Documentation sur Oracle Cloud Infrastructure

Gérer les limites d'accès dans Oracle Access Governance

Gérer et appliquer des contraintes ou des conditions de sécurité dans Oracle Access Governance à l'aide de la fonction Access Guardrails pour garantir que seules les identités autorisées et conformes peuvent accéder à des autorisations spécifiques.

Créer une limite d'accès

Pour créer une nouvelle limite de protection d'accès, sélectionnez le bouton Créer une limite de protection d'accès. La page Créer un nouveau garde-corps d'accès s'affiche.

Ajouter des détails

Dans la tâche Ajouter des détails, vous pouvez entrer des paramètres généraux sur la barrière d'accès. Vous pouvez également ajouter des balises conviviales qui peuvent être utilisées dans une recherche pour ce garde-corps d'accès.

  1. Nom : Entrez un nom pour votre garde-corps d'accès.
  2. Description : Entrez la description de la barrière d'accès.
  3. Marqueurs : Entrez un ou plusieurs marqueurs pour ce garde-corps d'accès.
  4. Sélectionnez-en un pour sélectionner l'événement à appliquer à ce garde-corps
    1. Nouvelles demandes d'accès uniquement : Cette option applique les garde-corps uniquement si une identité demande un nouvel accès à l'aide du module en libre-service.
    2. Nouvelles demandes d'accès et accès existant : Des limites sont appliquées pour les accès existants et pour les nouveaux accès.
    Selon les paramètres de configuration, les accès existants seraient bloqués ou un délai de grâce serait autorisé si une violation est déclenchée pour cette règle.
  5. Une fois les paramètres satisfaits, sélectionnez Suivant pour aller à la tâche Définir des règles ou sélectionnez Annuler pour annuler le processus courant.

Définir les règles pour Access Guardrails

Dans la tâche Définir une règle, définissez une ou plusieurs conditions qu'une identité doit transmettre pour obtenir l'accès.

  1. Sélectionnez le bouton + Ajouter une condition.
    Le panneau Ajouter une condition s'affiche.
  2. Dans la liste déroulante Quel type de condition?, sélectionnez le type de condition que vous voulez définir et appliquer :
    OptionDescription
    L'identité dispose d'une autorisation Sélectionnez cette option si une identité doit avoir cette autorisation. Dans ce cas, le garde-corps d'accès sera violé si une identité n'a pas accès à l'autorisation définie.

    Par exemple, utilisez cette option avant d'affecter des privilèges élevés. Vous pouvez vérifier si une identité dispose des autorisations par défaut pour exécuter des fonctions générales.
    L'identité ne doit pas disposer d'une autorisation Sélectionnez cette option si une identité ne doit pas avoir cette autorisation. Dans ce cas, le garde-corps d'accès est violé si une identité a accès à l'autorisation définie.

    Par exemple, pour le système orchestré Entra ID, utilisez-le pour empêcher les utilisateurs de demander un groupe d'accès privilégié, s'ils font partie du groupe Collaborateurs externes.
    L'identité correspond à un attribut Sélectionnez cette option si une identité doit correspondre à l'attribut défini.

    Par exemple, utilisez cette option pour restreindre les identités uniquement dans le service IT Security Corp pour demander le rôle d'administrateur IAM.
    L'identité a un compte pour un système

    Sélectionnez cette option si une identité doit avoir un compte dans un système spécifique avant qu'un accès ne soit accordé.
  3. Pour L'identité a une autorisation ou L'identité ne doit pas avoir d'autorisation, sélectionnez les conditions d'autorisation suivantes :
    1. Quel système? : Sélectionnez le système orchestré géré par Oracle Access Governance.
    2. Quel type d'autorisation a été accordé? : Sélectionnez le type d'autorisation, tel que le rôle, les groupes, le privilège, le schéma, etc., pour le système orchestré sélectionné.
    3. Quelle autorisation? : Sélectionnez l'autorisation à définir ou à appliquer.
    4. (Facultatif) Selon le système orchestré et l'autorisation sélectionnés, vous pouvez définir des attributs supplémentaires, tels que des valeurs de contexte de sécurité, pour obtenir un contrôle détaillé sur la condition définie.
    5. Sélectionnez Ajouter.
  4. Pour L'identité comporte un compte pour un système, sélectionnez les conditions suivantes :
    1. Quel système? : Sélectionnez le système orchestré pour lequel un compte d'identité doit exister. Si aucune violation n'est trouvée, l'approbateur peut décider d'accepter ou de rejeter une demande d'accès.
    2. (Facultatif) Quel domaine : Pour les systèmes orchestrés OCI, sélectionnez le domaine pour vous assurer qu'une identité comporte un compte dans le domaine système sélectionné.
    3. Sélectionnez Ajouter.
  5. Pour Identité correspond à un attribut, sélectionnez les conditions d'attribut, comme suit :
    1. Quel attribut? : Sélectionnez l'attribut d'identité qui doit correspondre avant qu'un accès ne soit accordé.
    2. Sélectionnez Ajouter.
  6. Continuez à ajouter d'autres conditions, si nécessaire.
  7. Sélectionnez Au choix si l'une des conditions définies doit être satisfaite ou sélectionnez Toutes si toutes les conditions définies doivent être satisfaites.
Test d'une identité
  1. Sélectionnez le lien Test for an identity (Tester une identité) pour vérifier les conditions définies par rapport à une identité.
    1. Sélectionnez l'identité de votre choix pour exécuter le test dans le champ Quelle identité voulez-vous tester?.
    2. Sélectionnez Tester.
      Si la condition échoue, le test affiche Échec avec les détails appropriés sur l'échec.
  2. Sélectionnez Suivant.

Action sur l'échec des conditions de garde-corps d'accès

Dans cette tâche Action en cas d'échec, vous devez définir l'action ou l'opération qu'Oracle Access Governance doit effectuer lorsqu'une violation Access Guardrail est déclenchée. Vous pouvez choisir de bloquer l'accès immédiatement ou d'accorder un délai de grâce de quelques jours pour répondre aux exigences obligatoires mentionnées dans les conditions.

  1. Dans le champ Que se passe-t-il en cas d'échec du cadre de sécurité d'accès?, sélectionnez l'une des options suivantes en fonction du niveau de risque d'accès.
    OptionDescription
    Risque élevé - Bloquer l'accès immédiatement Pour les nouvelles demandes d'accès, la demande ne sera pas déclenchée et la violation est déclenchée avec le statut Bloquée. Pour les accès existants (si sélectionné dans la tâche précédente), l'accès sera supprimé avec la violation de statut Bloqué.
    Risque faible - Accepter le risque pendant quelques jours Pour les accès nouveaux ou existants, s'ils sont approuvés, l'accès sera accordé ou conservé sous condition pendant un nombre défini de jours pour satisfaire aux exigences obligatoires. La violation est déclenchée avec le statut Snoozed.
  2. Pour l'option Risque faible - Accepter le risque pour un nombre de jours, entrez le nombre de jours (inférieur ou égal à 90) pour lesquels vous souhaitez conserver l'accès.
  3. Cochez la case Inclure le gestionnaire de l'identité dans les avis pour inclure le gestionnaire de l'identité dans l'avis de violation de garde-corps d'accès.
  4. Sélectionnez Suivant.
  5. (Facultatif ) Vous pouvez sélectionner une des actions supplémentaires suivantes :
    • Annuler : Pour annuler le processus courant
    • Retour : Pour retourner à l'étape précédente.

Ajouter des responsables principaux et supplémentaires

Vous pouvez associer la responsabilité de la ressource en ajoutant des responsables principaux et supplémentaires. Ces responsables peuvent ainsi gérer (lire, mettre à jour ou supprimer) les ressources dont ils sont responsables. Par défaut, le créateur de la ressource est désigné comme responsable de la ressource. Vous pouvez affecter un responsable principal et jusqu'à 20 responsables supplémentaires aux ressources.
Note

Lors de la configuration du premier système orchestré pour votre instance de service, vous ne pouvez affecter des responsables qu'après avoir activé les identités à partir de la section Gérer les identités.
Pour ajouter des responsables :
  1. Sélectionnez un utilisateur actif d'Oracle Access Governance en tant que responsable principal dans le champ Qui est le responsable principal?.
  2. Sélectionnez un ou plusieurs responsables supplémentaires dans la liste Qui en est le responsable?. Vous pouvez ajouter jusqu'à 20 responsables supplémentaires pour la ressource.
Vous pouvez voir le responsable principal dans la liste. Tous les responsables peuvent voir et gérer les ressources dont ils sont responsables.

Réviser et soumettre

Dans la tâche Vérifier et soumettre, vérifiez les détails de la barrière d'accès et créez-la.

Vérifiez les détails du garde-corps d'accès et sélectionnez Créer. La barre de protection d'accès a été créée.

Tester l'identité

Vous pouvez vérifier les conditions définies par rapport à une identité lors de la création d'un garde-corps d'accès ou publier sa création au moyen du menu Actions (trois points).

  1. Dans la page Accéder aux garde-corps, sélectionnez l'icône Actions Actions, puis sélectionnez Tester une identité.
  2. Sélectionnez une identité pour exécuter le test dans le champ Quelle identité voulez-vous tester?.
  3. Sélectionnez Tester.
    Si la condition échoue, le statut Échec est affiché avec les détails de l'échec appropriés.

Appliquer les limites d'accès dans Oracle Access Governance

Après avoir créé une barrière d'accès, vous devrez l'associer à un ou plusieurs ensembles d'accès pour un système. Vous pouvez également associer un garde-corps d'accès à une collection d'identités, en vous assurant que seules les identités autorisées et conformes, répondant à des critères prédéfinis, sont membres d'une collection d'identités.

Vous pouvez associer des limites d'accès à des systèmes croisés pour appliquer des contraintes. Par exemple, accordez le groupe de sécurité OCI uniquement si le service d'identité correspond à la sécurité de l'entreprise dans Active Directory. Implémentez Access Guardrails, comme expliqué :
  1. Créez Access Guardrail.
  2. Associez un garde-corps d'accès lors de la modification ou de la création d'un ensemble d'accès.
  3. Identity génère une demande d'accès en libre-service pour un ensemble d'accès.
  4. Les contrôles de garde-corps sont déclenchés.
    Si aucune violation n'est trouvée, l'approbateur peut décider d'accepter ou de rejeter une demande d'accès.
    Si une violation à risque élevé est identifiée, la demande d'accès échoue et le statut de résolution est réglé à Bloqué.
    En cas de violation à faible risque, l'approbateur peut voir les détails de la violation et décider d'approuver ou de rejeter la demande d'accès. Dans ce cas, le statut de la violation est réglé à Snoozed (Sauvegardé). S'il est approuvé, l'accès est accordé pour un nombre limité de jours défini. Si la violation n'a pas été résolue pendant cette période, l'autorisation est révoquée.

Rechercher des garde-corps d'accès et voir les détails

Rechercher pour obtenir des résultats spécifiques et pertinents. Vous pouvez utiliser une recherche par mot clé de base pour tout ce que vous voulez trouver, définir la portée de la recherche à l'aide des filtres suggérés.

Après avoir réduit la recherche, sélectionnez le lien de garde-corps d'accès sous la colonne Nom pour voir les détails. Vous pouvez également sélectionner le menu Actions Actions (trois points) et sélectionner Voir les détails.

Modifier une passerelle d'accès

Vous pouvez modifier une barrière d'accès pour inclure des conditions supplémentaires, modifier les critères d'application, modifier les actions en cas d'échec ou mettre à jour les détails généraux. Si vous avez sélectionné les critères d'application Nouvelles demandes d'accès et accès existant, les accès existants seront réévalués en fonction des détails de la modification.

  1. Allez à la page Accéder aux garde-corps.
  2. Pour une garde-corps à modifier, sélectionnez le menu Actions Actions (trois points), puis sélectionnez Modifier.
  3. Modifier en fonction de l'exigence.
    La page Modifier le garde-corps d'accès fournit le même flux de travail guidé que la création d'un garde-corps.
  4. À l'étape Vérifier et soumettre, sélectionnez Mettre à jour.

Voir le rapport sur les violations de garde-corps d'accès

Générez un rapport sur les violations de garde-corps d'accès en sélectionnant le bouton Voir le rapport de garde-corps d'accès. Vous pouvez générer un rapport basé sur l'intervalle de dates, le nom de garde-corps d'accès, le statut de violation ou le statut de mesure corrective.

Vous pouvez voir les violations par mesure corrective, les violations par risque et les 5 principales violations de garde-corps qui ont été déclenchées. Vous pouvez également enregistrer la capture d'écran du rapport au format PDF.
Voici les paramètres de filtre de rapport :
  • Par intervalle de dates : Utilisez les champs Du et Au pour sélectionner des dates.
  • Par nom de garde-corps d'accès : Consultez le rapport pour un garde-corps d'accès spécifique.
  • Par statut de violation : Les violations sont ouvertes, le statut de la demande étant toujours marqué comme bloqué ou fermé, où une violation précédente a été résolue.
  • Mesure corrective par violation : Le statut de résolution d'une violation peut être :
    • Effacé : Une violation précédente a été résolue et fermée.
    • Bloqué : Une violation existe toujours et le statut de la demande d'accès est bloqué.
    • Snoozed (Snoualisé) : Violation existante pour les limites de protection d'accès à faible risque. L'approbateur peut accepter le risque et approuver l'accès pour le nombre de jours défini.

Supprimer un garde-corps d'accès

Vous pouvez supprimer une barrière d'accès et supprimer son association d'un ensemble d'accès. Après la suppression, la vérification du garde-corps d'accès ne sera plus appliquée. En outre, toute violation ouverte ou bloquée liée au garde-corps d'accès serait également supprimée.

  1. Allez à la page Accéder aux garde-corps.
  2. Pour une garde-corps à supprimer, sélectionnez le menu Actions Actions (trois points), puis sélectionnez Supprimer.
  3. Dans la boîte de dialogue contextuelle Confirmation, sélectionnez Supprimer.