Documentation sur Oracle Cloud Infrastructure

Configurer l'intégration entre Oracle Access Governance et Oracle Cloud Infrastructure (OCI)

Vous pouvez établir une connexion entre Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) et Oracle Access Governance en tant que source faisant autorité et en tant que système géré. Pour ce faire, utilisez la fonctionnalité Systèmes orchestrés disponible dans la console Oracle Access Governance.

Le système orchestré OCI prend en charge les modes suivants et les deux inclus, par défaut :

  • Source faisant autorité : Vous pouvez utiliser OCI comme source faisant autorité (de confiance) d'informations d'identité pour Oracle Access Governance.
  • Système géré : Vous pouvez gérer les groupes et les rôles d'application OCI IAM, y compris les politiques de certification et l'appartenance aux groupes à l'aide d'Oracle Access Governance. Voir Opérations prises en charge pour Oracle Cloud Infrastructure (OCI).
Note

Les versions antérieures d'Oracle Access Governance utilisaient l'accès par clé d'API pour se connecter à OCI IAM. Cette méthode est maintenant obsolète et est remplacée par Accès principal de ressource. Des détails sur la configuration d'un nouveau système orchestré à l'aide de cette méthode sont fournis dans Configurer l'intégration avec OCI IAM. Si vous avez des systèmes orchestrés existants utilisant l'accès à la clé d'API obsolète, vous devez migrer vers la nouvelle méthode en suivant les instructions sous Comment migrer l'accès à la clé d'API vers l'accès au principal de ressource.

Terminologie

Avant de configurer l'intégration d'Oracle Access Governance à OCI IAM, vous devez comprendre les termes suivants :

Terminologie
Terme Description
Système orchestré OCI Représente une location OCI intégrée à Oracle Access Governance.
Location de la demande Location de l'instance du service Oracle Access Governance qui doit accéder à l'API IAM OCI dans la même location ou dans une autre location pour extraire/mettre à jour les entités IAM régies.
Location répondant Location du client où se trouvent les données d'identité de l'OCI IAM.
Accès intralocataire Cas d'utilisation lorsqu'une seule location OCI agit en tant que demandeur et répondant.
Accès multilocataire Cas d'utilisation lorsque vous avez plusieurs locations OCI et que la location de demande est une instance distincte de la location de réponse.
Principal de ressource Type de principal dans OCI IAM qui élimine la nécessité de créer et de gérer les données d'identification d'utilisateur OCI pour l'accès à l'intégration.

Préalables

Avant de pouvoir établir une connexion, vous devez créer des politiques OCI qui permettent à votre système orchestré d'accéder à l'instance OCI à laquelle vous souhaitez intégrer.

Exigences générales

Les prérequis généraux requis pour intégrer Oracle Access Governance à OCI IAM comprennent :

  • Votre compte en nuage doit utiliser des domaines d'identité pour gérer les identités sur OCI.
  • En tant qu'administrateur de nuage, vous devez pouvoir gérer les politiques dans le compartiment racine de votre location.
  • Si la location OCI qui répond est régie est en dehors de la région de l'instance du service Oracle Access Governance qui fait la demande, elle doit s'abonner à une location résidant dans la région de l'instance du service Oracle Access Governance qui fait la demande.

Comment le service de gouvernance d'Oracle Access se connecte aux instances OCI IAM cibles

Pour intégrer Oracle Access Governance aux systèmes orchestrés par OCI IAM, vous devez configurer une connexion à l'aide de l'API OCI IAM et de l'authentification du principal de ressource. Le principal de ressource est un type de principal dans OCI IAM, qui élimine la nécessité de créer et de gérer les données d'identification d'utilisateur OCI pour l'accès à l'intégration. Pour configurer l'authentification du principal de ressource, vous devez générer et déployer un jeu de politiques pour la location ou les locations impliquées dans votre système orchestré. Le placement de ces stratégies est expliqué dans les diagrammes suivants :

Placement de politique lorsque l'instance du service Oracle Access Governance (Demandeur) et la location OCI (Répondeur) sont régies dans la même location

Vous pouvez avoir un cas d'utilisation où une seule location OCI exécute les deux fonctions suivantes :
  • Location hôte sur laquelle réside l'instance du service Oracle Access Governance. Il s'agit de la location à l'origine de la demande qui doit accéder à l'API OCI IAM à partir d'une location répondant, afin que les données puissent être extraites/mises à jour pour les identités qui sont régies.
  • Location où les données d'identité de l'OCI IAM sont présentes.

Dans ce cas d'utilisation, vous n'avez à déployer les politiques générées que pour la location. Ils couvriront l'accès requis pour la location en tant que demandeur et répondant.

Location unique

Placement de politique lorsque l'instance du service Oracle Access Governance (Demandeur) et la location OCI (Répondeur) sont régies dans des locations différentes

Vous pouvez également avoir un cas d'utilisation où la location requérante et la location répondant résident sur des locations OCI distinctes. Dans ce cas, vous devez déployer des politiques sur la location concernée en fonction de leur fonction :
  • Les politiques pertinentes pour la location à l'origine de la demande doivent être déployées dans OCI où réside votre instance du service Oracle Access Governance.
  • Les politiques pertinentes pour la location répondant doivent être déployées vers la location où se trouvent vos données d'identité OCI IAM.

AG SI/Externe

Comment configurer les politiques requises pour l'intégration d'OCI IAM à Oracle Access Governance

Avant de pouvoir établir une connexion, vous devez créer des politiques OCI qui permettent à votre système orchestré d'accéder au système cible.

Pour configurer les politiques requises pour l'intégration de l'OCI IAM à Oracle Access Governance, vous devez effectuer les étapes suivantes :
  1. Obtenez les énoncés de politique générés dans les paramètres d'intégration de votre système orchestré. Selon le cas d'utilisation, il peut s'agir d'un seul jeu d'énoncés pour une intégration de location unique ou de deux jeux d'énoncés pour une configuration d'instance de service AG/location externe. Les politiques pour votre configuration spécifique sont générées en fonction des informations que vous fournissez lors de la création de votre système orchestré, dont les détails sont fournis dans Configurer l'intégration avec OCI IAM pour la boîte de dialogue Paramètres d'intégration. Assurez-vous de copier les énoncés exactement comme ils sont affichés dans les paramètres d'intégration.
  2. Créez les politiques dans le compartiment racine de la location concernée.

Configurer l'intégration avec OCI IAM

L'intégration à Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) est assurée par la configuration d'un nouveau système orchestré à l'aide de la console Oracle Access Governance.

Naviguer jusqu'à la page Systèmes orchestrés

Accédez à la page Orchestrated Systems de la console Oracle Access Governance en procédant comme suit :
  1. Dans l'icône Menu de navigation d'Oracle Access Governance Menu de navigation, sélectionnez Administration du service → Systèmes orchestrés.
  2. Sélectionnez le bouton Ajouter un système orchestré pour démarrer le flux de travail.

Sélectionner un système

À l'étape Sélectionner un système du flux de travail, vous pouvez spécifier le type d'application à intégrer.

  1. Sélectionnez Oracle Cloud Infrastructure.
  2. Cliquez sur Next (Suivant).

Entrer les détails

À l'étape Entrer les détails du flux de travail, entrez les détails du système orchestré :
  1. Entrez le nom du système auquel vous souhaitez vous connecter dans le champ Que voulez-vous appeler ce système?.
  2. Entrez une description pour le système dans le champ Comment voulez-vous décrire ce système?.
  3. Cliquez sur Next (Suivant).

Ajouter des responsables

Vous pouvez associer la responsabilité de la ressource en ajoutant des responsables principaux et supplémentaires. Ces responsables peuvent ainsi gérer (lire, mettre à jour ou supprimer) les ressources dont ils sont responsables. Par défaut, le créateur de la ressource est désigné comme responsable de la ressource. Vous pouvez affecter un responsable principal et jusqu'à 20 responsables supplémentaires aux ressources.
Note

Lors de la configuration du premier système orchestré pour votre instance de service, vous ne pouvez affecter des responsables qu'après avoir activé les identités à partir de la section Gérer les identités.
Pour ajouter des responsables :
  1. Sélectionnez un utilisateur actif d'Oracle Access Governance en tant que responsable principal dans le champ Qui est le responsable principal?.
  2. Sélectionnez un ou plusieurs responsables supplémentaires dans la liste Qui en est le responsable?. Vous pouvez ajouter jusqu'à 20 responsables supplémentaires pour la ressource.
Vous pouvez voir le responsable principal dans la liste. Tous les responsables peuvent voir et gérer les ressources dont ils sont responsables.

Paramètres de compte

À l'étape Paramètres du compte du flux de travail, entrez la façon dont Oracle Access Governance doit gérer les comptes lorsque le système est configuré en tant que système géré :
  1. Lorsqu'une autorisation est demandée et que le compte n'existe pas déjà, sélectionnez cette option pour créer de nouveaux comptes. Cette option est sélectionnée par défaut. Lorsque cette option est sélectionnée, Oracle Access Governance crée un compte s'il n'en existe pas lorsqu'une autorisation est demandée. Si vous désélectionnez cette option, les autorisations ne sont provisionnées que pour les comptes existants dans le système orchestré. Si aucun compte n'existe, l'opération de provisionnement échoue.
  2. Sélectionnez les destinataires des courriels d'avis lorsqu'un compte est créé. Le destinataire par défaut est Utilisateur. Si aucun destinataire n'est sélectionné, les avis ne sont pas envoyés lors de la création des comptes.
    • Utilisateur
    • Gestionnaire d'utilisateurs
  3. Configurer les comptes existants
    Note

    Vous ne pouvez définir ces configurations que si l'administrateur de système l'autorise. Lorsque les paramètres globaux d'arrêt de compte sont activés, les administrateurs d'application ne peuvent pas gérer les paramètres d'arrêt de compte au niveau du système orchestré.
    1. Sélectionner les actions à effectuer avec les comptes au début d'une cessation d'emploi anticipée : Sélectionnez l'action à effectuer au début d'une cessation d'emploi anticipée. Cela se produit lorsque vous devez révoquer les accès d'identité avant la date de cessation officielle.
      • Supprimer : Supprime tous les comptes et autorisations gérés par Oracle Access Governance.
        Note

        Si un système orchestré spécifique ne prend pas en charge cette action, aucune action n'est effectuée.
      • Désactiver : Désactive tous les comptes et désactive les autorisations gérées par Oracle Access Governance.
        • Supprimer les autorisations pour les comptes désactivés : Pour garantir l'absence d'accès résiduel, sélectionnez cette option pour supprimer les autorisations affectées directement et les autorisations accordées par une politique lors de la désactivation du compte.
      • Aucune action : Aucune action n'est effectuée lorsqu'une identité est marquée pour résiliation anticipée par Oracle Access Governance.
    2. Sélectionner les actions à effectuer avec les comptes à la date de cessation : Sélectionnez l'action à effectuer lors de la cessation officielle. Cela se produit lorsque vous devez révoquer les accès d'identité à la date de cessation officielle.
      • Supprimer : Supprime tous les comptes et autorisations gérés par Oracle Access Governance.
        Note

        Si un système orchestré spécifique ne prend pas en charge l'action Supprimer, aucune action n'est effectuée.
      • Désactiver : Désactive tous les comptes et désactive les autorisations gérées par Oracle Access Governance.
        • Supprimer les autorisations pour les comptes désactivés : Pour garantir l'absence d'accès résiduel, sélectionnez cette option pour supprimer les autorisations affectées directement et les autorisations accordées par une politique lors de la désactivation du compte.
        Note

        Si un système orchestré spécifique ne prend pas en charge l'action Désactiver, le compte est supprimé.
      • Aucune action : Aucune action n'est effectuée sur les comptes et les autorisations par Oracle Access Governance.
  4. Lorsqu'une identité quitte votre entreprise, vous devez supprimer l'accès à ses comptes.
    Note

    Vous ne pouvez définir ces configurations que si l'administrateur de système l'autorise. Lorsque les paramètres globaux d'arrêt de compte sont activés, les administrateurs d'application ne peuvent pas gérer les paramètres d'arrêt de compte au niveau du système orchestré.

    Sélectionnez l'une des actions suivantes pour le compte :

    • Supprimer : Supprimez tous les comptes et autorisations gérés par Oracle Access Governance.
    • Désactiver : Désactivez tous les comptes et marquez les autorisations comme inactives.
      • Supprimer les autorisations pour les comptes désactivés : Supprimez les autorisations directement affectées et accordées par une politique lors de la désactivation du compte afin de garantir l'absence d'accès résiduel.
    • Aucune action : Ne rien faire lorsqu'une identité quitte l'organisation.
    Note

    Ces actions ne sont disponibles que si elles sont prises en charge par le type de système orchestré. Par exemple, si Supprimer n'est pas pris en charge, vous ne verrez que les options Désactiver et Aucune action.
  5. Lorsque toutes les autorisations d'un compte sont supprimées, par exemple lorsqu'une identité se déplace entre les services, vous devrez peut-être décider quoi faire avec le compte. Sélectionnez l'une des actions suivantes, si elle est prise en charge par le type de système orchestré :
    • Suppression
    • Désactiver
    • Aucune action
  6. Gérer les comptes qui ne sont pas créés par la gouvernance des accès : Sélectionnez cette option pour gérer les comptes qui sont créés directement dans le système orchestré. Vous pouvez ainsi rapprocher des comptes existants et les gérer à partir d'Oracle Access Governance.
Note

Si vous ne configurez pas le système en tant que système géré, cette étape du flux de travail s'affiche mais n'est pas activée. Dans ce cas, vous passez directement à l'étape Paramètres d'intégration du flux de travail.
Note

Si votre système orchestré nécessite une détection de schéma dynamique, comme pour les intégrations REST générique et des tables d'application de base de données, seule la destination de courriel d'avis peut être définie (utilisateur, utilisateur) lors de la création du système orchestré. Vous ne pouvez pas définir les règles de désactivation/suppression pour les déménageurs et les départs. Pour ce faire, vous devez créer le système orchestré, puis mettre à jour les paramètres du compte comme décrit sous Configurer les paramètres du compte de système orchestré.

Paramètres d'intégration

À l'étape Paramètres d'intégration du flux de travail, entrez les détails de configuration requis pour permettre à Oracle Access Governance de se connecter au système.

  1. Entrez les paramètres de configuration suivants :
    Champ Description
    Quel est l'OCID de la location OCI en cours d'intégration? Entrez l'OCID de la location répondant. Pour plus d'informations sur les OCID, voir Identificateur Oracle Cloud, Syntaxe d'OCID et Où obtenir l'OCID de la location et l'OCID de l'utilisateur.
    Note

    Utilisez une location unique pour chaque système orchestré.
    Quelle est la région principale de la location OCI? Entrez la région principale de la location OCI cible, à l'aide de l'identificateur de région. L'identificateur de région de votre région principale se trouve dans Régions. L'identificateur pour US East (Ashburn) est us-ashburn-1. Voir Région principale et Comment trouver ma région principale de location?.
    Inclure tous les domaines en tant que source faisant autorité Cochez cette case pour inclure tous les domaines disponibles en tant que source fiable de données d'identité et d'attributs d'identité.
    Quels noms de domaine doivent être inclus en tant que source faisant autorité? Sélectionnez les domaines qui doivent servir de source fiable de données d'identité et d'attributs d'identité.
    Inclure tous les domaines lors de la gestion des autorisations Cochez la case pour inclure tous les domaines pour le provisionnement et la gestion des comptes.
    Pour quels noms de domaine devons-nous gérer les autorisations? Sélectionnez les domaines pour lesquels vous souhaitez gérer les autorisations et effectuer des opérations de provisionnement.
    Voulez-vous exclure les ressources et les politiques du chargement des données? Sélectionnez cette option pour inclure uniquement les comptes et les autorisations (groupes et rôles). Les ressources et les politiques ne seront pas ingérées et vous ne pouvez pas les gérer à partir d'Oracle Access Governance.
    Note

    Vous ne pourrez pas voir de politique ou de ressource associée à une identité dans la page Navigateur à l'échelle de l'entreprise.
    Politiques OCI requises? Copiez les énoncés exacts dans le compartiment racine de la location concernée. Pour plus de détails sur les politiques requises, consultez la rubrique Comment Oracle Access Governance se connecte avec les instances OCI IAM cibles. Voir Gestion des politiques pour appliquer les politiques à votre location.
  2. Cliquez sur Ajouter.

Terminer

Enfin, vous pouvez choisir de configurer davantage votre système orchestré avant d'exécuter un chargement de données, ou d'accepter la configuration par défaut et de lancer un chargement de données. Sélectionner une valeur dans :
  • Personnaliser avant d'activer les chargements de données pour le système
  • Activer et préparer le chargement de données avec les valeurs par défaut fournies

Comment migrer l'accès par clé d'API vers l'accès au principal de ressource

Si vous avez des systèmes orchestrés OCI existants qui utilisent la méthode d'accès par clé d'API pour vous connecter, vous devez migrer dès que possible vers la méthode d'accès au principal de ressource. Bien que la méthode d'accès par clé d'API continue de fonctionner, aucune modification ne peut être apportée à la configuration existante. La méthode d'accès par clé d'API sera, à terme, obsolète et le principal de ressource est la méthode requise pour aller de l'avant.

Pour migrer de l'accès de clé d'API à l'accès de principal de ressource, vous devez effectuer les tâches suivantes :
  1. Naviguez jusqu'à la page Paramètres d'intégration en suivant les instructions fournies dans Configurer les paramètres d'intégration de système orchestré.
  2. Dans la page Paramètres d'intégration, un avertissement d'abandon s'affiche si le système orchestré utilise la méthode d'accès par clé d'API. Pour lancer le processus de migration, cliquez sur le bouton En savoir plus sur la migration. Les politiques requises pour mettre à jour vos locations OCI afin d'utiliser l'accès au principal de ressource seront affichées et devront être copiées et appliquées exactement comme générées. Pour plus de détails sur les politiques requises, consultez la rubrique Comment Oracle Access Governance se connecte avec les instances OCI IAM cibles. Voir Gestion des politiques pour plus de détails sur l'application des politiques à votre location.
  3. Une fois vos politiques appliquées, cliquez sur le bouton Tester l'intégration pour vérifier la connexion. Si vous avez des erreurs ou des messages, vérifiez votre configuration. Vous ne pourrez pas terminer la migration tant que le test n'aura pas réussi.
  4. Si votre connexion est confirmée, cliquez sur le bouton Migrer pour lancer la migration.
  5. Une fois la migration terminée, vous verrez un message confirmant que l'intégration utilise désormais la méthode d'accès requise.
Note

Une fois la migration vers la méthode Principal de ressource terminée, vous ne pouvez pas contrepasser la procédure et rétablir la méthode Clés d'API sur votre système orchestré.

Modes de configuration pris en charge pour OCI IAM

Les intégrations d'Oracle Access Governance peuvent être configurées selon différents modes de configuration selon vos besoins en matière d'intégration de données d'identité et de provisionnement de comptes.

Le système orchestré OCI IAM prend en charge le mode suivant :
  • Source faisant autorité

    Vous pouvez choisir les domaines OCI IAM en tant que source fiable de données d'identité et d'attributs d'identité dans Oracle Access Governance. Les domaines sélectionnés en tant que source faisant autorité seront utilisés pour créer un profil d'identité composite. Pour plus de détails, voir Gérer les attributs d'identité.

  • Système géré

    Vous pouvez gérer les comptes OCI, les groupes IAM, les rôles d'application, les politiques et les ressources à partir d'Oracle Access Governance. Les domaines sélectionnés en tant que systèmes gérés ne seraient utilisés que pour les activités de provisionnement, telles que la gestion du cycle de vie des identités, l'exécution des révisions d'accès, la configuration des contrôles d'accès, etc.

Opérations prises en charge pour OCI

Le système orchestré d'Oracle Cloud Infrastructure prend en charge les opérations de compte suivantes lors du provisionnement d'une identité.

Modifier les capacités d'utilisateur avec le profil de compte OCI

Configurer le profil de compte pour votre OCI IAM - Système géré afin de modifier les capacités des utilisateurs à partir de la console Oracle Access Governance. Vous pouvez définir des capacités, telles que des clés d'API, un jeton d'authentification, des données d'identification SMTP, des clés secrètes de client, des données d'identification de client OAuth 2.0 et des mots de passe de base de données.

Vous pouvez modifier les capacités d'utilisateur lors de la création d'un compte ou d'un événement de mise à jour de compte. Pour ce faire :

  1. Créer des profils de compte : Configurez d'abord le profil de compte requis pour provisionner les utilisateurs à partir d'Oracle Access Governance vers le domaine OCI IAM défini en tant que système géré. Voir Configuration des profils de compte dans Oracle Access Governance.
  2. Configurer les attributs de compte des capacités d'utilisateur dans le profil de compte.
  3. Créez un ensemble d'accès pour votre système orchestré par OCI IAM et associez le profil de compte. Voir Créer un ensemble d'accès.
  4. Déclenchez une auto-demande ou demandez l'accès à une autre identité. Voir Demander l'accès à une ressource.
  5. Après approbation, vérifiez les modifications dans le journal des activités :
    1. Pour l'activité Créer ou mettre à jour un compte, sélectionnez Voir les détails.
    2. Dans la section Données de compte, vous pouvez voir les capacités d'utilisateur provisionnées conformément au profil de compte configuré.

Règles de correspondance par défaut

Pour mapper des comptes aux identités dans Oracle Access Governance, vous devez disposer d'une règle de correspondance pour chaque système orchestré.

La règle de correspondance par défaut pour le système orchestré OCI IAM est la suivante :

Règles de correspondance par défaut
Mode Règle de correspondance par défaut
Mise en correspondance d'identité

La correspondance d'identité vérifie si les identités entrantes correspondent aux identités existantes ou nouvelles.

Valeur d'écran :

Employee user name = Employee user name

Mise en correspondance de compte

La correspondance de compte vérifie si les comptes entrants correspondent aux identités existantes.

Valeur d'écran :

User login = Employee user name

Aperçu fonctionnel : Cas d'utilisation pris en charge pour l'intégration à OCI

L'intégration de l'OCI IAM prend en charge la gestion des comptes OCI à partir d'Oracle Access Governance :

Exemples de provisionnement de cas d'utilisation

Provisionnement de groupe - Affecter des groupes à des utilisateurs

Affectez plusieurs groupes OCI IAM pour un domaine OCI à partir d'Oracle Access Governance. Par exemple, vous pouvez provisionner des développeurs travaillant sur plusieurs projets pour différentes ressources OCI IAM, chaque groupe étant associé à des ressources spécifiques.

Pour ce faire :
  • Créez un ensemble d'accès pour le système orchestré OCI et sélectionnez les groupes OCI IAM disponibles dans le domaine. Pour plus de détails, voir Créer un ensemble d'accès.
  • Pour affecter des utilisateurs dans OCI à des groupes OCI :
    • Créez une politique Oracle Access Governance et associez les groupes faisant partie de l'ensemble d'accès à la collection d'identités dans cette politique. Pour plus de détails, voir Gérer les politiques et Créer des collections d'identités.
    • Vous pouvez également demander des ensembles d'accès ou des rôles directement en soumettant une demande aux flux en libre-service. Pour plus de détails, voir Demander l'accès.

Certifier les révisions d'accès aux identités pour les groupes accordés au moyen d'une demande d'accès par Oracle Access Governance. Pour plus d'informations, voir Système admissible Oracle Cloud Infrastructure.

Provisionnement des rôles d'application - Affecter des rôles

À l'aide d'Oracle Access Governance, vous pouvez provisionner des rôles d'application OCI aux identités OCI pour les services exécutés dans un domaine OCI. Vous pouvez même l'utiliser pour provisionner des rôles Oracle Access Governance à d'autres identités. Par exemple, vous pouvez créer des ensembles de rôles d'application Oracle Access Governance pertinents et provisionner l'ensemble d'accès à un groupe de spécialistes IAM.
  • Créez un ensemble d'accès pour le système orchestré OCI et sélectionnez des rôles d'application pour les services disponibles dans le domaine. Pour plus de détails, voir Créer un ensemble d'accès.
  • Pour affecter des utilisateurs dans OCI avec des rôles d'application :
    • Créer une politique Oracle Access Governance. Associer des ensembles d'accès comprenant des rôles d'application à une collection d'identités dans cette politique. Pour plus de détails, voir Gérer les politiques et Créer des collections d'identités.
    • Vous pouvez également demander cet ensemble d'accès ou ce rôle directement en soumettant une demande aux flux en libre-service. Pour plus de détails, voir Demander l'accès.

Vous pouvez également certifier les révisions d'accès aux identités pour les rôles accordés au moyen d'une demande d'accès par Oracle Access Governance. Pour plus d'informations, voir Système admissible Oracle Cloud Infrastructure.

Revues des politiques OCI : Révoquer les énoncés de politique avec privilèges excédentaires des politiques OCI

À l'aide d'Oracle Access Governance, vous pouvez certifier les politiques OCI en créant des campagnes de révision de politique sur demande à partir de la console Oracle Access Governance. Par exemple, vous pouvez exécuter des révisions trimestrielles sur la politique de réseau et de stockage définie de votre location pour évaluer si celles-ci répondent au principe du privilège minimal et aux exigences réglementaires applicables.

Créez une campagne de révision de politique pour les politiques OCI. En fonction des informations et des recommandations prescriptives, les réviseurs peuvent prendre une décision éclairée pour approuver ou rejeter l'ensemble de la politique à la fois, ou prendre une décision pour approuver ou rejeter un énoncé de politique spécifique dans cette politique.

Pour plus d'informations, voir Vérifier l'accès aux systèmes gérés par Oracle Cloud Infrastructure (OCI) et Créer des campagnes de révision de politique.

Revues de l'appartenance aux groupes : Accepter ou révoquer l'accès de l'appartenance du groupe OCI IAM

À l'aide d'Oracle Access Governance, vous pouvez certifier l'adhésion pour les groupes OCI IAM en créant des campagnes de révision de la collecte d'identités sur demande. Par exemple, vous pouvez exécuter des révisions d'appartenance à un groupe pour certifier que seuls les membres admissibles font partie du groupe Administrateur de base de données, en gérant et en gérant l'infrastructure de base de données de votre projet. Une identité avec le rôle Analyste des ventes ne doit pas être associée à ce groupe.

Créer une campagne de révision de collection d'identités pour les groupes OCI IAM. En fonction des informations et des recommandations prescriptives, les réviseurs peuvent prendre une décision éclairée pour approuver ou révoquer les membres du groupe. Si vous choisissez de vérifier les groupes OCI IAM et qu'il contient quelques membres provisionnés à partir d'Oracle Access Governance, cette vérification vous permet uniquement d'accepter ou de révoquer les membres directement affectés. Pour les membres provisionnés à partir d'Oracle Access Governance, choisissez de vérifier les ensembles d'accès OCI à l'aide de la vignette Quelles autorisations?. Pour plus d'informations, voir Vérifier l'accès aux systèmes gérés par Oracle Cloud Infrastructure (OCI) et Créer des campagnes de révision de collecte d'identités.