphasen

  • Entwurf: Wenn eine neue Zugriffsprüfungskampagne erstellt oder hinzugefügt, aber noch nicht gestartet wurde. Im Status Entwurf können Sie folgende Aktionen ausführen:
    • Kampagnendetails anzeigen
    • Kampagne bearbeiten
    • Kampagne löschen
  • Geplant: Wenn eine Zugriffsprüfungskampagne erstellt wird, die zu einem bestimmten Zeitpunkt in der Zukunft gestartet werden soll. Im Status Geplant können Sie:
    • Kampagnendetails anzeigen
    • Kampagne bearbeiten
    • Kampagne klonen
    • Kampagne beenden
    • Kampagnenserie beenden
  • In Bearbeitung: Wenn eine Zugriffsprüfungskampagne gestartet wird. Kampagnenprüfer werden per E-Mail über die Kampagne benachrichtigt. Prüfer können Entscheidungen zu den zugewiesenen Prüfungsaufgaben treffen, indem sie Zugriffsberechtigungen akzeptieren oder entziehen, um die Entscheidung im Rahmen des Feedbackprozesses für den Closed-Loop endgültig zu erfüllen. Im Status In Bearbeitung können Sie:
    • Kampagnendetails anzeigen
    • Kampagne klonen
    • Kampagne beenden
    • Kampagnenserie beenden
    • Bericht anzeigen
    • Kampagnenverantwortung ändern
    • CSV-Daten herunterladen
  • Bereit zur Genehmigung: Wenn die Prüfungsaufgaben abgeschlossen oder das Fälligkeitsdatum der Kampagne verstrichen ist, wird die Kampagne in den Status Bereit zur Genehmigung versetzt. Falls ausstehende Prüfungselemente vorhanden sind, werden die im Genehmigungsworkflow angegebenen vorgeschlagenen Aktionen automatisch berücksichtigt. Beispiel: Genehmigen Sie alle nicht überprüften Aufgaben für die Zugriffsprüfung. Im Status Bereit zur Genehmigung können Sie:
    • Kampagnendetails anzeigen
    • Kampagne klonen
    • Kampagne beenden
    • Kampagnenserie beenden
    • Bericht anzeigen
    • CSV-Daten herunterladen
    • Kampagnenverantwortung ändern
  • Genehmigt: Wenn ein Kampagnenverantwortlicher eine Kampagne über die Option Aktionen genehmigt und abzeichnet, wird sie als Genehmigt markiert. Die Kampagne wird von der Queue Meine laufenden Kampagnen in die Queue Meine vorherigen Kampagnen verschoben. Im Status Genehmigt können Sie folgende Aktionen ausführen:
    • Kampagnendetails anzeigen
    • Kampagne klonen
    • Bericht anzeigen
    • CSV-Daten herunterladen
  • System beendet: Wenn ein unerwarteter Fehler auftritt, wird die Kampagne möglicherweise abgebrochen, sodass der Status System beendet angezeigt wird. Im Status System beendet können Sie Kampagnendetails anzeigen, eine Kampagne klonen, einen Bericht anzeigen oder den CSV-Bericht herunterladen. Einige mögliche Ursachen sind:
    • Wenn ein interner Systemfehler auftritt, z.B. Fehler beim Generieren von Insights oder Fehler beim Validieren von Kampagnenkriterien.

    • Alle Kampagnen des Typs Entwurf und Geplant, die vor Release Juni 2023 erstellt wurden, werden automatisch abgebrochen und als System beendet markiert.

    • Wenn eine Oracle Access Governance-Serviceinstanz gelöscht wird, werden alle Kampagnen in dieser Serviceinstanz abgebrochen und als System beendet markiert.
    • Wenn während der Beendigung einer Kampagne ein Systemfehler auftritt, wird die Kampagne abgebrochen, und der Status System beendet wird angezeigt.
  • Beendet: Wenn eine Kampagne von einem Kampagnenadministrator oder einem Kampagnenverantwortlichen beendet wird. Sie können eine Kampagne mit dem Status Geplant, In Bearbeitung oder Bereit zur Genehmigung beenden. Eine Kampagne wird auch beendet, wenn:
    • Der Prüfer ist inaktiv, und die Managerhierarchie hat keinen aktiven Benutzer, oder der Kampagnenverantwortliche ist inaktiv.
    • Der Fallback-Prozess kann keinen geeigneten Kampagnenverantwortlichen oder Prüfer zuweisen. Die Kampagne wird vom System beendet.
    • Die Anzahl der Elemente in der Identitäts-Collection ist geringer als die für den Genehmigungs-Workflow "Identity Collection" definierten Prüfer.
    Im Status Beendet können Sie:
    • Kampagnendetails anzeigen
    • Klonen
    • Bericht anzeigen
    • CSV-Daten herunterladen

Erläuterungen zu Selbstzertifizierungsschienen

Die Selbstzertifizierung ist ein Prozess, bei dem Sie Ihre eigenen Zugriffsrechte genehmigen oder zertifizieren, ohne dass ein externer Prüfer tätig wird. Es handelt sich um einen gültigen Geschäftsprozess, der eingerichtet wurde, um den Verwaltungsaufwand oder andere geeignete geschäftliche Begründungen zu reduzieren. Eine Selbstzertifizierung wird jedoch in der Regel nicht für risikoreiche Zugriffe mit kritischen Daten empfohlen, oder wenn ein potenzieller persönlicher Nutzen involviert ist. Mit Oracle Access Governance können Sie den Selbstgenehmigungsprozess aktivieren oder deaktivieren.

Basierend auf dem Genehmigungsworkflowtyp aktiviert oder deaktiviert Oracle Access Governance die Selbstzertifizierungs-Guardrails für eine Kampagne.
  • Wenn Sie den Workflow Benutzerdefinierter Benutzer, Identitäts-Collection oder Eigentümer auswählen, können Sie den Selbstzertifizierungsprozess aktivieren oder deaktivieren. Wenn Sie den Workflow Begünstigter auswählen, können Sie die Zugriffe auch selbst genehmigen.
  • Wenn Sie einen anderen Workflow auswählen oder den Selbstgenehmigungsprozess deaktivieren, startet das System einen geeigneten Fallback-Mechanismus, um die Beurteilungsaufgabe automatisch dem nächsten verfügbaren gültigen Prüfer zuzuweisen.

Fallback-Mechanismus verstehen: Methoden zur Verhinderung der Kampagnenbeendigung

Beim Arbeiten mit Kampagnen wählen Sie den gewünschten Prüfer aus, indem Sie eine der Genehmigungsvorlagen auswählen, die in der Genehmigungsworkflows-Funktion von Oracle Access Governance definiert sind. Der Service Kampagnen würde einen Fallback-Mechanismus starten, falls ein ungültiger Prüfer oder ein ungültiger Kampagneneigentümer ermittelt wird, um die Beendigung einer Kampagne zu verhindern.

Wenn Oracle Access Governance einen Prüfer als ungültig kennzeichnet:
  • Wenn eine inaktive Oracle Access Governance-Identität als Prüfer ausgewählt wird.
  • Wenn eine aktive Identität mit dem Benutzertyp Consumer als Prüfer ausgewählt wird.
  • Wenn das Beendigungskennzeichen für einen Prüfer auf "true" gesetzt ist.
  • Wenn die Selbstgenehmigung in der ausgewählten Genehmigungsvorlage deaktiviert ist und der Prüfer mit dem Begünstigten identisch ist, dessen Zugriffe geprüft oder zertifiziert werden.

Fallback-Mechanismus für ungültigen Prüfer

Wenn der beabsichtigte Prüfer ungültig ist, startet Oracle Access Governance den folgenden Fallback-Mechanismus in der angegebenen Reihenfolge, um einen gültigen Prüfer zuzuweisen:

Beabsichtigter PrüferManagementkette des beabsichtigten PrüfersKampagneneigentümer → Beliebiger Benutzer, der zufällig mit der Rolle Access Governance-Kampagnenadministrator ausgewählt wurde.

  • Vorgesehener Prüfer
  • Sofortiger Manager des Prüfers, bis zur definierten Managementkette, bis ein gültiger Prüfer gefunden wird.
  • Wenn keine aktiven Manager gefunden werden, wird der Prüfer als Kampagnenverantwortlicher festgelegt.
  • Wenn die Selbstgenehmigung nicht zulässig ist, keine aktiven Manager gefunden werden, der Kampagnenverantwortliche der Begünstigte ist, wird ein beliebiger Benutzer mit der Rolle Access Governance-Kampagnenadministrator automatisch als Zugriffsprüfer zugewiesen.

Fallback-Mechanismus für einen ungültigen primären Eigentümer für eine Kampagne

Ungültige Eigentümer können inaktive Benutzer, Consumer-Benutzer, Benutzer mit dem Beendigungskennzeichen "true" oder Benutzer sein, die nicht Teil des Genehmigungsworkflows sind.

Wenn der beabsichtigte Eigentümer ungültig ist, startet Oracle Access Governance den folgenden Fallback-Mechanismus, um einen gültigen Kampagneneigentümer zuzuweisen:

Primärer Verantwortlicher → einer von (Sekundäre Kampagnenverantwortliche) → Jeder Benutzer mit der Rolle Access Governance-Kampagnenadministrator.

Beispiel 1 - Fallback-Mechanismus verstehen, wenn die Selbstzertifizierung ausgewählt ist

Szenario: Als Kampagnenadministrator und Primärer Eigentümer erstellt Sarah die regelmäßigen Identitätszugriffsprüfungen für ihre eigene Abteilung. Sie wählt die Genehmigungsworkflowvorlage Verantwortlicher und wählt die Selbstgenehmigung von Zugriffsprüfungen aus. Es werden zwei Zugriffsprüfungen mit dem Zuweisungstyp Account wie folgt generiert:
  • Begünstigter: John Doe und Kontoinhaber als Sarah
  • Begünstigter: Sarah und Kontoinhaber als Sarah
Wenn die Vorlage Verantwortlicher mit aktivierter Selbstzertifizierung verwendet wird, ist der vorgesehene Prüfer für diese Kampagne der Accounteigentümer:
  • Begünstigter als John Doe und Beurteilender als Sarah
  • Begünstigter als Sarah und Beurteilender als Sarah

Beispiel 2 - Fallback-Mechanismus verstehen, wenn die Selbstzertifizierung NICHT ausgewählt ist

Szenario: Als Kampagnenadministrator und Primärer Verantwortlicher erstellt Sarah die Ad-hoc-Identitätszugriffsprüfungen für kritische Funktionen in Anwendungen mit hohem Risiko für ihre Abteilung. Sie wählt die Genehmigungsworkflowvorlage Verantwortlicher aus und löscht (deaktiviert) die Selbstgenehmigung von Zugriffsprüfungen. Es generiert zwei Zugriffsprüfungen mit dem Zuweisungstyp Berechtigung wie folgt:
  • Begünstigter: John Doe und Berechtigungseigentümer als Sarah
  • Begünstigter: Sarah und Berechtigungseigentümer als Sarah
Da die Selbstzertifizierung deaktiviert ist, kann der vorgesehene Prüfer für diese Kampagne nicht mit dem Begünstigten identisch sein. Daher würde der Fallback-Mechanismus wie folgt gestartet:

Geplanter Kampagnenverantwortlicher → einer von (Sekundäre Verantwortliche) → Jeder Benutzer, zufällig ausgewählt, mit der Rolle "Kampagnenadministrator".

In diesem Beispiel ist der primäre Eigentümer derselbe wie der Begünstigte mit deaktivierter Selbstzertifizierung. Anschließend wird der erste Benutzer mit der Rolle Kampagnenadministrator mit der Rolle Administrator ausgewählt, die in diesem Beispiel Carol Beck ist. Die Zugriffsprüfer wären also wie folgt:

  • Begünstigter als John Doe und Beurteilender als Sarah
  • Begünstigter als Sarah und Beurteilender als Carol Beck

Best Practices: Richtlinien, die bei der Arbeit mit Kampagnen zu berücksichtigen sind

Bei der Ausführung von Kampagnen müssen Sie einige Best Practices und Richtlinien einhalten, um einen effektiven Zugriffsprüfungsprozess sicherzustellen.

Im Folgenden finden Sie einige Richtlinien, die Sie bei der Ausführung von Kampagnen beachten müssen:
  • Kampagnen können nur von Oracle Access Governance-Administrator oder Kampagnenadministrator erstellt werden.
  • Alle Kampagnen können nur vom Oracle Access Governance-Administrator verwaltet werden. Der Kampagnenadministrator kann die erstellten Kampagnen verwalten. Kampagnenverantwortliche können die Kampagne verwalten, für die sie verantwortlich sind.
  • Sie können Identitätsprüfungen basierend auf Berechtigungen ausführen, die direkt in den verwalteten Systemen (auch als abgestimmte Berechtigungen bezeichnet) erteilt wurden, ohne dass sie in Oracle Access Governance bereitgestellt werden müssen. Um die Zugriffe jedoch auf granularer Ebene zu verwalten, verwenden Sie Zugriffs-Bundles, und stellen Sie die Berechtigungen in Oracle Access Governance bereit.
  • Sie können Berechtigungen schnell zertifizieren, indem Sie Identitätszugriffsprüfungen aus dem Oracle Access Governance-System basierend auf den direkt zugewiesenen Berechtigungen ausführen. Berechtigungen oder Accounts, die über eine Policy bereitgestellt werden, oder Oracle Identity Governance-(OIG-) und Oracle Cloud Infrastructure-(OCI-)Identitätsaccounts werden in dieser Prüfung nicht behandelt. Weitere Informationen zum Ausführen von Prüfungen basierend auf abgestimmten Berechtigungen finden Sie unter Identitätszugriffsprüfungen für direkt in verwalteten Systemen zugewiesene Berechtigungen.
  • In einer einzelnen Kampagne können Sie nicht zwei verschiedene Arten von Zugriffsprüfungen kombinieren. Beispiel: Wenn Sie eine Kampagne zur Prüfung von Policys erstellen, sind Kriterien für Identitätszugriffsprüfungen oder Identitäts-Collection-Prüfungen nicht mehr anwendbar und deaktiviert.
  • Kampagnen können von jedem aktiven Benutzer zertifiziert werden, der einem bestimmten Genehmigungsworkflow zugeordnet ist. Prüfer können nur ihre zugeordneten Beurteilungsaufgaben anzeigen. Ein Prüfer, der keinem Genehmigungsworkflow zugeordnet ist, kann keine Aufgaben für Prüfungen ausführen.
  • Wenn keine Prüfungen generiert werden, wird automatisch der Status Bereit zur Genehmigung verwendet.
  • Kampagnenverantwortlicher:
    • muss ein aktiver Oracle Access Governance-Personalbenutzer sein, dessen Beendigungskennzeichen auf "false" gesetzt ist.
    • E-Mail-Benachrichtigungen erhalten, wenn eine Kampagne verschiedene Kampagnenstatus durchläuft.
    • kann ein Zugriffsprüfer basierend auf dem Fallback-Mechanismus sein, wenn der ursprünglich beabsichtigte Prüfer ungültig ist.
    • Kann eine Kampagne verwalten, die sie besitzen.
  • Sie können die Zugriffe mit der Vorlage Benutzerdefinierter Benutzer, Identitäts-Collection, Geschäftsgenehmiger oder Eigentümer selbst genehmigen oder zertifizieren. Sie können die Zugriffe auch selbst genehmigen, wenn Sie die Genehmigungsvorlage Begünstigter verwenden.
  • Sie können Zugriffsberechtigungen für Consumer-Benutzer zertifizieren, aber ein Consumer-Benutzer kann kein Zugriffsprüfer sein.
  • Bei Policy-Prüfungen dürfen Sie die Policy nicht ändern, nachdem die Kampagnen geplant wurden. Dies würde dazu führen, dass die Korrekturanforderung nicht abgeschlossen wird. Die Policy-Anweisungen müssen während des gesamten Kampagnenprozesses konsistent sein.
  • Bei Identitäts-Collection-Prüfungen dürfen Sie keine Mitglieder ändern, nachdem die Kampagnen geplant wurden. Dies würde dazu führen, dass die Korrekturanforderung nicht abgeschlossen wird. Die Mitgliederliste muss während des gesamten Kampagnenprozesses konsistent sein.