Documentação do Oracle Cloud Infrastructure

Noções Básicas Sobre Ações do Revisor para Certificação de Acesso Efetiva

Como Revisor de Acesso, você pode certificar privilégios de acesso usando o recurso Minhas Revisões de Acesso. Você pode revisar tarefas de revisão de identidade, controle de acesso e propriedade, aprovar em massa itens de baixo risco, verificar os insights analíticos prescritivos equipados com IA/ML, revisar itens de alto risco e tomar decisões informadas com base em recomendações baseadas em IA/ML fornecidas pelo Oracle Access Governance. Você também pode reatribuir ou delegar suas tarefas de avaliação a algum outro revisor.

Tipos de Tarefa de Revisão de Acesso no Oracle Access Governance

Depois que uma campanha é iniciada, o serviço Campaigns no Oracle Access Governance rastreia ativamente o acesso das identidades no escopo, gera insights inteligentes e cria as revisões de acesso. Com base no tipo de Revisão de Acesso, o Oracle Access Governance gera tarefas de revisão de identidade, controle de acesso e/ou revisão de propriedade.

Aqui estão alguns detalhes sobre cada tarefa de revisão de acesso:

Tarefas de Revisão de Identidade

As tarefas de Revisão de Identidade incluem certificação de direitos de acesso de identidade, avaliação de contas de usuário, permissões e atribuições. Eles são iniciados quando você inicia uma tarefa de Revisão de Identidade sob demanda ou são iniciados na ocorrência de algum evento de identidade, como alteração de departamento, alteração de gerente etc. Uma única campanha pode gerar várias tarefas de revisão. Por exemplo, quando você inicia Revisões de Acesso de Identidade, o Oracle Access Governance pode gerar tarefas de revisões de acesso para contas, permissões ou atribuições associadas a uma única identidade na página Minhas Revisões de AcessoIdentidade.

O Oracle Access Governance gera insights prescritivos e fornece recomendações para que os revisores possam tomar uma decisão informada para Aprovar ou Rejeitar o acesso de identidade necessário.

Tarefas de Revisão de Controle de Acesso

As tarefas de Revisão de Controle de Acesso incluem auditoria de políticas de IAM (Identity and Access Management) e coletas de identidades, iniciadas por campanhas sob demanda de Revisão de Políticas e Revisão de Coletas de Identidade. Por exemplo, quando você inicia a revisão da política de administrador de domínio da sua tenancy, o Oracle Access Governance pode gerar tarefas de revisão de acesso para o tipo Política na página Minhas Revisões de AcessoControle de acesso.

O Oracle Access Governance gera insights prescritivos e fornece recomendações para que os revisores possam tomar decisões informadas para Aprovar ou Rejeitar toda a política de uma só vez, ou tomar decisões para Aprovar ou Rejeitar uma declaração de política específica nessa política.

Observação

Para uma política do OCI, as revisões são limitadas às construções básicas de política. A sintaxe avançada, incluindo a cláusula "where", está além do escopo de nosso recurso suportado.

Tarefas de Revisão de Propriedade

As tarefas de Revisão de Propriedade incluem:
  • Auditoria de Contas sem Correspondência do Identity and Access Management (IAM), iniciada por revisões de acesso baseadas em eventos. Essas tarefas ajudam a revisar quaisquer contas sem correspondência para identidades no Oracle Access Governance. Ao configurar um evento de conta sem correspondência, você pode optar por remover as contas sem correspondência automaticamente. Como revisor, você pode selecionar uma identidade para correspondência ou remover a conta sem correspondência
  • Revisão de propriedade dos recursos do Oracle Access Governance. Essas tarefas ajudam a revisar e verificar se apenas proprietários autorizados estão gerenciando recursos do Oracle Access Governance. Por exemplo, talvez você queira executar campanhas periódicas para revisar a propriedade de grupo das Coleções de Identidades definidas no Oracle Access Governance.

    Você pode exibir todas as revisões de propriedade anteriores executadas para o recurso na seção Trilha de Revisão de Acesso. Com base no workflow de aprovação selecionado na campanha, o proprietário principal ou uma identidade de força de trabalho ativa do Oracle Access Governance é escolhido como o revisor. Como revisor, você pode alterar os proprietários principais e/ou adicionais dos recursos, certificar a propriedade atual ou reatribuir a tarefa de revisão a algum outro usuário ativo do Oracle Access Governance.

Insights inteligentes - Revise recomendações com base na análise prescritiva

O Oracle Access Governance utiliza análises prescritivas para gerar insights e recomendar ações necessárias nas tarefas de revisão. Isso permite que os revisores de acesso tomem decisões corretivas, diminuam a carga administrativa e reduzam os custos.

A análise prescritiva vai além da previsão e envolve recomendações orientadas para a ação. São orientações orientadas por dados. O Oracle Access Governance executa cálculos complexos e considera muitas dimensões, como organização, local, recurso e a sensibilidade desse recurso antes de recomendar uma decisão. Em um nível alto, a análise da permissão é baseada nos seguintes fatores:

  • Comparação com colegas subordinados ao mesmo gerente
  • Comparação com colegas cujo código do cargo é o mesmo
  • Comparação com colegas na mesma organização
  • Alterações recentes em um perfil de usuário

Como revisor, você obtém uma recomendação orientada por dados que simplifica o processo de revisão e reduz o esforço manual envolvido na identificação das permissões anômalas. Na página Insights, você também pode rastrear a trilha de avaliações ocorridas em um acesso específico, necessário para fins de auditoria. Você também pode rastrear séries de alterações de eventos envolvidas para esse acesso. Todos esses detalhes ajudam você a tomar uma decisão informada para esse acesso.

Trilha de Auditoria: Monitorando Decisões de Revisão de Acesso e Solicitação de Acesso

A Trilha de Auditoria no Oracle Access Governance captura o histórico de tarefas de aprovação de solicitação e revisão de acesso. Registra as decisões tomadas durante solicitações de acesso e revisões, incluindo se o acesso foi aceito, rejeitado ou revogado, juntamente com quaisquer justificativas fornecidas.

No escopo - O que ele rastreia

  • Decisões de revisão de aprovação e acesso, incluindo decisões de aceitar, rejeitar ou revogar o acesso, com justificativas.
  • Aprovar e revogar eventos para acesso concedido por solicitações ou acessos atribuídos diretamente em Sistemas Gerenciados (Tipo de Concessão Solicitação e Tipo de Concessão Direta).
  • Revogar acessos de identidade para revisões baseadas em eventos que são acionadas quando há alterações nos atributos de identidade. Isso não mostra o acesso revogado por meio da política quando há alterações de atributo.
  • Aprovação de solicitações de acesso com violações de SOD. Essas solicitações são identificadas pelo ícone Ícone indicando que a solicitação foi aprovada com Violações de SOD indicando que a solicitação foi aprovada mesmo que houvesse violações de separação de tarefas do Risk Management Cloud.
  • Revisões de acesso de limite de tempo aprovadas ou solicitadas com justificativa apropriada. Todos os acessos de limite de tempo são identificados pelo
    ícone indicando revisão de acesso do limite de tempo

    ícone de relógio.

Fora do Escopo - O que Não Rastreia

  • Acesso concedido ou revogado por meio de políticas, pois elas são revisadas no nível da política, não no nível da identidade.
  • Atualizações feitas diretamente em sistemas orquestrados. Por exemplo, uma atribuição é removida dos Sistemas Orquestrados

Log de Eventos de Alteração Recente: Rastreando Alterações de Atributo

O Log de Alterações Recentes rastreia as alterações do atributo de identidade que estão ativadas na Configuração Baseada em Evento. Para Campanhas (não baseadas em eventos), ele mostra todos os eventos de alteração para atributos com a opção Configuração Baseada em Eventos ativada que ocorreram para a identidade fornecida nos últimos seis meses. Para campanhas baseadas em eventos, ele registra apenas alterações para o atributo que aciona a revisão.

No escopo - O que ele rastreia

  • Alteração de atributo, como atualizações de departamento, se ativada na Configuração Baseada em Evento.
  • Alterações no atributo que acionaram as revisões baseadas em eventos para realizar a microcertificação.
  • Para Campanhas, alterações nos atributos de identidade, ativadas para Configuração Baseada em Evento, nos últimos seis meses.
  • Aprovação e revisões de Solicitação de Acesso para acessos concedidos por solicitações ou acessos atribuídos diretamente em Sistemas Gerenciados.
  • Revogação revisada por meio de revisões de acesso baseadas em eventos (não baseadas em políticas)

Fora do Escopo - O que Não Rastreia

  • Acesso específico que foi perdido ou ganho devido à alteração de atributo.

Exemplo: Se o departamento de uma pessoa for alterado e o atributo de departamento tiver sido ativado em Configuração Baseada em Evento -> Eventos de alteração, o valor do atributo alterado será exibido nessa seção. Ela mostrará apenas qual valor de atributo alterado e não mostrará qual acesso específico foi perdido ou ganho devido à alteração de atributo. Para esse cenário de movimentação, todos os acessos que a identidade possui no momento precisam ser revisados como uma tarefa de revisão.

Delegando suas Tarefas de Avaliação

Delegar uma tarefa de revisão de acesso permite transferir suas próximas tarefas de revisão para alguns outros revisores, temporária ou indefinidamente. Normalmente, você gostaria de delegar um item de avaliação a algum outro revisor ou a uma coleção de identidades durante sua ausência, como férias.

Com a delegação, a propriedade dos itens de avaliação não é alterada. Um revisor de backup é atribuído na ausência do revisor pretendido para que não ocorram atrasos. Na página Insights, o revisor pode ver os detalhes completos da Trilha de Revisão de Acesso. Por exemplo, como gerente que está de férias, você pode delegar suas tarefas de avaliação ao líder da equipe. Durante sua ausência, o líder da equipe pode continuar a tomar decisões em seu nome, que você pode ver na Trilha de Revisão de Acesso. No entanto, a principal responsabilidade de revisar as tarefas de revisão de acesso ainda será com o gerente. Você pode delegar suas revisões de acesso usando o recurso de autoatendimento, que é de Minhas CoisasMinhas Preferências. Para obter mais informações, consulte Gerenciar Preferências de Delegação.

Reatribuindo uma tarefa de revisão

A reatribuição de uma tarefa de revisão de acesso permite que você altere o revisor de suas tarefas de revisão pendentes para alguns outros revisores permanentemente. Com a reatribuição, a propriedade dos itens de revisão é alterada. As tarefas de revisão são movidas do revisor original e são atribuídas ao novo revisor. Somente o novo revisor pode ver os detalhes da reatribuição na trilha de revisão de acesso.

Normalmente, você reatribuiria seus itens de revisão pendentes quando houver uma alteração na responsabilidade. Por exemplo, como um gerente que sai da empresa, você pode reatribuir suas tarefas de avaliação existentes ao gerente ou ao substituto. Isso muda os itens de revisão pendentes para o novo revisor.

Alterações em Massa - Gerenciando Vários Itens de Revisão Simultaneamente

O Oracle Access Governance permite que você aprove, rejeite ou reatribua vários itens de revisão simultaneamente, em vez de tomar as mesmas decisões individualmente. Revisar vários itens de uma só vez reduz a carga administrativa e economiza tempo.

Use as recomendações baseadas em dados para tomar uma decisão eficiente de aprovar ou rejeitar várias solicitações de uma só vez. Por exemplo, ao realizar revisões de acesso periódicas para sua equipe, você pode aprovar todos os itens de revisão de baixo risco, com a recomendação Aceitar de uma só vez. Você pode até selecionar vários ou todos os itens para reatribuir as tarefas a algum outro revisor.

Veja o que você pode fazer em massa para cada tarefa de revisão:
  • Para tarefas de revisão de identidade, você pode aprovar ou rejeitar várias tarefas de revisão simultaneamente. Você pode até reatribuir várias tarefas de revisão de identidade de uma só vez.
  • Para tarefas de controle de acesso, para uma política, você pode aprovar ou rejeitar todas as instruções de uma só vez.
  • Para tarefas de controle de acesso, para uma coleção de identidades, você pode aprovar ou rejeitar todos os membros de uma só vez.
  • Para revisões baseadas em eventos, você pode configurar para aprovar automaticamente tarefas de baixo risco. Você também pode configurar para remover automaticamente contas sem correspondência.

As mudanças em massa combinadas com análises prescritivas permitem acelerar o processo, melhorando a eficiência operacional sem comprometer a segurança.

Aceitar Acesso Temporário para Revisões de Acesso à Identidade

Você pode aceitar temporariamente o acesso enquanto certifica o acesso de identidade a uma permissão. O acesso pode ser aceito por um período indefinido ou pode ser definido para expirar com base em um período de expiração especificado.

O período de expiração depende da configuração do pacote de acesso. O acesso temporário é aplicável para as seguintes revisões:
  • Tipo de Atribuição: Permissão
  • Granted Permission Type: Pacote de Acesso

A trilha de auditoria exibe todas as revisões de acesso limitado por tempo e aceitação limitada por tempo com um ícone de relógio ícone de relógio.