Documentation sur Oracle Cloud Infrastructure

Créer un ensemble d'accès

Un ensemble d'accès est un ensemble d'autorisations qui regroupent l'accès aux ressources, aux fonctions et aux fonctionnalités de l'application dans une unité pouvant faire l'objet d'une demande. Un ensemble d'accès spécifique sera associé à une seule cible.

Aperçu

Avec les ensembles d'accès, vous n'avez pas besoin d'accorder l'accès à chaque autorisation individuellement, mais vous pouvez demander l'ensemble d'accès pour cette ressource. Cela simplifie le processus de provisionnement des comptes avec des autorisations de ressource.

Exemple : Vous pouvez créer un ensemble d'accès pour les développeurs utilisant l'application cible Oracle Apex. Vous pouvez appeler cette offre groupée Apex Developer Access et sélectionner les autorisations de lecture, de modification et de création requises pour qu'un développeur puisse utiliser l'application. Lorsqu'un développeur de votre organisation doit demander l'accès d'un développeur à Apex, il n'a qu'à demander l'ensemble, et non les trois autorisations individuelles. Vous pouvez leur affecter automatiquement ces autorisations au moyen des politiques Oracle Access Governance.

Gérer les accès à l'aide des ensembles d'accès Oracle Access Governance

Vous pouvez gérer des groupes pour Microsoft Entra ID (anciennement Azure Active Directory) et Microsoft Active Directory.

Système orchestré pour Oracle Cloud Infrastructure (OCI)
Pour les domaines gérant des autorisations, les autorisations sont regroupées en groupes OCI IAM et en rôles d'application. Vous pouvez réaliser ce qui suit :
  • Affectation de groupe : Ensemble de groupes OCI IAM dans un ensemble d'accès, qui peuvent ensuite être affectés à des identités au moyen d'une politique ou d'une demande d'accès.
  • Affectation de rôle d'application : Ensemble des rôles d'application des services en nuage OCI dans un ensemble d'accès, qui peuvent ensuite être affectés à des identités au moyen d'une politique ou d'une demande d'accès.

Naviguer jusqu'à l'ensemble d'accès

Pour accéder à la page Access Bundle :

  1. Connectez-vous à la console Oracle Access Governance avec un utilisateur doté du rôle d'application administrateur ou administrateur de contrôle d'accès.
  2. Vous pouvez sélectionner une des options suivantes pour naviguer jusqu'à la page Ensemble accès :
    • Cliquez sur l'icône du menu de navigation Menu de navigation, puis sélectionnez Access Controls (Contrôles d'accès) > Access Bundles (Ensembles d'accès).
    • Dans la page d'accueil de la console, cliquez sur l'onglet Contrôles d'accès, puis cliquez sur le bouton Sélectionner dans la vignette Gérer les offres groupées d'accès.
    Quelle que soit l'option choisie, vous serez dirigé vers la page Accéder à l'ensemble, où vous pourrez créer, voir et gérer des ensembles d'accès.
  3. Pour créer un nouvel ensemble d'accès, cliquez sur le bouton Créer un ensemble d'accès. La page Créer un ensemble d'accès s'affiche.

Paramètres d'ensemble

Dans la tâche Paramètres de l'offre groupée, vous pouvez entrer des paramètres généraux concernant votre offre groupée d'accès. Vous pouvez également ajouter des marqueurs conviviaux qui peuvent être utilisés dans une recherche de cet ensemble d'accès lors de la création de politiques.

  1. Sélectionnez le système orchestré dans le champ Pour quel système est cet ensemble?.
    Vous verrez les applications disponibles pour la sélection, en fonction des données ingérées à partir de vos systèmes intégrés.
  2. [OCI-seulement] Sélectionnez un domaine dans le champ Quel domaine? à partir duquel vous voulez sélectionner des rôles d'application ou des groupes IAM OCI.
  3. [OCI-only] Dans le champ Quel type d'autorisation?, sélectionnez un des types suivants :
    • Rôle d'application : Pour encapsuler des rôles d'application OCI dans un ensemble d'accès et l'affecter à des identités.
    • Accès aux groupes : Pour assembler et affecter des groupes OCI IAM dans un ensemble d'accès.
    Vous ne pouvez pas combiner le rôle d'application et l'accès de groupe dans un ensemble à accès unique. Vous pouvez créer un rôle dans Oracle Access Governance et lui associer deux ensembles d'accès distincts. Ceux-ci peuvent ensuite être demandés au moyen de flux en libre-service ou provisionnés au moyen des politiques Oracle Access Governance. Pour plus de détails, voir Gérer les rôles.
  4. Sélectionnez qui peut demander cette offre groupée parmi les choix disponibles :
    • Au choix : Toute identité peut demander l'accès à cet ensemble d'accès.
    • Personne : L'ensemble d'accès ne peut être affecté que par un administrateur au moyen de politiques. Vous ne pouvez pas demander l'accès à cet ensemble d'accès au moyen de flux en libre-service.
    • Membres de l'organisation : Seuls les membres d'organisations spécifiques peuvent demander l'accès à cette offre groupée au moyen de flux en libre-service. Pour plus de détails sur la gestion d'Oracle Access Governance Organization, voir Créer et gérer des organisations.
  5. Pour Membres de l'organisation, sélectionnez un ou plusieurs noms d'organisation qui peuvent demander l'accès à cet ensemble d'accès.
  6. Sélectionnez le flux de travail d'approbation approprié dans le champ Quel flux de travail d'approbation doit être utilisé?.
    La liste affichée est basée sur les flux de travail d'approbation personnalisés créés dans la console Oracle Access Governance. Pour plus d'informations, voir Créer un flux de travail d'approbation.
    Note

    Si vous avez sélectionné Personne, ce champ sera désactivé car les ensembles d'accès peuvent être provisionnés à l'aide de politiques.
  7. Cochez la case Approuver automatiquement les demandes sans restriction d'accès ou de SoD pour déclencher le flux de travail d'approbation sélectionné uniquement lorsqu'une demande d'accès entraîne une violation d'une restriction d'accès ou d'une séparation des fonctions (SoD). Sinon, la demande est approuvée automatiquement.
  8. Sélectionnez un ou plusieurs marqueurs pour cet ensemble d'accès dans le champ Voulez-vous ajouter des marqueurs?. Par exemple, General-org , Database Admin ou similaire.
  9. Dans la liste Sélectionner un garde-corps d'accès requis pour autoriser l'accès, sélectionnez le garde-corps d'accès approprié pour appliquer la séparation des tâches ou des contraintes d'accès pour l'ensemble d'accès. Pour plus d'informations, voir Accéder aux garde-corps - Application des contraintes de contrôle d'accès préventif.
  10. Cliquez sur Suivant pour accéder à la tâche Sélectionner des autorisations.

Sélectionner les autorisations

Dans la tâche Sélectionner des autorisations, vous pouvez sélectionner les autorisations à inclure dans cet ensemble d'accès. Selon le système orchestré, vous pouvez voir des attributs supplémentaires requis pour le provisionnement de compte. Reportez-vous aux articles système orchestrés spécifiques pour en savoir plus sur les attributs par défaut. Pour OCI, vous pouvez sélectionner des groupes ou des rôles d'application OCI IAM.

  1. Sélectionnez une ou plusieurs autorisations associées à l'application cible. Vous pouvez également utiliser le champ Rechercher pour localiser l'autorisation ou le rôle requis.
  2. Une fois les autorisations sélectionnées, cliquez sur Suivant pour aller à la tâche Ajouter des détails.

Ajouter des responsables principaux et supplémentaires

Vous pouvez associer la responsabilité de la ressource en ajoutant des responsables principaux et supplémentaires. Ces responsables peuvent ainsi gérer (lire, mettre à jour ou supprimer) les ressources dont ils sont responsables. Par défaut, le créateur de la ressource est désigné comme responsable de la ressource. Vous pouvez affecter un responsable principal et jusqu'à 20 responsables supplémentaires aux ressources.

Pour affecter la responsabilité de la ressource, vous devez avoir des utilisateurs actifs d'Oracle Access Governance. Lors de la configuration du premier système orchestré pour votre instance de service, vous ne pouvez affecter des responsables qu'après avoir activé les identités dans la section Gérer les identités.
Aucun rôle d'application particulier n'est nécessaire pour affecter la responsabilité des ressources. Tout utilisateur actif d'Oracle Access Governance peut être affecté en tant que responsable des ressources. Tous les responsables peuvent lire, mettre à jour ou supprimer les ressources dont ils sont responsables. Toutefois, le responsable principal est affecté en tant que réviseur d'accès lorsque vous choisissez le modèle responsable dans le flux de travail d'approbation pour effectuer des révisions de propriété dans les campagnes. Pour plus d'informations, voir Types de révisions d'accès offerts par Oracle Access Governance.
  1. Dans l'icône du menu de navigation d'Oracle Access Governance Menu de navigation, sélectionnez Administration du service → Systèmes orchestrés.
  2. Sélectionnez l'option Gérer l'intégration dans le menu d'actions menu d'actions pour le système orchestré à configurer. La page Gérer l'intégration s'affiche pour le système orchestré sélectionné.
  3. Dans la section Paramètres de système de la page, sélectionnez Gérer dans la vignette Paramètres de propriété. La page Paramètres de responsabilité s'affiche pour le système orchestré sélectionné.
  4. Sélectionnez un utilisateur actif d'Oracle Access Governance en tant que responsable principal dans le champ Qui est le responsable principal?.
  5. Sélectionnez un ou plusieurs responsables supplémentaires dans la liste À qui appartient-il d'autre?. Vous pouvez ajouter jusqu'à 20 responsables supplémentaires pour la ressource.
    Vous pouvez voir le responsable principal dans la liste. Tous les responsables peuvent voir et gérer les ressources dont ils sont responsables.

Limite de temps - Accès

Définissez une période d'expiration pour limiter l'accès en jours ou en heures. Vous pouvez également autoriser les utilisateurs à demander une extension avant que l'accès ne soit révoqué à leur expiration. L'accès limité dans le temps garantit que les identités n'ont accès qu'à la période requise, ce qui améliore la sécurité.

L'accès limité dans le temps s'applique uniquement aux demandes d'accès en libre-service et ne s'applique pas lorsque l'accès est accordé au moyen d'une politique.
  1. Combien de temps l'accès doit-il être accordé? : Sélectionnez l'une des options suivantes :
    1. Indéfiniment : Autorise l'accès permanent sans limite de temps. L'accès est révoqué uniquement s'il est révoqué manuellement ou si le compte est désactivé.
    2. Nombre maximal de jours [1-365] : Entrez le nombre maximal de jours pour accorder l'accès. L'accès sera révoqué après cette période.
    3. Nombre maximal d'heures [1-24] : Entrez le nombre maximal d'heures pour accorder l'accès. L'accès sera révoqué après les heures spécifiées.
  2. Combien de jours/heures avant l'expiration devons-nous envoyer un avis? : Selon votre sélection de jours ou d'heures pour l'accès, entrez le nombre de jours ou d'heures avant l'expiration pour envoyer un avis par courriel à l'utilisateur.
  3. Quel est le nombre maximal de jours/heures de prolongation autorisé? : Selon votre sélection de jours ou d'heures pour l'accès, entrez le nombre maximal de jours/heures permis pour une prolongation après l'expiration de l'accès. Si cela est autorisé, les identités peuvent déclencher une demande d'extension d'accès en libre-service à partir de la page Mon accès.
    • Si l'ensemble d'accès est limité dans le temps, la période d'extension est déterminée par la configuration de l'ensemble d'accès.
    • Si l'ensemble d'accès est indéfini, les extensions sont autorisées jusqu'à 90 jours par défaut.
  4. Quel flux de travail d'approbation doit être utilisé pour les demandes de prolongation? : Sélectionnez le flux de travail d'approbation approprié à utiliser pour approuver la demande de prolongation.

Ajouter des détails

Dans cette tâche Ajouter des détails, vous pouvez donner un nom à votre offre groupée d'accès, ajouter une description complémentaire et joindre un profil de compte.

  1. Entrez le nom de votre ensemble d'accès dans le champ Nom.
  2. Ajoutez une description de votre ensemble d'accès dans le champ Description.
    Note

    Les autres champs de l'écran dépendent du type de cible et des autorisations sélectionnées dans les tâches précédentes.
  3. Sélectionnez l'une des actions suivantes pour le champ Voulez-vous utiliser un profil de compte?. Pour plus d'informations, voir Configuration des profils de compte dans Oracle Access Governance.
    • Oui : Sélectionnez un profil de compte dans la liste Quel profil de compte?.
    • Non : Entrez des valeurs dans les autres champs qui s'affichent en fonction du système géré.
  4. Cliquez sur Suivant pour accéder à la tâche Vérifier et soumettre.

Réviser et soumettre

La tâche Réviser et soumettre affiche les informations que vous avez ajoutées au cours des tâches précédentes.

Si tout semble correct, cliquez sur Créer pour créer l'ensemble d'accès. Vous pouvez sélectionner des actions d'ajout :
  • Annuler : pour annuler le processus.
  • Retour : Pour retourner à l'étape précédente.
  • Enregistrer en tant que version provisoire : Pour enregistrer l'ensemble d'accès en tant que copie provisoire. L'ensemble d'accès s'affiche dans l'écran Access Bundle (Ensemble d'accès) avec le statut 'Draft (Provisoire).