Documentation Oracle Cloud Infrastructure

Gestion du cycle de vie des comptes - Processus JML (Automated Provisioning for Joiners Movers and Leavers)

Oracle Access Governance prend en charge le provisionnement et le dé-provisionnement automatisés des comptes et des accès en fonction de la phase du cycle de vie des identités. Le cycle de vie des identités implique trois étapes clés - Joiners, Movers et Leavers, généralement connu sous le nom de processus JML. La prise en charge de ce processus implique la création, la modification et la suppression de comptes d'identité et de leurs droits d'accès en fonction de la modification d'attribut dans le système orchestré intégré.

Ce processus garantit que les identités obtiennent automatiquement l'accès requis sans lancer manuellement la demande d'accès. Elle permet non seulement de réduire la charge administrative, mais également d'assurer l'intégrité et la conformité des données. D'autres méthodes de provisionnement sont de demander l'accès manuellement ou directement à partir du système géré. Pour plus d'informations, voir Afficher mes demandes d'accès.

En tant qu'utilisateur doté du rôle AG_ServiceDesk_Admin, vous pouvez gérer directement le cycle de vie des comptes sans workflow d'approbation. Sur la page Gérer les identités → Identités, vous pouvez activer, désactiver, supprimer des comptes ou mettre fin à tous les comptes et accès associés pour une identité. Vous pouvez également réessayer le provisionnement pour les statuts en échec ou en attente, et révoquer les droits d'accès affectés directement ou via des demandes. Pour plus d'informations, reportez-vous à Gestion du cycle de vie des comptes avec le support technique du centre de services.

Avec Oracle Access Governance :

  • Les collaborateurs obtiennent leur droit d'accès lorsqu'ils rejoignent l'entreprise.
  • Les déménageurs obtiennent les accès nécessaires lorsqu'ils changent de rôle, bénéficient de transferts internes ou bénéficient de promotions au sein de l'entreprise.
  • Le compte des sortants est révoqué (supprimé ou désactivé) lorsqu'ils quittent l'entreprise.

Dans Oracle Access Governance, vos informations d'identité sont créées à l'aide d'un ensemble d'attributs d'identité Core et Custom. Chaque fois que vous créez, modifiez ou mettez à jour un enregistrement d'identité dans la source faisant autorité, Oracle Access Governance ingère les données les plus récentes dans l'opération de chargement de données à venir et lance les opérations de provisionnement/de provisionnement correspondantes. Oracle Access Governance atteint ce mécanisme de contrôle d'accès granulaire et flexible à l'aide du modèle de contrôle d'accès basé sur une stratégie (PBAC). Oracle Access Governance affecte l'appartenance aux identités à l'aide des attributs (ABAC (Attribute-Based Access Control)), puis provisionne les identités en fonction de stratégies définies. Une stratégie peut exploiter davantage le modèle de contrôle d'accès basé sur les rôles pour affecter les droits d'accès basés sur les rôles appropriés inclus dans les attributs d'identité.

Opérations prises en charge : Créer un compte, Lire le compte, Affecter des autorisations, Révoquer les autorisations, Modifier le mot de passe, Désactiver le compte, Mettre à jour le compte, Supprimer le compte. Pour plus d'informations, reportez-vous à la documentation du système orchestré spécifique telle que mentionnée dans Intégrations prises en charge dans Oracle Access Governance.

Intégration des employés - Provisionnement des jointures

Lorsqu'un nouvel employé rejoint ou est embauché dans une entreprise, un nouvel enregistrement est créé dans la source faisant autorité, telle qu'Oracle HCM. Une fois les identités intégrées dans Oracle Access Governance, l'accès de droit de naissance ou l'ensemble de comptes et d'autorisations par défaut peuvent être provisionnés, en fonction des configurations de contrôle d'accès effectuées dans Oracle Access Governance.

Le processus de jointure garantit que chaque nouvel employé obtient le compte et les autorisations nécessaires pour démarrer son processus d'intégration.

Lorsqu'une identité est intégrée et active dans Oracle Access Governance, tous les attributs d'identité sont comparés aux stratégies définies. Si une stratégie Oracle Access Governance accorde certains accès de rôle ou de groupe d'accès aux identités appartenant à un service spécifique, elles sont provisionnées pour ce rôle ou ce groupe d'accès.

Scénario : lorsqu'un nouvel employé, Alice, rejoint le service Customer Success de la division Sales, le provisionnement de jointeurs garantit qu'Alice reçoit tous les comptes et autorisations obligatoires applicables à sa division et à son service. Voyons comment y parvenir dans Oracle Access Governance.

Exécution du provisionnement des jointures dans Oracle Access Governance

Dans le scénario ci-dessus, examinons les principales étapes à suivre pour réaliser le provisionnement des jointeurs dans Oracle Access Governance :

  1. En tant qu'administrateur de contrôle d'accès, configurez la configuration de contrôle d'accès comme suit :
    1. Créez une collecte d'identités basée sur les règles d'appartenance. Par exemple, créez une collection d'identités avec la règle d'appartenance Organisation source égale à Ventes et une autre collection d'identités où Service est égal à Témoignage client. Pour plus d'informations, reportez-vous à Création de collections d'identités.
    2. Créez un bundle d'accès ou un rôle, ainsi que l'accès de package aux autorisations nécessaires. Par exemple, créez un groupe d'accès Sales_AB avec les droits d'accès applicables à Sales et un autre groupe d'accès Customer_Success_AB avec les droits d'accès applicables à Customer Success. Pour plus d'informations, reportez-vous à Création d'un bundle d'accès.
    3. Créez une stratégie et associez la partie des droits d'accès du groupe d'accès à la collection d'identités. Par exemple, créez une stratégie Sales_Policy et associez Sales_AB à la collection d'identités Sales. De même, créez Customer_Success_Policy et associez Customer_Success_AB à la collecte d'identités Témoignage client. Pour plus d'informations, reportez-vous à Création d'une stratégie.
  2. La source faisant autorité enregistre un nouvel enregistrement d'un employé. Par exemple, les RH ajoutent un nouvel enregistrement d'Alice avec l'unité opérationnelle Ventes et le service Témoignage client.
  3. Le système orchestré effectue le chargement des données, ingère les données les plus récentes et crée un profil d'identité composite dans Oracle Access Governance. Pour plus d'informations, voir Flux de processus d'orchestration des identités.

Un profil d'identité est créé dans Oracle Access Governance. Les attributs sont mis en correspondance avec les stratégies définies et les opérations de provisionnement appropriées sont déclenchées. Pour les jointeurs, le système orchestré déclenche des opérations de provisionnement de création de compte et d'ajout de données de compte ou d'autorisation pour affecter de nouveaux comptes et autorisations.

Valider le provisionnement des jointures dans Oracle Access Governance

  • En tant qu'administrateur d'accès à l'échelle de l'entreprise, vous pouvez rechercher une identité pour afficher des détails d'identité complets affichant les attributs d'identité, les droits d'accès et les informations de compte. Vous pouvez également afficher les détails de la collection d'identités pour vérifier la nouvelle liste de membres.
  • En tant que gestionnaire d'identités, vous pouvez voir des détails d'identité complets pour les collaborateurs directs dans Qui a accès à quoiAccès de mes collaborateurs directs.
  • En tant qu'utilisateur, vous pouvez valider vos comptes et autorisations à partir de la page Mes élémentsMon accès.

En fonction des paramètres de compte configurés pour le système orchestré, un utilisateur ou un responsable des utilisateurs reçoit une notification chaque fois que de nouveaux comptes sont créés. Par défaut, les notifications sont envoyées à l'utilisateur. Pour plus d'informations, voir Configurer les paramètres des comptes système orchestrés.

Transferts d'employés - Provisionnement des déménageurs

Lorsqu'un employé transfère, transfère ou obtient une promotion en interne au sein d'une organisation, un enregistrement est mis à jour pour cet employé dans la source autorisée. Lors du transfert, l'identité ne doit avoir accès qu'aux privilèges appropriés relatifs au nouveau profil d'emploi. Les comptes et autorisations restants doivent être révoqués en fonction des paramètres de cycle de vie du compte. Vous pouvez réaliser ce provisionnement automatique en fonction des configurations de contrôle d'accès effectuées dans Oracle Access Governance.

Le processus de déplacement garantit que seul le jeu d'autorisations ou de comptes nécessaire et correct est affecté aux employés dont ils ont besoin dans leur nouveau rôle.

Scénario : lorsqu'un employé, Alice, reçoit un transfert interne du service Customer Success au service Cloud Sales de la division Sales, le provisionnement Movers garantit qu'Alice reçoit tous les privilèges applicables à son nouveau rôle, et révoque ou désactive les comptes et autorisations précédents requis par son ancien rôle. Dans cet exemple, Alice continuera à disposer des droits d'accès applicables à la division Ventes, mais obtiendra de nouveaux privilèges pertinents dans le service Cloud Sales. S'il n'est plus applicable, ses comptes précédents sont désactivés ou révoqués, et les autorisations associées aux comptes sont également supprimées. Voyons comment y parvenir dans Oracle Access Governance.

Exécuter le provisionnement des gestionnaires dans Oracle Access Governance

Dans le scénario ci-dessus, examinons les étapes de haut niveau nécessaires pour réaliser le provisionnement des mouvements dans Oracle Access Governance :

  1. En tant qu'administrateur de contrôle d'accès, vous devez disposer de cette configuration minimale, comme suit :
    1. Créez une collecte d'identités basée sur les règles d'appartenance. Par exemple, créez une collection d'identités avec la règle d'appartenance Service égale à Cloud Sales et une autre collection d'identités où Service est égal à Témoignage client. Pour plus d'informations, reportez-vous à Création de collections d'identités.
    2. Créez un bundle d'accès ou un rôle, ainsi que l'accès de package aux autorisations nécessaires. Par exemple, créez un groupe d'accès Cloud_Sales_AB avec les droits d'accès applicables à Cloud Sales et un autre groupe d'accès Customer_Success_AB avec les droits d'accès applicables à Customer Success. Pour plus d'informations, reportez-vous à Création d'un lot d'accès.
    3. Créez une stratégie et associez la partie des droits d'accès du groupe d'accès à la collection d'identités. Par exemple, créez une stratégie Cloud_Sales_Policy et associez Cloud_Sales_AB à Cloud Sales. Pour plus d'informations, reportez-vous à Création d'une stratégie.
  2. La source faisant autorité enregistre une mise à jour pour l'identité. Par exemple, HR met à jour le service d'Alice de Témoignage client vers Cloud Sales.
  3. Le système orchestré effectue le chargement des données, ingère les données les plus récentes et crée un profil d'identité composite dans Oracle Access Governance. En fonction des paramètres de cycle de vie de votre compte pour un système orchestré, les autorisations ou les comptes sont désactivés ou révoqués. Pour plus d'informations, voir Flux de processus d'orchestration des identités.

    Les utilisateurs dotés du rôle AG_ServiceDesk_Admin peuvent révoquer directement les droits d'accès de la page Gérer les identités, à l'aide de l'opération Révoquer le droit d'accès. Le type d'octroi de ces droits d'accès doit être DIRECT ou les groupes d'accès accordés via REQUEST. Vous ne pouvez pas révoquer les droits d'accès pour les systèmes Oracle Cloud Infrastructure (OCI) ou Oracle Identity Governance (OIG). Pour obtenir des étapes détaillées, reportez-vous à Révoquer un ou plusieurs droits d'accès pour un compte.

Valider le provisionnement des gestionnaires dans Oracle Access Governance

Pour les déplacements, le système orchestré déclenche généralement les opérations suivantes :
  • Pour dissocier d'anciens droits d'accès aux comptes d'identité, il déclenche l'enlèvement des données de compte ou d'autorisation.
  • Pour désactiver les comptes, Mettre à jour le compte est déclenché ou pour supprimer les comptes, Révoquer est déclenché.
  • Pour associer de nouveaux comptes et autorisations, il déclenche les actions Créer un compte et Ajouter des données de compte ou d'autorisation.
  • Si seuls les droits d'accès sont différents, le compte reste activé, mais les opérations Ajouter des données de compte ou d'autorisation et/ou Supprimer des données de compte ou d'autorisation sont déclenchées pour mettre à jour les droits d'accès pour ce compte.
  • Si un compte désactivé est activé, il déclenche la mise à jour de compte, ainsi que l'ajout de données de compte ou d'autorisation et/ou la suppression de données de compte ou d'autorisation.
Vous pouvez vérifier les modifications dans la console Oracle Access Governance :
  • En tant qu'administrateur d'accès à l'échelle de l'entreprise, vous pouvez rechercher une identité et afficher des détails d'identité complets affichant des attributs d'identité, des droits d'accès et des informations de compte. Vous pouvez également afficher les détails de la collection d'identités pour vérifier la nouvelle liste de membres.
  • En tant qu'utilisateur, vous pouvez valider vos comptes et autorisations à partir de la page Mes élémentsMon accès.

En fonction des paramètres de compte configurés pour le système orchestré, un utilisateur ou un responsable des utilisateurs reçoit une notification chaque fois que de nouveaux comptes sont créés. Par défaut, les notifications sont envoyées à l'utilisateur. Les comptes existants peuvent être supprimés ou désactivés en fonction des paramètres de compte. Pour plus d'informations, voir Configurer les paramètres des comptes système orchestrés.

Employés hors-bord - Annulations de provisionnement

Lorsqu'un employé quitte l'entreprise, un enregistrement est supprimé ou désactivé dans la source faisant autorité. Lors de la fermeture, tous les comptes et privilèges associés affectés à cette identité seront supprimés ou désactivés du système géré.

Le processus de départ garantit que tous les comptes et droits d'accès affectés à l'identité sont automatiquement révoqués à leur sortie. Lorsqu'une identité se ferme et est marquée comme inactive dans Oracle Access Governance, les accès aux identités sont révoqués ou désactivés en fonction des paramètres de compte.

Les utilisateurs dotés du rôle AG_ServiceDesk_Admin peuvent révoquer directement les droits d'accès de la page Gérer les identités, à l'aide de l'opération Révoquer le droit d'accès. Le type d'octroi de ces droits d'accès doit être DIRECT ou les groupes d'accès accordés via REQUEST. Vous ne pouvez pas révoquer les droits d'accès pour les systèmes Oracle Cloud Infrastructure (OCI) ou Oracle Identity Governance (OIG). Pour obtenir des étapes détaillées, reportez-vous à Révoquer un ou plusieurs droits d'accès pour un compte.

Les utilisateurs dotés du rôle AG_ServiceDesk_Admin peuvent désormais désactiver directement les comptes gérés par Oracle Access Governance à partir de la page Gérer les identités, à l'aide de l'opération Désactiver le compte. Une fois désactivés, tous les accès associés sont révoqués. Les comptes peuvent toujours être gérés par Oracle Access Governance. Pour obtenir des étapes détaillées, reportez-vous à Désactivation et activation d'un compte géré par Oracle Access Governance.

Scénario : lorsqu'un employé, Alice, quitte l'entreprise, le déprovisionnement des sorties garantit que tous les comptes et autorisations affectés applicables à son rôle sont révoqués (supprimés ou désactivés). Voyons comment y parvenir dans Oracle Access Governance.

Exécution de l'annulation du provisionnement dans Oracle Access Governance

Dans le scénario ci-dessus, examinons les étapes de haut niveau impliquées pour réaliser le dé-provisionnement des leavers dans Oracle Access Governance :

  1. En tant qu'administrateur de contrôle d'accès, vous devez disposer de cette configuration minimale, comme suit :
    1. Collecte d'identités basée sur des règles d'appartenance. Pour plus d'informations, reportez-vous à Création de collections d'identités.
    2. Un bundle d'accès ou un rôle où les autorisations nécessaires sont regroupées. Pour plus d'informations, reportez-vous à Créer un groupe d'accès et à Gérer les rôles.
    3. Stratégie qui associe les droits d'accès (via le package d'accès) à la collecte d'identités. Pour plus d'informations, reportez-vous à Création d'une stratégie.
  2. Source autorisée désactive un enregistrement existant d'un employé dans le système.
  3. Le système orchestré effectue le chargement des données et ingère les dernières données. Pour plus d'informations, voir Flux de processus d'orchestration des identités.

Lorsqu'un profil d'identité est désactivé et que le chargement des données réussit, une tâche de provisionnement Révoquer ou Mettre à jour le compte est déclenchée pour supprimer ou désactiver les comptes de l'identité. Les droits d'accès associés au compte sont révoqués et Enlever les données de compte ou de droit d'accès est déclenché pour enlever les droits d'accès du système géré. Pour plus d'informations, voir Configurer les paramètres des comptes système orchestrés.