Documentação do Oracle Cloud Infrastructure

Gerenciar Atributos de Identidade

Os atributos de identidade referem-se a propriedades de uma identidade, como nome, local, código do cargo, nome da organização e assim por diante. Depois de integrar sistemas de origem Autoritários, internamente, um perfil de identidade global é construído que contém atributos Core e Custom e Afiliações no Oracle Access Governance.

Noções Básicas Sobre a Construção do Perfil de Identidade Global

As identidades no Oracle Access Governance são criadas a partir de atributos básicos, atributos personalizados e afiliações. Depois de integrar suas origens autorizadas, o Oracle Access Governance constrói um perfil de identidade global. Além disso, você pode adicionar seus próprios atributos específicos do sistema para representar atributos complexos ou relacionamento entre esses atributos.


Atributos de Identidade no Oracle Access Governance

Durante o processo de ingestão de dados, você pode aplicar a transformação de entrada e mapear atributos de identidade.

Com base nos atributos ingeridos, um perfil de identidade global é construído. Esse perfil inclui atributos básicos, atributos personalizados e afiliações definidas pelo usuário. Você também pode definir seus próprios atributos de sistema simples ou complexos, conforme necessário.
  • Atributos Básicos: Corrigidos atributos de identidade padronizados conforme reconhecidos pelo esquema do Oracle Access Governance, obrigatórios para executar a operação de gerenciamento de acesso e revisões.
  • Atributos Personalizados: Atributos adicionais, não padrão, simples ou complexos, criados para atender a requisitos de negócios específicos além do conjunto padrão. Você pode gerenciar os atributos padrão do sistema ou criar novos atributos para um sistema orquestrado específico. Os atributos personalizados podem ser atributos do sistema, pertencentes a um sistema orquestrado específico ou Atributos de AG.
    • Atributos do sistema: Propriedades de identidade para um sistema orquestrado integrado. Os valores para esses atributos podem ser derivados de Origens Autorizadas ou por meio de regra. Por exemplo, código do cargo, relação de trabalho, status do funcionário ingerido de Origens Oficiais e sincronizado regularmente.
      Observação

      Para gerenciar o atributo do sistema, vá para a página Gerenciar IntegraçõesAtributos de Identidade do sistema. Consulte Modificar Definições de Integração para um Sistema Orquestrado.
    • Atributos de AG: Criados e usados exclusivamente no Oracle Access Governance e nunca mapeados de uma origem autorizada. Seu valor é sempre gerado por regras. Por exemplo, risk score, status do Oracle Access Governance.
  • Afiliações: As afiliações são construções definidas pelo usuário e baseadas em regras que permitem que uma única identidade tenha várias personas (por exemplo, Funcionário e Contratado) com dados, contas e acesso distintos. As afiliações também expõem atributos filhos de atributos complexos (matriz) para que esses valores possam ser usados na execução de campanhas, na criação de coleções de identidades e em regras de política. Os indicadores de uso só podem ser definidos nos atributos expostos à afiliação, não no atributo de matriz original. Consulte Tratando Personas de Identidade com Várias Afiliações.

Você pode usar esses atributos e afiliações no Oracle Access Governance para executar várias funções, como executar campanhas de revisão de acesso, escolher identidades para coleções de identidades ou aplicar condições de atributo para ativar/desativar o conjunto de dados de identidade disponível.

Exemplos:
  • Ao criar uma campanha, um Administrador da Campanha seleciona atributos personalizados - Centro de Custos e ID do Departamento para refinar ainda mais os critérios de seleção da campanha para executar campanhas de revisão de acesso.
  • Ao criar uma coleção de identidades, um Administrador pode aplicar regras de associação usando os atributos básicos e personalizados. Por exemplo, para criar uma lista de funcionários da gerência sênior para a organização de Contabilidade, crie uma coleção de identidades para incluir funcionários em que o Nível do Cargo seja Diretor e superior, e a Organização seja contabilidade.

Atributos de Exibição

Você pode exibir e procurar atributos principais disponíveis, atributos de identidade personalizados e afiliações que compõem o perfil de identidade global.

Exiba os atributos de identidade global disponíveis:
  1. Na Console do Oracle Access Governance, no menu de navegação Menu de navegação, selecione Administração e, em seguida, selecione Atributos de Identidade.
    A página Atributos de Identidade é exibida. Você pode exibir detalhes de identidade, incluindo núcleo, personalizado e afiliações definidas para o perfil de identidade global.
    Observação

    Para exibir e gerenciar os atributos do sistema, vá para a página Gerenciar integrações desse sistema orquestrado. Para obter mais detalhes, consulte Gerenciar Definições do seu sistema orquestrado.

Exibir Detalhes do Atributo

Você pode exibir os seguintes detalhes de atributo:
Campo Descrição
Nome de atributo Nome do atributo original conforme disponível no Sistema Orquestrado que está conectado ao Oracle Access Governance.
Sistema orquestrado Nome do sistema orquestrado do qual o atributo é preenchido.
Tipo de Atributo Core, Custom ou Afiliação
Nome para exibição Nome de atributo exclusivo que será usado na Console do Oracle Access Governance para fácil identificação e uso.
Tipo de Dados Tipo de dados do atributo, como inteiro, booliano, data, matriz.
Sinalizadores de identidade
  • Detalhes da identidade: Se essa opção for selecionada, os atributos serão exibidos em:
    • Funcionalidade Quem Tem Acesso a O Que na qual você pode exibir somente os atributos de identidade selecionados.
    • A guia Página de detalhes da identidade > Atributo de identidade exibe somente os atributos selecionados.
    • Funcionalidade Minhas Revisões de Acesso na qual você pode executar revisões de acesso e ver insights de revisão.

    Você pode selecionar até 250 atributos para este recurso

  • Seleção de campanha: se selecionado, o atributo estará disponível para uso em campanhas de revisão de acesso do usuário.
  • Configuração Baseada em Evento: Se selecionado, o atributo estará disponível para uso em configurar triggers baseados em evento para revisões de acesso de identidade.
  • Gerenciar Identidades: Se selecionado, o atributo estará disponível para uso em configurar regras de ativação para gerenciar identidades do Oracle Access Governance e para ativar atributos personalizados na criação de uma coleção de identidades.

Pesquisar e Filtrar Atributos Personalizados

Use o campo Pesquisar para localizar o atributo obrigatório pelo nome do atributo. Você pode gerenciar um grande conjunto de atributos aplicando filtros com base nos filtros sugeridos. Por exemplo, a seleção de Detalhes da identidade Ativados exibirá todos os atributos para os quais o flag de detalhes da Identidade está ativado.

No lado superior direito da página, selecione um sistema orquestrado para ver atributos específicos desse sistema orquestrado. Se você selecionar Nenhum sistema disponível, verá uma lista de atributos não associados a nenhum sistema orquestrado ativo.

Criar e Gerenciar Definições de Atributos Personalizados

Você pode criar ou modificar atributos personalizados, incluindo a atualização do Sistema Orquestrado do qual o atributo é preenchido, a modificação do nome para exibição, a aplicação de regras para executar transformações de dados no valor de entrada e a inclusão/exclusão do uso do atributo para determinados recursos do Oracle Access Governance.

  • Atributos do sistema: Propriedades de identidade para um sistema orquestrado integrado. Os valores para esses atributos podem ser derivados de Origens Autorizadas ou por meio de regra. Por exemplo, código do cargo, relação de trabalho, status do funcionário ingerido de Origens Oficiais e sincronizado regularmente. Consulte Criar Atributo do Sistema e Criar um Atributo de Identidade Complexo para um Sistema Orquestrado.
  • Atributos de AG: Criados e usados exclusivamente no Oracle Access Governance e nunca mapeados de uma origem autorizada. Seu valor é sempre gerado por regras. Por exemplo, pontuação de risco, status do Oracle Access Governance. Consulte Criar um Atributo do Oracle Access Governance.
Observação

Para criar atributos do sistema, vá para a página Gerenciar IntegraçõesAtributos de Identidade do sistema. Consulte Modificar Definições de Integração para um Sistema Orquestrado.
Para gerenciar atributos de identidade globais, na Console do Oracle Access Governance, no menu de navegação Menu de navegação, selecione Administração de Serviço → Atributos de Identidade.

Criar Atributo do Sistema

Crie atributos simples ou complexos definidos pelo usuário específicos para um sistema orquestrado. Você pode obter valores desses atributos diretamente usando a transformação de entrada ou afiliações.

Os atributos de identidade personalizados suportam tipos de dados simples e complexos, e você pode usar esses atributos para executar várias funções, como executar campanhas de revisão de acesso, escolher identidades para coleções de identidades ou aplicar condições de atributo para ativar/desativar o conjunto de dados de identidade disponível.
Você pode criar dois tipos de atributos:
  • Atributos Simples: Os atributos simples usam tipos de dados primitivos, como string, data, inteiro, Booliano ou longo. Você pode configurar atributos simples como valor único ou com vários valores.
  • Atributos Complexos: Os atributos complexos são compostos por um ou mais atributos filhos aninhados, representados como matrizes. Por exemplo, um atributo de endereço com rua, cidade e código postal como atributos-filho.

Para criar atributos de sistema simples para um sistema orquestrado:

  1. No ícone do menu de navegação do Oracle Access Governance, Menu de navegação, selecione Administração de Serviço → Sistemas Orquestrados.
  2. Selecione a opção Gerenciar integração no menu de ação menu de ação do sistema orquestrado que você deseja configurar. A página Gerenciar Integração do sistema orquestrado selecionado é exibida.
  3. Na seção Configurações de dados, selecione Gerenciar no mosaico Atributos de identidade.
    Este bloco só está disponível para o sistema orquestrado que suporta origens Autoritárias.
  4. Na guia Atributos, selecione + Criar um atributo do sistema.
    A página Criar um atributo de identidade para este sistema é exibida.
Adicionar detalhes
  1. Qual é o nome para exibição?: Informe o nome para exibição do atributo a ser usado na Console.
  2. O que é o tipo de dados?: Selecione um dos tipos de dados simples.
  3. Clique em Próximo.
Origem do Valor
  1. Marque a caixa de seleção Incluído nos dados de entrada do sistema se o valor do atributo for derivado usando a transformação de entrada. Consulte Referência de Regras de Transformação de Dados.
  2. Marque a caixa de seleção Suporta vários valores se vários valores forem permitidos para o atributo definido.
  3. Clique em Validar.

    Se a regra for válida, você verá uma mensagem de confirmação e a regra será marcada como validada. Se houver um problema com a regra, você verá uma mensagem de erro e a regra será marcada como inválida. Não será possível salvar a regra se ela estiver marcada como inválida.

Criar um Atributo de Identidade Complexo para um Sistema Orquestrado

Crie atributos de identidade complexos personalizados específicos para um sistema orquestrado. Atributos complexos, compostos por um ou mais atributos filhos aninhados, são representados como matrizes. Por exemplo, um atributo de endereço com rua, cidade e código postal como atributos-filho.

Atributos Personalizados Complexos, como jobCode, são representados como arrays na página Gerenciar Atributos de Identidade. Por si só, o array jobCode não pode ser usado ou referenciado diretamente, a menos que você crie uma afiliação. Além disso, os indicadores de uso só podem ser atualizados e gerenciados nesses atributos de afiliação. Não é possível atualizar diretamente os indicadores de uso para os atributos complexos personalizados ou do tipo array.

Para criar atributos de sistema complexos para um sistema orquestrado:

  1. No ícone do menu de navegação do Oracle Access Governance, Menu de navegação, selecione Administração de Serviço → Sistemas Orquestrados.
  2. Selecione a opção Gerenciar integração no menu de ação menu de ação do sistema orquestrado que você deseja configurar. A página Gerenciar Integração do sistema orquestrado selecionado é exibida.
  3. Na seção Configurações de dados, selecione Gerenciar no mosaico Atributos de identidade.
    Este mosaico só está disponível para sistemas orquestrados que suportam origens Autoritárias.
  4. Na guia Atributos, selecione + Criar um atributo do sistema.
    A página Criar um atributo de identidade para este sistema é exibida.
Adicionar detalhes
  1. Qual é o nome para exibição?: Informe o nome para exibição do atributo a ser usado na Console.
  2. What is the data type?: Selecione Complex.
  3. Qual atributo é referenciado exclusivamente por?: Informe um identificador exclusivo para distinguir uma entrada da outra, como employeeRecord.
  4. Clique em Próximo.
Origem do Valor
  1. Qual é o nome do atributo do sistema?: Informe o nome do atributo do sistema para este atributo. Por exemplo, jobData.
    Os atributos complexos têm vários valores e seus atributos filhos podem ser referenciados depois que você cria Afiliações.
  2. Revise as informações e clique em Criar. A página de detalhes Atributo Complexo Personalizado é exibida para adicionar atributos filhos.
Adicionar Atributo Filho
  1. Clique em +Create um atributo filho.
  2. Siga as mesmas etapas que você para adicionar um atributo simples. Para obter mais detalhes, consulte Criar Atributo do Sistema.
  3. Repita esse processo para adicionar outros atributos filho.

Criar um Atributo do Oracle Access Governance

Crie um atributo de AG definido e calculado no sistema do Oracle Access Governance e não associado a nenhum sistema orquestrado. Você pode usá-lo para definir recursos do Oracle Access Governance, como guardrails, coleções de identidades, ou para criar regras de mapeamento ou para valores derivados.

Atributos de AG são representados pelo sistema Interno.
  1. Na página Atributos de Identidade, selecione + Criar um atributo AG.
    A página Criar um atributo de identidade AG é exibida.
Adicionar detalhes
  1. Como o AG deve chamá-lo?: Informe o nome do atributo.
  2. Qual é o nome para exibição?: Informe o nome para exibição do atributo a ser usado na Console.
  3. Qual é o tipo de Dados?: Selecione um dos tipos de dados primitivos, como Booliano, long, number, integer e string.
  4. Clique em Próximo.
Adicionar regra
  1. Informe a regra que deseja aplicar a esta operação/atributo. Para obter mais informações, consulte Referência de Regras de Transformação de Dados.
  2. Clique em Validar.

    Se a regra for válida, você verá uma mensagem de confirmação e a regra será marcada como validada. Se houver um problema com a regra, você verá uma mensagem de erro e a regra será marcada como inválida. Não será possível salvar a regra se ela estiver marcada como inválida.

Uso da configuração
  1. Marque a caixa de seleção do recurso apropriado para incluir o atributo no recurso. Consulte Exibir Detalhes do Atributo.
  2. Clique em Próximo e execute a revisão final.
  3. Clique em Criar.

Gerenciar Atributos Globais de Identidade

Você pode modificar atributos de identidade atualizando o Sistema Orquestrado do qual o atributo é preenchido e aplicando regras para modificar o valor do atributo.

Para modificar atributos de identidade globais, execute as seguintes etapas na página Atributos de Identidade:
  1. No Console do Oracle Access Governance, no menu de navegação Menu de navegação, selecione Administração de Serviço → Atributos de Identidade.
  2. Para um atributo de identidade específico, clique no ícone Ícone Editar Editar correspondente ao atributo que você deseja modificar.
    Os campos de atributo de identidade são exibidos no modo editável, permitindo que você atualize atributos em uma única operação de edição.
  3. Para atualizar qual Sistema Orquestrado deve ser usado para preencher o atributo, selecione um Sistema Orquestrado apropriado na lista Qual sistema orquestrado?.

    Para o sistema orquestrado do OCI (Oracle Cloud Infrastructure), uma opção adicional é exibida: Que domínio?. Se você tiver vários domínios na sua tenancy do OCI, selecione um domínio apropriado do OCI Identity and Access Management a ser usado como a origem da verdade para suas identidades.

  4. Use o valor de atributo direto ou adicione uma regra:
    1. Em Preenchido, selecione o link Alterar.
    2. Para usar o valor do atributo como está sem transformação de dados, selecione Usar o valor <attributename> diretamente. Esta ação exibe o valor Diretamente no campo Preenchido.
    3. Para aplicar regras, selecione Criar uma regra em torno do <attributename>.
    4. Informe a regra e clique em Validar para verificar sua sintaxe. Para obter mais detalhes sobre a sintaxe, consulte Transformação de Dados para Regras de Entrada e Saída. Não é possível aplicar regras a atributos aninhados (<parent>.<child>).
    5. Clique em Aplicar. Esta ação exibe o valor Por regra no campo Preenchido.
  5. Selecione os flags de identidade apropriados para incluir atributos no recurso.
    OpçãoDescrição
    Incluir nos detalhes da Identidade Se selecionado, os atributos são exibidos em:
    • Funcionalidade Quem Tem Acesso a O Que na qual você pode exibir somente os atributos de identidade selecionados.
    • A guia Página de detalhes da identidade > Atributo de identidade exibe somente os atributos selecionados.
    • Funcionalidade Minhas Revisões de Acesso na qual você pode executar revisões de acesso e ver insights de revisão.
    Incluir nas seleções de campanha Se selecionado, o atributo estará disponível para uso em campanhas de revisão de acesso do usuário.
    Incluir nas revisões de acesso com base em evento Se selecionado, o atributo estará disponível para executar microcertificações e usar em configurar triggers baseados em evento para revisões baseadas em evento.
    Incluir no gerenciamento de identidades Se selecionado, o atributo estará disponível para uso em configurar regras de ativação para gerenciar identidades do Oracle Access Governance e para ativar atributos personalizados na criação de uma coleção de identidades.
  6. Depois de executar suas edições, clique em marcar Aplicar. Isso preserva suas alterações. Você pode continuar editando outros atributos seguindo o mesmo processo.
  7. Clique em Salvar para aplicar suas alterações e atualizar todos os atributos de uma só vez.
    A coluna Última atualização por exibe o nome do administrador que executou a atualização mais recente.

Extrair Atributos Personalizados Mais Recentes

Atualiza somente os objetos de esquema e não ingere dados. Execute o carregamento de dados ou aguarde o próximo carregamento de dados preencher os valores. Os atributos criptografados nunca são extraídos ou exibidos.

  1. No ícone do menu de navegação do Oracle Access Governance, Menu de navegação, selecione Administração de Serviço → Sistemas Orquestrados.
  2. Selecione a opção Gerenciar integração no menu de ação menu de ação do sistema orquestrado que você deseja configurar. A página Gerenciar Integração do sistema orquestrado selecionado é exibida.
  3. Na seção Configurações de dados, selecione Gerenciar no mosaico Atributos de identidade.
    Observação

    Este mosaico só está disponível para sistema orquestrado que suporta origens Autoritárias.
  4. Selecione Extrair atributos e, em seguida, Extrair.
Observação

Esta ação não ingerirá os dados de atributo do sistema orquestrado, mas apenas carregará os objetos de esquema. Para extrair e usar os dados dos atributos, você precisa aguardar a próxima operação de sincronização de dados programada ou executar manualmente a operação de carregamento de dados. Consulte o tópico Configurar Definições para um Sistema Orquestrado.

Requisitos e Regras para o Gerenciamento de Atributos de Identidade

Os atributos de identidade são regidos por determinados requisitos e regras. Vamos ver alguns deles:

  • Um atributo personalizado criptografado no seu esquema não estará disponível no Oracle Access Governance e não será exibido na página Atributos de Identidade.
  • Você pode criar atributos complexos simples e personalizados. Os atributos simples fazem parte do perfil de identidade global automaticamente e os atributos complexos personalizados são expostos por meio de afiliações.
  • Você pode optar por usar o valor do atributo personalizado diretamente ou modificar o valor do atributo aplicando regras de transformação. Por exemplo, concatenar o número do funcionário com o nome para definir um nome para exibição.
  • Não é possível editar um atributo complexo definido como array.
  • Se você alterar um atributo aninhado (<parent>.<child>), uma lista de atributos dependentes adicionais será afetada e exibida. Por exemplo, se você atualizar o sistema orquestrado para o atributo name.firstName. Para garantir a integridade dos dados, o sobrenome da identidade deve vir do mesmo Sistema Orquestrado, de modo que uma mensagem será exibida Isso também alterará o sistema orquestrado para atributos: name.lastName. Quando você salvar a alteração, os dois atributos serão atualizados.
  • Para o sistema orquestrado do OCI (Oracle Cloud Infrastructure), uma opção adicional é exibida: Que domínio?. Se você tiver vários domínios na sua tenancy do OCI, selecione um domínio apropriado do OCI Identity and Access Management a ser usado como a origem da verdade para suas identidades. Se você já tiver executado uma carga de dados do seu Sistema Orquestrado do OCI, poderá selecionar em uma lista de domínios disponíveis ingeridos no sistema do OCI. Se a carga de dados não tiver sido executada, você poderá inserir o nome do domínio usando texto livre.
  • Nos casos em que atributos Personalizados complexos são definidos, como Código do Cargo, representados como matrizes
    jobCode{
  Attr1,
  Attr2,
}
    Por conta própria, o array jobCode não pode ser diretamente referenciado ou utilizado nos recursos do Oracle Access Governance, a menos que você crie uma afiliação. As afiliações fornecem um mecanismo para expor atributos filho individuais de atributos complexos, definindo os atributos de afiliação correspondentes. Por meio de regras de afiliação, você pode mapear valores do atributo complexo para atributos de afiliação específicos. Além disso, os flags de uso só podem ser atualizados e gerenciados nesses atributos de afiliação. Atualizações diretas para flags de uso não estão disponíveis para os atributos originais complexos ou do tipo array.