Ereignisbasierte Zugriffsprüfungen mit Oracle Access Governance implementieren
Einführung
Oracle Access Governance befasst sich mit den wachsenden Herausforderungen, denen sich Sicherheitsverantwortliche bei der Zunahme fortschrittlicher Sicherheitsbedrohungen und -vorschriften stellen müssen. Mit dieser cloud-nativen Lösung können Sie Governance- und Complianceanforderungen für viele Anwendungen, Workloads, Infrastrukturen und Identitätsplattformen erfüllen.
Ereignisbasierte Zugriffsprüfungen sind die von Oracle Access Governance durchgeführten, wenn ein oder mehrere vordefinierte Ereignistypen auftreten. Jedes Mal, wenn Ereignisse wie Tätigkeitsschlüsseländerung, Standortänderung usw. auftreten, unterstützt die ereignisbasierte Zugriffsprüfungsfunktion Prüfer bei der Prüfung, Zertifizierung oder Korrektur der betroffenen Benutzer- oder Anwendungsrollen, Berechtigungen oder Berechtigungen.
Weitere Informationen zu Oracle Access Governance finden Sie unter:
- Oracle Access Governance - Produktseite
- Servicedokumentation zu Access Governance
- Access Governance - Produktdokumentation
- Access Governance-APIs
- Oracle Access Governance - Häufig gestellte Fragen
Ziele
In diesem Tutorial werden:
- Ereignisbasierte Zugriffsprüfungen aktivieren und konfigurieren
- Prüfen Sie die Zugriffsprüfungsaufgaben, die vom ereignisbasierten Setup ausgelöst wurden
- Verwalten und überwachen Sie ereignisbasierte Zugriffsprüfungen
- Verstehen mehrerer ereignisbasierter Zugriffsprüfungen
Zielgruppe
Dieses Tutorial ist speziell für Access Governance-Administratoren konzipiert, damit sie ereignisbasierte Zugriffsprüfungskampagnen und Prüfer konfigurieren können, damit sie fundierte Entscheidungen zu solchen ereignisbasierten Zugriffsprüfungen treffen können.
Voraussetzungen
Sie benötigen:
- Oracle Access Governance-Serviceinstanz mit AG-Administratorrechten. Weitere Informationen finden Sie unter Anwendungsrollen.
- Zugriff auf Oracle Identity Governance-(OIG-)Instanz mit Benutzeradministratorrechten. Dadurch erhalten Sie automatisch Zugriff auf das Identity Self Service-Portal, das Teil der OIG-Produktsuite ist.
- Folgende Tutorials wurden abgeschlossen:
- Lesen und lernen Sie die folgenden Themen kennen:
Tutorial-Szenario
Acme Corporation verwendet OIG und Access Governance als Identity Management- und Governance-Lösung.
E-Mail, ein Mitarbeiter der Firma Acme, ist in ein anderes Team oder Projekt innerhalb derselben Organisation "Qualitätssicherung" umgezogen. Zuvor berichtete sie an die Leiterin der Qualitätssicherung, Jerry Polen, aber jetzt wird sie Betty Cook melden. Daher muss die Personalabteilung die entsprechenden Änderungen des Berichtsmanagers in HCM aktualisieren. In einem Identitätsansichtspunkt erfordert E-Mail keine Zugriffsberechtigungen mehr, die für die direkt unterstellten Mitarbeiter von Jerry erforderlich sind. Jetzt sind jedoch neue Zugriffsberechtigungen erforderlich, die vom Team von Betty verwendet werden. Mal sehen, wie ereignisbasierte Zugriffsprüfungen bei Auftreten solcher Ereignistypen aufgerufen werden und den Prüfern dabei helfen, fundierte Entscheidungen zu treffen.
Aktoren
An diesem Tutorial sind die folgenden Akteure beteiligt:
- Betty Cook als Access Governance-Administrator und Benutzermanager, um ereignisbasierte Zugriffsprüfungen zu konfigurieren, ereignisbasierte Aufgaben zu untersuchen und Zugriffsprüfungen durchzuführen.
- John Edward als OIG-Benutzeradministrator, der die Benutzerattribute im Identity Self Service-Portal aktualisiert.
Hinweis: Dies ist eine Modellzuordnung, die ausschließlich zu Schulungszwecken verwendet wird. In diesem Tutorial verwendete Akteure sind fiktiv und stellen keine echte Identität dar. Wir verwenden Mock-Datasets, um das Thema in der Diskussion zu erläutern.
Szenarioworkflow:
- In diesem Tutorial melden Sie sich zuerst als Betty Cook bei der Oracle Access Governance-Konsole an.
- Zugriffsrechte Ihrer direkt unterstellten Mitarbeiter anzeigen
- Konfigurieren Sie dann ereignisbasierte Zugriffsprüfungen.
- Melden Sie sich anschließend als Benutzeradministrator, John, beim Identity-Selfservice-Portal an, und nehmen Sie die gewünschten Änderungen an Benutzerattributen vor.
- Melden Sie sich erneut als Betty bei der Oracle Access Governance-Konsole an, um den inkrementellen Dataload bei Bedarf aus OIG auszuführen.
- Schließlich können Sie die Aufgaben der Zugriffsprüfung untersuchen, die durch das ereignisbasierte Setup ausgelöst wurden.
Aufgabe 1: Bei Oracle Access Governance-Konsole als Benutzer anmelden
- Navigieren Sie in Ihrem Browser zur Oracle Access Governance-Konsole.
- Geben Sie im Feld Username (Benutzername) den Benutzernamen ein.
- Geben Sie im Feld Kennwort das Kennwort ein, und wählen Sie Anmelden aus.
Sie werden zur Homepage der Oracle Access Governance-Konsole navigiert.
Aufgabe 2: Zugriffsrechte der direkt unterstellten Mitarbeiter anzeigen, die an einen Benutzermanager berichten
- Wählen Sie im Navigationsmenü Wer Zugriff auf was hat -> Zugriff meiner direkt unterstellten Mitarbeiter.
- Weitere Informationen finden Sie unter Anwendungen, Rollen und Berechtigungen, die Ihren direkt unterstellten Mitarbeitern zugewiesen sind.
In diesem Tutorial verfügen die direkt unterstellten Mitarbeiter von Betty über schreibgeschützte Zugriffsberechtigungen für die Anwendung Figma.
Beschreibung der Abbildung DirectReports.png
Aufgabe 3: Ereignisbasierte Zugriffsprüfungen aktivieren und konfigurieren
Sie haben die Zugriffsrechte Ihrer direkt unterstellten Mitarbeiter angezeigt. Im Folgenden wird beschrieben, wie Sie die ereignisbasierten Zugriffsprüfungen aktivieren können.
-
Wählen Sie auf der Homepage der Oracle Access Governance-Konsole im Navigationsmenü Ereignisbasierte Administration -> Ereignisbasiertes Setup.
Beschreibung der Abbildung NavigateEventBasedReview.png
Die Seite "Ereignisbasierte Zugriffsprüfung einrichten" wird angezeigt. Standardmäßig sind ereignisbasierte Zugriffsprüfungen deaktiviert.
-
Um ereignisbasierte Zugriffsprüfungen zu aktivieren, wählen Sie für einen Ereignistyp die Option Aktionen und dann Bearbeiten aus. Für dieses Tutorial aktivieren Sie die Manageränderung.
Beschreibung der Abbildung EventBasedReviewSetup.png
Die Seite Ereignistyp konfigurieren - Manageränderung wird angezeigt.
-
Auf dieser Seite können Sie die ereignisbasierten Zugriffsprüfungen aktivieren, Aufgaben mit geringem Risiko automatisch genehmigen, den Workflow für die Prüfung in Bezug auf die Anzahl der Prüfstufen und die Dauer definieren sowie angeben, wer die Prüfung durchführt. Für dieses Tutorial aktivieren Sie einfach diese ereignisbasierte Zugriffsprüfung.
-
Wählen Sie unter Diese ereignisbasierten Zugriffsprüfungen aktivieren oder deaktivieren die Option Aktiviert und dann Speichern aus.
Die ereignisbasierte Zugriffsprüfung für Manageränderung wurde erfolgreich aktiviert. Sie können mehrere Ereignisse aktivieren und einen gemeinsamen Workflow für eine Identität auswählen. Weitere Informationen finden Sie unter Sonderfall: Prüfungsaufgaben für den Zugriff auf mehrere Ereignisse bei der ereignisbasierten Einrichtung.
Aufgabe 4: Benutzerattributänderungen im Identity Portal aktualisieren
Annahme: In diesem Tutorial nehmen wir direkt Änderungen im Identity Self Service-Portal von OIG vor, um die Benutzerattribute zu aktualisieren. In der tatsächlichen Implementierung kann OIG Änderungen aus jedem verbundenen HCM synchronisieren (z.B. PeopleSoft). Access Governance kann dann Datenänderungen von OIG über Connected Systems synchronisieren.
-
Melden Sie sich bei Identity Self Service als Benutzeradministrator an.
-
Gehen Sie zu Manage -> Users. Wählen Sie Benutzer verwalten aus.
-
Durchsuchen Sie den Benutzernamen, für den Benutzerdetails aktualisiert werden müssen. Geben Sie für dieses Tutorial "Ema" ein, und klicken Sie auf das Symbol Suchen.
-
Klicken Sie auf Aktionen -> Ändern.
-
Aktualisieren Sie im Abschnitt Basisinformationen den Managernamen. Suchen Sie für dieses Tutorial im Feld Manager Betty Cook, und wählen Sie es aus.
-
Klicken Sie auf Weiterleiten.
Nach der Genehmigung werden die Benutzerattribute erfolgreich aktualisiert.
Aufgabe 5: Inkrementelles Laden von On-Demand-Daten aus OIG ausführen
-
Melden Sie sich als AG-Administrator bei der Oracle Access Governance-Konsole an. Melden Sie sich in diesem Tutorial als Betty Cook an.
-
Wählen Sie auf der Homepage der Oracle Access Governance-Konsole im Navigationsmenü Serviceadministration -> Verbundene Systeme.
-
Wählen Sie in der Kachel "OIG-Verbindung" die Option Verwalten aus.
-
Wählen Sie nach rechts Aktionen und dann Daten jetzt laden aus.
Die neue Dataload-Aktivität beginnt in wenigen Sekunden. Je nach Daten-Volume dauert es einige Minuten, bis der Ladevorgang abgeschlossen ist. Nach Abschluss ändert sich die Spalte Status von In Bearbeitung in Erfolgreich.
Beschreibung der Abbildung SuccessDataLoad.png
Aufgabe 6: Durch ereignisbasiertes Setup ausgelöste Zugriffsprüfungsaufgaben prüfen
-
Navigieren Sie im Navigationsmenü zu Meine Zugriffsprüfungen.
-
Suchen Sie E-Mail, und wenden Sie Filter auf Berechtigung für Zuweisungstyp an.
Beschreibung der Abbildung AccessReviewEma.png
Beachten Sie, wie Access Governance die Aufgaben der Zugriffsprüfung von Ereignis - Manageränderung automatisch ausgelöst hat.
-
Beachten Sie, dass Access Governance eine Prüfungsempfehlung für Admin-Berechtigungen ausgelöst hat. Schauen wir uns die Erkenntnisse an, um mehr über diese Empfehlung zu erfahren.
-
Klicken Sie auf Anzeigen, um Insights für den Admin-Zuweisungsnamen anzuzeigen.
-
Auf der Seite Insights können Sie für die Anwendung Figma die Insights prüfen und die aktuellen Änderungen anzeigen. Diese Einblicke werden von unserem einzigartigen KI/ML-fähigen, präskriptiven, auf Analytics basierenden Identity Intelligence-System gesteuert. In diesem Tutorial schlägt das System vor, dass Betty diese Zugriffsberechtigung prüfen soll, die E-Mail zugewiesen ist.
-
Beachten Sie, dass Access Governance die Empfehlung Akzeptieren für Viewer-Berechtigungen ausgelöst hat. Schauen wir uns die Erkenntnisse an, um mehr über diese Empfehlung zu erfahren.
-
Auf der Seite Insights können Sie für die Anwendung Figma die Insights prüfen und die aktuellen Änderungen anzeigen. Diese Einblicke werden von unserem einzigartigen KI/ML-fähigen, präskriptiven, auf Analytics basierenden Identity Intelligence-System gesteuert. In diesem Tutorial schlägt das Empfehlungssystem vor, dass Betty diese Zugriffsberechtigung akzeptieren soll, die E-Mail zugewiesen ist.
Sonderfall: Prüfungsaufgaben für Zugriff auf mehrere Ereignisse in ereignisbasiertem Setup verstehen
Access Governance löst mehrere Ereignisse aus, wenn mehrere Ereignistypen auftreten, die mit einer einzelnen Identität verknüpft sind. Wenn Ereignisse wie Tätigkeitscodeänderung, Standortänderung, Organisationsänderung usw. im Zusammenhang mit einer einzelnen Entität auftreten, können Prüfer die betroffenen Anwendungen, Rollen oder Berechtigungen für diese Identität prüfen, zertifizieren oder korrigieren.
Szenario für die Prüfung von Zugriff auf mehrere Ereignisse
Ruby Paul, ein Mitarbeiter von Acme Corporation, hat vor Kurzem eine interne Karrierewechseln von Product Management in den Geschäftsbereich Quality Assurance vollzogen. Infolgedessen hat ihre Organisation zu Qualitätssicherung geändert, und sie wird jetzt als Bericht an Betty Cook gemeldet. Sie berichtet zuvor an Chelsea Neal.
Von einem Identitätsansichtspunkt aus erfordert Ruby keine Zugriffsberechtigungen mehr, die von den direkt unterstellten Mitarbeitern von Chelsea benötigt werden. Jetzt sind jedoch neue Zugriffsberechtigungen erforderlich, die vom Betty-Team verwendet werden.
Sie müssen mehrere Ereignistypen aktivieren, für die Sie die Multi-Ereignis-basierten Zugriffsprüfungen auslösen möchten. Außerdem müssen Sie den gemeinsamen Workflow im ereignisbasierten Setup konfigurieren. In diesem Tutorial können Sie die Ereignistypen Organisationsänderung und Manageränderung aktivieren.
Beschreibung der Abbildung SharedWorkflowSetup.png
Nachdem die Benutzerattribute für Ruby aktualisiert wurden, löst Access Governance automatisch mehrere ereignisbasierte Zugriffsprüfungsaufgaben für diese einzelne Identität aus, in diesem Fall Ruby.
Sehen wir uns die Access Review-Einblicke an.
Beschreibung der Abbildung MultiEventInsights.png
Sie können die Zugriffsprüfungsaufgaben basierend auf den Empfehlungen entweder genehmigen oder ablehnen. Sie können auch Informationen zu ereignisbasierten Zugriffsprüfungen anzeigen, indem Sie Berichte mit der ereignisbasierten Berichtsfunktion von Oracle Access Governance generieren. Weitere Informationen finden Sie unter Bericht "Ereignisbasierte Zugriffsprüfungen generieren".
So kann eine Organisation beim Auftreten von Identitätsänderungen effektiv anhand von ereignisbasierten und regelmäßigen Zugriffsprüfungen Schäden verhindern, die durch den Missbrauch von Zugriffsrechten verursacht werden könnten.
Danksagungen
- Autor - Komalreet Kaur
- Mitwirkende - Abhishek Juneja, Mike Howlett, Oracle IAM Product Management
Weitere Lernressourcen
Sehen Sie sich weitere Übungen unter docs.oracle.com/learn an, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning-Kanal YouTube zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.
Die Produktdokumentation finden Sie im Oracle Help Center.
Implement Event-Based Access Reviews with Oracle Access Governance
F72104-01
November 2022
Copyright © 2022, Oracle and/or its affiliates.