Oracle Cloud Infrastructure-Dokumentation

Mit Zugriffsprüfungskampagnen in Oracle Access Governance arbeiten

Mit Kampagnen können Sie einen Zugriffsprüfungsprozess initiieren. Um Zugriffsprüfungen effektiv zu verwenden, müssen Sie den Kampagnenlebenszyklus sowie wichtige Konzepte wie die Selbstzertifizierung von Zugriffen und den Fallback-Mechanismus verstehen, wenn ein ungültiger Prüfer oder Eigentümer ermittelt wird. Verwenden Sie Richtlinien oder Best Practices bei der Arbeit mit Kampagnen, um sicherzustellen, dass ein effektiver Überprüfungsprozess durchgeführt wird.

Zugriffsprüfung - Kampagnenphasen

Als Administrator oder Kampagnenadministrator, um Zugriffsberechtigungen zu zertifizieren, müssen Sie zunächst Zugriffsprüfungskampagnen einrichten und planen. Während seines Lebenszyklus durchläuft eine Kampagne verschiedene Zugriffsprüfungsstatus. Welche Aufgaben Sie ausführen können, hängt vom Status oder dem Status einer Kampagne ab.

Initiieren Sie als Administrator oder Kampagnenadministrator den Zugriffsprüfungsprozess, indem Sie im Abschnitt Zugriffsprüfungen eine Kampagne erstellen. Sie können entweder eine Ad-hoc-Kampagne einrichten oder eine periodische Kampagne planen, um eine Kampagnenreihe zu bilden. Eine Kampagne durchläuft verschiedene Phasen oder Status in ihrem Lebenszyklus. Dazu gehören die Definition des Geltungsbereichs, das Festlegen von Genehmigungsworkflows, die Auswahl von Kampagnenverantwortlichen und die Planung von Kampagnen. Nach dem Start können Prüfer Zugriffsberechtigungen akzeptieren oder entziehen. Die getroffenen Entscheidungen werden im Rahmen des Closed-Loop-Sanierungsprozesses erfüllt.

Nachfolgend sind die Zertifizierungsstatus für Zugriffsprüfungskampagnen aufgeführt:
Zugriffsprüfung - Kampagnenphasen

  • Entwurf: Wenn eine neue Zugriffsprüfungskampagne erstellt oder hinzugefügt, aber noch nicht gestartet wurde. Im Status Entwurf können Sie folgende Aktionen ausführen:
    • Kampagnendetails anzeigen
    • Kampagne bearbeiten
    • Kampagne löschen
  • Geplant: Wenn eine Zugriffsprüfungskampagne erstellt wird, die zu einem bestimmten Zeitpunkt in der Zukunft gestartet werden soll. Im Status Geplant können Sie:
    • Kampagnendetails anzeigen
    • Kampagne bearbeiten
    • Kampagne klonen
    • Kampagne beenden
    • Kampagnenserie beenden
  • In Bearbeitung: Wenn eine Zugriffsprüfungskampagne gestartet wird. Kampagnenprüfer werden per E-Mail über die Kampagne benachrichtigt. Prüfer können Entscheidungen zu den zugewiesenen Prüfungsaufgaben treffen, indem sie Zugriffsberechtigungen akzeptieren oder entziehen, um die Entscheidung im Rahmen des Feedbackprozesses für den Closed-Loop endgültig zu erfüllen. Im Status In Bearbeitung können Sie:
    • Kampagnendetails anzeigen
    • Kampagne klonen
    • Kampagne beenden
    • Kampagnenserie beenden
    • Bericht anzeigen
    • Kampagnenverantwortung ändern
    • CSV-Daten herunterladen
  • Bereit zur Genehmigung: Wenn die Prüfungsaufgaben abgeschlossen oder das Fälligkeitsdatum der Kampagne verstrichen ist, wird die Kampagne in den Status Bereit zur Genehmigung versetzt. Falls ausstehende Prüfungselemente vorhanden sind, werden die im Genehmigungsworkflow angegebenen vorgeschlagenen Aktionen automatisch berücksichtigt. Beispiel: Genehmigen Sie alle nicht überprüften Aufgaben für die Zugriffsprüfung. Im Status Bereit zur Genehmigung können Sie:
    • Kampagnendetails anzeigen
    • Kampagne klonen
    • Kampagne beenden
    • Kampagnenserie beenden
    • Bericht anzeigen
    • CSV-Daten herunterladen
    • Kampagnenverantwortung ändern
  • Genehmigt: Wenn ein Kampagnenverantwortlicher eine Kampagne über die Option Aktionen genehmigt und abzeichnet, wird sie als Genehmigt markiert. Die Kampagne wird von der Queue Meine laufenden Kampagnen in die Queue Meine vorherigen Kampagnen verschoben. Im Status Genehmigt können Sie folgende Aktionen ausführen:
    • Kampagnendetails anzeigen
    • Kampagne klonen
    • Bericht anzeigen
    • CSV-Daten herunterladen
  • System beendet: Wenn ein unerwarteter Fehler auftritt, wird die Kampagne möglicherweise abgebrochen, sodass der Status System beendet angezeigt wird. Im Status System beendet können Sie Kampagnendetails anzeigen, eine Kampagne klonen, einen Bericht anzeigen oder den CSV-Bericht herunterladen. Einige mögliche Ursachen sind:
    • Wenn ein interner Systemfehler auftritt, z.B. Fehler beim Generieren von Insights oder Fehler beim Validieren von Kampagnenkriterien.

    • Alle Kampagnen des Typs Entwurf und Geplant, die vor Release Juni 2023 erstellt wurden, werden automatisch abgebrochen und als System beendet markiert.

    • Wenn eine Oracle Access Governance-Serviceinstanz gelöscht wird, werden alle Kampagnen in dieser Serviceinstanz abgebrochen und als System beendet markiert.
    • Wenn während der Beendigung einer Kampagne ein Systemfehler auftritt, wird die Kampagne abgebrochen, und der Status System beendet wird angezeigt.
  • Beendet: Wenn eine Kampagne von einem Kampagnenadministrator oder einem Kampagnenverantwortlichen beendet wird. Sie können eine Kampagne mit dem Status Geplant, In Bearbeitung oder Bereit zur Genehmigung beenden. Eine Kampagne wird auch beendet, wenn:
    • Der Prüfer ist inaktiv, und die Managerhierarchie hat keinen aktiven Benutzer, oder der Kampagnenverantwortliche ist inaktiv.
    • Der Fallback-Prozess kann keinen geeigneten Kampagnenverantwortlichen oder Prüfer zuweisen. Die Kampagne wird vom System beendet.
    • Die Anzahl der Elemente in der Identitäts-Collection ist geringer als die für den Genehmigungs-Workflow "Identity Collection" definierten Prüfer.
    Im Status Beendet können Sie:
    • Kampagnendetails anzeigen
    • Klonen
    • Bericht anzeigen
    • CSV-Daten herunterladen

Erläuterungen zu Selbstzertifizierungsschienen

Die Selbstzertifizierung ist ein Prozess, bei dem Sie Ihre eigenen Zugriffsrechte genehmigen oder zertifizieren, ohne dass ein externer Prüfer tätig wird. Es handelt sich um einen gültigen Geschäftsprozess, der eingerichtet wurde, um den Verwaltungsaufwand oder andere geeignete geschäftliche Begründungen zu reduzieren. Eine Selbstzertifizierung wird jedoch in der Regel nicht für risikoreiche Zugriffe mit kritischen Daten empfohlen, oder wenn ein potenzieller persönlicher Nutzen involviert ist. Mit Oracle Access Governance können Sie den Selbstgenehmigungsprozess aktivieren oder deaktivieren.

Basierend auf dem Genehmigungsworkflowtyp aktiviert oder deaktiviert Oracle Access Governance die Selbstzertifizierungs-Guardrails für eine Kampagne.
  • Wenn Sie den Workflow Benutzerdefinierter Benutzer, Identitäts-Collection oder Eigentümer auswählen, können Sie den Selbstzertifizierungsprozess aktivieren oder deaktivieren. Wenn Sie den Workflow Begünstigter auswählen, können Sie Ihre Zugriffe auch selbst genehmigen.
  • Wenn Sie einen anderen Workflow auswählen oder den Selbstgenehmigungsprozess deaktivieren, startet das System einen geeigneten Fallback-Mechanismus, um die Prüfungsaufgabe automatisch dem nächsten verfügbaren gültigen Prüfer zuzuweisen.

Fallback-Mechanismus verstehen: Methoden zur Verhinderung der Kampagnenbeendigung

Wenn Sie mit Kampagnen arbeiten, wählen Sie den gewünschten Prüfer aus, indem Sie eine der Genehmigungsvorlagen auswählen, die in der Genehmigungsworkflows-Funktion von Oracle Access Governance definiert sind. Der Service Kampagnen initiiert einen Fallback-Mechanismus, falls ein ungültiger Prüfer oder ein ungültiger Kampagneneigentümer ermittelt wird, um die Beendigung einer Kampagne zu verhindern.

Wenn Oracle Access Governance einen Prüfer als ungültig kennzeichnet:
  • Wenn eine inaktive Oracle Access Governance-Identität als Prüfer ausgewählt wird.
  • Wenn eine aktive Identität mit dem Benutzertyp Consumer als Prüfer ausgewählt wird.
  • Wenn die Selbstgenehmigung in der ausgewählten Genehmigungsvorlage deaktiviert ist und der Prüfer mit dem Begünstigten identisch ist, dessen Zugriffe geprüft oder zertifiziert werden.

Fallback-Mechanismus für ungültigen Prüfer

Wenn der beabsichtigte Prüfer ungültig ist, initiiert Oracle Access Governance den folgenden Fallback-Mechanismus in der angegebenen Reihenfolge, um einen gültigen Prüfer zuzuweisen:

Beabsichtigter PrüferManagementkette des beabsichtigten PrüfersKampagneneigentümerJeder Benutzer, der zufällig mit der Rolle Access Governance-Administrator ausgewählt wurde.

  • Vorgesehener Prüfer
  • Sofortiger Manager des Prüfers, bis zur definierten Managementkette, bis ein gültiger Prüfer gefunden wird.
  • Wenn keine aktiven Manager gefunden werden, wird der Prüfer als Kampagnenverantwortlicher festgelegt.
  • Wenn die Selbstgenehmigung nicht zulässig ist, werden keine aktiven Manager gefunden, der Kampagnenverantwortliche ist der Begünstigte. Jeder Benutzer, der zufällig ausgewählt wurde, mit den Administratorrollen, wird automatisch als Zugriffsprüfer zugewiesen.

Fallback-Mechanismus für einen ungültigen Kampagnenverantwortlichen

Ungültige Kampagnenverantwortliche können inaktive Benutzer, Consumer-Benutzer oder Benutzer sein, die nicht Teil des Genehmigungsworkflows sind.

Wenn der vorgesehene Kampagnenverantwortliche ungültig ist, initiiert Oracle Access Governance den folgenden Fallback-Mechanismus, um einen gültigen Kampagnenverantwortlichen zuzuweisen:

Geplanter KampagnenverantwortlicherManagementkette des KampagnenverantwortlichenJeder Benutzer, zufällig ausgewählt, mit der Rolle Access Governance-Administrator.

  • Managementkette des Kampagnenverantwortlichen.
  • Wenn keine gültigen Manager gefunden werden, wird jeder zufällig ausgewählte Benutzer mit der Rolle Administrator automatisch als Kampagnenverantwortlicher zugewiesen.

Beispiel 1 - Fallback-Mechanismus verstehen, wenn die Selbstzertifizierung zulässig ist

Szenario: Als Kampagnenadministrator und Kampagnenverantwortlicher startet Sarah die regelmäßigen Identitätszugriffsprüfungen für ihre eigene Abteilung. Sie wählt die Genehmigungsworkflowvorlage Verantwortlicher aus und ermöglicht die Selbstgenehmigung von Zugriffsprüfungen. Es werden zwei Zugriffsprüfungen mit dem Zuweisungstyp Account wie folgt generiert:
  • Begünstigter: John Doe und Kontoinhaber als Sarah
  • Begünstigter: Sarah und Kontoinhaber als Sarah
Wenn die Vorlage Verantwortlicher mit aktivierter Selbstzertifizierung verwendet wird, ist der vorgesehene Prüfer für diese Kampagne der Accounteigentümer:
  • Begünstigter als John Doe und Beurteilender als Sarah
  • Begünstigter als Sarah und Beurteilender als Sarah

Beispiel 2 - Fallback-Mechanismus verstehen, wenn die Selbstzertifizierung nicht zulässig ist

Szenario: Als Kampagnenadministrator und Kampagnenverantwortlicher startet Sarah die Ad-hoc-Identitätszugriffsprüfungen für kritische Funktionen in Anwendungen mit hohem Risiko für ihre Abteilung. Sie wählt die Genehmigungsworkflowvorlage Verantwortlicher aus und lässt keine Selbstgenehmigung von Zugriffsprüfungen zu. Es generiert zwei Zugriffsprüfungen mit dem Zuweisungstyp Berechtigung wie folgt:
  • Begünstigter: John Doe und Berechtigungseigentümer als Sarah
  • Begünstigter: Sarah und Berechtigungseigentümer als Sarah
Da die Selbstzertifizierung deaktiviert ist, kann der vorgesehene Prüfer für diese Kampagne nicht mit dem Begünstigten identisch sein. Daher wird der Fallback-Mechanismus wie folgt eingeleitet:

Beabsichtigter PrüferManagementkette des beabsichtigten PrüfersKampagneneigentümerJeder Benutzer, der zufällig mit der Rolle Access Governance-Administrator ausgewählt wurde.

Angenommen, in der Managementkette wurde kein gültiger Manager gefunden. Anschließend muss der nächste Kampagnenverantwortliche als Prüfer zugewiesen werden. In diesem Beispiel ist der Kampagnenverantwortliche identisch mit dem Begünstigten mit deaktivierter Selbstzertifizierung. Anschließend wird der Zugriffsprüfer zufällig ausgewählt, wobei die Rolle Administrator in diesem Beispiel Carol Beck ist. Die Zugriffsprüfer sind also wie folgt:

  • Begünstigter als John Doe und Beurteilender als Sarah
  • Begünstigter als Sarah und Beurteilender als Carol Beck

Best Practices: Richtlinien für die Arbeit mit Kampagnen

Bei der Ausführung von Kampagnen müssen Sie einige Best Practices und Richtlinien einhalten, um einen effektiven Zugriffsprüfungsprozess sicherzustellen.

Im Folgenden finden Sie einige Richtlinien, die Sie bei der Ausführung von Kampagnen beachten müssen:
  • Kampagnen können nur von Oracle Access Governance-Administrator oder Kampagnenadministrator erstellt werden.
  • Alle Kampagnen können nur vom Oracle Access Governance-Administrator verwaltet werden. Der Kampagnenadministrator kann die erstellten Kampagnen verwalten. Kampagnenverantwortliche können die Kampagne verwalten, für die sie verantwortlich sind.
  • Sie können Identitätsprüfungen basierend auf Berechtigungen ausführen, die direkt in Ihren verwalteten Systemen erteilt wurden (auch als abgestimmte Berechtigungen bezeichnet), ohne dass Sie sie über Oracle Access Governance bereitstellen müssen. Um Ihre Zugriffe jedoch auf granularer Ebene zu verwalten, verwenden Sie Zugriffs-Bundles, und stellen Sie die Berechtigungen in Oracle Access Governance bereit.
  • Sie können Berechtigungen schnell zertifizieren, indem Sie Identitätszugriffsprüfungen aus dem Oracle Access Governance-System basierend auf den direkt zugewiesenen Berechtigungen ausführen. Berechtigungen oder Accounts, die über eine Policy bereitgestellt werden, oder Oracle Identity Governance-(OIG-) und Oracle Cloud Infrastructure-(OCI-)Identitätsaccounts werden in dieser Prüfung nicht behandelt. Weitere Informationen zum Ausführen von Prüfungen basierend auf abgestimmten Berechtigungen finden Sie unter Identitätszugriffsprüfungen für direkt in verwalteten Systemen zugewiesene Berechtigungen.
  • In einer einzelnen Kampagne können Sie nicht zwei verschiedene Arten von Zugriffsprüfungen kombinieren. Beispiel: Wenn Sie eine Kampagne zur Prüfung von Policys erstellen, sind Kriterien für Identitätszugriffsprüfungen oder Identitäts-Collection-Prüfungen nicht mehr anwendbar und deaktiviert.
  • Kampagnen können von jedem aktiven Benutzer zertifiziert werden, der einem bestimmten Genehmigungsworkflow zugeordnet ist. Prüfer können nur ihre zugeordneten Beurteilungsaufgaben anzeigen. Ein Prüfer, der keinem Genehmigungsworkflow zugeordnet ist, kann keine Aufgaben für Prüfungen ausführen.
  • Wenn keine Prüfungen generiert werden, wird automatisch der Status Bereit zur Genehmigung verwendet.
  • Kampagnenverantwortlicher:
    • muss ein aktiver Oracle Access Governance-Benutzer sein.
    • E-Mail-Benachrichtigungen erhalten, wenn eine Kampagne verschiedene Kampagnenstatus durchläuft.
    • kann ein Zugriffsprüfer basierend auf dem Fallback-Mechanismus sein, wenn der ursprünglich beabsichtigte Prüfer ungültig ist.
    • Kann eine Kampagne verwalten, die sie besitzen.
  • Sie können Ihre Zugriffe mit der Vorlage Benutzerdefinierter Benutzer, Identitätserfassung oder Eigentümer selbst genehmigen oder zertifizieren. Sie können Ihre Zugriffe auch selbst genehmigen, wenn Sie die Genehmigungsvorlage Begünstigter verwenden.
  • Sie können Zugriffsberechtigungen für Consumer-Benutzer zertifizieren, ein Consumer-Benutzer kann jedoch kein Zugriffsprüfer sein.
  • Bei Policy-Prüfungen dürfen Sie die Policy nicht ändern, nachdem die Kampagnen geplant wurden. Dies führt dazu, dass die Korrekturanforderung nicht abgeschlossen wird. Die Policy-Anweisungen sollten während des gesamten Kampagnenprozesses konsistent sein.
  • Bei Identitäts-Collection-Prüfungen dürfen Sie keine Mitglieder ändern, nachdem die Kampagnen geplant wurden. Dies führt dazu, dass die Korrekturanforderung nicht abgeschlossen wird. Die Mitgliederliste sollte während des gesamten Kampagnenprozesses konsistent sein.