Documentação do Oracle Cloud Infrastructure

Gerenciamento do Ciclo de Vida da Conta - Processo JML (Automated Provisioning for Joiners Movers and Leavers)

O Oracle Access Governance suporta o provisionamento e o desprovisionamento automatizados de contas e acessos com base no estágio do ciclo de vida da identidade. O Ciclo de Vida da Identidade envolve três estágios principais - Joiners, Movers e Leavers, popularmente conhecido como processo JML. O suporte a esse processo envolve a criação, a modificação e a exclusão de contas de identidade e suas permissões de acesso com base na alteração de atributo no sistema Orquestrado integrado.

Esse processo garante que as identidades obtenham o acesso necessário automaticamente sem gerar a solicitação de acesso manualmente. Ele não apenas reduz a carga administrativa, mas também garante a integridade e a conformidade dos dados. Outras formas de provisionamento são solicitar o acesso manualmente ou diretamente provisioná-lo no Sistema Gerenciado. Para obter mais informações, consulte Exibir Minhas Solicitações de Acesso.

Como usuário com a função AG_ServiceDesk_Admin, você pode gerenciar diretamente o ciclo de vida da conta sem qualquer workflow de aprovação. Na página Gerenciar Identidades → Identidades, você pode ativar, desativar, excluir contas ou encerrar todas as contas e acessos associados a uma identidade. Você também pode repetir o provisionamento para status com falha ou pendentes e revogar permissões designadas diretamente ou por meio de solicitações. Para obter etapas detalhadas, consulte Gerenciar Ciclo de Vida da Conta com o Suporte Executivo do Service Desk.

Com o Oracle Access Governance:

  • Os participantes obtêm acesso ao direito de nascimento quando ingressam na empresa.
  • Os motoristas obtêm os acessos necessários quando mudam de função, obtêm transferências internas ou obtêm promoções dentro da empresa.
  • As pessoas que saem da empresa têm sua conta revogada (excluída ou desativada) uma vez que saem da empresa.

No Oracle Access Governance, suas informações de identidade são criadas usando um conjunto de atributos de identidade Núcleo e Personalizado. Sempre que você cria, modifica ou atualiza um registro de identidade na Origem Autorizada, o Oracle Access Governance ingere os dados mais recentes na próxima operação de carregamento de dados e inicia as operações de provisionamento/desprovisionamento correspondentes. O Oracle Access Governance alcança esse mecanismo de controle de acesso granular e flexível usando o modelo PBAC (Policy-Based Access Control, Controle de Acesso Baseado em Política). O Oracle Access Governance designa associação a identidades usando os atributos (ABAC (Attribute-Based Access Control)) e, em seguida, provisiona as identidades com base em políticas definidas. Uma política pode aproveitar ainda mais o modelo de Controle de Acesso Baseado em Atribuição para designar permissões apropriadas baseadas em atribuição ingeridas de atributos de identidade.

Operações Suportadas: Criar Conta, Ler Conta, Atribuir Permissões, Revogar Permissões, Alterar Senha, Desativar Conta, Atualizar Conta, Excluir Conta. Para obter detalhes adicionais, consulte a documentação específica do Sistema Orquestrado, conforme mencionado em Integrações Suportadas no Oracle Access Governance.

Integração de Funcionários - Provisionamento de Participantes

Quando um novo funcionário ingressa ou é contratado em uma empresa, um novo registro é criado na Origem de Autorização, como o Oracle HCM. Assim que as identidades forem integradas no Oracle Access Governance, o acesso à direita de nascimento ou o conjunto padrão de contas e permissões poderá ser provisionado, com base nas configurações do Access Control feitas no Oracle Access Governance.

O processo de Joiners garante que cada novo funcionário obtenha a conta e as permissões necessárias para iniciar seu processo de integração.

Quando uma identidade é integrada e está Ativa no Oracle Access Governance, todos os atributos de identidade são comparados com as políticas definidas. Se uma política do Oracle Access Governance conceder a determinadas identidades pertencentes a um departamento específico, elas serão provisionadas para essa função ou Pacote de Acesso.

Cenário: quando um novo funcionário, o Alice, ingressa no departamento de Sucesso do Cliente da divisão Vendas, o provisionamento Participantes garante que Alice receba todas as contas e permissões obrigatórias aplicáveis à sua divisão e ao seu departamento. Vejamos como conseguir isso no Oracle Access Governance.

Executando o Provisionamento de Junções no Oracle Access Governance

Tomando o cenário acima, vamos analisar as etapas de alto nível envolvidas para obter o provisionamento de Participantes no Oracle Access Governance:

  1. Como um Administrador de Controle de Acesso, configure a configuração de Controle de Acesso, da seguinte forma:
    1. Crie uma Coleta de Identidades com base em regras de associação. Por exemplo, crie uma Coleção de Identidades com regra de associação como Organização de Origem igual a Vendas e outra Coleção de Identidades em que Departamento é igual a Sucesso do Cliente. Para obter mais detalhes, consulte Criar Coleções de Identidades.
    2. Crie um Pacote de Acesso ou uma Função e aceda ao pacote às permissões necessárias. Por exemplo, crie um Pacote de Acesso Sales_AB com permissões aplicáveis a Vendas e outro Pacote de Acesso Customer_Success_AB com permissões aplicáveis a Sucesso de Cliente. Para obter mais detalhes, consulte Criar Pacote de Acesso.
    3. Crie uma Política e associe a parte de permissões do Pacote de Acesso à Coleta de Identidades. Por exemplo, crie uma Política Sales_Policy e associe Sales_AB à Coleta de Identidades do Sales. Da mesma forma, crie Customer_Success_Policy e associe Customer_Success_AB à Coleta de Identidades de Sucesso do Cliente. Para obter mais detalhes, consulte Criar uma Política.
  2. Origem Autorizada registra um novo registro de um funcionário. Por exemplo, o RH adiciona um novo registro do Alice com Unidade de Negócios como Vendas e Departamento como Sucesso do Cliente.
  3. O Sistema Orquestrado executa o carregamento de dados, ingere os dados mais recentes e cria o perfil de identidade do composto no Oracle Access Governance. Para obter mais informações, consulte Fluxo de Processo de Orquestração de Identidades.

Um novo perfil de identidade é criado no Oracle Access Governance. Os atributos são comparados com as políticas definidas e as operações de provisionamento apropriadas são acionadas. Para Juntadores, o Sistema Orquestrado aciona as operações de provisionamento Criar Conta e Adicionar dados de conta ou permissão para designar novas contas e permissões.

Validar Provisionamento de Junções no Oracle Access Governance

  • Como Administrador de Acesso de Toda a Empresa, você pode pesquisar a identidade para exibir detalhes completos da identidade, exibindo atributos de identidade, permissões e informações da conta. Você também pode exibir detalhes da coleção de identidades para verificar a nova lista de membros.
  • Como Gerente de Identidades, você pode ver detalhes de identidade abrangentes para os subordinados diretos em Quem tem Acesso ao QueAcesso dos Meus Subordinados Diretos.
  • Como Usuário, você pode validar suas contas e permissões na página Minhas CoisasMeu Acesso.

Dependendo das Configurações de conta configuradas para o sistema Orquestrado, um Usuário ou um Gerente de usuário receberá uma notificação sempre que novas contas forem criadas. Por padrão, as notificações são enviadas para o Usuário. Para obter mais informações, consulte Configurar Definições da Conta do Sistema Orquestrado.

Transferências de Funcionários - Provisionamento de Movimentações

Quando um funcionário transfere, realoca ou é promovido internamente em uma organização, um registro é atualizado para esse funcionário na Origem Autorizada. Após a transferência, a identidade só deverá ter acesso a privilégios adequados relevantes para o novo perfil do cargo. Contas e permissões restantes devem ser revogadas com base nas configurações do Ciclo de Vida da Conta. Você pode obter esse provisionamento automático com base nas configurações do Controle de Acesso feitas no Oracle Access Governance.

O processo Movers garante que apenas o conjunto necessário e correto de permissões ou contas seja atribuído aos funcionários que eles exigem em sua nova função.

Cenário: quando um funcionário, Alice, recebe uma transferência interna do departamento de Sucesso do Cliente para o departamento de Vendas na Nuvem da divisão de Vendas, o provisionamento Movers garante que Alice receba todos os privilégios aplicáveis à sua nova função e revoga ou desativa contas e permissões anteriores necessárias à sua função anterior. Neste exemplo, o Alice continuará a ter permissões aplicáveis à divisão de Vendas, mas obterá novos privilégios relevantes no departamento de Vendas na Nuvem. Se não for mais aplicável, suas contas anteriores serão desativadas ou revogadas, e as permissões associadas às contas também serão removidas. Vejamos como conseguir isso no Oracle Access Governance.

Executando o Provisionamento de Movers no Oracle Access Governance

Tomando o cenário acima, vamos analisar as etapas de alto nível envolvidas para obter o provisionamento de Empreendedores no Oracle Access Governance:

  1. Como um Administrador de Controle de Acesso, você deve ter essa configuração mínima, da seguinte forma:
    1. Crie uma Coleta de Identidades com base em regras de associação. Por exemplo, crie uma Coleção de Identidades com regra de associação como Departamento igual a Vendas na Nuvem e outra Coleção de Identidades em que Departamento igual a Sucesso do Cliente. Para obter mais detalhes, consulte Criar Coleções de Identidades.
    2. Crie um Pacote de Acesso ou uma Função e aceda ao pacote às permissões necessárias. Por exemplo, crie um Pacote de Acesso Cloud_Sales_AB com permissões aplicáveis ao Cloud Sales e outro Pacote de Acesso Customer_Success_AB com permissões aplicáveis a Sucesso do Cliente. Para obter mais detalhes, consulte Criar Pacote de Acesso.
    3. Crie uma Política e associe a parte de permissões do Pacote de Acesso à Coleta de Identidades. Por exemplo, crie uma Política Cloud_Sales_Policy e associe Cloud_Sales_AB ao serviço Cloud Sales. Para obter mais detalhes, consulte Criar uma Política.
  2. A Origem Autorizada registra uma atualização da identidade. Por exemplo, o RH atualiza o departamento de Alice do Sucesso do Cliente para o Cloud Sales.
  3. O Sistema Orquestrado executa o carregamento de dados, ingere os dados mais recentes e cria o perfil de identidade do composto no Oracle Access Governance. Com base nas definições do ciclo de vida da sua conta para um sistema orquestrado, as permissões ou as contas são desativadas ou revogadas. Para obter mais informações, consulte Fluxo de Processo de Orquestração de Identidades.

    Os usuários com a atribuição AG_ServiceDesk_Admin podem revogar diretamente as permissões na página Gerenciar Identidades, usando a operação Revogar permissão. O Tipo de Concessão dessas permissões deve ser DIRECT ou Pacotes de Acesso concedidos por meio do REQUEST. Não é possível revogar permissões para os sistemas Oracle Cloud Infrastructure (OCI) ou Oracle Identity Governance (OIG). Para obter etapas detalhadas, consulte Revogar uma ou várias permissões para uma Conta.

Validar Provisionamento de Movers no Oracle Access Governance

Para Empregadores, o Sistema Orquestrado geralmente aciona as seguintes operações:
  • Para desassociar as permissões anteriores às contas de identidade, ele aciona Remover dados de conta ou permissão.
  • Para desativar as contas, ele aciona Atualizar Conta ou, para excluir as contas, aciona Revogar.
  • Para associar novas contas e permissões, isso aciona Criar Conta e Adicionar dados de conta ou permissão.
  • Se apenas as permissões forem diferentes, a Conta permanecerá habilitada, mas as operações Adicionar dados de conta ou permissão e/ou Remover dados de conta ou permissão serão acionadas para atualizar as permissões dessa conta.
  • Se uma conta desativada estiver ativada, ela acionará Atualizar Conta junto com Adicionar dados de conta ou permissão e/ou Remover dados de conta ou permissão.
Você pode verificar as alterações na Console do Oracle Access Governance:
  • Como Administrador de Acesso em Toda a Empresa, você pode pesquisar identidade e exibir detalhes completos da identidade exibindo atributos de identidade, permissões e informações da conta. Você também pode exibir detalhes da coleção de identidades para verificar a nova lista de membros.
  • Como Usuário, você pode validar suas contas e permissões na página Minhas CoisasMeu Acesso.

Dependendo das Configurações de conta configuradas para o sistema Orquestrado, um Usuário ou um Gerente de usuário receberá uma notificação sempre que novas contas forem criadas. Por padrão, as notificações são enviadas para o Usuário. As contas existentes podem ser excluídas ou desativadas, dependendo das Configurações da Conta. Para obter mais informações, consulte Configurar Definições da Conta do Sistema Orquestrado.

Offboarding de Funcionários - Desprovisionamento de Demissões

Quando um funcionário sai da empresa, um registro é excluído ou desativado na Origem autorizada. Ao sair, todas as contas e privilégios associados designados a essa identidade serão excluídos ou desativados do Sistema Gerenciado.

O processo de saída garante que todas as contas e permissões designadas à identidade sejam automaticamente revogadas após sua saída. Quando uma identidade é encerrada e marcada como Inativa no Oracle Access Governance, os acessos de identidade são revogados ou desativados com base nas definições da conta.

Os usuários com a atribuição AG_ServiceDesk_Admin podem revogar diretamente as permissões na página Gerenciar Identidades, usando a operação Revogar permissão. O Tipo de Concessão dessas permissões deve ser DIRECT ou Pacotes de Acesso concedidos por meio do REQUEST. Não é possível revogar permissões para os sistemas Oracle Cloud Infrastructure (OCI) ou Oracle Identity Governance (OIG). Para obter etapas detalhadas, consulte Revogar uma ou várias permissões para uma Conta.

Os usuários com a atribuição AG_ServiceDesk_Admin agora podem desativar diretamente as contas gerenciadas pelo Oracle Access Governance na página Gerenciar Identidades, usando a operação Desativar conta. Depois de desativado, todos os acessos associados são revogados. As contas ainda podem ser gerenciadas pelo Oracle Access Governance. Para obter etapas detalhadas, consulte Desativar e Ativar uma Conta Gerenciada pelo Oracle Access Governance.

Cenário: quando um funcionário, Alice, sai da empresa, o desprovisionamento de Saídas garante que todas as contas e permissões atribuídas aplicáveis à sua função sejam revogadas (excluir ou desativar). Vejamos como conseguir isso no Oracle Access Governance.

Executando o Desprovisionamento de Demissões no Oracle Access Governance

Tomando o cenário acima, vamos analisar as etapas de alto nível envolvidas para obter o desprovisionamento de Saídas no Oracle Access Governance:

  1. Como um Administrador de Controle de Acesso, você deve ter essa configuração mínima, da seguinte forma:
    1. Uma Coleta de Identidades com base em regras de associação. Para obter mais detalhes, consulte Criar Coleções de Identidades
    2. Um Pacote de Acesso ou uma Função em que as permissões necessárias são agrupadas. Para obter mais detalhes, consulte Criar Pacote de Acesso e Gerenciar Atribuições.
    3. Uma Política que associa as permissões (por meio do Pacote de Acesso) à Coleta de Identidades. Para obter mais detalhes, consulte Criar uma Política.
  2. Origem Autorizada desativa um registro existente de um funcionário no sistema.
  3. O Sistema Orquestrado executa o carregamento de dados, ingere os dados mais recentes. Para obter mais informações, consulte Fluxo de Processo de Orquestração de Identidades.

Quando um perfil de identidade é desativado e o carregamento de dados é bem-sucedido, uma tarefa de provisionamento Revogar ou Atualizar Conta é acionada para excluir ou desativar as contas da identidade. As permissões associadas à conta são revogadas e Remover dados de conta ou permissão é acionado para remover permissões do sistema Gerenciado. Para obter mais informações, consulte Configurar Definições da Conta do Sistema Orquestrado.