Documentación de Oracle Cloud Infrastructure

Gestión de Access Guardrails en Oracle Access Governance

Gestione y aplique restricciones o condiciones de seguridad en Oracle Access Governance mediante la función Access Guardrails para garantizar que solo las identidades autorizadas y conformes puedan acceder a permisos específicos.

Crear una guía de acceso

Para crear una nueva guía de acceso, seleccione el botón Crear una guía de acceso. Se muestra la página Crear una nueva guía de acceso.

Adición de detalles

En la tarea Agregar detalles, puede introducir valores generales sobre la guía de acceso. También puede agregar etiquetas fáciles de usar que se pueden utilizar en una búsqueda de esta barrera de acceso.

  1. Nombre: introduzca un nombre para la guía de protección de acceso.
  2. Descripción: introduzca una descripción para la guía de acceso.
  3. Etiquetas: introduzca una o más etiquetas para esta guía de acceso.
  4. Seleccione uno para seleccionar el evento cuando desee aplicar esta guía
    1. Solo solicitudes de acceso nuevas: esto aplica las guías de protección solo si una identidad solicita un nuevo acceso mediante el módulo de autoservicio.
    2. Nuevas solicitudes de acceso y acceso existente: aplica las guías de protección para los accesos existentes y también para los nuevos accesos.
    Según los valores de configuración, los accesos existentes se bloquearían o se permitiría un período de gracia si se disparara una infracción para esta regla.
  5. Una vez que esté satisfecho con la configuración, seleccione Siguiente para ir a la tarea Definir reglas o seleccione Cancelar para cancelar el proceso actual.

Definir reglas para guías de protección de acceso

En la tarea Definir regla, defina una o más condiciones que debe pasar una identidad para obtener acceso.

  1. Seleccione el botón + Agregar condición.
    Se muestra el panel Agregar condición.
  2. En la lista desplegable ¿Qué tipo de condición?, seleccione el tipo de condición que desea definir y aplicar:
    OpciónDescripción
    La identidad tiene un permiso Seleccione esta opción si una identidad debe tener este permiso. En este caso, se violará la barrera de acceso si una identidad no tiene acceso al permiso definido.

    Por ejemplo, utilice esta opción antes de asignar privilegios elevados, puede comprobar si una identidad tiene permisos por defecto para realizar funciones generales.
    La identidad no puede tener un permiso Seleccione esta opción si una identidad no debe tener este permiso. En este caso, se viola la barrera de acceso si una identidad tiene acceso al permiso definido.

    Por ejemplo, para el sistema orquestado Entra ID, utilícelo para evitar que los usuarios soliciten el grupo de acceso con privilegios si forman parte del grupo Colaboradores externos.
    La identidad coincide con un atributo Seleccione esta opción si una identidad debe coincidir con el atributo definido.

    Por ejemplo, utilice esta opción para restringir identidades solo en el departamento de IT Security Corp para solicitar el rol de administrador de IAM.
    La identidad tiene una cuenta para un sistema

    Seleccione esta opción si una identidad debe tener una cuenta en un sistema específico antes de que se otorgue un acceso.
  3. Para La identidad tiene un permiso o La identidad no debe tener un permiso, seleccione las condiciones de permiso de la siguiente manera:
    1. ¿Qué sistema?: seleccione el sistema orquestado gestionado por Oracle Access Governance.
    2. ¿Qué tipo de permiso se ha otorgado?: seleccione el tipo de permiso, como rol, grupos, privilegio, esquema, etc., para el sistema orquestado seleccionado.
    3. ¿Qué permiso?: seleccione el permiso que desea definir o aplicar.
    4. (Opcional) Según el sistema orquestado y el permiso seleccionado, puede definir atributos adicionales, como valores de contexto de seguridad, para lograr un control detallado sobre la condición definida.
    5. Seleccione Agregar.
  4. Para La identidad tiene una cuenta para un sistema, seleccione las condiciones de la siguiente manera:
    1. ¿Qué sistema?: seleccione el sistema orquestado para el que debe existir una cuenta de identidad. Si no se detecta ninguna infracción, el aprobador puede decidir aceptar o rechazar una solicitud de acceso.
    2. (Opcional) Qué dominio: para los sistemas orquestados de OCI, seleccione el dominio para asegurarse de que una identidad tenga una cuenta en el dominio del sistema seleccionado.
    3. Seleccione Agregar.
  5. Para La identidad coincide con un atributo, seleccione las condiciones de atributo de la siguiente manera:
    1. ¿Qué atributo?: seleccione el atributo de identidad que debe coincidir antes de otorgar un acceso.
    2. Seleccione Agregar.
  6. Continúe agregando más condiciones, si es necesario.
  7. Seleccione Cualquiera si se debe cumplir alguna de las condiciones definidas o seleccione Todas si se deben cumplir todas las condiciones definidas.
Prueba de una Identidad
  1. Seleccione el enlace Probar una identidad para verificar las condiciones definidas con respecto a una identidad.
    1. Seleccione la identidad que desee para ejecutar la prueba en el campo ¿Qué identidad desea probar?.
    2. Seleccione Test (Prueba).
      Si la condición falla, la prueba mostrará Failed (Con fallos) con los detalles adecuados en caso de fallo.
  2. Seleccione Next (Siguiente).

Acción en caso de fallo de acceso a condiciones de barandilla

En esta tarea Acción en Fallo, debe definir la acción u operación que debe realizar Oracle Access Governance cuando se dispara una infracción de Access Guardrail. Puede optar por bloquear el acceso inmediatamente o permitir que un período de gracia de unos días cumpla los requisitos obligatorios mencionados en las condiciones.

  1. En el campo ¿Qué debe suceder cuando falla la guía de acceso?, seleccione una de las siguientes opciones según el nivel de riesgo de acceso.
    OpciónDescripción
    Riesgo alto: bloquear el acceso inmediatamente Para las nuevas solicitudes de acceso, la solicitud no se emitiría y la infracción se dispara con el estado Bloqueado. Para los accesos existentes (si se selecciona en la tarea anterior), el acceso se eliminaría junto con la infracción de estado Bloqueado.
    Bajo riesgo: aceptar el riesgo durante un número de días En el caso de los accesos nuevos o existentes, si se aprueba, el acceso se concedería o se conservaría condicionalmente durante un número definido de días para completar los requisitos obligatorios. La violación se emite con el estado: aplazado.
  2. Para la opción Riesgo bajo - Aceptar el riesgo para un número de días, introduzca el número de días (menor o igual que 90) para los que desea retener el acceso.
  3. Seleccione la casilla de control Incluir el gestor de identidad en las notificaciones para incluir el gestor de identidad en la notificación sobre la infracción de la guía de acceso.
  4. Seleccione Next (Siguiente).
  5. (Opcional) puede seleccionar una de las acciones adicionales:
    • Cancelar: para cancelar el proceso actual
    • Atrás: para volver al paso anterior.

Agregar propietarios principales y adicionales

Puede asociar la propiedad de recursos agregando propietarios principales y adicionales. Esto impulsa el autoservicio, ya que estos propietarios pueden gestionar (leer, actualizar o suprimir) los recursos que poseen. Por defecto, el creador del recurso se designa como propietario del recurso. Puede asignar un propietario principal y hasta 20 propietarios adicionales para los recursos.
Nota

Al configurar el primer sistema orquestado para la instancia de servicio, solo puede asignar propietarios después de activar las identidades en la sección Gestionar identidades.
Para agregar propietarios:
  1. Seleccione un usuario activo de Oracle Access Governance como propietario principal en el campo ¿Quién es el propietario principal?.
  2. Seleccione uno o más propietarios adicionales en la lista ¿Quién más los posee?. Puede agregar hasta 20 propietarios adicionales para el recurso.
Puede ver el propietario principal en la lista. Todos los propietarios pueden ver y gestionar los recursos de los que son propietarios.

Revisión y envío

En la tarea Revisar y enviar, revise los detalles de la guía de acceso y cree la guía de acceso.

Revise los detalles de la guía de acceso y seleccione Create. La guía de acceso se ha creado correctamente.

Prueba de identidad

Puede verificar las condiciones definidas con respecto a una identidad al crear una guía de acceso o publicar su creación mediante el menú Acciones (tres puntos).

  1. En la página Rutas de protección de acceso, seleccione el icono Acciones Acciones y, a continuación, seleccione Probar una identidad.
  2. Seleccione la identidad para ejecutar la prueba en el campo ¿Qué identidad desea probar?.
  3. Seleccione Test (Prueba).
    Si la condición falla, se muestra el estado Fallo con los detalles de fallo adecuados.

Aplicación de Access Guardrails en Oracle Access Governance

Después de crear una guía de acceso, deberá asociarla a uno o más grupos de acceso para un sistema. También puede asociar una guía de acceso a una recopilación de identidades, asegurándose de que solo las identidades autorizadas y conformes, que cumplan los criterios predefinidos, sean miembros de una recopilación de identidades.

Puede asociar barandillas de acceso entre sistemas para aplicar restricciones. Por ejemplo, otorgue OCI Security Group solo si el departamento de identidad coincide con Corporate Security en Active Directory. Implantar las guías de acceso, como se explica:
  1. Cree la guía de acceso.
  2. Asocie una guía de acceso al cambiar o crear un grupo de acceso.
  3. Identity inicia una solicitud de acceso de autoservicio para un paquete de acceso.
  4. Se disparan las comprobaciones de barandilla.
    Si no se detecta ninguna infracción, el aprobador puede decidir aceptar o rechazar una solicitud de acceso.
    Si se identifica una infracción de alto riesgo, la solicitud de acceso falla y el estado de resolución se define como Bloqueado.
    En los casos de infracciones de bajo riesgo, el aprobador puede ver los detalles de la infracción y puede decidir si aprueba o rechaza la solicitud de acceso. En este caso, la infracción se define en el estado Snoozed. Si se aprueba, el acceso se otorga por un número limitado de días definido. Si la violación no se ha resuelto durante ese tiempo, el permiso se revoca.

Buscar barandillas de acceso y ver detalles

Buscar para obtener resultados específicos y relevantes. Puede utilizar una búsqueda básica por palabras clave para cualquier cosa que desee encontrar, acotar la búsqueda mediante los filtros sugeridos.

Después de acotar la búsqueda, seleccione el enlace de la guía de acceso en la columna Nombre para ver los detalles. También puede seleccionar el menú Acciones Acciones (tres puntos) y seleccionar Ver detalles.

Edición de una guía de acceso

Puede editar una guía de acceso para incluir condiciones adicionales, cambiar criterios de aplicación, cambiar acciones de fallo o actualizar detalles generales. Si ha seleccionado los criterios de aplicación como Nuevas solicitudes de acceso y acceso existente, los accesos existentes se volverán a evaluar en función de los detalles del cambio.

  1. Vaya a la página Access Guardrails.
  2. Para una guía que desee editar, seleccione el menú Acciones Acciones (tres puntos) y, a continuación, seleccione Editar.
  3. Modificación según la condición académica.
    La página Editar Barandilla de Acceso proporciona el mismo flujo de trabajo guiado que la creación de una barandilla.
  4. En el paso Revisar y enviar, seleccione Actualizar.

Ver informe de violaciones de barrera de acceso

Genere un informe sobre infracciones de la guía de acceso seleccionando el botón Ver informe de la guía de acceso. Puede generar un informe basado en el rango de fechas, el nombre de la guía de acceso, el estado de infracción o el estado de solución.

Puede ver las infracciones por solución, las infracciones por riesgo y las 5 principales infracciones de la guía que se dispararon. También puede guardar la captura de pantalla del informe en formato PDF.
A continuación, se muestran los parámetros de filtro del informe:
  • Por rango de fechas: utilice los campos De y A para seleccionar fechas.
  • Por nombre de la guía de acceso: visualice el informe para una guía de acceso específica.
  • Por estado de infracción: las infracciones se abren, con el estado de solicitud aún marcado como bloqueado o cerrado, donde se ha resuelto una infracción anterior.
  • Por solución de infracción: el estado de resolución de infracción puede ser:
    • Borrado: ahora se ha resuelto y cerrado una infracción anterior.
    • Bloqueado: aún existe una infracción y el estado de la solicitud de acceso está bloqueado.
    • Aplazado: violación que existe para las guías de acceso de bajo riesgo. El aprobador puede aceptar el riesgo y aprobar el acceso para el número de días definido.

Supresión de una guía de acceso

Puede suprimir una guía de acceso y eliminar su asociación de un grupo de acceso. Después de suprimirla, la comprobación de la guía de acceso ya no se aplicaría. Además, cualquier violación abierta o bloqueada relacionada con la barandilla de acceso también se eliminaría.

  1. Vaya a la página Access Guardrails.
  2. Para una guía que desea suprimir, seleccione el menú Acciones Acciones (tres puntos) y, a continuación, seleccione Suprimir.
  3. En el cuadro de diálogo emergente Confirmación, seleccione Suprimir.