Documentation sur Oracle Cloud Infrastructure

Gérer les attributs d'identité

Les attributs d'identité font référence aux propriétés d'une identité, telles que le nom, l'emplacement, le code d'emploi, le nom de l'organisation, etc. Une fois que vous avez intégré des systèmes sources faisant autorité, à l'interne, un profil d'identité global contenant les attributs Cœur et Personnalisé et Sociétés affiliées dans Oracle Access Governance est créé.

Présentation de la structure d'un profil d'identité global

Les identités d'Oracle Access Governance sont créées à partir d'attributs de base, d'attributs personnalisés et d'affiliations. Après avoir intégré vos sources faisant autorité, Oracle Access Governance construit un profil d'identité global. De plus, vous pouvez ajouter vos propres attributs propres au système pour représenter des attributs complexes ou une relation entre ces attributs.


Attributs d'identité dans Oracle Access Governance

Au cours du processus d'ingestion de données, vous pouvez appliquer une transformation entrante et mapper des attributs d'identité.

En fonction des attributs ingérés, un profil d'identité global est créé. Ce profil comprend des attributs de base, des attributs personnalisés et des affiliations définies par l'utilisateur. Vous pouvez également définir vos propres attributs de système simples ou complexes, au besoin.
  • Attributs de base : Attributs d'identité normalisés corrigés reconnus par le schéma Oracle Access Governance, obligatoires pour effectuer la gestion des accès et réviser l'opération.
  • Attributs personnalisés : Attributs supplémentaires non standard, simples ou complexes, créés pour répondre à des exigences d'affaires spécifiques au-delà du jeu standard. Vous pouvez gérer les attributs de système par défaut ou créer de nouveaux attributs pour un système orchestré particulier. Les attributs personnalisés peuvent être des attributs de système, appartenant à un système orchestré spécifique ou des attributs AG.
    • Attributs de système : Propriétés d'identité pour un système orchestré intégré. Les valeurs de ces attributs peuvent être dérivées de sources faisant autorité ou au moyen d'une règle. Par exemple, code d'emploi, relation de travail, statut de l'employé ingérés à partir de sources faisant autorité et synchronisés régulièrement.
      Note

      Pour gérer l'attribut de système, allez à la page Gérer les intégrationsAttributs d'identité pour le système. Voir Modifier les paramètres d'intégration pour un système orchestré.
    • Attributs AG : Créés et utilisés exclusivement dans Oracle Access Governance et jamais mappés à partir d'une source faisant autorité. Sa valeur est toujours générée par des règles. Par exemple, risk score, Statut d'Oracle Access Governance.
  • Sociétés affiliées : Les sociétés affiliées sont des structures définies par l'utilisateur basées sur des règles qui permettent à une seule identité d'avoir plusieurs personas (par exemple, Employé et Sous-traitant) avec des données, des comptes et des accès distincts. Les affiliations présentent également des attributs enfants à partir d'attributs complexes (tableau) afin que ces valeurs puissent être utilisées dans l'exécution de campagnes, la création de collections d'identités et de règles de politique. Les indicateurs d'utilisation ne peuvent être définis que sur les attributs exposés à l'affiliation et non sur l'attribut de tableau initial. Voir Gestion des identités avec plusieurs sociétés affiliées.

Vous pouvez utiliser ces attributs et affiliations dans Oracle Access Governance pour exécuter diverses fonctions, telles que l'exécution de campagnes de révision d'accès, la sélection d'identités pour les collections d'identités ou l'application de conditions d'attribut pour activer/désactiver le jeu de données d'identité disponible.

Exemples :
  • Lors de la création d'une campagne, un administrateur de campagne sélectionne des attributs personnalisés - Centre de coûts et ID service pour affiner davantage les critères de sélection de campagne afin d'exécuter des campagnes de révision d'accès.
  • Lors de la création d'une collection d'identités, un administrateur peut appliquer des règles d'appartenance à l'aide des attributs de base et personnalisés. Par exemple, pour créer une liste d'employés de la haute direction pour l'organisation Comptabilité, créez une collection d'identités pour inclure les employés dont le niveau d'emploi est Directeur et supérieur, et l'organisation est comptable.

Attributs de vue

Vous pouvez consulter et rechercher les attributs de base, les attributs d'identité personnalisés et les affiliations disponibles dans le profil d'identité global.

Voir les attributs d'identité globaux disponibles :
  1. Dans la console Oracle Access Governance, dans le menu de navigation Menu de navigation, sélectionnez Administration, puis Attributs d'identité.
    La page Attributs d'identité s'affiche. Vous pouvez voir les détails de l'identité, y compris le noyau, la personnalisation et les affiliations définies pour le profil d'identité global.
    Note

    Pour voir et gérer les attributs de système, allez à la page Gérer les intégrations pour ce système orchestré. Pour plus de détails, voir Gérer les paramètres de votre système orchestré.

Voir les détails des attributs

Vous pouvez voir les détails d'attribut suivants :
Champ Description
Nom d'attribut Nom d'attribut initial tel que disponible dans le système orchestré connecté à Oracle Access Governance.
Système orchestré Nom du système orchestré à partir duquel l'attribut est alimenté.
Type d'attribut Base, personnalisé ou affiliation
Nom d'affichage Nom d'attribut unique qui sera utilisé dans la console Oracle Access Governance pour faciliter l'identification et l'utilisation.
Type de données Type de données de l'attribut, tel qu'entier, booléen, date, tableau.
Indicateurs d'identité
  • Détails de l'identité : Si cette option est sélectionnée, les attributs sont affichés dans :
    • La fonctionnalité Qui a accès à quoi permet de voir uniquement les attributs d'identité sélectionnés.
    • L'onglet Page de détails sur l'identité > Attribut d'identité affiche uniquement les attributs sélectionnés.
    • Fonction Mes révisions d'accès permettant d'effectuer des révisions d'accès et de voir les données clés de révision.

    Vous pouvez sélectionner jusqu'à 250 attributs pour cette fonction

  • Sélection de campagne : Si cette option est sélectionnée, l'attribut est disponible pour utilisation dans les campagnes de révision d'accès d'utilisateur.
  • Configuration basée sur les événements : Si cette option est sélectionnée, l'attribut est disponible pour utilisation dans la configuration des déclencheurs basés sur les événements pour les révisions d'accès aux identités.
  • Gérer les identités : Si cette option est sélectionnée, l'attribut peut être utilisé dans la configuration des règles d'activation pour gérer les identités à partir d'Oracle Access Governance et pour activer les attributs personnalisés lors de la création d'une collection d'identités.

Rechercher et filtrer des attributs personnalisés

Utilisez le champ Rechercher pour localiser l'attribut obligatoire en fonction du nom de l'attribut. Vous pouvez gérer un grand jeu d'attributs en appliquant des filtres basés sur les filtres suggérés. Par exemple, la sélection de l'option Détails de l'identité activée affiche tous les attributs pour lesquels l'indicateur Détails de l'identité est activé.

Dans la partie supérieure droite de la page, sélectionnez un système orchestré pour voir les attributs propres à ce système orchestré. Si vous sélectionnez Aucun système disponible, vous verrez une liste d'attributs non associés à un système orchestré actif.

Créer et gérer les paramètres d'attribut personnalisé

Vous pouvez créer ou modifier des attributs personnalisés, notamment mettre à jour le système orchestré à partir duquel l'attribut est alimenté, modifier le nom d'affichage, appliquer des règles pour effectuer des transformations de données sur la valeur entrante et inclure/exclure l'utilisation de l'attribut pour certaines fonctions d'Oracle Access Governance.

  • Attributs de système : Propriétés d'identité pour un système orchestré intégré. Les valeurs de ces attributs peuvent être dérivées de sources faisant autorité ou au moyen d'une règle. Par exemple, code d'emploi, relation de travail, statut de l'employé ingérés à partir de sources faisant autorité et synchronisés régulièrement. Voir Créer un attribut de système et Créer un attribut d'identité complexe pour un système orchestré.
  • Attributs AG : Créés et utilisés exclusivement dans Oracle Access Governance et jamais mappés à partir d'une source faisant autorité. Sa valeur est toujours générée par des règles. Par exemple, note de risque, statut d'Oracle Access Governance. Voir Créer un attribut Oracle Access Governance.
Note

Pour créer des attributs de système, allez à la page Gérer les intégrationsAttributs d'identité pour le système. Voir Modifier les paramètres d'intégration pour un système orchestré.
Pour gérer les attributs d'identité globaux, dans la console Oracle Access Governance, dans le menu de navigation Menu de navigation, sélectionnez Administration du service → Attributs d'identité.

Créer un attribut de système

Créer des attributs simples ou complexes définis par l'utilisateur propres à un système orchestré. Vous pouvez extraire les valeurs de ces attributs directement à l'aide d'une transformation entrante ou d'affiliations.

Les attributs d'identité personnalisés prennent en charge des types de données simples et complexes et vous pouvez les utiliser pour exécuter diverses fonctions, telles que l'exécution de campagnes de révision d'accès, la sélection d'identités pour les collections d'identités ou l'application de conditions d'attribut pour activer/désactiver le jeu de données d'identité disponible.
Vous pouvez créer deux types d'attribut :
  • Attributs simples : Les attributs simples utilisent des types de données primitifs tels que chaîne, date, entier, booléen ou long. Vous pouvez configurer des attributs simples à valeur unique ou multivaleurs.
  • Attributs complexes : Les attributs complexes sont composés d'un ou de plusieurs attributs enfants imbriqués, représentés sous forme de tableaux. Par exemple, un attribut d'adresse avec la rue, la ville et le code postal comme attributs enfants.

Pour créer des attributs de système simples pour un système orchestré :

  1. Dans l'icône du menu de navigation d'Oracle Access Governance Menu de navigation, sélectionnez Administration du service → Systèmes orchestrés.
  2. Sélectionnez l'option Gérer l'intégration dans le menu d'actions menu d'actions pour le système orchestré à configurer. La page Gérer l'intégration du système orchestré sélectionné s'affiche.
  3. Dans la section Paramètres de données, sélectionnez Gérer dans la vignette Attributs d'identité.
    Cette vignette n'est disponible que pour les systèmes orchestrés prenant en charge les sources faisant autorité.
  4. Dans l'onglet Attributs, sélectionnez + Créer un attribut de système.
    La page Créer un attribut d'identité pour ce système s'affiche.
Ajouter des détails
  1. Quel est le nom d'affichage? : Entrez le nom d'affichage de l'attribut à utiliser dans la console.
  2. Quel est le type de données? : Sélectionnez un des types de données simples.
  3. Cliquez sur Suivant.
Source de valeurs
  1. Cochez la case Inclus dans les données entrantes dans le système si la valeur de l'attribut est dérivée à l'aide de la transformation entrante. Voir Informations de référence sur les règles de transformation de données.
  2. Cochez la case Prend en charge plusieurs valeurs si plusieurs valeurs sont autorisées pour l'attribut défini.
  3. Cliquez sur Valider.

    Si la règle est valide, un message de confirmation s'affiche et la règle est marquée comme validée. En cas de problème avec la règle, un message d'erreur s'affiche et la règle est marquée comme non valide. Vous ne pouvez pas enregistrer votre règle si elle est marquée comme non valide.

Créer un attribut d'identité complexe pour un système orchestré

Créer des attributs d'identité complexes personnalisés propres à un système orchestré. Les attributs complexes, composés d'un ou de plusieurs attributs enfants imbriqués, sont représentés sous forme de tableaux. Par exemple, un attribut d'adresse avec la rue, la ville et le code postal comme attributs enfants.

Les attributs personnalisés complexes, tels que jobCode, sont représentés sous forme de tableaux dans la page Gérer les attributs d'identité. En tant que tel, le tableau jobCode ne peut pas être utilisé directement ni référencé, sauf si vous créez une affiliation. En outre, les indicateurs d'utilisation ne peuvent être mis à jour et gérés que sur ces attributs d'affiliation. Vous ne pouvez pas mettre à jour directement les indicateurs d'utilisation pour les attributs complexes ou de type tableau personnalisés.

Pour créer des attributs de système complexes pour un système orchestré :

  1. Dans l'icône du menu de navigation d'Oracle Access Governance Menu de navigation, sélectionnez Administration du service → Systèmes orchestrés.
  2. Sélectionnez l'option Gérer l'intégration dans le menu d'actions menu d'actions pour le système orchestré à configurer. La page Gérer l'intégration du système orchestré sélectionné s'affiche.
  3. Dans la section Paramètres de données, sélectionnez Gérer dans la vignette Attributs d'identité.
    Cette vignette n'est disponible que pour les systèmes orchestrés prenant en charge les sources faisant autorité.
  4. Dans l'onglet Attributs, sélectionnez + Créer un attribut de système.
    La page Créer un attribut d'identité pour ce système s'affiche.
Ajouter des détails
  1. Quel est le nom d'affichage? : Entrez le nom d'affichage de l'attribut à utiliser dans la console.
  2. Quel est le type de données? : Sélectionnez Complexe.
  3. Quel attribut est-il référencé de manière unique? : Entrez un identificateur unique pour distinguer une entrée d'une autre, par exemple employeeRecord.
  4. Cliquez sur Suivant.
Source de valeurs
  1. Quel est le nom de l'attribut de système? : Entrez le nom de l'attribut de système pour cet attribut. Par exemple, jobData.
    Les attributs complexes sont multivaleurs et leurs attributs enfants peuvent être référencés une fois que vous créez des Affiliations.
  2. Vérifiez les informations et cliquez sur Créer. La page de détails Attribut complexe personnalisé s'affiche pour ajouter des attributs enfants.
Ajouter un attribut enfant
  1. Cliquez sur +Create un attribut enfant.
  2. Suivez les mêmes étapes que pour ajouter un attribut simple. Pour plus de détails, voir Créer un attribut de système.
  3. Répétez ce processus pour ajouter des attributs enfants supplémentaires.

Créer un attribut Oracle Access Governance

Créez un attribut AG défini et calculé dans le système Oracle Access Governance et non associé à un système orchestré. Vous pouvez l'utiliser pour définir les fonctions d'Oracle Access Governance, telles que les garde-corps, les collections d'identités, ou pour créer des règles de mappage ou des valeurs dérivées.

Les attributs AG sont représentés par le système Interne.
  1. Dans la page Attributs d'identité, sélectionnez + Créer un attribut de guide d'activités.
    La page Créer un attribut d'identité de guide d'activités s'affiche.
Ajouter des détails
  1. Qu'est-ce que le guide d'activités doit appeler? : Entrez le nom de l'attribut.
  2. Quel est le nom d'affichage? : Entrez le nom d'affichage de l'attribut à utiliser dans la console.
  3. Quel est le type de données? : Sélectionnez l'un des types de données primitifs, tels que booléen, long, nombre, entier et chaîne.
  4. Cliquez sur Suivant.
Ajouter une règle
  1. Entrez la règle à appliquer à cette opération/attribut. Pour plus d'informations, voir Informations de référence sur les règles de transformation de données.
  2. Cliquez sur Valider.

    Si la règle est valide, un message de confirmation s'affiche et la règle est marquée comme validée. En cas de problème avec la règle, un message d'erreur s'affiche et la règle est marquée comme non valide. Vous ne pouvez pas enregistrer votre règle si elle est marquée comme non valide.

Utilisation de la configuration
  1. Cochez la case appropriée pour inclure l'attribut de la fonction. Voir Voir les détails d'attribut.
  2. Cliquez sur Suivant et effectuez l'évaluation finale.
  3. Cliquez sur Créer.

Gérer les attributs d'identité globaux

Vous pouvez modifier les attributs d'identité en mettant à jour le système orchestré à partir duquel l'attribut est alimenté et en appliquant des règles pour modifier la valeur de l'attribut.

Pour modifier les attributs d'identité globaux, effectuez les étapes suivantes dans la page Attributs d'identité :
  1. Dans la console Oracle Access Governance, dans le menu de navigation Menu de navigation, sélectionnez Administration du service → Attributs d'identité.
  2. Pour un attribut d'identité spécifique, cliquez sur l'icône Modifier l'icône Modifier correspondant à l'attribut à modifier.
    Les champs d'attribut d'identité sont affichés en mode modifiable, ce qui vous permet de mettre à jour les attributs dans une seule opération de modification.
  3. Pour mettre à jour quel système orchestré doit être utilisé pour alimenter l'attribut, sélectionnez un système orchestré approprié dans la liste Quel système orchestré?.

    Pour le système orchestré Oracle Cloud Infrastructure (OCI), une option supplémentaire s'affiche, Quel domaine?. Si vous avez plusieurs domaines dans votre location OCI, sélectionnez un domaine de gestion des identités et des accès OCI approprié à utiliser comme source de vérité pour vos identités.

  4. Utilisez une valeur d'attribut direct ou ajoutez une règle :
    1. Dans Alimenté, sélectionnez le lien Modifier.
    2. Pour utiliser la valeur d'attribut telle quelle sans transformation de données, sélectionnez Utiliser la valeur <attribename> directement. Cette action affiche la valeur Directement dans le champ Alimenté.
    3. Pour appliquer des règles, sélectionnez Créer une règle autour du <nom d'attribut>.
    4. Entrez la règle et cliquez sur Valider pour vérifier votre syntaxe. Pour plus de détails sur la syntaxe, voir Transformation de données pour les règles entrantes et sortantes. Vous ne pouvez pas appliquer de règles à des attributs imbriqués (<parent>.<child>).
    5. Cliquez sur Appliquer. Cette action affiche la valeur Par règle dans le champ Alimenté.
  5. Sélectionnez les indicateurs d'identité appropriés pour inclure des attributs dans la fonction.
    OptionDescription
    Inclure dans les détails de l'identité Si cette option est sélectionnée, les attributs sont affichés dans :
    • La fonctionnalité Qui a accès à quoi permet de voir uniquement les attributs d'identité sélectionnés.
    • L'onglet Page de détails sur l'identité > Attribut d'identité affiche uniquement les attributs sélectionnés.
    • Fonction Mes révisions d'accès permettant d'effectuer des révisions d'accès et de voir les données clés de révision.
    Inclure dans les sélections de campagne Si cette option est sélectionnée, l'attribut est disponible pour utilisation dans les campagnes de révision d'accès des utilisateurs.
    Inclure dans les révisions d'accès basées sur les événements Si cette option est sélectionnée, l'attribut est disponible pour effectuer des microcertifications et être utilisé dans la configuration des déclencheurs basés sur les événements pour les révisions basées sur les événements.
    Inclure dans la gestion des identités Si cette option est sélectionnée, l'attribut peut être utilisé dans configurer des règles d'activation pour gérer les identités à partir d'Oracle Access Governance et pour activer les attributs personnalisés lors de la création d'une collection d'identités.
  6. Après avoir effectué vos modifications, cliquez sur coche Appliquer. Cela préserve vos changements. Vous pouvez continuer à modifier d'autres attributs à la suite du même processus.
  7. Cliquez sur Enregistrer pour appliquer vos modifications et mettre à jour tous les attributs à la fois.
    La colonne Dernière mise à jour par affiche le nom de l'administrateur qui a effectué la dernière mise à jour.

Extraire les derniers attributs personnalisés

Actualise uniquement les objets de schéma et n'ingère pas de données. Exécutez le chargement de données ou attendez que le prochain chargement de données alimente les valeurs. Les attributs chiffrés ne sont jamais extraits ni affichés.

  1. Dans l'icône du menu de navigation d'Oracle Access Governance Menu de navigation, sélectionnez Administration du service → Systèmes orchestrés.
  2. Sélectionnez l'option Gérer l'intégration dans le menu d'actions menu d'actions pour le système orchestré à configurer. La page Gérer l'intégration du système orchestré sélectionné s'affiche.
  3. Dans la section Paramètres de données, sélectionnez Gérer dans la vignette Attributs d'identité.
    Note

    Cette vignette est disponible uniquement pour les systèmes orchestrés prenant en charge les sources faisant autorité.
  4. Sélectionnez Extraire les attributs, puis Extraire.
Note

Cette action n'ingérera pas les données d'attribut du système orchestré, mais ne chargera que les objets de schéma. Pour extraire et utiliser les données des attributs, vous devez attendre la prochaine opération de synchronisation de données programmée ou exécuter manuellement l'opération de chargement de données. Voir la rubrique Configurer les paramètres d'un système orchestré.

Exigences et règles pour la gestion des attributs d'identité

Les attributs d'identité sont régis par certaines exigences et règles. Voyons quelques-uns d'entre eux :

  • Un attribut personnalisé chiffré dans votre schéma ne sera pas disponible dans Oracle Access Governance et n'apparaîtra pas dans la page Attributs d'identité.
  • Vous pouvez créer des attributs complexes simples et personnalisés. Les attributs simples font partie du profil d'identité global automatiquement et les attributs complexes personnalisés sont exposés au moyen d'affiliations.
  • Vous pouvez choisir d'utiliser la valeur d'attribut personnalisé directement ou de modifier la valeur de l'attribut en appliquant des règles de transformation. Par exemple, concaténer le numéro d'employé avec le prénom pour définir un nom d'affichage.
  • Vous ne pouvez pas modifier un attribut complexe défini en tant que tableau.
  • Si vous modifiez un attribut imbriqué (<parent>.<child>), une liste d'attributs dépendants supplémentaires sera affectée et affichée. Par exemple, si vous mettez à jour le système orchestré pour l'attribut name.firstName. Pour assurer l'intégrité des données, le nom de famille de l'identité doit provenir du même système orchestré. Un message s'affiche donc Cela modifiera également le système orchestré pour les attributs : name.lastName. Lorsque vous enregistrez la modification, les deux attributs sont mis à jour.
  • Pour le système orchestré Oracle Cloud Infrastructure (OCI), une option supplémentaire s'affiche, Quel domaine?. Si vous avez plusieurs domaines dans votre location OCI, sélectionnez un domaine de gestion des identités et des accès OCI approprié à utiliser comme source de vérité pour vos identités. Si vous avez déjà exécuté un chargement de données à partir de votre système orchestré pour OCI, vous pouvez effectuer une sélection dans une liste de domaines disponibles ingérés à partir du système OCI. Si le chargement de données n'a pas été exécuté, vous pouvez entrer le nom de domaine en texte libre.
  • Dans les cas où des attributs personnalisés complexes sont définis, tels que le code d'emploi, représentés sous forme de tableaux
    jobCode{
  Attr1,
  Attr2,
}
    En soi, la baie jobCode ne peut pas être référencée directement ou utilisée dans les fonctionnalités d'Oracle Access Governance, sauf si vous créez une affiliation. Les affiliations fournissent un mécanisme permettant d'exposer des attributs enfants individuels à partir d'attributs complexes en définissant les attributs d'affiliation correspondants. Grâce aux règles d'affiliation, vous pouvez mapper des valeurs de l'attribut complexe à des attributs d'affiliation spécifiques. De plus, les indicateurs d'utilisation ne peuvent être mis à jour et gérés que sur ces attributs d'affiliation. Les mises à jour directes des indicateurs d'utilisation ne sont pas disponibles pour les attributs complexes ou de type tableau initiaux.