Documentation Oracle Cloud Infrastructure

Créer des campagnes de vérification de l'accès aux identités

En tant qu'administrateur ou administrateur de campagne, certifiez les accès aux identités en créant des campagnes de vérification de l'accès aux identités à la demande à partir de la console Oracle Access Governance. Il peut s'agir de campagnes de révision d'accès ponctuelles ou périodiques.

Prérequis

Avant de créer des campagnes de vérification de l'accès aux identités, tenez compte des éléments suivants :

  • Pour créer des campagnes pour les révisions d'accès, vous devez disposer du rôle Administrateur ou Administrateur de campagne d'Oracle Access Governance.
  • Activez les attributs d'identité (principaux et personnalisés) et les affiliations à partir de la page Attributs d'identité. Par exemple, vous devrez peut-être définir vos campagnes en fonction du code projet ou du centre de coûts. Reportez-vous à Affichage et configuration des attributs d'identité personnalisés.
  • Vous devez sélectionner au moins un critère de sélection pour exécuter des campagnes afin d'éviter une consommation importante des ressources.
  • Choisissez le système Oracle Access Governance pour exécuter des révisions d'accès aux identités en fonction des droits d'accès inclus directement à partir des systèmes orchestrés.
  • Pour le système Oracle Access Governance, vous pouvez choisir des droits d'accès affectés directement (DIRECT) ou des groupes d'accès accordés via une demande de la vignette Quelles sont les droits d'accès ?. Les autorisations ou les comptes provisionnés par le biais de la politique ne sont pas admissibles dans cette revue.
  • Vous ne pouvez pas consulter des autorisations et des rôles spécifiques dans une même campagne en tant que Quelles autorisations ? et Quels rôles ? s'excluent mutuellement. Cela signifie que vous pouvez sélectionner l'un des deux lors de la création d'une campagne. Toutefois, vous pouvez vérifier tous les droits d'accès et rôles disponibles lorsque vous sélectionnez Qui a accès ? et A quoi accèdent-ils ?.

Pour plus d'informations sur les campagnes, voir Meilleures pratiques d'utilisation des campagnes.

Accéder aux campagnes

Les campagnes sont créées à partir de la console Oracle Access Governance. Accédez à la page Campagnes pour lancer le processus de vérification de l'accès à la demande.

  1. Connectez-vous à la console Oracle Access Governance.
  2. Pour accéder à l'écran, sélectionnez l'une des options suivantes :
    • Sur la page d'accueil de la console Oracle Access Governance, sélectionnez l'onglet Révisions d'accès. Sélectionnez la mosaïque Définir une nouvelle campagne.
    • Dans le menu de navigation Menu de navigation, sélectionnez Révisions d'accès, puis Campagnes. Sur la page Campagnes, sélectionnez Créer une campagne.
  3. Sélectionnez l'un des types de système pour lesquels vous souhaitez exécuter des campagnes. Pour plus d'informations, voir Types système admissibles pour le lancement de campagnes de révision d'accès.
    Sur la page de workflow Créer une campagne de révision d'accès, définissez les critères de sélection de votre campagne.

Sélectionner des critères pour vos révisions d'accès

Dans la dimension Critères de sélection, vous sélectionnez les critères appropriés pour vos campagnes de vérification de l'accès aux identités. Les attributs configurés sur la page Attributs d'identité sont disponibles en tant que critères de sélection. Tous les critères peuvent être recherchés par nom.

Les mosaïques de sélection sont basées sur le système sélectionné à l'étape précédente. Par exemple, pour Oracle Cloud Infrastructure (OCI), vous pouvez voir des mosaïques supplémentaires, telles que Quelles locations ?, afin de pouvoir sélectionner le compte cloud pour lequel exécuter la révision.
  1. Sélectionnez les vignettes de critères que vous souhaitez inclure dans n'importe quel ordre. Vous n'avez pas besoin de mettre à jour chaque critère. Les valeurs de sélection sont dérivées du système orchestré intégré. Les mosaïques disponibles sont les suivantes :
    OptionDescription
    Qui y a accès ? Filtrer les identités en fonction d'attributs d'identité de base ou personnalisés.
    1. Sélectionnez jusqu'à cinq attributs dans le champ Quels attributs voulez-vous ajouter pour la sélection ?.
    2. Dans chaque onglet, sélectionnez une ou plusieurs valeurs de sélection disponibles.
    A quoi ont-ils accès ? Sélectionnez les identités en fonction de leur accès aux applications ou aux ressources.
    Quels droits d'accès ? Pour sélectionner des identités en fonction de leur accès aux autorisations.
    • Pour Oracle Identity Governance (OIG), vous pouvez sélectionner des habilitations.
    • Pour Oracle Access Governance, vous pouvez sélectionner les droits d'accès affectés directement dans le système géré ou les droits d'accès provisionnés via le package d'accès icône Groupe d'accès via Demande dans Oracle Access Governance. Les autorisations varient en fonction du système orchestré.
    • Pour OCI, vous pouvez consulter les groupes et les rôles d'application OCI IAM affectés via le package d'accès icône Groupe d'accès via Demande dans Oracle Access Governance.
    Quels rôles ? Filtrer les identités en fonction de leurs rôles.
    • Pour Oracle Identity Governance (OIG), vous pouvez sélectionner des rôles affectés directement.
    • Pour Oracle Access Governance, vous pouvez sélectionner des rôles affectés directement dans le système géré ou créés dans Oracle Access Governance.
    • Pour Oracle Cloud Infrastructure (OCI), vous pouvez consulter les rôles d'application des services OCI Cloud affectés directement dans OCI.
    Quelles locations ? Pour filtrer le compte cloud. Sélectionnez le lien Affiner davantage pour sélectionner le compartiment et le domaine de votre compte cloud. Disponible uniquement pour le système de révision d'Oracle Cloud Infrastructure.
    Utilisez le filtre pour sélectionner les valeurs pertinentes. Par exemple, pour la portée Oracle Access Governance, dans la mosaïque Quels droits d'accès ?, sélectionnez Groupe d'accès comme type de droit d'accès accordé et définissez Limité comme limite de temps d'accès pour vérifier les groupes d'accès avec un accès limité dans le temps. Pour Oracle Cloud Infrastructure (OCI), dans la liste Limite de temps d'accès, sélectionnez Limité.
  2. Après avoir sélectionné, sélectionnez Appliquer mes sélections.
  3. Pour mettre à jour vos critères de sélection, cliquez sur le bouton Modifier dans la mosaïque appropriée.
    Le panneau à droite de la page vous montre l'effet de votre sélection et vous fournit une estimation des identités incluses considérées pour vérification.
  4. Une fois votre sélection effectuée, cliquez sur le bouton Je vais bien, accédez aux workflows pour passer à la dimension Affecter un workflow.
    A tout moment, sélectionnez Enregistrer le brouillon pour enregistrer votre campagne et reprendre ultérieurement pour travailler sur les détails.

Ajouter des réviseurs d'accès en sélectionnant le workflow d'approbation

Dans la dimension Affecter un workflow, vous sélectionnez le workflow d'approbation pour votre révision d'accès.

  1. Sélectionnez le workflow d'approbation que vous souhaitez affecter à cette campagne de révision d'accès.
    Une liste des workflows disponibles affiche tous les workflows d'approbation définis dans votre système. Envisagez de sélectionner Self Certification Guardrails et Fallback Mechanism avant de sélectionner le workflow. Pour plus de détails sur la création et la gestion des workflows d'approbation, reportez-vous aux rubriques Créer un workflow d'approbation et Gérer le workflow d'approbation.
  2. Une fois le workflow sélectionné, cliquez sur le lien Afficher le workflow d'approbation pour afficher une représentation graphique du workflow sélectionné.
  3. Sélectionnez la portée de la justification requise pour les décisions de révision. Vous pouvez demander aux réviseurs d'ajouter des commentaires pour toutes les décisions de révision, de révoquer uniquement les décisions ou de laisser le champ de justification facultatif.
  4. Sélectionnez Suivant pour passer à la dimension Ajouter des détails.
    A tout moment, sélectionnez Enregistrer le brouillon pour enregistrer votre campagne et reprendre ultérieurement pour travailler sur les détails.

Ajouter des détails de campagne

Dans la dimension Ajouter des détails, sélectionnez un cycle de planification de campagne, attribuez un nom significatif à votre campagne, ajoutez une description complémentaire et affectez des valeurs à des attributs supplémentaires, tels que le propriétaire de la campagne, ainsi que le moment où la campagne doit commencer ou se terminer.

Pour ajouter des détails, procédez comme suit :
  1. Sélectionnez un cycle de planification approprié dans le champ A quelle fréquence voulez-vous exécuter ?.
  2. Dans Comment voulez-vous nommer cette campagne ?, entrez un nom de campagne unique.
  3. Dans Comment voulez-vous décrire cette campagne, entrez la description de la campagne.
  4. Dans le champ Qui est propriétaire de cette campagne ?, sélectionnez le propriétaire de la campagne.
    Envisagez Self Certification Guardrails et Fallback Mechanism avant d'affecter le propriétaire de la campagne.
  5. Sélectionnez l'une des options suivantes pour les systèmes Oracle Access Governance et Oracle Identity Governance (OIG) :
    OptionDescription
    Inclure les révisions de compte Sélectionnez cette option si vous voulez inclure des révisions d'accès aux identités pour les comptes avec des autorisations. Désélectionnez la case pour exclure les révisions de compte.
    Inclure les révisions de rôle Sélectionnez cette option si vous voulez créer des révisions d'accès aux identités pour les rôles avec des autorisations. Désélectionnez la case pour exclure les révisions de rôle.
    Lors de la vérification des autorisations, les révisions des comptes et des rôles sont incluses par défaut. Si vous excluez à la fois les révisions de compte et de rôle, seules les révisions d'autorisation sont générées.
  6. En fonction du cycle de planification sélectionné à l'étape 1, sélectionnez l'heure à laquelle vous souhaitez lancer la campagne.
    • Sélectionnez Exécuter maintenant ou Programmer ultérieurement pour la période unique. Par défaut, la campagne est définie pour commencer au début de l'heure suivante, le jour suivant la création de la campagne.
    • Pour les séries de campagnes, sélectionnez l'icône de calendrier et sélectionnez les dates et heures de début et de fin de la campagne.
  7. Une fois vos préférences définies, sélectionnez Suivant pour accéder à la dimension Réviser et soumettre.
  8. (Facultatif) Vous pouvez sélectionner l'une de ces actions supplémentaires :
    • Enregistrer un brouillon : permet d'enregistrer vos modifications et de revenir ultérieurement pour modifier le workflow ou les détails.
    • Annuler : permet d'annuler le processus en cours.
    • Retour : permet de revenir à l'étape précédente.

Vérifier et lancer la campagne

Dans la dimension Vérifier et soumettre, vérifiez les détails de la campagne et créez la campagne.

Pour réviser et soumettre votre campagne, procédez comme suit :
  1. Vérifiez les informations sur la campagne. Pour toute modification, cliquez sur le bouton Précédent.
  2. Sélectionnez Create (Créer). La promotion a été planifiée avec succès.