Documentation sur Oracle Cloud Infrastructure

Créer des campagnes de révision d'accès aux identités

En tant qu'administrateur ou administrateur de campagne, certifiez les accès d'identité en créant des campagnes de révision d'accès aux identités sur demande à partir de la console Oracle Access Governance. Il peut s'agir de campagnes de révision d'accès ponctuelles ou périodiques.

Préalables

Avant de créer des campagnes de révision d'accès aux identités, tenez compte des éléments suivants :

  • Pour créer des campagnes de révision d'accès, vous devez disposer du rôle Administrateur ou Administrateur de campagne d'Oracle Access Governance.
  • Activez les attributs d'identité (cœur et personnalisé) et les affiliations, à partir de la page Attributs d'identité. Par exemple, vous devrez peut-être définir vos campagnes en fonction du code de projet ou du centre de coûts. Voir Voir et configurer les attributs d'identité personnalisés.
  • Vous devez sélectionner au moins un critère de sélection pour exécuter des campagnes afin d'éviter une consommation importante de ressources.
  • Sélectionnez le système Oracle Access Governance pour exécuter des révisions d'accès aux identités en fonction des autorisations ingérées directement à partir des systèmes orchestrés.
  • Pour le système Oracle Access Governance, vous pouvez choisir les autorisations affectées directement (DIRECT) ou les ensembles d'accès accordés à la demande de la vignette Quelles autorisations? . Les autorisations ou les comptes provisionnés au moyen de la politique ne sont pas admissibles dans cette vérification.
  • Vous ne pouvez pas vérifier des autorisations et des rôles spécifiques dans une même campagne que Quelles autorisations? et Quels rôles? s'excluent mutuellement. Cela signifie que vous pouvez sélectionner l'un des deux lors de la création d'une campagne. Toutefois, vous pouvez vérifier toutes les autorisations et tous les rôles disponibles lorsque vous sélectionnez Qui a accès? et À quoi accèdent-ils?.

Pour plus d'informations sur les campagnes, voir Meilleures pratiques à utiliser avec les campagnes.

Naviguer jusqu'aux campagnes

Les campagnes sont créées à partir de la console Oracle Access Governance. Allez à la page Campagnes pour lancer le processus de révision de l'accès sur demande.

  1. Connectez-vous à la console Oracle Access Governance.
  2. Sélectionnez une des options suivantes pour accéder à l'écran :
    • Dans la page d'accueil de la console Oracle Access Governance, sélectionnez l'onglet Révisions d'accès. Sélectionnez la vignette Définir une nouvelle campagne.
    • Dans le menu de navigation Menu de navigation, sélectionnez Révisions d'accès, puis Campagnes. Dans la page Campagnes, sélectionnez Créer une campagne.
  3. Sélectionnez l'un des types de système pour lesquels vous voulez exécuter des campagnes. Pour plus d'informations, voir Types de système admissibles pour lancer des campagnes de révision d'accès.
    Dans la page de flux de travail Créer une campagne de révision d'accès, définissez les critères de sélection de votre campagne.

Sélectionner des critères pour vos révisions d'accès

Dans la dimension Critères de sélection, vous sélectionnez les critères appropriés pour vos campagnes de révision de l'accès aux identités. Les attributs configurés dans la page Attributs d'identité sont disponibles en tant que critères de sélection. Tous les critères peuvent être recherchés par leur nom.

Les vignettes de sélection sont basées sur le système sélectionné à l'étape précédente. Par exemple, pour Oracle Cloud Infrastructure (OCI), vous pouvez voir d'autres vignettes, telles que Quelles locations? afin de sélectionner votre compte en nuage pour lequel vous voulez exécuter la révision.
  1. Sélectionnez une ou plusieurs vignettes de critères à inclure dans un ordre quelconque. Vous n'avez pas besoin de mettre à jour chaque critère. Les valeurs de sélection sont dérivées du système orchestré intégré. Les vignettes disponibles sont les suivantes :
    OptionDescription
    Qui a accès? Pour filtrer les identités en fonction des attributs d'identité de base ou personnalisés.
    1. Sélectionnez jusqu'à cinq attributs dans le champ Quels attributs voulez-vous ajouter pour sélection?.
    2. Dans chaque onglet, sélectionnez une ou plusieurs valeurs de sélection disponibles.
    À quoi accèdent-ils? Sélectionner des identités en fonction de leur accès aux applications ou aux ressources.
    Quelles autorisations? Pour sélectionner des identités en fonction de leur accès aux autorisations.
    • Pour Oracle Identity Governance (OIG), vous pouvez sélectionner des droits.
    • Pour Oracle Access Governance, vous pouvez sélectionner les autorisations affectées directement dans le système géré ou les autorisations provisionnées au moyen de l'ensemble d'accès icône d'ensemble d'accès au moyen de la demande dans Oracle Access Governance. Les autorisations varient en fonction du système orchestré.
    • Pour OCI, vous pouvez vérifier les groupes OCI IAM et les rôles d'application affectés au moyen de l'ensemble d'accès icône d'ensemble d'accès au moyen de la demande dans Oracle Access Governance.
    Quels rôles? Pour filtrer les identités en fonction de leurs rôles.
    • Pour Oracle Identity Governance (OIG), vous pouvez sélectionner des rôles directement affectés.
    • Pour Oracle Access Governance, vous pouvez sélectionner des rôles affectés directement dans le système géré ou créés dans Oracle Access Governance.
    • Pour Oracle Cloud Infrastructure (OCI), vous pouvez vérifier les rôles d'application des services OCI affectés directement dans OCI.
    Quelles locations? Pour filtrer le compte en nuage. Sélectionnez le lien Préciser davantage pour sélectionner le compartiment et le domaine de votre compte en nuage. Disponible seulement pour le système de révision Oracle Cloud Infrastructure.
    Utilisez un filtre pour sélectionner les valeurs pertinentes. Par exemple, pour la portée d'Oracle Access Governance, dans la vignette Quelles autorisations?, sélectionnez Ensemble d'accès comme type d'autorisation accordée et réglez Limité à Limite de temps d'accès pour vérifier les ensembles d'accès avec un accès limité dans le temps. Pour Oracle Cloud Infrastructure (OCI), dans la liste Limite de temps d'accès, sélectionnez Limitée.
  2. Après la sélection, sélectionnez Appliquer mes sélections.
  3. Pour mettre à jour vos critères de sélection, sélectionnez le bouton Modifier dans la vignette appropriée.
    Le panneau à droite de la page vous montre l'effet de votre sélection et vous fournit une estimation des identités incluses considérées pour révision.
  4. Une fois votre sélection effectuée, sélectionnez le bouton Je suis bon, allez aux flux de travail pour passer à la dimension Affecter un flux de travail.
    À tout moment, sélectionnez Enregistrer l'ébauche pour enregistrer votre campagne et la sélectionner plus tard pour travailler sur les détails.

Ajouter des réviseurs d'accès en sélectionnant le flux de travail d'approbation

Dans la dimension Affecter un flux de travail, vous sélectionnez le flux de travail d'approbation pour votre révision d'accès.

  1. Sélectionnez le flux de travail d'approbation à affecter à cette campagne de révision d'accès.
    Une liste des flux de travail disponibles affiche tous les flux de travail d'approbation définis dans votre système. Tenez compte des corps de certification automatique et du mécanisme de secours avant de sélectionner le flux de travail. Pour plus de détails sur la création et la gestion des flux de travail d'approbation, voir Créer un flux de travail d'approbation et Gérer le flux de travail d'approbation.
  2. Après avoir sélectionné votre flux de travail, cliquez sur le lien Voir le flux de travail d'approbation pour voir une représentation graphique du flux de travail sélectionné.
  3. Sélectionnez la portée de la justification requise pour les décisions de révision. Vous pouvez choisir aux réviseurs d'ajouter des commentaires pour toutes les décisions d'évaluation, de révoquer uniquement les décisions ou de conserver le champ de justification comme facultatif.
  4. Sélectionnez Suivant pour passer à la dimension Ajouter des détails.
    À tout moment, sélectionnez Enregistrer l'ébauche pour enregistrer votre campagne et la sélectionner plus tard pour travailler sur les détails.

Ajouter les détails de la campagne

Dans la dimension Ajouter des détails, sélectionnez le cycle de programmation de la campagne, donnez un nom significatif à votre campagne, ajoutez une description complémentaire et affectez des valeurs à des attributs supplémentaires, tels que le responsable de la campagne, et le moment où la campagne doit commencer ou se terminer.

Pour ajouter des détails :
  1. Sélectionnez un cycle de programmation approprié dans le champ À quelle fréquence voulez-vous que cela s'exécute?
  2. Dans Que voulez-vous appeler cette campagne?, entrez un nom de campagne unique.
  3. Dans Comment voulez-vous décrire cette campagne, entrez la description de la campagne.
  4. Dans le champ Qui est responsable de cette campagne?, sélectionnez le responsable de la campagne.
    Envisagez d'utiliser les corps de certification automatique et le mécanisme de secours avant d'affecter le responsable de la campagne.
  5. Sélectionnez l'une des options suivantes pour les systèmes Oracle Access Governance et Oracle Identity Governance (OIG) :
    OptionDescription
    Inclure les révisions pour les comptes Sélectionnez cette option si vous souhaitez inclure des révisions d'accès aux identités pour les comptes avec des autorisations. Désélectionnez la case à cocher pour exclure les révisions de compte.
    Inclure les révisions pour les rôles Sélectionnez cette option si vous voulez créer des révisions d'accès aux identités pour les rôles avec des autorisations. Décochez la case Exclure les révisions de rôle.
    Lors de la vérification des autorisations, les évaluations des comptes et des rôles sont incluses par défaut. Si vous excluez les révisions de compte et de rôle, seules les révisions d'autorisation sont générées.
  6. En fonction du cycle de programmation sélectionné à l'étape 1, sélectionnez l'heure à laquelle vous souhaitez lancer la campagne.
    • Pour Ponctuel, sélectionnez Exécuter maintenant ou Programmer ultérieurement. Par défaut, la campagne est réglée pour commencer au début de l'heure suivante, le jour suivant sa création.
    • Pour les séries de campagnes, cliquez sur l'icône de calendrier et sélectionnez les dates et heures de début et de fin de la campagne.
  7. Une fois que vous avez défini vos préférences, sélectionnez Suivant pour aller à la dimension Réviser et soumettre.
  8. (Facultatif ) Vous pouvez sélectionner une des actions supplémentaires suivantes :
    • Enregistrer une version provisoire : Pour enregistrer vos modifications et revenir modifier le flux de travail ou les détails plus tard.
    • Annuler : Pour annuler le processus courant.
    • Retour : Pour retourner à l'étape précédente.

Réviser et soumettre la campagne

Dans la dimension Vérifier et soumettre, vérifiez les détails de la campagne et créez la campagne.

Pour réviser et soumettre votre campagne :
  1. Vérifiez les informations sur la campagne. Pour toute modification, sélectionnez le bouton Précédent.
  2. Sélectionnez Créer. La campagne a été programmée.