Documentation Oracle Cloud Infrastructure

Octroi de l'accès à Birthright

L'accès Birthright fait référence à un ensemble d'autorisations par défaut automatiquement accordées aux utilisateurs à l'aide des stratégies automatisées d'Oracle Access Governance pour s'assurer que les nouveaux arrivants disposent d'un accès essentiel avant ou au début de l'emploi.

Oracle Access Governance accorde un droit d'accès à
  • Pré-embauche : La date de démarrage se situe dans le futur.
  • Embauche : la date de début est maintenant ou dans le passé ; elle n'est pas terminée.
Etat employé Statut AG Statut (source faisant autorité) Date de jointure (source faisant autorité) Fin de contrat lancée Date de fin de contrat (source faisant autorité)
Pré-embauche AG - Actif Désactivé Supérieur à aujourd'hui FALSE (FAUX) Supérieur à aujourd'hui
Louer AG - Actif Actif Inférieur ou égal au jour du jour FALSE (FAUX) Supérieur à aujourd'hui

Prérequis

Assurez-vous que les prérequis suivants permettent d'accorder l'accès au droit d'accès à partir d'Oracle Access Governance :

    1. La source faisant autorité doit inclure des attributs d'employé, y compris la date d'adhésion officielle ou la date de début
    2. Créez un attribut système et un attribut d'identité global pour extraire la valeur source.
    3. La source faisant autorité doit inclure la date de fin de contrat ou le dernier attribut système orchestré de date de travail.
    4. Créer un attribut d'identité AG global terminated
    5. Définir les conditions de main-d'oeuvre/de consommateur pour l'activation

Etape 1 : création d'un attribut système et d'un attribut d'identité global pour JoinDate

  1. Créez un attribut système simple joinDate et mettez-le en correspondance avec la source de date de jointure, telle que startDate. Reportez-vous à Création d'un attribut système.
  2. Accédez à présent à la page Attributs d'identité et recherchez l'attribut d'identité de base joinDate. Modifiez l'attribut d'identité de base pour sélectionner le système orchestré approprié et mettez à jour la source de valeur avec une règle d'attribut unique, telle que :
    if (user.getCustomAttributes() != null) 
{ user.getCustomAttributes()['startDate'] }
    Reportez-vous à Gestion des paramètres d'attributs.

Etape 2 : création d'un attribut d'identité global pour exclure les utilisateurs ayant pris fin

Créez un attribut AG, terminated, pour les stratégies qui accordent un droit d'accès avant joinDate afin d'exclure les utilisateurs terminés des droits d'accès qui leur sont affectés via ces stratégies. Ici, terminationDate est la dernière source de date de travail de la source faisant autorité.

    1. Accédez à la page Attributs d'identité et créez un attribut AG interne, terminé, de type Booléen. Pour plus d'informations, reportez-vous à Création d'un attribut Oracle Access Governance.
    2. Utilisez la règle à attribut unique pour comparer terminationDate à aujourd'hui. Si terminationDate est inférieur ou égal à aujourd'hui, il renvoie True ; sinon, il renvoie False, par exemple :
      if( user.getStatus() == 'Disabled' && user.getCustomAttributes() != null && user.getCustomAttributes()['terminationDate'] != null ) 
{ var currentDate=new Date(); 
var today = new Date(currentDate.getFullYear(),currentDate.getMonth(),currentDate.getDate(),23,59,59,999); 
var terminationDate = new Date(user.getCustomAttributes()['terminationDate']); 
if(terminationDate <= today) 
{ true } 
else { false } 
} 
else { false }
    3. Sélectionner les indicateurs d'identité appropriés pour inclure ces attributs dans les fonctionnalités d'Oracle Access Governance

Etape 3 : Configurer les règles d'activation du personnel/des consommateurs

Accédez à la page Gérer les identités et définissez les règles d'activation suivantes :
  • Pour les utilisateurs actifs :
    Status In Active Disabled
  • Pour les utilisateurs de consommateur :
    Status Equals Disabled

Workflow d'accès droit à la naissance

Vous pouvez configurer l'accès de droit d'accès à partir d'Oracle Access Governance en créant des collections d'identités, des droits d'accès de packaging dans un package d'accès, puis en configurant des stratégies pour garantir que les nouvelles recrues disposent d'un accès essentiel avant ou au début de l'emploi.

  1. Créez une collecte d'identités basée sur les règles d'appartenance. Reportez-vous à Création d'une collection d'identités.
    1. Permet aux utilisateurs d'accorder l'accès à la date de début ou après cette date.
      Status Equals Active
Worker Type Equals Employee
    2. Pour les pré-embauches afin d'accorder l'accès avant la date de début
      {JoinDate} Number of days before {10}
{Terminated} Equals {False}
      Remarque

      • Pour accorder l'accès à la date de début ou après, vous devez ajouter une condition Status Equals Active.
      • Si vous avez configuré la stratégie à l'aide de today(), un planificateur interne ajoute chaque jour un nouveau membre répondant aux critères d'appartenance. En fonction de la configuration, la stratégie est déclenchée tous les jours à minuit.
  2. Créez un bundle d'accès et un accès de package aux autorisations nécessaires. Par exemple, l'accès aux outils de collaboration par défaut. Reportez-vous à la section Create an Access Bundle.
  3. Créez une stratégie et associez la partie des droits d'accès du groupe d'accès à la collection d'identités. Reportez-vous à Gestion des stratégies.

Exemple de pré-embauche

Comprenons le flux de travail complet d'accès au droit de naissance pour les pré-embauches, où l'accès doit être accordé avant la date de début.

Alice devrait rejoindre Acme Corporation le 20 mars. En tant que AG_Administrator et AG_AccessControl_Admin, accordez les droits suivants :

    1. Veillez à configurer les prérequis pour activer les règles de personnel et la date de début d'inclusion dans l'attribut de base joinDate.
    2. Créez une collection d'identités avec la règle d'appartenance :
      {JoinDate} Number of days before {10}
	{Terminated} Equals {False}
    3. Autorisations de package dans un groupe d'accès pour les outils de collaboration ou d'entreprise par défaut. Vous pouvez effectuer une configuration supplémentaire pour vous assurer que Personne ne peut demander ce groupe d'accès et ne doit être accordé qu'à l'aide d'une stratégie.
    4. Créez une stratégie et associez la partie des droits d'accès du groupe d'accès à la collection d'identités.

    Pour Alice, si la date de jointure est le 20 mars, la stratégie est déclenchée le 10 mars pour accorder le droit d'accès.

Validation de la configuration

Vérifiez si le paramétrage est correct.

  1. Dans Administration système, sélectionnez Attributs d'identité, puis activez Inclure dans les détails d'identité et l'indicateur Inclure dans la gestion des identités pour les attributs d'identité suivants : status, startDate, joinDate, terminated, terminationDate et terminationStarted.
  2. Dans Qui a accès à quoi, sélectionnez Navigateur étendu à l'entreprise, sélectionnez les identités, sélectionnez Modifier les paramètres de liste, puis ajoutez les attributs suivants aux paramètres de liste : status, startDate, joinDate, terminated, terminationDate et terminationStarted.
  3. Validez les éléments suivants pour les identités chargées à partir du système source faisant autorité :
    • Les attributs startDate et joinDate doivent être définis sur la même valeur.
    • Les identités avec une valeur startDate dans le futur et une valeur terminationDate qui n'est pas définie ou qui est dans le futur doivent avoir les valeurs suivantes :
      • status=Disabled
      • AG status=Active
      • AG subtype=Consumer
      • terminated=false
    • Les identités avec une valeur startDate dans le passé et une valeur terminationDate qui n'est pas définie ou qui se trouve dans le futur doivent avoir les valeurs suivantes :
      • status=Active
      • AG status=Active
      • AG subtype=Workforce
      • terminated=false
    • Les identités ayant une valeur terminationDate dans le passé doivent avoir les valeurs suivantes :
      • status=Disabled
      • AG status=Active ou Inactive (dépend de la configuration du groupe ; s'il s'agit de collections d'identités actives Oracle Access Governance pour les stratégies de pré-embauche, la condition terminated=false doit être respectée)
      • AG subtype=Consumer (si ces identités sont chargées dans Oracle Access Governance, elles doivent être de type Consommateurs)
      • terminated=true