Documentación de Oracle Cloud Infrastructure

Crear campañas de revisión de acceso de identidad

Como administrador o administrador de campaña, certifique los accesos de identidad mediante la creación de campañas de revisión de acceso de identidad bajo demanda desde la consola de Oracle Access Governance. Pueden ser campañas de revisión de acceso únicas o periódicas.

Requisitos

Antes de crear campañas de revisión de acceso de identidad, tenga en cuenta lo siguiente:

  • Para crear campañas para revisiones de acceso, debe tener asignado el rol Administrador o Administrador de campaña de Oracle Access Governance.
  • Active los atributos de identidad (núcleo y personalizado) y las afiliaciones desde la página Atributos de identidad. Por ejemplo, puede que necesite definir las campañas en función del código de proyecto o el centro de costos. Consulte Ver y configuración de atributos de identidad personalizados.
  • Debe seleccionar al menos un criterio de selección para ejecutar campañas a fin de evitar un consumo significativo de recursos.
  • Seleccione el sistema de Oracle Access Governance para ejecutar revisiones de acceso de identidad basadas en los permisos ingeridos directamente desde los sistemas orquestados.
  • Para el sistema de Oracle Access Governance, seleccione los permisos asignados directamente (DIRECT) o los paquetes de acceso otorgados mediante la solicitud del mosaico ¿Qué permisos?. Los permisos o las cuentas aprovisionados mediante la póliza no son elegibles en esta revisión.
  • No puede seleccionar permisos y roles específicos en la misma campaña que la campaña como ¿Qué permisos? y ¿Qué roles? se excluyen mutuamente. Esto significa que puede seleccionar cualquiera de los dos al crear una campaña. Sin embargo, puede revisar todos los permisos y roles disponibles cuando selecciona ¿Quién tiene acceso? y ¿A qué acceden?.

Para obtener más información sobre las campañas, consulte Mejores prácticas para trabajar con campañas.

Navegar a campañas

Las campañas se crean desde la consola de Oracle Access Governance. Vaya a la página Campañas para iniciar el proceso de revisión de acceso bajo demanda.

  1. Conéctese a la consola de Oracle Access Governance.
  2. Seleccione una de las siguientes opciones para acceder a la pantalla:
    • En la página inicial de la consola de Oracle Access Governance, seleccione el separador Revisiones de acceso. Seleccione el mosaico Definir una nueva campaña.
    • En el menú de navegación Menú de navegación, seleccione Revisiones de acceso y, a continuación, Campañas. En la página Campañas, seleccione Crear una campaña.
  3. Seleccione uno de los tipos de sistema para los que desea ejecutar campañas. Para obtener más información, consulte Tipos de sistema elegibles para iniciar campañas de revisión de acceso.
    En la página de flujo de trabajo Crear una nueva campaña de revisión de acceso, defina los criterios de selección para la campaña.

Seleccionar criterios para sus revisiones de acceso

En la dimensión Criterios de selección, seleccione los criterios adecuados para las campañas de Revisión de acceso de identidad. Los atributos configurados en la página Atributos de identidad están disponibles como criterios de selección. Todos los criterios se pueden buscar por nombre.

Los mosaicos de selección se basan en el sistema seleccionado en el paso anterior. Por ejemplo, para Oracle Cloud Infrastructure (OCI), puede que vea mosaicos adicionales, como ¿Qué arrendamientos? para que pueda seleccionar la cuenta en la nube para la que desea ejecutar la revisión.
  1. Seleccione uno o más mosaicos de criterios que desee incluir en cualquier orden. No es necesario actualizar cada criterio. Los valores de selección se obtienen del sistema orquestado integrado. Los mosaicos disponibles son:
    OpciónDescripción
    ¿Quién tiene acceso? Para filtrar identidades basadas en atributos de identidad básicos o personalizados.
    1. Seleccione hasta cinco atributos en el campo ¿Qué atributos deseas agregar para la selección?.
    2. En cada ficha, seleccione uno o más valores de selección disponibles.
    ¿A qué están accediendo? Seleccione identidades en función de su acceso a aplicaciones o recursos.
    ¿Qué permisos? Seleccionar identidades en función de su acceso a los permisos.
    • Para Oracle Identity Governance (OIG), puede seleccionar derechos.
    • Para Oracle Access Governance, puede seleccionar permisos asignados directamente en el sistema gestionado o permisos aprovisionados a través del paquete de acceso icono de grupo de acceso mediante Solicitud en Oracle Access Governance. Los permisos varían según el sistema orquestado.
    • Para OCI, puede revisar los grupos de OCI IAM y los roles de aplicación asignados mediante el paquete de acceso icono de grupo de acceso mediante la solicitud en Oracle Access Governance.
    ¿Qué roles? Filtrar identidades en función de sus roles.
    • Para Oracle Identity Governance (OIG), puede seleccionar roles asignados directamente.
    • Para Oracle Access Governance, puede seleccionar roles asignados directamente en el sistema gestionado o creados en Oracle Access Governance.
    • Para Oracle Cloud Infrastructure (OCI), puede revisar los roles de aplicación de servicios de OCI Cloud asignados directamente en OCI.
    ¿Qué arrendamientos? Para filtrar la cuenta en la nube. Seleccione el enlace Afinar más para seleccionar el compartimento y el dominio para su cuenta en la nube. Disponible solo para el sistema de revisión de Oracle Cloud Infrastructure.
    Utilice el filtro para seleccionar los valores relevantes. Por ejemplo, para el ámbito de Oracle Access Governance, en el mosaico ¿Qué permisos?, seleccione Paquete de acceso como el tipo de permiso otorgado y defina Limitado como el límite de tiempo de acceso para revisar los paquetes de acceso con un acceso de límite temporal. En Oracle Cloud Infrastructure (OCI), en la lista Límite de tiempo de acceso, seleccione Limitado.
  2. Después de la selección, seleccione Aplicar mis selecciones.
  3. Para actualizar los criterios de selección, seleccione el botón Modificar en el mosaico correspondiente.
    El panel de la parte derecha de la página muestra el efecto de su selección y le proporciona una estimación de las identidades incluidas consideradas para revisión.
  4. Una vez realizada la selección, seleccione el botón I'm good, go to workflows para continuar con la dimensión Assign workflow.
    En cualquier momento, seleccione Guardar borrador para guardar la campaña y retomarla más tarde para trabajar en los detalles.

Agregar revisores de acceso mediante la selección del flujo de trabajo de aprobación

En la dimensión Asignar flujo de trabajo, seleccione el flujo de trabajo de aprobación para la revisión de acceso.

  1. Seleccione el flujo de trabajo de aprobación que desea asignar a esta campaña de revisión de acceso.
    Una lista de los flujos de trabajo disponibles muestra todos los flujos de trabajo de aprobación definidos en el sistema. Antes de seleccionar el flujo de trabajo, considere guías de autocertificación y mecanismo de recuperación. Para obtener más información sobre cómo crear y gestionar flujos de trabajo de aprobación, consulte Crear flujo de trabajo de aprobación y Gestionar flujo de trabajo de aprobación.
  2. Después de seleccionar el flujo de trabajo, haga clic en el enlace Ver flujo de trabajo de aprobación para ver una representación gráfica del flujo de trabajo seleccionado.
    Nota

    Si una campaña utiliza un flujo de trabajo de aprobadores de negocio, la revisión se asigna al propietario del recurso. Por ejemplo, las revisiones del grupo de acceso se asignan al propietario principal del grupo de acceso, las revisiones del rol al propietario principal del rol de Access Governance, las revisiones del permiso de OIG al propietario del permiso y las revisiones del rol de OIG al propietario del rol ingerido desde el sistema orquestado. Si el responsable principal no es un responsable de recurso válido, el mecanismo de reserva se dispara automáticamente para asignar un nuevo responsable. Consulte Descripción del mecanismo de reserva: métodos para evitar el cese de campañas.
  3. Seleccione el ámbito de justificación necesario para las decisiones de revisión. Puede seleccionar que los revisores agreguen comentarios para todas las decisiones de revisión, solo para las decisiones de revocación o mantener el campo de justificación como opcional.
  4. Seleccione Siguiente para continuar con la dimensión Agregar detalles.
    En cualquier momento, seleccione Guardar borrador para guardar la campaña y retomarla más tarde para trabajar en los detalles.

Agregar Propietarios

Puede agregar propietarios principales y secundarios a las campañas. Para las campañas existentes, el propietario principal se selecciona como el propietario de la campaña, sin propietarios secundarios.

De forma predeterminada, el creador del recurso está seleccionado como propietario del recurso.
  1. Seleccione un usuario activo de Oracle Access Governance en el campo Quién es el propietario principal.
  2. Seleccione uno o más usuarios en el campo ¿Quién más es el propietario?. Puede agregar hasta 20 propietarios adicionales.

    El propietario principal se muestra en la lista de campañas. Todos los propietarios asignados pueden ver y gestionar las campañas de las que son responsables.

Si el responsable principal no es un responsable de campaña válido, el mecanismo de reserva se dispara automáticamente para asignar un nuevo responsable. Consulte Descripción del mecanismo de reserva: métodos para evitar el cese de campañas.

Agregar detalles de campaña

En la dimensión Agregar detalles, seleccione el ciclo de programa de campaña, asigne un nombre significativo a la campaña, agregue una descripción complementaria y asigne valores a atributos adicionales, como el propietario principal y secundario, y cuándo debe comenzar o finalizar la campaña.

Para agregar detalles:
  1. Seleccione un ciclo de programa adecuado en el campo ¿Con qué frecuencia desea que se ejecute?.
  2. En ¿Qué nombre deseas asignar a la campaña?, introduzca un nombre de campaña único.
  3. En Cómo deseas describir esta campaña, introduce la descripción de la campaña.
  4. Seleccione una de las siguientes opciones para los sistemas Oracle Access Governance y Oracle Identity Governance (OIG):
    OpciónDescripción
    Incluir revisiones de cuenta Seleccione esta opción si desea incluir revisiones de acceso de identidad para cuentas junto con permisos. Desactive la casilla de control para excluir revisiones de cuentas.
    Incluir revisiones de rol Seleccione esta opción si desea crear revisiones de acceso de identidad para roles junto con permisos. Desactive la casilla de control para excluir revisiones de roles.
    Al revisar permisos, las revisiones de cuentas y roles se incluyen de forma predeterminada. Si excluye revisiones de cuentas y roles, solo se generan revisiones de permisos.
  5. En función del ciclo de programación seleccionado en el paso 1, seleccione la hora a la que desea lanzar la campaña.
    • Para una vez, seleccione Ejecutar ahora o Programar más tarde. Por defecto, la campaña se define para que comience al principio de la hora siguiente el día siguiente de creación de la campaña.
    • Para las series de campaña, seleccione el icono de calendario y seleccione la fecha y hora de inicio y finalización de la campaña.
  6. Seleccione Siguiente para ir a la dimensión Revisar y enviar.
  7. (Opcional) Seleccione una de las acciones adicionales:
    • Guardar borrador: para guardar el cambio y volver más tarde a editar el flujo de trabajo o los detalles.
    • Cancelar: para cancelar el proceso actual.
    • Atrás: para volver al paso anterior.

Revisión y envío de la campaña

En la dimensión Revisar y enviar, revise los detalles de la campaña y cree la campaña.

Para revisar y enviar la campaña:
  1. Revise la información de la campaña. Para cualquier cambio, seleccione el botón Atrás.
  2. Seleccione Crear. La Campaña se ha programado correctamente.