Documentation sur Oracle Cloud Infrastructure

Gestion du cycle de vie des comptes - Provisionnement automatisé pour le processus JML (Jointers Movers and Leavers)

Oracle Access Governance prend en charge le provisionnement et le déprovisionnement automatisés des comptes et des accès en fonction de l'étape du cycle de vie de l'identité. Le cycle de vie de l'identité comprend trois étapes clés : Joiners, Movers et Leavers, communément appelé processus JML. La prise en charge de ce processus implique la création, la modification et la suppression de comptes d'identité et de leurs autorisations d'accès en fonction de la modification d'attribut dans le système orchestré intégré.

Ce processus garantit que les identités obtiennent automatiquement l'accès requis sans déclencher manuellement la demande d'accès. Il réduit non seulement le fardeau administratif, mais assure également l'intégrité et la conformité des données. D'autres méthodes de provisionnement consistent à demander l'accès manuellement ou directement à partir du système géré. Pour plus d'informations, voir Voir mes demandes d'accès.

En tant qu'utilisateur doté du rôle AG_ServiceDesk_Admin, vous pouvez gérer directement le cycle de vie du compte sans flux de travail d'approbation. Dans la page Gérer les identités → les identités, vous pouvez activer, désactiver, supprimer des comptes ou mettre fin à tous les comptes et accès associés à une identité. Vous pouvez également réessayer le provisionnement pour les statuts en échec ou en attente, et révoquer les autorisations affectées directement ou au moyen de demandes. Pour des étapes détaillées, voir Gérer le cycle de vie du compte avec le soutien pour la direction du centre de services.

Avec Oracle Access Governance :

  • Les membres accèdent à leur droit de naissance lorsqu'ils rejoignent l'entreprise.
  • Les transferts obtiennent les accès nécessaires lorsqu'ils changent de rôle, obtiennent des transferts internes ou obtiennent des promotions au sein de l'entreprise.
  • Le compte des départs est révoqué (supprimé ou désactivé) une fois qu'ils quittent l'entreprise.

Dans Oracle Access Governance, vos informations d'identité sont créées à l'aide d'un jeu d'attributs d'identité de base et personnalisés. Chaque fois que vous créez, modifiez ou mettez à jour un enregistrement d'identité dans la source faisant autorité, Oracle Access Governance ingère les données les plus récentes dans l'opération de chargement de données à venir et lance les opérations de provisionnement/de déprovisionnement correspondantes. Oracle Access Governance atteint ce mécanisme de contrôle d'accès granulaire et flexible à l'aide du modèle Contrôle d'accès basé sur une politique (PBAC). Oracle Access Governance affecte l'appartenance aux identités à l'aide des attributs (Contrôle d'accès basé sur les attributs), puis provisionne les identités en fonction des politiques définies. Une politique peut en outre tirer parti du modèle de contrôle d'accès basé sur le rôle pour affecter les autorisations basées sur le rôle appropriées ingérées à partir des attributs d'identité.

Opérations prises en charge : Créer un compte, Lire le compte, Affecter des autorisations, Révoquer les autorisations, Modifier le mot de passe, Désactiver le compte, Mettre à jour le compte, Supprimer le compte. Pour plus de détails, consultez la documentation spécifique sur le système orchestré mentionnée dans Intégrations prises en charge dans Oracle Access Governance.

Intégration d'employés - Provisionnement de jointures

Lorsqu'un nouvel employé rejoint ou est embauché dans une entreprise, un nouvel enregistrement est créé dans la source faisant autorité, telle qu'Oracle HCM. Une fois les identités intégrées dans Oracle Access Governance, les accès avec droit de naissance ou le jeu de comptes et d'autorisations par défaut peuvent être provisionnés, en fonction des configurations du contrôle d'accès effectuées dans Oracle Access Governance.

Le processus de jointure garantit que chaque nouvel employé dispose du compte et des autorisations nécessaires pour démarrer son processus d'intégration.

Lorsqu'une identité est intégrée et qu'elle est active dans Oracle Access Governance, tous les attributs d'identité sont comparés aux politiques définies. Si une politique Oracle Access Governance accorde à certains rôles ou ensembles d'accès l'accès aux identités appartenant à un service spécifique, ceux-ci sont provisionnés pour ce rôle ou ensemble d'accès.

Scénario : Lorsqu'un nouvel employé, Alice, se joint au service Réussite de client de la division Ventes, le provisionnement des jointeurs garantit qu'Alice reçoit tous les comptes et autorisations obligatoires applicables à sa division et à son service. Examinons comment y parvenir dans Oracle Access Governance.

Exécution du provisionnement des jointures dans Oracle Access Governance

Prenons le scénario ci-dessus, examinons les étapes générales impliquées pour obtenir le provisionnement des jointeurs dans Oracle Access Governance :

  1. En tant qu'administrateur du contrôle d'accès, configurez la configuration du contrôle d'accès comme suit :
    1. Créez une collecte d'identités basée sur des règles d'appartenance. Par exemple, créez une collection d'identités avec une règle d'appartenance Organisation source égale Ventes et une autre collection d'identités où Service est égal à Témoignages de clients. Pour plus de détails, consultez Créer des collections d'identités.
    2. Créez un ensemble d'accès ou un rôle et l'ensemble d'accès aux autorisations nécessaires. Par exemple, créez un ensemble d'accès Sales_AB avec les autorisations applicables aux ventes et un autre ensemble d'accès Customer_Success_AB avec les autorisations applicables aux témoignages de clients. Pour plus de détails, consultez Créer une offre groupée d'accès.
    3. Créez une politique et associez les autorisations de l'ensemble d'accès à la collection d'identités. Par exemple, créez une politique Sales_Policy et associez Sales_AB à la collecte d'identités des ventes. De même, créez Customer_Success_Policy et associez Customer_Success_AB à la collecte d'identités Témoignages de clients. Pour plus de détails, consultez Créer une politique.
  2. La source faisant autorité enregistre un nouvel enregistrement d'employé. Par exemple, HR ajoute un nouvel enregistrement d'Alice avec Unité d'affaires comme Ventes et Service comme Témoignages de clients.
  3. Le système orchestré effectue le chargement des données, ingère les données les plus récentes et crée un profil d'identité composite dans Oracle Access Governance. Pour plus d'informations, voir Flux du processus d'orchestration des identités.

Un nouveau profil d'identité est créé dans Oracle Access Governance. Les attributs sont mis en correspondance avec les politiques définies et les opérations de provisionnement appropriées sont déclenchées. Pour les jointures, le système orchestré déclenche des opérations de provisionnement Créer un compte et Ajouter des données de compte ou d'autorisation pour affecter de nouveaux comptes et autorisations.

Valider le provisionnement des jointures dans Oracle Access Governance

  • En tant qu'administrateur d'accès à l'échelle de l'entreprise, vous pouvez rechercher une identité pour voir les détails complets de l'identité affichant les attributs d'identité, les autorisations et les informations sur le compte. Vous pouvez également voir les détails de la collection d'identités pour vérifier la nouvelle liste de membres.
  • En tant que gestionnaire d'identités, vous pouvez voir des détails complets sur l'identité des subordonnés immédiats dans Qui a accès à quoiAccès de mes subordonnés immédiats.
  • En tant qu'utilisateur, vous pouvez valider vos comptes et autorisations à partir de la page Mes élémentsMon accès.

Selon les paramètres du compte configurés pour le système orchestré, un utilisateur ou un gestionnaire d'utilisateurs recevra un avis chaque fois que de nouveaux comptes seront créés. Par défaut, les avis sont envoyés à l'utilisateur. Pour plus d'informations, voir Configurer les paramètres du compte de système orchestré.

Transferts d'employé - Provisionnement de transferts

Lorsqu'un employé est muté, déplacé ou fait l'objet d'une promotion au sein d'une organisation, un enregistrement est mis à jour pour cet employé dans la source faisant autorité. Lors du transfert, l'identité ne doit avoir accès qu'aux privilèges appropriés pertinents pour le nouveau profil d'emploi. Les comptes et autorisations restants doivent être révoqués en fonction des paramètres du cycle de vie du compte. Vous pouvez effectuer ce provisionnement automatique en fonction des configurations de contrôle d'accès effectuées dans Oracle Access Governance.

Le processus de mutage garantit que seuls les jeux d'autorisations ou de comptes nécessaires et corrects sont affectés aux employés dont ils ont besoin dans leur nouveau rôle.

Scénario : Lorsqu'un employé, Alice, obtient un transfert interne du service Réussite des clients vers le service Ventes en nuage de la division Ventes, le provisionnement des ménage garantit qu'Alice reçoit tous les privilèges applicables à son nouveau rôle, et révoque ou désactive les comptes et autorisations antérieurs requis par son ancien rôle. Dans cet exemple, Alice continuera d'avoir des autorisations applicables à la division Ventes, mais obtiendra de nouveaux privilèges pertinents dans le service Ventes en nuage. Si ce n'est plus le cas, ses comptes précédents sont désactivés ou révoqués, et les autorisations associées aux comptes sont également supprimées. Examinons comment y parvenir dans Oracle Access Governance.

Exécution du provisionnement des transferts dans Oracle Access Governance

Prenons le scénario ci-dessus, examinons les étapes générales impliquées pour obtenir le provisionnement des mutateurs dans Oracle Access Governance :

  1. En tant qu'administrateur du contrôle d'accès, vous devez avoir cette configuration minimale, comme suit :
    1. Créez une collecte d'identités basée sur des règles d'appartenance. Par exemple, créez une collection d'identités avec une règle d'appartenance Service égale Ventes en nuage et une autre collection d'identités où Service est égal à Témoignages de clients. Pour plus de détails, consultez Créer des collections d'identités.
    2. Créez un ensemble d'accès ou un rôle et l'ensemble d'accès aux autorisations nécessaires. Par exemple, créez un ensemble d'accès Cloud_Sales_AB avec les autorisations applicables à Cloud Sales et un autre ensemble d'accès Customer_Success_AB avec les autorisations applicables à Témoignages de clients. Pour plus de détails, consultez Créer une offre groupée d'accès.
    3. Créez une politique et associez les autorisations de l'ensemble d'accès à la collection d'identités. Par exemple, créez une politique Cloud_Sales_Policy et associez Cloud_Sales_AB à Cloud Sales. Pour plus de détails, consultez Créer une politique.
  2. La source faisant autorité enregistre une mise à jour de l'identité. Par exemple, les RH mettent à jour le service d'Alice de Témoignages de clients à Ventes en nuage.
  3. Le système orchestré effectue le chargement des données, ingère les données les plus récentes et crée un profil d'identité composite dans Oracle Access Governance. Selon les paramètres de cycle de vie de votre compte pour un système orchestré, les autorisations ou les comptes sont désactivés ou révoqués. Pour plus d'informations, voir Flux du processus d'orchestration des identités.

    Les utilisateurs dotés du rôle AG_ServiceDesk_Admin peuvent révoquer directement les autorisations de la page Gérer les identités, à l'aide de l'opération Révoquer l'autorisation. Le type d'autorisation de ces autorisations doit être DIRECT ou les ensembles d'accès accordés au moyen de REQUEST. Vous ne pouvez pas révoquer les autorisations pour les systèmes Oracle Cloud Infrastructure (OCI) ou Oracle Identity Governance (OIG). Pour des étapes détaillées, voir Révoquer une ou plusieurs autorisations pour un compte.

Valider le provisionnement des transferts dans Oracle Access Governance

Pour les mappages, le système orchestré déclenche généralement les opérations suivantes :
  • Pour dissocier les anciennes autorisations des comptes d'identité, il déclenche la suppression des données de compte ou d'autorisation.
  • Pour désactiver les comptes, il déclenche Mettre à jour le compte ou, pour supprimer les comptes, il déclenche Révoquer.
  • Pour associer de nouveaux comptes et autorisations, il déclenche Créer un compte et Ajouter des données de compte ou d'autorisation.
  • Si seules les autorisations sont différentes, le compte reste activé, mais les opérations Ajouter des données de compte ou d'autorisation et/ou Supprimer des données de compte ou d'autorisation sont déclenchées pour mettre à jour les autorisations pour ce compte.
  • Si un compte désactivé est activé, il déclenche la mise à jour du compte ainsi que l'ajout de données de compte ou d'autorisation ou la suppression de données de compte ou d'autorisation.
Vous pouvez vérifier les modifications dans la console Oracle Access Governance :
  • En tant qu'administrateur d'accès à l'échelle de l'entreprise, vous pouvez rechercher l'identité et voir les détails complets de l'identité affichant les attributs d'identité, les autorisations et les informations sur le compte. Vous pouvez également voir les détails de la collection d'identités pour vérifier la nouvelle liste de membres.
  • En tant qu'utilisateur, vous pouvez valider vos comptes et autorisations à partir de la page Mes élémentsMon accès.

Selon les paramètres du compte configurés pour le système orchestré, un utilisateur ou un gestionnaire d'utilisateurs recevra un avis chaque fois que de nouveaux comptes seront créés. Par défaut, les avis sont envoyés à l'utilisateur. Les comptes existants peuvent être supprimés ou désactivés en fonction des paramètres du compte. Pour plus d'informations, voir Configurer les paramètres du compte de système orchestré.

Fin d'emploi des employés - Départ du provisionnement des départs

Lorsqu'un employé quitte l'entreprise, un enregistrement est supprimé ou désactivé dans la source faisant autorité. À la sortie, tous les comptes et privilèges associés affectés à cette identité seront supprimés ou désactivés du système géré.

Le processus de départ garantit que tous les comptes et autorisations affectés à l'identité sont automatiquement révoqués à leur sortie. Lorsqu'une identité se ferme et qu'elle est marquée Inactive dans Oracle Access Governance, les accès d'identité sont révoqués ou désactivés en fonction des paramètres du compte.

Les utilisateurs dotés du rôle AG_ServiceDesk_Admin peuvent révoquer directement les autorisations de la page Gérer les identités, à l'aide de l'opération Révoquer l'autorisation. Le type d'autorisation de ces autorisations doit être DIRECT ou les ensembles d'accès accordés au moyen de REQUEST. Vous ne pouvez pas révoquer les autorisations pour les systèmes Oracle Cloud Infrastructure (OCI) ou Oracle Identity Governance (OIG). Pour des étapes détaillées, voir Révoquer une ou plusieurs autorisations pour un compte.

Les utilisateurs dotés du rôle AG_ServiceDesk_Admin peuvent désormais désactiver directement les comptes gérés par Oracle Access Governance à partir de la page Gérer les identités, à l'aide de l'opération Désactiver le compte. Une fois désactivés, tous les accès associés sont révoqués. Les comptes peuvent toujours être gérés par Oracle Access Governance. Pour des étapes détaillées, voir Désactiver et activer un compte géré par Oracle Access Governance.

Scénario : Lorsqu'un employé, Alice, quitte l'entreprise, le déprovisionnement des liens garantit que tous les comptes et autorisations affectés à son rôle sont révoqués (supprimés ou désactivés). Examinons comment y parvenir dans Oracle Access Governance.

Exécution du désapprovisionnement des départs dans Oracle Access Governance

Prenons le scénario ci-dessus, examinons les étapes de haut niveau impliquées pour obtenir le déprovisionnement des départs dans Oracle Access Governance :

  1. En tant qu'administrateur du contrôle d'accès, vous devez avoir cette configuration minimale, comme suit :
    1. Collecte d'identités basée sur des règles d'appartenance. Pour plus de détails, consultez Créer des collections d'identités
    2. Un ensemble d'accès ou un rôle lorsque les autorisations nécessaires sont regroupées. Pour plus de détails, voir Créer un ensemble d'accès et Gérer les rôles.
    3. Politique qui associe les autorisations (au moyen de l'ensemble d'accès) à la collecte d'identités. Pour plus de détails, consultez Créer une politique.
  2. La source faisant autorité désactive un enregistrement existant d'un employé dans le système.
  3. Le système orchestré effectue le chargement des données et ingère les données les plus récentes. Pour plus d'informations, voir Flux du processus d'orchestration des identités.

Lorsqu'un profil d'identité est désactivé et que le chargement des données réussit, une tâche de provisionnement Révoquer ou Mettre à jour le compte est déclenchée pour supprimer ou désactiver les comptes de l'identité. Les autorisations associées au compte sont révoquées et la fonction Supprimer les données de compte ou d'autorisation est déclenchée pour supprimer les autorisations du système géré. Pour plus d'informations, voir Configurer les paramètres du compte de système orchestré.