Comprendre les actions des réviseurs pour une certification d'accès efficace
En tant que réviseur d'accès, vous pouvez certifier les privilèges d'accès à l'aide de la fonctionnalité Mes révisions d'accès. Vous pouvez passer en revue les tâches de vérification d'identité, de contrôle d'accès et de propriété, approuver en masse les éléments à faible risque, vérifier les informations analytiques prescriptives fournies par l'IA/ML, passer en revue les éléments à haut risque et prendre des décisions éclairées en fonction des recommandations basées sur l'IA/ML fournies par Oracle Access Governance. Vous pouvez également réaffecter ou déléguer vos tâches d'évaluation à un autre réviseur.
Types de tâche de vérification d'accès dans Oracle Access Governance
Une fois qu'une campagne est lancée, le service Campagnes d'Oracle Access Governance suit activement l'accès pour les identités incluses dans la portée, génère des informations intelligentes et crée les révisions d'accès. Selon le type de révision d'accès, Oracle Access Governance génère des tâches de révision d'identité, de contrôle d'accès et/ou de révision de propriété.
Voici quelques détails sur chaque tâche de révision d'accès :
Tâches de vérification d'identité
Les tâches de révision des identités incluent la certification des droits d'accès aux identités, l'évaluation des comptes utilisateur, des autorisations et des rôles. Ceux-ci sont lancés lorsque vous lancez une tâche de vérification des identités à la demande, ou sont lancés sur l'occurrence d'un événement d'identité, tel qu'un changement de service, un changement de responsable, etc. Une seule campagne peut générer plusieurs tâches de révision. Par exemple, lorsque vous lancez des révisions d'accès aux identités, Oracle Access Governance peut générer des tâches de révision d'accès pour les comptes, les droits d'accès ou les rôles associés à une seule identité sur la page Mes révisions d'accès → Identité.
Oracle Access Governance génère des informations prescriptives et fournit des recommandations afin que les réviseurs puissent prendre une décision éclairée pour approuver ou rejeter l'accès aux identités requis.
Tâches de vérification du contrôle d'accès
Les tâches de vérification du contrôle d'accès incluent l'audit des stratégies Identity and Access Management (IAM) et des collections d'identités, initiées par des campagnes à la demande de vérification de stratégie et de vérification des collections d'identités. Par exemple, lorsque vous lancez la vérification de la stratégie d'administrateur de domaine pour votre location, Oracle Access Governance peut générer des tâches de vérification d'accès pour le type de stratégie sur la page Mes révisions d'accès→ Contrôle d'accès.
Oracle Access Governance génère des informations prescriptives et fournit des recommandations afin que les réviseurs puissent prendre des décisions éclairées pour approuver ou rejeter une stratégie entière à la fois, ou prendre la décision d'approuver ou de rejeter une instruction de stratégie spécifique dans cette stratégie.
Pour une stratégie OCI, les révisions sont limitées aux structures de stratégie de base. Syntaxe avancée incluant la clause "where" qui dépasse la portée de notre fonctionnalité prise en charge.
Tâches de révision de propriété
- Audit des comptes sans correspondance Identity and Access Management (IAM), initié par des révisions d'accès basées sur les événements. Ces tâches vous aident à vérifier les comptes sans correspondance pour les identités dans Oracle Access Governance. Lors de la configuration d'un événement de compte sans correspondance, vous pouvez choisir de supprimer automatiquement les comptes sans correspondance. En tant que réviseur, vous pouvez sélectionner une identité à mettre en correspondance ou supprimer le compte sans correspondance
-
Révision de la propriété des ressources Oracle Access Governance. Ces tâches vous aident à vérifier que seuls les propriétaires autorisés gèrent les ressources Oracle Access Governance. Par exemple, vous pouvez exécuter des campagnes périodiques pour vérifier la propriété de groupe des collections d'identités définies dans Oracle Access Governance.
Vous pouvez afficher toutes les révisions de propriété passées exécutées pour la ressource dans la section Piste de révision d'accès. En fonction du workflow d'approbation sélectionné dans la campagne, le propriétaire principal ou une identité active du personnel Oracle Access Governance est choisi en tant que réviseur. En tant que réviseur, vous pouvez modifier les propriétaires principaux et/ou supplémentaires des ressources, certifier la propriété actuelle ou réaffecter la tâche de révision à un autre utilisateur Oracle Access Governance actif.
Informations intelligentes - Examiner les recommandations en fonction d'analyses prescriptives
Oracle Access Governance utilise des analyses prescriptives pour générer des informations et recommander les actions requises sur les tâches de révision. Cela permet aux réviseurs d'accès de prendre des décisions correctives, de réduire la charge administrative et de réduire les coûts.
L'analyse prescriptive va au-delà de la prédiction et implique des recommandations orientées vers l'action. Ce sont des conseils basés sur les données. Oracle Access Governance effectue des calculs complexes et prend en compte de nombreuses dimensions telles que l'organisation, l'emplacement, la ressource et la sensibilité de cette ressource avant de recommander une décision. A haut niveau, l'analyse de l'autorisation repose sur les facteurs suivants :
- Comparaison avec des pairs qui dépendent du même responsable
- Comparaison avec des pairs qui ont le même code de poste
- Comparaison avec des pairs de la même organisation
- Modifications récentes d'un profil utilisateur
En tant que réviseur, vous obtenez des recommandations basées sur les données qui simplifient le processus de révision et réduisent les efforts manuels impliqués dans l'identification des autorisations anormales. Sur la page Informations, vous pouvez également suivre la trace des vérifications effectuées sur un accès spécifique, nécessaire à des fins d'audit. Vous pouvez également suivre une série de modifications d'événement impliquées pour cet accès. Tous ces détails vous aident à prendre une décision éclairée pour cet accès.
Piste d'audit : Surveiller la révision des accès et les décisions relatives aux demandes d'accès
Dans Oracle Access Governance, la piste d'audit capture l'historique des tâches d'approbation de demande et de révision d'accès. Il enregistre les décisions prises lors des demandes d'accès et des examens, y compris si l'accès a été accepté, rejeté ou révoqué, ainsi que toutes les justifications fournies.
Dans la portée - Ce qu'il suit
- Décisions d'approbation et d'examen de l'accès, y compris les décisions d'accepter, de rejeter ou de révoquer l'accès, avec justifications.
- Approuver et révoquer les événements pour l'accès accordé par les demandes ou les accès affectés directement dans les systèmes gérés (type d'octroi Demande et type d'octroi Direct).
- Révoquer les accès aux identités pour les révisions basées sur des événements qui sont déclenchées lorsque des attributs d'identité sont modifiés. L'accès révoqué via la stratégie n'est pas affiché en cas de modification d'attribut.
- Approbation des demandes d'accès avec violations de séparation des tâches. Ces demandes sont identifiées par l'icône
indiquant que la demande a été approuvée même si des violations de séparation des tâches ont été commises par rapport à Risk Management Cloud. - Révisions d'accès approuvées ou demandées avec justification appropriée. Tous les accès sont identifiés par le
icône d'horloge.
Hors champ d'application - Ce qu'il ne suit pas
- Accès accordé ou révoqué via des stratégies, car ces dernières sont vérifiées au niveau de la stratégie et non au niveau de l'identité.
- Mises à jour effectuées directement dans les systèmes orchestrés. Par exemple, un rôle est supprimé des systèmes orchestrés
Journal des événements de modification récents : Suivi des modifications d'attribut
Le journal des modifications récentes suit les modifications d'attribut d'identité qui sont activées dans la configuration basée sur les événements. Pour les campagnes (non basées sur les événements), il affiche tous les événements de modification pour les attributs pour lesquels l'option Configuration basée sur les événements est activée et qui sont survenus pour l'identité donnée au cours des six derniers mois. Pour les campagnes basées sur des événements, il consigne uniquement les modifications pour l'attribut déclenchant la vérification.
Dans la portée - Ce qu'il suit
- Modification d'attribut, telle que les mises à jour de service, si activée dans la configuration basée sur les événements.
- Modifications d'attribut qui ont déclenché les révisions basées sur les événements pour effectuer une micro-certification.
- Pour les campagnes, les modifications des attributs d'identité, activées pour la configuration basée sur les événements, des six derniers mois.
- Approbation et vérification des demandes d'accès pour les accès accordés par des demandes ou les accès affectés directement dans les systèmes gérés.
- Révocation examinée au moyen d'examens d'accès fondés sur des événements (et non sur des stratégies)
Hors champ d'application - Ce qu'il ne suit pas
- Accès spécifique perdu ou obtenu en raison d'une modification d'attribut.
Exemple : Si le service d'une personne change et que l'attribut de service a été activé dans Configuration basée sur les événements -> Modifier les événements, la valeur d'attribut modifiée s'affiche dans cette section. Elle affiche uniquement la valeur d'attribut modifiée et n'affiche pas l'accès spécifique perdu ou obtenu en raison de la modification de l'attribut. Pour ce scénario de déplacement, tous les accès que l'identité possède actuellement doivent être passés en revue en tant que tâche de révision.
Déléguer vos tâches d'évaluation
La délégation d'une tâche de révision d'accès vous permet de transférer vos tâches de révision à venir à d'autres réviseurs, soit temporairement, soit indéfiniment. En règle générale, vous souhaitez déléguer un élément d'évaluation à un autre réviseur ou à une collection d'identités pendant votre absence, comme les congés.
Avec la délégation, la propriété des éléments d'évaluation ne change pas. Un réviseur de sauvegarde est affecté en l'absence du réviseur prévu afin qu'aucun retard ne se produise. Sur la page Perspectives, le réviseur peut voir des détails complets à partir de la piste de révision d'accès. Par exemple, en tant que responsable en vacances, vous pouvez déléguer vos tâches d'évaluation au chef d'équipe. Pendant votre absence, le chef d'équipe peut continuer à prendre des décisions en votre nom, comme vous pouvez le voir dans la piste de révision d'accès. Cependant, la responsabilité principale de l'examen des tâches de révision d'accès incombe toujours au responsable. Vous pouvez déléguer vos révisions d'accès à l'aide de la fonction en libre-service, à savoir Mes éléments → Mes préférences. Pour plus d'informations, voir Gérer les préférences de délégation.
Réaffectation d'une tâche de révision
La réaffectation d'une tâche de révision d'accès vous permet de changer définitivement de réviseur pour vos tâches de révision en attente pour d'autres réviseurs. Avec la réaffectation, la propriété des éléments d'évaluation change. Les tâches de révision sont déplacées du réviseur d'origine et sont affectées au nouveau réviseur. Seul le nouveau réviseur peut voir les détails de la réaffectation dans la piste de révision d'accès.
En règle générale, vous réaffectez vos éléments de révision en attente en cas de modification de la responsabilité. Par exemple, en tant que responsable sortant de la société, vous pouvez réaffecter vos tâches d'évaluation existantes à votre responsable ou à votre remplaçant. Vos éléments en attente de révision sont déplacés vers le nouveau réviseur.
Modifications en masse - Gestion simultanée de plusieurs éléments de révision
Oracle Access Governance vous permet d'approuver, de rejeter ou de réaffecter plusieurs éléments de révision simultanément, plutôt que de prendre les mêmes décisions individuellement. La révision simultanée de plusieurs éléments réduit la charge administrative et permet de gagner du temps.
Utilisez les recommandations basées sur les données pour prendre efficacement une décision d'approuver ou de rejeter plusieurs demandes à la fois. Par exemple, lorsque vous effectuez des révisions d'accès périodiques pour votre équipe, vous pouvez approuver tous les éléments de révision à faible risque en même temps que la recommandation Accepter. Vous pouvez même sélectionner plusieurs éléments ou tous les éléments pour réaffecter les tâches à un autre réviseur.
- Pour les tâches de révision d'identité, vous pouvez approuver ou rejeter plusieurs tâches de révision simultanément. Vous pouvez même réaffecter plusieurs tâches de révision d'identité à la fois.
- Pour les tâches de contrôle d'accès, pour une stratégie, vous pouvez approuver ou rejeter toutes les instructions en même temps.
- Pour les tâches de contrôle d'accès, pour une collection d'identités, vous pouvez approuver ou rejeter tous les membres en même temps.
- Pour les révisions basées sur les événements, vous pouvez configurer l'approbation automatique des tâches à faible risque. Vous pouvez également configurer la suppression automatique des comptes sans correspondance.
Les modifications en masse combinées à des analyses prescriptives vous permettent d'accélérer le processus, en améliorant l'efficacité opérationnelle sans compromettre la sécurité.
Accepter l'accès temporaire pour les révisions d'accès aux identités
Vous pouvez accepter temporairement l'accès lors de la certification de l'accès d'identité à une autorisation. L'accès peut être accepté pour une période indéterminée ou défini pour expirer en fonction d'une période d'expiration spécifiée.
- Type d'affectation : Autorisation
- Type d'autorisation octroyé : groupe d'accès
La piste d'audit affiche toutes les révisions d'accès liées au temps et l'acceptation limitée dans le temps avec une icône d'horloge .