Documentación de Oracle Cloud Infrastructure

Fuente de datos en Oracle Access Governance

Event Data Publishing es un proceso para exportar eventos de datos únicos y secuenciales, y publicar continuamente eventos de datos continuos a sistemas externos, como una cuenta en la nube de Oracle Cloud Infrastructure (OCI). Con Oracle Access Governance, puedes exportar eventos de datos puntuales y publicarlos continuamente, como identidad, recopilaciones de identidades, políticas, recursos, acceso a recursos, etc., a tu arrendamiento en la nube. Puede utilizar estos datos para obtener estadísticas, almacenar datos para conformidad o para analizar datos de gobernanza y gestión de acceso.

Un evento hace referencia a cualquier cambio en el estado de los datos que se produce cuando se crean, modifican o suprimen componentes de Oracle Access Governance, como identidad, políticas, recursos, etc.

Con Event Data Publisher, los administradores obtienen el control completo sobre los datos de identidad y acceso y pueden utilizarlo para automatizar el registro de eventos y optimizar los informes de cumplimiento. Por ejemplo, puede activar Data Feed para ver estadísticas sobre infracciones de acceso en tiempo real.

Flujo de publicación de eventos de datos

Veamos el flujo de publicación de eventos de datos en Oracle Access Governance:

El flujo de publicación de eventos de datos utiliza cubos de OCI para la exportación puntual y publica actualizaciones posteriores en flujos de OCI o cubos de OCI en función del tamaño del archivo.


Flujo de publicación de eventos de datos

  1. Realice los pasos preliminares en su cuenta de OCI en la nube para recibir los datos. Para obtener más información, consulte Configuración del arrendamiento de OCI para Data Publisher y Streaming.
  2. Utilice el servicio Data Feed de Oracle Access Governance para publicar los datos en su sistema en la nube.
  3. Establezca una conexión con Oracle Access Governance introduciendo los detalles de configuración. Para obtener más información, consulte Configuración de Event Data Publisher en Oracle Access Governance.
  4. El servicio de editor de eventos de fuente de datos extrae los componentes de datos disponibles en Oracle Access Governance. El día 0, el evento inicial exporta una instantánea completa de los componentes de datos al cubo de OCI Object Storage como archivos JSONL. Los eventos del día 0 se publicarán en el cubo de OCI Object Storage.
  5. El manejador de eventos de datos mantiene el estado de publicación y devuelve una notificación de éxito o fallo.
  6. Para el día N, siempre que se produzca un cambio en el estado de los componentes de datos relacionado con la creación, modificación o supresión de componentes, el editor de eventos de fuente de datos detecta el cambio en tiempo real y publica los mensajes secuenciales en los flujos de OCI. El tamaño máximo de un mensaje puede ser de 1 MB.
  7. Para el día N, si el tamaño del mensaje es superior a 1 MB, el editor de eventos de fuente de datos publica las actualizaciones en los cubos de OCI como una nueva versión que agrega o sustituye entradas en el archivo JSONL versionado.
  8. Para los eventos de auditoría, todas las actividades operativas que se realizan en Oracle Access Governance se publican en OCI Streams. A continuación, los clientes pueden consumir estos datos para generar informes detallados, realizar un seguimiento de los cambios a lo largo del tiempo y mejorar la supervisión de la seguridad y el cumplimiento.

Eventos de datos iniciales y eventos de datos incrementales: eventos de día 0 y día N

Puede exportar y publicar datos de Oracle Access Governance en OCI Streams o en cubos de OCI.

Publicación de eventos en el día 0 con períodos

El día 0, que es la exportación de datos inicial, Oracle Access Governance se exporta al cubo de OCI como archivos JSONL (.jsonl). Estos archivos pueden manejar varios objetos JSON en una única carga útil de manera eficiente. Recibirá varios archivos por componente de datos.

El día 0, el editor de eventos de fuente de datos envía el mensaje de inicio al cubo de OCI con messageType como Day0, operación CREATE y estado START. Hasta que se exporten todos los objetos de datos, cada archivo de objeto de salida del día 0 contiene el estado In_PROGRESS. Una vez completado, el editor de eventos de fuente de datos envía el mensaje de finalización para el día 0. con el estado SUCCESS o FAILED. El estado correcto o de fallo se muestra en la consola de Oracle Access Governance, incluido el nombre del administrador que ha realizado la operación de publicación.

Publicación de eventos del día N con flujos de OCI o bloques de OCI

Después del día 0, las actualizaciones posteriores se publican en tiempo real en OCI Streams o en OCI Buckets. Cada mensaje publicado en los flujos tiene un atributo eventTime para ayudar al servicio al consumidor a gestionar el orden de los eventos.

Según el tamaño del archivo, se determina el destino de publicación.
  • Si el tamaño del archivo es inferior a un megabyte (< 1 MB), las actualizaciones se publican en OCI Streams en formato JSON. Los datos de los flujos están codificados en base64, lo que garantiza una transmisión rápida. Para consumir el mensaje, debe decodificar los datos y, a continuación, aprovecharlos para un uso posterior.
  • Si el tamaño del archivo es superior a un megabyte (> 1 MB), las actualizaciones se publican en los cubos de OCI como versiones de los archivos de salida del día 0, en formato JSONL.

Componentes de datos disponibles para publicación

Puede exportar y publicar los siguientes componentes de datos:

Eventos de Auditoría

Ámbito: todas las operaciones de Oracle Access Governance

messageType: AUDIT_EVENTS

Los eventos de auditoría registran las actividades operativas en Oracle Access Governance. Los eventos de auditoría se centran en la seguridad y el cumplimiento, y esencialmente realizan un seguimiento de las acciones del usuario, que contiene detalles de quién hizo qué, cuándo y dónde en el sistema.

Todas las operaciones de CRUD que se realizan en Oracle Access Governance se registran y publican como eventos de auditoría casi en tiempo real en OCI Streams. Una vez registrados, no se pueden cambiar. Ejemplo: acceda a detalles de registro de eventos de auditoría de creación de grupo, como ¿Quién creó el grupo? ¿Qué permisos se incluyen?, ¿quién puede solicitar el acceso? y Estado del flujo de trabajo de aprobación. Para obtener más información sobre la referencia de esquema y los atributos, consulte Esquema y ejemplo de referencia de eventos de auditoría.

Grupo de accesos

Ámbito: roles de Oracle Access Governance

messageType: ACCESS_BUNDLE

Todos los paquetes de acceso creados de forma manual o automática mediante el sistema de recomendaciones en Oracle Access Governance se publicarán como eventos ACCESS_BUNDLE. El archivo de salida contiene paquetes de acceso que contienen permisos específicos y detalles de propietario. Para obtener más información sobre la referencia de esquema y los atributos, consulte Access Bundle Reference Schema and Sample.

Límites de acceso

Ámbito: guías de acceso creadas en Oracle Access Governance

messageType: ACCESS_GUARDRAIL

Las guías de acceso creadas y gestionadas en Oracle Access Governance se publicarán como eventos ACCESS_GUARDRAIL. El archivo de salida contiene condiciones predefinidas y criterios de evaluación que deben cumplir las identidades antes de obtener acceso a un recurso. Para obtener más información sobre la referencia de esquema y los atributos, consulte Access Guardrail Reference Schema and Sample.

Identidad

Ámbito: todas las identidades activas (personal o consumidores)

messageType: IDENTITY

Todas las identidades activas, el personal o los consumidores, se publican como eventos IDENTITY en cubos y flujos de OCI. El archivo de salida contiene los detalles del perfil de identidad compuesto, etiquetados como atributo globalIdentity. Contiene detalles del perfil de acceso, incluidos los atributos básicos y personalizados. Un perfil de identidad compuesto en Oracle Access Governance se crea mediante atributos de uno o más sistemas orquestados. Por ejemplo, se puede ingerir jobCode de una identidad y los detalles del perfil de identidad, como firstName, lastName de Oracle Fusion Cloud Applications. Oracle Access Governance utiliza los atributos que se muestran en globalIdentity como fuente de datos para realizar diversas operaciones de gobernanza y aprovisionamiento.

Además, contiene una matriz de atributos de identidad entrantes de otros sistemas orquestados integrados, etiquetados como targetIdentities que coinciden con este perfil de identidad compuesto. Por ejemplo, un perfil de identidad compuesto en Oracle Access Governance utiliza detalles de identidad de Oracle Fusion Cloud Applications, pero si la misma identidad está disponible en Microsoft Entra ID y coincide con la identidad compuesta, los atributos de identidad disponibles en Microsoft Entra ID se publicarán como parte de targetIdentities. Para obtener más información sobre la referencia de esquema y los atributos, consulte Esquema de referencia de identidad y ejemplo.

Grupo

Ámbito: grupos de OCI IAM

messageType: OCI_GROUP

Todos los grupos de OCI IAM disponibles ingeridos en Oracle Access Governance se publicarán como eventos OCI_GROUP.

El archivo de salida contiene identificadores de OCI, como el ID de dominio, el ID de compartimento, el nombre de recopilación de identidades, la descripción y las recopilaciones de identidades con una matriz de identidades incluidas en una recopilación de identidades. Las operaciones Actualizar y Crear comparten el mismo esquema. Sin embargo, cuando se crea una nueva recopilación de identidades, no recibirá ninguna identidad en el atributo remove. Para obtener más información sobre la referencia de esquema y los atributos, consulte Esquema de referencia de grupo y ejemplos.

Recopilación de identidades globales

Ámbito: grupos de OCI IAM

messageType: GLOBAL_IDENTITY_COLLECTION

Todas las recopilaciones de identidades ingeridas en Oracle Access Governance se publicarán como eventos GLOBAL_IDENTITY_COLLECTION. Oracle Access Governance puede o no gestionar las recopilaciones de identidades.

Si la recopilación de identidades es agManaged true, el archivo de salida contiene reglas de afiliación, condiciones, recuento de miembros y detalles de propiedad. Si la recopilación de identidades es agManaged false, contiene detalles de grupos de OCI o grupos de Active Directory, que no se han creado ni gestionado en Oracle Access Governance. Puede ver los atributos de metadatos personalizados para esa información de recuento de miembros y grupos. Para obtener más información sobre la referencia de esquema y los atributos, consulte Esquema y ejemplos de referencia de recopilación de identidades.

Política de nube

Ámbito: políticas de OCI

messageType: CLOUD_POLICY

Todas las políticas de OCI disponibles que se ingieren en Oracle Access Governance se publicarán como eventos CLOUD_POLICY. Para una política de OCI, el archivo de salida contiene identificadores de OCI, como ID de dominio, ID de compartimento, nombre de política y descripción. Contiene detalles de la política, incluido el sujeto al que se otorga el acceso, el tipo de acceso y el ámbito del acceso otorgado. Para obtener más información sobre la referencia de esquema y los atributos, consulte Esquema de referencia de políticas en la nube y ejemplo.

Recurso

Ámbito: todos los recursos

messageType: RESOURCE

Todos los recursos disponibles en todos los sistemas orquestados ingeridos en Oracle Access Governance se publicarán como eventos RESOURCE. El archivo de salida contiene identificadores de recursos en Oracle Access Governance y en OCI, nombre de recurso, descripción y tipo de recurso. Para obtener más información sobre la referencia de esquema y los atributos, consulte Esquema de referencia de recursos y ejemplo.

Rol

Ámbito: roles de Oracle Access Governance

messageType: ROLE

Todos los roles creados y gestionados en Oracle Access Governance se publicarán como eventos ROLE. El archivo de salida contiene identificadores obligatorios junto con Oracle Access Governance y en OCI, nombre de recurso, descripción y tipo de recurso. Para obtener más información sobre la referencia de esquema y los atributos, consulte Esquema de referencia de recursos y ejemplo.

Política

Ámbito: políticas integradas en Oracle Access Governance

messageType: POLICY

Todas las políticas ingeridas en Oracle Access Governance se publicarán como eventos POLICY. El archivo de salida contiene reglas de política y sentencias de política que indican qué grupo o rol de acceso se debe asociar a qué recopilación de identidades. Para obtener más información sobre la referencia de esquema y los atributos, consulte Esquema de referencia de políticas y ejemplo.

Política en la nube para asignar recursos

Ámbito: políticas de OCI y recursos de OCI

messageType: para la asignación de política a recurso, es POLICY_STATEMENT_RESOURCE_MAPPING. Para la asignación de recurso a política, es RESOURCE_POLICY_STATEMENT_MAPPING.

El componente Access contiene dos métodos para ver los mismos datos:
  • Política que otorga acceso a recursos: lista de recursos regidos por una política específica. Cada objeto JSON contiene una sentencia de política que detalla un juego de recursos asociados a él. En estos datos, el enfoque se centra en una política específica que rige un conjunto de recursos.
  • Acceso a recursos mediante sentencias de política: lista de políticas asociadas a un recurso. Cada objeto JSON contiene un juego de políticas que detalla los recursos que se le han aplicado. Es el proceso inverso y el enfoque está en un recurso específico.

Para obtener más información sobre la referencia de esquema y los atributos, consulte Access Policy to Resource Schema and Sample y Access Resource to Policy Schema and Sample.

Permisos

Ámbito: permisos ingeridos en Oracle Access Governance

messageType: PERMISSION

Todos los permisos que se ingieren en Oracle Access Governance se publicarán como eventos PERMISSION. El archivo de salida contiene atributos de permiso, incluido el ID, el ID externo para realizar un seguimiento del origen del permiso, los detalles del recurso y los atributos personalizados para el permiso. Para obtener más información sobre la referencia de esquema y los atributos, consulte Permission Reference Schema and Sample.

Asignación de permisos

Ámbito: permisos gestionados por Oracle Access Governance

messageType: PERMISSION_ASSIGNMENT

Todos los permisos aprovisionados a una identidad y gestionados en Oracle Access Governance se publicarán como eventos PERMISSION_ASSIGNMENT. El archivo de salida contiene los detalles de permisos y recursos asignados a la identidad, incluido el ID de identidad, el sistema orquestado al que se aplican los permisos, los identificadores de permisos y recursos, la cuenta y el estado de aprovisionamiento. Para obtener información sobre la referencia del esquema y los atributos, consulte Esquema y ejemplo de referencia de asignación de permisos.