Access Governance

Sicherheitsverletzungen kosten Unternehmen jedes Jahr Millionen von Dollar. Die Stärke der Sicherheit ist nur so stark wie das schwächste Glied. Sie müssen die gesetzlichen Anforderungen einhalten und gleichzeitig Kundeninformationen schützen. Der Schlüssel zur Durchsetzung der Compliance besteht darin, Einblick in Sicherheitsinformationen zu erhalten, z. B. in die Art des Zugriffs, der in Ihrer gesamten Infrastruktur zulässig ist. Außerdem müssen Sie die Zugriffsinformationen regelmäßig prüfen, um sicherzustellen, dass die richtigen Personen die richtige Zugriffsebene für die richtigen Ressourcen haben. Um dies zu erreichen, automatisieren Sie zugehörige Aufgaben und erleichtern Sie Ihrem Unternehmen das Treffen sicherheitsbezogener Entscheidungen.

Wenn Unternehmen wachsen und in eine Multi-Cloud-Umgebung wechseln, wird die Aufrechterhaltung der richtigen Sicherheitslage zu einer größeren Herausforderung. Wenn die Anzahl der Systeme On-Premises und in der gesamten Cloud wächst, wird die Verwaltung von Identitäten und der Zugriff auf Systeme komplexer. Manuelle Steuerung funktioniert nicht mehr effektiv. Für eine effektive Governance sind automatisierte und intelligente Lösungen mit künstlicher Intelligenz (KI) und maschinellem Lernen (ML) erforderlich. Dies gilt für eine Reihe von sicherheitsbezogenen Aufgaben, wie Benutzer-Provisioning und -Deprovisioning, Workflow-basierte Zugriffskontrolle und Transparenz darüber, wer Zugriff, Zugriffsprüfungen und Zertifizierungen hat.

Wenn Identitäten nicht regiert werden, kann dies mehrere Probleme und Risiken für das Unternehmen darstellen. Die folgenden Informationen fassen diese Herausforderungen zusammen:

• Es mangelt an Transparenz darüber, wer Zugang zu was hat, was das Risiko erhöht.
• Wenn diese Option deaktiviert ist, werden Zugriffsberechtigungen akkumuliert.
• Übermäßig zulässige und generalisierte Policys erteilen Berechtigungen, die umfassend oder uneingeschränkt sind.
• Multi-Cloud- und Hybridumgebungen verursachen Duplikate von Identitäten und Inkonsistenzen zwischen Systemen.
• Die manuelle Verwaltung und Verwaltung von Identitäten und Zugriff führt zu Komplexitäts- und Skalierbarkeitsproblemen.
• Die Aggregation, Korrelation und Orchestrierung von Identitäts- und Zugriffsrechtsdaten wird in Ihrem gesamten IT-Ökosystem verteilt, was zu Inkonsistenzen führt.
• Der Mangel an Echtzeitanalysen führt zu Entscheidungsfindung auf der Grundlage veralteter Identität und Zugriffsinformationen.

Um diese Herausforderungen zu meistern, implementieren Sie Lösungen basierend auf erweiterten Funktionen zur Identitäts-Governance und -Administration (IGA), die intelligente Echtzeitfähigkeiten (wie präskriptive Analysen) bieten, um Anomalien zu erkennen und Sicherheitsrisiken effektiv zu mindern.

Identity Governance und Administration

Gartner definiert IGA als Unternehmenslösung zur Verwaltung des digitalen Identitätslebenszyklus und zur Steuerung des Benutzerzugriffs über On-Premises- und Cloud-Umgebungen hinweg. Um dies zu erreichen, aggregieren und korrelieren IGA-Tools unterschiedliche Identitäts- und Zugriffsrechtsdaten, die in der gesamten IT-Landschaft verteilt sind, um die Kontrolle über den menschlichen und maschinellen Zugriff zu verbessern.

IGA ist eine Reihe von Richtlinien und Technologien, mit denen Sie digitale Identitäten und Zugriffsrechte verwalten können. Die IGA verfolgt einen breiten Ansatz bei der Verwaltung digitaler Identitäten und Zugriffsrechte. Das Ziel von IGA besteht darin, sicherzustellen, dass nur autorisierte Benutzer Zugriff auf die Ressourcen haben, die sie für ihre Aufgaben benötigen, die Compliance zu verbessern und Geschäftsprozesse zu optimieren. IGA-Lösungen umfassen in der Regel Features für Identity Lifecycle Management, Access Governance sowie Reporting und Analysen. Die folgenden Informationen beschreiben die IGA:

• Identitätslebenszyklusmanagement: Die Prozesse zum Erstellen, Verwalten und Zurückziehen von Benutzeridentitäten. Dazu gehören Aufgaben wie das Onboarding neuer Mitarbeiter, das Offboarding gekündigter Mitarbeiter und das Verwalten von Änderungen an Benutzerrollen und Berechtigungen.
• Access Governance: Die Praxis, sicherzustellen, dass Benutzer nur Zugriff auf die Ressourcen haben, die sie für ihre Aufgaben benötigen. Dazu gehören Aufgaben wie das Zuweisen von Berechtigungen, das Erzwingen der geringsten Berechtigungen und das Auditing von Zugriffsaktivitäten.
• Reporting und Analysen: Bietet Ihnen Einblicke in Ihre Identität und Ihre Zugriffsdaten. Diese Informationen können verwendet werden, um potenzielle Risiken zu identifizieren, die Compliance zu verbessern und bessere Entscheidungen über das Identitätsmanagement zu treffen.

IGA ist ein wichtiger Teil Ihrer gesamten Sicherheitslage. Die Implementierung von IGA-Lösungen bietet folgende Vorteile:

• Reduzierte Sicherheitsrisiken: Mit IGA können Sie Sicherheitsrisiken reduzieren, indem Sie sicherstellen, dass nur autorisierte Benutzer Zugriff auf sensible Daten haben. Dazu können Features wie geringste Berechtigungen, rollenbasierte Zugriffskontrolle, intelligente Einblicke und Aufgabentrennung implementiert werden.
• Verbesserte Compliance: IGA kann Ihnen helfen, die Einhaltung von Vorschriften wie Sarbanes-Oxley, 21 CFR Part 11, Gramm-Leach-Bliley, Health Insurance Portability and Accountability Act (HIPAA) und der Datenschutz-Grundverordnung (DSGVO) zu verbessern. Dazu können Features für die Verwaltung des Zugriffs auf sensible Daten, die Verfolgung von Benutzeraktivitäten und das Generieren von Berichten bereitgestellt werden.
• Vereinfachter Selfservice: Mit IGA können Sie Geschäftsprozesse optimieren, indem Sie Identitätsmanagementaufgaben wie Onboarding- und Offboarding-Benutzer automatisieren und Berechtigungen zuweisen. Dadurch können IT-Mitarbeiter sich auf andere Aufgaben konzentrieren und die Effizienz des Unternehmens verbessern.
• Kosteneinsparungen: IGA kann Ihnen durch effiziente, benutzerfreundliche Dashboards, codefreie Workflows und assistentenbasiertes Anwendungs-Onboarding helfen, Kosten zu sparen und Zeit zu sparen.

Der Zweck der IGA besteht darin, das komplexe Spektrum von Zugriffsrechten und Identitäts-Repositorys in Unternehmen sowohl On-Premises als auch in der Cloud zu verwalten. Es stellt einen angemessenen Zugriff auf Ressourcen in stark vernetzten IT-Umgebungen sicher.

Einige der wichtigsten Funktionen für eine vollständige IGA-Suite, um die Anforderungen eines typischen Unternehmens zu erfüllen, sind:

• Identity Lifecycle Management
• Anspruchsverwaltung
• Unterstützung für Zugriffsanforderungen
• Workflow-Orchestrierung
• Zugriffszertifizierung
• Bereitstellung über automatisierte Konnektoren
• Analysen und Berichte
• Policy- und Rollenmanagement
• Kennwortmanagement
• Aufgabentrennung

Einige dieser Funktionen sind für eine IGA-Lösung wichtiger als andere. In dieser Liste werden die in einer IGA-Lösung allgemein erwarteten Funktionen beschrieben.

Oracle Access Governance

Oracle Access Governance ist eine cloudnative Lösung, mit der Sie Zugriffs-Governance- und Complianceanforderungen für viele Anwendungen, Workloads, Infrastrukturen und Identitätsplattformen erfüllen können. Es erkennt kontinuierlich Identitäten, überwacht ihre Berechtigungen, lernt Nutzungsmuster und automatisiert Zugriffsprüfungs- und Compliance-Prozesse mit präskriptiven Empfehlungen, um einen besseren Einblick in den Zugriff über die gesamte Cloud- und On-Premises-Umgebung eines Unternehmens zu ermöglichen. Access Governance vereinfacht Zertifizierungskampagnen für Compliance und schlägt auf intelligente Weise Maßnahmen vor, um Risiken im gesamten Unternehmen zu reduzieren.

Access Governance bietet eine umfassende Governance-Lösung, die mit anderen Identitätslösungen in einem hybriden Bereitstellungsmodell ausgeführt wird. Unternehmen, die sich für ein Hybridmodell entscheiden, können von den erweiterten Funktionen profitieren, die von Cloud-nativen Services verfügbar sind, während sie Teile ihrer On-Premises-IAM-Suite für Compliance- oder Datenresidenzanforderungen beibehalten. Der Service ermöglicht Ad-hoc-, periodische und automatisierte ereignisbasierte Mikrozertifizierungen, wie z.B. eine Zugriffsprüfung, die durch einen Tätigkeitsschlüssel oder eine Manageränderung ausgelöst wird. Es kann nahezu in Echtzeit Zugriffsprüfungen durchführen und bietet detaillierte Empfehlungen sowie Optionen, mit denen Prüfer einen Anspruch basierend auf der identifizierten Risikostufe akzeptieren oder prüfen können.

Weitere Informationen zu den Details und zur Verwendung von Access Governance finden Sie unter:

• Access Governance – Datenblatt
• Access Governance-Dokumentation

Access Governance ist erforderlich, um den Zugriff auf mehrere Funktionen für Benutzer in einer Organisation zu verwalten. In einer komplexen Umgebung, in der ein Benutzer Zugriff auf mehrere Anwendungen hat, die in einer On-Premises-, Cloud- oder hybriden Umgebung ausgeführt werden, ist es wichtig, sicherzustellen, dass der Benutzer über den richtigen Zugriff verfügt, um seine Arbeit auszuführen, ohne ihm übermäßigen Zugriff zu gewähren, der missbraucht werden kann.

Unternehmen müssen einen Überblick darüber haben, wer Zugriff auf was hat, und verschiedene Verletzungen definieren können, um gefährliche Zugriffskombinationen zu verhindern. Mit Access Governance können Sie den Zugriff dokumentieren und Einblicke in die Zugriffsnutzung erhalten, um potenziellen Missbrauch zu erkennen und zu verhindern.

Oracle Access Governance bietet eine intelligente und intuitive Plattform, mit der Sie Identitäten erkennen, den Zugriff überwachen und Risiken sowohl in Multi-Cloud- als auch in On-Premise-Ressourcen mindern können, indem Sie KI und maschinelles Lernen nutzen. Es automatisiert Abhilfemaßnahmen und setzt die Einhaltung von Unternehmensrichtlinien durch, wodurch die Belastung der IT- und Sicherheitsteams reduziert wird.

Access Governance-Architektur

Das folgende Diagramm zeigt die allgemeine Funktionsarchitektur von Oracle Access Governance. Im Kern bietet es eine Reihe von funktionalen IGA-Funktionen, darunter Identitätsorchestrierung, Analysen und Einblicke, Kampagnen zur Zugriffs- und Richtlinienüberprüfung, Zugriffskontrolle, Audit und Compliance. Es bietet Connectors für die Integration mit einer Reihe von On-Premises-Systemen, Cloud-Services und Software-as-a-Service-(SaaS-)Anwendungen.

Unternehmen verfügen im Allgemeinen über mehrere Anwendungen, Oracle e-Business Employee Reconciliation (HRMS) und Identity Management-Systeme. Diese verschiedenen Systeme können in Access Governance einbezogen werden, was wiederum die Identitäten korreliert. Mit Access Governance können Sie ermitteln, wie sie den Zugriff erhalten, welchen Zugriff sie haben und wie sie ihn verwenden. Auf dieser Grundlage kann das Identitätsrisiko kontrolliert werden. In den Cloud-Services und On-Premise-Bereichen auf der rechten Seite des Diagramms gibt es mehrere Cloud-Services und On-Premise-Systeme mit Zugriff, die für diese Identitäten kontrolliert werden müssen.

Access Governance-Funktionen

Die wichtigsten Funktionsbereiche von Oracle Access Governance sind:

• Identitätsorchestrierung
• Zugriffskontrolle
• Governance und Compliance
• Identitätsinformationen

Das folgende Diagramm zeigt die wichtigsten Funktionen in jedem dieser Funktionsbereiche.

Identitätsorchestrierung

Die Identitätsorchestrierung integriert die verschiedenen Identitätssysteme eines Unternehmens über Clouds und On-Premises-Identitätssysteme hinweg. Es ermöglicht konsistente Identität und Zugriff auf Anwendungen, unabhängig davon, wo sie ausgeführt werden, und deren Identitätsprovider. Es ist eine wesentliche Funktion für komplexe Multi-Cloud- und Hybridumgebungen, in denen ein einzelner Benutzer mehrere Identitäten in unterschiedlichen Systemen haben kann.

Die wichtigsten Funktionen für die Identitätsorchestrierung sind:

• Verbundene Systeme
• Codeless-Integration
• Benutzerdefinierte Identitätsattribute
• Identitätsmarkierung

Verbundene Systeme

Oracle Access Governance kann mit Zielidentitätssystemen integriert werden, indem ein verbundenes System definiert wird. Mit einem verbundenen System können Sie Daten aus einem Remote-Zielidentitätssystem in Oracle Access Governance laden. Das verbundene System definiert Parameter wie Verbindungsdetails, die für den Zugriff auf Remoteidentitätsdaten erforderlich sind. Wenn keine direkte Verbindung zwischen Oracle Access Governance und dem Zielidentitätssystem möglich ist, kann ein Agent bereitgestellt werden, der als Brücke fungiert.

Ein verbundenes System ist die Footprint-Definition für ein Ziel-Identitätssystem, das mit Oracle Access Governance integriert werden kann und Daten für diese bereitstellt. Nach der Definition ermöglicht das verbundene System über eine direkte Verbindung oder einen Agent die Integration und Datensynchronisierung zwischen Zielidentitätssystemen und Oracle Access Governance.

Die Kernkomponente des Access Governance Cloud-Service ist die Access Governance-Instanz, die eine physische Trennung von Daten und Konfiguration für Access Governance ermöglicht. Im On-Premise-Bereich auf der linken Seite des Diagramms finden Sie ein Beispiel für On-Premise-vernetzte Systeme. Einige dieser Systeme können zuverlässige Quellen sein, die Identitätsinformationen verwalten. Einige können Zielsysteme sein, in denen Sie den Zugriff auf die Ressourcen verwalten möchten.

Codeless-Integration

Eines der wichtigsten Designprinzipien von Access Governance besteht darin, codeless und intuitive Integration in vernetzte Systeme zu ermöglichen. Die meisten On-Premises-Systeme verwenden eine Agent-basierte Architektur für die Integration mit Access Governance. Für jedes verbundene System, bei dem keine direkte Verbindung zwischen AG und dem Zielsystem verfügbar ist, wird bei der Konfiguration des angeschlossenen Systems ein Agent erzeugt. Der Agent muss heruntergeladen und ausgeführt werden, um das verbundene System in Access Governance zu integrieren. Der Agent ist in der Regel ein Containerimage, das als Microservice ausgeführt wird. Sie können eines oder mehrere dieser Systeme mit Access Governance verbinden.

Das vorherige Diagramm zeigt die Integration von Oracle Identity Governance (OIG) und Access Governance. OIG ist über einen OIG-Agent, der in derselben virtuellen Maschine (VM) ausgeführt werden kann, in der OIG ausgeführt wird, in Access Governance integriert, oder über eine Standalone-VM-Instanz mit einer kompatiblen Container Engine, die entweder Docker oder Podman ist.

Cloudbasierte vernetzte Systeme können auch maßgebliche Quellen oder Zielsysteme sein. Für viele der cloudbasierten vernetzten Systeme wird eine direkte Integration bereitgestellt. Beispiel: Sie können die Integration mit OCI IAM mit einem API-Schlüssel vornehmen. Das folgende Diagramm zeigt die Integration von Oracle OCI mit Access Governance.

Sie können eine Verbindung zwischen Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) und Oracle Access Governance herstellen, indem Sie Verbindungsdetails eingeben und Ihre Cloud-Serviceproviderumgebung konfigurieren. Verwenden Sie dazu die Option "Connected Systems" in der Oracle Access Governance-Konsole. Diese Integration erfolgt über einen API-Schlüssel. Ein API-Schlüssel wird für den AGCS-Benutzer erstellt und auf der Seite "Angeschlossene Systeme" konfiguriert. Nach der Verbindung können Policy-Prüfungen für die OCI-Policys ausgeführt werden.

Benutzerdefinierte Identitätsattribute

Oracle Access Governance ruft automatisch die in einem verbundenen System definierten Core- und benutzerdefinierten Attribute ab. Details von Attributen werden automatisch in Access Governance geladen, wenn Daten aus einem verbundenen System geladen werden. Wenn Sie nach dem erstmaligen Laden von Daten weitere benutzerdefinierte Attribute im Zielsystem erstellen, können Sie die benutzerdefinierten Attribute im Access Governance-Schema aktualisieren, sodass die neuesten benutzerdefinierten Attribute im nächsten Dataload enthalten sind.

Mit diesen Attributen können Sie in Oracle Access Governance verschiedene Funktionen ausführen, z.B. Zugriffsprüfungskampagnen ausführen, Identitäten für Identitäts-Collections auswählen, ereignisbasierte Zertifizierungen definieren oder Attributbedingungen anwenden, um das verfügbare Identitäts-Dataset zu aktivieren/deaktivieren.

Identitätsmarkierung

Mit der Identitätsmarkierungsfunktion können Administratoren Identitäten innerhalb des Service aktivieren oder deaktivieren und Identitäten als Personal- oder Verbraucherbenutzer kennzeichnen. Es ist wichtig, die Bedeutung dieser Terminologie in Access Governance zu verstehen.

• Aktive Identitäten: Identitäten, die im Oracle Access Governance-Service als aktiv gekennzeichnet sind und die Hauptfeatures wie Zugriffsprüfungen und Zugriffskontrolle ermöglichen.
• Inaktive Identitäten: Identitäten, die im Oracle Access Governance-Service als inaktiv gekennzeichnet sind und nicht von Active Governance gesteuert und nicht für die Abrechnung berücksichtigt werden.
• Mitarbeiter: Benutzer, die in der Regel Mitarbeiter sind, die Zugriff auf Access Governance benötigen und deren Identitäten aktiv verwaltet werden. Diese Nutzer können aktiv Review- oder Managementaktivitäten in der AG durchführen.
• Consumer-Benutzer: Benutzer, die keinen Zugriff auf den Access Governance-Service und ihre Zugriffsberechtigungen haben, müssen von anderen Benutzern zugewiesen oder verwaltet werden.

Einer der ersten Schritte bei der Konfiguration von Active Governance besteht darin, die Identitäten entsprechend als Mitarbeiter oder Verbraucher zu markieren und sie im Active Governance-System zu aktivieren.

Access Control

Die Zugriffskontrolle bietet eine zentrale Möglichkeit, den Zugriff auf Ressourcen zu verwalten. Es verwendet eine Vielzahl von Techniken, einschließlich rollenbasierter Zugriffskontrolle (Role-Based Access Control, RBAC), attributbasierter Zugriffskontrolle (Attribute-Based Access Control, ABAC) und richtlinienbasierter Zugriffskontrolle (Policy-based Access Control, PBAC), um sicherzustellen, dass Benutzer nur Zugriff auf die Ressourcen haben, die sie für ihre Aufgaben benötigen. Unternehmen nutzen die Zugriffskontrolle, um die Sicherheitslage zu verbessern. Die Zugriffskontrolle umfasst:

• Zugriffsanforderungen
• Genehmigungsworkflows
• Identitäts-Collections
• Zugriffs-Bundles
• Rollen (RBAC)
• Richtlinien (PBAC)

Zugriffsanforderungen

Als Oracle Access Governance-Benutzer können Sie Zugriff auf Ressourcen und Rollen anfordern. Anfragen können für sich selbst oder für andere gestellt werden. Dieser Prozess erstellt eine Zugriffsanforderung, die ohne weitere Aktion erteilt wurde oder einem Genehmigungsworkflow unterliegt.

• Der Prozess verwendet einen Selfservice-Ansatz mit einem vereinfachten Zugriffskatalog.
• Access Governance bietet eine modernisierte Benutzererfahrung, um Zugriffsanforderungen und Genehmigungen zu erstellen und zu verfolgen.
• Der Genehmigungsworkflow kann an die Anforderungen der Organisation angepasst werden.
• Access Governance verbessert die Produktivität, indem das Fulfillment für genehmigte Zugriffsberechtigungen automatisiert wird.

Genehmigungsworkflows

Jede Berechtigung oder Rolle, die einem Benutzer zugewiesen werden muss, muss über einen Genehmigungsworkflow verarbeitet werden. Als Ressourcenadministrator müssen Sie den Workflow entwerfen, indem Sie die erforderliche Genehmigungsebene und die Anzahl der Genehmiger angeben. Mit diesen Workflows können Sie Genehmigungen abrufen, bevor Sie Benutzerberechtigungen zuweisen oder entziehen.

Beispiel: Wenn ein Benutzer über Access Governance Zugriff auf ein Zugriffs-Bundle anfordert, löst der diesem Zugriff oder dieser Berechtigung zugeordnete Genehmigungsworkflow eine Benachrichtigung per E-Mail an die Genehmiger aus, die dann die Anforderung prüfen und genehmigen, ablehnen oder weitere Informationen anfordern können. Das Ergebnis des Genehmigungsprozesses wird im Berechtigungsverwaltungssystem aktualisiert.

Out-of-the-box-Workflows mit Oracle Access Governance umfassen die folgenden Features:

• Prüfer werden über zugewiesene und ausstehende Zugriffsprüfungen benachrichtigt.
• Oracle Access Governance unterstützt Workflows für die Zugriffsprüfung mit einer, zwei und drei Ebenen.
• Zugriffsüberprüfungen können akzeptiert oder widerrufen werden.

Workflows in Oracle Access Governance ermöglichen Folgendes:

• Vollständig konfigurierbare Workflow-Erstellung ohne Codierung.
• Workflows, die mehrstufige Genehmigungen unterstützen, in denen die Genehmiger konfiguriert werden können.
• Möglichkeit zur Konfiguration, ob die Anforderung von allen oder einem Genehmiger genehmigt werden muss
• Vorschläge für intelligenten Workflow basierend auf ausgewählten Kriterien
• Unterstützung für Eskalationsgenehmiger in Fällen, in denen die Genehmiger keine Maßnahmen ergriffen haben.

Identitäts-Collections

Attributbasierte Zugriffskontrolle (ABAC) ist eine Methode zur Kontrolle des Zugriffs auf Ressourcen basierend auf den Attributen des Benutzers und der Ressource. Attribute können die Funktion, Abteilung, den Standort und die Tageszeit des Benutzers umfassen. Access Governance verwendet Identitäts-Collections für ABAC.

Identity Collections sind Gruppen von Identitäten, die auf gemeinsamen Attributen oder benannten Identitäten basieren. Diese Identitäten werden über vernetzte Systeme mit Identitätsorchestrierung integriert.

Identity Collections vereinfachen Aufgaben, indem Sie Features für eine Collection von Identitäten anstatt für jede Identity konfigurieren können. Mit Identitäts-Collections können Sie:

• Ordnen Sie Identitäten mithilfe von Policys geeigneten Zugriffs-Bundles oder Rollen zu.
• Zugriffsprüfungsaufgaben an eine Identitäts-Collection delegieren
• In Genehmigungsworkflows als Genehmiger zuweisen.

Zugriffs-Bundles

Unternehmen verfügen über mehrere Anwendungen und Services, auf die der Zugriff gesteuert werden muss. Jede dieser Anwendungen kann mehrere Berechtigungen definieren, die basierend auf der Rolle des Benutzers erteilt werden müssen. Manchmal sind diese Berechtigungen grobkörnig und manchmal sind sie feinkörnig. Diese Berechtigungen können Benutzern zwar einzeln erteilt werden, sie können jedoch komplex und fehleranfällig sein. In der Regel benötigen die Benutzer je nach Anwendungsfall eine Reihe von Berechtigungen, um ihre Aufgaben auszuführen. Die Erteilung nur eines Teils dieser Berechtigungen würde Probleme und Verzögerungen bei der Erfüllung ihrer Aufgaben verursachen.

Access Bundles basieren auf einer Gruppe von Berechtigungen, die immer gruppiert sind, um die Verantwortlichkeiten des Benutzers auszuführen.

Ein Zugriffs-Bundle ist eine Sammlung von Berechtigungen, die den Zugriff auf Ressourcen, Anwendungsfeatures und Funktionen in einer anforderbaren Einheit verpacken. Ein bestimmtes Zugriffs-Bundle ist mit einem einzelnen Ziel verknüpft. Benutzer einer bestimmten Ressource müssen nicht jede Berechtigung anfordern, die mit dieser Ressource verknüpft ist. Stattdessen fordern sie das Zugriffs-Bundle für diese Ressource an. Dadurch wird das Anfordern von Ressourcenberechtigungen vereinfacht.

Beispiel: Sie können ein Zugriffs-Bundle für Entwickler mit der Zielanwendung Oracle Integration erstellen. Sie können dieses Bundle den Integrationsentwicklerzugriff aufrufen und Berechtigungen auswählen, die für die Verwendung der Anwendung durch einen Integrationsentwickler erforderlich sind, lesen, bearbeiten und erstellen. Wenn ein Entwickler in Ihrer Organisation Entwicklerzugriff auf die Oracle Integration-Anwendung anfordern muss, muss er nur das Bundle anfordern, nicht die einzelnen Berechtigungen. Access Bundles werden von Anwendungseigentümern verwaltet und können über den Zugriffskatalog angefordert werden.

Nachdem Sie das Zugriffs-Bundle definiert haben, kann es Rollen zugewiesen oder in Policys verwendet werden, um die Gruppe von Berechtigungen zu erteilen. Rollen und Policys werden in der Regel von Administratoren verwaltet, wodurch Aufgaben getrennt werden können.

Rollen

Die rollenbasierte Zugriffskontrolle (Role-based Access Control, RBAC) ist eine Methode zur Kontrolle des Zugriffs auf Ressourcen basierend auf den Rollen, die Benutzer haben. Rollen werden Benutzern basierend auf ihrer Funktion, Abteilung oder anderen Kriterien zugewiesen.

In Access Governance ist eine Rolle eine Gruppe von Zugriffs-Bundles für eine oder mehrere Anwendungen und Services. Die in einer Rolle enthaltenen Zugriffs-Bundles können mehrere Ziele umfassen. Ein Beispiel könnte eine Rolle des Datenbankadministrators sein, der den DB-Administrator für Oracle gruppiert. DB-Administrator für DB2 und DB-Administrator für MySQL-Zugriffs-Bundles. Auf diese Weise können Sie Rollen erstellen, in denen die relevanten Zugriffs-Bundles für die Ausführung dieser Rolle kombiniert werden. Diese Rollen können dann über Policys mit Identitäten verknüpft werden. Eine Rolle bietet standardmäßig keinen Zugriff auf eine Ressource. Der Zugriff auf eine Identität wird erteilt, wenn eine Rolle über eine Policy oder Selfserviceanforderung dieser Identität zugewiesen wird. Rollen werden von Rollenadministratoren verwaltet und können über den Zugriffskatalog angefordert werden.

Policys

Policy-basierte Zugriffskontrolle (PBAC) ist eine Methode zur Kontrolle des Zugriffs auf Ressourcen basierend auf Policys. Policys sind Regeln, die definieren, wer unter welchen Bedingungen auf welche Ressourcen zugreifen kann.

Policys verknüpfen Ressourcen und Berechtigungen über Rollen und Zugriffs-Bundles mit Identitäten. Das folgende Diagramm zeigt, wie Sie Policys im Access Governance-Service verwalten können.

Identity Collections sind eine Gruppe von Benutzeridentitäten, die auf der Basis von Attributen definiert werden. Die Benutzer benötigen Zugriff auf die Anwendungen und Services, und die Berechtigungen werden in Zugriffs-Bundles eingefügt. Rollen können Zugriffs-Bundles basierend auf Anwendungsfällen gruppieren. Policys verknüpfen die Identitäts-Collections mit Rollen oder Zugriffs-Bundles. PBAC ermöglicht Geburtsrecht- und Just-in-Time-Zugriff und bietet eine Möglichkeit zur Zentralisierung des Richtlinienmanagements und der Zugriffsprüfungen, die von internen Auditoren und Complianceadministratoren verwaltet werden können.

Governance und Compliance

Access Governance hilft, Governance und Compliance sicherzustellen, indem es eine zentralisierte Ansicht aller Identitäts- und Zugriffsdaten bereitstellt, zusätzlich zu Tools für die Verwaltung von Zugriffs-Policys, die Durchführung von Risikobewertungen und die Auditing-Compliance.

Governance und Compliance sind eng verwandte Konzepte, die für ein Unternehmen wichtig sind, um seine Daten und Assets zu schützen.

• Governance bezieht sich auf die Gruppe von Richtlinien, Prozessen und Verfahren, die eine Organisation zur Verwaltung ihrer IT-Umgebung verwendet. Es konzentriert sich darauf, sicherzustellen, dass die IT-Systeme des Unternehmens an den Geschäftszielen und -zielen ausgerichtet sind.
• Compliance bezieht sich auf den Akt der folgenden Regeln, Gesetze und Vorschriften. Es konzentriert sich darauf, sicherzustellen, dass die IT-Systeme der Organisation den relevanten Vorschriften entsprechen.

Governance und Compliance sind verwandte Konzepte. Eine gute Governance ist für die Sicherstellung der Compliance unerlässlich, und die Einhaltung ist für die Aufrechterhaltung einer guten Governance von wesentlicher Bedeutung. Die wichtigsten Funktionen sind:

• Kampagnen
• Zugriffsprüfungen
• Richtlinienüberprüfungen
• Ereignisbasierte Überprüfungen
• Stellvertretung

Kampagnen

Eine Zugriffsprüfungskampagne ist ein systematischer Prozess zum Prüfen und Aktualisieren des Benutzerzugriffs auf Ressourcen. Zugriffsprüfungskampagnen werden in der Regel regelmäßig durchgeführt, z.B. jährlich oder vierteljährlich, um sicherzustellen, dass Benutzer nur auf die Ressourcen zugreifen können, die sie für ihre Arbeit benötigen.

Zugriffsprüfungskampagnen umfassen in der Regel die folgenden Schritte:

• Erstellen Sie die Kampagne.
• Definieren Sie den Umfang für die Kampagne, indem Sie auswählen, was in der Prüfung enthalten ist.
• Konfigurieren Sie den Genehmigungsworkflow.
• Planen Sie die Kampagne als einmalige oder periodische Kampagne, sodass diese Kampagnen nicht manuell verfolgt werden müssen.
• Führen Sie die Kampagne aus.

Die Kampagne ist abgeschlossen, nachdem alle Prüfungsaufgaben abgeschlossen sind.

Zugriffsprüfungskampagnen sind ein wichtiger Teil Ihrer Sicherheitslage. Durch regelmäßige Überprüfung des Benutzerzugriffs können Sie das Risiko eines unbefugten Zugriffs auf sensible Daten und Systeme verringern.

Mit Zugriffsprüfungskampagnen aus Oracle Access Governance werden Zugriffsrechte geprüft. Access Governance unterstützt die folgenden Arten von Zugriffsprüfungskampagnen:

• Kampagnen zur Benutzerzugriffsprüfung: Erfasst eine Gruppe von Zugriffsprüfungen für Mitglieder Ihres Unternehmens, bei denen der individuelle Zugriff auf eine bestimmte Quelle geprüft und entweder bestätigt oder korrigiert wird.
• Policy-Prüfungen für Kampagnen: Umfasst eine Gruppe von Policy-Prüfungen, die Zugriffskontrolle von Identity and Access Management-(IAM-)Policys auswertet.
• Ereignisbasierte Zugriffsprüfungen: Zugriffsprüfungen, die automatisch von Oracle Access Governance initiiert werden, wenn ein oder mehrere vordefinierte Ereignistypen auftreten.
• Kampagnen zur Identitätserfassungsprüfung: Einmalige oder regelmäßige Zugriffsprüfungskampagnen zur Prüfung von Identitätserfassungen, die in Access Governance definiert oder von OCI abgeleitet sind.

Zugriffsprüfungen

Bei einer Zugriffsprüfung werden der Zugriff und die Berechtigungen für eine Entity (in der Regel ein Endbenutzer) geprüft. Außerdem wird bestätigt, ob der Zugriff und die Berechtigungen, die dieser Entity zugewiesen sind, noch gültig sind.

Ein Kampagnenadministrator kann in der Oracle Access Governance-Konsole einmalige oder regelmäßige Zugriffsprüfungskampagnen erstellen. Sie können Auswahlkriterien basierend auf Benutzern, Anwendungen, Berechtigungen und Rollen definieren. Sie können auch den Genehmigungsworkflow definieren, um die Anzahl der Beurteilungsebenen, die Beurteilungsdauer und die Prüferdetails auszuwählen.

Das vorherige Diagramm zeigt die Auswahlkriterien für die Zugriffsprüfungen. Die folgenden Informationen beschreiben die Kriterien:

• Zugriffsberechtigter: Kriterien zum Filtern von Benutzern basierend auf Standardattributen (Organisation, Tätigkeit, Standort) oder benutzerdefinierten Attributen.
• Zugriffsmöglichkeiten: Kriterien zum Filtern von Benutzern nach Ressourcen, auf die sie Zugriff haben.
• Welche Berechtigungen: Kriterien zum Filtern von Benutzern basierend auf einzelnen Berechtigungen, wie Erstellen, Aktualisieren, Beenden, Genehmigen oder Zugriffsbundles.
• Welche Identitäts-Collections: Ermöglicht die Überprüfung der Identitäts-Collection.

Richtlinienprüfungen

Ein Kampagnenadministrator kann On-Demand-Policy-Prüfungen für OCI erstellen, indem er die Auswahlkriterien basierend auf den Policys definiert, die Benutzern zugeordnet sind. Der Genehmigungsworkflow kann durch Auswahl der Anzahl der Beurteilungsebenen, der Prüfungsdauer und der Prüferdetails erstellt werden.

Das vorherige Diagramm zeigt die Auswahlkriterien für die Policy-Prüfungen. Die folgenden Informationen beschreiben die Kriterien:

• Zugriffsberechtigter: Kriterien zum Filtern von Benutzern basierend auf Standardattributen (Organisation, Tätigkeit, Standort) oder benutzerdefinierten Attributen.
• Zugriffsmöglichkeiten: Kriterien zum Filtern von Benutzern nach Ressourcen, auf die sie Zugriff haben.
• Welche Mandanten: Kriterien zum Filtern von Benutzern basierend auf den Mandanten, die in den Geltungsbereich aufgenommen werden sollen.
• Welche Policys: Wählen Sie die Policys aus, für die die Prüfung durchgeführt wird.
• Welche Rollen: Wählen Sie Rollen aus, für die Policy-Prüfungen durchgeführt werden.

Ereignisbasierte Prüfungen

Bei ereignisbasierten Zugriffsprüfungen handelt es sich um Zugriffsprüfungen, die automatisch von Oracle Access Governance initiiert werden, wenn ein oder mehrere vordefinierte Ereignistypen auftreten. Das folgende Diagramm zeigt, wie ereignisbasierte Zugriffsprüfungen funktionieren.

Wenn Ereignisse wie Tätigkeitsschlüsseländerung, Standortänderung usw. eintreten, werden die ereignisbasierten Zugriffsprüfungen initiiert. Prüfer können diese verwenden, um die betroffenen Benutzer- oder Anwendungsrollen, Berechtigungen oder Berechtigungen zu prüfen, zu zertifizieren oder zu beheben. Ereignisbasierte Zugriffsprüfungen können für die Kernattribute (z.B. Tätigkeitsschlüssel, Organisation, Standort usw.) zusätzlich zu benutzerdefinierten Attributen (z.B. Kostenstelle, Projektcode usw.) aktiviert werden.

Sie können den Workflow für die Beurteilung anhand der Anzahl der Beurteilungsebenen und der Dauer sowie der Person definieren, die diese Beurteilung durchführt. Mehrere Ereignisse treten auf, wenn Oracle Access Governance Änderungen für mehrere Ereignisse empfängt, die mit einer einzelnen Identität verknüpft sind. Ein gemeinsamer Workflow wird angewendet, wenn mehrere Ereignisse identifiziert werden. Informationen zu ereignisbasierten Zugriffsprüfungen können analysiert werden, indem mit der Ereignisbasierten Berichtsfunktion von Oracle Access Governance Berichte generiert werden.

Stellvertretung

Sie können Genehmigungen oder Zugriffsprüfungen aus folgenden Gründen an andere delegieren:

• Nichtverfügbarkeit aufgrund von Urlaub, Krankheit oder Arbeit an anderen Aufgaben
• Die qualifizierteste Person trifft Entscheidungen
• Entwicklung der Fähigkeit einer Person, zusätzliche Aufgaben zu erledigen

Das folgende Diagramm zeigt das Konzept der Vertretung.

In Oracle Access Governance können Sie Voreinstellungen einrichten und verwalten. Benutzer können Aufgaben und Aktivitäten mit der Oracle Access Governance-Konsole delegieren. Mit der Einstellung Meine Voreinstellungen können Sie Aufgaben und Aktivitäten einem anderen Benutzer oder einer Identitäts-Collection zuweisen. Sie können festlegen, wann dieser Vertretungsprozess gestartet werden soll, und außerdem die Dauer der Vertretung angeben.

In Oracle Access Governance können Sie delegieren, wer Zugriffsprüfungen durchführt und wer in Ihrem Namen Genehmigungen durchführt. Eine Aufgabe kann an eine Einzelperson oder eine Identitäts-Collection delegiert werden. Die Identitäts-Collection kann ein oder mehrere Mitglieder enthalten. Die Dauer für die Delegierung kann auf einen Zeitraum oder unbegrenzt festgelegt werden.

Identitätsinformationen

Identity Intelligence bietet Unternehmen Sicherheits- und Risikoeinblicke, indem sie Daten aus einer Vielzahl von Quellen sammeln und dann maschinelles Lernen und KI verwenden, um die Daten zu analysieren und Muster und Trends zu identifizieren. Oracle Access Governance analysiert jede Identität und ihre Berechtigungen, erstellt Insights für potenzielle Zuweisungen mit hohem Risiko und Sicherheitsverletzungen und empfiehlt Korrekturen. So können Zugriffsprüfer schnell Korrekturentscheidungen treffen. Dieses Feature ermöglicht Folgendes:

• Aufnahme und Analyse von Identitätsdaten und Zugriffsberechtigungen
• Erkennung kontextbezogener Insights und Identifizierung von Schwachpunkten bei der Sicherheit
• Schnelle Korrekturentscheidungen der Zugriffsprüfer durch Korrekturempfehlungen

Die wichtigsten Funktionen sind:

• Präskriptive Analysen mithilfe von KI und maschinellem Lernen
• Identitäts-Insights
• Korrektur
• Korrelation

Präskriptive Analysen mit KI, maschinellem Lernen und Identitätseinblicken

Prescriptive Analytics ist eine Art von Datenanalyse, die über die Beschreibung oder Vorhersage dessen hinausgeht, was passiert ist oder was passieren könnte. Es geht um den nächsten Schritt, um die beste Vorgehensweise für eine bestimmte Situation vorzuschlagen.

Prescriptive Analytics verwendet eine Vielzahl von Techniken, einschließlich maschinellem Lernen, Optimierung und Simulation, um Daten zu analysieren und die bestmögliche Vorgehensweise zu identifizieren. Dies kann verwendet werden, um die Entscheidungsfindung in einer Vielzahl von Bereichen wie Unternehmen, Gesundheitswesen und Regierung zu verbessern.

Oracle Access Governance nutzt KI- und auf maschinellem Lernen basierende präskriptive Analysen, um intelligente Einblicke und Risikomanagement bereitzustellen. Tiefgreifende Analysen und Empfehlungen mit hoher Genauigkeit erleichtern es Prüfern, den Zugriff zu genehmigen oder zu verweigern.

Identitäts-Insights

Oracle Access Governance nutzt KI und maschinelles Lernen, um datenbasierte Zugriffsprüfungen, Identitätsanalysen und Intelligence-Funktionen für Unternehmen bereitzustellen.

Oracle Access Governance verwendet KI und maschinelles Lernen auf folgende Weise:

• Peergruppenanalyse: Oracle Access Governance verwendet KI, um Peergruppen von Benutzern mit ähnlichen Zugriffsberechtigungen zu identifizieren. Diese Informationen können verwendet werden, um Benutzer zu identifizieren, die möglicherweise über übermäßige Zugriffsberechtigungen verfügen.
• Ausreißererkennung: Oracle Access Governance verwendet maschinelles Lernen, um Benutzer zu identifizieren, die Zugriffsmuster haben, die sich von der Norm unterscheiden. Diese Informationen können verwendet werden, um Benutzer zu identifizieren, bei denen das Risiko besteht, ihre Zugriffsberechtigungen zu missbrauchen.
• Empfehlungen: Oracle Access Governance verwendet KI, um Empfehlungen für Zugriffsprüfungen und Korrekturmaßnahmen zu generieren. Diese Informationen können Ihnen helfen, die Sicherheit ihrer Daten zu verbessern.
• Automatisierte Workflows: Oracle Access Governance verwendet maschinelles Lernen, um Aufgaben wie Zugriffsprüfungen und Korrekturmaßnahmen zu automatisieren. Dies kann Ihnen helfen, die Effizienz ihrer Zugriffsverwaltungsprozesse zu verbessern.

Access Governance ruft mit Intelligenz im Kern Identitäten ab und bezieht die Richtlinien aus verschiedenen Systemen, was es zu einem System macht, das Anwendungen und andere Identitätssysteme verwalten kann. Mit erfassten Identitäten und Berechtigungen zeigt Access Governance an, wer Zugriff auf was hat. Mit Policys kann es auch die Informationen darüber anzeigen, wie die Identitäten Zugriff auf Berechtigungen erhalten haben. Mit den Informationen zur Nutzung aus Anwendungen kann es auch Einblicke in die Vorgänge beim Provisioning-Zugriff geben. Dadurch können Sie Risiken und Kosten reduzieren, indem Sie den Zugriff auf die richtigen Personen, Bots und Services optimieren.

Access Governance verwendet verschiedene Techniken, um einen Einblick in Zugriffsberechtigungen zu ermöglichen:

• Mit Oracle Access Governance können regelmäßige oder ereignisgesteuerte Zugriffsprüfungen durchgeführt werden. Auf diese Weise können Unternehmen sicherstellen, dass Benutzer nur den Zugriff haben, den sie zur Ausführung ihrer Aufgaben benötigen.
• Mit Oracle Access Governance können Identitätsdaten analysiert werden, um potenzielle Risiken zu identifizieren, wie Benutzer mit übermäßigen Zugriffsberechtigungen oder Benutzer, die das Unternehmen verlassen, aber weiterhin Zugriff auf sensible Daten haben.
• Mit Oracle Access Governance können Berichte und Dashboards generiert werden, die Einblicke in Zugriffsberechtigungen ermöglichen. Diese Informationen können verwendet werden, um die Sicherheit der Unternehmensdaten zu verbessern.

Mit drei Dashboards erhalten Sie weitere Informationen darüber, wer Zugriff auf was hat, wie im folgenden Diagramm dargestellt.

Die Dashboards sind:

• Mein Zugriff
  • Benutzer können Details für die Anwendung, Cloud-Ressourcen, Berechtigungen und Rollen anzeigen, die ihnen selbst zugewiesen sind.
• Zugriff direkt unterstellter Mitarbeiter:
  • Manager können Details zu den Anwendungen, Cloud-Ressourcen, Berechtigungen und Rollen anzeigen, die ihren direkt unterstellten Mitarbeitern zugewiesen sind.
  • Diese Funktion ist basierend auf Ihrem verbundenen System verfügbar und nicht für alle unterstützten verbundenen Systeme verfügbar.
• Unternehmensweiter Zugriff
  • Benutzer mit einer Administratorrolle erhalten über die Oracle Access Governance-Konsole eine 360-Grad-Ansicht aller Ressourcen und zugewiesene Berechtigungen für diese Ressourcen.
  • Auf der Seite "Unternehmensweiter Zugriff" können Sie eine Liste der Ressourcen und Ressourcentypen der gesamten Organisation über verschiedene Systeme hinweg anzeigen, die mit Oracle Access Governance verbunden sind, und abrufen, welche Identitäten dieser Ressource derzeit zugewiesen sind, auf welcher Berechtigungsebene und wie diese Berechtigungen zugewiesen oder erteilt werden.

Korrektur

Sicherheitsbehebung ist der Prozess zur Identifizierung und Behebung von Sicherheitslücken. Es ist ein wichtiger Teil der Sicherheitslage eines Unternehmens, da es dazu beiträgt, Risiken zu reduzieren und die Compliance zu verbessern. Access Governance bietet die folgenden Korrekturfunktionen:

• Empfehlungen: Basierend auf Analysen für maschinelles Lernen hilft Access Governance dabei, die geeignete Aktion zu identifizieren und zu empfehlen. Die Korrekturaktion kann wie von Access Governance empfohlen akzeptiert oder widerrufen werden.
• Anpassbare Begründung: Wenn ein Prüfer die Korrektur bearbeitet, kann er eine Begründung angeben. Diese Option kann in Access Governance basierend auf dem Empfehlungstyp konfiguriert werden.
• Automatische Korrektur bei Kampagnenabschluss: Wenn die Kampagne endet, kann Access Governance automatisch eine Korrektur in der Access Governance-Konsole durchführen.

Identitätskorrelation

Identitäten aus verschiedenen Systemen werden in Access Governance automatisch korreliert. Korrelation ist eine Funktion, die Grundlage für eine 360-Grad-Ansicht der Benutzer ist.

Access Governance führt die folgenden Korrelationsaktivitäten aus:

• Korrelieren Sie die Identitäten basierend auf E-Mail-ID und/oder Benutzernamen.
• Kombinieren Sie die Intelligenz basierend auf der einheitlichen Identität und liefern Sie auf dieser basierende Erkenntnisse.
• Erkennen Sie nicht übereinstimmende Identitäten für Zielsysteme, und stellen Sie einen Bericht zur Fehlerbehebung bereit.

Best Practices für Access Governance

• Erstellen Sie mit dem Identitätsdomainadministrator eine Access Governance-Instanz in ihrer eigenen Identitätsdomain und ihrem eigenen Compartment. Auf diese Weise kann Access Governance von den übrigen Anwendungen isoliert werden und bietet die Flexibilität, Access Governance-Benutzer in einer bestimmten OCI-Identitätsdomain hinzuzufügen oder zu entfernen.
• Erstellen Sie einen Benutzer für die Administration der Access Governance-Instanz, weisen Sie die Rolle des Access Governance-Administrators zu, und lassen Sie den Benutzer alle administrationsbezogenen Aufgaben für Access Governance ausführen. Verwenden Sie den Mandantenadministrator nicht für diese Aufgaben.
• Erstellen Sie zu Entwicklungs- oder Testzwecken separate Access Governance-Serviceinstanzen, um Daten zu isolieren. Jede Serviceinstanz ist unabhängig und verwaltet ihre eigenen Konfigurations- und Snapshot-Daten.
• Machen Sie sich mit den verschiedenen Access Governance-Rollen und separaten Aufgaben basierend auf Rollen vertraut. Stellen Sie sicher, dass die LOB-Benutzer die erforderlichen Funktionen ohne IT-Intervention ausführen können.
• Identifizieren Sie die Rollen und Zuständigkeiten der Benutzer, und konfigurieren Sie sie entsprechend als Workforce-Benutzer oder Consumer-Benutzer.
• Definieren und verwenden Sie eine konsistente Benennungskonvention für alle Access Governance-Ressourcen, einschließlich Instanzname, Ressourcennamen für die Zugriffskontrolle, Kampagnennamen und verbundene Systeme. Beispiele:
  1. si_presidents_office_qa
  2. campaign_ocitenancy_policy_review_oct23
  3. target_ops_database_dbum
• Steuern Sie Ihre OCI-Identitäten von Anfang an mit Access Governance, indem Sie sie in OCI IAM integrieren.