Documentação do Oracle Cloud Infrastructure

Gerenciar Guardrails de Acesso no Oracle Access Governance

Gerencie e imponha restrições ou condições de segurança no Oracle Access Governance usando o recurso Access Guardrails para garantir que somente identidades autorizadas e compatíveis possam obter acesso a permissões específicas.

Criar um Corrimão de Acesso

Para criar um novo corrimão de acesso, selecione o botão Criar um corrimão de acesso. A página Criar um novo corrimão de acesso é exibida.

Adicionar Detalhes

Na tarefa Adicionar Detalhes, você pode informar definições gerais sobre o corrimão de acesso. Você também pode adicionar tags amigáveis que podem ser usadas em uma pesquisa por este corrimão de acesso.

  1. Nome: Informe um nome para seu corrimão de acesso.
  2. Descrição: Digite a descrição do corrimão de acesso.
  3. Tags: Informe uma ou mais tags para este corrimão de acesso.
  4. Selecione um para selecionar o evento quando desejar impor este corrimão
    1. Somente novas solicitações de acesso: isso impõe guardrails somente se uma identidade solicitar um novo acesso usando o módulo de autoatendimento.
    2. Novas solicitações de acesso e acesso existente: Isso impõe guardrails para acessos existentes e para novos acessos também.
    Dependendo das definições de configuração, os acessos existentes serão bloqueados ou um período de tolerância será permitido se uma violação for acionada para esta regra.
  5. Depois de concluir as configurações, selecione Próximo para ir até a tarefa Definir Regras ou selecione Cancelar para cancelar o processo atual.

Definir Regras para Corrimãos de Acesso

Na tarefa Definir regra, defina uma ou mais condições que uma identidade deve passar para obter acesso.

  1. Selecione o botão + Adicionar condição.
    O painel Adicionar condição é exibido.
  2. Na lista drop-down Que tipo de condição?, selecione o tipo de condição que deseja definir e impor:
    OpçãoDescrição
    A identidade tem uma permissão Selecione esta opção se uma identidade precisar ter essa permissão. Nesse caso, o guardrail de acesso será violado se uma identidade não tiver acesso à permissão definida.

    Por exemplo, use essa opção antes de designar privilégios elevados, você pode verificar se uma identidade tem permissões padrão para executar funções gerais.
    A identidade não deve ter uma permissão Selecione esta opção se uma identidade não deve ter esta permissão. Nesse caso, o guardrail de acesso será violado se uma identidade tiver acesso à permissão definida.

    Por exemplo, para o sistema orquestrado Entra ID, use isso para impedir que os usuários solicitem o Grupo de Acesso Privilegiado, se eles fizerem parte do grupo Colaboradores Externos.
    A identidade corresponde a um atributo Selecione esta opção se uma identidade tiver que corresponder ao atributo definido.

    Por exemplo, use essa opção para restringir identidades apenas no departamento IT Security Corp para solicitar a atribuição Administrador do Serviço IAM.
    A identidade tem uma conta para um sistema

    Selecione esta opção se uma identidade precisar ter uma conta em um sistema específico para que um acesso seja concedido.
  3. Para A identidade tem uma permissão ou A identidade não deve ter uma permissão, selecione as condições de permissão, da seguinte forma:
    1. Qual sistema?: Selecione o sistema orquestrado gerenciado pelo Oracle Access Governance.
    2. Que tipo de permissão concedido?: Selecione o tipo de permissão, como atribuição, grupos, privilégio, esquema, etc. para o sistema orquestrado selecionado.
    3. Qual permissão?: Selecione a permissão que você deseja definir ou impor.
    4. (Opcional) Dependendo do sistema orquestrado e da permissão selecionada, você pode definir atributos adicionais, como valores de contexto de segurança, para obter controle detalhado sobre a condição definida.
    5. Selecione Adicionar.
  4. Para A identidade tem uma conta para um sistema, selecione as condições da seguinte forma:
    1. Qual sistema?: Selecione o sistema orquestrado para o qual uma conta de identidade deve existir. Se nenhuma violação for encontrada, o aprovador poderá decidir aceitar ou rejeitar uma solicitação de acesso.
    2. (Opcional) Qual domínio: Para sistemas orquestrados do OCI, selecione o domínio para garantir que uma identidade tenha uma conta no domínio do sistema selecionado.
    3. Selecione Adicionar.
  5. Para A identidade corresponde a um atributo, selecione as condições do atributo da seguinte forma:
    1. Qual atributo?: Selecione o atributo de identidade que deve corresponder para que um acesso seja concedido.
    2. Selecione Adicionar.
  6. Continue adicionando mais condições, se necessário.
  7. Selecione Qualquer um se qualquer uma das condições definidas precisar ser satisfeita ou selecione Todos se todas as condições definidas precisarem ser satisfeitas.
Testar uma Identidade
  1. Selecione o link Testar uma identidade para verificar as condições definidas em relação a uma identidade.
    1. Selecione a identidade de sua escolha para executar o teste no campo Qual identidade você deseja testar?.
    2. Selecione Teste.
      Se a condição falhar, o teste exibirá Com falha com os detalhes apropriados sobre a falha.
  2. Selecione Próximo.

Ação sobre Falha nas Condições do Guardrail de Acesso

Nesta tarefa Ação em Caso de Falha, você precisa definir a ação ou operação que o Oracle Access Governance deve executar quando uma violação do Access Guardrail for acionada. Você pode optar por bloquear o acesso imediatamente ou permitir que um período de tolerância por alguns dias atenda aos requisitos obrigatórios mencionados nas condições.

  1. No campo O que deve acontecer quando o corrimão de controle de acesso falhar?, selecione um dos seguintes, dependendo do nível de risco de acesso.
    OpçãoDescrição
    Alto risco - Bloquear o acesso imediatamente Para novas solicitações de acesso, a solicitação não será gerada e a violação será acionada com o status - Bloqueado. Para acessos existentes (se escolhidos na tarefa anterior), o acesso seria removido junto com a violação de status Bloqueado.
    Baixo Risco - Aceitar o risco por um número de dias Para acessos novos ou existentes, se aprovados, o acesso seria concedido ou retido condicionalmente por um número definido de dias para completar os requisitos obrigatórios. A violação é gerada com o status - Silenciado.
  2. Para a opção Baixo Risco - Aceitar o risco para um número de dias, informe o número de dias (menor ou igual a 90) para os quais você deseja manter o acesso.
  3. Marque a caixa de seleção Incluir o gerente da identidade nas notificações para incluir o gerente da identidade na notificação sobre violação do guardrail de acesso.
  4. Selecione Próximo.
  5. (Opcional) Você pode selecionar uma das ações adicionais:
    • Cancelar: para cancelar o processo atual
    • Voltar: para retornar à etapa anterior.

Adicionar Proprietários Principais e Adicionais

Você pode associar a propriedade do recurso adicionando proprietários principais e adicionais. Isso impulsiona o autoatendimento, pois esses proprietários podem gerenciar (ler, atualizar ou excluir) os recursos de sua propriedade. Por padrão, o criador do recurso é designado como o proprietário do recurso. Você pode atribuir um proprietário principal e até 20 proprietários adicionais para os recursos.
Observação

Ao configurar o primeiro Sistema Orquestrado para sua instância de serviço, você só poderá designar proprietários depois de ativar as identidades na seção Gerenciar Identidades.
Para adicionar proprietários:
  1. Selecione um usuário ativo do Oracle Access Governance como o proprietário principal no campo Quem é o proprietário principal?.
  2. Selecione um ou mais proprietários adicionais na lista Quem mais possui?. Você pode adicionar até 20 proprietários adicionais para o recurso.
Você pode exibir o Proprietário Principal na lista. Todos os proprietários podem visualizar e gerenciar os recursos que possuem.

Revisar e Submeter

Na tarefa Revisar e enviar, revise os detalhes do corrimão de acesso e crie o corrimão de acesso.

Verifique os detalhes do corrimão de acesso e selecione Criar. O corrimão de acesso foi criado com sucesso.

Testar para Identidade

Você pode verificar as condições definidas em relação a uma identidade ao criar um guardrail de acesso ou publicar sua criação por meio do menu Ações (três pontos).

  1. Na página Access Guardrails, selecione o ícone Ações Actions e, em seguida, selecione Test for an identity.
  2. Selecione a identidade para executar o teste no campo Qual identidade você deseja testar?.
  3. Selecione Teste.
    Se a condição falhar, o status Com Falha será exibido com os detalhes de falha apropriados.

Impor Guardrails de Acesso no Oracle Access Governance

Depois de criar um guardrail de acesso, você precisará associá-lo a um ou mais pacotes de acesso para um sistema. Como alternativa, você pode associar um guardrail de acesso a um conjunto de identidades, garantindo que apenas identidades autorizadas e compatíveis, atendendo a critérios predefinidos, sejam membros de um Conjunto de Identidades.

É possível associar sistemas cruzados de guardrails de acesso para impor restrições. Por exemplo, só conceda o Grupo de Segurança do OCI se o departamento de identidade corresponder à Segurança Corporativa no Active Directory. Implemente Guardrails de Acesso, conforme explicado:
  1. Criar Guardrail de Acesso.
  2. Associe um guardrail de acesso ao alterar ou criar um pacote de acesso.
  3. A identidade gera uma solicitação de acesso de autoatendimento para um pacote de acesso.
  4. As verificações de corrimão são acionadas.
    Se nenhuma violação for encontrada, o aprovador poderá decidir aceitar ou rejeitar uma solicitação de acesso.
    Se uma violação de alto risco for identificada, a solicitação de acesso falhará e o status da resolução será definido como Bloqueado.
    Em casos de violações de baixo risco, o aprovador pode ver os detalhes da violação e pode decidir se aprova ou rejeita a solicitação de acesso. Nesse caso, a violação é definida com o status Snoozed. Se aprovado, o acesso é concedido para um número limitado de dias definido. Se a violação não tiver sido resolvida durante esse período, a permissão será revogada.

Pesquisar Corrimãos de Acesso e Exibir Detalhes

Pesquise para obter resultados específicos e relevantes. Você pode usar uma pesquisa básica de palavras-chave para qualquer coisa que deseja encontrar, definir o escopo da pesquisa usando os filtros sugeridos.

Depois de restringir a pesquisa, selecione o link do corrimão de acesso na coluna Nome para exibir os detalhes. Você também pode selecionar o menu Ações do Ações (três pontos) e selecionar Exibir detalhes.

Editar um Guardrail de Acesso

Você pode editar um guardrail de acesso para incluir condições adicionais, alterar critérios de imposição, alterar ações de falha ou atualizar detalhes gerais. Se você tiver selecionado critérios de imposição como Novas solicitações de acesso e acesso existente, os acessos existentes serão reavaliados com base nos detalhes da alteração.

  1. Vá para a página Acessar Guardrails.
  2. Para um corrimão que você deseja editar, selecione o menuAções Ações (três pontos) e, em seguida, selecione Editar.
  3. Modifique de acordo com a exigência.
    A página Editar guardrail de acesso fornece o mesmo workflow guiado da criação de um guardrail.
  4. Na etapa Revisar e enviar, selecione Atualizar.

Exibir Relatório de Violações de Guardrail de Acesso

Gere um relatório sobre violações de guardrail de acesso selecionando o botão Exibir relatório de guardrail de acesso. Você pode gerar um relatório com base no intervalo de datas, no nome do guardrail de acesso, no status da violação ou no status da correção.

Você pode exibir violações por remediação, violações por risco e as 5 principais violações de guardrail que foram acionadas. Você também pode salvar a captura de tela do relatório no formato PDF.
Veja a seguir os parâmetros de filtro do relatório:
  • Por Faixa de Datas: Use os campos De e Até para selecionar datas.
  • Por nome do guardrail de acesso: Exiba o relatório de um guardrail de acesso específico.
  • Por Status de Violação: As violações são abertas, com o status da solicitação ainda marcado como bloqueado ou fechado, em que uma violação anterior foi resolvida.
  • Por Remediação de Violação: O status da resolução de violação pode ser:
    • Compensada: Uma violação anterior foi resolvida e fechada.
    • Bloqueada: Ainda existe uma violação e o status da solicitação de acesso é bloqueado.
    • Snoozed: Uma violação que existe para guardrails de acesso de baixo risco. O aprovador pode aceitar o risco e aprovar o acesso para o número de dias definido.

Excluir um Guardrail de Acesso

Você pode excluir um guardrail de acesso e remover sua associação de um pacote de acesso. Após a exclusão, a verificação do corrimão de acesso não será mais aplicada. Além disso, quaisquer violações abertas ou bloqueadas relacionadas ao corrimão de acesso também serão removidas.

  1. Vá para a página Acessar Guardrails.
  2. Para um corrimão que você deseja excluir, selecione o menu Ações Ações (três pontos) e, em seguida, selecione Excluir.
  3. Na caixa de diálogo pop-up Confirmação, selecione Excluir.