Documentación de Oracle Cloud Infrastructure

Crear un paquete de acceso

Un paquete de acceso es una recopilación de permisos que empaquetan el acceso a los recursos, las funciones de la aplicación y la funcionalidad en una unidad que se puede solicitar. Un grupo de acceso específico se asociará a un único destino.

Descripción general

Con los grupos de acceso, no necesita otorgar acceso a cada permiso individualmente, pero puede solicitar el grupo de acceso para ese recurso. Esto simplifica el proceso de aprovisionamiento de cuentas con permisos de recursos.

Ejemplo: puede crear un grupo de acceso para desarrolladores mediante la aplicación de destino Oracle Apex. Puede llamar a este paquete Apex Developer Access y seleccionar los permisos de lectura, edición y creación necesarios para que un desarrollador utilice la aplicación. Cuando un desarrollador de su organización necesita solicitar acceso de desarrollador a Apex, solo necesita solicitar el paquete, no los tres permisos individuales. Puede asignarles automáticamente estos permisos a través de las políticas de Oracle Access Governance.

Gestión de accesos mediante paquetes de acceso de Oracle Access Governance

Puede gestionar grupos para Microsoft Entra ID (anteriormente Azure Active Directory) y Microsoft Active Directory.

Sistema orquestado de Oracle Cloud Infrastructure (OCI)
Para los dominios que gestionan permisos, los permisos se empaquetan como grupos de OCI IAM y roles de aplicación. Puede lograr lo siguiente:
  • Asignación de grupos: agrupa los grupos de OCI IAM en un grupo de acceso, que luego se pueden asignar a identidades mediante una política o una solicitud de acceso.
  • Asignación de roles de aplicación: agrupa los roles de aplicación de servicios en la nube de OCI en un grupo de acceso, que luego se pueden asignar a identidades mediante una política o una solicitud de acceso.

Navegar a Access Bundle

Para navegar a la página Access Bundle:

  1. Inicie sesión en la consola de Oracle Access Governance con un usuario que esté asignado con los roles de aplicación Administrador o Administrador de control de acceso.
  2. Puede seleccionar una de las siguientes opciones para acceder a la página Acceder a grupo:
    • Haga clic en el icono del menú de navegación Menú de navegación y seleccione Controles de acceso > Paquetes de acceso.
    • En la página de inicio de la consola, haga clic en el separador Controles de acceso y, a continuación, en el botón Seleccionar del mosaico Gestionar grupos de acceso.
    Cualquiera que sea la opción que elija, accederá a la página Paquete de acceso, donde podrá crear, ver y gestionar paquetes de acceso.
  3. Para crear un grupo de accesos nuevo, haga clic en el botón Crear grupo de accesos. Se muestra la página Crear un nuevo grupo de acceso.

Configuración de grupo

En la tarea Configuración de grupo, puede introducir la configuración general sobre el grupo de acceso. También puede agregar etiquetas fáciles de usar que se pueden utilizar en una búsqueda de este grupo de acceso al crear políticas.

  1. Seleccione el sistema orquestado en el campo ¿Para cuál sistema está pensado este grupo?.
    Verá las aplicaciones disponibles para su selección, en función de los datos ingeridos desde sus sistemas integrados.
  2. [Solo OCI] Seleccione el dominio en el campo ¿Qué dominio? desde el que desea seleccionar roles de aplicación o grupos de OCI IAM.
  3. [Solo OCI] En el campo ¿Qué tipo de permiso?, seleccione cualquiera de las siguientes opciones:
    • Rol de aplicación: para empaquetar roles de aplicación de OCI en un grupo de acceso y asignarlos a identidades.
    • Acceso de grupo: para empaquetar y asignar grupos de OCI IAM en un grupo de acceso.
    No puede combinar el rol de aplicación y el acceso de grupo en un único grupo de acceso. Puede crear un rol en Oracle Access Governance y asociar dos paquetes de acceso independientes con él. A continuación, se pueden solicitar mediante flujos de autoservicio o aprovisionar mediante políticas de Oracle Access Governance. Para obtener más información, consulte Gestión de roles.
  4. Seleccione quién puede solicitar este grupo entre las opciones disponibles:
    • Cualquiera: cualquier identidad puede solicitar el acceso a este grupo de acceso.
    • Nadie: el grupo de acceso solo puede ser asignado por un administrador mediante políticas. No puede solicitar acceso a este grupo de acceso a través de flujos de autoservicio.
    • Miembros de la organización: solo los miembros de organizaciones específicas pueden solicitar acceso a este grupo mediante flujos de autoservicio. Para obtener más información sobre la gestión de organizaciones de Oracle Access Governance, consulte Creación y gestión de organizaciones.
  5. Para Miembros de organización, seleccione uno o más nombres de organización que puedan solicitar acceso a este grupo de acceso.
  6. Seleccione el flujo de trabajo de aprobación adecuado en el campo ¿Qué flujo de trabajo de aprobación se debe utilizar?.
    La lista mostrada se basa en los flujos de trabajo de aprobación personalizados creados en la consola de Oracle Access Governance. Para obtener más información, consulte Crear un flujo de trabajo de aprobación.
    Nota

    Si ha seleccionado Ninguno, este campo se desactivará, ya que los grupos de acceso se pueden aprovisionar mediante políticas.
  7. Seleccione la casilla de control Aprobar automáticamente solicitudes sin protección de acceso o infracciones de SoD para disparar el flujo de trabajo de aprobación seleccionado solo cuando una solicitud de acceso da como resultado una infracción contra una barrera de acceso o la separación de funciones (SoD). De lo contrario, la solicitud se aprueba automáticamente.
  8. Seleccione una o más etiquetas para este grupo de acceso en el campo ¿Desea agregar alguna etiqueta?. Algunos ejemplos pueden ser General-org , Database Admin o similares.
  9. En la lista Seleccionar una guía de acceso necesaria para permitir el acceso, seleccione la guía de acceso adecuada para aplicar la separación de acceso de tareas o restricciones para el grupo de acceso. Para obtener más información, consulte Access Guardrails - Enforcing Preventive Access Control Constraints.
  10. Haga clic en Siguiente para ir a la tarea Seleccionar permisos.

Seleccionar Permisos

En la tarea Seleccionar permisos, puede seleccionar los permisos que desea incluir en este grupo de acceso. Según el sistema orquestado, es posible que vea atributos adicionales necesarios para el aprovisionamiento de cuentas. Consulte los artículos específicos del sistema orquestado para obtener más información sobre los atributos por defecto. Para OCI, puede seleccionar grupos de OCI IAM o roles de aplicación.

  1. Seleccione uno o más permisos asociados a la aplicación de destino. También puede utilizar el campo Buscar para buscar el permiso o rol necesarios.
  2. Una vez seleccionados los permisos, haga clic en Siguiente para ir a la tarea Agregar detalles.

Agregar propietarios principales y adicionales

Puede asociar la propiedad de recursos agregando propietarios principales y adicionales. Esto impulsa el autoservicio, ya que estos propietarios pueden gestionar (leer, actualizar o suprimir) los recursos que poseen. Por defecto, el creador del recurso se designa como propietario del recurso. Puede asignar un propietario principal y hasta 20 propietarios adicionales para los recursos.

Para asignar la propiedad de recursos, debe tener usuarios activos de Oracle Access Governance. Al configurar el primer sistema orquestado para la instancia de servicio, puede asignar propietarios solo después de activar las identidades en la sección Gestionar identidades.
No se necesitan roles de aplicación especiales para asignar la propiedad del recurso. Cualquier usuario activo de Oracle Access Governance se puede asignar como propietario de los recursos. Todos los propietarios pueden leer, actualizar o suprimir los recursos de los que son propietarios. Sin embargo, el propietario principal se asigna como revisor de acceso cuando selecciona la plantilla Propietario en el flujo de trabajo de aprobación para realizar revisiones de propiedad en campañas. Para obtener más información, consulte Tipos de revisiones de acceso ofrecidas por Oracle Access Governance.
  1. En el icono de menú de navegación de Oracle Access Governance Menú de navegación, seleccione Administración de servicios → Sistemas orquestados.
  2. Seleccione la opción Gestionar integración en el menú de acción menú de acción del sistema orquestado que desea configurar. Se muestra la página Gestionar integración para el sistema orquestado seleccionado.
  3. En la sección Configuración del sistema de la página, seleccione Gestionar en el mosaico Configuración de propiedad. Se mostrará la página de configuración de propiedad para el sistema orquestado seleccionado.
  4. Seleccione un usuario activo de Oracle Access Governance como propietario principal en el campo ¿Quién es el propietario principal?.
  5. Seleccione uno o más propietarios adicionales en la lista ¿A quién más le pertenece?. Puede agregar hasta 20 propietarios adicionales para el recurso.
    Puede ver el propietario principal en la lista. Todos los propietarios pueden ver y gestionar los recursos de los que son propietarios.

Acceso a límite de tiempo

Defina un período de caducidad para limitar el acceso por días u horas. También puede permitir a los usuarios solicitar una extensión antes de que se revoque el acceso al caducar. El acceso de límite temporal garantiza que las identidades tengan acceso solo durante el período requerido, lo que mejora la seguridad.

El acceso de límite temporal solo se aplica a las solicitudes de acceso de autoservicio y no se aplica cuando el acceso se otorga a través de una política.
  1. ¿Cuánto tiempo se debe otorgar acceso?: seleccione una de las siguientes opciones:
    1. Indefinidamente: permite el acceso permanente sin límites de tiempo. El acceso solo se recupera si se revoca manualmente o la cuenta está desactivada.
    2. Número máximo de días [1-365]: introduzca el número máximo de días para otorgar acceso. El acceso se revocará después de este período.
    3. Número máximo de horas [1-24]: introduzca el número máximo de horas para otorgar acceso. El acceso se revocará después de las horas especificadas.
  2. ¿Cuántos días/horas antes de la caducidad debemos enviar una notificación?: en función de la selección de días u horas para el acceso, introduzca el número de días u horas antes de la caducidad para enviar una notificación por correo electrónico al usuario.
  3. ¿Cuál es el máximo de días/horas de extensión permitido?: en función de la selección de días u horas para el acceso, introduzca el número máximo de días/horas permitido para una extensión después de que caduque el acceso. Si se permite, las identidades pueden generar una solicitud de extensión de acceso de autoservicio desde la página Mi acceso.
    • Si el grupo de acceso tiene un límite de tiempo, el período de extensión viene determinado por la configuración del grupo de acceso.
    • Si el grupo de acceso es indefinido, las extensiones se permiten por defecto hasta 90 días.
  4. ¿Qué flujo de trabajo de aprobación se debe utilizar para las solicitudes de extensión?: seleccione el flujo de trabajo de aprobación adecuado que se debe utilizar para aprobar la solicitud de extensión.

Adición de detalles

En esta tarea Agregar detalles, puede asignar un nombre al grupo de acceso, agregar una descripción complementaria y asociar un perfil de cuenta.

  1. Introduzca el nombre del grupo de acceso en el campo Nombre.
  2. Agregue una descripción para su paquete de acceso en el campo de Descripción.
    Nota

    El resto de los campos de la pantalla dependen del tipo de destino y los permisos seleccionados en las tareas anteriores.
  3. Seleccione una de las siguientes acciones para el campo ¿Desea utilizar un perfil de cuenta?. Para obtener más información, consulte Configuración de perfiles de cuenta en Oracle Access Governance.
    • : seleccione un perfil de cuenta de la lista ¿Qué perfil de cuenta?.
    • No: introduzca valores en los demás campos que aparecen según el sistema gestionado.
  4. Haga clic en Siguiente para ir a la tarea Revisar y enviar.

Revisión y envío

La tarea Revisar y enviar muestra la información que ha agregado en las tareas anteriores.

Si todo parece correcto, haga clic en Crear para crear el grupo de acceso. Puede seleccionar acciones de adición:
  • Cancelar: para cancelar el proceso.
  • Atrás: para volver al paso anterior.
  • Guardar como borrador: para guardar el grupo de acceso como una copia provisional. Esto mostrará el grupo de acceso en la pantalla Paquete de acceso con el estado "Borrador".