Documentation Oracle Cloud Infrastructure

Gérer les attributs d'identité

Les attributs d'identité font référence aux propriétés d'une identité, telles que le nom, le lieu, le code travail, le nom de l'organisation, etc. Une fois que vous avez intégré des systèmes source faisant autorité, un profil d'identité global contenant des attributs Core et Custom et des affiliations dans Oracle Access Governance est créé en interne.

Comprendre la composition d'un profil d'identité global

Les identités d'Oracle Access Governance sont créées à partir d'attributs de base, d'attributs personnalisés et d'affiliations. Une fois que vous avez intégré vos sources faisant autorité, Oracle Access Governance crée un profil d'identité global. En outre, vous pouvez ajouter vos propres attributs propres au système pour représenter des attributs complexes ou une relation entre ces attributs.


Attributs d'identité dans Oracle Access Governance

Au cours du processus d'assimilation des données, vous pouvez appliquer une transformation entrante et mettre en correspondance des attributs d'identité.

En fonction des attributs inclus, un profil d'identité global est créé. Ce profil comprend des attributs de base, des attributs personnalisés et des affiliations définies par l'utilisateur. Vous pouvez également définir vos propres attributs système simples ou complexes selon vos besoins.
  • Attributs de base : attributs d'identité normalisés corrigés reconnus par le schéma Oracle Access Governance, obligatoires pour effectuer l'opération de gestion des accès et de révision.
  • Attributs personnalisés : Attributs supplémentaires non standard, simples ou complexes, créés pour répondre à des besoins métier spécifiques au-delà de l'ensemble standard. Vous pouvez gérer les attributs système par défaut ou en créer de nouveaux pour un système orchestré particulier. Les attributs personnalisés peuvent être des attributs système, appartenant à un système orchestré spécifique ou des attributs AG.
    • Attributs système : propriétés d'identité d'un système orchestré intégré. Les valeurs de ces attributs peuvent être dérivées de sources faisant autorité ou via une règle. Par exemple, code emploi, relation de travail, statut de l'employé inclus à partir de sources faisant autorité et synchronisés régulièrement.
      Remarque

      Pour gérer les attributs système, accédez à la page Gérer les intégrationsAttributs d'identité du système. Reportez-vous à Modification des paramètres d'intégration pour un système orchestré.
    • Attributs d'AG : créés et utilisés exclusivement dans Oracle Access Governance et jamais mis en correspondance à partir d'une source faisant autorité. Sa valeur est toujours générée par des règles. Par exemple, risk score, statut d'Oracle Access Governance.
  • Affiliations : les affiliations sont des constructions définies par l'utilisateur et basées sur des règles qui permettent à une même identité d'avoir plusieurs personas (par exemple, Employé et Sous-traitant) avec des données, des comptes et un accès distincts. Les affiliations exposent également les attributs enfant à partir d'attributs (de tableau) complexes afin que ces valeurs puissent être utilisées pour exécuter des campagnes, créer des collections d'identités et des règles de stratégie. Les indicateurs d'utilisation peuvent uniquement être définis sur les attributs exposés par affiliation, et non sur l'attribut de tableau d'origine. Reportez-vous à Gestion des identités avec plusieurs affiliations.

Vous pouvez utiliser ces attributs et affiliations dans Oracle Access Governance pour exécuter diverses fonctions, telles que l'exécution de campagnes de révision d'accès, le choix des identités pour les collections d'identités ou l'application de conditions d'attribut pour activer/désactiver le jeu de données d'identité disponible.

Exemples :
  • Lors de la création d'une campagne, un administrateur de campagne sélectionne des attributs personnalisés - Centre de coûts et ID de service pour affiner les critères de sélection de la campagne afin d'exécuter des campagnes de vérification d'accès.
  • Lors de la création d'une collection d'identités, un administrateur peut appliquer des règles d'appartenance à l'aide des attributs de base et personnalisés. Par exemple, pour créer une liste des employés de la direction pour l'organisation Comptabilité, créez une collection d'identités pour inclure les employés dont le niveau de fonction est Directeur et supérieur, et l'organisation est Comptabilité.

Visualisation des attributs

Vous pouvez afficher et rechercher les attributs de base disponibles, les attributs d'identité personnalisés et les affiliations constituant le profil d'identité global.

Affichez les attributs d'identité globaux disponibles :
  1. Dans la console Oracle Access Governance, dans le menu de navigation Menu de navigation, sélectionnez Administration, puis Attributs d'identité.
    La page Attributs d'identité apparaît. Vous pouvez afficher les détails de l'identité, y compris les affiliations principales, personnalisées et définies pour le profil d'identité global.
    Remarque

    Pour afficher et gérer les attributs système, accédez à la page Gérer les intégrations de ce système orchestré. Pour plus d'informations, reportez-vous à Gestion des paramètres pour votre système orchestré.

Afficher les informations sur l'attribut

Vous pouvez afficher les détails d'attribut suivants :
Champ Description
Nom de l'attribut Nom d'attribut d'origine disponible dans le système orchestré connecté à Oracle Access Governance.
Système orchestré Nom du système orchestré à partir duquel l'attribut est renseigné.
Type d'attribut Noyau, personnalisé ou affiliation
Nom d'affichage Nom d'attribut unique qui sera utilisé dans la console Oracle Access Governance pour une identification et une utilisation faciles.
Type de données Type de données de l'attribut, tel qu'entier, booléen, date, tableau.
Indicateurs d'identité
  • Détails de l'identité : si cette option est sélectionnée, les attributs sont affichés dans :
    • Fonctionnalité Qui a accès à quoi, dans laquelle vous pouvez afficher uniquement les attributs d'identité sélectionnés.
    • L'onglet Attribut d'identité > Page de détails de l'identité affiche uniquement les attributs sélectionnés.
    • Fonctionnalité Mes révisions d'accès dans laquelle vous pouvez effectuer des révisions d'accès et consulter les informations clés de révision.

    Vous pouvez sélectionner jusqu'à 250 attributs pour cette fonction

  • Sélection de la campagne : Si cette option est sélectionnée, l'attribut est disponible pour utilisation dans les campagnes de révision d'accès utilisateur.
  • Configuration basée sur les événements : si cette option est sélectionnée, l'attribut peut être utilisé dans la configuration de déclencheurs basés sur les événements pour les révisions d'accès aux identités.
  • Gérer les identités : si cette option est sélectionnée, l'attribut peut être utilisé dans la configuration des règles d'activation pour gérer les identités à partir d'Oracle Access Governance et pour activer les attributs personnalisés lors de la création d'une collection d'identités.

Rechercher et filtrer les attributs personnalisés

Utilisez le champ Rechercher pour localiser l'attribut requis par son nom. Vous pouvez gérer un grand ensemble d'attributs en appliquant des filtres basés sur les filtres suggérés. Par exemple, si vous sélectionnez Détails de l'identité sur, tous les attributs pour lesquels l'indicateur Détails de l'identité est activé s'affichent.

Dans l'angle supérieur droit de la page, sélectionnez un système orchestré pour afficher les attributs propres à ce système orchestré. Si vous sélectionnez Aucun système disponible, la liste des attributs qui ne sont associés à aucun système orchestré actif s'affiche.

Créer et gérer des paramètres d'attribut personnalisés

Vous pouvez créer ou modifier des attributs personnalisés, notamment mettre à jour le système orchestré à partir duquel l'attribut est alimenté, modifier le nom d'affichage, appliquer des règles pour effectuer des transformations de données sur la valeur entrante et inclure/exclure l'utilisation de l'attribut pour certaines fonctionnalités Oracle Access Governance.

  • Attributs système : propriétés d'identité d'un système orchestré intégré. Les valeurs de ces attributs peuvent être dérivées de sources faisant autorité ou via une règle. Par exemple, code emploi, relation de travail, statut de l'employé inclus à partir de sources faisant autorité et synchronisés régulièrement. Reportez-vous à Créer un attribut système et à Créer un attribut d'identité complexe pour un système orchestré.
  • Attributs d'AG : créés et utilisés exclusivement dans Oracle Access Governance et jamais mis en correspondance à partir d'une source faisant autorité. Sa valeur est toujours générée par des règles. Par exemple, score de risque, statut Oracle Access Governance. Reportez-vous à Création d'un attribut Oracle Access Governance.
Remarque

Pour créer des attributs système, accédez à la page Gérer les intégrationsAttributs d'identité du système. Reportez-vous à Modification des paramètres d'intégration pour un système orchestré.
Pour gérer les attributs d'identité globaux, dans la console Oracle Access Governance, dans le menu de navigation Menu de navigation, sélectionnez Administration des services → Attributs d'identité.

Créer un attribut système

Créez des attributs simples ou complexes définis par l'utilisateur propres à un système orchestré. Vous pouvez approvisionner les valeurs de ces attributs directement à l'aide d'une transformation entrante ou d'affiliations.

Les attributs d'identité personnalisés prennent en charge les types de données simples et complexes. Vous pouvez les utiliser pour exécuter diverses fonctions, telles que l'exécution de campagnes de révision d'accès, le choix d'identités pour les collections d'identités ou l'application de conditions d'attribut pour activer/désactiver le jeu de données d'identité disponible.
Vous pouvez créer deux types d'attribut :
  • Attributs simples : les attributs simples utilisent des types de données primitifs tels que chaîne, date, entier, booléen ou long. Vous pouvez configurer des attributs simples en tant qu'attributs à valeur unique ou à valeurs multiples.
  • Attributs complexes : les attributs complexes sont composés d'un ou de plusieurs attributs enfant imbriqués, représentés sous forme de tableaux. Par exemple, un attribut d'adresse avec rue, ville et code postal en tant qu'attributs enfant.

Pour créer des attributs système simples pour un système orchestré, procédez comme suit :

  1. A partir de l'icône de menu de navigation Oracle Access Governance Menu de navigation, sélectionnez Administration des services → Systèmes orchestrés.
  2. Sélectionnez l'option Gérer l'intégration dans le menu d'actions menu d'actions du système orchestré à configurer. La page Gérer l'intégration du système orchestré sélectionné s'affiche.
  3. Dans la section Paramètres de données, sélectionnez Gérer dans la mosaïque Attributs d'identité.
    Cette mosaïque n'est disponible que pour les systèmes orchestrés prenant en charge les sources faisant autorité.
  4. Dans l'onglet Attributs, sélectionnez + Créer un attribut système.
    La page Créer un attribut d'identité pour ce système apparaît.
Ajouter des détails
  1. Quel est le nom d'affichage ? : entrez le nom d'affichage d'attribut à utiliser sur la console.
  2. Qu'est-ce que le type de données ? : sélectionnez l'un des types de données simples.
  3. Cliquez sur Suivant.
Source de valeur
  1. Si la valeur de l'attribut est dérivée à l'aide de la transformation entrante, cochez la case Inclus dans les données entrantes dans le système. Reportez-vous à Référence des règles de transformation des données.
  2. Cochez la case Prend en charge plusieurs valeurs si plusieurs valeurs sont autorisées pour l'attribut défini.
  3. Cliquez sur Valider.

    Si la règle est valide, un message de confirmation s'affiche et la règle est marquée comme validée. En cas de problème avec la règle, un message d'erreur s'affiche et la règle est marquée comme non valide. Vous ne pouvez pas sauvegarder votre règle si elle est marquée comme non valide.

Créer un attribut d'identité complexe pour un système orchestré

Créer des attributs d'identité complexes personnalisés propres à un système orchestré. Les attributs complexes, composés d'au moins un attribut enfant imbriqué, sont représentés sous la forme de tableaux. Par exemple, un attribut d'adresse avec rue, ville et code postal en tant qu'attributs enfant.

Les attributs personnalisés complexes, tels que jobCode, sont représentés sous forme de tableaux sur la page Gérer les attributs d'identité. Seul, le tableau jobCode ne peut pas être directement utilisé ou référencé, sauf si vous créez une affiliation. En outre, les indicateurs d'utilisation ne peuvent être mis à jour et gérés que sur ces attributs d'affiliation. Vous ne pouvez pas mettre à jour directement les indicateurs d'utilisation pour les attributs personnalisés de type complexe ou tableau.

Pour créer des attributs système complexes pour un système orchestré, procédez comme suit :

  1. A partir de l'icône de menu de navigation Oracle Access Governance Menu de navigation, sélectionnez Administration des services → Systèmes orchestrés.
  2. Sélectionnez l'option Gérer l'intégration dans le menu d'actions menu d'actions du système orchestré à configurer. La page Gérer l'intégration du système orchestré sélectionné s'affiche.
  3. Dans la section Paramètres de données, sélectionnez Gérer dans la mosaïque Attributs d'identité.
    Cette mosaïque n'est disponible que pour les systèmes orchestrés prenant en charge les sources faisant autorité.
  4. Dans l'onglet Attributs, sélectionnez + Créer un attribut système.
    La page Créer un attribut d'identité pour ce système apparaît.
Ajouter des détails
  1. Quel est le nom d'affichage ? : entrez le nom d'affichage d'attribut à utiliser sur la console.
  2. Quel est le type de données ? : sélectionnez Complexe.
  3. Par quel attribut est-il référencé de manière unique ? : entrez un identificateur unique pour distinguer une entrée d'une autre, par exemple employeeRecord.
  4. Cliquez sur Suivant.
Source de valeur
  1. Quel est le nom de l'attribut système ? : Entrez le nom de l'attribut système pour cet attribut. Par exemple, jobData.
    Les attributs complexes sont à valeurs multiples et leurs attributs enfant peuvent être référencés une fois que vous avez créé des affiliations.
  2. Vérifiez les informations, puis cliquez sur Créer. La page de détails Attribut complexe personnalisé apparaît pour ajouter des attributs enfant.
Ajouter un attribut enfant
  1. Cliquez sur +Create un attribut enfant.
  2. Suivez les mêmes étapes que pour ajouter un attribut simple. Pour plus d'informations, reportez-vous à Créer un attribut système.
  3. Répétez ce processus pour ajouter des attributs enfant supplémentaires.

Créer un attribut Oracle Access Governance

Créez un attribut d'AG défini et calculé dans le système Oracle Access Governance et non associé à un système orchestré. Vous pouvez l'utiliser pour définir les fonctionnalités d'Oracle Access Governance, telles que les garde-corps, les collections d'identités, ou pour créer des règles de mise en correspondance ou pour les valeurs dérivées.

Les attributs AG sont représentés par le système interne.
  1. Sur la page Attributs d'identité, sélectionnez + Créer un attribut AG.
    La page Créer un attribut d'identité AG apparaît.
Ajouter des détails
  1. Que doit appeler AG ? : Entrez le nom de l'attribut.
  2. Quel est le nom d'affichage ? : entrez le nom d'affichage d'attribut à utiliser sur la console.
  3. Qu'est-ce que le type de données ? : sélectionnez l'un des types de données primitifs, tels que Booléen, Long, Nombre, Entier et Chaîne.
  4. Cliquez sur Suivant.
Ajouter une règle
  1. Entrez la règle à appliquer à cette opération/à cet attribut. Pour plus d'informations, reportez-vous à Référence des règles de transformation des données.
  2. Cliquez sur Valider.

    Si la règle est valide, un message de confirmation s'affiche et la règle est marquée comme validée. En cas de problème avec la règle, un message d'erreur s'affiche et la règle est marquée comme non valide. Vous ne pouvez pas sauvegarder votre règle si elle est marquée comme non valide.

Configurer l'utilisation
  1. Cochez la case appropriée pour inclure l'attribut de la fonction. Reportez-vous à Affichage des détails d'attribut.
  2. Cliquez sur Suivant et effectuez la révision finale.
  3. Cliquez sur Créer.

Gérer les attributs d'identité globaux

Vous pouvez modifier les attributs d'identité en mettant à jour le système orchestré à partir duquel l'attribut est alimenté et en appliquant des règles pour modifier la valeur de l'attribut.

Pour modifier les attributs d'identité globaux, procédez comme suit sur la page Attributs d'identité :
  1. Dans la console Oracle Access Governance, dans le menu de navigation Menu de navigation, sélectionnez Administration des services → Attributs d'identité.
  2. Pour un attribut d'identité spécifique, cliquez sur l'icône Icône Modifier Modifier correspondant à l'attribut à modifier.
    Les champs d'attribut d'identité sont affichés en mode modifiable, ce qui vous permet de mettre à jour les attributs en une seule opération de modification.
  3. Pour mettre à jour le système orchestré à utiliser pour renseigner l'attribut, sélectionnez un système orchestré approprié dans la liste Quel système orchestré ?.

    Pour le système orchestré Oracle Cloud Infrastructure (OCI), une option supplémentaire est affichée, Quel domaine ?. Si votre location OCI comporte plusieurs domaines, sélectionnez un domaine OCI Identity and Access Management approprié à utiliser comme source d'informations fiables pour vos identités.

  4. Utilisez une valeur d'attribut direct ou ajoutez une règle :
    1. Dans Renseigné, sélectionnez le lien Modifier.
    2. Pour utiliser la valeur d'attribut telle quelle sans transformation de données, sélectionnez Utiliser directement la valeur <nomattribut>. Cette action affiche la valeur Directement dans le champ Renseigné.
    3. Pour appliquer des règles, sélectionnez Créer une règle autour du <nomattribut>.
    4. Entrez la règle et cliquez sur Valider pour vérifier la syntaxe. Pour plus de détails sur la syntaxe, voir Transformation des données pour les règles entrantes et sortantes. Vous ne pouvez pas appliquer de règles à des attributs imbriqués (<parent>.<enfant>).
    5. Cliquez sur Appliquer. Cette action affiche la valeur Par règle dans le champ Renseigné.
  5. Sélectionnez les indicateurs d'identité appropriés pour inclure des attributs dans la fonctionnalité.
    OptionDescription
    Inclure dans les détails d'identité Si cette option est sélectionnée, les attributs s'affichent dans :
    • Fonctionnalité Qui a accès à quoi, dans laquelle vous pouvez afficher uniquement les attributs d'identité sélectionnés.
    • L'onglet Attribut d'identité > Page de détails de l'identité affiche uniquement les attributs sélectionnés.
    • Fonctionnalité Mes révisions d'accès dans laquelle vous pouvez effectuer des révisions d'accès et consulter les informations clés de révision.
    Inclure dans les sélections de campagne Si cette option est sélectionnée, l'attribut est disponible pour utilisation dans les campagnes de révision de l'accès utilisateur.
    Inclure dans les révisions d'accès basées sur un évt Si cette option est sélectionnée, l'attribut est disponible pour l'exécution de micro-certifications et il est utilisé dans la configuration de déclencheurs basés sur des événements pour les révisions basées sur des événements.
    Inclure dans la gestion des identités Si cette option est sélectionnée, l'attribut peut être utilisé dans la configuration des règles d'activation pour gérer les identités à partir d'Oracle Access Governance et pour activer les attributs personnalisés lors de la création d'une collection d'identités.
  6. Après avoir effectué vos modifications, cliquez sur tick Appliquer. Cela préserve vos changements. Vous pouvez continuer à modifier d'autres attributs après le même processus.
  7. Cliquez sur Enregistrer pour appliquer vos modifications et mettre à jour tous les attributs en même temps.
    La colonne Dernière mise à jour par affiche le nom de l'administrateur qui a effectué la mise à jour la plus récente.

Extraire les derniers attributs personnalisés

Actualise uniquement les objets de schéma et n'inclut pas les données. Exécutez le chargement de données ou attendez que le prochain chargement de données remplisse les valeurs. Les attributs cryptés ne sont jamais extraits ni affichés.

  1. A partir de l'icône de menu de navigation Oracle Access Governance Menu de navigation, sélectionnez Administration des services → Systèmes orchestrés.
  2. Sélectionnez l'option Gérer l'intégration dans le menu d'actions menu d'actions du système orchestré à configurer. La page Gérer l'intégration du système orchestré sélectionné s'affiche.
  3. Dans la section Paramètres de données, sélectionnez Gérer dans la mosaïque Attributs d'identité.
    Remarque

    Cette mosaïque n'est disponible que pour les systèmes orchestrés prenant en charge les sources faisant autorité.
  4. Sélectionnez Extraire les attributs, puis Extraire.
Remarque

Cette action n'assimile pas les données d'attribut du système orchestré, mais charge uniquement les objets de schéma. Pour extraire et utiliser les données des attributs, vous devez attendre la prochaine opération de synchronisation de données programmée ou exécuter manuellement l'opération de chargement de données. Reportez-vous à la rubrique Configuration des paramètres d'un système orchestré.

Exigences et règles de gestion des attributs d'identité

Les attributs d'identité sont régis par certaines exigences et règles. Voici quelques-unes d'entre elles :

  • Un attribut personnalisé crypté dans votre schéma ne sera pas disponible dans Oracle Access Governance et ne s'affichera pas sur la page Attributs d'identité.
  • Vous pouvez créer des attributs simples et complexes personnalisés. Les attributs simples font automatiquement partie du profil d'identité global et les attributs complexes personnalisés sont affichés via des affiliations.
  • Vous pouvez choisir d'utiliser la valeur d'attribut personnalisé directement ou de modifier la valeur de l'attribut en appliquant des règles de transformation. Par exemple, concaténer le numéro d'employé avec le prénom pour définir un nom d'affichage.
  • Vous ne pouvez pas modifier un attribut complexe défini en tant que tableau.
  • Si vous modifiez un attribut imbriqué (<parent>.<enfant>), la liste des attributs dépendants supplémentaires sera affectée et affichée. Par exemple, si vous mettez à jour le système orchestré pour l'attribut name.firstName. Pour garantir l'intégrité des données, le nom de famille de l'identité doit provenir du même système orchestré, de sorte qu'un message s'affiche : This will also change the orchestrated system for attributes : name.lastName. Lorsque vous enregistrez la modification, les deux attributs sont mis à jour.
  • Pour le système orchestré Oracle Cloud Infrastructure (OCI), une option supplémentaire est affichée, Quel domaine ?. Si votre location OCI comporte plusieurs domaines, sélectionnez un domaine OCI Identity and Access Management approprié à utiliser comme source d'informations fiables pour vos identités. Si vous avez déjà exécuté un chargement de données à partir de votre système OCI Orchestrated, vous pouvez effectuer une sélection parmi la liste des domaines disponibles inclus dans le système OCI. Si le chargement de données n'a pas été exécuté, vous pouvez saisir le nom de domaine en texte libre.
  • Dans les cas où des attributs personnalisés complexes sont définis, tels que le code emploi, représentés sous forme de tableaux
    jobCode{
  Attr1,
  Attr2,
}
    Par lui-même, le tableau jobCode ne peut pas être directement référencé ou utilisé dans les fonctionnalités Oracle Access Governance, sauf si vous créez une affiliation. Les affiliations fournissent un mécanisme permettant d'exposer des attributs enfant individuels à partir d'attributs complexes en définissant les attributs d'affiliation correspondants. Grâce aux règles d'affiliation, vous pouvez mapper des valeurs de l'attribut complexe avec des attributs d'affiliation spécifiques. En outre, les indicateurs d'utilisation ne peuvent être mis à jour et gérés que sur ces attributs d'affiliation. Les mises à jour directes des indicateurs d'utilisation ne sont pas disponibles pour les attributs complexes ou de type tableau d'origine.