Ereignisbasierte Zugriffsprüfungen mit Oracle Access Governance implementieren

Einführung

Oracle Access Governance befasst sich mit den wachsenden Herausforderungen, denen sich Sicherheitsverantwortliche bei der Zunahme fortschrittlicher Sicherheitsbedrohungen und -vorschriften stellen müssen. Mit dieser cloud-nativen Lösung können Sie Governance- und Complianceanforderungen für viele Anwendungen, Workloads, Infrastrukturen und Identitätsplattformen erfüllen.

Ereignisbasierte Zugriffsprüfungen sind die von Oracle Access Governance durchgeführten, wenn ein oder mehrere vordefinierte Ereignistypen auftreten. Jedes Mal, wenn Ereignisse wie Tätigkeitsschlüsseländerung, Standortänderung usw. auftreten, unterstützt die ereignisbasierte Zugriffsprüfungsfunktion Prüfer bei der Prüfung, Zertifizierung oder Korrektur der betroffenen Benutzer- oder Anwendungsrollen, Berechtigungen oder Berechtigungen.

Weitere Informationen zu Oracle Access Governance finden Sie unter:

• Oracle Access Governance - Produktseite
• Servicedokumentation zu Access Governance
• Access Governance - Produktdokumentation
• Access Governance-APIs
• Oracle Access Governance - Häufig gestellte Fragen

Ziele

In diesem Tutorial werden:

• Ereignisbasierte Zugriffsprüfungen aktivieren und konfigurieren
• Prüfen Sie die Zugriffsprüfungsaufgaben, die vom ereignisbasierten Setup ausgelöst wurden
• Verwalten und überwachen Sie ereignisbasierte Zugriffsprüfungen
• Verstehen mehrerer ereignisbasierter Zugriffsprüfungen

Zielgruppe

Dieses Tutorial ist speziell für Access Governance-Administratoren konzipiert, damit sie ereignisbasierte Zugriffsprüfungskampagnen und Prüfer konfigurieren können, damit sie fundierte Entscheidungen zu solchen ereignisbasierten Zugriffsprüfungen treffen können.

Voraussetzungen

Sie benötigen:

• Oracle Access Governance-Serviceinstanz mit AG-Administratorrechten. Weitere Informationen finden Sie unter Anwendungsrollen.
• Zugriff auf Oracle Identity Governance-(OIG-)Instanz mit Benutzeradministratorrechten. Dadurch erhalten Sie automatisch Zugriff auf das Identity Self Service-Portal, das Teil der OIG-Produktsuite ist.
• Folgende Tutorials wurden abgeschlossen:
  • Zugriffsprüfungen mit Oracle Access Governance durchführen
  • Zugriffsprüfungskampagnen mit Oracle Access Governance verwalten und überwachen
• Lesen und lernen Sie die folgenden Themen kennen:
  • Ereignisbasierte Zugriffsprüfungen verwalten
  • Bericht "Ereignisbasierte Zugriffsprüfungen generieren"
  • Zugriffsprüfung ausführen
  • Zugriffsübersicht

Tutorial-Szenario

Acme Corporation verwendet OIG und Access Governance als Identity Management- und Governance-Lösung.

E-Mail, ein Mitarbeiter der Firma Acme, ist in ein anderes Team oder Projekt innerhalb derselben Organisation "Qualitätssicherung" umgezogen. Zuvor berichtete sie an die Leiterin der Qualitätssicherung, Jerry Polen, aber jetzt wird sie Betty Cook melden. Daher muss die Personalabteilung die entsprechenden Änderungen des Berichtsmanagers in HCM aktualisieren. In einem Identitätsansichtspunkt erfordert E-Mail keine Zugriffsberechtigungen mehr, die für die direkt unterstellten Mitarbeiter von Jerry erforderlich sind. Jetzt sind jedoch neue Zugriffsberechtigungen erforderlich, die vom Team von Betty verwendet werden. Mal sehen, wie ereignisbasierte Zugriffsprüfungen bei Auftreten solcher Ereignistypen aufgerufen werden und den Prüfern dabei helfen, fundierte Entscheidungen zu treffen.

Aktoren
An diesem Tutorial sind die folgenden Akteure beteiligt:

• Betty Cook als Access Governance-Administrator und Benutzermanager, um ereignisbasierte Zugriffsprüfungen zu konfigurieren, ereignisbasierte Aufgaben zu untersuchen und Zugriffsprüfungen durchzuführen.
• John Edward als OIG-Benutzeradministrator, der die Benutzerattribute im Identity Self Service-Portal aktualisiert.

Hinweis: Dies ist eine Modellzuordnung, die ausschließlich zu Schulungszwecken verwendet wird. In diesem Tutorial verwendete Akteure sind fiktiv und stellen keine echte Identität dar. Wir verwenden Mock-Datasets, um das Thema in der Diskussion zu erläutern.

Szenarioworkflow:

1. In diesem Tutorial melden Sie sich zuerst als Betty Cook bei der Oracle Access Governance-Konsole an.
2. Zugriffsrechte Ihrer direkt unterstellten Mitarbeiter anzeigen
3. Konfigurieren Sie dann ereignisbasierte Zugriffsprüfungen.
4. Melden Sie sich anschließend als Benutzeradministrator, John, beim Identity-Selfservice-Portal an, und nehmen Sie die gewünschten Änderungen an Benutzerattributen vor.
5. Melden Sie sich erneut als Betty bei der Oracle Access Governance-Konsole an, um den inkrementellen Dataload bei Bedarf aus OIG auszuführen.
6. Schließlich können Sie die Aufgaben der Zugriffsprüfung untersuchen, die durch das ereignisbasierte Setup ausgelöst wurden.

Aufgabe 1: Bei Oracle Access Governance-Konsole als Benutzer anmelden

1. Navigieren Sie in Ihrem Browser zur Oracle Access Governance-Konsole.
2. Geben Sie im Feld Username (Benutzername) den Benutzernamen ein.
3. Geben Sie im Feld Kennwort das Kennwort ein, und wählen Sie Anmelden aus.

Sie werden zur Homepage der Oracle Access Governance-Konsole navigiert.

Aufgabe 2: Zugriffsrechte der direkt unterstellten Mitarbeiter anzeigen, die an einen Benutzermanager berichten

1. Wählen Sie im Navigationsmenü Wer Zugriff auf was hat -> Zugriff meiner direkt unterstellten Mitarbeiter.
2. Weitere Informationen finden Sie unter Anwendungen, Rollen und Berechtigungen, die Ihren direkt unterstellten Mitarbeitern zugewiesen sind.

In diesem Tutorial verfügen die direkt unterstellten Mitarbeiter von Betty über schreibgeschützte Zugriffsberechtigungen für die Anwendung Figma.

Beschreibung der Abbildung DirectReports.png

Aufgabe 3: Ereignisbasierte Zugriffsprüfungen aktivieren und konfigurieren

Sie haben die Zugriffsrechte Ihrer direkt unterstellten Mitarbeiter angezeigt. Im Folgenden wird beschrieben, wie Sie die ereignisbasierten Zugriffsprüfungen aktivieren können.

1. Wählen Sie auf der Homepage der Oracle Access Governance-Konsole im Navigationsmenü Ereignisbasierte Administration -> Ereignisbasiertes Setup.

   

   Beschreibung der Abbildung NavigateEventBasedReview.png

   Die Seite "Ereignisbasierte Zugriffsprüfung einrichten" wird angezeigt. Standardmäßig sind ereignisbasierte Zugriffsprüfungen deaktiviert.

2. Um ereignisbasierte Zugriffsprüfungen zu aktivieren, wählen Sie für einen Ereignistyp die Option Aktionen und dann Bearbeiten aus. Für dieses Tutorial aktivieren Sie die Manageränderung.

   

   Beschreibung der Abbildung EventBasedReviewSetup.png

   Die Seite Ereignistyp konfigurieren - Manageränderung wird angezeigt.

3. Auf dieser Seite können Sie die ereignisbasierten Zugriffsprüfungen aktivieren, Aufgaben mit geringem Risiko automatisch genehmigen, den Workflow für die Prüfung in Bezug auf die Anzahl der Prüfstufen und die Dauer definieren sowie angeben, wer die Prüfung durchführt. Für dieses Tutorial aktivieren Sie einfach diese ereignisbasierte Zugriffsprüfung.

4. Wählen Sie unter Diese ereignisbasierten Zugriffsprüfungen aktivieren oder deaktivieren die Option Aktiviert und dann Speichern aus.

   

   Beschreibung der Abbildung EnableManagerChange.png

Die ereignisbasierte Zugriffsprüfung für Manageränderung wurde erfolgreich aktiviert. Sie können mehrere Ereignisse aktivieren und einen gemeinsamen Workflow für eine Identität auswählen. Weitere Informationen finden Sie unter Sonderfall: Prüfungsaufgaben für den Zugriff auf mehrere Ereignisse bei der ereignisbasierten Einrichtung.

Aufgabe 4: Benutzerattributänderungen im Identity Portal aktualisieren

Annahme: In diesem Tutorial nehmen wir direkt Änderungen im Identity Self Service-Portal von OIG vor, um die Benutzerattribute zu aktualisieren. In der tatsächlichen Implementierung kann OIG Änderungen aus jedem verbundenen HCM synchronisieren (z.B. PeopleSoft). Access Governance kann dann Datenänderungen von OIG über Connected Systems synchronisieren.

1. Melden Sie sich bei Identity Self Service als Benutzeradministrator an.

2. Gehen Sie zu Manage -> Users. Wählen Sie Benutzer verwalten aus.

   

   Beschreibung der Abbildung IdentityUsers.png

3. Durchsuchen Sie den Benutzernamen, für den Benutzerdetails aktualisiert werden müssen. Geben Sie für dieses Tutorial "Ema" ein, und klicken Sie auf das Symbol Suchen.

   

   Beschreibung der Abbildung SearchUser.png

4. Klicken Sie auf Aktionen -> Ändern.

5. Aktualisieren Sie im Abschnitt Basisinformationen den Managernamen. Suchen Sie für dieses Tutorial im Feld Manager Betty Cook, und wählen Sie es aus.

   

   Beschreibung der Abbildung ChangeManager.png

6. Klicken Sie auf Weiterleiten.

Nach der Genehmigung werden die Benutzerattribute erfolgreich aktualisiert.

Aufgabe 5: Inkrementelles Laden von On-Demand-Daten aus OIG ausführen

1. Melden Sie sich als AG-Administrator bei der Oracle Access Governance-Konsole an. Melden Sie sich in diesem Tutorial als Betty Cook an.

2. Wählen Sie auf der Homepage der Oracle Access Governance-Konsole im Navigationsmenü Serviceadministration -> Verbundene Systeme.

   

   Beschreibung der Abbildung ConnectedSystems.png

3. Wählen Sie in der Kachel "OIG-Verbindung" die Option Verwalten aus.

4. Wählen Sie nach rechts Aktionen und dann Daten jetzt laden aus.

   

   Beschreibung der Abbildung LoadData.png

Die neue Dataload-Aktivität beginnt in wenigen Sekunden. Je nach Daten-Volume dauert es einige Minuten, bis der Ladevorgang abgeschlossen ist. Nach Abschluss ändert sich die Spalte Status von In Bearbeitung in Erfolgreich.

Beschreibung der Abbildung SuccessDataLoad.png

Aufgabe 6: Durch ereignisbasiertes Setup ausgelöste Zugriffsprüfungsaufgaben prüfen

1. Navigieren Sie im Navigationsmenü zu Meine Zugriffsprüfungen.

2. Suchen Sie E-Mail, und wenden Sie Filter auf Berechtigung für Zuweisungstyp an.

   

   Beschreibung der Abbildung AccessReviewEma.png

   Beachten Sie, wie Access Governance die Aufgaben der Zugriffsprüfung von Ereignis - Manageränderung automatisch ausgelöst hat.

3. Beachten Sie, dass Access Governance eine Prüfungsempfehlung für Admin-Berechtigungen ausgelöst hat. Schauen wir uns die Erkenntnisse an, um mehr über diese Empfehlung zu erfahren.

4. Klicken Sie auf Anzeigen, um Insights für den Admin-Zuweisungsnamen anzuzeigen.

   

   Beschreibung der Abbildung ReviewAccess.png

5. Auf der Seite Insights können Sie für die Anwendung Figma die Insights prüfen und die aktuellen Änderungen anzeigen. Diese Einblicke werden von unserem einzigartigen KI/ML-fähigen, präskriptiven, auf Analytics basierenden Identity Intelligence-System gesteuert. In diesem Tutorial schlägt das System vor, dass Betty diese Zugriffsberechtigung prüfen soll, die E-Mail zugewiesen ist.

   

   Beschreibung der Abbildung ReviewRecommendation.png

6. Beachten Sie, dass Access Governance die Empfehlung Akzeptieren für Viewer-Berechtigungen ausgelöst hat. Schauen wir uns die Erkenntnisse an, um mehr über diese Empfehlung zu erfahren.

   

   Beschreibung der Abbildung AcceptAccessReview.png

7. Auf der Seite Insights können Sie für die Anwendung Figma die Insights prüfen und die aktuellen Änderungen anzeigen. Diese Einblicke werden von unserem einzigartigen KI/ML-fähigen, präskriptiven, auf Analytics basierenden Identity Intelligence-System gesteuert. In diesem Tutorial schlägt das Empfehlungssystem vor, dass Betty diese Zugriffsberechtigung akzeptieren soll, die E-Mail zugewiesen ist.

   

   Beschreibung der Abbildung AcceptRecommendation.png

Sonderfall: Prüfungsaufgaben für Zugriff auf mehrere Ereignisse in ereignisbasiertem Setup verstehen

Access Governance löst mehrere Ereignisse aus, wenn mehrere Ereignistypen auftreten, die mit einer einzelnen Identität verknüpft sind. Wenn Ereignisse wie Tätigkeitscodeänderung, Standortänderung, Organisationsänderung usw. im Zusammenhang mit einer einzelnen Entität auftreten, können Prüfer die betroffenen Anwendungen, Rollen oder Berechtigungen für diese Identität prüfen, zertifizieren oder korrigieren.

Szenario für die Prüfung von Zugriff auf mehrere Ereignisse

Ruby Paul, ein Mitarbeiter von Acme Corporation, hat vor Kurzem eine interne Karrierewechseln von Product Management in den Geschäftsbereich Quality Assurance vollzogen. Infolgedessen hat ihre Organisation zu Qualitätssicherung geändert, und sie wird jetzt als Bericht an Betty Cook gemeldet. Sie berichtet zuvor an Chelsea Neal.

Von einem Identitätsansichtspunkt aus erfordert Ruby keine Zugriffsberechtigungen mehr, die von den direkt unterstellten Mitarbeitern von Chelsea benötigt werden. Jetzt sind jedoch neue Zugriffsberechtigungen erforderlich, die vom Betty-Team verwendet werden.

Sie müssen mehrere Ereignistypen aktivieren, für die Sie die Multi-Ereignis-basierten Zugriffsprüfungen auslösen möchten. Außerdem müssen Sie den gemeinsamen Workflow im ereignisbasierten Setup konfigurieren. In diesem Tutorial können Sie die Ereignistypen Organisationsänderung und Manageränderung aktivieren.

Beschreibung der Abbildung SharedWorkflowSetup.png

Nachdem die Benutzerattribute für Ruby aktualisiert wurden, löst Access Governance automatisch mehrere ereignisbasierte Zugriffsprüfungsaufgaben für diese einzelne Identität aus, in diesem Fall Ruby.

Sehen wir uns die Access Review-Einblicke an.

Beschreibung der Abbildung MultiEventInsights.png

Sie können die Zugriffsprüfungsaufgaben basierend auf den Empfehlungen entweder genehmigen oder ablehnen. Sie können auch Informationen zu ereignisbasierten Zugriffsprüfungen anzeigen, indem Sie Berichte mit der ereignisbasierten Berichtsfunktion von Oracle Access Governance generieren. Weitere Informationen finden Sie unter Bericht "Ereignisbasierte Zugriffsprüfungen generieren".

So kann eine Organisation beim Auftreten von Identitätsänderungen effektiv anhand von ereignisbasierten und regelmäßigen Zugriffsprüfungen Schäden verhindern, die durch den Missbrauch von Zugriffsrechten verursacht werden könnten.

Danksagungen

• Autor - Komalreet Kaur
• Mitwirkende - Abhishek Juneja, Mike Howlett, Oracle IAM Product Management

Weitere Lernressourcen

Sehen Sie sich weitere Übungen unter docs.oracle.com/learn an, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning-Kanal YouTube zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.

---

Titel und Copyright-Informationen

Implement Event-Based Access Reviews with Oracle Access Governance

F72104-01

November 2022

Copyright © 2022, Oracle and/or its affiliates.