Documentazione dell'infrastruttura Oracle Cloud

Informazioni sulle azioni del revisore per la certificazione di accesso effettivo

In qualità di revisore degli accessi, è possibile certificare i privilegi di accesso utilizzando la funzione Revisioni accessi personali. Puoi rivedere i task di revisione di identità, controllo degli accessi e proprietà, approvare in blocco gli elementi a basso rischio, controllare gli insight analitici prescrittivi forniti da AI/ML, rivedere gli elementi ad alto rischio e prendere decisioni informate in base AI suggerimenti basati su AI/ML forniti da Oracle Access Governance. È inoltre possibile riassegnare o delegare i task di revisione a un altro revisore.

Accedere ai tipi di task di revisione in Oracle Access Governance

Dopo il lancio di una campagna, il servizio Campagne in Oracle Access Governance tiene traccia attivamente dell'accesso per le identità incluse nell'ambito, genera insight intelligenti e crea le revisioni degli accessi. In base al tipo di revisione degli accessi, Oracle Access Governance genera i task di revisione delle identità, controllo degli accessi e/o revisione della proprietà.

Di seguito sono riportati alcuni dettagli relativi a ogni task di revisione degli accessi.

Task di revisione identità

I task di Revisione identità includono la certificazione dei diritti di accesso alle identità, la valutazione di account utente, autorizzazioni e ruoli. Queste operazioni vengono avviate quando si avvia un task di revisione delle identità su richiesta o quando si verifica un evento di identità, ad esempio modifica del reparto, modifica del manager e così via. Una singola campagna può generare più task di revisione. Ad esempio, quando si avvia Revisioni accesso alle identità, Oracle Access Governance può generare task di revisione degli accessi per account, autorizzazioni o ruoli associati a una singola identità nella pagina Revisioni accesso personaleIdentità.

Oracle Access Governance genera approfondimenti prescrittivi e fornisce suggerimenti in modo che i revisori possano prendere una decisione informata per approvare o rifiutare l'accesso alle identità richiesto.

Task revisione controllo accesso

I task di Revisione controllo accesso includono l'audit dei criteri IAM (Identity and Access Management) e delle raccolte di identità, avviati dalle campagne Revisione criteri e Revisione raccolte identità su richiesta. Ad esempio, quando si avvia la revisione per il criterio di amministratore del dominio per la tenancy, Oracle Access Governance può generare task di revisione degli accessi per il tipo di criterio nella pagina Revisioni accessi personaliControllo dell'accesso.

Oracle Access Governance genera approfondimenti prescrittivi e fornisce suggerimenti in modo che i revisori possano prendere decisioni informate per approvare o rifiutare l'intero criterio contemporaneamente oppure prendere la decisione di approvare o rifiutare l'istruzione di criteri specifica in tale criterio.

Nota

Per un criterio OCI, le revisioni sono limitate ai costrutti dei criteri di base. Sintassi avanzata, inclusa la clausola "where", non rientrano nell'ambito della funzione supportata.

Task di revisione proprietà

I task di Revisione proprietà includono:
  • Audit degli account senza corrispondenza di Identity and Access Management (IAM), avviato dalle revisioni degli accessi basate sugli eventi. Questi task consentono di esaminare gli account senza corrispondenza per le identità in Oracle Access Governance. Durante l'impostazione di un evento conto senza corrispondenza, è possibile scegliere di rimuovere automaticamente gli account senza corrispondenza. In qualità di revisore, è possibile selezionare un'identità a cui abbinare oppure rimuovere l'account senza corrispondenza
  • Revisione della proprietà delle risorse di Oracle Access Governance. Questi task consentono di esaminare e verificare che solo i proprietari autorizzati gestiscano le risorse di Oracle Access Governance. Ad esempio, è possibile eseguire campagne periodiche per rivedere la proprietà di gruppo delle raccolte di identità definite in Oracle Access Governance.

    È possibile visualizzare tutte le revisioni proprietà passate eseguite per la risorsa nella sezione Trail revisione accessi. In base al flusso di lavoro di approvazione selezionato nella campagna, come revisore viene scelto il proprietario principale o un'identità forza lavoro attiva di Oracle Access Governance. In qualità di revisore, è possibile modificare i proprietari principali e/o aggiuntivi delle risorse, certificare la proprietà corrente o riassegnare il task di revisione a un altro utente attivo di Oracle Access Governance.

Approfondimenti intelligenti - Rivedi suggerimenti in base ad analitica prescrittiva

Oracle Access Governance utilizza l'analitica prescrittiva per generare insight e consigliare le azioni necessarie sui task di revisione. Ciò consente ai revisori degli accessi di prendere decisioni correttive, ridurre gli oneri amministrativi e i costi.

L'analisi prescrittiva va oltre la previsione e coinvolge raccomandazioni orientate all'azione. Queste sono linee guida basate sui dati. Oracle Access Governance esegue calcoli complessi e considera molte dimensioni come organizzazione, posizione, risorsa e sensibilità di tale risorsa prima di consigliare una decisione. A livello generale, l'analisi dell'autorizzazione si basa sui seguenti fattori:

  • Confronto con i pari livello che fanno riferimento allo stesso responsabile
  • Confronto con i pari livello con lo stesso codice mansione
  • Confronto con i pari livello nella stessa organizzazione
  • Modifiche recenti in un profilo utente

Come revisore, ricevi suggerimenti basati sui dati che semplificano il processo di revisione e mitigano gli sforzi manuali necessari per identificare le autorizzazioni anomale. Nella pagina Insight è inoltre possibile tenere traccia delle revisioni eseguite in base a un accesso specifico, necessario ai fini dell'audit. Puoi anche tenere traccia di serie di modifiche agli eventi coinvolte per tale accesso. Tutti questi dettagli ti aiutano a prendere una decisione informata per tale accesso.

Audit trail: monitoraggio delle decisioni di revisione e richiesta di accesso

Storico modifiche in Oracle Access Governance acquisisce la cronologia dei task di approvazione delle richieste e revisione degli accessi. Registra le decisioni prese durante le richieste di accesso e le revisioni, incluso se l'accesso è stato accettato, rifiutato o revocato, insieme a qualsiasi giustificazione fornita.

Nell'ambito - Cosa tiene traccia

  • Decisioni di approvazione e revisione degli accessi, incluse decisioni di accettazione, rifiuto o revoca dell'accesso, con giustificazioni.
  • Approva e revoca gli eventi per l'accesso concesso dalle richieste o dagli accessi assegnati direttamente nei sistemi gestiti (richiesta di tipo sovvenzione e tipo di sovvenzione diretta).
  • Revoca degli accessi alle identità per le revisioni basate su eventi che vengono attivate quando vengono apportate modifiche agli attributi di identità. Non viene visualizzato l'accesso revocato tramite il criterio quando sono presenti modifiche agli attributi.
  • Approvazione delle richieste di accesso con violazioni SOD. Queste richieste sono identificate dall'icona Icona che indica che la richiesta è stata approvata con violazioni separazione mansioni che indica che la richiesta è stata approvata anche se si sono verificate violazioni della separazione dei compiti da Risk Management Cloud.
  • Revisione dell'accesso ai limiti di tempo approvata o richiesta con giustificazione appropriata. Tutti gli accessi temporali sono identificati dal
    icona che indica la revisione dell'accesso con limite di tempo

    icona dell'orologio.

Fuori ambito - Cosa non tiene traccia

  • Accesso concesso o revocato tramite criteri, poiché vengono rivisti a livello di criteri e non a livello di identità.
  • Aggiornamenti eseguiti direttamente nei sistemi orchestrati. Ad esempio, un ruolo viene rimosso dai sistemi orchestrati

Log eventi di modifica recenti: registrazione modifiche attributo

Il log delle modifiche recenti tiene traccia delle modifiche degli attributi di identità abilitate nell'impostazione basata su eventi. Per le campagne (non basate su eventi), mostra tutti gli eventi di modifica per gli attributi con l'opzione Impostazione basata su eventi abilitata che si è verificata per l'identità specificata negli ultimi sei mesi. Per le campagne basate su eventi, registra solo le modifiche per l'attributo che attiva la revisione.

Nell'ambito - Cosa tiene traccia

  • Modifica dell'attributo, ad esempio aggiornamenti di reparto, se abilitata nell'impostazione basata su evento.
  • Modifiche all'attributo che hanno attivato le revisioni basate su eventi per eseguire la microcertificazione.
  • Per le campagne, le modifiche degli attributi di identità, abilitate per l'impostazione basata su evento, negli ultimi sei mesi.
  • Approvazione della richiesta di accesso e revisioni per gli accessi concessi da richieste o accessi assegnati direttamente nei sistemi gestiti.
  • Revoca rivista tramite revisioni degli accessi basate su eventi (non basate su policy)

Fuori ambito - Cosa non tiene traccia

  • Accesso specifico perso o ottenuto a causa della modifica dell'attributo.

Esempio: se il reparto di una persona cambia e l'attributo reparto è stato abilitato in Impostazione basata su eventi -> Modifica eventi, in questa sezione verrà visualizzato il valore dell'attributo modificato. Mostra solo il valore dell'attributo modificato e non indica quale accesso specifico è stato perso o ottenuto a causa della modifica dell'attributo. Per questo scenario di spostamento, tutti gli accessi che l'identità attualmente possiede devono essere rivisti come task di revisione.

Delegazione dei task di revisione

La delega di un task di revisione degli accessi consente di trasferire i prossimi task di revisione ad altri revisori temporaneamente o a tempo indeterminato. In genere, si desidera delegare un elemento di revisione a un altro revisore o a una raccolta di identità durante l'assenza, ad esempio le ferie.

Con delega, la proprietà degli elementi di revisione non cambia. Un revisore di backup viene assegnato in assenza del revisore previsto in modo che non si verifichino ritardi. Nella pagina Insight, il revisore può visualizzare i dettagli completi dal Access Review Trail. Ad esempio, un manager in ferie può delegare i task di revisione al responsabile del team. Durante l'assenza, il lead del team può continuare a prendere decisioni per conto dell'utente che è possibile visualizzare dall'Accedi all'audit trail. Tuttavia, la responsabilità principale per la revisione dei task di revisione degli accessi sarà ancora presso il manager. È possibile delegare le revisioni accessi utilizzando la funzione self-service, ovvero Proprietà personaliPreferenze personali. Per ulteriori informazioni, vedere Gestisci preferenze delega.

Riassegnazione di un task di revisione

La riassegnazione di un task di revisione degli accessi consente di modificare in modo permanente il revisore dei task di revisione in sospeso per altri revisori. Con la riassegnazione, la proprietà degli elementi di revisione cambia. I task di revisione vengono spostati dal revisore originale e vengono assegnati al nuovo revisore. Solo il nuovo revisore può visualizzare i dettagli della riassegnazione nel trail revisione accesso.

In genere, è possibile riassegnare gli elementi in attesa di revisione in caso di modifica della responsabilità. Ad esempio, un manager che esce dall'azienda può riassegnare i task di revisione esistenti al proprio manager o alla propria sostituzione. Sposta gli elementi in attesa di revisione al nuovo revisore.

Modifiche di massa - Gestione contemporanea di più articoli di revisione

Oracle Access Governance consente di approvare, rifiutare o riassegnare più elementi di revisione contemporaneamente, anziché prendere le stesse decisioni singolarmente. La revisione di più elementi contemporaneamente riduce i costi amministrativi e consente di risparmiare tempo.

Utilizza i suggerimenti basati sui dati per prendere una decisione efficiente di approvare o rifiutare più richieste contemporaneamente. Ad esempio, durante l'esecuzione di revisioni periodiche degli accessi per il team, è possibile approvare tutti gli elementi di revisione a basso rischio, con il suggerimento Accetta contemporaneamente. È anche possibile selezionare più elementi o tutti gli elementi per riassegnare i task a un altro revisore.

Di seguito è riportata una revisione di massa per ogni task di revisione.
  • Per i task di revisione delle identità, è possibile approvare o rifiutare più task di revisione contemporaneamente. È anche possibile riassegnare più task di revisione identità contemporaneamente.
  • Per i task di controllo dell'accesso, per un criterio è possibile approvare o rifiutare tutte le istruzioni contemporaneamente.
  • Per i task di controllo dell'accesso, per una raccolta di identità è possibile approvare o rifiutare tutti i membri contemporaneamente.
  • Per le revisioni basate sugli eventi, è possibile configurare per l'approvazione automatica dei task a basso rischio. È inoltre possibile configurare la rimozione automatica degli account senza corrispondenza.

Le modifiche di massa combinate con l'analitica prescrittiva consentono di accelerare il processo, migliorando l'efficienza operativa senza compromettere la sicurezza.

Accetta accesso temporaneo per revisioni accesso alle identità

È possibile accettare temporaneamente l'accesso durante la certificazione dell'accesso di identità a un'autorizzazione. L'accesso può essere accettato per un periodo indefinito o impostato per scadere in base a un periodo di scadenza specificato.

Il periodo di scadenza dipende dalla configurazione del bundle accessi. L'accesso temporaneo è applicabile alle seguenti revisioni:
  • Tipo di assegnazione: autorizzazione
  • Tipo di autorizzazione concesso: Bundle accessi

L'audit trail visualizza tutte le revisioni degli accessi limitate nel tempo e l'accettazione limitata nel tempo con un'icona a forma di orologio icona dell'orologio.