Documentation Oracle Cloud Infrastructure

Rôles d'application

Oracle Access Governance offre plusieurs rôles d'application prédéfinis avec différents niveaux de fonctionnalités pour effectuer les opérations de gestion des accès et de gouvernance. Vous pouvez affecter des rôles d'application aux utilisateurs à partir de votre instance de service cloud Oracle Access Governance. Vous ne pouvez pas modifier les rôles d'application prédéfinis ni les autorisations affectées à ces rôles.

Administrateur (AG_Administrator)

L'administrateur Oracle Access Governance dispose du niveau d'accès le plus élevé dans Oracle Access Governance. Les utilisateurs dotés du rôle d'administrateur sont responsables de la gestion de toutes les opérations Oracle Access Governance, y compris la gestion des systèmes orchestrés, des contrôles d'accès, des opérations d'administration de service, etc.

La responsabilité première d'un administrateur est de
  • Définir les tâches de base disponibles dans le module d'administration des services d'Oracle Access Governance, telles que la configuration des systèmes orchestrés, la gestion des identités, la configuration des attributs d'identité de base et personnalisés, la configuration des notifications, la vérification des opérations de chargement des données dans Oracle Access Governance.
  • Configurez des révisions d'accès basées sur les événements pour effectuer des micro-certifications et gérer des comptes sans correspondance.
Par exemple, vous pouvez affecter AG_Administrator aux administrateurs de sécurité ou au spécialiste Identity and Access Management pour gérer votre instance de service cloud Oracle Access Governance.

En général, AG_Administrator établit la première intégration avec la source faisant autorité en créant un système orchestré, en exécutant le chargement complet des données et en définissant des règles pour définir les utilisateurs Workforce et Consumer. AG_Administrator peut ensuite affecter des propriétaires pour gérer le système orchestré à tout utilisateur actif d'Oracle Access Governance.

Un objet AG_Administrator dispose d'un accès complet à toutes les fonctionnalités et fonctionnalités de l'instance de service. Ils disposent de tous les droits d'accès permettant de créer, de visualiser, de mettre à jour et de supprimer les ressources Oracle Access Governance :
  • Système orchestré
  • Collections d'identités
  • Packages d'accès
  • Rôles
  • Stratégies
  • Workflows d'approbation
  • Garde-fous d'accès
  • Packages d'accès générés automatique
  • Profils de compte

Administrateur du centre de services (AG_ServiceDesk_Admin)

L'administrateur Oracle Access Governance Service Desk est responsable de l'exécution des fonctions d'administration avancées des comptes directement dans Oracle Access Governance. La responsabilité principale d'un administrateur de centre de services est d'effectuer des opérations extrêmement critiques et urgentes sans nécessiter d'approbation, en particulier en ce qui concerne les opérations de gestion du cycle de vie des comptes.

Les utilisateurs dotés du rôle d'administrateur de centre de services peuvent effectuer les fonctions d'administration des comptes à partir de la page Administration des services > Gérer les identités > Identités :
  • Afficher les détails de l'identité pour toutes les identités.
  • Afficher les détails du compte pour les autorisations.
  • Mettre fin à tous les comptes et accès à une identité à la fois sans aucune approbation. Une fois terminé, vous pouvez reprovisionner ou activer les comptes et les accès, avec la stratégie de type d'octroi.
  • Activer, désactiver ou supprimer, ou modifier un ou plusieurs comptes et attributs pour une identité.
  • Révoquez des droits d'accès affectés directement à partir du système géré ou provisionnés via une demande.
  • Réessayez le provisionnement pour le statut En échec ou En attente.
  • Modifiez le mot de passe d'un compte géré par Oracle Access Governance.
  • Gérer les délégations pour les approbations ou les révisions d'accès.
Par exemple, vous pouvez affecter AG_ServiceDesk_Admin à un spécialiste informatique pour mettre immédiatement fin à tous les comptes et accès en fonction d'une réponse à un incident déclenchée par des tentatives de connexion répétées ayant échoué afin d'empêcher toute activité non autorisée potentielle.
En outre, AG_ServiceDesk_Admin peut effectuer les opérations suivantes dans le cadre de l'utilisateur Oracle Access Governance :
  • Afficher les détails des systèmes orchestrés ainsi que les journaux d'activité.
  • En tant que propriétaire de ressource, affichez, mettez à jour ou supprimez les ressources Oracle Access Governance dont ils sont propriétaires.
  • En tant que réviseur associé aux workflows d'approbation, approuvez les demandes d'accès et vérifiez les tâches d'accès.
  • En tant qu'utilisateur, vous pouvez consulter les privilèges affectés aux collaborateurs directs et autonomes.
  • En tant que réviseur d'accès, il peut vérifier et certifier les tâches de révision d'accès si elles sont associées à un workflow d'approbation spécifique.
  • Gérer les délégation

Administrateur de campagne (AG_CampaignAdmin)

Les administrateurs de campagne Oracle Access Governance peuvent lancer un processus de vérification des accès en créant des campagnes. Ils peuvent modifier, supprimer et surveiller les campagnes de révision d'accès créées automatiquement. Ils peuvent consulter le rapport de campagne et télécharger les données CSV à des fins hors ligne.

Leur responsabilité principale est de planifier des campagnes ponctuelles ou périodiques pour les révisions d'accès aux identités, les révisions de politiques, les révisions de collecte d'identités ou les révisions de propriété des ressources sur tous les systèmes.

En outre, les administrateurs de campagne :
  • Peut créer des workflows d'approbation
  • Peut créer des collections d'identités
  • En tant que propriétaire d'une ressource, modifier, supprimer et afficher les ressources dont il est propriétaire
  • En tant que réviseur associé aux workflows d'approbation, approuvez les demandes d'accès et vérifiez les tâches d'accès.
  • En tant qu'utilisateur, vous pouvez consulter les privilèges affectés aux collaborateurs directs et autonomes.

Administrateur d'accès aux navigateurs à l'échelle de l'entreprise (AG_Enterprise_Wide_Access_Admin)

Oracle Access Governance Enterprise-wide Access Administrator bénéficie d'une visibilité complète sur tous les composants, informations d'accès et ressources d'une structure d'entreprise à partir de la page Qui a accès à quoi → Navigateur à l'échelle de l'entreprise.

Principalement, les administrateurs d'accès à l'échelle de l'entreprise peuvent :
  • Parcourez les informations d'accès à l'aide de différentes perspectives, telles que les identités, les collections d'identités, les rôles, les autorisations, les stratégies, les ressources et les organisations.
  • Exécutez les révisions créées par l'utilisateur pour les identités, les collections d'identités et les stratégies à partir du tableau de bord du navigateur à l'échelle de l'entreprise.
  • Générer un rapport mensuel sur les révisions d'accès créées à partir du navigateur à l'échelle de l'entreprise.
  • Télécharger la capture d'écran CSV et PDF.
En outre, vous pouvez :
  • Peut créer des collections d'identités
  • En tant que propriétaire de ressource, affichez, mettez à jour ou supprimez les ressources Oracle Access Governance dont ils sont propriétaires.
  • En tant que réviseur associé aux workflows d'approbation, approuvez les demandes d'accès et vérifiez les tâches d'accès.
  • En tant qu'utilisateur, vous pouvez consulter les privilèges affectés aux collaborateurs directs et autonomes.

Administrateur propriétaire de l'application (AG_AppOwner_Admin)

L'administrateur du propriétaire de l'application Oracle Access Governance est responsable de l'exécution des intégrations avec d'autres systèmes en ajoutant un système orchestré, en modifiant les paramètres de connexion, en validant et en chargeant les données dans Oracle Access Governance. Ils peuvent également configurer un système orchestré en modifiant les paramètres d'intégration, en configurant les paramètres de notification, en configurant le groupe d'accès recommandé, en définissant des règles de transformation pour les données entrantes et sortantes pour les attributs d'identité et de compte et en définissant des règles de corrélation pour la mise en correspondance des identités et des comptes d'identité.

L'administrateur du propriétaire de l'application est principalement chargé de :

  • Configurez des intégrations avec une application en tant que source autorisée ou système géré en créant un système orchestré.
  • Gérer et configurer les systèmes intégrés.
    Remarque

    AG_AppOwner_Admin ne peut pas activer des identités ni configurer des attributs d'identité pour un système orchestré. Pour ce faire, vous devez disposer du rôle AG_Administrator.
En outre, l'administrateur propriétaire de l'application :
  • Peut créer des workflows d'approbation
  • Peut créer des garde-corps d'accès
  • Peut créer des collections d'identités
  • Peut créer des lots d'accès
  • Peut gérer les lots d'accès générés automatiquement
  • En tant que propriétaire de ressource, il peut modifier, supprimer et afficher les ressources dont il est propriétaire. Les ressources peuvent être n'importe quelle entité Oracle Access Governance (groupes d'accès, organisations, collections d'identités, stratégies, workflows d'approbation, systèmes orchestrés, garde-fous d'accès, groupes d'accès générés automatiquement ou rôles).
  • En tant que réviseur associé aux workflows d'approbation, il peut approuver les demandes d'accès et vérifier les tâches d'accès.
  • En tant qu'utilisateur, vous pouvez consulter les privilèges affectés aux collaborateurs directs et autonomes.
  • En tant qu'utilisateur, vous pouvez utiliser le module en libre-service pour demander un nouvel accès, suivre les demandes, affecter des préférences, etc.

Administrateur restreint du propriétaire de l'application (AG_AppOwner_Admin_Restricted)

L'administrateur restreint du propriétaire de l'application Oracle Access Governance est chargé de créer une intégration avec d'autres systèmes en ajoutant un système orchestré en tant que système géré. Cependant, ils peuvent gérer les intégrations et configurer les paramètres uniquement pour les systèmes dont ils sont propriétaires en tant que propriétaire de ressources.

Rôle Peut créer un système orchestré Peut gérer le système orchestré
Administrateur propriétaire de l'application OUI (Source faisant autorité et Système géré) OUI
Administrateur restreint du propriétaire de l'application OUI (système géré uniquement) Limité aux ressources qu'ils possèdent

L'administrateur restreint du propriétaire de l'application est principalement responsable de :

  • Configurez des intégrations avec une application en tant que système géré en créant un système orchestré.
  • Gérer et configurer le système orchestré dont il est le propriétaire.
    Remarque

    AG_AppOwner_Admin_Restricted ne peut pas activer des identités ni configurer des attributs d'identité pour un système orchestré. Pour ce faire, vous devez disposer du rôle AG_Administrator.
En outre, le propriétaire de l'application a restreint l'administrateur :
  • Peut créer des workflows d'approbation
  • Peut créer des collections d'identités
  • Peut créer des lots d'accès et des lots d'accès générés automatiquement
  • En tant que propriétaire de ressource, il peut modifier, supprimer et afficher les ressources dont il est propriétaire. Les ressources peuvent être n'importe quelle entité Oracle Access Governance (groupes d'accès, organisations, collections d'identités, stratégies, workflows d'approbation, systèmes orchestrés, garde-fous d'accès, groupes d'accès générés automatiquement ou rôles).
  • En tant que réviseur associé aux workflows d'approbation, approuvez les demandes d'accès et vérifiez les tâches d'accès.
  • En tant qu'utilisateur, vous pouvez consulter les privilèges affectés aux collaborateurs directs et autonomes.
  • En tant qu'utilisateur, vous pouvez utiliser le module en libre-service pour demander un nouvel accès, suivre les demandes, affecter des préférences, etc.

Scénario : si le rôle AG_AppOwner_Admin_Restricted est affecté à Betty, Betty peut établir de nouvelles intégrations en tant que système géré en créant un nouveau système orchestré à partir de la page Administration des servicesSystèmes orchestrés. Cependant, Betty ne peut pas créer de source faisant autorité. En outre, Betty ne peut configurer les paramètres pour les systèmes orchestrés que si Betty est affecté en tant que propriétaire de la ressource (propriétaire principal ou l'un des propriétaires supplémentaires) pour la ressource système orchestrée.

Administrateur de contrôle d'accès (AG_AccessControl_Admin)

L'administrateur Oracle Access Governance Access Control est responsable de la gestion de l'administration du contrôle d'accès dans Oracle Access Governance.

Rôle Peut créer des ressources de contrôle d'accès Peut gérer les ressources de contrôle d'accès
Administrateur de contrôle d'accès OUI OUI
Administrateur restreint du contrôle d'accès OUI Limité aux ressources qu'ils possèdent

L'administrateur de contrôle d'accès est principalement responsable :

  • Créer et gérer des collections d'identités
  • Créer et gérer des lots d'accès
  • Créer et gérer des workflows d'approbation
  • Créer et gérer des rôles
  • Créer et gérer des stratégies
  • Créer et gérer des rails de protection d'accès
  • Créer et gérer des organisations à partir de la page Gérer les identités
En outre, l'administrateur de contrôle d'accès :
  • En tant que propriétaire de ressource, il peut modifier, supprimer et afficher les ressources dont il est propriétaire. Les ressources peuvent être toutes les entités Oracle Access Governance (groupes d'accès, organisations, collections d'identités, stratégies, workflows d'approbation, systèmes orchestrés, garde-corps d'accès ou rôles).
  • En tant que réviseur associé aux workflows d'approbation, il peut approuver les demandes d'accès et vérifier les tâches d'accès.
  • En tant qu'utilisateur, vous pouvez consulter les privilèges affectés aux collaborateurs directs et autonomes.
  • En tant qu'utilisateur, vous pouvez utiliser le module en libre-service pour demander un nouvel accès, suivre les demandes, affecter des préférences, etc.

Administrateur restreint du contrôle d'accès (AG_AccessControl_Admin_Restricted)

L'administrateur restreint d'Oracle Access Governance est responsable de la création des ressources de contrôles d'accès dans Oracle Access Governance.

Rôle Peut créer des ressources de contrôle d'accès Peut gérer les ressources de contrôle d'accès
Administrateur de contrôle d'accès OUI OUI
Administrateur restreint du contrôle d'accès OUI Limité aux ressources qu'ils possèdent

L'administrateur de contrôle d'accès restreint est principalement responsable des éléments suivants :

  • Créer des collections d'identités, accéder aux lots, les workflows d'approbation, les rôles, les stratégies et les organisations.
En outre, Access Control Restricted Administrator :
  • En tant que propriétaire de ressource, il peut modifier, supprimer et afficher les ressources dont il est propriétaire. Les ressources peuvent être toutes les entités Oracle Access Governance (groupes d'accès, organisations, collections d'identités, stratégies, workflows d'approbation, systèmes orchestrés, garde-corps d'accès ou rôles).
  • En tant que réviseur associé aux workflows d'approbation, il peut approuver les demandes d'accès et vérifier les tâches d'accès.
  • En tant qu'utilisateur, vous pouvez consulter les privilèges affectés aux collaborateurs directs et autonomes.
  • En tant qu'utilisateur, vous pouvez utiliser le module en libre-service pour demander un nouvel accès, suivre les demandes, affecter des préférences, etc.

Scénario : si le rôle AG_AccessControl_Admin_Restricted est affecté à Betty, Betty peut créer des ressources de contrôle d'accès, telles que de nouvelles collections d'identités, des workflows d'approbation, des stratégies, des rôles, des droits d'accès de package dans des groupes d'accès à l'aide du module Contrôles d'accès. Toutefois, Betty ne peut gérer (afficher, modifier, supprimer, etc.) ces ressources que si Betty est affectée en tant que propriétaire de la ressource (propriétaire principal ou l'un des propriétaires supplémentaires) pour les ressources.

Auditeur (AG_AUDITOR)

Le rôle Auditeur Oracle Access Governance est responsable de la surveillance de toutes les campagnes. Ils peuvent consulter les détails de la campagne et télécharger le rapport de révision d'accès pour chaque campagne. En plus d'afficher le rapport, l'auditeur peut enregistrer les rapports hors ligne au format PDF ou télécharger les données CSV pour la tenue des enregistrements ou une analyse ou un audit ultérieur.

En outre, en fonction de la propriété fournie dans Oracle Access Governance, un auditeur peut :
  • En tant que propriétaire de campagne : modifier, supprimer et surveiller les campagnes de révision d'accès que vous détenez.
  • En tant que réviseur d'accès, il peut vérifier et certifier les tâches de révision d'accès si elles sont associées à un workflow d'approbation spécifique.
  • En tant que propriétaire de ressource, affichez, modifiez et supprimez les ressources qu'ils possèdent.
  • Création de collections d'identités.
  • Gérer les collections d'identités dont ils sont propriétaires.

Utilisateur (AG_USER)

L'utilisateur Oracle Access Governance est un utilisateur final chargé d'afficher et de gérer ses accès à l'aide d'Oracle Access Governance. Par défaut, ce rôle est affecté à tous les utilisateurs d'Oracle Access Governance Active Workforce.

L'administrateur de domaine cloud peut également affecter ce rôle d'application (AG_USER) à partir de la page du service cloud OCI. Les utilisateurs s'engagent principalement dans des tâches en libre-service, qui peuvent inclure la demande d'autorisations via des groupes d'accès ou des rôles, la consultation des détails d'accès, la gestion des préférences, la modification des mots de passe de compte, etc.

En outre, en fonction de la propriété fournie dans Oracle Access Governance, un utilisateur final :
  • En tant que propriétaire de campagne : modifier, supprimer et surveiller les campagnes de révision d'accès que vous détenez.
  • En tant que réviseur d'accès, il peut vérifier et certifier les tâches de révision d'accès si elles sont associées à un workflow d'approbation spécifique.
  • En tant que propriétaire de ressource, affichez, modifiez et supprimez les ressources qu'ils possèdent.
  • Création de collections d'identités.
  • Gérer les collections d'identités dont ils sont propriétaires.