Documentación de Oracle Cloud Infrastructure

Gestión del ciclo de vida de la cuenta - Provisionamiento automatizado para procesos de movimiento y abandono de uniones (JML)

Oracle Access Governance soporta el aprovisionamiento automatizado y la anulación del aprovisionamiento de cuentas y accesos según la etapa del ciclo de vida de la identidad. El ciclo de vida de la identidad implica tres etapas clave: Joiners, Movers y Leavers, conocido popularmente como el proceso JML. El soporte para este proceso implica la creación, modificación y supresión de cuentas de identidad y sus permisos de acceso basados en el cambio de atributos en el sistema orquestado integrado.

Este proceso garantiza que las identidades obtengan el acceso necesario automáticamente sin emitir la solicitud de acceso manualmente. No solo reduce la carga administrativa, sino que también garantiza la integridad y el cumplimiento de los datos. Otras formas de aprovisionamiento son solicitar el acceso de forma manual o directa desde el sistema gestionado. Para obtener más información, consulte Ver Mis solicitudes de acceso.

Como usuario con el rol AG_ServiceDesk_Admin, puede gestionar directamente el ciclo de vida de la cuenta sin ningún flujo de trabajo de aprobación. En la página Gestionar identidades → identidades, puede activar, desactivar, suprimir cuentas o terminar todas las cuentas y los accesos asociados a una identidad. También puede reintentar el aprovisionamiento para estados con fallos o pendientes, y revocar los permisos asignados directamente o mediante solicitudes. Para obtener más información sobre los pasos, consulte Gestión del ciclo de vida de las cuentas con el soporte ejecutivo del servicio de asistencia.

Con Oracle Access Governance:

  • Los miembros tienen acceso a su derecho de nacimiento cuando se unen a la empresa.
  • Los móviles obtienen los accesos necesarios cuando cambian de roles, reciben transferencias internas u obtienen promociones dentro de la empresa.
  • Los que abandonan tienen su cuenta revocada (suprimida o desactivada) una vez que salen de la empresa.

En Oracle Access Governance, la información de identidad se crea mediante un juego de atributos de identidad núcleo y personalizado. Cada vez que crea, modifica o actualiza un registro de identidad en el origen autorizado, Oracle Access Governance ingiere los datos más recientes en la próxima operación de carga de datos e inicia las operaciones de aprovisionamiento o anulación de aprovisionamiento correspondientes. Oracle Access Governance logra este mecanismo de control de acceso granular y flexible mediante el modelo de control de acceso basado en políticas (PBAC). Oracle Access Governance asigna miembros a identidades mediante los atributos (Control de Acceso Basado en Atributos (ABAC)) y, a continuación, aprovisiona las identidades en función de políticas definidas. Una política puede aprovechar aún más el modelo de control de acceso basado en roles para asignar permisos basados en roles adecuados ingeridos a partir de atributos de identidad.

Operaciones Soportadas: Crear Cuenta, Leer Cuenta, Asignar Permisos, Revocar Permisos, Cambiar Contraseña, Desactivar Cuenta, Actualizar Cuenta, Suprimir Cuenta. Para obtener más información, consulte la documentación específica del sistema orquestado, como se menciona en Supported Integrations in Oracle Access Governance.

Vinculación de empleados: aprovisionamiento de uniones

Cuando un nuevo empleado se incorpora a una empresa o se contrata en ella, se crea un nuevo registro en el origen autorizado, como Oracle HCM. Una vez que se incorporan las identidades en Oracle Access Governance, se puede aprovisionar el acceso con derechos de nacimiento o el juego por defecto de cuentas y permisos, en función de las configuraciones de control de acceso realizadas en Oracle Access Governance.

El proceso Joiners garantiza que cada nuevo empleado obtenga la cuenta y los permisos necesarios para iniciar su proceso de vinculación.

Cuando una identidad se incorpora y está activa en Oracle Access Governance, todos los atributos de identidad se comparan con las políticas definidas. Si una política de Oracle Access Governance otorga acceso a determinados roles o paquetes de acceso a identidades que pertenecen a un departamento específico, se aprovisionan para ese rol o grupo de acceso.

Escenario: cuando un nuevo empleado, Alice, se une al departamento de Éxito del cliente de la división de ventas, el aprovisionamiento de unionarios garantiza que Alice reciba todas las cuentas y permisos obligatorios aplicables a su división y su departamento. Veamos cómo lograrlo en Oracle Access Governance.

Ejecución del aprovisionamiento de uniones en Oracle Access Governance

Teniendo en cuenta el escenario anterior, veamos los pasos de alto nivel necesarios para lograr el aprovisionamiento de unionarios en Oracle Access Governance:

  1. Como administrador de control de acceso, configure la configuración de control de acceso de la siguiente manera:
    1. Cree una recopilación de identidad basada en reglas de afiliación. Por ejemplo, cree una recopilación de identidades con una regla de afiliación como Organización de origen igual a Ventas y otra recopilación de identidades donde Departamento sea igual a Éxito del cliente. Para obtener más información, consulte Creación de recopilaciones de identidades.
    2. Cree un paquete de acceso o un rol y el acceso del paquete a los permisos necesarios. Por ejemplo, cree un grupo de acceso Sales_AB con permisos aplicables a Ventas y otro grupo de acceso Customer_Success_AB con permisos aplicables a Éxito del cliente. Para obtener más información, consulte Crear paquete de acceso.
    3. Cree una política y asocie la parte de permisos del paquete de acceso a la recopilación de identidades. Por ejemplo, cree una política Sales_Policy y asocie Sales_AB a la recopilación de identidades de ventas. Del mismo modo, cree Customer_Success_Policy y asocie Customer_Success_AB a la recopilación de identidades Correcto con el cliente. Para obtener más información, consulte Creación de una política.
  2. Origen autorizado registra un nuevo registro de un empleado. Por ejemplo, RR. HH. agrega un nuevo registro de Alice con Unidad de negocio como Ventas y Departamento como Éxito del cliente.
  3. Sistema orquestado realiza la carga de datos, ingiere los datos más recientes y crea un perfil de identidad compuesto en Oracle Access Governance. Para obtener más información, consulte Flujo de proceso de orquestación de identidad.

Se crea un nuevo perfil de identidad en Oracle Access Governance. Los atributos se confrontan con las políticas definidas y se disparan las operaciones de aprovisionamiento adecuadas. Para los unionarios, el sistema orquestado dispara las operaciones de aprovisionamiento Crear cuenta y Agregar datos de cuenta o permiso para asignar nuevas cuentas y permisos.

Validación del aprovisionamiento de Joiners en Oracle Access Governance

  • Como administrador de acceso para toda la empresa, puede buscar la identidad para ver los detalles de identidad completos que muestran los atributos de identidad, los permisos y la información de la cuenta. También puede ver los detalles de la recopilación de identidades para verificar la nueva lista de miembros.
  • Como gestor de identidad, puede ver detalles de identidad completos para los subordinados directos en Quién tiene acceso a quéAcceso a mis subordinados directos.
  • Como usuario, puede validar sus cuentas y permisos desde la página Mis cosasMi acceso.

En función de la configuración de cuenta configurada para el sistema orquestado, un usuario o un mánager de usuarios recibirán una notificación cada vez que se creen nuevas cuentas. Por defecto, las notificaciones se envían al usuario. Para obtener más información, consulte Configure Orchestrated System Account Settings.

Traslados de empleado - Aprovisionamiento de movimiento

Cuando un empleado se traslada internamente, se reubica u obtiene un ascenso dentro de una organización, se actualiza un registro para ese empleado en el origen autorizado. Tras la transferencia, la identidad solo debe tener acceso a los privilegios adecuados relevantes para el nuevo perfil de puesto. Las cuentas y los permisos restantes se deben revocar según la configuración del ciclo de vida de la cuenta. Puede lograr este aprovisionamiento automático en función de las configuraciones de control de acceso realizadas en Oracle Access Governance.

El proceso Movimientos garantiza que solo se asignen los permisos o cuentas necesarios y correctos a los empleados que necesitan en su nuevo rol.

Escenario: cuando un empleado, Alice, obtiene una transferencia interna del departamento de Éxito del cliente al departamento de Ventas en la nube de la división de ventas, el aprovisionamiento de movidores garantiza que Alice reciba todos los privilegios aplicables a su nuevo rol, y revoca o desactiva las cuentas y los permisos anteriores que necesita su antiguo rol. En este ejemplo, Alice seguirá teniendo permisos aplicables para la división Sales, pero obtendrá nuevos privilegios relevantes en el departamento de Cloud Sales. Si ya no es aplicable, sus cuentas anteriores se desactivan o revocan, y los permisos asociados con las cuentas también se eliminan. Veamos cómo lograrlo en Oracle Access Governance.

Ejecución del aprovisionamiento de movimientos en Oracle Access Governance

Teniendo en cuenta el escenario anterior, veamos los pasos de alto nivel necesarios para lograr el aprovisionamiento de movers en Oracle Access Governance:

  1. Como administrador de control de acceso, debe tener esta configuración mínima, de la siguiente manera:
    1. Cree una recopilación de identidad basada en reglas de afiliación. Por ejemplo, cree una recopilación de identidades con una regla de afiliación como Departamento igual a Ventas en la nube y otra recopilación de identidades donde Departamento sea igual a Éxito del cliente. Para obtener más información, consulte Creación de recopilaciones de identidades.
    2. Cree un paquete de acceso o un rol y el acceso del paquete a los permisos necesarios. Por ejemplo, cree un grupo de acceso Cloud_Sales_AB con permisos aplicables a Cloud Sales y otro grupo de acceso Customer_Success_AB con permisos aplicables a Customer Success. Para obtener más información, consulte Crear paquete de acceso.
    3. Cree una política y asocie la parte de permisos del paquete de acceso a la recopilación de identidades. Por ejemplo, cree una política Cloud_Sales_Policy y asocie Cloud_Sales_AB a Cloud Sales. Para obtener más información, consulte Creación de una política.
  2. Origen autorizado registra una actualización de la identidad. Por ejemplo, RR HH actualiza el departamento de Alice de Customer Success a Cloud Sales.
  3. Sistema orquestado realiza la carga de datos, ingiere los datos más recientes y crea un perfil de identidad compuesto en Oracle Access Governance. Según la configuración del ciclo de vida de la cuenta para un sistema orquestado, los permisos o las cuentas se desactivan o revocan. Para obtener más información, consulte Flujo de proceso de orquestación de identidad.

    Los usuarios con el rol AG_ServiceDesk_Admin pueden revocar permisos directamente desde la página Gestionar identidades mediante la operación Revocar permisos. El tipo de permiso de estos permisos debe ser DIRECT o los paquetes de acceso otorgados mediante REQUEST. No puede revocar permisos para los sistemas Oracle Cloud Infrastructure (OCI) u Oracle Identity Governance (OIG). Para obtener pasos detallados, consulte Revocación de uno o varios permisos para una cuenta.

Validar aprovisionamiento de movimientos en Oracle Access Governance

Para los movers, el sistema orquestado normalmente activa las siguientes operaciones:
  • Para desasociar permisos anteriores con las cuentas de identidad, se activa Eliminar datos de cuenta o permiso.
  • Para desactivar las cuentas, se activa Actualizar cuenta o, para suprimir las cuentas, se activa Revocar.
  • Para asociar nuevas cuentas y permisos, se activa Crear cuenta y Agregar datos de cuenta o permiso.
  • Si solo los permisos son diferentes, la cuenta permanece activada, pero se disparan las operaciones Agregar datos de cuenta o permiso y/o Eliminar datos de cuenta o permiso para actualizar los permisos de esa cuenta.
  • Si se activa una cuenta desactivada, se activa Actualizar cuenta junto con Agregar datos de cuenta o permiso o Eliminar datos de cuenta o permiso.
Puede verificar los cambios en la consola de Oracle Access Governance:
  • Como administrador de acceso para toda la empresa, puede buscar la identidad y ver los detalles de identidad completos que muestran los atributos de identidad, los permisos y la información de la cuenta. También puede ver los detalles de la recopilación de identidades para verificar la nueva lista de miembros.
  • Como usuario, puede validar sus cuentas y permisos desde la página Mis cosasMi acceso.

En función de la configuración de cuenta configurada para el sistema orquestado, un usuario o un mánager de usuarios recibirán una notificación cada vez que se creen nuevas cuentas. Por defecto, las notificaciones se envían al usuario. Las cuentas existentes se pueden suprimir o desactivar según la configuración de la cuenta. Para obtener más información, consulte Configure Orchestrated System Account Settings.

Desvinculación de empleados - Desaprovisionamiento de bajas

Cuando un empleado sale de la empresa, un registro se elimina o se desactiva en el origen autorizado. Al salir, todas las cuentas y los privilegios asociados asignados a esa identidad se suprimirán o desactivarán del sistema gestionado.

El proceso de abandono garantiza que todas las cuentas y permisos asignados a la identidad se revocen automáticamente al salir. Cuando se cierra una identidad y se marca como Inactiva en Oracle Access Governance, los accesos de identidad se revocan o desactivan según la configuración de la cuenta.

Los usuarios con el rol AG_ServiceDesk_Admin pueden revocar permisos directamente desde la página Gestionar identidades mediante la operación Revocar permisos. El tipo de permiso de estos permisos debe ser DIRECT o los paquetes de acceso otorgados mediante REQUEST. No puede revocar permisos para los sistemas Oracle Cloud Infrastructure (OCI) u Oracle Identity Governance (OIG). Para obtener pasos detallados, consulte Revocación de uno o varios permisos para una cuenta.

Los usuarios con el rol AG_ServiceDesk_Admin ahora pueden desactivar directamente las cuentas gestionadas por Oracle Access Governance desde la página Gestionar identidades, mediante la operación Desactivar cuenta. Una vez deshabilitados, se revocan todos los accesos asociados. Oracle Access Governance aún puede gestionar las cuentas. Para obtener pasos detallados, consulte Desactivación y activación de una cuenta gestionada por Oracle Access Governance.

Escenario: cuando un empleado, Alice, sale de la empresa, la anulación del aprovisionamiento de salvadores garantiza que se revocen todas las cuentas y permisos asignados aplicables a su rol (supresión o desactivación). Veamos cómo lograrlo en Oracle Access Governance.

Ejecución de abandonos de aprovisionamiento en Oracle Access Governance

Teniendo en cuenta el escenario anterior, veamos los pasos de alto nivel implicados para lograr el desaprovisionamiento de salvadores en Oracle Access Governance:

  1. Como administrador de control de acceso, debe tener esta configuración mínima, de la siguiente manera:
    1. Una recopilación de identidad basada en reglas de afiliación. Para obtener más información, consulte Creación de recopilaciones de identidades.
    2. Un paquete de acceso o un rol donde los permisos necesarios se empaquetan juntos. Para obtener más información, consulte Crear grupo de acceso y Gestionar roles.
    3. Política que asocia los permisos (mediante el paquete de acceso) a la recopilación de identidades. Para obtener más información, consulte Creación de una política.
  2. Origen autorizado desactiva un registro existente de un empleado en el sistema.
  3. Orchestrated System realiza la carga de datos e ingiere los datos más recientes. Para obtener más información, consulte Flujo de proceso de orquestación de identidad.

Cuando un perfil de identidad se desactiva y la carga de datos se realiza correctamente, se dispara una tarea de aprovisionamiento de Revocar o Actualizar cuenta para suprimir o desactivar las cuentas de identidad. Los permisos asociados a la cuenta se revocan y Eliminar datos de cuenta o permiso se dispara para eliminar permisos del sistema gestionado. Para obtener más información, consulte Configure Orchestrated System Account Settings.