Documentazione dell'infrastruttura Oracle Cloud

Gestisci attributi identità

Gli attributi di identità si riferiscono alle proprietà di un'identità, ad esempio nome, ubicazione, codice mansione, nome organizzazione e così via. Una volta integrati i sistemi di origine autorevoli, internamente viene creato un profilo di identità globale contenente attributi core e Custom e affiliazioni all'interno di Oracle Access Governance.

Introduzione alla creazione di un profilo identità globale

Le identità in Oracle Access Governance sono basate su attributi di base, attributi personalizzati e affiliazioni. Dopo aver integrato le origini autorevoli, Oracle Access Governance crea un profilo di identità globale. Inoltre, è possibile aggiungere attributi specifici del sistema per rappresentare attributi complessi o relazioni tra questi attributi.


Attributi identità in Oracle Access Governance

Durante il processo di inclusione dei dati, è possibile applicare la trasformazione in entrata e mappare gli attributi di identità.

In base agli attributi inclusi, viene creato un profilo di identità globale. Questo profilo comprende attributi di base, attributi personalizzati e affiliazioni definite dall'utente. È inoltre possibile definire i propri attributi di sistema semplici o complessi in base alle esigenze.
  • Attributi di base: attributi di identità standardizzati fissi riconosciuti dallo schema di Oracle Access Governance, obbligatori per l'esecuzione dell'operazione di gestione degli accessi e di revisione.
  • Attributi personalizzati: attributi aggiuntivi non standard, semplici o complessi, creati per soddisfare requisiti aziendali specifici oltre la serie standard. È possibile gestire gli attributi di sistema predefiniti o creare nuovi attributi per un determinato sistema orchestrato. Gli attributi personalizzati possono essere attributi di sistema, appartenenti a un sistema orchestrato specifico o attributi AG.
    • Attributi di sistema: proprietà di identità per un sistema orchestrato integrato. I valori per questi attributi possono essere derivati da origini autorevoli o mediante una regola. Ad esempio, codice mansione, relazione di lavoro, stato dipendente inclusi da origini autorevoli e sincronizzati regolarmente.
      Nota

      Per gestire l'attributo di sistema, andare alla pagina Gestisci integrazioniAttributi identità per il sistema. Vedere Modifica delle impostazioni di integrazione per un sistema orchestrato.
    • Attributi AG: creati e utilizzati esclusivamente all'interno di Oracle Access Governance e mai mappati da un'origine affidabile. Il suo valore è sempre generato dalle regole. Ad esempio, risk score, stato di Oracle Access Governance.
  • Affiliazioni: le affiliazioni sono costrutti definiti dall'utente e basati su regole che consentono a una singola identità di avere più persone (ad esempio, Dipendente e Collaboratore) con dati, account e accesso distinti. Le affiliazioni espongono inoltre gli attributi figlio da attributi (array) complessi in modo che tali valori possano essere utilizzati nell'esecuzione delle campagne, nella creazione di raccolte di identità e nelle regole dei criteri. I flag di utilizzo possono essere impostati solo sugli attributi esposti all'affiliazione, non sull'attributo array originale. Vedere Gestione delle persone con identità con più affiliazioni.

È possibile utilizzare questi attributi e affiliazioni in Oracle Access Governance per eseguire varie funzioni, ad esempio l'esecuzione di campagne di revisione degli accessi, la scelta di identità per le raccolte di identità o l'applicazione di condizioni di attributo per abilitare/disabilitare il set di dati di identità disponibile.

Esempi:
  • Durante la creazione di una campagna, un amministratore campagna seleziona gli attributi personalizzati Centro di costo e ID reparto per perfezionare ulteriormente i criteri di selezione della campagna per eseguire le campagne di revisione degli accessi.
  • Durante la creazione di una raccolta di identità, un amministratore può applicare le regole di appartenenza utilizzando gli attributi di base e personalizzati. Ad esempio, per creare un elenco di dipendenti di alto livello per l'organizzazione Contabilità, creare una raccolta di identità per includere i dipendenti in cui il livello mansione è Direttore e superiore e l'organizzazione è contabile.

Visualizzare gli attributi

È possibile visualizzare e cercare gli attributi di base disponibili, gli attributi di identità personalizzati e le affiliazioni che costituiscono il profilo di identità globale.

Visualizzare gli attributi di identità globali disponibili:
  1. Nella console di Oracle Access Governance selezionare Amministrazione dal menu di navigazione Menu di navigazione, quindi selezionare Attributi identità.
    Viene visualizzata la pagina Attributi identità. È possibile visualizzare i dettagli dell'identità, inclusi i dettagli di base, personalizzati e affiliazioni definiti per il profilo di identità globale.
    Nota

    Per visualizzare e gestire gli attributi di sistema, andare alla pagina Gestisci integrazioni per il sistema orchestrato. Per ulteriori dettagli, vedere Gestisci impostazioni per il sistema orchestrato.

Visualizza dettagli attributo

È possibile visualizzare i dettagli degli attributi riportati di seguito.
Campo Descrizione
Nome attributo Nome dell'attributo originale disponibile nel sistema orchestrato connesso a Oracle Access Governance.
Sistema orchestrato Nome del sistema orchestrato dal quale viene popolato l'attributo.
Tipo di attributo Core, Custom o Affiliazione
Nome visualizzato Nome attributo univoco che verrà utilizzato in Oracle Access Governance Console per semplificare l'identificazione e l'uso.
Tipo di dati Tipo di dati dell'attributo, ad esempio numero intero, booleano, data, array.
Flag identità
  • Dettagli identità: se selezionato, gli attributi vengono visualizzati in:
    • La funzionalità Chi ha accesso a cosa consente di visualizzare solo gli attributi di identità selezionati.
    • Nella scheda Pagina dettagli identità > Attributo identità vengono visualizzati solo gli attributi selezionati.
    • Funzionalità Revisioni accessi personali, in cui è possibile eseguire revisioni degli accessi e visualizzare gli approfondimenti di revisione.

    È possibile selezionare fino a 250 attributi per questa funzione

  • Selezione campagna: se selezionata, l'attributo è disponibile per l'utilizzo nelle campagne di revisione degli accessi utente.
  • Impostazione basata su eventi: se selezionata, l'attributo è disponibile per l'utilizzo in configura trigger basati su eventi per le revisioni degli accessi alle identità.
  • Gestisci identità: se selezionato, l'attributo è disponibile per l'uso in configura regole di attivazione per gestire le identità da Oracle Access Governance e per abilitare attributi personalizzati nella creazione di una raccolta di identità.

Cerca e filtra attributi personalizzati

Utilizzare il campo Cerca per individuare l'attributo obbligatorio in base al nome dell'attributo. È possibile gestire un set di attributi di grandi dimensioni applicando filtri basati sui filtri suggeriti. Ad esempio, se si seleziona Dettagli identità su verranno visualizzati tutti gli attributi per i quali è abilitato il flag Dettagli identità.

Nella parte superiore destra della pagina, selezionare un sistema orchestrato per visualizzare gli attributi specifici del sistema orchestrato. Se si seleziona Nessun sistema disponibile, verrà visualizzata una lista di attributi non associati ad alcun sistema orchestrato attivo.

Crea e gestisci impostazioni attributi personalizzati

È possibile creare o modificare attributi personalizzati, tra cui l'aggiornamento del sistema orchestrato dal quale viene popolato l'attributo, la modifica del nome visualizzato, l'applicazione di regole per eseguire trasformazioni dei dati sul valore in entrata e l'inclusione/esclusione dell'uso dell'attributo per determinate funzioni di Oracle Access Governance.

  • Attributi di sistema: proprietà di identità per un sistema orchestrato integrato. I valori per questi attributi possono essere derivati da origini autorevoli o mediante una regola. Ad esempio, codice mansione, relazione di lavoro, stato dipendente inclusi da origini autorevoli e sincronizzati regolarmente. Vedere Crea attributo di sistema e Crea un attributo di identità complesso per un sistema orchestrato.
  • Attributi AG: creati e utilizzati esclusivamente all'interno di Oracle Access Governance e mai mappati da un'origine affidabile. Il suo valore è sempre generato dalle regole. Ad esempio, punteggio rischio, stato di Oracle Access Governance. Vedere Creare un attributo di Oracle Access Governance.
Nota

Per creare attributi di sistema, andare alla pagina Gestisci integrazioniAttributi identità per il sistema. Vedere Modifica delle impostazioni di integrazione per un sistema orchestrato.
Per gestire gli attributi di identità globali, in Oracle Access Governance Console selezionare Amministrazione servizio → Attributi identità dal menu di navigazione Menu di navigazione.

Crea attributo di sistema

Crea attributi semplici o complessi definiti dall'utente specifici per un sistema orchestrato. È possibile ricavare i valori di questi attributi direttamente utilizzando la trasformazione in entrata o le affiliazioni.

Gli attributi di identità personalizzati supportano tipi di dati semplici e complessi ed è possibile utilizzare questi attributi per eseguire varie funzioni, ad esempio l'esecuzione di campagne di revisione degli accessi, la scelta di identità per le raccolte di identità o l'applicazione di condizioni di attributo per abilitare/disabilitare il set di dati di identità disponibile.
È possibile creare due tipi di attributi:
  • Attributi semplici: gli attributi semplici utilizzano tipi di dati primitivi quali stringa, data, numero intero, booleano o lungo. È possibile configurare attributi semplici come valori singoli o multivalore.
  • Attributi complessi: gli attributi complessi sono composti da uno o più attributi figlio nidificati, rappresentati come array. Ad esempio, un attributo indirizzo con via, città e codice postale come attributi figlio.

Per creare attributi di sistema semplici per un sistema orchestrato, effettuare le operazioni riportate di seguito.

  1. Dall'icona del menu di navigazione di Oracle Access Governance Menu di navigazione, selezionare Amministrazione servizi → Sistemi orchestrati.
  2. Selezionare l'opzione Gestisci integrazione dal menu delle azioni menu azioni per il sistema orchestrato che si desidera configurare. Viene visualizzata la pagina Gestisci integrazione per il sistema orchestrato selezionato.
  3. Nella sezione Impostazioni dati, selezionare Gestisci nella casella Attributi identità.
    Questa casella è disponibile solo per il sistema orchestrato che supporta origini autorevoli.
  4. Nella scheda Attributi selezionare + Crea un attributo di sistema.
    Viene visualizzata la pagina Crea un attributo di identità per questo sistema.
Aggiungi dettagli
  1. Nome visualizzato: immettere il nome visualizzato dell'attributo da utilizzare nella console.
  2. Qual è il tipo di dati?: selezionare uno dei tipi di dati semplici.
  3. Fare clic su Avanti.
Origine valore
  1. Selezionare la casella di controllo Incluso nei dati in entrata dal sistema se il valore dell'attributo viene derivato utilizzando la trasformazione in entrata. Vedere Riferimento alle regole di trasformazione dei dati.
  2. Selezionare la casella di controllo Supporta più valori se sono consentiti più valori per l'attributo definito.
  3. Fare clic su Convalida.

    Se la regola è valida, verrà visualizzato un messaggio di conferma e la regola verrà contrassegnata come convalidata. Se si verifica un problema con la regola, verrà visualizzato un messaggio di errore e la regola verrà contrassegnata come non valida. Impossibile salvare la regola se è contrassegnata come non valida.

Creare un attributo di identità complesso per un sistema orchestrato

Crea attributi di identità complessi personalizzati specifici per un sistema orchestrato. Gli attributi complessi, composti da uno o più attributi figlio nidificati, sono rappresentati come array. Ad esempio, un attributo indirizzo con via, città e codice postale come attributi figlio.

Gli attributi personalizzati complessi, ad esempio jobCode, sono rappresentati come array nella pagina Gestisci attributi di identità. Da solo, l'array jobCode non può essere utilizzato direttamente o utilizzato come riferimento a meno che non si crei un'affiliazione. Inoltre, i flag di utilizzo possono essere aggiornati e gestiti solo in questi attributi di affiliazione. Non è possibile aggiornare direttamente i flag di utilizzo per gli attributi personalizzati di tipo complesso o array.

Per creare attributi di sistema complex per un sistema orchestrato, effettuare le operazioni riportate di seguito.

  1. Dall'icona del menu di navigazione di Oracle Access Governance Menu di navigazione, selezionare Amministrazione servizi → Sistemi orchestrati.
  2. Selezionare l'opzione Gestisci integrazione dal menu delle azioni menu azioni per il sistema orchestrato che si desidera configurare. Viene visualizzata la pagina Gestisci integrazione per il sistema orchestrato selezionato.
  3. Nella sezione Impostazioni dati, selezionare Gestisci nella casella Attributi identità.
    Questa casella è disponibile solo per i sistemi orchestrati che supportano origini autorevoli.
  4. Nella scheda Attributi selezionare + Crea un attributo di sistema.
    Viene visualizzata la pagina Crea un attributo di identità per questo sistema.
Aggiungi dettagli
  1. Nome visualizzato: immettere il nome visualizzato dell'attributo da utilizzare nella console.
  2. Qual è il tipo di dati?: selezionare Complesso.
  3. A quale attributo viene fatto riferimento in modo univoco?: immettere un identificativo univoco per distinguere una voce da un'altra, ad esempio employeeRecord.
  4. Fare clic su Avanti.
Origine valore
  1. Nome dell'attributo di sistema: immettere il nome dell'attributo di sistema per questo attributo. Ad esempio, jobData.
    Gli attributi complessi sono multivalore e i relativi attributi figlio possono essere indicati una volta create le affiliazioni.
  2. Rivedere le informazioni e quindi fare clic su Crea. Per aggiungere attributi figlio, viene visualizzata la pagina dei dettagli Attributo complesso personalizzato.
Aggiungi attributo figlio
  1. Fare clic su +Create per un attributo figlio.
  2. Seguire la stessa procedura utilizzata per aggiungere un attributo semplice. Per ulteriori dettagli, vedere Crea attributo di sistema.
  3. Ripetere questo processo per aggiungere ulteriori attributi figlio.

Creare un attributo Oracle Access Governance

Creare un attributo AG definito e calcolato all'interno del sistema Oracle Access Governance e non associato ad alcun sistema orchestrato. È possibile utilizzarlo per definire le funzioni di Oracle Access Governance, ad esempio guardrail, raccolte di identità o per creare regole di mapping o per valori derivati.

Gli attributi AG sono rappresentati dal sistema interno.
  1. Nella pagina Attributi identità, selezionare + Crea un attributo AG.
    Viene visualizzata la pagina Crea un attributo di identità AG.
Aggiungi dettagli
  1. Come deve essere chiamato da AG?: immettere il nome dell'attributo.
  2. Nome visualizzato: immettere il nome visualizzato dell'attributo da utilizzare nella console.
  3. Che cos'è il tipo di dati?: selezionare uno dei tipi di dati primitivi, ad esempio Boolean, long, number, integer e string.
  4. Fare clic su Avanti.
Aggiungi regola
  1. Immettere la regola che si desidera applicare a questa operazione/attributo. Per ulteriori informazioni, vedere Riferimento alle regole di trasformazione dati.
  2. Fare clic su Convalida.

    Se la regola è valida, verrà visualizzato un messaggio di conferma e la regola verrà contrassegnata come convalidata. Se si verifica un problema con la regola, verrà visualizzato un messaggio di errore e la regola verrà contrassegnata come non valida. Impossibile salvare la regola se è contrassegnata come non valida.

Uso dell'installazione
  1. Selezionare la casella di controllo Funzione appropriata per includere l'attributo dalla funzione. Vedere Visualizza dettagli attributo.
  2. Fare clic su Avanti ed eseguire la revisione finale.
  3. Fare clic su Crea.

Gestisci attributi identità globali

È possibile modificare gli attributi di identità aggiornando il sistema orchestrato dal quale viene popolato l'attributo e applicando regole per modificare il valore dell'attributo.

Per modificare gli attributi identità globali, eseguire i passi riportati di seguito nella pagina Attributi identità.
  1. In Oracle Access Governance Console, dal menu di navigazione Menu di navigazione selezionare Amministrazione servizi → Attributi identità .
  2. Per un attributo di identità specifico, fare clic sull'icona Icona Modifica Modifica corrispondente all'attributo che si desidera modificare.
    I campi degli attributi di identità vengono visualizzati in modalità modificabile per consentire l'aggiornamento degli attributi in un'unica operazione di modifica.
  3. Per aggiornare il sistema orchestrato da utilizzare per popolare l'attributo, selezionare un sistema orchestrato appropriato dall'elenco Quale sistema orchestrato?.

    Per il sistema orchestrato di Oracle Cloud Infrastructure (OCI), viene visualizzata un'opzione aggiuntiva, Quale dominio?. Se nella tenancy OCI sono presenti più domini, selezionare un dominio OCI Identity and Access Management appropriato da utilizzare come origine della verità per le identità.

  4. Utilizzare un valore attributo diretto o aggiungere una regola:
    1. In Popolato selezionare il collegamento Modifica.
    2. Per utilizzare il valore attributo così com'è senza trasformazione dati, selezionare Usa direttamente il valore <nomeattributo>. Questa azione visualizza il valore Directly nel campo Populated.
    3. Per applicare le regole, selezionare Crea una regola attorno al <nomeattributo>.
    4. Immettere la regola e fare clic su Convalida per verificare la sintassi. Per ulteriori dettagli sulla sintassi, vedere Trasformazione dei dati per le regole in entrata e in uscita. Non è possibile applicare le regole agli attributi nidificati (<padre>.<figlio>).
    5. Fare cli su Applica. Questa azione visualizza il valore Per regola nel campo Popolato.
  5. Selezionare i flag di identità appropriati per includere gli attributi nella funzione.
    OpzioneDescrizione
    Includi nei dettagli delle identità Se selezionata, gli attributi vengono visualizzati in:
    • La funzionalità Chi ha accesso a cosa consente di visualizzare solo gli attributi di identità selezionati.
    • Nella scheda Pagina dettagli identità > Attributo identità vengono visualizzati solo gli attributi selezionati.
    • Funzionalità Revisioni accessi personali, in cui è possibile eseguire revisioni degli accessi e visualizzare gli approfondimenti di revisione.
    Includi nelle selezioni delle campagne Se questa opzione è selezionata, l'attributo è disponibile per l'utilizzo nelle campagne di revisione degli accessi utente.
    Includi nelle revisioni accessi basate sull'evento Se questa opzione è selezionata, l'attributo è disponibile per l'esecuzione di microcertificazioni e per l'utilizzo in configurare trigger basati su eventi per le revisioni basate su eventi.
    Includi nella gestione delle identità Se l'opzione è selezionata, l'attributo è disponibile per l'uso in configurare le regole di attivazione per gestire le identità da Oracle Access Governance e per abilitare gli attributi personalizzati nella creazione di una raccolta di identità.
  6. Dopo aver eseguito le modifiche, fare clic su spuntare Applica. Ciò preserva i cambiamenti. È possibile continuare a modificare altri attributi seguendo lo stesso processo.
  7. Fare clic su Salva per applicare le modifiche e aggiornare tutti gli attributi contemporaneamente.
    Nella colonna Ultimo aggiornamento di viene visualizzato il nome dell'amministratore che ha eseguito l'aggiornamento più recente.

Recupera attributi personalizzati più recenti

Aggiorna solo gli oggetti dello schema e non include i dati. Eseguire il caricamento dei dati o attendere il successivo caricamento dei dati per popolare i valori. Gli attributi cifrati non vengono mai recuperati o visualizzati.

  1. Dall'icona del menu di navigazione di Oracle Access Governance Menu di navigazione, selezionare Amministrazione servizi → Sistemi orchestrati.
  2. Selezionare l'opzione Gestisci integrazione dal menu azioni menu azioni per il sistema orchestrato che si desidera configurare. Viene visualizzata la pagina Gestisci integrazione per il sistema orchestrato selezionato.
  3. Nella sezione Impostazioni dati, selezionare Gestisci nella casella Attributi identità.
    Nota

    Questa casella è disponibile solo per il sistema orchestrato che supporta origini autorevoli.
  4. Selezionare Recupera attributi, quindi selezionare Recupera.
Nota

Questa azione non includerà i dati degli attributi dal sistema orchestrato, ma caricherà solo gli oggetti dello schema. Per recuperare e utilizzare i dati degli attributi, è necessario attendere la prossima operazione di sincronizzazione dei dati schedulati o eseguire manualmente l'operazione di caricamento dati. Vedere l'argomento Configura impostazioni per un sistema orchestrato.

Requisiti e regole per la gestione degli attributi di identità

Gli attributi di identità sono regolati da determinati requisiti e regole. Di seguito sono riportate alcune delle opzioni disponibili.

  • Un attributo personalizzato cifrato nello schema non sarà disponibile in Oracle Access Governance e non verrà visualizzato nella pagina Attributi identità.
  • È possibile creare attributi complessi semplici e personalizzati personalizzati. Gli attributi semplici fanno parte del profilo di identità globale in modo automatico e gli attributi complessi personalizzati vengono esposti tramite affiliazioni.
  • È possibile scegliere di utilizzare direttamente il valore dell'attributo personalizzato oppure modificare il valore dell'attributo applicando regole di trasformazione. Ad esempio, concatenare il numero dipendente con il nome per impostare un nome visualizzato.
  • Impossibile modificare un attributo complesso definito come array.
  • Se si modifica un attributo nidificato (<padre>.<figlio>), verrà interessata e visualizzata una lista di attributi dipendenti aggiuntivi. Ad esempio, se si aggiorna il sistema orchestrato per l'attributo name.firstName. Per garantire l'integrità dei dati, il cognome dell'identità deve provenire dallo stesso sistema orchestrato, pertanto verrà visualizzato un messaggio In questo modo verrà modificato anche il sistema orchestrato per gli attributi: name.lastName. Quando si salva la modifica, entrambi gli attributi verranno aggiornati.
  • Per il sistema orchestrato di Oracle Cloud Infrastructure (OCI), viene visualizzata un'opzione aggiuntiva, Quale dominio?. Se nella tenancy OCI sono presenti più domini, selezionare un dominio OCI Identity and Access Management appropriato da utilizzare come origine della verità per le identità. Se hai già eseguito un caricamento dati dal tuo sistema orchestrato OCI, puoi effettuare la selezione da una lista di domini disponibili inclusi dal sistema OCI. Se il dataload non è stato eseguito, è possibile immettere il nome di dominio utilizzando testo libero.
  • Nei casi in cui vengono definiti attributi personalizzati complessi, ad esempio Codice mansione, rappresentati come array
    jobCode{
  Attr1,
  Attr2,
}
    Di per sé, l'array jobCode non può essere utilizzato direttamente come riferimento o utilizzato nelle funzioni di Oracle Access Governance a meno che non si crei un'affiliazione. Le affiliazioni forniscono un meccanismo per esporre singoli attributi figlio da attributi complessi definendo gli attributi di affiliazione corrispondenti. Tramite le regole di affiliazione, è possibile mappare i valori dall'attributo complesso agli attributi di affiliazione specifici. Inoltre, i flag di utilizzo possono essere aggiornati e gestiti solo in questi attributi di affiliazione. Gli aggiornamenti diretti ai flag di utilizzo non sono disponibili per gli attributi complessi o di tipo array originali.