Documentazione dell'infrastruttura Oracle Cloud

Gestione del ciclo di vita degli account - Processo JML (Automated Provisioning for Joiners Movers and Leavers)

Oracle Access Governance supporta il provisioning e l'annullamento del provisioning automatizzati di account e accessi in base alla fase del ciclo di vita delle identità. Il ciclo di vita delle identità prevede tre fasi chiave: Joiners, Movers e Leavers, comunemente noto come processo JML. Il supporto per questo processo prevede la creazione, la modifica e l'eliminazione degli account di identità e delle relative autorizzazioni di accesso in base alla modifica degli attributi nel sistema orchestrato integrato.

Questo processo garantisce che le identità ottengano automaticamente l'accesso richiesto senza inviare manualmente la richiesta di accesso. Non solo riduce gli oneri amministrativi, ma garantisce anche l'integrità e la conformità dei dati. Altri modi per eseguire il provisioning sono richiedere l'accesso manualmente o eseguirne il provisioning direttamente dal sistema gestito. Per ulteriori informazioni, vedere Visualizza richieste di accesso personali.

Gli utenti con ruolo AG_ServiceDesk_Admin possono gestire direttamente il ciclo di vita degli account senza alcun flusso di lavoro di approvazione. Nella pagina Gestisci identità → Identità è possibile abilitare, disabilitare, eliminare gli account o terminare tutti gli account e gli accessi associati per un'identità. È inoltre possibile riprovare a eseguire il provisioning per gli stati non riusciti o in sospeso e revocare le autorizzazioni assegnate direttamente o tramite le richieste. Per i passi dettagliati, vedere Gestisci il ciclo di vita degli account con il supporto di Service Desk Executive.

Con Oracle Access Governance:

  • I partecipanti ottengono il loro diritto di nascita quando si uniscono all'azienda.
  • Gli utenti ottengono gli accessi necessari quando cambiano ruolo, ricevono trasferimenti interni o ricevono promozioni all'interno dell'azienda.
  • I licenziatari hanno il loro account revocato (eliminato o disabilitato) una volta usciti dall'azienda.

In Oracle Access Governance, le informazioni di identità vengono create utilizzando un set di attributi di identità core e personalizzati. Ogni volta che si crea, modifica o aggiorna un record di identità nell'origine affidabile, Oracle Access Governance acquisisce i dati più recenti nell'operazione di caricamento dei dati imminente e avvia le operazioni di provisioning/annullamento del provisioning corrispondenti. Oracle Access Governance ottiene questo meccanismo di controllo dell'accesso granulare e flessibile utilizzando il modello PBAC (Policy-Based Access Control, controllo dell'accesso basato sui criteri). Oracle Access Governance assegna l'appartenenza alle identità utilizzando gli attributi (ABAC (Attribute-Based Access Control)), quindi esegue il provisioning delle identità in base ai criteri definiti. Un criterio può utilizzare ulteriormente il modello di controllo dell'accesso basato sui ruoli per assegnare le autorizzazioni appropriate basate sui ruoli incluse negli attributi di identità.

Operazioni supportate: Crea account, Leggi account, Assegna autorizzazioni, Revoca autorizzazioni, Modifica password, Disabilita account, Aggiorna account, Elimina account. Per ulteriori dettagli, consultare la documentazione specifica del sistema orchestrato come indicato in Supported Integrations in Oracle Access Governance.

Inserimento dipendenti - Provisioning joiner

Quando un nuovo dipendente entra o viene assunto in un'azienda, viene creato un nuovo record nell'origine affidabile, ad esempio Oracle HCM. Una volta inserite le identità in Oracle Access Governance, è possibile eseguire il provisioning dell'accesso con diritto di nascita o del set predefinito di account e autorizzazioni in base alle configurazioni di controllo dell'accesso eseguite in Oracle Access Governance.

Il processo Joiners garantisce che ogni nuovo dipendente ottenga l'account e le autorizzazioni necessari per avviare il processo di onboarding.

Quando un'identità viene inserita ed è attiva in Oracle Access Governance, tutti gli attributi di identità vengono confrontati con i criteri definiti. Se un criterio di Oracle Access Governance concede a determinati ruoli o bundle accessi l'accesso alle identità appartenenti a un reparto specifico, ne viene eseguito il provisioning per tale ruolo o bundle accessi.

Scenario: quando un nuovo dipendente, Alice, entra a far parte del reparto Successo del cliente della divisione Vendite, il provisioning di Joiners garantisce che Alice riceva tutti gli account e le autorizzazioni obbligatori applicabili alla sua divisione e al suo reparto. Esaminiamo come ottenere questo risultato in Oracle Access Governance.

Esecuzione del provisioning dei join in Oracle Access Governance

Prendendo lo scenario sopra riportato, esaminiamo i passi di alto livello coinvolti per ottenere il provisioning dei Joiners in Oracle Access Governance:

  1. In qualità di amministratore del controllo dell'accesso, impostare la configurazione del controllo dell'accesso come indicato di seguito.
    1. Creare una raccolta di identità in base alle regole di appartenenza. Ad esempio, creare una raccolta di identità con regola di appartenenza Organizzazione di origine uguale a Vendite e un'altra raccolta di identità in cui Reparto è uguale a Successo del cliente. Per ulteriori dettagli, vedere Crea raccolte di identità.
    2. Creare un bundle di accesso o un ruolo e l'accesso al package per le autorizzazioni necessarie. Ad esempio, creare un bundle accessi Sales_AB con autorizzazioni applicabili a Sales e un altro bundle accessi Customer_Success_AB con autorizzazioni applicabili a Customer Success. Per ulteriori dettagli, vedere Crea bundle accessi.
    3. Creare un criterio e associare le autorizzazioni parte del bundle di accesso alla raccolta di identità. Ad esempio, creare un criterio Sales_Policy e associare Sales_AB alla raccolta di identità Vendite. Analogamente, creare Customer_Success_Policy e associare Customer_Success_AB alla raccolta di identità Successo del cliente. Per ulteriori dettagli, vedere Creare un criterio.
  2. Origine autore registra un nuovo record di un dipendente. Ad esempio, HR aggiunge un nuovo record di Alice con Business unit come vendite e reparto come Successo del cliente.
  3. Il sistema orchestrato esegue il caricamento dei dati, acquisisce i dati più recenti e crea un profilo di identità composto in Oracle Access Governance. Per ulteriori informazioni, vedere Flusso del processo di orchestrazione delle identità.

Un nuovo profilo di identità viene creato in Oracle Access Governance. Gli attributi vengono confrontati con i criteri definiti e vengono attivate le operazioni di provisioning appropriate. Per i Joiners, il sistema orchestrato attiva le operazioni di provisioning Crea account e Aggiungi dati account o autorizzazione per assegnare nuovi account e autorizzazioni.

Convalida provisioning dei join in Oracle Access Governance

  • In qualità di amministratore dell'accesso a livello aziendale, è possibile cercare l'identità per visualizzare i dettagli completi dell'identità con attributi di identità, autorizzazioni e informazioni sull'account. È inoltre possibile visualizzare i dettagli della raccolta di identità per verificare il nuovo elenco di membri.
  • In qualità di Identity Manager, è possibile visualizzare i dettagli completi dell'identità per i riporti diretti in Chi ha accesso a cosaAccesso ai riporti diretti personali.
  • Come utente, è possibile convalidare gli account e le autorizzazioni dalla pagina Proprietà personaliAccesso personale.

A seconda delle impostazioni account configurate per il sistema orchestrato, un utente o un responsabile utenti riceverà una notifica ogni volta che vengono creati nuovi account. Per impostazione predefinita, le notifiche vengono inviate all'utente. Per ulteriori informazioni, vedere Configura impostazioni account di sistema orchestrato.

Trasferimenti dipendenti - Provisioning spostamenti

Quando un dipendente trasferisce, riposiziona o ottiene una promozione all'interno di un'organizzazione, un record viene aggiornato per tale dipendente nell'origine affidabile. Al momento del trasferimento, l'identità deve avere accesso solo ai privilegi appropriati relativi al nuovo profilo mansione. Gli account e le autorizzazioni rimanenti devono essere revocati in base alle impostazioni del ciclo di vita dell'account. È possibile ottenere questo provisioning automatico in base alle configurazioni di controllo dell'accesso eseguite in Oracle Access Governance.

Il processo Spostamenti garantisce che solo il set necessario e corretto di autorizzazioni o account venga assegnato ai dipendenti di cui hanno bisogno nel nuovo ruolo.

Scenario: quando un dipendente, Alice, ottiene il trasferimento interno dal reparto Successo del cliente al reparto Vendite cloud della divisione Vendite, il provisioning di Spostamenti garantisce che Alice riceva tutti i privilegi applicabili al suo nuovo ruolo e revoca o disabilita gli account e le autorizzazioni precedenti necessari al suo precedente ruolo. In questo esempio, Alice continuerà ad avere le autorizzazioni applicabili per la divisione Vendite, ma otterrà nuovi privilegi pertinenti nel reparto Cloud Sales. Se non è più applicabile, i suoi account precedenti vengono disabilitati o revocati e vengono rimosse anche le autorizzazioni associate agli account. Esaminiamo come ottenere questo risultato in Oracle Access Governance.

Esecuzione del provisioning degli spostamenti in Oracle Access Governance

Prendendo lo scenario precedente, esaminiamo i passi di alto livello coinvolti per ottenere il provisioning di Movers in Oracle Access Governance:

  1. In qualità di amministratore del controllo dell'accesso, è necessario disporre di questa impostazione minima, come indicato di seguito.
    1. Creare una raccolta di identità in base alle regole di appartenenza. Ad esempio, creare una raccolta di identità con regola di appartenenza Reparto uguale a Cloud Sales e un'altra raccolta di identità in cui Reparto è uguale a Successo del cliente. Per ulteriori dettagli, vedere Crea raccolte di identità.
    2. Creare un bundle di accesso o un ruolo e l'accesso al package per le autorizzazioni necessarie. Ad esempio, creare un bundle accessi Cloud_Sales_AB con autorizzazioni applicabili a Cloud Sales e a un altro bundle accessi Customer_Success_AB con autorizzazioni applicabili a Customer Success. Per ulteriori dettagli, vedere Crea bundle accessi.
    3. Creare un criterio e associare le autorizzazioni parte del bundle di accesso alla raccolta di identità. Ad esempio, creare un criterio Cloud_Sales_Policy e associare Cloud_Sales_AB a Cloud Sales. Per ulteriori dettagli, vedere Creare un criterio.
  2. Origine autore registra un aggiornamento per l'identità. Ad esempio, HR aggiorna il reparto di Alice da Successo del cliente a Cloud Sales.
  3. Il sistema orchestrato esegue il caricamento dei dati, acquisisce i dati più recenti e crea un profilo di identità composto in Oracle Access Governance. In base alle impostazioni del ciclo di vita dell'account per un sistema orchestrato, le autorizzazioni o gli account vengono disabilitati o revocati. Per ulteriori informazioni, vedere Flusso del processo di orchestrazione delle identità.

    Gli utenti con il ruolo AG_ServiceDesk_Admin possono revocare direttamente le autorizzazioni dalla pagina Gestisci identità utilizzando l'operazione Revoca autorizzazione. Il tipo di privilegio di queste autorizzazioni deve essere DIRECT o Bundle accessi concessi tramite REQUEST. Non puoi revocare le autorizzazioni per i sistemi Oracle Cloud Infrastructure (OCI) o Oracle Identity Governance (OIG). Per i passi dettagliati, vedere Revoca una o più autorizzazioni per un account.

Convalida provisioning di Movers in Oracle Access Governance

Per gli spostamenti, Orchestrated System in genere attiva le operazioni riportate di seguito.
  • Per annullare l'associazione delle autorizzazioni precedenti agli account di identità, viene attivato Rimuovi dati account o autorizzazione.
  • Per disabilitare i conti, viene attivato Aggiorna conto oppure, per eliminarli, viene attivato Revoca.
  • Per associare nuovi account e autorizzazioni, viene attivato Crea account e Aggiungi dati account o autorizzazione.
  • Se solo le autorizzazioni sono diverse, l'account rimane abilitato, ma le operazioni Aggiungi dati account o autorizzazione e/o Rimuovi dati account o autorizzazione vengono attivate per aggiornare le autorizzazioni per tale account.
  • Se un account disabilitato è abilitato, viene attivato Aggiorna account insieme a Aggiungi dati account o autorizzazione e/o Rimuovi dati account o autorizzazione.
È possibile verificare le modifiche nella console di Oracle Access Governance:
  • In qualità di amministratore dell'accesso a livello aziendale, è possibile cercare l'identità e visualizzare i dettagli completi dell'identità con attributi di identità, autorizzazioni e informazioni sull'account. È inoltre possibile visualizzare i dettagli della raccolta di identità per verificare il nuovo elenco di membri.
  • Come utente, è possibile convalidare gli account e le autorizzazioni dalla pagina Proprietà personaliAccesso personale.

A seconda delle impostazioni account configurate per il sistema orchestrato, un utente o un responsabile utenti riceverà una notifica ogni volta che vengono creati nuovi account. Per impostazione predefinita, le notifiche vengono inviate all'utente. Gli account esistenti possono essere eliminati o disattivati in base alle impostazioni dell'account. Per ulteriori informazioni, vedere Configura impostazioni account di sistema orchestrato.

Licenziamento dipendenti - De-provisioning licenziamenti

Quando un dipendente esce dall'azienda, un record viene eliminato o disabilitato nell'origine affidabile. All'uscita, tutti gli account e i privilegi associati assegnati a tale identità verranno eliminati o disabilitati dal sistema gestito.

Il processo Lascia garantisce che tutti gli account e le autorizzazioni assegnati all'identità vengano revocati automaticamente alla loro uscita. Quando un'identità esce e viene contrassegnata come Inattiva in Oracle Access Governance, gli accessi all'identità vengono revocati o disabilitati in base alle impostazioni dell'account.

Gli utenti con il ruolo AG_ServiceDesk_Admin possono revocare direttamente le autorizzazioni dalla pagina Gestisci identità utilizzando l'operazione Revoca autorizzazione. Il tipo di privilegio di queste autorizzazioni deve essere DIRECT o Bundle accessi concessi tramite REQUEST. Non puoi revocare le autorizzazioni per i sistemi Oracle Cloud Infrastructure (OCI) o Oracle Identity Governance (OIG). Per i passi dettagliati, vedere Revoca una o più autorizzazioni per un account.

Gli utenti con il ruolo AG_ServiceDesk_Admin ora possono disabilitare direttamente gli account gestiti da Oracle Access Governance dalla pagina Gestisci identità, utilizzando l'operazione Disabilita account. Una volta disabilitato, tutti gli accessi associati vengono revocati. Gli account possono comunque essere gestiti da Oracle Access Governance. Per informazioni dettagliate, vedere Disabilitare e abilitare un account gestito da Oracle Access Governance.

Scenario: quando un dipendente, Alice, esce dall'azienda, l'annullamento del provisioning di Leaver garantisce che tutti gli account e le autorizzazioni assegnati applicabili al proprio ruolo vengano revocati (eliminazione o disabilitazione). Esaminiamo come ottenere questo risultato in Oracle Access Governance.

Esecuzione dell'annullamento del provisioning dei licenziatari in Oracle Access Governance

Prendendo lo scenario sopra riportato, esaminiamo i passi di alto livello coinvolti per ottenere l'annullamento del provisioning dei leaver in Oracle Access Governance:

  1. In qualità di amministratore del controllo dell'accesso, è necessario disporre di questa impostazione minima, come indicato di seguito.
    1. Una raccolta di identità basata su regole di appartenenza. Per ulteriori dettagli, vedere Crea raccolte di identità.
    2. Un bundle di accesso o un ruolo in cui le autorizzazioni necessarie vengono raggruppate insieme. Per ulteriori dettagli, vedere Crea bundle accessi e Gestisci ruoli.
    3. Criterio che associa le autorizzazioni (tramite il bundle accessi) alla raccolta di identità. Per ulteriori dettagli, vedere Creare un criterio.
  2. Origine autore: disattiva un record esistente di un dipendente nel sistema.
  3. Il sistema orchestrato esegue il caricamento dei dati e acquisisce i dati più recenti. Per ulteriori informazioni, vedere Flusso del processo di orchestrazione delle identità.

Quando un profilo di identità viene disattivato e il caricamento dati riesce, viene attivato un task di provisioning Revoca o Aggiorna account per eliminare o disabilitare gli account dell'identità. Le autorizzazioni associate all'account vengono revocate e Rimuovi dati account o autorizzazione viene attivato per rimuovere le autorizzazioni dal sistema gestito. Per ulteriori informazioni, vedere Configura impostazioni account di sistema orchestrato.