Documentation Oracle Cloud Infrastructure

Gouvernance d'accès

Les violations de sécurité coûtent des millions de dollars aux entreprises chaque année. La force de la sécurité est seulement aussi forte que le maillon le plus faible. Vous devez respecter les exigences réglementaires tout en protégeant les informations client. La clé pour assurer la conformité est de gagner en visibilité sur les informations de sécurité, telles que le type d'accès autorisé dans l'ensemble de votre infrastructure. Vous devez également examiner périodiquement les informations d'accès pour vous assurer que les bonnes personnes ont le bon niveau d'accès aux bonnes ressources. Pour ce faire, automatisez les tâches connexes et facilitez la prise de décisions en matière de sécurité pour votre organisation.

Au fur et à mesure que les entreprises se développent et évoluent dans un environnement multicloud, le maintien de la bonne posture de sécurité devient un défi plus important. Avec l'augmentation du nombre de systèmes sur site et dans le cloud, la gestion des identités et de l'accès aux systèmes devient de plus en plus complexe. Le contrôle manuel ne fonctionne plus efficacement. Des solutions automatisées et intelligentes utilisant l'intelligence artificielle (IA) et le machine learning (ML) sont nécessaires pour une gouvernance efficace. Cela s'applique à un certain nombre de tâches liées à la sécurité, telles que le provisionnement et le déprovisionnement des utilisateurs, le contrôle d'accès basé sur le workflow et la visibilité sur les personnes disposant d'un accès, de révisions d'accès et de certifications.

Lorsque les identités ne sont pas gouvernées, elles peuvent poser plusieurs problèmes et risques pour l'entreprise. Les informations suivantes résument ces défis :

  • Il y a un manque de visibilité sur qui a accès à quoi, augmentant les risques.
  • Lorsque cette case n'est pas cochée, les privilèges d'accès s'accumulent.
  • Les stratégies trop permissives et généralisées accordent des autorisations larges ou sans restriction.
  • Les environnements multicloud et hybrides entraînent la duplication des identités et des incohérences entre les systèmes.
  • La gestion et la gestion des identités et de l'accès manuel entraînent des problèmes de complexité et d'évolutivité.
  • L'agrégation, la corrélation et l'orchestration des données d'identité et de droits d'accès sont réparties dans tout votre écosystème informatique, ce qui entraîne des incohérences.
  • Le manque d'analyses en temps réel conduit à une prise de décision basée sur des informations d'identité et d'accès obsolètes.

Pour relever ces défis, implémentez des solutions basées sur des fonctionnalités avancées de gouvernance et d'administration des identités (IGA) qui fournissent des capacités intelligentes en temps réel (telles que des analyses prescriptives) pour identifier les anomalies et atténuer les risques de sécurité de manière efficace.

Gouvernance et administration des identités

Gartner définit IGA comme une solution d'entreprise pour gérer le cycle de vie des identités numériques et régir l'accès des utilisateurs dans les environnements sur site et cloud. Pour ce faire, les outils IGA regroupent et corrélent des données disparates sur les identités et les droits d'accès qui sont distribuées dans tout le paysage informatique afin d'améliorer le contrôle de l'accès humain et des machines.

Texte alternatif

IGA est un ensemble de stratégies et de technologies qui vous aident à gérer les identités numériques et les droits d'accès. IGA adopte une approche globale de la gestion des identités numériques et des droits d'accès. L'objectif d'IGA est de s'assurer que seuls les utilisateurs autorisés ont accès aux ressources dont ils ont besoin pour effectuer leur travail, améliorer la conformité et rationaliser les processus métier. Les solutions IGA incluent généralement des fonctionnalités de gestion du cycle de vie des identités, de gouvernance des accès, de reporting et d'analyse. Les informations suivantes décrivent la mémoire IGA :

  • Gestion du cycle de vie des identités : processus impliqués dans la création, la gestion et la suppression des identités utilisateur. Cela inclut des tâches telles que l'intégration de nouveaux employés, le départ d'employés licenciés et la gestion des modifications apportées aux rôles et autorisations des utilisateurs.
  • Gouvernance d'accès : pratique consistant à s'assurer que les utilisateurs n'ont accès qu'aux ressources dont ils ont besoin pour effectuer leur travail. Cela inclut des tâches telles que l'affectation d'autorisations, l'application du moindre privilège et l'audit de l'activité d'accès.
  • Rapports et analyses : fournit des informations sur vos données d'identité et d'accès. Ces informations peuvent être utilisées pour identifier les risques potentiels, améliorer la conformité et prendre de meilleures décisions en matière de gestion des identités.

IGA est une partie importante de votre posture de sécurité globale. En mettant en œuvre des solutions IGA, les avantages comprennent :

  • Réduction des risques de sécurité : IGA peut vous aider à réduire les risques de sécurité en vous assurant que seuls les utilisateurs autorisés ont accès aux données sensibles. Pour ce faire, vous pouvez implémenter des fonctionnalités telles que le moindre privilège, le contrôle d'accès basé sur les rôles, des informations intelligentes et la séparation des tâches.
  • Conformité améliorée : IGA peut vous aider à améliorer la conformité avec des réglementations telles que Sarbanes-Oxley, 21 CFR Part 11, Gramm-Leach-Bliley, Health Insurance Portability and Accountability Act (HIPAA) et General Data Protection Regulation (GDPR). Pour ce faire, vous pouvez fournir des fonctionnalités permettant de gérer l'accès aux données sensibles, de suivre l'activité des utilisateurs et de générer des rapports.
  • Libre-service simplifié : IGA peut vous aider à rationaliser les processus métier en automatisant les tâches de gestion des identités telles que l'intégration et le départ des utilisateurs et l'affectation des autorisations. Cela permet au personnel informatique de se concentrer sur d'autres tâches et d'améliorer l'efficacité de l'entreprise.
  • Economies de coûts : IGA peut vous aider à économiser des coûts et à gagner du temps grâce à des tableaux de bord efficaces et conviviaux, à des workflows sans code et à l'intégration d'applications basée sur des assistants.

L'objectif d'IGA est de gérer l'ensemble complexe de droits d'accès et de référentiels d'identités au sein des organisations, à la fois sur site et dans le cloud. Il garantit un accès approprié aux ressources dans des environnements informatiques hautement connectés.

Fonctionnalités IGA (basées sur Gartner)

Voici quelques-unes des fonctionnalités clés d'une suite IGA complète pour répondre aux besoins typiques d'une organisation :

  • Gestion du cycle de vie des identités
  • Gestion des droits
  • Prise en charge des demandes d'accès
  • Orchestration de workflow
  • Certification d'accès
  • Provisionnement via des connecteurs automatisés
  • Analyses et reporting
  • Gestion des stratégies et des rôles
  • Gestion des mots de passe
  • Séparation des obligations

Certaines de ces fonctionnalités sont plus essentielles pour une solution IGA que d'autres. Cette liste décrit les fonctionnalités généralement attendues dans une solution IGA.

Oracle Access Governance

Oracle Access Governance est une solution cloud native qui aide à répondre aux exigences de conformité et de gouvernance des accès sur de nombreuses applications, charges de travail, infrastructures et plates-formes d'identité. Il découvre en permanence les identités, surveille leurs privilèges, apprend les modèles d'utilisation et automatise les processus de révision et de conformité des accès grâce à des recommandations prescriptives pour fournir une meilleure visibilité sur l'accès dans l'ensemble de l'environnement cloud et sur site d'une entreprise. Access Governance simplifie les campagnes de certification pour la conformité et suggère intelligemment des actions pour réduire les risques dans toute l'entreprise.

Access Governance fournit une solution de gouvernance complète qui s'exécute avec d'autres solutions d'identité dans un modèle de déploiement hybride. Les entreprises qui optent pour un modèle hybride peuvent tirer parti des fonctionnalités avancées disponibles à partir de services natifs du cloud, tout en conservant des parties de leur suite IAM sur site pour les exigences de conformité ou de résidence des données. Le service active des microcertifications ad hoc, périodiques et automatisées basées sur des événements, telles qu'une révision d'accès déclenchée par un code emploi ou un changement de responsable. Il peut effectuer des examens d'accès en temps quasi réel et fournit des recommandations détaillées ainsi que des options permettant aux réviseurs d'accepter ou d'examiner un droit en fonction du niveau de risque identifié.

Pour plus d'informations sur les détails et l'utilisation d'Access Governance, reportez-vous à :

Access Governance est nécessaire pour gérer l'accès à plusieurs fonctionnalités pour les utilisateurs d'une organisation. Dans un environnement complexe où un utilisateur a accès à plusieurs applications exécutées dans un environnement on-premise, cloud ou hybride, il est important de s'assurer que l'utilisateur dispose de la bonne quantité d'accès pour effectuer son travail sans lui accorder un accès excessif qui peut être utilisé à mauvais escient.

Les organisations doivent avoir une visibilité sur qui a accès à quoi et la possibilité de définir diverses violations afin d'éviter les combinaisons dangereuses d'accès. Access Governance vous aide à documenter l'accès et à obtenir des informations sur l'utilisation des accès afin de détecter et de prévenir toute utilisation abusive potentielle.

Oracle Access Governance offre une plate-forme intelligente et intuitive qui permet la découverte des identités, la surveillance de l'accès et la réduction des risques sur les ressources multicloud et sur site en tirant parti de l'IA et du machine learning. Il automatise les actions correctives et applique la conformité aux politiques de l'entreprise, réduisant ainsi la charge sur les équipes informatiques et de sécurité.

Architecture de gouvernance d'accès

Le diagramme suivant présente l'architecture fonctionnelle de haut niveau d'Oracle Access Governance. Il fournit un certain nombre de fonctionnalités IGA fonctionnelles, notamment l'orchestration des identités, les analyses et les informations, les campagnes d'examen des politiques et des accès, le contrôle d'accès, l'audit et la conformité. Il fournit des connecteurs à intégrer à un certain nombre de systèmes sur site, de services cloud et d'applications Software as a Service (SaaS).

Architecture d'Access Governance -- Vue fonctionnelle

Les entreprises disposent généralement de plusieurs applications, d'Oracle e-Business Employee Reconciliation (HRMS) et de systèmes de gestion des identités. Ces différents systèmes peuvent être inclus dans Access Governance, qui à son tour met en corrélation les identités. Access Governance aide à identifier la façon dont ils ont obtenu l'accès, l'accès dont ils disposent et la façon dont ils l'utilisent. Sur cette base, le risque d'identité peut être contrôlé. Dans les services cloud et les zones sur site, à droite du diagramme, plusieurs services cloud et systèmes sur site avec accès doivent être contrôlés pour ces identités.

Fonctionnalités de gouvernance d'accès

Les principaux domaines fonctionnels d'Oracle Access Governance sont les suivants :

  • Orchestration d'identité
  • Contrôle d'accès
  • Gouvernance et conformité
  • Informations sur l'identité

Le schéma suivant présente les principales fonctionnalités de chacun de ces domaines fonctionnels.

Domaines fonctionnels de base et fonctionnalités clés

Orchestration d'identité

L'orchestration des identités intègre les différents systèmes d'identité d'une organisation dans les clouds et les systèmes d'identité sur site. Elle garantit la cohérence des identités et des accès aux applications, quel que soit l'endroit où elles s'exécutent et leur fournisseur d'identités. Il s'agit d'une fonctionnalité essentielle pour les environnements hybrides et multiclouds complexes dans lesquels un utilisateur unique peut avoir plusieurs identités dans des systèmes disparates.

Les principales fonctionnalités liées à l'orchestration des identités sont les suivantes :

  • Systèmes connectés
  • Intégration sans code
  • Attributs d'identité personnalisés
  • Marquage d'identité

Systèmes connectés

Oracle Access Governance peut être intégré aux systèmes d'identité cible en définissant un système connecté. Un système connecté vous permet de charger des données à partir d'un système d'identité cible distant vers Oracle Access Governance. Le système connecté définira des paramètres, tels que les détails de connexion, requis pour accéder aux données d'identité distantes. Lorsqu'une connexion directe entre Oracle Access Governance et le système d'identité cible n'est pas possible, un agent peut être déployé pour servir de pont entre les deux.

Un système connecté est la définition d'empreinte d'un système d'identité cible qui peut être intégré à Oracle Access Governance et lui fournir des données. Une fois défini, le système connecté permet l'intégration et la synchronisation des données entre les systèmes d'identité cible et Oracle Access Governance via une connexion directe ou un agent.

Architecture Access Governance - Vue physique

Le composant principal du service cloud de gouvernance d'accès est l'instance de gouvernance d'accès qui assure la séparation physique des données et de la configuration pour Access Governance. Dans la zone On-Premise du côté gauche du diagramme, vous trouverez un exemple de systèmes connectés sur site. Certains de ces systèmes peuvent être des sources faisant autorité qui gèrent les informations d'identité. Il peut s'agir de systèmes cible dans lesquels vous souhaitez gérer l'accès aux ressources.

Intégration sans code

L'un des principaux principes de conception d'Access Governance est de permettre une intégration sans code et intuitive aux systèmes connectés. La plupart des systèmes sur site utilisent une architecture basée sur un agent pour s'intégrer à Access Governance. Pour chaque système connecté où aucune connexion directe entre AG et le système cible n'est disponible, un agent est généré lorsque le système connecté est configuré. L'agent doit être téléchargé et exécuté afin d'intégrer le système connecté à Access Governance. L'agent est généralement une image de conteneur exécutée en tant que microservice. Un ou plusieurs de ces systèmes peuvent être connectés à la gouvernance d'accès.

Exemple de système connecté - Oracle Identity Governance

Le diagramme précédent présente l'intégration d'Oracle Identity Governance (OIG) et d'Access Governance. OIG est intégré à Access Governance via un agent OIG qui peut être exécuté dans la même machine virtuelle où OIG est exécuté ou une instance de machine virtuelle autonome avec un moteur de conteneur compatible qui est Docker ou Podman.

Les systèmes connectés basés sur le cloud peuvent également être des sources ou des systèmes cibles faisant autorité. Pour de nombreux systèmes connectés basés sur le cloud, une intégration directe est fournie. Par exemple, vous pouvez effectuer une intégration à OCI IAM à l'aide d'une clé d'API. Le diagramme suivant présente l'intégration d'Oracle OCI à Access Governance.

Exemple de système connecté - OCI

Vous pouvez établir une connexion entre Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) et Oracle Access Governance en entrant les détails de connexion et en configurant votre environnement de fournisseur de services cloud. Pour ce faire, utilisez l'option Systèmes connectés dans la console Oracle Access Governance. Cette intégration s'effectue via une clé d'API. Une clé d'API est créée pour l'utilisateur AGCS et configurée sur la page des systèmes connectés. Une fois connectées, des révisions de stratégie peuvent être effectuées pour les stratégies OCI.

Attributs d'identité personnalisés

Oracle Access Governance extrait automatiquement les attributs principaux et personnalisés définis dans un système connecté. Les détails des attributs sont automatiquement chargés dans Access Governance lorsque les données sont chargées à partir d'un système connecté. Si vous créez d'autres attributs personnalisés dans le système cible, après le chargement initial des données, vous pouvez actualiser les attributs personnalisés dans le schéma Access Governance afin que les derniers attributs personnalisés soient inclus dans le prochain chargement des données.

Attributs personnalisés dans Access Governance

Vous pouvez utiliser ces attributs dans Oracle Access Governance pour exécuter diverses fonctions, telles que l'exécution de campagnes de révision des accès, le choix d'identités pour les collections d'identités, la définition de certifications basées sur les événements ou l'application de conditions d'attribut pour activer/désactiver l'ensemble de données d'identité disponible.

Marquage d'identité

La fonctionnalité de marquage des identités permet aux administrateurs d'activer ou de désactiver des identités au sein du service, et de marquer les identités en tant qu'utilisateurs du personnel ou du consommateur. Il est important de comprendre la signification de cette terminologie dans Access Governance.

  • Identités actives : identités marquées comme actives dans le service Oracle Access Governance, ce qui active les principales fonctionnalités, notamment les révisions d'accès et le contrôle d'accès.
  • Identités inactives : identités marquées comme inactives dans le service Oracle Access Governance qui ne sont pas régies par Active Governance et ne sont pas prises en compte pour la facturation.
  • Utilisateurs du personnel : utilisateurs qui sont généralement des employés nécessitant un accès à Access Governance et dont les identités sont activement régies. Ces utilisateurs peuvent effectuer activement des activités de révision ou de gestion dans AG.
  • Utilisateurs client : les utilisateurs qui n'ont pas accès au service Access Governance et leurs privilèges d'accès doivent être affectés ou gérés par d'autres utilisateurs.

L'une des premières étapes de la configuration d'Active Governance consiste à marquer les identités de manière appropriée en tant qu'utilisateur du personnel ou du consommateur et à les activer dans le système Active Governance.

Contrôle d'accès

Le contrôle d'accès fournit un moyen centralisé de gérer l'accès aux ressources. Il utilise diverses techniques, notamment le contrôle d'accès basé sur les rôles (RBAC), le contrôle d'accès basé sur les attributs (ABAC) et le contrôle d'accès basé sur les stratégies (PBAC) pour garantir que les utilisateurs n'ont accès qu'aux ressources dont ils ont besoin pour effectuer leur travail. Les entreprises utilisent le contrôle d'accès pour améliorer la posture de sécurité. Le contrôle d'accès comprend :

  • Demandes d'accès
  • Workflows d'approbation
  • Collections d'identités
  • Packages d'accès
  • Rôles (RBAC)
  • Stratégies (PBAC)

Demandes d'accès

En tant qu'utilisateur Oracle Access Governance, vous pouvez demander l'accès aux ressources et aux rôles. Les demandes peuvent être faites pour vous-même ou pour les autres. Ce traitement crée une demande d'accès qui est accordée sans autre action ou qui est soumise à un workflow d'approbation.

  • Le traitement utilise une approche en libre-service avec un catalogue d'accès simplifié.
  • Access Governance offre une expérience utilisateur modernisée pour générer et suivre les demandes d'accès et les approbations.
  • Le workflow d'approbation est personnalisable en fonction des besoins de l'organisation.
  • Access Governance améliore la productivité en automatisant l'exécution des commandes pour les privilèges d'accès approuvés.

Workflows d'approbation

Chaque autorisation ou rôle devant être affecté à un utilisateur doit être traité via un workflow d'approbation. En tant qu'administrateur de ressources, vous devez concevoir le workflow en indiquant le niveau d'approbation requis et le nombre d'approbateurs. Vous pouvez utiliser ces workflows pour obtenir des approbations avant d'affecter ou de révoquer des privilèges utilisateur.

Par exemple, lorsqu'un utilisateur demande l'accès à un groupe d'accès par le biais d'Access Governance, le workflow d'approbation associé à cet accès ou à cette autorisation déclenche une notification par courriel aux approbateurs, qui examinent la demande et l'approuvent, la rejettent ou peuvent demander plus d'informations. Le résultat du processus d'approbation est mis à jour dans le système de gestion des autorisations.

Les workflows fournis par défaut avec Oracle Access Governance incluent les fonctionnalités suivantes :

  • Les vérificateurs sont informés des révisions d'accès en attente.
  • Oracle Access Governance prend en charge les workflows de révision d'accès à un, deux et trois niveaux.
  • Les avis d'accès peuvent être acceptés ou révoqués.

Les workflows dans Oracle Access Governance permettent de bénéficier des éléments suivants :

  • Création de flux de travail entièrement configurable sans codage.
  • Workflows prenant en charge les approbations en plusieurs étapes dans lesquels les approbateurs peuvent être configurés.
  • Possibilité de configurer si tout ou partie des approbateurs doit approuver la demande
  • Suggestions pour un workflow intelligent en fonction de critères sélectionnés
  • Prise en charge des approbateurs d'escalade dans les cas où les approbateurs n'ont pas effectué d'action.

Collections d'identités

Le contrôle d'accès basé sur les attributs (ABAC) est une méthode de contrôle d'accès aux ressources en fonction des attributs de l'utilisateur et de la ressource. Les attributs peuvent inclure la fonction, le service, le lieu et l'heure de la journée de l'utilisateur. Access Governance utilise des collections d'identités pour ABAC.

Les collections d'identités sont des groupes d'identités basés sur des attributs partagés ou des identités nommées. Ces identités sont intégrées à partir de systèmes connectés à l'aide de l'orchestration des identités.

Collections d'identités

Les collections d'identités simplifient les tâches en vous permettant de configurer des fonctionnalités pour un ensemble d'identités, plutôt que pour chaque identité. Vous pouvez utiliser des collections d'identités pour :

  • Associez des identités à des groupes d'accès ou des rôles appropriés à l'aide de stratégies.
  • Déléguer les tâches de révision d'accès à une collection d'identités.
  • Affecter en tant qu'approbateurs dans les workflows d'approbation.

Packages d'accès

Les entreprises disposent de plusieurs applications et services pour lesquels l'accès doit être contrôlé. Chacune de ces applications peut définir plusieurs autorisations qui doivent être accordées en fonction du rôle de l'utilisateur. Parfois, ces autorisations sont grossières et parfois elles sont fines. Bien qu'il soit possible d'accorder ces autorisations individuellement aux utilisateurs, elles peuvent être complexes et sujettes aux erreurs. En général, selon le cas d'emploi, les utilisateurs ont besoin d'un ensemble d'autorisations pour effectuer leurs tâches. L'octroi d'une partie seulement de ces autorisations entraînerait des problèmes et des retards dans l'exécution de leurs tâches.

Packages d'accès

Les groupes d'accès sont basés sur l'utilisation d'un ensemble d'autorisations qui sont toujours regroupées pour exécuter les responsabilités de l'utilisateur.

Un groupe d'accès est un ensemble d'autorisations qui regroupent l'accès aux ressources, aux fonctionnalités d'application et aux fonctionnalités dans une unité pouvant faire l'objet d'une demande. Un groupe d'accès spécifique est associé à une seule cible. Les utilisateurs d'une ressource particulière ne sont pas tenus de demander chaque droit d'accès associé à cette ressource. Au lieu de cela, ils demandent le groupe d'accès pour cette ressource. Cela simplifie le processus de demande des droits d'accès aux ressources.

Par exemple, vous pouvez créer un groupe d'accès pour les développeurs à l'aide de l'application cible Oracle Integration. Vous pouvez appeler ce bundle Accès Integration Developer et sélectionner les droits d'accès en lecture, modification et création requis pour qu'un développeur d'intégration utilise l'application. Lorsqu'un développeur de votre organisation doit demander l'accès du développeur à l'application Oracle Integration, il doit uniquement demander le bundle, et non les droits d'accès individuels. Les groupes d'accès sont gérés par les propriétaires d'application et peuvent être demandés à partir du catalogue d'accès.

Une fois que vous avez défini le groupe d'accès, il peut être affecté à des rôles ou utilisé dans des stratégies pour accorder l'ensemble de droits d'accès. Les rôles et les stratégies sont généralement gérés par les administrateurs, ce qui permet de séparer les responsabilités.

Rôles

Le contrôle d'accès basé sur les rôles (RBAC) est une méthode de contrôle de l'accès aux ressources en fonction des rôles dont disposent les utilisateurs. Les rôles sont affectés aux utilisateurs en fonction de leur fonction, de leur service ou d'autres critères.

Dans Access Governance, un rôle est un groupe de groupes d'accès pour des applications et des services. Les groupes d'accès contenus dans un rôle peuvent s'étendre sur plusieurs cibles. Par exemple, il peut s'agir d'un rôle d'administrateur de base de données qui regroupe l'administrateur de base de données pour Oracle. Administration de base de données pour DB2 et Administration de base de données pour les groupes d'accès MySQL. Cela vous permet de créer des rôles qui combinent les groupes d'accès appropriés pour l'exécution de ce rôle. Ces rôles peuvent ensuite être associés à des identités par le biais de stratégies. Par défaut, un rôle ne fournit pas l'accès à une ressource. L'accès est accordé à une identité lorsqu'un rôle est affecté à cette identité par le biais d'une stratégie ou d'une demande en libre-service. Les rôles sont gérés par les administrateurs de rôles et peuvent être demandés à partir du catalogue d'accès.

Stratégies

Le contrôle d'accès basé sur des stratégies (PBAC) est une méthode de contrôle d'accès aux ressources basée sur des stratégies. Les stratégies sont des règles qui définissent qui peut accéder à quelles ressources et dans quelles conditions.

Les stratégies associent les ressources et les droits d'accès aux identités par le biais de rôles et de groupes d'accès. Le schéma suivant montre comment gérer les stratégies dans le service Access Governance.

Contrôle d'accès basé sur des stratégies

Les collections d'identités sont un groupe d'identités utilisateur définies en fonction d'attributs. Les utilisateurs ont besoin d'accéder aux applications et aux services, et les autorisations sont placées dans des groupes d'accès. Les rôles peuvent regrouper des groupes d'accès en fonction de cas d'emploi. Les stratégies associent les collections d'identités à des rôles ou à des packages d'accès. Le contrôle d'accès basé sur les stratégies (PBAC) permet l'accès de droite à la naissance et juste à temps, et permet de centraliser la gestion des stratégies et les révisions d'accès qui peuvent être gérées par les auditeurs internes et les administrateurs de conformité.

Gouvernance et conformité

Access Governance permet d'assurer la gouvernance et la conformité en fournissant une vue centralisée de toutes les données d'identité et d'accès, en plus des outils de gestion des stratégies d'accès, d'évaluation des risques et d'audit de la conformité.

La gouvernance et la conformité sont des concepts étroitement liés qui sont importants pour une organisation afin de protéger ses données et ses actifs.

  • La gouvernance fait référence à l'ensemble des politiques, processus et procédures qu'une organisation utilise pour gérer son environnement informatique. Il vise à s'assurer que les systèmes informatiques de l'organisation sont alignés sur les objectifs et les objectifs de l'entreprise.
  • La conformité fait référence à l'acte suivant les règles, lois et règlements. Il vise à s'assurer que les systèmes informatiques de l'organisation sont conformes aux réglementations pertinentes.

La gouvernance et la conformité sont des concepts connexes. Une bonne gouvernance est essentielle pour assurer la conformité, et la conformité est essentielle pour maintenir une bonne gouvernance. Les principales fonctionnalités sont les suivantes :

  • Campagnes
  • Révisions d'accès
  • Revues de politique
  • Révisions reposant sur un événement
  • Délégation

Campagnes

Une campagne de révision d'accès est un processus systématique de révision et de mise à jour de l'accès des utilisateurs aux ressources. Les campagnes d'examen des accès sont généralement menées régulièrement, par exemple annuellement ou trimestriellement, pour s'assurer que les utilisateurs n'ont accès qu'aux ressources dont ils ont besoin pour faire leur travail.

Les campagnes de révision d'accès impliquent généralement les étapes suivantes :

  • Créez la campagne.
  • Définissez la portée de la campagne en choisissant ce qui est inclus dans l'évaluation.
  • Configurer le workflow d'approbation.
  • Planifiez la campagne en tant que campagne ponctuelle ou périodique, ce qui élimine la nécessité de suivre manuellement ces campagnes.
  • Exécutez la campagne.

La campagne est terminée une fois toutes les tâches de révision terminées.

Les campagnes de révision d'accès sont un élément important de votre posture de sécurité. En examinant régulièrement l'accès des utilisateurs, vous pouvez contribuer à atténuer le risque d'accès non autorisé aux données et systèmes sensibles.

Les campagnes de révision d'accès d'Oracle Access Governance sont utilisées pour vérifier les droits d'accès. Access Governance prend en charge les types de campagne de révision d'accès suivants :

  • Campagnes de révision d'accès utilisateur : comprend un groupe de révisions d'accès pour les membres de votre entreprise où l'accès individuel à une source spécifique est vérifié, puis certifié ou résolu.
  • Campagnes de révision de stratégie : comprend un groupe de révisions de stratégie qui évalue le contrôle d'accès des stratégies Identity and Access Management (IAM).
  • Révisions d'accès reposant sur un événement : révisions d'accès lancées automatiquement par Oracle Access Governance lorsqu'un ou plusieurs types d'événement prédéfinis se produisent.
  • Campagnes de révision de collecte d'identités : Campagnes de révision d'accès ponctuelles ou périodiques pour la révision des collections d'identités définies dans Access Governance ou dérivées d'OCI.

Révisions d'accès

Une révision d'accès est la révision des accès et des droits d'accès d'une entité, généralement un utilisateur final, effectuée pour vérifier si les accès et les droits d'accès affectés à cette entité sont toujours valides.

Un administrateur de campagne peut créer des campagnes de révision d'accès ponctuelles ou périodiques dans la console Oracle Access Governance. Vous pouvez définir des critères de sélection en fonction des utilisateurs, des applications, des autorisations et des rôles. Vous pouvez également définir le workflow d'approbation pour sélectionner le nombre de niveaux d'évaluation, la durée de l'évaluation et les détails de l'évaluateur.

Révisions d'accès

Le diagramme précédent présente les critères de sélection qui couvrent les révisions d'accès. Les informations suivantes décrivent les critères :

  • Qui a accès : critères permettant de filtrer les utilisateurs en fonction d'attributs standard (organisation, travail, lieu) ou personnalisés.
  • Accès : critères permettant de filtrer les utilisateurs en fonction des ressources auxquelles ils ont accès.
  • Quelles autorisations : critères permettant de filtrer les utilisateurs en fonction d'autorisations individuelles, telles que la création, la mise à jour, la terminaison, l'approbation ou les groupes d'accès.
  • Quelles collections d'identités : permet d'effectuer la vérification de la collection d'identités.

Révisions de police

Un administrateur de campagne peut créer des révisions de stratégie à la demande pour OCI en définissant les critères de sélection en fonction des stratégies associées aux utilisateurs. Le workflow d'approbation peut être créé en sélectionnant le nombre de niveaux d'évaluation, la durée de l'évaluation et les détails du réviseur.

Révisions de police

Le diagramme précédent présente les critères de sélection qui couvrent les révisions de stratégie. Les informations suivantes décrivent les critères :

  • Qui a accès : critères permettant de filtrer les utilisateurs en fonction d'attributs standard (organisation, travail, lieu) ou personnalisés.
  • Accès : critères permettant de filtrer les utilisateurs en fonction des ressources auxquelles ils ont accès.
  • Location : critères permettant de filtrer les utilisateurs en fonction des locations à inclure dans la portée.
  • Quelles stratégies : choisissez les stratégies sur lesquelles la révision sera effectuée.
  • Quels rôles : choisissez les rôles pour lesquels les révisions de stratégie sont effectuées.

Révisions reposant sur un événement

Les révisions d'accès reposant sur un événement sont des révisions d'accès lancées automatiquement par Oracle Access Governance lorsqu'un ou plusieurs types d'événement prédéfinis se produisent. Le schéma suivant illustre le fonctionnement des révisions d'accès basées sur les événements.

Révisions d'accès reposant sur un événement

Chaque fois que des événements, tels qu'un changement de code emploi, un changement de lieu, etc., se produisent, les révisions d'accès basées sur les événements sont lancées. Les réviseurs peuvent les utiliser pour vérifier, certifier ou corriger les rôles, autorisations ou habilitations d'utilisateur ou d'application concernés. Les révisions d'accès basées sur les événements peuvent être activées pour les attributs de base (par exemple, code emploi, organisation, lieu, etc.), en plus des attributs personnalisés (par exemple, centre de coûts, code projet, etc.).

Vous pouvez définir le workflow de la révision en fonction du nombre de niveaux, de la durée et de la personne qui l'effectue. Les événements multiples se produisent lorsque Oracle Access Governance reçoit des modifications pour plusieurs types d'événement associés à une seule identité. Un workflow partagé est appliqué lorsque des événements multiples sont identifiés. Les informations sur les révisions d'accès reposant sur un événement peuvent être analysées en générant des rapports à l'aide de la fonctionnalité de rapport reposant sur un événement d'Oracle Access Governance.

Délégation

Vous pouvez déléguer des approbations ou accéder à des révisions à d'autres personnes pour les raisons suivantes :

  • Indisponibilité en raison de vacances, d'une maladie ou d'autres tâches
  • Avoir la personne la plus qualifiée prend des décisions
  • Développer la capacité d'une personne à gérer des affectations supplémentaires

Le schéma suivant illustre le concept de délégation.

Délégation

Dans Oracle Access Governance, vous pouvez configurer et gérer les préférences. Les utilisateurs peuvent déléguer des tâches et des activités à l'aide de la console Oracle Access Governance. Vous pouvez utiliser le paramètre Mes préférences pour affecter des tâches et des activités à un autre utilisateur ou à une autre collection d'identités. Vous pouvez choisir quand démarrer ce processus de délégation et spécifier la durée de la délégation.

Délégation dans Access Governance

Dans Oracle Access Governance, vous pouvez déléguer qui effectue les révisions d'accès et qui effectue les approbations en votre nom. Une tâche peut être déléguée à une personne ou à une collection d'identités. La collection d'identités peut contenir un ou plusieurs membres. La durée de la délégation peut être définie sur une période ou indéfiniment.

Informations sur l'identité

L'intelligence d'identité fournit aux entreprises des informations sur la sécurité et les risques en collectant des données à partir de diverses sources, puis en utilisant le machine learning et l'IA pour analyser les données et identifier les modèles et les tendances. Oracle Access Governance analyse chaque identité et ses privilèges, crée des analyses sur les éventuelles violations de sécurité et d'affectation à haut risque et recommande des résolutions. Cela permet aux réviseurs d'accès de prendre rapidement des décisions correctives. Voici ce que cette fonctionnalité permet :

  • Assimilation et analyse des données d'identité et des privilèges d'accès.
  • Reconnaissance des informations clés contextuelles et identification des points faibles de la sécurité.
  • Les recommandations de résolution permettent aux réviseurs d'accès de prendre rapidement des décisions correctives.

Les principales fonctionnalités sont les suivantes :

  • Analyses prescriptives à l'aide de l'IA et du machine learning
  • Informations sur l'identité
  • Résolution
  • Corrélation

Analyses prescriptives à l'aide de l'IA, de l'apprentissage automatique et des informations sur les identités

L'analyse prescriptive est un type d'analyse de données qui va au-delà de la description ou de la prévision de ce qui s'est passé ou de ce qui pourrait se passer. L'étape suivante consiste à suggérer le meilleur plan d'action à prendre dans une situation donnée.

L'analyse prescriptive utilise diverses techniques, notamment l'apprentissage automatique, l'optimisation et la simulation, pour analyser les données et identifier la meilleure ligne de conduite possible. Cela peut être utilisé pour améliorer la prise de décision dans un large éventail de domaines, tels que les entreprises, les soins de santé et le gouvernement.

Oracle Access Governance utilise des analyses prescriptives basées sur l'IA et le machine learning pour fournir des informations intelligentes et une gestion des risques. Des analyses approfondies et des recommandations de haute fidélité permettent aux réviseurs d'approuver ou de refuser facilement l'accès.

Analyses prescriptives

Informations sur l'identité

Oracle Access Governance utilise l'IA et le machine learning pour fournir des analyses d'accès basées sur des informations, des analyses d'identité et des fonctionnalités d'intelligence aux entreprises.

Voici quelques-unes des façons dont Oracle Access Governance utilise l'IA et le machine learning :

  • Analyse des groupes d'homologues : Oracle Access Governance utilise l'IA pour identifier les groupes d'homologues d'utilisateurs disposant de privilèges d'accès similaires. Ces informations peuvent être utilisées pour identifier les utilisateurs qui peuvent disposer de privilèges d'accès excessifs.
  • Détection des valeurs aberrantes : Oracle Access Governance utilise le machine learning pour identifier les utilisateurs dont les modèles d'accès sont différents de la norme. Ces informations peuvent être utilisées pour identifier les utilisateurs qui risquent d'abuser de leurs privilèges d'accès.
  • Recommandations : Oracle Access Governance utilise l'IA pour générer des recommandations pour les révisions d'accès et les actions correctives. Ces informations peuvent vous aider à améliorer la sécurité de leurs données.
  • Workflows automatisés : Oracle Access Governance utilise le machine learning pour automatiser des tâches telles que les révisions d'accès et les actions correctives. Cela peut vous aider à améliorer l'efficacité de leurs processus de gestion des accès.

Access Governance, avec l'intelligence à la base, extrait les identités et obtient les stratégies à partir de divers systèmes, ce qui en fait un système capable de gérer les applications et autres systèmes d'identité. Avec les identités et les autorisations collectées, Access Governance indique qui a accès à quoi. Avec les stratégies, il peut également montrer l'intelligence de la façon dont les identités ont accès aux autorisations. Avec les informations sur l'utilisation des applications, il peut également fournir des informations sur le provisionnement de l'accès. Cela vous aide à réduire les risques et les coûts en optimisant les accès aux bonnes personnes, aux bons bots et aux bons services.

Access Governance utilise diverses techniques pour fournir une visibilité sur les droits d'accès :

  • Oracle Access Governance peut être utilisé pour effectuer des révisions d'accès périodiques ou axées sur les événements. Cela permet aux entreprises de s'assurer que les utilisateurs disposent uniquement des accès dont ils ont besoin pour effectuer leur travail.
  • Oracle Access Governance peut être utilisé pour analyser les données d'identité afin d'identifier les risques potentiels, tels que les utilisateurs disposant de privilèges d'accès excessifs ou ceux qui ont quitté l'organisation tout en ayant accès aux données sensibles.
  • Oracle Access Governance peut être utilisé pour générer des rapports et des tableaux de bord qui fournissent des informations sur les droits d'accès. Ces informations peuvent être utilisées pour améliorer la sécurité des données de l'organisation.

Trois tableaux de bord vous donnent plus d'informations sur qui a accès à quoi, comme indiqué dans le diagramme suivant.

Tableaux de bord intelligents dans Access Governance

Les tableaux de bord sont les suivants :

  • Mon accès
    • Les utilisateurs peuvent visualiser les détails de l'application, des ressources cloud, des droits d'accès et des rôles qui leur sont affectés.
  • Accès de mes collaborateurs directs:
    • Les responsables peuvent visualiser les détails des applications, des ressources cloud, des droits d'accès et des rôles affectés à leurs collaborateurs directs.
    • Cette fonctionnalité est disponible en fonction de votre système connecté et n'est pas disponible avec tous les systèmes connectés pris en charge.
  • Accès au niveau de l'entreprise
    • Les utilisateurs disposant d'un rôle d'administrateur peuvent obtenir une vue à 360 degrés de toutes les ressources et des droits d'accès affectés à ces ressources à partir de la console Oracle Access Governance.
    • Sur la page Accès à l'échelle de l'entreprise, vous pouvez visualiser la liste des ressources et des types de ressource de l'ensemble de l'organisation sur les différents systèmes connectés à Oracle Access Governance et extraire les identités actuellement affectées à cette ressource, le niveau de droit d'accès et la façon dont ces droits d'accès sont affectés ou accordés.

Résolution

La correction de la sécurité est le processus d'identification et de résolution des vulnérabilités de sécurité. Il s'agit d'un élément important de la posture de sécurité d'une entreprise car il contribue à réduire les risques et à améliorer la conformité. Access Governance fournit les fonctionnalités de résolution suivantes :

  • Recommandations : sur la base de l'analyse du machine learning, Access Governance aide à identifier et à recommander l'action appropriée. L'action de résolution peut être acceptée ou révoquée comme recommandé par Access Governance.
  • Entrée de justification personnalisable : Lorsqu'un vérificateur effectue une action sur l'action corrective, il a la possibilité de fournir une justification. Cette option est configurable dans Access Governance en fonction du type de recommandation.
  • Réparation automatique à la fin de la campagne : lorsque la campagne se termine, Access Governance peut effectuer automatiquement une résolution dans la console Access Governance.

Corrélation d'identité

Les identités de différents systèmes sont automatiquement corrélées dans Access Governance. La corrélation est une capacité qui est la base pour fournir une vue à 360 degrés des utilisateurs.

Corrélation des identités

Access Governance effectue les activités de corrélation suivantes :

  • Corréler les identités en fonction de l'ID courriel et/ou des noms d'utilisateur.
  • Combinez l'intelligence basée sur l'identité unifiée et fournissez des informations basées sur elle.
  • Détecter les identités sans correspondance pour les systèmes cible et fournir un rapport de dépannage.

Meilleures pratiques en matière de gouvernance d'accès

  • Créez une instance Access Governance dans son propre domaine d'identité et compartiment à l'aide de l'administrateur de domaine d'identité. Cela permet d'isoler Access Governance des autres applications et offre la possibilité d'ajouter ou d'enlever des utilisateurs Access Governance dans un domaine d'identité OCI spécifique.
  • Créez un utilisateur pour l'administration de l'instance Access Governance, affectez le rôle d'administrateur Access Governance et demandez à l'utilisateur d'effectuer toutes les tâches d'administration d'Access Governance. N'utilisez pas l'administrateur de location pour ces tâches.
  • A des fins de développement ou de test, créez des instances de service Access Governance distinctes pour isoler les données. Chaque instance de service est indépendante et gère ses propres données de configuration et de cliché.
  • Comprendre les différents rôles Access Governance et séparer les responsabilités en fonction des rôles. Assurez-vous que les utilisateurs LOB peuvent exécuter les fonctions nécessaires sans intervention du service informatique.
  • Identifiez les rôles et les responsabilités des utilisateurs et configurez-les en tant qu'utilisateurs du personnel ou consommateurs de manière appropriée.
  • Définissez et utilisez une convention de dénomination cohérente pour toutes les ressources Access Governance, y compris le nom d'instance, les noms de ressource de contrôle d'accès, les noms de campagne et les systèmes connectés. Par exemple :
    1. si_presidents_office_qa
    2. campaign_ocitenancy_policy_review_oct23
    3. target_ops_database_dbum
  • Gouvernez vos identités OCI dès le départ à l'aide d'Access Governance en les intégrant à OCI IAM.