Documentazione dell'infrastruttura Oracle Cloud

Crea un bundle degli accessi

Un bundle accessi è una raccolta di autorizzazioni che raggruppano l'accesso alle risorse, alle funzioni dell'applicazione e alle funzionalità in un'unità richiedibile. Un bundle accessi specifico verrà associato a una singola destinazione.

Panoramica

Con i bundle accessi, non è necessario concedere l'accesso a ciascuna autorizzazione singolarmente, ma è possibile richiedere il bundle accessi per tale risorsa. Ciò semplifica il processo di provisioning degli account con autorizzazioni per le risorse.

Esempio: è possibile creare un bundle accessi per gli sviluppatori utilizzando l'applicazione target Oracle Apex. È possibile chiamare questo bundle Apex Developer Access e selezionare le autorizzazioni di lettura, modifica e creazione necessarie per consentire a uno sviluppatore di utilizzare l'applicazione. Quando uno sviluppatore della tua organizzazione deve richiedere l'accesso dello sviluppatore ad Apex, deve solo richiedere il bundle, non le tre autorizzazioni individuali. È possibile assegnare automaticamente queste autorizzazioni tramite i criteri di Oracle Access Governance.

Gestire gli accessi utilizzando i bundle di accesso di Oracle Access Governance

È possibile gestire i gruppi per Microsoft Entra ID (in precedenza Azure Active Directory) e Microsoft Active Directory.

Sistema orchestrato di Oracle Cloud Infrastructure (OCI)
Per i domini che gestiscono le autorizzazioni, le autorizzazioni vengono inserite in pacchetti come gruppi IAM OCI e ruoli applicazione. È possibile ottenere:
  • Assegnazione gruppo: raggruppa i gruppi IAM OCI in un bundle di accesso, che può quindi essere assegnato alle identità tramite un criterio o una richiesta di accesso.
  • Assegnazione ruolo applicazione: raggruppa i ruoli applicazione dei servizi cloud OCI in un bundle di accesso, che può quindi essere assegnato alle identità tramite un criterio o una richiesta di accesso.

Passa a bundle accessi

Per passare alla pagina Bundle accessi, effettuare le operazioni riportate di seguito.

  1. Connettersi a Oracle Access Governance Console con un utente assegnato con il ruolo applicazione Amministratore o Amministratore controllo accessi.
  2. È possibile selezionare una delle opzioni riportate di seguito per passare alla pagina Bundle accessi.
    • Fare clic sull'icona del menu di navigazione Menu di navigazione e selezionare Controlli di accesso > Bundle di accesso.
    • Nella home page della console fare clic sulla scheda Controlli di accesso, quindi sul pulsante Seleziona nella casella Gestisci bundle accessi.
    Indipendentemente dall'opzione scelta, si passerà alla pagina Bundle accessi, in cui è possibile creare, visualizzare e gestire i bundle accessi.
  3. Per creare un nuovo bundle accessi, fare clic sul pulsante Crea un bundle accessi. Viene visualizzata la pagina Crea un nuovo bundle accessi.

Impostazioni bundle

Nel task Impostazioni bundle è possibile immettere le impostazioni generali relative al bundle accessi. È inoltre possibile aggiungere tag user friendly che possono essere utilizzate in una ricerca per questo bundle accessi durante la creazione dei criteri.

  1. Selezionare il sistema orchestrato nel campo A quale sistema è destinato questo bundle?
    Verranno visualizzate le applicazioni disponibili per la selezione, a seconda dei dati inclusi dai sistemi integrati.
  2. [Solo OCI] Selezionare il dominio nel campo Quale dominio? dal quale si desidera selezionare i ruoli applicazione o i gruppi IAM OCI.
  3. [Solo OCI] Nel campo Quale tipo di autorizzazione? selezionare una delle seguenti opzioni:
    • Ruolo applicazione: consente di raggruppare i ruoli applicazione OCI in un bundle accessi e assegnarli alle identità.
    • Accesso ai gruppi: consente di creare un package e assegnare i gruppi IAM OCI in un bundle accessi.
    Non è possibile combinare ruolo applicazione e accesso gruppo in un singolo bundle accessi. Potete creare un ruolo in Oracle Access Governance e associarvi due bundle di accesso separati. Questi possono quindi essere richiesti tramite flussi self-service o sottoposti a provisioning tramite i criteri di Oracle Access Governance. Per informazioni dettagliate, vedere Gestire i ruoli.
  4. Selezionare chi può richiedere questo bundle tra le scelte disponibili:
    • Qualsiasi: qualsiasi identità può richiedere l'accesso a questo bundle accessi.
    • Nessuno: il bundle accessi può essere assegnato solo da un amministratore tramite criteri. Impossibile richiedere l'accesso a questo bundle accessi tramite flussi self-service.
    • Membri dell'organizzazione: solo i membri di organizzazioni specifiche possono richiedere l'accesso a questo bundle tramite flussi self-service. Per ulteriori dettagli sulla gestione dell'organizzazione di Oracle Access Governance, vedere Creazione e gestione di organizzazioni.
  5. Per Membri dell'organizzazione, selezionare uno o più nomi organizzazione che possono richiedere l'accesso a questo bundle accessi.
  6. Selezionare il workflow di approvazione appropriato nel campo Quale workflow di approvazione deve essere utilizzato?.
    La lista visualizzata si basa sui flussi di lavoro di approvazione personalizzati creati in Oracle Access Governance Console. Per ulteriori informazioni, vedere Creare un flusso di lavoro di approvazione.
    Nota

    Se è stato selezionato Nessuno, questo campo verrà disabilitato poiché è possibile eseguire il provisioning dei bundle di accesso utilizzando i criteri.
  7. Selezionare la casella di controllo Approvazione automatica delle richieste senza Access Guardrail o violazioni SoD per attivare il workflow di approvazione selezionato solo quando una richiesta di accesso causa una violazione di un guardrail di accesso o di una segregazione delle responsabilità (SoD), altrimenti la richiesta viene approvata automaticamente.
  8. Selezionare una o più tag per questo bundle accessi nel campo Aggiungere tag?. Alcuni esempi possono essere General-org , Database Admin o simili.
  9. Nella lista Selezionare un guardrail di accesso necessario per consentire l'accesso, selezionare il guardrail di accesso appropriato per applicare la separazione dei compiti o dei vincoli di accesso per il bundle di accesso. Per ulteriori informazioni, vedere Access Guardrails - Enforcing Preventive Access Control Constraints.
  10. Fare clic su Avanti per passare al task Seleziona autorizzazioni.

Seleziona permessi

Nel task Seleziona autorizzazioni è possibile selezionare le autorizzazioni da includere in questo bundle accessi. In base al sistema orchestrato, è possibile che vengano visualizzati attributi aggiuntivi necessari per il provisioning degli account. Per ulteriori informazioni sugli attributi predefiniti, fare riferimento agli articoli di sistema orchestrati specifici. Per OCI, puoi selezionare i gruppi o i ruoli applicazione IAM OCI.

  1. Selezionare una o più autorizzazioni associate all'applicazione di destinazione. In alternativa, è possibile utilizzare il campo Cerca per individuare l'autorizzazione o il ruolo richiesti.
  2. Dopo aver selezionato le autorizzazioni, fare clic su Successivo per passare al task Aggiungi dettagli.

Aggiungi proprietari principali e aggiuntivi

È possibile associare la proprietà delle risorse aggiungendo proprietari principali e aggiuntivi. Il servizio self-service consente ai proprietari di gestire (leggere, aggiornare o eliminare) le risorse di cui sono proprietari. Per impostazione predefinita, l'autore della risorsa viene designato come proprietario della risorsa. È possibile assegnare un proprietario principale e fino a 20 proprietari aggiuntivi per le risorse.

Per assegnare la proprietà delle risorse, è necessario disporre di utenti attivi di Oracle Access Governance. Quando si imposta il primo sistema orchestrato per l'istanza del servizio, è possibile assegnare i proprietari solo dopo aver abilitato le identità dalla sezione Gestisci identità.
Non sono necessari ruoli applicazione speciali per l'assegnazione della proprietà delle risorse. Qualsiasi utente attivo di Oracle Access Governance può essere assegnato come proprietario delle risorse. Tutti i proprietari possono leggere, aggiornare o eliminare le risorse di loro proprietà. Tuttavia, il proprietario principale viene assegnato come revisore dell'accesso quando si sceglie il modello Proprietario nel flusso di lavoro di approvazione per l'esecuzione di revisioni proprietà nelle campagne. Per ulteriori informazioni, vedere Tipi di revisioni degli accessi offerti da Oracle Access Governance.
  1. Dall'icona del menu di navigazione di Oracle Access Governance Menu di navigazione, selezionare Amministrazione servizi → Sistemi orchestrati.
  2. Selezionare l'opzione Gestisci integrazione dal menu delle azioni menu azioni per il sistema orchestrato che si desidera configurare. Viene visualizzata la pagina Gestisci integrazione per il sistema orchestrato selezionato.
  3. Nella sezione Impostazioni di sistema della pagina, selezionare Gestisci nella casella Impostazioni proprietà. Verrà visualizzata la pagina Impostazioni proprietà per il sistema orchestrato selezionato.
  4. Selezionare un utente attivo di Oracle Access Governance come proprietario principale nel campo Chi è il proprietario principale?.
  5. Selezionare uno o più proprietari aggiuntivi nell'elenco Chi altro lo possiede?. È possibile aggiungere fino a 20 proprietari aggiuntivi per la risorsa.
    È possibile visualizzare il proprietario principale nell'elenco. Tutti i proprietari possono visualizzare e gestire le risorse di cui sono proprietari.

Accesso limite di tempo

Impostare un periodo di scadenza per limitare l'accesso in base a giorni o ore. È inoltre possibile consentire agli utenti di richiedere un'estensione prima che l'accesso venga revocato alla scadenza. L'accesso in base al tempo garantisce che le identità abbiano accesso solo per il periodo richiesto, migliorando la sicurezza.

L'accesso limitato al tempo si applica solo alle richieste di accesso self-service e non si applica quando l'accesso viene concesso tramite un criterio.
  1. Per quanto tempo è necessario concedere l'accesso?: selezionare una delle opzioni riportate di seguito.
    1. Sicuramente: consente l'accesso permanente senza limiti di tempo. L'accesso viene recuperato solo se revocato manualmente o se l'account è disabilitato.
    2. Numero massimo di giorni [1-365]: immettere il numero massimo di giorni per concedere l'accesso. L'accesso verrà revocato dopo questo periodo.
    3. Numero massimo di ore [1-24]: immettere il numero massimo di ore per concedere l'accesso. L'accesso verrà revocato dopo le ore specificate.
  2. Quanti giorni/ore prima della scadenza è necessario inviare una notifica?: in base alla selezione di giorni o ore per l'accesso, immettere il numero di giorni o ore prima della scadenza per inviare una notifica e-mail all'utente.
  3. Qual è il numero massimo di giorni/ore di estensione consentiti?: in base alla selezione di giorni o ore per l'accesso effettuata, immettere il numero massimo di giorni/ore consentiti per un'estensione dopo la scadenza dell'accesso. Se consentito, le identità possono generare una richiesta di estensione di accesso self-service dalla pagina Accesso personale.
    • Se il bundle accessi è limitato nel tempo, il periodo di estensione è determinato dalla configurazione del bundle accessi.
    • Se il bundle accessi è indefinito, per impostazione predefinita le estensioni sono consentite fino a 90 giorni.
  4. Quale flusso di lavoro di approvazione deve essere utilizzato per le richieste di estensione?: selezionare il flusso di lavoro di approvazione appropriato da utilizzare per approvare la richiesta di estensione.

Aggiungi Dettagli

In questo task Aggiungi dettagli è possibile assegnare un nome al bundle accessi, aggiungere una descrizione di supporto e allegare un profilo account.

  1. Immettere il nome del bundle accessi nel campo Nome.
  2. Aggiungere una descrizione per il bundle accessi nel campo Descrizione.
    Nota

    Gli altri campi della schermata dipendono dal tipo di destinazione e dalle autorizzazioni selezionate nei task precedenti.
  3. Selezionare una delle seguenti azioni per il campo Utilizzare un profilo conto?. Per ulteriori informazioni, vedere Impostazione dei profili dei conti in Oracle Access Governance.
    • : selezionare un profilo conto dall'elenco Quale profilo conto?.
    • No: immettere i valori negli altri campi visualizzati a seconda del sistema gestito.
  4. Fare clic su Successivo per passare al task Rivedi e sottometti.

Rivedere e sottomettere

Il task Rivedi e sottometti visualizza le informazioni aggiunte nei task precedenti.

Se l'aspetto è corretto, fare clic su Crea per creare il bundle accessi. È possibile selezionare azioni di aggiunta:
  • Annulla: consente di annullare il processo.
  • Indietro: consente di tornare al passo precedente.
  • Salva come bozza: consente di salvare il bundle accessi come copia bozza. Verrà visualizzato il bundle accessi nella schermata Bundle accessi con stato 'Bozza'.