Documentación de Oracle Cloud Infrastructure

Trabajar con campañas de revisión de Access en Oracle Access Governance

Use Campañas para iniciar un proceso de revisión de acceso. Para usar las revisiones de acceso de manera efectiva, comprenda el ciclo de vida de la campaña, junto con conceptos cruciales, como la autocertificación de accesos y el mecanismo de reserva cuando se detecta un revisor o propietario no válido. Utilice directrices o mejores prácticas mientras trabaja con campañas para garantizar que se lleve a cabo un proceso de revisión eficaz.

Etapas de campaña de revisión de acceso

Como administrador o administrador de campaña, para certificar los privilegios de acceso, primero configure y programe campañas de revisión de acceso. Durante su ciclo de vida, una campaña pasa por varios estados de revisión de acceso. Las tareas que puede realizar dependen del estado o el estado de una campaña.

Como administrador o administrador de campaña, inicie el proceso de revisión de acceso mediante la creación de una campaña desde la sección Revisiones de acceso. Puede configurar una campaña ad hoc o programar una campaña periódica, formando una serie de campañas. Una campaña continúa a través de varias etapas o estados en su ciclo de vida. Esto implica definir el ámbito, definir flujos de trabajo de aprobación, seleccionar responsables de campaña y programar campañas. Una vez iniciados, los revisores pueden aceptar o revocar privilegios de acceso. Las decisiones adoptadas se cumplen como parte del proceso de reparación de bucle cerrado.

Estos son los estados de certificación para las campañas de revisión de acceso:
Etapas de campaña de revisión de acceso

  • Borrador: cuando se crea o agrega una nueva campaña de revisión de acceso, pero aún no se inicia. En el estado Borrador, puede:
    • Ver detalles de la campaña
    • Edición de una campaña
    • Suprimir una campaña
  • Programado: cuando se crea una campaña de revisión de acceso para que se inicie en un momento específico en el futuro. En el estado Programado, puede:
    • Ver detalles de la campaña
    • Edición de una campaña
    • Clonar una campaña
    • Terminar una campaña
    • Terminar serie de campaña
  • En curso: cuando se inicia una campaña de revisión de acceso. Se notifica a los revisores de la campaña por correo electrónico. Los revisores pueden tomar decisiones sobre las tareas de revisión asignadas mediante la aceptación o revocación de privilegios de acceso para finalmente cumplir la decisión como parte del proceso de solución de bucle cerrado. En un estado En curso, puede:
    • Ver detalles de la campaña
    • Clonar una campaña
    • Terminar una campaña
    • Terminar serie de campaña
    • Ver informe
    • Cambiar propiedad de campaña
    • Descargar datos CSV
  • Listo para aprobación: cuando se han completado las tareas de revisión o ha transcurrido la fecha de vencimiento de la campaña, esta pasa al estado Listo para aprobación. En caso de que haya elementos de revisión pendientes, las acciones sugeridas proporcionadas en el flujo de trabajo de aprobación se tendrán en cuenta automáticamente. Por ejemplo, apruebe todas las tareas de revisión de acceso sin revisar. En el estado Listo para aprobación, puede:
    • Ver detalles de la campaña
    • Clonar una campaña
    • Terminar una campaña
    • Terminar serie de campaña
    • Ver informe
    • Descargar datos CSV
    • Cambiar propiedad de campaña
  • Aprobada: cuando un responsable de campaña aprueba y ratifica una campaña desde la opción Acciones, se marca como Aprobada. La campaña pasa de la cola de mis campañas en curso a la cola de mis campañas anteriores. En el estado Aprobado, puede:
    • Ver detalles de la campaña
    • Clonar una campaña
    • Ver informe
    • Descargar datos CSV
  • Finalizado por el sistema: cuando se produce un error inesperado, es posible que la campaña se anule y pase al estado Finalizado por el sistema. En el estado Finalizado por el sistema, puede ver los detalles de la campaña, clonar una campaña, ver el informe o descargar el informe CSV. Algunas causas posibles son:
    • Cuando se produce un error interno del sistema, como un fallo al generar estadísticas o un fallo al validar los criterios de campaña.

    • Todas las campañas de borrador y programadas creadas antes de la versión de junio de 2023 se anulan automáticamente y se marcan como Finalizado por el sistema.

    • Cuando se suprime una instancia de servicio de Oracle Access Governance, todas las campañas de esa instancia de servicio se anulan y se marcan como Finalizado por el sistema.
    • Cuando se produce un fallo del sistema durante la terminación de una campaña, la campaña se anula y el estado es Finalizado por el sistema.
  • Terminado: cuando un administrador de campaña o un responsable de campaña finalizan una campaña. Puede terminar una campaña si está en el estado Programada, En curso o Listo para aprobación. Una campaña también termina cuando:
    • El revisor está inactivo y la jerarquía de mánager no tiene un usuario activo o el propietario de la campaña está inactivo.
    • El proceso de devolución no puede asignar un responsable o revisor de campaña adecuado; el sistema ha terminado la campaña.
    • El número de miembros de la recopilación de identidades es menor que el de los revisores definidos para el flujo de trabajo de aprobación de recopilación de identidades.
    En el estado Finalizado, puede:
    • Ver detalles de la campaña
    • Clonar
    • Ver informe
    • Descargar datos CSV

Concepto de guías de autocertificación

La autocertificación es un proceso de aprobación o certificación de sus propios derechos de acceso sin la intervención de un revisor externo. Es un proceso de negocio válido establecido para reducir la carga administrativa o para otras justificaciones de negocio apropiadas. Sin embargo, la autocertificación generalmente no se recomienda para los accesos de alto riesgo que involucran datos críticos, o cuando se involucra un beneficio personal potencial. Oracle Access Governance le ofrece la opción de activar o desactivar el proceso de autoaprobación.

Según el tipo de flujo de trabajo de aprobación, Oracle Access Governance activa o desactiva las guías de autocertificación para una campaña.
  • Si selecciona el flujo de trabajo Usuario personalizado, Recopilación de identidad u Propietario, puede activar o desactivar el proceso de autocertificación. Si selecciona el flujo de trabajo Beneficiario, también puede autoaprobar sus accesos.
  • Si selecciona cualquier otro flujo de trabajo o decide desactivar el proceso de autoaprobación, el sistema inicia un mecanismo de reserva adecuado para asignar automáticamente la tarea de revisión al siguiente revisor válido disponible.

Descripción del mecanismo de reserva: métodos para evitar el cese de campañas

Al trabajar con campañas, puede seleccionar el revisor deseado seleccionando una de las plantillas de aprobación definidas en la función Flujos de trabajo de aprobación de Oracle Access Governance. El servicio Campañas iniciará un mecanismo de reserva en caso de que se detecte un revisor no válido o un responsable de campaña no válido para evitar el cese de una campaña.

A continuación, se muestra cuándo Oracle Access Governance etiqueta a un revisor como no válido:
  • Cuando se selecciona una identidad de Oracle Access Governance inactiva como revisor.
  • Cuando se selecciona una identidad activa con el tipo de usuario Consumidor como revisor.
  • Cuando la autoaprobación está desactivada en la plantilla de aprobación seleccionada, y el revisor es el mismo que el beneficiario cuyos accesos se están revisando o certificando.

Mecanismo de reserva para un revisor no válido

Si el revisor deseado no es válido, Oracle Access Governance inicia el siguiente mecanismo de reserva, en el orden indicado, para asignar un revisor válido:

Revisor previstoCadena de gestión del revisor previstoPropietario de la campañaCualquier usuario seleccionado al azar que tenga el rol Administrador de Access Governance.

  • Revisor previsto
  • Mánager inmediato del revisor, hasta la cadena de gestión definida hasta que se encuentre un revisor válido.
  • Si no se encuentran gestores activos, el revisor se define como responsable de campaña.
  • Si no se permite la autoaprobación, no se encuentran mánager activos, el propietario de la campaña es el beneficiario y, a continuación, cualquier usuario, elegido aleatoriamente, con los roles de administrador se asigna automáticamente como revisor de revisión de acceso.

Mecanismo de reserva para un responsable de campaña no válido

Los propietarios de campañas no válidos pueden ser usuarios inactivos, usuarios consumidores o usuarios que no forman parte del flujo de trabajo de aprobación.

Si el responsable de campaña deseado no es válido, Oracle Access Governance inicia el siguiente mecanismo de reserva para asignar un responsable de campaña válido:

Propietario de campaña previstoCadena de gestión del propietario de la campañaCualquier usuario, seleccionado aleatoriamente, que tenga el rol Administrador de Access Governance.

  • Cadena de gestión del responsable de campaña.
  • Si no se encuentran gestores válidos, cualquier usuario seleccionado aleatoriamente con el rol Administrador se asigna automáticamente como propietario de la campaña.

Ejemplo 1 - Mecanismo de reserva cuando se permite la autocertificación

Escenario: como administrador de campaña y propietario de campaña, Sarah lanza las revisiones periódicas de acceso de identidad para su propio departamento. Selecciona la plantilla de flujo de trabajo de aprobación del propietario y permite la autoaprobación de las revisiones de acceso. Genera dos revisiones de acceso, con el tipo de asignación Cuenta de la siguiente manera:
  • Beneficiario: John Doe y responsable de cuenta como Sarah
  • Beneficiario: Sarah y responsable de la cuenta como Sarah
Mediante la plantilla Propietario con la autocertificación activada, el revisor previsto para esta campaña será el propietario de la cuenta, de la siguiente manera:
  • Beneficiario como John Doe y Revisor como Sarah
  • Beneficiario como Sarah y Revisor como Sarah

Ejemplo 2 - Mecanismo de reserva cuando no se permite la autocertificación

Escenario: como administrador de campaña y propietario de campaña, Sarah lanza las revisiones de acceso de identidad ad hoc para funciones críticas en aplicaciones de alto riesgo para su departamento. Selecciona la plantilla de flujo de trabajo de aprobación de propietario y no permite la autoaprobación de revisiones de acceso. Genera dos revisiones de acceso, con el tipo de asignación Permiso de la siguiente manera:
  • Beneficiario: John Doe y el propietario del permiso como Sarah
  • Beneficiario: Sarah y el propietario del permiso como Sarah
Dado que la autocertificación está desactivada, el revisor previsto para esta campaña no puede ser el mismo que el beneficiario. Por lo tanto, el mecanismo de reserva se iniciará de la siguiente manera:

Revisor previstoCadena de gestión del revisor previstoPropietario de la campañaCualquier usuario seleccionado al azar que tenga el rol Administrador de Access Governance.

Supongamos que no se ha encontrado ningún mánager válido en la cadena de gestión y, a continuación, se debe asignar el siguiente responsable de campaña como revisor. En este ejemplo, el propietario de la campaña es el mismo que el beneficiario con la autocertificación desactivada y, a continuación, el revisor de acceso se selecciona de forma aleatoria, con el rol Administrator (Administrador), que en este ejemplo es Carol Beck. Por lo tanto, los revisores de acceso serán los siguientes:

  • Beneficiario como John Doe y Revisor como Sarah
  • Beneficiario como Sarah y Revisor como Carol Beck

Mejores prácticas: directrices que hay que considerar al trabajar con campañas

Durante la ejecución de campañas, debe seguir algunas prácticas recomendadas y directrices para garantizar un proceso de revisión de acceso eficaz.

Aquí hay algunas pautas que debe seguir al ejecutar campañas:
  • El administrador o el administrador de campaña de Oracle Access Governance solo pueden crear campañas.
  • Todas las campañas solo las puede gestionar el administrador de Oracle Access Governance. El administrador de campañas puede gestionar las campañas que ha creado. Los propietarios de campañas pueden gestionar la campaña de la que son propietarios.
  • Puede ejecutar revisiones de identidad basadas en permisos otorgados directamente en sus sistemas gestionados (también conocidos como permisos conciliados) sin necesidad de aprovisionarlos desde Oracle Access Governance. Sin embargo, para gestionar los accesos a nivel granular, utilice los paquetes de acceso y aprovisione los permisos de Oracle Access Governance.
  • Puede certificar rápidamente los privilegios ejecutando revisiones de acceso de identidad desde el sistema de Oracle Access Governance en función de los permisos asignados directamente. Los permisos o cuentas aprovisionados a través de la política, o las cuentas de identidad de Oracle Identity Governance (OIG) y Oracle Cloud Infrastructure (OCI) no se tratan en esta revisión. Para obtener más información sobre la ejecución de revisiones basadas en permisos conciliados, consulte Revisiones de acceso de identidad para permisos asignados directamente en sistemas gestionados.
  • En una sola campaña, no puede combinar dos tipos diferentes de revisiones de acceso. Por ejemplo, si crea una campaña para revisar políticas, los criterios para las revisiones de acceso de identidad o las revisiones de recopilación de identidades ya no se aplican y se desactivan.
  • Cualquier usuario activo asociado a un flujo de trabajo de aprobación específico puede certificar las campañas. Los revisores solo pueden ver sus tareas de revisión asociadas. Un revisor que no está asociado a ningún flujo de trabajo de aprobación no puede realizar tareas en ninguna revisión.
  • Si no se generan revisiones, pasarán automáticamente al estado Listo para aprobación.
  • Propietario de campaña:
    • debe ser un usuario activo de Oracle Access Governance.
    • Puede recibir notificaciones por correo electrónico cada vez que una campaña avance a través de varios estados de campaña.
    • puede ser un revisor de revisión de acceso basado en el mecanismo de reserva si el revisor original previsto no es válido.
    • Puede gestionar una campaña que posea.
  • Puede autoaprobar o autocertificar sus accesos mediante la plantilla Usuario personalizado, Recopilación de identidad u Propietario. También puede aprobar automáticamente sus accesos al usar la plantilla de aprobación Beneficiario.
  • Puede certificar los privilegios de acceso para los usuarios consumidores, pero un usuario consumidor no puede ser un revisor de acceso.
  • Para las revisiones de políticas, no debe modificar la política después de programar las campañas. Se producirá un fallo al completar la solicitud de solución. Las sentencias de política deben ser coherentes durante todo el proceso de campaña.
  • Para las revisiones de recopilación de identidades, no debe modificar miembros después de programar las campañas. Se producirá un fallo al completar la solicitud de solución. La lista de miembros debe ser coherente durante todo el proceso de la campaña.