Documentación de Oracle Cloud Infrastructure

Gestionar atributos de identidad

Los atributos de identidad hacen referencia a propiedades de una identidad, como nombre, ubicación, código de puesto, nombre de organización, etc. Una vez que integra sistemas de origen autorizados, internamente, se crea un perfil de identidad global que contiene atributos núcleo y personalizados, y afiliaciones en Oracle Access Governance.

Descripción de la Construcción del Perfil de Identidad Global

Las identidades de Oracle Access Governance se crean a partir de atributos principales, atributos personalizados y afiliaciones. Después de integrar sus orígenes autorizados, Oracle Access Governance crea un perfil de identidad global. Además, puede agregar sus propios atributos específicos del sistema para representar atributos complejos o la relación entre estos atributos.


Atributos de identidad en Oracle Access Governance

Durante el proceso de ingestión de datos, puede aplicar la transformación de entrada y asignar atributos de identidad.

En función de los atributos ingeridos, se crea un perfil de identidad global. Este perfil incluye atributos principales, atributos personalizados y afiliaciones definidas por el usuario. También puede definir sus propios atributos de sistema simples o complejos según sea necesario.
  • Atributos principales: se han corregido los atributos de identidad estandarizados reconocidos por el esquema de Oracle Access Governance, obligatorios para realizar la gestión de acceso y la operación de revisión.
  • Atributos personalizados: atributos adicionales no estándar, simples o complejos, creados para satisfacer requisitos de negocio específicos más allá del juego estándar. Puede gestionar los atributos del sistema por defecto o crear nuevos atributos para un sistema orquestado concreto. Los atributos personalizados pueden ser atributos del sistema, pertenecientes a un sistema orquestado específico o Atributos de AG.
    • Atributos del sistema: propiedades de identidad para un sistema orquestado integrado. Los valores de estos atributos se pueden derivar de orígenes autorizados o mediante una regla. Por ejemplo, el código de trabajo, la relación laboral y el estado del empleado se ingieren desde orígenes autorizados y se sincronizan regularmente.
      Nota

      Para gestionar el atributo del sistema, vaya a la página Gestionar integracionesAtributos de identidad del sistema. Consulte Modificación de la configuración de integración para un sistema orquestado.
    • Atributos de AG: se crean y utilizan exclusivamente en Oracle Access Governance y nunca se asignan desde un origen autorizado. Su valor siempre lo generan las reglas. Por ejemplo, risk score, estado de Oracle Access Governance.
  • Afiliaciones: las afiliaciones son construcciones definidas por el usuario basadas en reglas que permiten que una sola identidad tenga varios roles (por ejemplo, Empleado y Contratista) con datos, cuentas y acceso distintos. Las afiliaciones también exponen atributos secundarios de atributos complejos (matrices) para que esos valores se puedan utilizar en la ejecución de campañas, la creación de recopilaciones de identidades y reglas de políticas. Los indicadores de uso solo se pueden definir en los atributos expuestos a la afiliación, no en el atributo de matriz original. Consulte Gestión de personas de identidad con varias afiliaciones.

Puede utilizar estos atributos y afiliaciones en Oracle Access Governance para realizar varias funciones, como ejecutar campañas de revisión de acceso, seleccionar identidades para recopilaciones de identidades o aplicar condiciones de atributo para activar/desactivar el juego de datos de identidad disponible.

Ejemplos:
  • Al crear una campaña, un administrador de campaña selecciona atributos personalizados: Centro de costos e ID de departamento para acotar aún más los criterios de selección de campaña para ejecutar campañas de revisión de acceso.
  • Al crear una recopilación de identidades, un administrador puede aplicar reglas de afiliación mediante los atributos básicos y personalizados. Por ejemplo, para crear una lista de empleados de la alta dirección para la organización de contabilidad, cree una recopilación de identidades para incluir empleados en los que el nivel de puesto sea director y superior, y la organización sea contable.

Ver atributos

Puede ver y buscar los atributos principales disponibles, los atributos de identidad personalizados y las afiliaciones que componen el perfil de identidad global.

Ver los atributos de identidad global disponibles:
  1. En la consola de Oracle Access Governance, en el menú de navegación Menú de navegación, seleccione Administración y, a continuación, Atributos de identidad.
    Se muestra la página Atributos de identidad. Puede ver los detalles de identidad, incluidas las afiliaciones principales, personalizadas y definidas para el perfil de identidad global.
    Nota

    Para ver y gestionar los atributos del sistema, vaya a la página Gestionar integraciones de ese sistema orquestado. Para obtener más información, consulte Gestión de la configuración del sistema orquestado.

Ver Detalles de Atributo

Puede ver los siguientes detalles de atributo:
Campo Descripción
Nombre de atributo Nombre de atributo original disponible en el sistema orquestado que está conectado a Oracle Access Governance.
Sistema orquestado Nombre de sistema orquestado desde el que se rellena el atributo.
Tipo de atributo Núcleo, personalizado o afiliación
Nombre para mostrar Nombre de atributo único que se utilizará en la consola de Oracle Access Governance para facilitar la identificación y el uso.
Tipo de datos Tipo de datos del atributo, como entero, booleano, fecha, matriz.
Indicadores de identidad
  • Detalles de identidad: si se selecciona, los atributos se muestran en:
    • Funcionalidad Quién tiene acceso a qué, donde solo puede ver los atributos de identidad seleccionados.
    • El separador Página de detalles de identidad> Atributo de identidad solo muestra los atributos seleccionados.
    • Funcionalidad Mis revisiones de acceso en la que puede realizar revisiones de acceso y ver estadísticas de revisión.

    Puede seleccionar hasta 250 atributos para esta función

  • Selección de campaña: si se selecciona, el atributo está disponible para su uso en campañas de revisión de acceso de usuario.
  • Configuración basada en eventos: si se selecciona, el atributo está disponible para su uso en configuración de disparadores basados en eventos para revisiones de acceso de identidad.
  • Gestionar identidades: si se selecciona, el atributo está disponible para su uso en configurar reglas de activación para gestionar identidades de Oracle Access Governance y para activar atributos personalizados al crear una recopilación de identidades.

Buscar y filtrar atributos personalizados

Utilice el campo Buscar para buscar el atributo necesario por el nombre del atributo. Puede gestionar un gran juego de atributos aplicando filtros basados en los filtros sugeridos. Por ejemplo, si selecciona Detalles de identidad activados, se mostrarán todos los atributos para los que está activado el indicador de detalles de identidad.

En la parte superior derecha de la página, seleccione un sistema orquestado para ver los atributos específicos de ese sistema orquestado. Si selecciona No hay ningún sistema disponible, verá una lista de atributos no asociados a ningún sistema orquestado activo.

Crear y gestionar la configuración de atributos personalizados

Puede crear o modificar atributos personalizados, incluida la actualización del sistema orquestado desde el que se rellena el atributo, la modificación del nombre mostrado, la aplicación de reglas para realizar transformaciones de datos en el valor entrante y la inclusión o exclusión del uso del atributo para determinadas funciones de Oracle Access Governance.

  • Atributos del sistema: propiedades de identidad para un sistema orquestado integrado. Los valores de estos atributos se pueden derivar de orígenes autorizados o mediante una regla. Por ejemplo, el código de trabajo, la relación laboral y el estado del empleado se ingieren desde orígenes autorizados y se sincronizan regularmente. Consulte Crear atributo de sistema y Crear un atributo de identidad complejo para un sistema orquestado.
  • Atributos de AG: se crean y utilizan exclusivamente en Oracle Access Governance y nunca se asignan desde un origen autorizado. Su valor siempre lo generan las reglas. Por ejemplo, puntuación de riesgo, estado de Oracle Access Governance. Consulte Creación de un atributo de gobernanza de Oracle Access.
Nota

Para crear atributos del sistema, vaya a la página Gestionar integracionesAtributos de identidad del sistema. Consulte Modificación de la configuración de integración para un sistema orquestado.
Para gestionar los atributos de identidad globales, en la consola de Oracle Access Governance, en el menú de navegación Menú de navegación, seleccione Administración de servicios → Atributos de identidad.

Crear atributo de sistema

Cree atributos simples o complejos definidos por el usuario específicos para un sistema orquestado. Puede obtener valores de estos atributos directamente mediante la transformación de entrada o mediante afiliaciones.

Los atributos de identidad personalizados soportan tipos de dato simples y complejos, y puede utilizar estos atributos para realizar varias funciones, como ejecutar campañas de revisión de acceso, seleccionar identidades para recopilaciones de identidades o aplicar condiciones de atributo para activar o desactivar el juego de datos de identidad disponible.
Se pueden crear dos tipos de atributos:
  • Atributos simples: los atributos simples utilizan tipos de dato primitivos como cadena, fecha, entero, booleano o largo. Puede configurar atributos simples como de un solo valor o de varios valores.
  • Atributos complejos: los atributos complejos se componen de uno o más atributos secundarios anidados, representados como matrices. Por ejemplo, un atributo de dirección con calle, ciudad y código postal como atributos secundarios.

Para crear atributos de sistema simples para un sistema orquestado:

  1. En el icono de menú de navegación de Oracle Access Governance Menú de navegación, seleccione Administración de servicios → Sistemas orquestados.
  2. Seleccione la opción Gestionar integración en el menú de acción menú de acción del sistema orquestado que desea configurar. Se muestra la página Gestionar integración para el sistema orquestado seleccionado.
  3. En la sección Configuración de datos, seleccione Gestionar en el mosaico Atributos de identidad.
    Este mosaico solo está disponible para el sistema orquestado que admite orígenes autorizados.
  4. En el separador Atributos, seleccione + Crear un atributo de sistema.
    Se muestra la página Crear un atributo de identidad para este sistema.
Agregar detalles
  1. ¿Cuál es el nombre mostrado?: introduzca el nombre mostrado del atributo que se va a utilizar en la consola.
  2. ¿Cuál es el tipo de dato?: seleccione uno de los tipos de dato simples.
  3. Haga clic en Siguiente.
Origen del Valor
  1. Seleccione la casilla de control Datos de entrada incluidos del sistema si el valor del atributo se deriva mediante la transformación de entrada. Consulte Referencia de reglas de transformación de datos.
  2. Seleccione la casilla de control Soporta varios valores si se permiten varios valores para el atributo definido.
  3. Haga clic en Validar.

    Si la regla es válida, verá un mensaje de confirmación y la regla se marcará como validada. Si hay un problema con la regla, verá un mensaje de error y la regla se marcará como no válida. No puede guardar la regla si está marcada como no válida.

Creación de un atributo de identidad complejo para un sistema orquestado

Cree atributos de identidad complejos personalizados específicos para un sistema orquestado. Los atributos complejos, compuestos por uno o más atributos secundarios anidados, se representan como matrices. Por ejemplo, un atributo de dirección con calle, ciudad y código postal como atributos secundarios.

Los atributos personalizados complejos, como jobCode, se representan como matrices en la página Gestionar atributos de identidad. Por sí solo, no se puede utilizar ni hacer referencia directamente a la matriz jobCode a menos que cree una afiliación. Además, los indicadores de uso solo se pueden actualizar y gestionar en estos atributos de afiliación. No puede actualizar directamente los indicadores de uso para los atributos personalizados de tipo complejo o matriz.

Para crear atributos de sistema complejos para un sistema orquestado:

  1. En el icono de menú de navegación de Oracle Access Governance Menú de navegación, seleccione Administración de servicios → Sistemas orquestados.
  2. Seleccione la opción Gestionar integración en el menú de acción menú de acción del sistema orquestado que desea configurar. Se muestra la página Gestionar integración para el sistema orquestado seleccionado.
  3. En la sección Configuración de datos, seleccione Gestionar en el mosaico Atributos de identidad.
    Este mosaico solo está disponible para sistemas orquestados que admiten orígenes autorizados.
  4. En el separador Atributos, seleccione + Crear un atributo de sistema.
    Se muestra la página Crear un atributo de identidad para este sistema.
Agregar detalles
  1. ¿Cuál es el nombre mostrado?: introduzca el nombre mostrado del atributo que se va a utilizar en la consola.
  2. ¿Cuál es el tipo de dato?: seleccione Complejo.
  3. ¿A qué atributo hace referencia de forma única?: introduzca un identificador único para distinguir una entrada de otra, como employeeRecord.
  4. Haga clic en Siguiente.
Origen del Valor
  1. ¿Cuál es el nombre del atributo del sistema?: introduzca el nombre del atributo del sistema para este atributo. Por ejemplo, jobData.
    Los atributos complejos tienen varios valores y sus atributos secundarios se pueden hacer referencia una vez que cree afiliaciones.
  2. Revise la información y haga clic en Crear. Se muestra la página de detalles Atributo complejo personalizado para agregar atributos secundarios.
Agregar atributo secundario
  1. Haga clic en +Create un atributo secundario.
  2. Siga los mismos pasos que para agregar un atributo simple. Para obtener más información, consulte Crear atributo de sistema.
  3. Repita este proceso para agregar atributos secundarios adicionales.

Creación de un atributo de Oracle Access Governance

Cree un atributo AG definido y calculado en el sistema de Oracle Access Governance y no asociado a ningún sistema orquestado. Puede utilizarlo para definir las funciones de Oracle Access Governance, como barandillas, recopilaciones de identidades, o para crear reglas de asignación o para valores derivados.

Los atributos AG están representados por el sistema interno.
  1. En la página Atributos de identidad, seleccione + Crear un atributo AG.
    Se muestra la página Crear un atributo de identidad AG.
Agregar detalles
  1. ¿Cómo debe llamarlo AG?: introduzca el nombre del atributo.
  2. ¿Cuál es el nombre mostrado?: introduzca el nombre mostrado del atributo que se va a utilizar en la consola.
  3. ¿Qué es el tipo de dato?: seleccione uno de los tipos de dato primitivos, como booleano, largo, número, entero y cadena.
  4. Haga clic en Siguiente.
Agregar Regla
  1. Introduzca la regla que desea aplicar a esta operación/atributo. Para obtener más información, consulte Referencia de reglas de transformación de datos.
  2. Haga clic en Validar.

    Si la regla es válida, verá un mensaje de confirmación y la regla se marcará como validada. Si hay un problema con la regla, verá un mensaje de error y la regla se marcará como no válida. No puede guardar la regla si está marcada como no válida.

Configurar uso
  1. Seleccione la casilla de control de función adecuada para incluir el atributo de la función. Consulte Ver detalles de atributo.
  2. Haga clic en Siguiente y realice la revisión final.
  3. Haga clic en Crear.

Gestionar atributos de identidad globales

Puede modificar los atributos de identidad actualizando el sistema orquestado desde el que se rellena el atributo y aplicando reglas para modificar el valor del atributo.

Para modificar los atributos de identidad globales, realice los siguientes pasos en la página Atributos de identidad:
  1. En la consola de Oracle Access Governance, en el menú de navegación Menú de navegación, seleccione Administración de servicios → Atributos de identidad.
  2. Para un atributo de identidad específico, haga clic en el icono Editar icono Editar correspondiente al atributo que desea modificar.
    Los campos de atributo de identidad se muestran en el modo editable, lo que le permite actualizar atributos en una sola operación de edición.
  3. Para actualizar el sistema orquestado que se debe utilizar para rellenar el atributo, seleccione un sistema orquestado adecuado de la lista ¿Qué sistema orquestado?.

    Para el sistema orquestado de Oracle Cloud Infrastructure (OCI), se muestra una opción adicional, ¿Qué dominio?. Si tiene varios dominios en su arrendamiento de OCI, seleccione un dominio de OCI Identity and Access Management adecuado para utilizarlo como fuente de datos para sus identidades.

  4. Utilice el valor de atributo directo o agregue una regla:
    1. En Relleno, seleccione el enlace Cambiar.
    2. Para utilizar el valor de atributo tal cual sin transformación de datos, seleccione Usar el valor <nombreatributo> directamente. Esta acción muestra el valor Directamente en el campo Relleno.
    3. Para aplicar reglas, seleccione Crear una regla alrededor del <nombreatributo>.
    4. Introduzca la regla y haga clic en Validar para comprobar la sintaxis. Para obtener más información sobre la sintaxis, consulte Transformación de datos para reglas de entrada y salida. No puede aplicar reglas a atributos anidados (<principal>.<secundario>).
    5. Haga clic en Apply (Aplicar). Esta acción muestra el valor Por regla en el campo Relleno.
  5. Seleccione los indicadores de identidad adecuados para incluir atributos en la función.
    OpciónDescripción
    Incluir en detalles de Identidad Si se selecciona, los atributos se muestran en:
    • Funcionalidad Quién tiene acceso a qué, donde solo puede ver los atributos de identidad seleccionados.
    • El separador Página de detalles de identidad> Atributo de identidad solo muestra los atributos seleccionados.
    • Funcionalidad Mis revisiones de acceso en la que puede realizar revisiones de acceso y ver estadísticas de revisión.
    Incluir en selecciones de campaña Si se selecciona, el atributo está disponible para su uso en campañas de revisión de acceso de usuario.
    Incluir en revisiones de acceso basadas en eventos Si se selecciona, el atributo está disponible para realizar microcertificaciones y utilizarlo en configuración de disparadores basados en eventos para revisiones basadas en eventos.
    Incluir en gestión de identidades Si se selecciona, el atributo está disponible para su uso en configurar reglas de activación para gestionar identidades de Oracle Access Governance y para activar atributos personalizados al crear una recopilación de identidades.
  6. Después de realizar las ediciones, haga clic en marca Aplicar. Esto conserva los cambios. Puede continuar editando otros atributos después del mismo proceso.
  7. Haga clic en Guardar para aplicar los cambios y actualizar todos los atributos a la vez.
    La columna Última actualización por muestra el nombre del administrador que ha realizado la actualización más reciente.

Recuperar los últimos atributos personalizados

Refresca los objetos de esquema únicamente y no ingiere datos. Ejecute la carga de datos o espere a que la siguiente carga de datos rellene los valores. Los atributos cifrados nunca se recuperan ni se muestran.

  1. En el icono de menú de navegación de Oracle Access Governance Menú de navegación, seleccione Administración de servicios → Sistemas orquestados.
  2. Seleccione la opción Gestionar integración en el menú de acción menú de acción del sistema orquestado que desea configurar. Se muestra la página Gestionar integración para el sistema orquestado seleccionado.
  3. En la sección Configuración de datos, seleccione Gestionar en el mosaico Atributos de identidad.
    Nota

    Este mosaico solo está disponible para sistemas orquestados que admiten orígenes autorizados.
  4. Seleccione Recuperar atributos y, a continuación, seleccione Recuperar.
Nota

Esta acción no introducirá los datos de atributos del sistema orquestado, sino que solo cargará los objetos de esquema. Para recuperar y utilizar los datos de los atributos, debe esperar a la siguiente operación de sincronización de datos programada o ejecutar manualmente la operación de carga de datos. Consulte el tema Configuración de valores para un sistema orquestado.

Requisitos y reglas para gestionar atributos de identidad

Los atributos de identidad se rigen por determinados requisitos y reglas. Veamos algunas de ellas:

  • Un atributo personalizado cifrado en el esquema no estará disponible en Oracle Access Governance y no aparecerá en la página Atributos de identidad.
  • Puede crear atributos complejos personalizados y simples. Los atributos simples forman parte del perfil de identidad global automáticamente y los atributos complejos personalizados se exponen mediante afiliaciones.
  • Puede utilizar el valor de atributo personalizado directamente o modificar el valor del atributo mediante la aplicación de reglas de transformación. Por ejemplo, la concatenación del número de empleado con el nombre para definir un nombre mostrado.
  • No puede editar un atributo complejo definido como matriz.
  • Si cambia un atributo anidado (<principal>.<secundario>), se verá afectada y se mostrará una lista de atributos dependientes adicionales. Por ejemplo, si actualiza el sistema orquestado para el atributo name.firstName. Para garantizar la integridad de los datos, el apellido de la identidad debe proceder del mismo sistema orquestado, por lo que se mostrará un mensaje Esto también cambiará el sistema orquestado para los atributos: name.lastName. Al guardar el cambio, se actualizarán ambos atributos.
  • Para el sistema orquestado de Oracle Cloud Infrastructure (OCI), se muestra una opción adicional, ¿Qué dominio?. Si tiene varios dominios en su arrendamiento de OCI, seleccione un dominio de OCI Identity and Access Management adecuado para utilizarlo como fuente de datos para sus identidades. Si ya ha ejecutado una carga de datos desde el sistema orquestado de OCI, puede seleccionar de una lista de dominios disponibles ingeridos desde el sistema de OCI. Si no se ha ejecutado la carga de datos, puede introducir el nombre de dominio mediante texto libre.
  • En los casos en que se definen atributos personalizados complejos, como el código de puesto, representados como matrices
    jobCode{
  Attr1,
  Attr2,
}
    Por sí solo, no se puede hacer referencia ni utilizar directamente a la matriz jobCode en las funciones de Oracle Access Governance a menos que cree una afiliación. Las afiliaciones proporcionan un mecanismo para exponer atributos secundarios individuales de atributos complejos mediante la definición de los atributos de afiliación correspondientes. Mediante las reglas de afiliación, puede asignar valores del atributo complejo a atributos de afiliación específicos. Además, los indicadores de uso solo se pueden actualizar y gestionar en estos atributos de afiliación. Las actualizaciones directas de los indicadores de uso no están disponibles para los atributos complejos o de tipo matriz originales.