Documentation sur Oracle Cloud Infrastructure

Accorder l'accès au droit de naissance

L'accès au droit de naissance fait référence à un jeu d'autorisations par défaut automatiquement accordées aux utilisateurs à l'aide des politiques automatisées d'Oracle Access Governance afin de s'assurer que les nouveaux utilisateurs ont un accès essentiel avant ou au début de leur emploi.

Oracle Access Governance accorde un droit de naissance à
  • Expédition : La date de début est dans le futur.
  • Embauche : La date de début est maintenant ou dans le passé; elle n'est pas terminée.
État de l'employé Statut du guide d'activités Statut (de la source faisant autorité) Date de jointure (de la source faisant autorité) Cessation d'emploi démarrée Date de cessation (de la source faisant autorité)
Préembauche AG - Actif Désactivé Supérieur à aujourd'hui Faux Supérieur à aujourd'hui
Embauche AG - Actif Actif inférieur ou égal à aujourd'hui Faux Supérieur à aujourd'hui

Préalables

Assurez-vous des préalables suivants pour accorder l'accès aux droits de naissance à partir d'Oracle Access Governance :

    1. La source faisant autorité doit inclure des attributs d'employé, y compris la date d'adhésion officielle ou la date de début
    2. Créez un attribut de système et un attribut d'identité global pour extraire la valeur source.
    3. La source faisant autorité doit inclure la date de cessation ou le dernier attribut de système orchestré de date de travail.
    4. Créer un attribut d'identité de guide d'activités global terminated
    5. Définir les conditions relatives au personnel et au consommateur pour l'activation

Étape 1 : Créer un attribut de système et un attribut d'identité globale pour JoinDate

  1. Créez un attribut de système simple joinDate et mappez-le à la source de date de jointure, par exemple startDate. Voir Créer un attribut de système.
  2. Maintenant, allez à la page Attributs d'identité et recherchez l'attribut d'identité de base joinDate. Modifiez l'attribut d'identité de base pour sélectionner le système orchestré pertinent et mettez à jour la source de valeur avec une seule règle d'attribut, par exemple :
    if (user.getCustomAttributes() != null) 
{ user.getCustomAttributes()['startDate'] }
    Voir Gérer les paramètres d'attributs.

Étape 2 : Créer un attribut d'identité global pour exclure les utilisateurs en cessation d'emploi

Créez un attribut de guide d'activités, terminated, pour les politiques qui accordent un droit d'accès avant joinDate afin d'exclure les utilisateurs en cessation d'emploi des autorisations qui leur sont affectées au moyen de ces politiques. Ici terminationDate est la dernière source de date de travail de la source faisant autorité.

    1. Allez à la page Attributs d'identité et créez un attribut de guide d'activités interne, terminé, de type Booléen. Pour plus de détails, voir Créer un attribut Oracle Access Governance.
    2. Utilisez la règle d'attribut unique pour comparer terminationDate à aujourd'hui. Si terminationDate est inférieur ou égal à aujourd'hui, il retourne Vrai; sinon, il retourne Faux, par exemple :
      if( user.getStatus() == 'Disabled' && user.getCustomAttributes() != null && user.getCustomAttributes()['terminationDate'] != null ) 
{ var currentDate=new Date(); 
var today = new Date(currentDate.getFullYear(),currentDate.getMonth(),currentDate.getDate(),23,59,59,999); 
var terminationDate = new Date(user.getCustomAttributes()['terminationDate']); 
if(terminationDate <= today) 
{ true } 
else { false } 
} 
else { false }
    3. Sélectionner les indicateurs d'identité appropriés pour inclure ces attributs dans les fonctions d'Oracle Access Governance

Étape 3 : Configurer les règles d'activation du personnel et des consommateurs

Allez à la page Gérer les identités et définissez les règles d'activation suivantes :
  • Pour les utilisateurs actifs :
    Status In Active Disabled
  • Pour les utilisateurs de consommateur :
    Status Equals Disabled

Flux de travail d'accès au droit de naissance

Vous pouvez configurer l'accès aux droits de naissance à partir d'Oracle Access Governance en créant des collections d'identités, en regroupant les autorisations dans un ensemble d'accès, puis en configurant des politiques pour vous assurer que les nouvelles embauches ont un accès essentiel avant ou au début de l'emploi.

  1. Créez une collecte d'identités basée sur des règles d'appartenance. Voir Créer une collection d'identités.
    1. Permet aux utilisateurs d'accorder l'accès à la date de début ou après.
      Status Equals Active
Worker Type Equals Employee
    2. Pour que les pré-embauches accordent l'accès avant la date de début
      {JoinDate} Number of days before {10}
{Terminated} Equals {False}
      Note

      • Pour accorder l'accès à la date de début ou après, vous devez ajouter une condition Status Equals Active.
      • Si vous avez configuré la politique à l'aide de today(), chaque jour, un programmateur interne ajoute un nouveau membre qui répond aux critères d'appartenance. Selon la configuration, la stratégie est déclenchée tous les jours à minuit.
  2. Créez un ensemble d'accès et un ensemble d'accès aux autorisations nécessaires. Par exemple, l'accès aux outils de collaboration par défaut. Voir Créer un ensemble d'accès.
  3. Créez une politique et associez la partie des autorisations de l'ensemble d'accès à la collection d'identités. Voir Gérer les politiques.

Exemple de préembauche

Comprenons le flux de travail complet d'accès aux droits de naissance pour les pré-embauches, où l'accès doit être accordé avant la date de début.

Alice doit se joindre à Acme Corporation le 20 mars. En tant que AG_Administrator et AG_AccessControl_Admin, accordez les conditions suivantes :

    1. Assurez-vous de configurer les préalables pour activer les règles de personnel et la date de début d'ingestion dans l'attribut de base joinDate.
    2. Créez une collection d'identités avec la règle d'appartenance :
      {JoinDate} Number of days before {10}
	{Terminated} Equals {False}
    3. Autorisations d'ensemble dans un ensemble d'accès pour les outils de collaboration ou d'entreprise par défaut. Vous pouvez effectuer une configuration supplémentaire pour vous assurer que Personne ne peut demander cet ensemble d'accès et qu'il ne doit être accordé qu'à l'aide d'une politique.
    4. Créez une politique et associez la partie des autorisations de l'ensemble d'accès à la collection d'identités.

    Pour Alice, si la date de jointure est le 20 mars, la politique est déclenchée le 10 mars pour accorder l'accès aux droits de naissance.

Validation de la configuration

Vérifiez si la configuration est correcte.

  1. Dans Administration du système, sélectionnez Attributs d'identité, puis activez Inclure dans les détails d'identité et l'indicateur Inclure dans la gestion des identités pour les attributs d'identité suivants : status, startDate, joinDate, terminated, terminationDate et terminationStarted.
  2. Dans Qui a accès à quoi, sélectionnez Navigateur à l'échelle de l'entreprise, sélectionnez des identités, sélectionnez Modifier les paramètres de liste, puis ajoutez les attributs suivants aux paramètres de liste : status, startDate, joinDate, terminated, terminationDate et terminationStarted.
  3. Validez les éléments suivants pour les identités chargées à partir du système source faisant autorité :
    • Les attributs startDate et joinDate doivent être réglés à la même valeur.
    • Les identités avec un startDate dans le futur et un terminationDate qui n'est pas défini ou qui est dans le futur doivent avoir les valeurs suivantes :
      • status=Disabled
      • AG status=Active
      • AG subtype=Consumer
      • terminated=false
    • Les identités avec un startDate dans le passé et un terminationDate qui n'est pas défini ou qui est dans le futur doivent avoir les valeurs suivantes :
      • status=Active
      • AG status=Active
      • AG subtype=Workforce
      • terminated=false
    • Les identités ayant une valeur terminationDate dans le passé doivent avoir les valeurs suivantes :
      • status=Disabled
      • AG status=Active ou Inactive (dépend de la configuration du groupe; s'il s'agit de collections d'identités actives Oracle Access Governance pour les politiques de pré-embauche, la condition terminated=false doit être indiquée)
      • AG subtype=Consumer (si ces identités sont chargées dans Oracle Access Governance, elles doivent être de type f Consommateurs)
      • terminated=true