Présentation des actions du réviseur pour la certification d'accès efficace
En tant que réviseur de l'accès, vous pouvez certifier les privilèges d'accès à l'aide de la fonction Mes révisions d'accès. Vous pouvez vérifier les tâches de vérification de l'identité, du contrôle d'accès et de la propriété, approuver en masse les articles à faible risque, vérifier les informations analytiques prescriptives équipées de l'intelligence artificielle et de l'apprentissage automatique, vérifier les articles à risque élevé et prendre des décisions éclairées en fonction des recommandations fondées sur l'intelligence artificielle et guidées par l'apprentissage automatique fournies par Oracle Access Governance. Vous pouvez également réaffecter ou déléguer vos tâches d'évaluation à un autre réviseur.
Types de tâche de révision d'accès dans Oracle Access Governance
Une fois une campagne lancée, le service Campagnes d'Oracle Access Governance effectue un suivi actif de l'accès aux identités incluses, génère des données clés intelligentes et crée des révisions d'accès. Selon le type de révision d'accès, Oracle Access Governance génère des tâches de révision d'identité, de contrôle d'accès et/ou de révision de responsabilité.
Voici quelques détails sur chaque tâche de révision d'accès :
Tâches de révision d'identité
Les tâches de révision d'identité comprennent la certification des droits d'accès aux identités, l'évaluation des comptes d'utilisateur, des autorisations et des rôles. Ceux-ci sont lancés lorsque vous lancez une tâche de révision d'identité sur demande, ou sont lancés lors de l'occurrence d'un événement d'identité, tel qu'un changement de service, un changement de gestionnaire, etc. Une seule campagne peut générer plusieurs tâches d'évaluation. Par exemple, lorsque vous lancez des révisions d'accès aux identités, Oracle Access Governance peut générer des tâches de révision d'accès pour les comptes, les autorisations ou les rôles associés à une seule identité dans la page Mes révisions d'accès → Identité.
Oracle Access Governance génère des synthèses prescriptives et fournit des recommandations pour que les réviseurs puissent prendre une décision éclairée d'approuver ou de rejeter l'accès d'identité requis.
Tâches de révision de contrôle d'accès
Les tâches de révision du contrôle d'accès comprennent la vérification des politiques du service de gestion des identités et des accès (IAM) et des collections d'identités, lancées par des campagnes sur demande de révision de politique et de révision des collections d'identités. Par exemple, lorsque vous lancez la révision de la politique d'administrateur de domaine pour votre location, Oracle Access Governance peut générer des tâches de révision d'accès pour le type Politique dans la page Mes révisions d'accès→ Contrôle d'accès.
Oracle Access Governance génère des synthèses prescriptives et fournit des recommandations afin que les réviseurs puissent prendre une décision éclairée pour approuver ou rejeter la politique entière en même temps, ou prendre une décision pour approuver ou rejeter un énoncé de politique spécifique dans cette politique.
Pour une politique OCI, les révisions sont limitées aux structures de politique de base. La syntaxe avancée, y compris la clause WHERE, dépasse la portée de notre fonction prise en charge.
Tâches de révision de responsabilité
- Vérification des comptes sans correspondance du service de gestion des identités et des accès (IAM), lancée par des révisions d'accès basées sur les événements. Ces tâches vous aident à vérifier les comptes sans correspondance pour les identités dans Oracle Access Governance. Lors de la configuration d'un événement de compte sans correspondance, vous pouvez choisir de supprimer automatiquement les comptes sans correspondance. En tant que réviseur, vous pouvez sélectionner une identité à laquelle apparier, ou vous pouvez supprimer le compte sans correspondance
-
Révision de propriété des ressources Oracle Access Governance. Ces tâches vous aident à vérifier et à vérifier que seuls les responsables autorisés gèrent les ressources Oracle Access Governance. Par exemple, vous pouvez lancer des campagnes périodiques pour vérifier la responsabilité de groupe des collections d'identités définies dans Oracle Access Governance.
Vous pouvez voir toutes les révisions de responsabilité précédentes exécutées pour la ressource dans la section Piste de révision d'accès. Selon le flux de travail d'approbation sélectionné dans la campagne, le responsable principal ou une identité de personnel active d'Oracle Access Governance est choisi comme réviseur. En tant que réviseur, vous pouvez modifier les responsables principaux ou supplémentaires des ressources, certifier la responsabilité courante ou réaffecter la tâche de révision à un autre utilisateur actif d'Oracle Access Governance.
Renseignements intelligents – Examiner les recommandations en fonction des analyses prescriptives
Oracle Access Governance tire parti des analyses prescriptives pour générer des connaissances et recommander les actions requises pour les tâches de révision. Cela permet aux réviseurs d'accès de prendre des décisions correctives, de réduire le fardeau administratif et de réduire les coûts.
L'analyse prescriptive va au-delà de la prédiction et implique des recommandations orientées vers l'action. Ces conseils sont axés sur les données. Oracle Access Governance effectue des calculs complexes et prend en compte de nombreuses dimensions telles que l'organisation, l'emplacement, la ressource et la sensibilité de cette ressource avant de recommander une décision. Au niveau général, l'analyse de la permission est basée sur les facteurs suivants :
- Comparaison avec les pairs subordonnés au même gestionnaire
- Comparaison avec les pairs ayant le même code d'emploi
- Comparaison avec les pairs de la même organisation
- Modifications récentes d'un profil d'utilisateur
En tant que réviseur, vous obtenez une recommandation guidée par les données qui simplifie le processus de révision et atténue les efforts manuels nécessaires pour identifier les autorisations anormales. Dans la page Données clés, vous pouvez également suivre la piste des révisions effectuées sur un accès spécifique, nécessaire à des fins de vérification. Vous pouvez également suivre les séries de modifications d'événement impliquées pour cet accès. Tous ces détails vous aident à prendre une décision éclairée pour cet accès.
Piste de vérification : Surveillance des décisions de révision et de demande d'accès
La piste de vérification d'Oracle Access Governance capture l'historique des tâches d'approbation de demande et de révision d'accès. Il enregistre les décisions prises lors des demandes d'accès et des examens, y compris si l'accès a été accepté, rejeté ou révoqué, ainsi que les justifications fournies.
In Scope - Ce qu'il suit
- Décisions d'approbation et de révision d'accès, y compris les décisions d'accepter, de rejeter ou de révoquer l'accès, avec des justifications.
- Approuver et révoquer les événements pour l'accès accordé par des demandes ou des accès directement affectés dans les systèmes gérés (type d'octroi Demande et type d'octroi Direct).
- Révoquer les accès d'identité pour les révisions basées sur des événements qui sont déclenchées lorsque des modifications d'attributs d'identité sont apportées. L'accès révoqué au moyen de la politique n'est pas affiché lorsque des modifications d'attribut sont apportées.
- Approbation des demandes d'accès avec violations SOD. Ces demandes sont identifiées par l'icône
indiquant que la demande a été approuvée même si des violations de séparation des fonctions ont été commises à partir de Risk Management Cloud. - Révisions d'accès approuvées ou demandées avec justification appropriée. Tous les accès au délai sont identifiés par le
icône d'horloge.
Hors de portée - Ce qu'il ne suit pas
- Accès accordé ou révoqué au moyen de politiques, car celles-ci sont révisées au niveau de la politique et non au niveau de l'identité.
- Mises à jour effectuées directement dans les systèmes orchestrés. Par exemple, un rôle est supprimé des systèmes orchestrés
Journal des événements de modification récents : Suivi des modifications d'attribut
Le journal des modifications récentes suit les modifications d'attribut d'identité activées dans Configuration basée sur les événements. Pour les campagnes (non basées sur un événement), elle affiche tous les événements de modification pour les attributs pour lesquels l'option Configuration basée sur un événement est activée pour l'identité indiquée au cours des six derniers mois. Pour les campagnes basées sur des événements, il enregistre uniquement les modifications apportées à l'attribut déclenchant la vérification.
In Scope - Ce qu'il suit
- Modification d'attribut, telle que les mises à jour de service, si elle est activée dans la configuration basée sur les événements.
- Modifications d'attribut qui ont déclenché les évaluations basées sur les événements pour effectuer une micro-certification.
- Pour les campagnes, modifications des attributs d'identité, activées pour la configuration basée sur les événements, au cours des six derniers mois.
- Approbation des demandes d'accès et révisions pour les accès accordés par les demandes ou les accès directement affectés dans les systèmes gérés.
- Révocation examinée au moyen de révisions d'accès basées sur les événements (non basées sur les politiques)
Hors de portée - Ce qu'il ne suit pas
- Accès spécifique perdu ou obtenu en raison d'une modification d'attribut.
Exemple : Si le service d'une personne change et que l'attribut de service a été activé dans Configuration basée sur l'événement -> Modifier les événements, la valeur de l'attribut modifié s'affichera dans cette section. Elle affiche uniquement la valeur d'attribut modifiée et ne montre pas l'accès spécifique perdu ou obtenu en raison de la modification d'attribut. Pour ce scénario de déplacement, tous les accès dont dispose actuellement l'identité doivent être révisés en tant que tâche de révision.
Délégation de vos tâches d'évaluation
La délégation d'une tâche de révision d'accès vous permet de transférer vos tâches de révision à venir à d'autres réviseurs, temporairement ou indéfiniment. En général, vous souhaitez déléguer un élément d'évaluation à un autre réviseur ou à une collection d'identités pendant votre absence, par exemple des vacances.
Avec la délégation, la responsabilité des éléments d'évaluation ne change pas. Un réviseur de secours est affecté en l'absence du réviseur prévu afin qu'aucun retard ne se produise. Dans la page Données clés, le réviseur peut voir des détails complets à partir de la piste de révision d'accès. Par exemple, en tant que gestionnaire en vacances, vous pouvez déléguer vos tâches d'évaluation au chef d'équipe. Pendant votre absence, le chef d'équipe peut continuer à prendre des décisions en votre nom, que vous pouvez voir dans la piste d'évaluation de l'accès. Toutefois, la responsabilité principale de vérifier les tâches de révision d'accès incombe toujours au gestionnaire. Vous pouvez déléguer vos révisions d'accès à l'aide de la fonction en libre-service, qui se trouve dans Mes informations → Mes préférences. Pour plus d'informations, voir Gérer les préférences de délégation.
Réaffectation d'une tâche d'évaluation
La réaffectation d'une tâche de révision d'accès vous permet de modifier définitivement le réviseur de vos tâches de révision en attente à d'autres réviseurs. Avec la réaffectation, la responsabilité des éléments d'évaluation change. Les tâches d'évaluation sont déplacées du réviseur initial et affectées au nouveau réviseur. Seul le nouveau réviseur peut voir les détails de réaffectation dans la piste de révision d'accès.
En général, vous réaffectez vos éléments d'évaluation en attente lorsqu'il y a un changement de responsabilité. Par exemple, en tant que gestionnaire sortant de la société, vous pouvez réaffecter vos tâches d'évaluation existantes à votre gestionnaire ou à votre remplaçant. Vos éléments d'évaluation en attente sont alors transférés au nouveau réviseur.
Modifications en masse - Gestion simultanée de plusieurs éléments d'évaluation
Oracle Access Governance vous permet d'approuver, de rejeter ou de réaffecter plusieurs éléments d'évaluation simultanément, plutôt que de prendre les mêmes décisions individuellement. La révision de plusieurs éléments à la fois réduit le fardeau administratif et permet de gagner du temps.
Utilisez les recommandations basées sur les données pour prendre une décision efficace d'approuver ou de rejeter plusieurs demandes à la fois. Par exemple, lors de l'exécution de révisions d'accès périodiques pour votre équipe, vous pouvez approuver tous les éléments d'évaluation à faible risque, avec la recommandation Accepter à la fois. Vous pouvez même sélectionner plusieurs éléments ou tous les éléments pour réaffecter les tâches à un autre réviseur.
- Pour les tâches de révision d'identité, vous pouvez approuver ou rejeter plusieurs tâches de révision simultanément. Vous pouvez même réaffecter plusieurs tâches de révision d'identité à la fois.
- Pour les tâches de contrôle d'accès, pour une politique, vous pouvez approuver ou rejeter tous les énoncés à la fois.
- Pour les tâches de contrôle d'accès, pour une collection d'identités, vous pouvez approuver ou rejeter tous les membres à la fois.
- Pour les révisions basées sur les événements, vous pouvez configurer l'approbation automatique des tâches à faible risque. Vous pouvez également configurer la suppression automatique des comptes sans correspondance.
Les modifications en masse combinées à des analyses prescriptives vous permettent d'accélérer le processus, d'améliorer l'efficacité opérationnelle sans compromettre la sécurité.
Accepter l'accès temporaire pour les révisions d'accès aux identités
Vous pouvez accepter temporairement l'accès lors de la certification de l'accès d'identité à une autorisation. L'accès peut être accepté pour une période indéterminée ou défini pour expirer en fonction d'une période d'expiration spécifiée.
- Type d'affectation : Permission
- Type d'autorisation accordée : Ensemble d'accès
La piste de vérification affiche toutes les révisions d'accès limitées dans le temps et l'acceptation limitée dans le temps avec une icône d'horloge .