Documentação do Oracle Cloud Infrastructure

Atribuições do Aplicativo

O Oracle Access Governance oferece várias atribuições de aplicativo predefinidas com diferentes níveis de recursos para executar as operações de gerenciamento e governança de acesso. Você pode designar uma ou mais atribuições de aplicativo a usuários da sua instância de serviço de nuvem do Oracle Access Governance. Não é possível modificar atribuições de aplicativo predefinidas ou modificar permissões atribuídas nessas atribuições.

Administrador (AG_Administrator)

O Administrador do Oracle Access Governance tem o nível mais alto de acesso no Oracle Access Governance. Os usuários com a função de Administrador são responsáveis por gerenciar todas as operações do Oracle Access Governance, incluindo o gerenciamento de sistemas Orquestrados, controles de acesso, operações administrativas de serviço etc.

A principal responsabilidade de um administrador é
  • Defina tarefas básicas disponíveis como parte do módulo de Administração de Serviços no Oracle Access Governance, como configurar sistemas Orquestrados, gerenciar identidades, configurar atributos de identidade principais e personalizados, configurar notificações, verificar operações de carregamento de dados no Oracle Access Governance.
  • Configure Revisões de Acesso baseadas em Evento para executar microcertificações e gerenciar contas sem correspondência.
Por exemplo, você pode designar AG_Administrator aos Administradores de Segurança ou ao Especialista em Gerenciamento de Identidade e Acesso para gerenciar sua instância do serviço de nuvem do Oracle Access Governance.

Normalmente, o AG_Administrator estabeleceria a primeira integração com a origem Autoritativa criando um Sistema Orquestrado, executando o carregamento completo de dados, definindo regras para definir usuários do Workforce e do Consumidor. AG_Administrator pode então designar proprietários para gerenciar o sistema Orquestrado a qualquer usuário ativo do Oracle Access Governance.

Um AG_Administrator tem acesso total a todos os recursos e funcionalistas dentro da instância de serviço. Eles têm todas as permissões para criar, exibir, atualizar e excluir os recursos do Oracle Access Governance:
  • Sistema Orquestrado
  • Coleções de Identidades
  • Pacotes de Acesso
  • Funções
  • Políticas
  • Workflows de Aprovação
  • Guardrails de Proteção de Acesso
  • Pacotes de Acesso Gerados Automaticamente
  • Perfis da Conta

Administrador do Service Desk (AG_ServiceDesk_Admin)

O Administrador do Oracle Access Governance Service Desk é responsável por executar funções administrativas avançadas da conta diretamente no Oracle Access Governance. A principal responsabilidade de um Administrador do Service Desk é realizar operações altamente críticas e urgentes sem a necessidade de aprovações, especialmente relacionadas às operações de Gerenciamento do Ciclo de Vida da Conta.

Os usuários com a função Administrador do Service Desk podem executar as funções administrativas da conta na página Administração do Serviço > Gerenciar Identidades > Identidades:
  • Exibir detalhes de identidade de todas as identidades.
  • Exibir detalhes da conta para permissões.
  • Encerre todas as contas e acessos de uma identidade de uma só vez sem aprovações. Após o encerramento, você poderá reprovisionar ou ativar as contas e os acessos, com a Política do Tipo de Concessão.
  • Ativar, Desativar ou Excluir ou Modificar uma ou várias contas e atributos de uma identidade.
  • Revogue uma ou mais permissões designadas diretamente do Sistema Gerenciado ou provisionadas por meio de solicitação.
  • Tente novamente o provisionamento para o status com falha ou pendente.
  • Altere a Senha de uma conta gerenciada pelo Oracle Access Governance.
  • Gerenciar Delegações para aprovações ou revisões de acesso.
Por exemplo, você pode atribuir AG_ServiceDesk_Admin a um Especialista em TI para encerrar imediatamente todas as contas e acessos com base em uma resposta a incidentes acionada por repetidas tentativas de log-in com falha para evitar possíveis atividades não autorizadas.
Além disso, o AG_ServiceDesk_Admin pode executar as seguintes operações como parte do usuário do Oracle Access Governance:
  • Exiba detalhes de sistemas orquestrados junto com logs de atividades.
  • Como proprietário de recursos, exiba, atualize ou exclua os recursos do Oracle Access Governance de sua propriedade.
  • Como revisor associado aos fluxos de trabalho de Aprovação, aprove solicitações de acesso e revise tarefas de acesso.
  • Como usuário, é possível exibir os privilégios atribuídos a você mesmo e aos subordinados diretos.
  • Como um revisor de acesso, pode revisar e certificar as tarefas de revisão de acesso se associadas a um fluxo de trabalho de aprovação específico.
  • Gerenciar Delegações

Administrador da Campanha (AG_CampaignAdmin)

Os Administradores de Campanha do Oracle Access Governance podem iniciar um processo de revisão de acesso criando Campanhas. Eles podem modificar, excluir e monitorar campanhas de revisão de acesso criadas automaticamente. Eles podem visualizar o relatório da campanha e fazer download de dados CSV para fins de offiline.

Sua principal responsabilidade é agendar campanhas ad-hoc ou periódicas para Revisões de Acesso à Identidade, Revisões de Política, Revisões de Coleta de Identidade ou Revisão de Propriedade de Recurso em todos os sistemas.

Além disso, os Administradores da Campanha:
  • Pode criar fluxos de trabalho de aprovação
  • Pode criar coleções de identidades
  • Como proprietário de recurso, modifique, exclua e exiba os recursos de sua propriedade
  • Como revisor associado aos fluxos de trabalho de Aprovação, aprove solicitações de acesso e revise tarefas de acesso.
  • Como usuário, é possível exibir os privilégios atribuídos a você mesmo e aos subordinados diretos.

Administrador de Acesso ao Navegador em Toda a Empresa (AG_Enterprise_Wide_Access_Admin)

O Administrador de Acesso de Toda a Empresa do Oracle Access Governance obtém a visibilidade abrangente de todos os componentes, informações de acesso e recursos dentro de uma estrutura empresarial na página Quem Tem Acesso ao Que → Navegador de Toda a Empresa.

Os Administradores de Acesso de Toda a Empresa podem:
  • Procure informações de acesso usando várias perspectivas, como Identidades, Coleções de Identidades, Funções, Permissões, Políticas, Recursos e Organizações.
  • Execute revisões criadas pelo Usuário para identidades, coleções de identidades e políticas no painel do Browser em toda a Empresa.
  • Gere um relatório mensal sobre revisões de acesso criadas no Enterprise-wide Browser.
  • Faça download da captura de tela CSV e PDF.
Além disso, pode:
  • Pode criar Coleções de Identidades
  • Como proprietário de recursos, exiba, atualize ou exclua os recursos do Oracle Access Governance de sua propriedade.
  • Como revisor associado aos fluxos de trabalho de Aprovação, aprove solicitações de acesso e revise tarefas de acesso.
  • Como usuário, é possível exibir os privilégios atribuídos a você mesmo e aos subordinados diretos.

Administrador do Proprietário do Aplicativo (AG_AppOwner_Admin)

O Administrador do Proprietário do Aplicativo do Oracle Access Governance é responsável por realizar integrações com outros sistemas adicionando um sistema Orquestrado, modificando as definições de conexão, validando e carregando os dados no Oracle Access Governance. Eles também podem configurar um sistema orquestrado editando as definições de integração, configurando definições de notificação, configurando o pacote de acesso recomendado, definindo regras de transformação para dados de entrada e saída para atributos de identidade e conta e definindo regras de correlação para identidades e contas de identidade correspondentes.

O Administrador do Proprietário do Aplicativo é o principal responsável por:

  • Configure integrações com um aplicativo como uma Origem Autorizada ou um Sistema Gerenciado criando um sistema orquestrado.
  • Gerenciar e configurar os sistemas integrados.
    Observação

    O AG_AppOwner_Admin não pode ativar identidades ou configurar atributos de identidade para um sistema orquestrado. Para fazer isso, você precisa da atribuição AG_Administrator.
Além disso, o Administrador do Proprietário do Aplicativo:
  • Pode criar fluxos de trabalho de aprovação
  • Pode criar guardrails de acesso
  • Pode criar coleções de identidades
  • Pode criar pacotes de acesso
  • Pode gerenciar pacotes de acesso gerados automaticamente
  • Como proprietário do recurso, pode modificar, excluir e exibir os recursos de sua propriedade. Os recursos podem ser qualquer entidade do Oracle Access Governance (Pacotes de Acesso, Organizações, Coleções de Identidades, Políticas, workflows de Aprovação, Sistemas Orquestrados, Guardrails de Acesso, Pacotes de Acesso Gerados Automaticamente ou Atribuições).
  • Como um revisor associado aos Fluxos de Trabalho de Aprovação, pode aprovar solicitações de acesso e revisar tarefas de acesso.
  • Como usuário, é possível exibir os privilégios atribuídos a você mesmo e aos subordinados diretos.
  • Como usuário, pode usar o módulo de autoatendimento para solicitar novo acesso, rastrear solicitações, atribuir preferências, etc.

Administrador Restrito do Proprietário do Aplicativo (AG_AppOwner_Admin_Restricted)

O Administrador Restrito do Proprietário do Aplicativo do Oracle Access Governance é responsável por criar uma nova integração com outros sistemas adicionando um sistema orquestrado como um Sistema Gerenciado. No entanto, eles podem gerenciar integrações e definir configurações somente para sistemas que possuem como proprietário de recursos.

Atribuição Pode Criar o Sistema Orquestrado Pode Gerenciar o Sistema Orquestrado
Administrador do Proprietário do Aplicativo SIM (Origem Autoritativa e Sistema Gerenciado) SIM
Administrador Restrito do Proprietário do Aplicativo SIM (Somente Sistema Gerenciado) Limitado aos recursos que possuem

O Administrador Restrito do Proprietário do Aplicativo é o principal responsável por:

  • Configure integrações com um aplicativo como um Sistema Gerenciado criando um sistema orquestrado.
  • Gerencie e configure o sistema orquestrado para o qual ele é o proprietário do recurso.
    Observação

    O AG_AppOwner_Admin_Restricted não pode ativar identidades ou configurar atributos de identidade para um sistema orquestrado. Para fazer isso, você precisa da atribuição AG_Administrator.
Além disso, o Administrador Restrito do Proprietário do Aplicativo:
  • Pode criar fluxos de trabalho de aprovação
  • Pode criar coleções de identidades
  • Pode criar pacotes de acesso e pacotes de acesso gerados automaticamente
  • Como proprietário do recurso, pode modificar, excluir e exibir os recursos de sua propriedade. Os recursos podem ser qualquer entidade do Oracle Access Governance (Pacotes de Acesso, Organizações, Coleções de Identidades, Políticas, workflows de Aprovação, Sistemas Orquestrados, Guardrails de Acesso, Pacotes de Acesso Gerados Automaticamente ou Atribuições).
  • Como revisor associado aos fluxos de trabalho de aprovação, aprove solicitações de acesso e revise tarefas de acesso.
  • Como usuário, é possível exibir os privilégios atribuídos a você mesmo e aos subordinados diretos.
  • Como usuário, pode usar o módulo de autoatendimento para solicitar novo acesso, rastrear solicitações, atribuir preferências, etc.

Cenário: Se Betty receber a atribuição AG_AppOwner_Admin_Restricted, Betty poderá estabelecer novas integrações como um Sistema Gerenciado criando um novo sistema orquestrado na página Administração de ServiçosSistemas Orquestrados. No entanto, Betty não pode criar Fonte Autorizada. Além disso, Betty só poderá configurar definições para os sistemas orquestrados se Betty for atribuído como o proprietário do recurso (proprietário principal ou um dos proprietários adicionais) para o recurso do sistema orquestrado.

Administrador de Controle de Acesso (AG_AccessControl_Admin)

O Administrador do Oracle Access Governance Access Control é responsável por gerenciar a Administração do Access Control no Oracle Access Governance.

Atribuição Pode Criar Recursos de Controle de Acesso Pode Gerenciar Recursos de Controle de Acesso
Administrador de Controle de Acesso SIM SIM
Administrador Restrito do Controle de Acesso SIM Limitado aos recursos que possuem

O Administrador de Controle de Acesso é o principal responsável por:

  • Criar e Gerenciar Coleções de Identidades
  • Criar e Gerenciar Pacotes de Acesso
  • Criar e Gerenciar Workflows de Aprovação
  • Criar e Gerenciar Atribuições
  • Criar e Gerenciar Políticas
  • Criar e Gerenciar Guardrails de Acesso
  • Criar e Gerenciar Organizações na página Gerenciar Identidades
Além disso, Administrador de Controle de Acesso:
  • Como proprietário do recurso, pode modificar, excluir e exibir os recursos de sua propriedade. Os recursos podem ser qualquer entidade do Oracle Access Governance (Pacotes de Acesso, Organizações, Coleções de Identidades, Políticas, workflows de Aprovação, Sistemas Orquestrados, Guardrails de Acesso ou Atribuições).
  • Como um revisor associado aos fluxos de trabalho de aprovação, pode aprovar solicitações de acesso e revisar tarefas de acesso.
  • Como usuário, é possível exibir os privilégios atribuídos a você mesmo e aos subordinados diretos.
  • Como usuário, pode usar o módulo de autoatendimento para solicitar novo acesso, rastrear solicitações, atribuir preferências, etc.

Administrador Restrito do Controle de Acesso (AG_AccessControl_Admin_Restricted)

O Administrador Restrito do Oracle Access Governance Access Control é responsável por criar recursos de Controles de Acesso no Oracle Access Governance.

Atribuição Pode Criar Recursos de Controle de Acesso Pode Gerenciar Recursos de Controle de Acesso
Administrador de Controle de Acesso SIM SIM
Administrador Restrito do Controle de Acesso SIM Limitado aos recursos que possuem

O Administrador Restrito do Controle de Acesso é o principal responsável por:

  • Crie Coleções de Identidades, Pacotes de Acesso, Fluxos de Trabalho de Aprovação, Funções, Políticas e Organizações.
Além disso, o Administrador Restrito de Controle de Acesso:
  • Como proprietário do recurso, pode modificar, excluir e exibir os recursos de sua propriedade. Os recursos podem ser qualquer entidade do Oracle Access Governance (Pacotes de Acesso, Organizações, Coleções de Identidades, Políticas, workflows de Aprovação, Sistemas Orquestrados, Guardrails de Acesso ou Atribuições).
  • Como um revisor associado aos fluxos de trabalho de Aprovação, pode aprovar solicitações de acesso e revisar tarefas de acesso.
  • Como usuário, é possível exibir os privilégios atribuídos a você mesmo e aos subordinados diretos.
  • Como usuário, pode usar o módulo de autoatendimento para solicitar novo acesso, rastrear solicitações, atribuir preferências, etc.

Cenário: Se a função AG_AccessControl_Admin_Restricted for atribuída a Betty, a Betty poderá criar recursos de controle de acesso, como novas coleções de identidades, workflows de aprovação, políticas, funções e permissões de pacote em Pacotes de Acesso usando o módulo Controles de Acesso. No entanto, Betty pode gerenciar (Exibir, editar, excluir etc.) esses recursos somente se Betty for atribuído como o proprietário do recurso (Proprietário Principal ou um dos Proprietários Adicionais) para os recursos.

Auditor (AG_AUDITOR)

A função Auditor do Oracle Access Governance é responsável pelo monitoramento de todas as campanhas. Eles podem exibir detalhes da campanha, fazer download do relatório de revisão de acesso para cada campanha. Além de visualizar o relatório, o Auditor pode salvar os relatórios off-line em formato PDF ou fazer download dos dados CSV para manutenção de registros ou análise ou auditoria adicional.

Além disso, dependendo da propriedade fornecida no Oracle Access Governance, um auditor pode:
  • Como proprietário de uma campanha, pode modificar, excluir, monitorar campanhas de revisão de acesso de propriedade própria.
  • Como um revisor de acesso, pode revisar e certificar as tarefas de revisão de acesso se associadas a um fluxo de trabalho de aprovação específico.
  • Como proprietário do recurso, exiba, modifique e exclua os recursos de sua propriedade.
  • Criar Coleções de Identidades.
  • Gerenciar Coleções de Identidades de sua propriedade.

Usuário (AG_USER)

O usuário do Oracle Access Governance é um usuário final responsável por exibir e gerenciar seus acessos usando o Oracle Access Governance. Todos os usuários do Oracle Access Governance Active Workforce recebem essa função, por padrão.

Seu administrador de domínio de nuvem também pode designar essa atribuição de aplicativo (AG_USER) na página de serviço de nuvem do OCI. Os usuários se envolvem principalmente em tarefas de autoatendimento, que podem incluir a solicitação de permissões por meio de Pacotes de Acesso ou Funções, a exibição de detalhes de acesso, o gerenciamento de preferências, a alteração de senhas da conta etc.

Além disso, dependendo da propriedade fornecida no Oracle Access Governance, um usuário final:
  • Como proprietário de uma campanha, pode modificar, excluir, monitorar campanhas de revisão de acesso de propriedade própria.
  • Como um revisor de acesso, pode revisar e certificar as tarefas de revisão de acesso se associadas a um fluxo de trabalho de aprovação específico.
  • Como proprietário do recurso, exiba, modifique e exclua os recursos de sua propriedade.
  • Criar Coleções de Identidades.
  • Gerenciar Coleções de Identidades de sua propriedade.