Documentación de Oracle Cloud Infrastructure

Roles de aplicación

Oracle Access Governance ofrece varios roles de aplicación predefinidos con diferentes niveles de capacidades para realizar las operaciones de gestión de acceso y gobernanza. Puede asignar uno o más roles de aplicación a los usuarios desde la instancia de servicio en la nube de Oracle Access Governance. No puede modificar los roles de aplicación predefinidos ni los permisos asignados en estos roles.

Administrador (AG_Administrator)

Oracle Access Governance Administrator tiene el nivel más alto de acceso dentro de Oracle Access Governance. Los usuarios con el rol de administrador son responsables de gestionar todas las operaciones de Oracle Access Governance, incluida la gestión de sistemas orquestados, controles de acceso, operaciones administrativas de servicio, etc.

La responsabilidad principal de un administrador es
  • Permite definir tareas fundamentales disponibles como parte del módulo de administración de servicios en Oracle Access Governance, como la configuración de sistemas orquestados, la gestión de identidades, la configuración de atributos de identidad personalizados y principales, la configuración de notificaciones y la verificación de operaciones de carga de datos en Oracle Access Governance.
  • Configure las revisiones de acceso basadas en eventos para realizar microcertificaciones y gestionar cuentas sin coincidencias.
Por ejemplo, puede asignar AG_Administrator a administradores de seguridad o a un especialista en gestión de identidad y acceso para gestionar su instancia de servicio en la nube de Oracle Access Governance.

Normalmente, AG_Administrator establecería la primera integración con el origen autorizado mediante la creación de un sistema orquestado, la ejecución de la carga de datos completa y la definición de reglas para definir usuarios de Workforce y Consumer. A continuación, AG_Administrator puede asignar propietarios para gestionar el sistema orquestado a cualquier usuario activo de Oracle Access Governance.

Un AG_Administrator tiene acceso completo a todas las funciones y funcionalistas de la instancia de servicio. Tienen todos los permisos para crear, ver, actualizar y suprimir los recursos de Oracle Access Governance:
  • Sistema orquestado
  • Recopilaciones de identidades
  • Grupos de accesos
  • Roles
  • Políticas
  • Flujos de trabajo de aprobación
  • Límites de acceso
  • Grupos de acceso generados automáticamente
  • Perfiles de cuenta

Administrador de Service Desk (AG_ServiceDesk_Admin)

El administrador del servicio de Oracle Access Governance es responsable de realizar funciones administrativas de cuenta avanzadas directamente dentro de Oracle Access Governance. La responsabilidad principal de un administrador del servicio es realizar operaciones muy críticas y urgentes sin necesidad de aprobaciones, especialmente relacionadas con las operaciones de gestión del ciclo de vida de las cuentas.

Los usuarios con el rol de administrador de servicio pueden realizar las funciones administrativas de la cuenta desde la página Administración de servicio > Gestionar identidades > Identidades:
  • Consulta de detalles de identidad de todas las identidades.
  • Consulta de detalles de cuenta para permisos.
  • Terminar todas las cuentas y accesos para una identidad a la vez sin ninguna aprobación. Una vez finalizado, puede volver a aprovisionar o activar las cuentas y los accesos con la política de tipo de permiso.
  • Activar, desactivar o suprimir, o modificar una o varias cuentas y atributos para una identidad.
  • Revocar uno o más permisos asignados directamente desde el sistema gestionado o aprovisionados mediante solicitud.
  • Vuelva a intentar el aprovisionamiento para el estado fallido o pendiente.
  • Cambie la contraseña de una cuenta gestionada por Oracle Access Governance.
  • Gestión de delegaciones para aprobaciones o revisiones de acceso.
Por ejemplo, puede asignar AG_ServiceDesk_Admin a un especialista en TI para terminar inmediatamente todas las cuentas y accesos en función de una respuesta a incidentes disparada por intentos de inicio de sesión fallidos repetidos para evitar posibles actividades no autorizadas.
Además, AG_ServiceDesk_Admin puede realizar las siguientes operaciones como parte del usuario de Oracle Access Governance:
  • Vea los detalles de los sistemas orquestados junto con los logs de actividad.
  • Como propietario de un recurso, vea, actualice o suprima los recursos de Oracle Access Governance de los que es propietario.
  • Como revisor asociado con flujos de trabajo de aprobación, apruebe las solicitudes de acceso y revise las tareas de acceso.
  • Como usuario, puede ver los privilegios asignados a sí mismo y a los subordinados directos.
  • Como revisor de acceso, puede revisar y certificar las tareas de revisión de acceso si están asociadas con un flujo de trabajo de aprobación específico.
  • Gestionar Delegaciones

Administrador de campañas (AG_CampaignAdmin)

Los administradores de campañas de Oracle Access Governance pueden iniciar un proceso de revisión de acceso mediante la creación de campañas. Pueden modificar, suprimir y supervisar campañas de revisión de acceso creadas automáticamente. Pueden ver el informe de campaña y descargar datos CSV para fines fuera de línea.

Su principal responsabilidad es programar campañas ad hoc o periódicas para revisiones de acceso a identidad, revisiones de políticas, revisiones de recopilación de identidad o revisión de propiedad de recursos en todos los sistemas.

Además, los administradores de campañas:
  • Puede crear flujos de trabajo de aprobación
  • Puede crear recopilaciones de identidades
  • Como propietario de un recurso, modifique, suprima y vea los recursos que posee
  • Como revisor asociado con flujos de trabajo de aprobación, apruebe las solicitudes de acceso y revise las tareas de acceso.
  • Como usuario, puede ver los privilegios asignados a sí mismo y a los subordinados directos.

Administrador de acceso al explorador para toda la empresa (AG_Enterprise_Wide_Access_Admin)

El administrador de acceso para toda la empresa de Oracle Access Governance obtiene la visibilidad completa de todos los componentes, la información de acceso y los recursos dentro de un marco empresarial desde la página Quién tiene acceso a qué → Explorador para toda la empresa.

Principalmente, los administradores de acceso de toda la empresa pueden:
  • Examine la información de acceso mediante diversas perspectivas, como identidades, recopilaciones de identidades, roles, permisos, políticas, recursos y organizaciones.
  • Permite ejecutar revisiones creadas por el usuario para identidades, recopilaciones de identidades y políticas desde el panel de control Explorador de toda la empresa.
  • Genera un informe mensual sobre las revisiones de acceso creadas desde el navegador de toda la empresa.
  • Descargar captura de pantalla CSV y PDF.
Además, puede:
  • Puede crear recopilaciones de identidades
  • Como propietario de un recurso, vea, actualice o suprima los recursos de Oracle Access Governance de los que es propietario.
  • Como revisor asociado con flujos de trabajo de aprobación, apruebe las solicitudes de acceso y revise las tareas de acceso.
  • Como usuario, puede ver los privilegios asignados a sí mismo y a los subordinados directos.

Administrador de propietario de aplicación (AG_AppOwner_Admin)

El administrador de propietarios de aplicaciones de Oracle Access Governance es responsable de realizar integraciones con otros sistemas agregando un sistema orquestado, modificando la configuración de conexión, validando y cargando los datos en Oracle Access Governance. También pueden configurar un sistema orquestado mediante la edición de los valores de integración, la configuración de los valores de notificación, la configuración del grupo de acceso recomendado, la definición de reglas de transformación para datos de entrada y salida para atributos de identidad y cuenta, y la definición de reglas de correlación para las identidades y cuentas de identidad coincidentes.

El administrador de propietario de la aplicación es el principal responsable de:

  • Configurar integraciones con una aplicación como origen autorizado o sistema gestionado mediante la creación de un sistema orquestado.
  • Gestionar y configurar los sistemas integrados.
    Nota

    AG_AppOwner_Admin no puede activar identidades ni configurar atributos de identidad para un sistema orquestado. Para ello, necesita el rol AG_Administrator.
Además, el administrador del propietario de la aplicación:
  • Puede crear flujos de trabajo de aprobación
  • Puede crear barandillas de acceso
  • Puede crear recopilaciones de identidades
  • Puede crear paquetes de acceso
  • Puede gestionar paquetes de acceso generados automáticamente
  • Como propietario de un recurso, puede modificar, suprimir y ver los recursos de los que es propietario. Los recursos pueden ser cualquier entidad de Oracle Access Governance (paquetes de acceso, organizaciones, recopilaciones de identidades, políticas, flujos de trabajo de aprobación, sistemas orquestados, guías de acceso, grupos de acceso generados automáticamente o roles).
  • Como revisor asociado a los flujos de trabajo de aprobación, puede aprobar solicitudes de acceso y revisar tareas de acceso.
  • Como usuario, puede ver los privilegios asignados a sí mismo y a los subordinados directos.
  • Como usuario, puede utilizar el módulo de autoservicio para solicitar un nuevo acceso, realizar un seguimiento de las solicitudes, asignar preferencias, etc.

Administrador restringido del propietario de la aplicación (AG_AppOwner_Admin_Restricted)

El administrador restringido del propietario de la aplicación de Oracle Access Governance es responsable de crear una nueva integración con otros sistemas agregando un sistema orquestado como sistema gestionado. Sin embargo, pueden gestionar integraciones y configurar valores solo para los sistemas de los que son propietarios como propietarios de recursos.

Rol Puede crear un sistema orquestado Puede gestionar el sistema orquestado
Administrador de propietario de aplicación SÍ (Origen autorizado y Sistema gestionado)
Administrador restringido de propietario de aplicación SÍ (solo sistema gestionado) Limitado a los recursos que poseen

El administrador restringido del propietario de la aplicación es el principal responsable de:

  • Configurar integraciones con una aplicación como sistema gestionado mediante la creación de un sistema orquestado.
  • Gestionar y configurar el sistema orquestado para el que es el propietario del recurso.
    Nota

    AG_AppOwner_Admin_Restricted no puede activar identidades ni configurar atributos de identidad para un sistema orquestado. Para ello, necesita el rol AG_Administrator.
Además, el administrador restringido del propietario de la aplicación:
  • Puede crear flujos de trabajo de aprobación
  • Puede crear recopilaciones de identidades
  • Puede crear paquetes de acceso y paquetes de acceso generados automáticamente
  • Como propietario de un recurso, puede modificar, suprimir y ver los recursos de los que es propietario. Los recursos pueden ser cualquier entidad de Oracle Access Governance (paquetes de acceso, organizaciones, recopilaciones de identidades, políticas, flujos de trabajo de aprobación, sistemas orquestados, guías de acceso, grupos de acceso generados automáticamente o roles).
  • Como revisor asociado con flujos de trabajo de aprobación, apruebe las solicitudes de acceso y revise las tareas de acceso.
  • Como usuario, puede ver los privilegios asignados a sí mismo y a los subordinados directos.
  • Como usuario, puede utilizar el módulo de autoservicio para solicitar un nuevo acceso, realizar un seguimiento de las solicitudes, asignar preferencias, etc.

Escenario: si a Betty se le asigna el rol AG_AppOwner_Admin_Restricted, Betty puede establecer nuevas integraciones como sistema gestionado mediante la creación de un nuevo sistema orquestado desde la página Administración de serviciosSistemas orquestados. Sin embargo, Betty no puede crear una fuente autorizada. Además, Betty puede configurar los valores para los sistemas orquestados solo si Betty está asignado como propietario del recurso (propietario principal o uno de los propietarios adicionales) para el recurso del sistema orquestado.

Administrador de control de acceso (AG_AccessControl_Admin)

El administrador de Oracle Access Governance Access Control es responsable de gestionar la administración de control de acceso en Oracle Access Governance.

Rol Puede crear recursos de control de acceso Puede gestionar recursos de control de acceso
Administrador de Control de Acceso
Administrador restringido de control de acceso Limitado a los recursos que poseen

El administrador de control de acceso es el principal responsable de:

  • Creación y gestión de recopilaciones de identidades
  • Crear y gestionar paquetes de acceso
  • Crear y gestionar flujos de trabajo de aprobación
  • Crear y gestionar roles
  • Crear y Gestionar Políticas
  • Creación y gestión de guías de acceso
  • Crear y gestionar organizaciones desde la página Gestionar identidades
Además, el administrador de control de acceso:
  • Como propietario de un recurso, puede modificar, suprimir y ver los recursos de los que es propietario. Los recursos pueden ser cualquier entidad de Oracle Access Governance (paquetes de acceso, organizaciones, recopilaciones de identidades, políticas, flujos de trabajo de aprobación, sistemas orquestados, guías de acceso o roles).
  • Como revisor asociado con flujos de trabajo de aprobación, puede aprobar solicitudes de acceso y revisar tareas de acceso.
  • Como usuario, puede ver los privilegios asignados a sí mismo y a los subordinados directos.
  • Como usuario, puede utilizar el módulo de autoservicio para solicitar un nuevo acceso, realizar un seguimiento de las solicitudes, asignar preferencias, etc.

Administrador restringido de control de acceso (AG_AccessControl_Admin_Restricted)

El administrador restringido de Oracle Access Governance Access Control es responsable de crear recursos de Access Controls en Oracle Access Governance.

Rol Puede crear recursos de control de acceso Puede gestionar recursos de control de acceso
Administrador de Control de Acceso
Administrador restringido de control de acceso Limitado a los recursos que poseen

El administrador restringido de control de acceso es el principal responsable de:

  • Crear recopilaciones de identidades, grupos de acceso, flujos de trabajo de aprobación, roles, políticas y organizaciones.
Además, el administrador restringido de control de acceso:
  • Como propietario de un recurso, puede modificar, suprimir y ver los recursos de los que es propietario. Los recursos pueden ser cualquier entidad de Oracle Access Governance (paquetes de acceso, organizaciones, recopilaciones de identidades, políticas, flujos de trabajo de aprobación, sistemas orquestados, guías de acceso o roles).
  • Como revisor asociado con flujos de trabajo de aprobación, puede aprobar solicitudes de acceso y revisar tareas de acceso.
  • Como usuario, puede ver los privilegios asignados a sí mismo y a los subordinados directos.
  • Como usuario, puede utilizar el módulo de autoservicio para solicitar un nuevo acceso, realizar un seguimiento de las solicitudes, asignar preferencias, etc.

Escenario: si se asigna el rol AG_AccessControl_Admin_Restricted a Betty, Betty puede crear recursos de control de acceso, como nuevas recopilaciones de identidades, flujos de trabajo de aprobación, políticas, roles y permisos de paquete en Paquetes de acceso mediante el módulo Controles de acceso. Sin embargo, Betty puede gestionar (ver, editar, suprimir, etc.) estos recursos solo si Betty está asignado como propietario del recurso (propietario principal o uno de los propietarios adicionales) para los recursos.

Auditor (AG_AUDITOR)

El rol de auditor de Oracle Access Governance es responsable de supervisar todas las campañas. Pueden ver los detalles de la campaña y descargar el informe de revisión de acceso para cada campaña. Además de ver el informe, el auditor puede guardar los informes fuera de línea en formato PDF o descargar los datos CSV para el mantenimiento de registros o para un análisis o auditoría adicionales.

Además, según la propiedad proporcionada en Oracle Access Governance, un auditor puede:
  • Como propietario de campaña, puede modificar, suprimir, supervisar las campañas de revisión de acceso de las que es propietario.
  • Como revisor de acceso, puede revisar y certificar las tareas de revisión de acceso si están asociadas con un flujo de trabajo de aprobación específico.
  • Como propietario de un recurso, vea, modifique y suprima los recursos que posee.
  • Crear recopilaciones de identidades.
  • Gestione las recopilaciones de identidades que le pertenecen.

Usuario (AG_USER)

El usuario de Oracle Access Governance es un usuario final responsable de ver y gestionar sus accesos mediante Oracle Access Governance. Por defecto, todos los usuarios de Oracle Access Governance Active Workforce tienen asignado este rol.

El administrador de dominio en la nube también puede asignar este rol de aplicación (AG_USER) desde la página de servicio en la nube de OCI. Los usuarios se dedican principalmente a tareas de autoservicio, que pueden incluir la solicitud de permisos a través de grupos de acceso o roles, la visualización de detalles de acceso, la gestión de preferencias, el cambio de contraseñas de cuentas, etc.

Además, en función de la propiedad proporcionada en Oracle Access Governance, un usuario final:
  • Como propietario de campaña, puede modificar, suprimir, supervisar las campañas de revisión de acceso de las que es propietario.
  • Como revisor de acceso, puede revisar y certificar las tareas de revisión de acceso si están asociadas con un flujo de trabajo de aprobación específico.
  • Como propietario de un recurso, vea, modifique y suprima los recursos que posee.
  • Crear recopilaciones de identidades.
  • Gestione las recopilaciones de identidades que le pertenecen.