Documentation Oracle Cloud Infrastructure

Créer un bundle d'accès

Un groupe d'accès est un ensemble d'autorisations qui regroupent l'accès aux ressources, aux fonctionnalités d'application et aux fonctionnalités dans une unité pouvant faire l'objet d'une demande. Un groupe d'accès spécifique sera associé à une seule cible.

Généralités

Avec les groupes d'accès, vous n'avez pas besoin d'accorder l'accès à chaque autorisation individuellement, mais vous pouvez demander le groupe d'accès pour cette ressource. Cela simplifie le processus de provisionnement des comptes avec des droits d'accès aux ressources.

Exemple : vous pouvez créer un groupe d'accès pour les développeurs à l'aide de l'application cible Oracle Apex. Vous pouvez appeler ce groupe Apex Developer Access et sélectionner les droits d'accès Lecture, Modification et Création requis pour qu'un développeur utilise l'application. Lorsqu'un développeur de votre organisation doit demander l'accès d'un développeur à Apex, il doit uniquement demander le bundle, et non les trois autorisations individuelles. Vous pouvez leur affecter automatiquement ces droits d'accès via les stratégies Oracle Access Governance.

Gérer les accès à l'aide des packages d'accès Oracle Access Governance

Vous pouvez gérer les groupes pour Microsoft Entra ID (anciennement Azure Active Directory) et Microsoft Active Directory.

Système orchestré Oracle Cloud Infrastructure (OCI)
Pour les domaines qui gèrent des droits d'accès, les droits d'accès sont packagés en tant que groupes OCI IAM et rôles d'application. Vous pouvez :
  • Affectation de groupe : regroupez les groupes OCI IAM dans un groupe d'accès, qui peut ensuite être affecté à des identités via une stratégie ou une demande d'accès.
  • Affectation de rôles d'application : regroupez les rôles d'application des services cloud OCI dans un groupe d'accès, qui peut ensuite être affecté à des identités via une stratégie ou une demande d'accès.

Accéder au bundle

Pour accéder à la page Access Bundle :

  1. Connectez-vous à Oracle Access Governance Console avec un utilisateur doté de l'application Administrateur ou Administrateur de contrôle d'accès.
  2. Pour accéder à la page Groupe d'accès, vous pouvez sélectionner l'une des options suivantes :
    • Cliquez sur l'icône du menu de navigation Menu de navigation, puis sélectionnez Contrôles d'accès > Lots d'accès.
    • Sur la page d'accueil de la console, cliquez sur l'onglet Contrôles d'accès, puis sur le bouton Sélectionner dans la mosaïque Gérer les groupes d'accès.
    Quelle que soit l'option choisie, vous accédez à la page Groupe d'accès, sur laquelle vous pouvez créer, visualiser et gérer des groupes d'accès.
  3. Pour créer un groupe d'accès, cliquez sur le bouton Créer un groupe d'accès. La page Créer un groupe d'accès apparaît.

Paramètres du bundle

Dans la tâche Paramètres de groupe, vous pouvez saisir les paramètres généraux relatifs à votre groupe d'accès. Vous pouvez également ajouter des balises conviviales qui peuvent être utilisées dans une recherche de ce groupe d'accès lors de la création de stratégies.

  1. Sélectionnez le système orchestré dans le champ Pour quel système ce package est-il destiné ?.
    Les applications disponibles pour sélection dépendent des données ingérées à partir de vos systèmes intégrés.
  2. [OCI-only] Sélectionnez un domaine dans le champ Quel domaine ? à partir duquel sélectionner des rôles d'application ou des groupes OCI IAM.
  3. [OCI-only] Dans le champ Quel type d'autorisation ?, sélectionnez l'un des types suivants :
    • Rôle d'application : permet de packager les rôles d'application OCI dans un groupe d'accès et de les affecter à des identités.
    • Accès de groupe : permet de packager et d'affecter des groupes OCI IAM dans un groupe d'accès.
    Vous ne pouvez pas combiner un rôle d'application et un accès de groupe dans un seul groupe d'accès. Vous pouvez créer un rôle dans Oracle Access Governance et lui associer deux lots d'accès distincts. Elles peuvent ensuite être demandées via des flux en libre-service ou provisionnées via les stratégies Oracle Access Governance. Pour plus d'informations, reportez-vous à Gestion des rôles.
  4. Sélectionnez qui peut demander ce bundle parmi les choix disponibles :
    • Tout le monde : toute identité peut demander l'accès à ce groupe d'accès.
    • Personne : le groupe d'accès ne peut être affecté que par un administrateur via des stratégies. Vous ne pouvez pas demander l'accès à ce lot d'accès via des flux en libre-service.
    • Membres de l'organisation : Seuls les membres d'organisations spécifiques peuvent demander l'accès à ce bundle via des flux en libre-service. Pour plus d'informations sur la gestion d'une organisation Oracle Access Governance, reportez-vous à Création et gestion d'organisations.
  5. Pour Membres de l'organisation, sélectionnez un ou plusieurs noms d'organisation pouvant demander l'accès à ce groupe d'accès.
  6. Sélectionnez le workflow d'approbation approprié dans le champ Quel workflow d'approbation doit être utilisé ?.
    La liste affichée est basée sur les workflows d'approbation personnalisés créés dans la console Oracle Access Governance. Pour plus d'informations, voir Créer un workflow d'approbation.
    Remarque

    Si vous avez sélectionné Personne, ce champ est désactivé car les lots d'accès peuvent être provisionnés à l'aide de stratégies.
  7. Cochez la case Approuver automatiquement les demandes sans violation Access Guardrail ou SoD pour déclencher le workflow d'approbation sélectionné uniquement lorsqu'une demande d'accès entraîne une violation d'une barrière d'accès ou d'une séparation des tâches (SoD), sinon la demande est approuvée automatiquement.
  8. Sélectionnez des balises pour ce groupe d'accès dans le champ Voulez-vous ajouter des balises ?. Par exemple, General-org , Database Admin ou similaire.
  9. Dans la liste Sélectionner une garde-corps d'accès requise pour autoriser l'accès, sélectionnez la garde-corps d'accès appropriée pour appliquer la séparation des tâches ou des contraintes d'accès pour le groupe d'accès. Pour plus d'informations, reportez-vous à Access Guardrails - Application des contraintes de contrôle d'accès préventif.
  10. Cliquez sur Suivant pour accéder à la tâche Sélectionner des droits d'accès.

Sélectionner des autorisations

Dans la tâche Sélectionner des droits d'accès, vous pouvez sélectionner les droits d'accès à inclure dans ce groupe d'accès. Selon le système orchestré, vous pouvez voir des attributs supplémentaires requis pour le provisionnement de compte. Reportez-vous aux articles système orchestrés spécifiques pour en savoir plus sur les attributs par défaut. Pour OCI, vous pouvez sélectionner des groupes ou des rôles d'application OCI IAM.

  1. Sélectionnez des droits d'accès associés à l'application cible. Vous pouvez également utiliser le champ Rechercher pour localiser l'autorisation ou le rôle requis.
  2. Une fois les autorisations sélectionnées, cliquez sur Suivant pour accéder à la tâche Ajouter des détails.

Ajouter des propriétaires principaux et supplémentaires

Vous pouvez associer la propriété des ressources en ajoutant des propriétaires principaux et supplémentaires. Cela entraîne le libre-service car ces propriétaires peuvent ensuite gérer (lire, mettre à jour ou supprimer) les ressources qu'ils possèdent. Par défaut, le créateur de la ressource est désigné comme propriétaire de la ressource. Vous pouvez affecter un propriétaire principal et jusqu'à 20 propriétaires supplémentaires pour les ressources.

Pour affecter la propriété des ressources, vous devez disposer d'utilisateurs Oracle Access Governance actifs. Lorsque vous configurez le premier système orchestré pour votre instance de service, vous ne pouvez affecter des propriétaires qu'après avoir activé les identités à partir de la section Gérer les identités.
Aucun rôle d'application spécial n'est nécessaire pour affecter la propriété des ressources. Tout utilisateur actif d'Oracle Access Governance peut être affecté en tant que propriétaire des ressources. Tous les propriétaires peuvent lire, mettre à jour ou supprimer les ressources qu'ils possèdent. Toutefois, le propriétaire principal est affecté en tant que réviseur d'accès lorsque vous choisissez le modèle Propriétaire dans le workflow d'approbation pour effectuer des révisions de propriété dans les campagnes. Pour plus d'informations, reportez-vous à Types de révision d'accès proposés par Oracle Access Governance.
  1. A partir de l'icône de menu de navigation Oracle Access Governance Menu de navigation, sélectionnez Administration des services → Systèmes orchestrés.
  2. Sélectionnez l'option Gérer l'intégration dans le menu d'actions menu d'actions du système orchestré à configurer. La page Gérer l'intégration s'affiche pour le système orchestré sélectionné.
  3. Dans la section Paramètres système de la page, sélectionnez Gérer dans la mosaïque Paramètres de propriété. La page Paramètres de propriété s'affiche pour le système orchestré sélectionné.
  4. Sélectionnez un utilisateur actif Oracle Access Governance en tant que propriétaire principal dans le champ Qui est le propriétaire principal ?.
  5. Sélectionnez des propriétaires supplémentaires dans la liste Qui d'autre en est le propriétaire ?. Vous pouvez ajouter jusqu'à 20 propriétaires supplémentaires pour la ressource.
    Vous pouvez afficher le propriétaire principal dans la liste. Tous les propriétaires peuvent afficher et gérer les ressources qu'ils possèdent.

Accès à la limite de temps

Définissez une période d'expiration pour limiter l'accès en jours ou en heures. Vous pouvez également autoriser les utilisateurs à demander une extension avant que l'accès ne soit révoqué à l'expiration. L'accès limité dans le temps garantit que les identités n'ont accès qu'à la période requise, ce qui améliore la sécurité.

L'accès limité dans le temps s'applique uniquement aux demandes d'accès en libre-service et ne s'applique pas lorsque l'accès est accordé via une stratégie.
  1. Durée pendant laquelle l'accès doit être accordé : sélectionnez l'une des options suivantes :
    1. Indéfiniment : permet un accès permanent sans limite de temps. L'accès est révoqué uniquement si le compte est révoqué manuellement ou désactivé.
    2. Nombre maximum de jours [1-365] : Entrez le nombre maximum de jours pour accorder l'accès. L'accès sera révoqué après cette période.
    3. Nombre maximum d'heures [1-24] : Entrez le nombre maximum d'heures pour accorder l'accès. L'accès sera révoqué après les heures spécifiées.
  2. Combien de jours/heures avant l'expiration devons-nous envoyer une notification ? : En fonction de votre sélection de jours ou d'heures d'accès, entrez le nombre de jours ou d'heures avant l'expiration pour envoyer une notification par courriel à l'utilisateur.
  3. Quel est le nombre maximum de jours/heures de prolongation autorisé ? : En fonction de votre sélection de jours ou d'heures d'accès, entrez le nombre maximum de jours/heures autorisé pour une prolongation une fois l'accès expiré. Si cela est autorisé, les identités peuvent générer une demande d'extension d'accès en libre-service à partir de la page Mon accès.
    • Si le groupe d'accès est limité dans le temps, la période de prolongation est déterminée par la configuration du groupe d'accès.
    • Si le groupe d'accès est indéfini, les extensions sont autorisées jusqu'à 90 jours par défaut.
  4. Quel workflow d'approbation doit être utilisé pour les demandes d'extension ? : Sélectionnez le workflow d'approbation approprié à utiliser pour approuver les demandes d'extension.

Ajout de détails

Dans cette tâche Ajouter des détails, vous pouvez donner un nom à votre groupe d'accès, ajouter une description complémentaire et joindre un profil de compte.

  1. Entrez le nom du groupe d'accès dans le champ Nom.
  2. Ajoutez une description du groupe d'accès dans le champ de description.
    Remarque

    Les autres champs de l'écran dépendent du type de cible et des droits d'accès sélectionnés dans les tâches précédentes.
  3. Sélectionnez une des actions suivantes pour le champ Voulez-vous utiliser un profil de compte ?. Pour plus d'informations, reportez-vous à Configuration de profils de compte dans Oracle Access Governance.
    • Oui : Sélectionnez un profil de compte dans la liste Quel profil de compte ?.
    • Non : entrez des valeurs dans les autres champs qui s'affichent en fonction du système géré.
  4. Cliquez sur Suivant pour accéder à la tâche Vérifier et soumettre.

Révision et soumission

La tâche Réviser et soumettre affiche les informations que vous avez ajoutées au cours des tâches précédentes.

Si tout semble correct, cliquez sur Créer pour créer le groupe d'accès. Vous pouvez sélectionner des actions d'ajout :
  • Annuler : permet d'annuler le processus.
  • Retour : permet de revenir à l'étape précédente.
  • Enregistrer en tant que brouillon : permet d'enregistrer le lot d'accès en tant que copie provisoire. Le groupe d'accès s'affiche sur l'écran Groupe d'accès avec le statut Brouillon.