Documentation sur Oracle Cloud Infrastructure

Flux de données dans Oracle Access Governance

La publication des données d'événement est un processus permettant d'exporter des événements de données ponctuels et séquentiels et de publier en continu des événements de données sur des systèmes externes, tels qu'un compte en nuage Oracle Cloud Infrastructure (OCI). Avec Oracle Access Governance, vous avez la possibilité d'exporter des événements de données ponctuels et de les publier en continu, tels que les identités, les collections d'identités, les politiques, les ressources, l'accès aux ressources, etc., dans votre location en nuage. Vous pouvez utiliser ces données pour dériver des informations, stocker des données à des fins de conformité ou pour analyser les données de gestion des accès et de gouvernance.

Un événement fait référence à toute modification de l'état des données qui se produit lors de la création, de la modification ou de la suppression de composants d'Oracle Access Governance, tels que l'identité, les politiques, les ressources, etc.

Grâce à Event Data Publisher, les administrateurs disposent d'un contrôle total sur les données d'accès et d'identité et peuvent les utiliser pour automatiser la journalisation des événements et rationaliser les rapports de conformité. Par exemple, vous pouvez activer le flux de données pour voir des informations sur les violations d'accès en temps réel.

Présentation du flux de publication des événements de données

Comprenons le flux de publication des événements de données dans Oracle Access Governance :

Le flux de publication d'événement de données utilise des seaux OCI pour une exportation ponctuelle et publie les mises à jour suivantes dans les flux OCI ou les seaux OCI en fonction de la taille du fichier.


Flux de publication des événements de données

  1. Effectuez des étapes préliminaires dans votre compte infonuagique OCI pour recevoir les données. Pour plus de détails, voir Configurer une location OCI pour Data Publisher et Streaming.
  2. Utilisez le service de flux de données d'Oracle Access Governance pour publier les données sur votre système en nuage.
  3. Établissez une connexion à Oracle Access Governance en entrant les détails de configuration. Pour plus de détails, voir Configurer Event Data Publisher dans Oracle Access Governance.
  4. Le service d'éditeur d'événement de flux de données extrait les composants de données disponibles dans Oracle Access Governance. Le jour 0, l'événement initial exporte un instantané complet des composants de données vers le seau de stockage d'objets OCI en tant que fichiers JSONL. Les événements du jour 0 seront publiés dans le seau de stockage d'objets OCI.
  5. Le gestionnaire d'événements de données conserve le statut de publication et retourne un avis de réussite ou d'échec.
  6. Pour le jour N, chaque fois qu'une modification de l'état des composants de données est apportée à la création, à la modification ou à la suppression de composants, l'éditeur d'événement du flux de données détecte la modification en temps réel et publie les messages séquentiels dans les flux OCI. La taille maximale d'un message peut être de 1 Mo.
  7. Pour le jour N, si la taille du message est supérieure à 1 Mo, l'éditeur d'événement du flux de données publie les mises à jour des seaux OCI en tant que nouvelle version qui ajoute ou remplace des entrées dans le fichier JSONL avec contrôle des versions.
  8. Pour les événements du service de vérification, toutes les activités opérationnelles ayant lieu dans Oracle Access Governance sont publiées dans les flux OCI. Les clients peuvent ensuite utiliser ces données pour générer des rapports pertinents, suivre les modifications au fil du temps et améliorer la surveillance de la sécurité et de la conformité.

Événements de données initiaux et événements de données incrémentielles : Jour 0 et jour N

Vous pouvez exporter et publier des données Oracle Access Governance vers des flux OCI ou des seaux OCI.

Jour 0 : Publication d'événements avec des seaux

Le jour 0, qui est l'exportation initiale des données, Oracle Access Governance est exporté vers le seau OCI en tant que fichiers JSONL (.jsonl). Ces fichiers peuvent gérer efficacement plusieurs objets JSON dans une même charge utile. Vous recevrez plusieurs fichiers par composant de données.

Le jour 0, l'éditeur d'événement de flux de données envoie le message de début au seau OCI avec messageType comme Day0, opération CREATE et statut START. Tant que tous les objets de données ne sont pas exportés, chaque fichier d'objet de sortie Jour 0 contient le statut In_PROGRESS. Une fois terminé, l'éditeur d'événement de flux de données envoie le message de fin pour le jour 0. avec le statut SUCCESS ou FAILED. Le statut de réussite ou d'échec est affiché dans la console Oracle Access Governance, y compris le nom de l'administrateur qui a effectué l'opération de publication.

Jour N : Publication d'événements avec les flux OCI ou les seaux OCI

Après le jour 0, les mises à jour suivantes sont publiées en temps réel dans les flux OCI ou dans les seaux OCI. Chaque message publié dans les flux comporte un attribut eventTime pour aider le service de consommation à gérer l'ordre des événements.

Selon la taille du fichier, la destination de publication est déterminée.
  • Si la taille du fichier est inférieure à un mégaoctet (< 1 MB), les mises à jour sont publiées dans les flux OCI au format JSON. Les données des flux sont encodées en base64, ce qui garantit une transmission rapide. Pour consommer le message, vous devez décoder les données, puis les exploiter pour une utilisation ultérieure.
  • Si la taille du fichier est supérieure à un mégaoctet (> 1 MB), les mises à jour sont publiées dans les seaux OCI en tant que versions des fichiers de sortie Jour 0, au format JSONL.

Composants de données disponibles pour la publication

Vous pouvez exporter et publier les composants de données suivants :

Événements de vérification

Portée : Toutes les opérations au sein d'Oracle Access Governance

messageType: AUDIT_EVENTS

Les événements de vérification enregistrent les activités opérationnelles dans Oracle Access Governance. Les événements de vérification se concentrent sur la sécurité et la conformité, et suivent essentiellement les actions des utilisateurs, contenant des détails sur qui a fait quoi, quand et où dans le système.

Toutes les opérations de création, de mise à jour et de suppression (CRUD) effectuées dans Oracle Access Governance sont enregistrées et publiées en tant qu'événements de vérification en temps quasi réel dans les flux OCI. Une fois enregistrés, ils ne peuvent pas être modifiés. Exemple : Les événements de vérification de création d'offre groupée d'accès enregistrent des détails tels que Qui a créé l'offre groupée? Quelles autorisations sont incluses?, Qui peut demander l'accès? et Statut du flux de travail d'approbation?. Pour les détails de référence de schéma et d'attribut, voir Schéma et échantillon de référence d'événements de vérification.

Ensemble d'accès

Portée : Rôles d'Oracle Access Governance

messageType: ACCESS_BUNDLE

Tous les ensembles d'accès créés manuellement ou automatiquement à l'aide du système de recommandation d'Oracle Access Governance seront publiés en tant qu'événements ACCESS_BUNDLE. Le fichier de sortie contient des ensembles d'accès contenant des autorisations spécifiques et des détails sur le responsable. Pour les détails de référence de schéma et d'attribut, voir Schéma et échantillon de référence d'ensemble d'accès.

Limites d'accès

Portée : Pistes de protection d'accès créées dans Oracle Access Governance

messageType: ACCESS_GUARDRAIL

Les limites d'accès créées et gérées dans Oracle Access Governance seront publiées en tant qu'événements ACCESS_GUARDRAIL. Le fichier de sortie contient des conditions prédéfinies et des critères d'évaluation qui doivent être respectés par les identités avant d'accéder à une ressource. Pour les détails de référence de schéma et d'attribut, voir Accéder au schéma et à l'exemple de référence Guardrail.

Identité

Portée : Toutes les identités actives (effectif ou consommateurs)

messageType: IDENTITY

Toutes les identités actives, le personnel ou les consommateurs, sont publiés en tant qu'événements IDENTITY dans les seaux OCI et les flux OCI. Le fichier de sortie contient les détails du profil d'identité composite, marqués en tant qu'attribut globalIdentity. Contient les détails du profil d'accès, notamment les attributs de base et personnalisés. Un profil d'identité composite dans Oracle Access Governance est créé à l'aide d'attributs provenant d'un ou de plusieurs systèmes orchestrés. Par exemple, jobCode d'une identité peut être ingéré depuis et les détails du profil d'identité, tels que firstName, lastName à partir des applications Oracle Fusion Cloud. Oracle Access Governance utilise les attributs répertoriés dans globalIdentity comme source de vérité pour effectuer diverses opérations de gouvernance et de provisionnement.

En outre, il contient un tableau d'attributs d'identité entrants à partir d'autres systèmes orchestrés intégrés, marqués comme targetIdentities correspondant à ce profil d'identité composite. Par exemple, un profil d'identité composite dans Oracle Access Governance utilise les détails d'identité des applications Oracle Fusion Cloud, mais si la même identité est disponible dans Microsoft Entra ID et correspond à l'identité composite, les attributs d'identité disponibles dans Microsoft Entra ID seront publiés dans targetIdentities. Pour les détails de référence de schéma et d'attribut, voir Schéma et échantillon de référence d'identité.

Groupe

Portée : Groupes OCI IAM

messageType: OCI_GROUP

Tout le groupe OCI IAM disponible ingéré dans Oracle Access Governance sera publié en tant qu'événements OCI_GROUP.

Le fichier de sortie contient des identificateurs OCI, tels que l'ID domaine, l'ID compartiment, le nom de la collection d'identités, la description, les collections d'identités avec un tableau d'identités incluses dans une collection d'identités. Les opérations Mettre à jour et Créer partagent le même schéma. Toutefois, lorsqu'une nouvelle collection d'identités est créée, vous ne recevez aucune identité dans l'attribut remove. Pour les détails de référence de schéma et d'attribut, voir Schéma et échantillons de référence de groupe.

Collection d'identités globales

Portée : Groupes OCI IAM

messageType: GLOBAL_IDENTITY_COLLECTION

Toutes les collections d'identités ingérées au sein d'Oracle Access Governance seront publiées en tant qu'événements GLOBAL_IDENTITY_COLLECTION. Les collections d'identités peuvent ou non être gérées par Oracle Access Governance.

Si la collection d'identités est agManaged true, le fichier de sortie contient les règles d'appartenance, les conditions, le nombre de membres et les détails de responsabilité. Si la collection d'identités est agManaged false, elle contient les détails des groupes OCI ou Active Directory, non créés ou gérés dans Oracle Access Governance. Vous pouvez voir les attributs de métadonnées personnalisés pour ce groupe et les informations sur le nombre d'appartenances. Pour les détails de référence de schéma et d'attribut, voir Schéma et échantillons de référence de collecte d'identités.

Politiques Oracle Cloud

Portée : Politiques OCI

messageType: CLOUD_POLICY

Toutes les politiques OCI disponibles ingérées dans Oracle Access Governance seront publiées en tant qu'événements CLOUD_POLICY. Pour une politique OCI, le fichier de sortie contient des identificateurs OCI, tels que l'ID domaine, l'ID compartiment, le nom de la politique et la description. Il contient les détails de la politique, y compris l'objet auquel l'accès est accordé, le type d'accès et la portée de l'accès accordé. Pour les détails de référence de schéma et d'attribut, voir Schéma et échantillon de référence des politiques en nuage.

Ressource

Portée : Toutes les ressources

messageType: RESOURCE

Toutes les ressources disponibles sur tous les systèmes orchestrés ingérés dans Oracle Access Governance seront publiées en tant qu'événements RESOURCE. Le fichier de sortie contient des identificateurs de ressource dans Oracle Access Governance et dans OCI, le nom de ressource, la description et le type de ressource. Pour les détails de référence de schéma et d'attribut, voir Schéma et échantillon de référence de ressource.

Rôle

Portée : Rôles d'Oracle Access Governance

messageType: ROLE

Tous les rôles créés et gérés dans Oracle Access Governance seront publiés en tant qu'événements ROLE. Le fichier de sortie contient des identificateurs obligatoires ainsi que dans Oracle Access Governance et dans OCI, le nom de ressource, la description et le type de ressource. Pour les détails de référence de schéma et d'attribut, voir Schéma et échantillon de référence de ressource.

Politique

Portée : Politiques ingérées dans Oracle Access Governance

messageType: POLICY

Toutes les politiques ingérées dans Oracle Access Governance seront publiées en tant qu'événements POLICY. Le fichier de sortie contient des règles et des énoncés de politique indiquant l'ensemble d'accès ou le rôle à associer à la collection d'identités. Pour les détails de référence de schéma et d'attribut, voir Schéma et échantillon de référence de politique.

Mappage des politiques Oracle Cloud aux ressources

Portée : Politiques OCI et ressources OCI

messageType : Pour le mappage politique-ressource, il s'agit de POLICY_STATEMENT_RESOURCE_MAPPING. Pour le mappage ressource-politique, il s'agit de RESOURCE_POLICY_STATEMENT_MAPPING.

Le composant Access contient deux méthodes pour voir les mêmes données :
  • Politique accordant l'accès aux ressources : Liste des ressources régies par une politique spécifique. Chaque objet JSON contient un énoncé de politique détaillant un jeu de ressources associé. Dans ces données, l'accent est mis sur une politique spécifique régissant un ensemble de ressources.
  • Accès aux ressources à l'aide d'énoncés de politique : Liste des politiques associées à une ressource. Chaque objet JSON contient un jeu de politiques détaillant les ressources qui lui sont appliquées. C'est le processus inverse et l'accent est mis sur une ressource spécifique.

Pour les détails de référence de schéma et d'attribut, voir Politique d'accès au schéma et à l'échantillon de ressource et Accéder à la ressource au schéma et à l'échantillon de politique.

Permissions

Portée : Autorisations ingérées dans Oracle Access Governance

messageType: PERMISSION

Toutes les autorisations ingérées dans Oracle Access Governance seront publiées en tant qu'événements PERMISSION. Le fichier de sortie contient des attributs d'autorisation, notamment l'ID, l'ID externe pour suivre la source de l'autorisation, les détails de la ressource et les attributs personnalisés de l'autorisation. Pour les détails de référence de schéma et d'attribut, voir Schéma et échantillon de référence d'autorisation.

Affectations d'autorisation

Portée : Autorisations gérées par Oracle Access Governance

messageType: PERMISSION_ASSIGNMENT

Toutes les autorisations provisionnées pour une identité et gérées dans Oracle Access Governance seront publiées en tant qu'événements PERMISSION_ASSIGNMENT. Le fichier de sortie contient l'autorisation et les détails de ressource affectés à l'identité, notamment l'ID identité, le système orchestré auquel les autorisations s'appliquent, les identificateurs d'autorisation et de ressource, le compte et le statut de provisionnement. Pour les détails de référence de schéma et d'attribut, voir Schéma et échantillon de référence d'affectation d'autorisation.