Documentazione dell'infrastruttura Oracle Cloud

Ruoli applicazione

Oracle Access Governance offre diversi ruoli applicazione predefiniti con diversi livelli di funzionalità per eseguire le operazioni di gestione degli accessi e governance. È possibile assegnare uno o più ruoli applicazione agli utenti dall'istanza del servizio cloud Oracle Access Governance. Impossibile modificare i ruoli applicazione predefiniti o modificare le autorizzazioni assegnate all'interno di questi ruoli.

Amministratore (AG_Administrator)

L'amministratore di Oracle Access Governance ha il livello di accesso più elevato all'interno di Oracle Access Governance. Gli utenti con ruolo Amministratore sono responsabili della gestione di tutte le operazioni di Oracle Access Governance, inclusa la gestione dei sistemi orchestrati, dei controlli dell'accesso, delle operazioni amministrative dei servizi e così via.

La responsabilità principale di un amministratore è quella di
  • Definire i task di base disponibili nell'ambito del modulo Amministrazione servizi in Oracle Access Governance, ad esempio l'impostazione dei sistemi orchestrati, la gestione delle identità, la configurazione degli attributi di identità di base e personalizzati, la configurazione delle notifiche e la verifica delle operazioni di caricamento dati in Oracle Access Governance.
  • Configura le revisioni degli accessi basate su eventi per eseguire microcertificazioni e gestire account senza corrispondenza.
Ad esempio, è possibile assegnare AG_Administrator agli amministratori della sicurezza o all'esperto di Identity and Access Management per gestire l'istanza del servizio cloud Oracle Access Governance.

In genere, AG_Administrator stabilisce la prima integrazione con l'origine affidabile creando un sistema orchestrato, eseguendo il caricamento completo dei dati, impostando regole per definire gli utenti di Workforce e Consumer. AG_Administrator può quindi assegnare proprietari per la gestione del sistema orchestrato a qualsiasi utente attivo di Oracle Access Governance.

Un AG_Administrator dispone dell'accesso completo a tutte le funzioni e a tutti i funzionalisti all'interno dell'istanza del servizio. Dispone di tutte le autorizzazioni per creare, visualizzare, aggiornare ed eliminare le risorse di Oracle Access Governance:
  • Sistema orchestrato
  • Raccolte di identità
  • Bundle accessi
  • Ruoli
  • Criteri
  • Workflow di approvazione
  • Guardrail accesso
  • Bundle accessi generati autom.
  • Profili account

Amministratore Service Desk (AG_ServiceDesk_Admin)

L'amministratore di Oracle Access Governance Service Desk è responsabile dell'esecuzione di funzioni amministrative avanzate degli account direttamente all'interno di Oracle Access Governance. La responsabilità principale di un amministratore del Service Desk è di eseguire operazioni altamente critiche e urgenti senza la necessità di approvazioni, in particolare relative alle operazioni di gestione del ciclo di vita degli account.

Gli utenti con ruolo Amministratore Service Desk possono eseguire le funzioni amministrative dell'account dalla pagina Amministrazione servizio > Gestisci identità > Identità:
  • Visualizza i dettagli di identità per tutte le identità.
  • Visualizzare i dettagli dell'account per le autorizzazioni.
  • Terminare tutti gli account e gli accessi per un'identità contemporaneamente senza alcuna approvazione. Una volta terminato, è possibile rieseguire il provisioning o attivare gli account e gli accessi, con il criterio del tipo di privilegio.
  • Abilitare, disabilitare o eliminare o modificare uno o più account e attributi per un'identità.
  • Revocare una o più autorizzazioni assegnate direttamente dal sistema gestito o di cui è stato eseguito il provisioning tramite richiesta.
  • Riprova il provisioning per lo stato non riuscito o in sospeso.
  • Modificare la password di un account gestito da Oracle Access Governance.
  • Gestire le deleghe per le approvazioni o le revisioni degli accessi.
Ad esempio, è possibile assegnare AG_ServiceDesk_Admin a uno specialista IT per terminare immediatamente tutti gli account e gli accessi in base a una risposta agli incidenti attivata da ripetuti tentativi di login non riusciti per impedire potenziali attività non autorizzate.
Inoltre, AG_ServiceDesk_Admin può eseguire le operazioni riportate di seguito come parte dell'utente di Oracle Access Governance.
  • Visualizza i dettagli dei sistemi orchestrati insieme ai log delle attività.
  • In qualità di proprietario della risorsa, visualizzare, aggiornare o eliminare le risorse di Oracle Access Governance di cui è proprietario.
  • In qualità di revisore associato ai flussi di lavoro di approvazione, approvare le richieste di accesso e rivedere i task di accesso.
  • L'utente può visualizzare i privilegi assegnati per i riporti autonomi e diretti.
  • Un revisore degli accessi può esaminare e certificare i task di revisione degli accessi se associati a un flusso di lavoro di approvazione specifico.
  • Gestione deleghe

Amministratore campagna (AG_CampaignAdmin)

Gli amministratori delle campagne di Oracle Access Governance possono avviare un processo di revisione degli accessi creando campagne. Possono modificare, eliminare e monitorare le campagne di revisione degli accessi create automaticamente. Possono visualizzare il report campagna e scaricare i dati CSV a scopo offiline.

La loro responsabilità principale è quella di pianificare campagne ad hoc o periodiche per le revisioni dell'accesso alle identità, le revisioni dei criteri, le revisioni della raccolta delle identità o la revisione della proprietà delle risorse in tutti i sistemi.

Inoltre, gli amministratori della campagna:
  • Può creare flussi di lavoro di approvazione
  • Può creare raccolte di identità
  • Come proprietario di una risorsa, modificare, eliminare e visualizzare le risorse di cui è proprietario
  • In qualità di revisore associato ai flussi di lavoro di approvazione, approvare le richieste di accesso e rivedere i task di accesso.
  • L'utente può visualizzare i privilegi assegnati per i riporti autonomi e diretti.

Amministratore accesso browser a livello aziendale (AG_Enterprise_Wide_Access_Admin)

Oracle Access Governance Enterprise Access Administrator ottiene la visibilità completa su tutti i componenti, le informazioni di accesso e le risorse all'interno di un framework aziendale dalla pagina Chi ha accesso a cosa → Browser a livello aziendale.

In primo luogo, gli amministratori di accesso a livello aziendale possono:
  • Sfoglia le informazioni di accesso utilizzando varie prospettive, ad esempio Identità, Raccolte di identità, Ruoli, Autorizzazioni, Criteri, Risorse e Organizzazioni.
  • Eseguire revisioni create dall'utente per identità, raccolte di identità e criteri dal dashboard Browser a livello aziendale.
  • Genera un report mensile sulle revisioni degli accessi create dal browser a livello aziendale.
  • Scarica screenshot in formato CSV e PDF.
Inoltre, può:
  • Può creare raccolte di identità
  • In qualità di proprietario della risorsa, visualizzare, aggiornare o eliminare le risorse di Oracle Access Governance di cui è proprietario.
  • In qualità di revisore associato ai flussi di lavoro di approvazione, approvare le richieste di accesso e rivedere i task di accesso.
  • L'utente può visualizzare i privilegi assegnati per i riporti autonomi e diretti.

Amministratore del Titolare dell'Applicazione (AG_AppOwner_Admin)

L'amministratore del proprietario dell'applicazione di Oracle Access Governance è responsabile dell'esecuzione delle integrazioni con altri sistemi mediante l'aggiunta di un sistema orchestrato, la modifica delle impostazioni di connessione, la convalida e il caricamento dei dati in Oracle Access Governance. Possono inoltre configurare un sistema orchestrato modificando le impostazioni di integrazione, configurando le impostazioni di notifica, configurando il bundle di accesso consigliato, definendo regole di trasformazione per i dati in entrata e in uscita per gli attributi di identità e account e definendo regole di correlazione per la corrispondenza di identità e account di identità.

L'amministratore del proprietario dell'applicazione è principalmente responsabile di:

  • Impostare le integrazioni con un'applicazione come origine affidabile o come sistema gestito creando un sistema orchestrato.
  • Gestisci e configura i sistemi integrati.
    Nota

    AG_AppOwner_Admin non può attivare identità o configurare attributi di identità per un sistema orchestrato. A tale scopo, è necessario disporre del ruolo AG_Administrator.
Amministratore proprietario applicazione:
  • Può creare flussi di lavoro di approvazione
  • Può creare i guardrail di accesso
  • Può creare raccolte di identità
  • Può creare bundle accessi
  • Può gestire i bundle accessi generati automaticamente
  • Il proprietario di una risorsa può modificare, eliminare e visualizzare le risorse di cui è proprietario. Le risorse possono essere qualsiasi entità di Oracle Access Governance (accessi a bundle, organizzazioni, raccolte di identità, criteri, flussi di lavoro di approvazione, sistemi orchestrati, Access Guardrails, bundle di accesso generati automaticamente o ruoli).
  • Un revisore associato ai flussi di lavoro di approvazione può approvare le richieste di accesso e rivedere i task di accesso.
  • L'utente può visualizzare i privilegi assegnati per i riporti autonomi e diretti.
  • L'utente può utilizzare il modulo self-service per richiedere nuovo accesso, tenere traccia delle richieste, assegnare preferenze e così via.

Amministratore limitato proprietario applicazione (AG_AppOwner_Admin_Restricted)

Oracle Access Governance Application Owner Restricted Administrator è responsabile della creazione di una nuova integrazione con altri sistemi mediante l'aggiunta di un sistema orchestrato come Managed System. Tuttavia, possono gestire le integrazioni e configurare le impostazioni solo per i sistemi di cui sono proprietari come proprietari delle risorse.

Mansione Può creare un sistema orchestrato Può gestire il sistema orchestrato
Amministratore proprietario applicazione SÌ (Origine affidabile e Sistema gestito)
Amministratore limitato proprietario applicazione SÌ (solo sistema gestito) limitato alle risorse che possiedono

L'amministratore limitato proprietario applicazione è responsabile principalmente di:

  • Impostare le integrazioni con un'applicazione come sistema gestito creando un sistema orchestrato.
  • Gestisce e configura il sistema orchestrato per il quale è proprietario della risorsa.
    Nota

    AG_AppOwner_Admin_Restricted non può attivare identità o configurare attributi di identità per un sistema orchestrato. A tale scopo, è necessario disporre del ruolo AG_Administrator.
Inoltre, l'amministratore limitato al proprietario dell'applicazione:
  • Può creare flussi di lavoro di approvazione
  • Può creare raccolte di identità
  • Può creare bundle accessi e bundle accessi generati automaticamente
  • Il proprietario di una risorsa può modificare, eliminare e visualizzare le risorse di cui è proprietario. Le risorse possono essere qualsiasi entità di Oracle Access Governance (accessi a bundle, organizzazioni, raccolte di identità, criteri, flussi di lavoro di approvazione, sistemi orchestrati, Access Guardrails, bundle di accesso generati automaticamente o ruoli).
  • In qualità di revisore associato ai flussi di lavoro di approvazione, approvare le richieste di accesso e rivedere i task di accesso.
  • L'utente può visualizzare i privilegi assegnati per i riporti autonomi e diretti.
  • L'utente può utilizzare il modulo self-service per richiedere nuovo accesso, tenere traccia delle richieste, assegnare preferenze e così via.

Scenario: se al ruolo AG_AppOwner_Admin_Restricted è assegnato Betty, Betty può stabilire nuove integrazioni come sistema gestito creando un nuovo sistema orchestrato dalla pagina Amministrazione servizioSistemi orchestrati. Tuttavia, Betty non può creare un'origine affidabile. Inoltre, Betty può configurare le impostazioni per i sistemi orchestrati solo se Betty è assegnato come proprietario della risorsa (proprietario principale o uno dei proprietari aggiuntivi) per la risorsa di sistema orchestrata.

Amministratore di controllo dell'accesso (AG_AccessControl_Admin)

L'amministratore di Oracle Access Governance Access Control è responsabile della gestione dell'amministrazione di Access Control in Oracle Access Governance.

Mansione Può creare risorse di controllo dell'accesso Può gestire le risorse di controllo dell'accesso
Amministratore controllo degli accessi
Amministratore con controllo dell'accesso limitato limitato alle risorse che possiedono

L'amministratore del controllo dell'accesso è responsabile principalmente di:

  • Creare e gestire raccolte di identità
  • Creare e gestire i bundle accessi
  • Creare e gestire i flussi di lavoro di approvazione
  • Creazione e gestione dei ruoli
  • Creare e gestire i criteri
  • Creare e gestire i guardrail di accesso
  • Creare e gestire organizzazioni dalla pagina Gestisci identità
Inoltre, l'amministratore del controllo dell'accesso:
  • Il proprietario di una risorsa può modificare, eliminare e visualizzare le risorse di cui è proprietario. Le risorse possono essere qualsiasi entità di Oracle Access Governance (accessi a bundle, organizzazioni, raccolte di identità, criteri, flussi di lavoro di approvazione, sistemi orchestrati, Access Guardrails o ruoli).
  • Un revisore associato ai flussi di lavoro di approvazione può approvare le richieste di accesso e rivedere i task di accesso.
  • L'utente può visualizzare i privilegi assegnati per i riporti autonomi e diretti.
  • L'utente può utilizzare il modulo self-service per richiedere nuovo accesso, tenere traccia delle richieste, assegnare preferenze e così via.

Amministratore con controllo dell'accesso limitato (AG_AccessControl_Admin_Restricted)

Oracle Access Governance Access Control Restricted Administrator è responsabile della creazione delle risorse dei controlli di accesso in Oracle Access Governance.

Mansione Può creare risorse di controllo dell'accesso Può gestire le risorse di controllo dell'accesso
Amministratore controllo degli accessi
Amministratore con controllo dell'accesso limitato limitato alle risorse che possiedono

L'amministratore con limitazioni di controllo dell'accesso è responsabile principalmente di:

  • Creare raccolte di identità, bundle accessi, flussi di lavoro di approvazione, ruoli, criteri e organizzazioni.
Inoltre, l'amministratore con controllo dell'accesso limitato:
  • Il proprietario di una risorsa può modificare, eliminare e visualizzare le risorse di cui è proprietario. Le risorse possono essere qualsiasi entità di Oracle Access Governance (accessi a bundle, organizzazioni, raccolte di identità, criteri, flussi di lavoro di approvazione, sistemi orchestrati, Access Guardrails o ruoli).
  • Un revisore associato ai flussi di lavoro di approvazione può approvare le richieste di accesso e rivedere i task di accesso.
  • L'utente può visualizzare i privilegi assegnati per i riporti autonomi e diretti.
  • L'utente può utilizzare il modulo self-service per richiedere nuovo accesso, tenere traccia delle richieste, assegnare preferenze e così via.

Scenario: se a Betty viene assegnato il ruolo AG_AccessControl_Admin_Restricted, Betty può creare risorse di controllo dell'accesso, ad esempio nuove raccolte di identità, flussi di lavoro di approvazione, criteri, ruoli, autorizzazioni di package nei bundle accessi utilizzando il modulo Controlli di accesso. Tuttavia, Betty può gestire (visualizzare, modificare, eliminare e così via) queste risorse solo se Betty è assegnato come proprietario della risorsa (proprietario principale o uno dei proprietari aggiuntivi) per le risorse.

Revisore (AG_AUDITOR)

Il ruolo Auditor di Oracle Access Governance è responsabile del monitoraggio di tutte le campagne. Possono visualizzare i dettagli della campagna e scaricare il report di revisione degli accessi per ogni campagna. Oltre a visualizzare il report, il revisore può salvare i report offline in formato PDF o scaricare i dati CSV per la gestione dei record o ulteriori analisi o audit.

Inoltre, a seconda della proprietà fornita all'interno di Oracle Access Governance, un auditor può:
  • Il proprietario della campagna può modificare, eliminare e monitorare le campagne di revisione degli accessi di proprietà personale.
  • Un revisore degli accessi può esaminare e certificare i task di revisione degli accessi se associati a un flusso di lavoro di approvazione specifico.
  • Come proprietario di una risorsa, visualizzare, modificare ed eliminare le risorse di cui è proprietario.
  • Crea raccolte di identità.
  • Gestisce le raccolte di identità di cui è proprietario.

Utente (AG_USER)

L'utente di Oracle Access Governance è un utente finale responsabile della visualizzazione e della gestione degli accessi tramite Oracle Access Governance. Per impostazione predefinita, a tutti gli utenti di Oracle Access Governance Active Workforce viene assegnato questo ruolo.

L'amministratore del dominio cloud può anche assegnare questo ruolo applicazione (AG_USER) dalla pagina del servizio cloud OCI. Gli utenti si impegnano principalmente in task self-service, che possono includere la richiesta di autorizzazioni tramite Bundle di accesso o Ruoli, la visualizzazione dei dettagli di accesso, la gestione delle preferenze, la modifica delle password degli account e così via.

Inoltre, in base alla proprietà fornita in Oracle Access Governance, un Utente Finale:
  • Il proprietario della campagna può modificare, eliminare e monitorare le campagne di revisione degli accessi di proprietà personale.
  • Un revisore degli accessi può esaminare e certificare i task di revisione degli accessi se associati a un flusso di lavoro di approvazione specifico.
  • Come proprietario di una risorsa, visualizzare, modificare ed eliminare le risorse di cui è proprietario.
  • Crea raccolte di identità.
  • Gestisce le raccolte di identità di cui è proprietario.