Hinweis:

• Dieses Tutorial erfordert Zugriff auf Oracle Cloud. Informationen zur Registrierung für einen kostenlosen Account finden Sie unter Erste Schritte mit Oracle Cloud Infrastructure Free Tier.
• Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. Ersetzen Sie diese Werte nach Abschluss der Übung durch Werte, die für Ihre Cloud-Umgebung spezifisch sind.

Mitgliedschaftsprüfungen der Delegiertengruppe mit Zugriffsprüfungen in Oracle Access Governance

Einführung

Oracle Access Governance ist eine Cloud-native Lösung, mit der Governance- und Complianceanforderungen für viele Anwendungen, Workloads, Infrastrukturen und Identitätsplattformen erfüllt werden können. Es bietet unternehmensweite Transparenz und Funktionen, um Anomalien zu erkennen und Sicherheitsrisiken in Cloud- und On-Premises-Umgebungen zu mindern. Es bietet eine dynamische Zugriffskontrolle, einen präskriptiven analytischen Zugriffsprüfungsprozess, mit dem Kunden die Zugriffsbereitstellung automatisieren, Einblicke in Zugriffsberechtigungen erhalten, Anomalien erkennen und Sicherheitsrisiken beheben können.

Bewertungen der Gruppenmitgliedschaft

Oracle Access Governance bietet das Feature - Prüfungen der Oracle Cloud Infrastructure-(OCI-)Gruppenmitgliedschaft. Dadurch erhalten OCI-Administratoren jetzt einen vereinfachten Überblick über OCI-Gruppenmitgliedschaften, die Mitglieder und ihre Zugriffsberechtigungen. Dadurch können Administratoren OCI-Gruppenmitgliedschaften identifizieren, die nicht mehr zeitnah benötigt werden.

Stellvertretung

• Sie können Genehmigungen oder Zugriffsprüfungen aus folgenden Gründen an andere delegieren:

  • Nichtverfügbarkeit aufgrund von Urlaub, Krankheit oder Arbeit an anderen Aufgaben.

  • Die qualifizierteste Person trifft Entscheidungen.

  • Entwicklung der Fähigkeit einer Person, zusätzliche Aufgaben zu erledigen.

  

• In Oracle Access Governance können Sie Voreinstellungen einrichten und verwalten. Benutzer können Aufgaben und Aktivitäten mit der Oracle Access Governance-Konsole delegieren. Mit der Einstellung Meine Voreinstellungen können Sie Aufgaben und Aktivitäten einem anderen Benutzer oder einer Identitäts-Collection zuweisen. Sie können delegieren, wer Zugriffsprüfungen durchführt und wer in Ihrem Namen Genehmigungen durchführt. Eine Aufgabe kann an eine Person oder eine Identitäts-Collection delegiert werden. Die Identitäts-Collection kann ein oder mehrere Elemente enthalten. Die Dauer für die Delegierung kann auf einen Zeitraum oder unbegrenzt festgelegt werden.

  

Zielgruppe

• Oracle Access Governance-Administratoren und OCI-Administratoren.

Ziele

• Delegieren Sie Gruppenmitgliedschaftsprüfungen mit Zugriffsprüfungen in Oracle Access Governance. Dazu müssen Sie:

  • Erstellen und führen Sie Kampagnen zur Gruppenmitgliedschaftsprüfung für Oracle Cloud Infrastructure Identity and Access Management-(OCI IAM-)Benutzer aus.

  • Zugriffsprüfungsaufgaben an eine Identitäts-Collection delegieren

Voraussetzungen

• Zugriff auf einen OCI-Account mit Administratorrechten. In OCI bereitgestellte Oracle Access Governance-Serviceinstanz. Weitere Informationen finden Sie unter Serviceinstanzen einrichten.

• Ihr Oracle Access Governance-Benutzer muss über Administratorrechte von Oracle verfügen. Weitere Informationen finden Sie in Anwendungsrollen.

• Ihnen zugewiesene OCI-Gruppen und OCI-IAM-Benutzer.

• OCI IAM in Oracle Access Governance integrieren Weitere Informationen finden Sie unter Mit Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) integrieren.

  

• Identity Collection erstellen. Weitere Informationen finden Sie unter Identity Collections erstellen.

  

• Erstellen Sie einen Genehmigungsworkflow in Oracle Access Governance. Weitere Informationen finden Sie unter Genehmigungsworkflow erstellen.

  

Aufgabe 1: Kampagne "Gruppenmitgliedschaft prüfen" erstellen

1. Melden Sie sich als administrativer Benutzer bei der Oracle Access Governance-Konsole an. Klicken Sie auf das Navigationsmenü Zugriffsprüfungen und Kampagnen. Alternativ können Sie "Erstellung von Arbeit und Definition einer neuen Kampagne" auswählen.

   

2. Klicken Sie auf der Seite Kampagnen auf Kampagne erstellen.

   

3. Wählen Sie im Abschnitt Auswahlkriterien die Option Welche Mandanten? aus. Daraufhin wird eine Liste der verfügbaren Cloud-Mandanten angezeigt.

   

4. Wählen Sie einen geeigneten Cloud-Mandanten aus. Wählen Sie in diesem Tutorial Ihren Cloud-Mandanten aus. Ein grünes Häkchen wird für Ihre Auswahl markiert, und klicken Sie auf Weiter definieren. Sie können Ihre Auswahl weiter verfeinern, indem Sie ein bestimmtes Compartment und eine Domain auswählen, um domänenspezifische Policy-Prüfungen auszuführen.

   

5. Geben Sie das Compartment (ag-compartment) ein, und klicken Sie auf Anwenden.

   

6. Wählen Sie Welche Identity Collections? aus, um Identity Collections auszuwählen, die Sie prüfen möchten. In der ausgewählten Domain wird eine Liste der verfügbaren Identity Collections angezeigt.

   

7. Wählen Sie die folgenden Identity Collections aus, und klicken Sie auf Meine Auswahl anwenden.

   • Auditoren
   • NetworkAdmins
   • SecurityAdmins

   

8. Klicken Sie auf In Ordnung, zu Workflows gehen.

   

9. Geben Sie im Abschnitt Workflow zuweisen die folgenden Informationen ein, und klicken Sie auf Weiter.

   • Welcher Genehmigungsworkflow soll verwendet werden?: Wählen Sie One-level-approval-workflow aus (Wählen Sie den Genehmigungsworkflow aus).

   

10. Im Abschnitt Details hinzufügen können Sie die Häufigkeit (einmalig oder regelmäßig) definieren, mit der eine Zugriffsprüfungskampagne ausgeführt werden soll, Ihrer Kampagne einen aussagekräftigen Namen geben, eine unterstützende Beschreibung hinzufügen und zusätzlichen Attributen Werte zuweisen, z.B. wer Eigentümer der Kampagne ist und wann die Kampagne gestartet oder beendet werden soll, und auf Weiter klicken.

    • Wie oft soll diese Aktion ausgeführt werden?: Wählen Sie Einmal aus.

    • Wie soll diese Kampagne aufgerufen werden?: Geben Sie Gruppe-Mitgliedschaft-Prüfung-Kampagne ein.

    • Wie soll diese Kampagne beschrieben werden?: Geben Sie Gruppe-Mitgliedschaft-Prüfung-Kampagne ein.

    • Wer ist Eigentümer dieser Kampagne? Wählen Sie Ich aus.

    • Wie möchten Sie Ihre Kampagne planen? Wählen Sie Jetzt ausführen (wird 10 Minuten nach Erstellung gestartet) aus.

    

11. Prüfen Sie im Abschnitt Prüfen und weiterleiten die Informationen, die Sie hinzugefügt haben, und klicken Sie auf Erstellen, um die Kampagne zu erstellen.

    Ihre Kampagne ist geplant und wird auf der Seite Kampagnen angezeigt. Es wird 10 Minuten nach der Erstellung ausgeführt.

    

    Die Kampagne wurde erfolgreich geplant.

    

Aufgabe 2: Delegation konfigurieren

In dieser Aufgabe konfigurieren wir die Delegation für die Prüfungsaufgaben der Gruppenmitgliedschaft an eine Identitäts-Collection, um während Ihrer Abwesenheit Maßnahmen zu ergreifen.

1. Navigieren Sie zur Oracle Access Governance-Konsole, und navigieren Sie zur Homepage.

   

2. Navigieren Sie zu Zugriffskontrollen und Identitäts-Collection, um die Identitäts-Collection anzuzeigen, der Sie die Delegation zuweisen.

   

3. Klicken Sie auf My Stuff und My Preferences.

   

4. Klicken Sie auf Delegation hinzufügen.

   

5. Geben Sie auf der Seite Delegation hinzufügen die folgenden Informationen ein, und klicken Sie auf Speichern.

   • Welche Aufgaben möchten Sie delegieren? Wählen Sie Zugriffsprüfungen aus.

   • An wen möchten Sie delegieren? Wählen Sie Eine Identitäts-Collection aus.

   • Wer?: Wählen Sie IT-Team aus.

   • Wie lange soll die Delegierung andauern? Wählen Sie Während eines Zeitraums aus.

   

   

   Hinweis: Die Delegation wurde konfiguriert, wobei Sie (Administrator) die Kampagnen an die Identitäts-Collection IT-Team delegieren. Die Mitglieder dieser Identitäts-Collection können die Zugriffsprüfungen während des definierten Zeitraums durchführen. Sowohl der Administrator als auch die Delegierten erhalten die Benachrichtigungs-E-Mails für die Kampagnen, für die eine Aktion erforderlich ist.

Aufgabe 3: Aufgaben zur Gruppenmitgliedschaftsprüfung ausführen

In dieser Aufgabe prüfen und zertifizieren wir Aufgaben zur Gruppenmitgliedschaftsprüfung, die von der in Aufgabe 1 erstellten Kampagne ausgelöst wurden.

1. Navigieren Sie zur Oracle Access Governance-Konsole, und navigieren Sie zur Homepage.

2. Klicken Sie auf Zugriffsprüfungen und Meine Zugriffsprüfungen.

   

3. Um Prüfungsaufgaben anzuzeigen, die von Ihrer Policy-Prüfungskampagne erstellt wurden, klicken Sie auf Zugriffskontrolle. Sie sehen alle Policy-Zugriffsprüfungsaufgaben, die Ihnen als Prüfer zugewiesen wurden. Oracle Access Governance verwendet ein internes analytisch-basiertes Intelligence-System, um Annahme-/Überprüfungsempfehlungen bereitzustellen.

   

4. In diesem Tutorial lesen wir die Empfehlungen von Oracle Access Governance.

   • Auditoren ist für Prüfung markiert.
   • NetworkAdmins ist für Prüfung markiert.
   • SecurityAdmins ist als Prüfen markiert.

5. Klicken Sie nacheinander auf Aktionen, um Prüfungsentscheidungen zu treffen. Sie können entweder alle oder alle umsetzbaren Anweisungen in dieser Policy gleichzeitig widerrufen oder eine Entscheidung für jede Policy-Anweisung einzeln treffen.

   • Anwendungsfall 1: Akzeptieren Sie alle Benutzeridentitäten, um die Gruppenmitgliedschaft für Auditoren zu akzeptieren.

     1. Klicken Sie auf Accept all.

        

     2. Klicken Sie auf Übernehmen

        

     3. Geben Sie unter Begründung den Grund ein, warum Sie alle benannten Benutzeridentitäten akzeptieren, um Zugriff auf die Gruppenmitgliedschaft zu erhalten, und klicken Sie auf Weiterleiten. Dadurch wird der automatische Vermittlungsprozess im Oracle Access Governance-System ausgelöst.

        

   • Anwendungsfall 2: Entziehen Sie 2 der 4 benannten Identitäten, um die Gruppenmitgliedschaft für NetworkAdmins zu akzeptieren.

     

     1. Entziehen wir den Zugriff für Identitäten (David Brown und Jerry Poland). Die verbleibenden 2 Benutzer (John Smith und Mark Hernandez) wurden für die Gruppenmitgliedschaft akzeptiert, und klicken Sie auf Anwenden.

        

     2. Geben Sie Begründung ein, und klicken Sie auf Weiterleiten. Die Korrektur des Closed-Loop-Zugriffs erfolgt automatisch.

        

   • Anwendungsfall 3: Entziehen Sie allen benannten Identitäten mit der Gruppenmitgliedschaft für SecurityAdmins.

     

     1. Klicken Sie auf Alle entziehen und Anwenden.

        

     2. Geben Sie Begründung ein, und klicken Sie auf Weiterleiten. Die Korrektur des Closed-Loop-Zugriffs erfolgt automatisch.

        

6. Melden Sie sich bei der OCI-Konsole als Identitätsdomainadministrator an, navigieren Sie zu Identität und Sicherheit, Identität, klicken Sie auf die Identitätsdomain (ag-domain) und Benutzer.

   

   Prüfen Sie, ob die Gruppenmitgliedschaft der Benutzer erfolgreich verarbeitet wurde.

   

Verwandte Links

• Oracle Access Governance

• Mit Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) integrieren

• Oracle Access Governance – Produkttour

• Oracle Access Governance – Häufig gestellte Fragen

Danksagungen

• Autor - Indiradarshni Balasundaram (Cloud Engineer)

Weitere Lernressourcen

Sehen Sie sich andere Übungen zu docs.oracle.com/learn an, oder greifen Sie im Oracle Learning YouTube-Channel auf weitere kostenlose Lerninhalte zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.

---

Titel und Copyright-Informationen

Delegate Group Membership Reviews with Access Reviews in Oracle Access Governance

G16607-01

October 2024

Copyright ©2024,

Oracle und/oder verbundene Unternehmen.