Documentación de Oracle Cloud Infrastructure

Acciones del revisor para una certificación de acceso efectiva

Como revisor de acceso, puede certificar los privilegios de acceso mediante la función Mis revisiones de acceso. Puede revisar las tareas de revisión de identidad, control de acceso y propiedad, aprobar de forma masiva elementos de bajo riesgo, consultar las estadísticas analíticas prescriptivas equipadas con IA/AA, revisar elementos de alto riesgo y tomar decisiones informadas basadas en recomendaciones basadas en IA/AA proporcionadas por Oracle Access Governance. También puede reasignar o delegar sus tareas de revisión a otro revisor.

Acceder a tipos de tareas de revisión en Oracle Access Governance

Después de lanzar una campaña, el servicio Campañas de Oracle Access Governance realiza un seguimiento activo del acceso de las identidades en el ámbito, genera estadísticas inteligentes y crea las revisiones de acceso. Según el tipo de revisión de acceso, Oracle Access Governance genera tareas de revisión de identidad, control de acceso y/o revisión de propiedad.

A continuación, se muestran algunos detalles sobre cada tarea de revisión de acceso:

Tareas de Revisión de Identidad

Las tareas de Revisión de identidad incluyen la certificación de derechos de acceso de identidad, la evaluación de cuentas de usuario, permisos y roles. Se inician cuando se inicia una tarea de revisión de identidad bajo demanda o cuando se produce algún evento de identidad, como un cambio de departamento, un cambio de mánager, etc. Una sola campaña puede generar varias tareas de revisión. Por ejemplo, al iniciar Revisiones de acceso de identidad, Oracle Access Governance puede generar tareas de revisiones de acceso para cuentas, permisos o roles asociados con una sola identidad en la página Mis revisiones de accesoIdentidad.

Oracle Access Governance genera insights prescriptivos y proporciona recomendaciones para que los revisores puedan tomar una decisión informada de aprobar o rechazar el acceso de identidad necesario.

Tareas de Revisión de Control de Acceso

Las tareas de revisión de control de acceso incluyen la auditoría de las políticas de Identity and Access Management (IAM) y las recopilaciones de identidades iniciadas por las campañas de revisión de políticas y revisión de recopilaciones de identidades bajo demanda. Por ejemplo, al iniciar la revisión de la política de administrador de dominio para su arrendamiento, Oracle Access Governance puede generar tareas de revisión de acceso para el tipo Política en la página Mis revisiones de accesoControl de acceso.

Oracle Access Governance genera estadísticas prescriptivas y proporciona recomendaciones para que los revisores puedan tomar una decisión informada de aprobar o rechazar toda la política a la vez, o tomar la decisión de aprobar o rechazar una sentencia de política específica en esa política.

Nota

Para una política de OCI, las revisiones se limitan a las construcciones de políticas básicas. La sintaxis avanzada, incluida la cláusula "where", está más allá del ámbito de nuestra función admitida.

Tareas de revisión de propiedad

Las tareas de revisión de propiedad incluyen:
  • Auditoría de cuentas no coincidentes de Identity and Access Management (IAM), iniciada por revisiones de acceso basadas en eventos. Estas tareas le ayudan a revisar las cuentas no coincidentes para identidades en Oracle Access Governance. Al configurar un evento de cuenta sin coincidencias, puede seleccionar eliminar las cuentas sin coincidencias automáticamente. Como revisor, puede seleccionar una identidad con la que hacer coincidir o puede eliminar la cuenta no coincidente
  • Revisión de propiedad de los recursos de Oracle Access Governance. Estas tareas le ayudan a revisar y verificar que solo los propietarios autorizados gestionan los recursos de Oracle Access Governance. Por ejemplo, puede que desee ejecutar campañas periódicas para revisar la propiedad de grupo de las recopilaciones de identidades definidas en Oracle Access Governance.

    Puede ver todas las revisiones de propiedad anteriores ejecutadas para el recurso en la sección Pista de revisión de acceso. En función del flujo de trabajo de aprobación seleccionado en la campaña, se selecciona como revisor el propietario principal o una identidad de personal activa de Oracle Access Governance. Como revisor, puede cambiar los propietarios principales y/o adicionales de los recursos, certificar la propiedad actual o reasignar la tarea de revisión a algún otro usuario activo de Oracle Access Governance.

Estadísticas inteligentes: revisión de recomendaciones basadas en análisis prescriptivos

Oracle Access Governance aprovecha los análisis prescriptivos para generar estadísticas y recomendar las acciones necesarias en las tareas de revisión. Esto permite a los revisores de acceso tomar decisiones correctivas, reducir la carga administrativa y reducir los costos.

El análisis prescriptivo va más allá de la predicción e implica recomendaciones orientadas a la acción. Estas son orientaciones basadas en datos. Oracle Access Governance realiza cálculos complejos y considera muchas dimensiones como la organización, la ubicación, el recurso y la sensibilidad de ese recurso antes de recomendar una decisión. En un nivel superior, el análisis del permiso se basa en los siguientes factores:

  • Comparación con compañeros que responden ante el mismo mánager
  • Comparación con compañeros con el mismo código de puesto
  • Comparación con compañeros de la misma organización
  • Cambios recientes en un perfil de usuario

Como revisor, obtiene una recomendación basada en datos que simplifica el proceso de revisión y mitiga el esfuerzo manual que implica identificar los permisos anómalos. En la página Estadísticas, también puede realizar un seguimiento de las revisiones realizadas en un acceso específico, necesario para fines de auditoría. También puede realizar un seguimiento de la serie de cambios de eventos implicados para ese acceso. Todos estos detalles le ayudan a tomar una decisión informada para ese acceso.

Pista de auditoría: supervisión de decisiones de revisión de acceso y solicitud de acceso

La pista de auditoría de Oracle Access Governance captura el historial de tareas de aprobación de solicitudes y revisión de acceso. Registra las decisiones tomadas durante las solicitudes y revisiones de acceso, incluyendo si el acceso fue aceptado, rechazado o revocado, junto con cualquier justificación proporcionada.

En el ámbito - Seguimiento

  • Decisiones de aprobación y revisión de acceso, incluidas las decisiones de aceptar, rechazar o revocar el acceso, con justificaciones.
  • Apruebe y revoque eventos para el acceso otorgado por solicitudes o accesos asignados directamente en sistemas gestionados (tipo de otorgamiento Solicitud y tipo de otorgamiento Directo).
  • Revocación de accesos de identidad para revisiones basadas en eventos que se disparan cuando hay cambios de atributos de identidad. Esto no muestra el acceso revocado mediante la política cuando hay cambios de atributos.
  • Aprobación de solicitudes de acceso con infracciones de SOD. Estas solicitudes se identifican con el icono Icono que indica que la solicitud está aprobada con infracciones de separación de funciones que indica que la solicitud se aprobó aunque se hayan separado las infracciones de tareas de Risk Management Cloud.
  • Revisiones de acceso de límite de tiempo aprobadas o solicitadas con la justificación adecuada. Todos los accesos de tiempo se identifican por
    ícono que indica revisión de acceso de límite temporal

    icono de reloj.

Fuera del alcance: lo que no se sigue

  • Acceso otorgado o revocado mediante políticas, ya que se revisan en el nivel de política, no en el nivel de identidad.
  • Actualizaciones realizadas directamente en sistemas orquestados. Por ejemplo, un rol se elimina de los sistemas orquestados

Registro de eventos de cambios recientes: Seguimiento de cambios de atributos

El log de cambios recientes realiza un seguimiento de los cambios de atributo de identidad activados en la configuración basada en eventos. Para campañas (no basadas en eventos), muestra todos los eventos de cambio para atributos con la configuración basada en eventos activada que se han producido para la identidad especificada en los últimos seis meses. Para campañas basadas en eventos, registra solo los cambios del atributo que activa la revisión.

En el ámbito - Seguimiento

  • Cambio de atributo, como actualizaciones de departamento, si está activado en la configuración basada en eventos.
  • Cambios en el atributo que activaron las revisiones basadas en eventos para realizar microcertificación.
  • Para las campañas, los cambios en los atributos de identidad, activados para la configuración basada en eventos, durante los últimos seis meses.
  • Aprobación de solicitudes de acceso y revisiones de los accesos otorgados por solicitudes o accesos asignados directamente en sistemas gestionados.
  • Revocación revisada mediante revisiones de acceso basadas en eventos (no basadas en políticas)

Fuera del alcance: lo que no se sigue

  • Acceso específico que se perdió o ganó debido al cambio de atributo.

Ejemplo: si el departamento de una persona cambia y el atributo de departamento se ha activado en Configuración basada en eventos -> Cambiar eventos, el valor de atributo cambiado se mostrará en esta sección. Solo mostrará cuál es el valor de atributo cambiado y no mostrará qué acceso específico se perdió o ganó debido al cambio de atributo. Para este escenario de movimiento, todos los accesos que la identidad posee actualmente deben revisarse como una tarea de revisión.

Delegación de las tareas de revisión

La delegación de una tarea de revisión de acceso le permite transferir sus próximas tareas de revisión a otros revisores, ya sea temporal o indefinidamente. Normalmente, se recomienda delegar un elemento de revisión a otro revisor o a una recopilación de identidades durante la ausencia, como vacaciones.

Con la delegación, la propiedad de los artículos de revisión no cambia. Un revisor de copia de seguridad se asigna en ausencia del revisor previsto para que no se produzcan retrasos. En la página Estadísticas, el revisor puede ver los detalles completos en la pista de revisión de acceso. Por ejemplo, como mánager de vacaciones, puede delegar sus tareas de revisión en la oportunidad potencial del equipo. Durante su ausencia, la oportunidad potencial del equipo puede seguir tomando decisiones en su nombre, que puede ver en la pista de revisión de acceso. Sin embargo, la responsabilidad principal de revisar las tareas de revisión de acceso seguirá siendo del mánager. Puede delegar sus revisiones de acceso mediante la función de autoservicio, que es de Mis cosasMis preferencias. Para obtener más información, consulte Gestión de preferencias de delegación.

Reasignación de una tarea de revisión

Al reasignar una tarea de revisión de acceso, puede cambiar el revisor de las tareas de revisión pendientes a otros revisores de forma permanente. Con la reasignación, la propiedad de los artículos de revisión cambia. Las tareas de revisión se mueven del revisor original y se asignan al nuevo revisor. Solo el nuevo revisor puede ver los detalles de reasignación en la pista de revisión de acceso.

Normalmente, reasignaría los elementos de revisión pendientes cuando hay un cambio en la responsabilidad. Por ejemplo, como mánager que sale de la compañía, puede reasignar las tareas de revisión existentes a su mánager o a su sustituto. Esto traslada los ítems de revisión pendientes al nuevo revisor.

Cambios masivos: gestión simultánea de varios elementos de revisión

Oracle Access Governance le permite aprobar, rechazar o reasignar varios elementos de revisión simultáneamente, en lugar de tomar las mismas decisiones individualmente. La revisión de varios elementos a la vez reduce la carga administrativa y ahorra tiempo.

Utilice las recomendaciones basadas en datos para tomar una decisión eficaz de aprobar o rechazar varias solicitudes a la vez. Por ejemplo, al realizar revisiones de acceso periódicas para su equipo, puede aprobar todos los elementos de revisión de bajo riesgo, con la recomendación Aceptar a la vez. Incluso puede seleccionar varios o todos los elementos para reasignar las tareas a otro revisor.

Esto es lo que puede hacer para realizar una revisión masiva de cada tarea de revisión:
  • Para las tareas de revisión de identidad, puede aprobar o rechazar varias tareas de revisión simultáneamente. Incluso puede reasignar varias tareas de revisión de identidad a la vez.
  • Para las tareas de control de acceso, para una política, puede aprobar o rechazar todas las sentencias a la vez.
  • Para las tareas de control de acceso, para una recopilación de identidades, puede aprobar o rechazar todos los miembros a la vez.
  • En el caso de las revisiones basadas en eventos, puede configurar las tareas de aprobación automática de bajo riesgo. También puede configurar para eliminar automáticamente las cuentas sin coincidencias.

Los cambios masivos combinados con la analítica prescriptiva te permiten acelerar el proceso, mejorando la eficiencia operativa sin comprometer la seguridad.

Aceptar acceso temporal para revisiones de acceso de identidad

Puede aceptar temporalmente el acceso al certificar el acceso de identidad a un permiso. El acceso se puede aceptar por un período indefinido o definir que caduque en función de un período de caducidad especificado.

El período de caducidad depende de la configuración del paquete de acceso. El acceso temporal es aplicable a las siguientes revisiones:
  • Tipo de asignación: permiso
  • Tipo de permiso otorgado: grupo de acceso

La pista de auditoría muestra todas las revisiones de acceso con límite de tiempo y la aceptación con límite de tiempo con un icono de reloj icono de reloj.