通过 Oracle Access Governance 实施基于事件的访问审查

简介

Oracle Access Governance 解决了安全主管在应对高级安全威胁和法规增长方面面临的日益严峻的挑战。此云原生解决方案可帮助企业满足许多应用、负载、基础设施和身份平台的监管和合规性要求。

基于事件的访问复查是 Oracle Access Governance 在发生一个或多个预定义事件类型时执行的面向操作的访问复查。每当发生职务代码更改、地点更改等事件时，基于事件的访问权限审核功能都会帮助审核员检查、认证或补救受影响的用户或应用程序角色、权限或权利。

有关 Oracle Access Governance 的详细信息，请参阅：

• Oracle Access Governance 产品页
• 访问监管服务指南
• 访问监管产品文档
• 访问监管 API
• Oracle Access Governance 常见问题解答

目标

在本教程中，您将学习：

• 启用和配置基于事件的访问审核
• 检查基于事件的设置引发的访问审查任务
• 管理和监视基于事件的访问审查
• 了解多个基于事件的访问审核

目标读者

本教程专门为访问监管管理员设计，以便他们可以学习如何配置基于事件的访问审查市场活动，以及为审查者配置，以便他们可以就基于事件的访问审查做出明智的决策。

先决条件

必须具有：

• 具有 AG 管理员权限的 Oracle Access Governance 服务实例。有关详细信息，请参阅了解应用程序角色。
• 具有用户管理员权限的 Oracle Identity Governance (OIG) 实例访问权限。这将自动让您访问身份自助门户，该门户是 OIG 产品套件的一部分。
• 已完成以下教程：
  • 使用 Oracle Access Governance 执行访问复查
  • 使用 Oracle Access Governance 管理和监视访问审查市场活动
• 阅读并了解以下主题：
  • 管理基于事件的访问审核
  • 生成基于事件的访问复核报表
  • 绩效访问权限复核
  • 谁有权访问什么内容

教程方案

Acme Corporation 将 OIG 和访问监管用作身份管理和治理解决方案。

Ema 是 Acme 公司的员工，已移至同一“质量保证”组织内的其他团队或项目。她此前曾向 QA 负责人杰里·波兰报告过，但现在她将开始向贝蒂·库克报告。因此，人力资源必须更新 HCM 中相应的报告经理更改。从身份角度来看， Ema 不再需要直接报告者 Jerry 所需的访问权限，但现在需要 Betty 团队使用的新访问权限。让我们看看如何针对此类事件类型的发生调用基于事件的访问评估，并帮助审核者做出明智的决策。

角色
本教程涉及以下角色：

• Betty Cook 作为访问监管管理员和用户管理器，用于配置基于事件的访问审核、检查基于事件的任务以及执行访问审核。
• John Edward 作为 OIG 用户管理员，他将在“身份自助服务”门户中更新用户属性。

注：这是专门用于培训目的的模拟分配。本教程中使用的角色是虚构的，不代表任何真实身份。我们正在使用模拟数据集来解释讨论中的主题。

方案工作流：

1. 在本教程中，您将首先以 Betty Cook 身份登录到 Oracle Access Governance Console。
2. 查看直接下属的访问权限。
3. 然后，配置基于事件的访问审查。
4. 之后，以用户管理员 John 身份登录到身份自助服务门户，并进行所需的用户属性更改。
5. 再次以 Betty 身份登录到 Oracle Access Governance Console 以从 OIG 运行按需增量数据加载。
6. 最后，您可以检查由基于事件的设置引发的访问复核任务。

任务 1：以用户身份登录 Oracle Access Governance 控制台

1. 从浏览器中，转至 Oracle Access Governance Console。
2. 在用户名字段中，输入用户名。
3. 在密码字段中，输入密码并选择登录。

您将导航到 Oracle Access Governance Console 的主页。

任务 2：查看向用户经理报告的直接下属的访问权限

1. 从导航菜单中，选择谁有权访问内容 -> 我的直接下属的访问权限。
2. 请参阅分配给直接下属的应用程序、角色和权限。

在本教程中，Betty 的直接下属对 Figma 应用程序具有仅查看访问权限。

插图 DirectReports.png 的说明

任务 3：启用和配置基于事件的访问复核

您已看到您的直接下属的访问权限。我们来了解如何启用基于事件的访问审查。

1. 在 Oracle Access Governance Console 主页的导航菜单中，选择基于事件的管理 -> 基于事件的设置。

   

   插图 NavigateEventBasedReview.png 的说明

   您将看到“基于事件的访问复查设置”页。默认情况下，基于事件的访问审核处于禁用状态。

2. 要启用基于事件的访问复查，对于事件类型，请选择操作，然后选择编辑。对于本教程，您将启用经理更改。

   

   插图 EventBasedReviewSetup.png 的说明

   此时将显示配置事件类型 - 管理器更改页。

3. 在此页面上，您可以启用基于事件的访问审核、自动批准低风险任务、根据审核级别数、持续时间以及执行审核的人员定义审核的工作流。对于本教程，您只需启用此基于事件的访问检查。

4. 在启用或禁用此基于事件的访问复查中，选择启用，然后选择保存。

   

   插图 EnableManagerChange.png 的说明

已成功为经理更改启用基于事件的访问权限复核。您可以启用多个事件并选择为身份选择共享工作流。有关详细信息，请参阅特殊案例：了解基于事件的设置中的多事件访问复查任务。

任务 4：更新身份门户中的用户属性更改

假设：在本教程中，我们将直接在 OIG 的身份自助门户中进行更改以更新用户属性。但是，在实际实施中，OIG 可以同步来自任何连接的 HCM（例如 PeopleSoft）的更改。然后，访问监管可以通过互联系统从 OIG 同步数据更改。

1. 以用户管理员身份登录到身份自助服务。

2. 转至管理 -> 用户。选择管理用户。

   

   插图 IdentityUsers.png 的说明

3. 搜索需要更新其用户详细信息的用户名。对于本教程，键入 "Ema"，然后单击搜索图标。

   

   插图 SearchUser.png 的说明

4. 单击操作 -> 修改。

5. 在基本信息部分中，更新经理姓名。对于本教程，在经理字段中，查找并选择 Betty Cook 。

   

   插图 ChangeManager.png 的说明

6. 单击提交。

审批后，用户属性将成功更新。

任务 5：从 OIG 运行按需增量数据加载

1. 以 AG 管理员身份登录到 Oracle Access Governance Console。在本教程中，以 Betty Cook 身份登录。

2. 在 Oracle Access Governance Console 主页的导航菜单中，选择服务管理 -> 连接的系统。

   

   插图 ConnectedSystems.png 的说明

3. 在 OIG 连接磁贴上选择管理。

4. 在右侧，选择操作，然后选择立即加载数据。

   

   插图 LoadData.png 的说明

新的数据加载活动将在几秒钟内开始。根据数据量，完成数据加载大约需要几分钟时间。完成后，状态列将从进行中更改为成功。

插图 SuccessDataLoad.png 的说明

任务 6：检查基于事件的设置引发的访问复查任务

1. 从导航菜单中，转至我的访问审核。

2. 搜索要素并在分配类型权限上应用筛选器。

   

   插图 AccessReviewEma.png 的说明

   观察访问监管如何自动引发事件 - 经理更改的访问查看任务。

3. 请注意，访问监管针对管理权限提出了审核建议。让我们来看看有哪些见解来了解有关此建议的更多信息。

4. 单击查看可查看与管理分配名称对应的洞察。

   

   插图 ReviewAccess.png 的说明

5. 在洞察页上，对于 Figma 应用程序，您可以检查洞察并查看最近的更改。这些洞察是基于人工智能/机器学习的唯一规范分析的身份智能系统驱动的。在此教程中，我们的系统建议 Betty 查看分配给 Ema 的此访问权限。

   

   插图 ReviewRecommendation.png 的说明

6. 现在，请注意访问监管对查看者权限提出了接受建议。让我们来看看有哪些见解来了解有关此建议的更多信息。

   

   插图 AcceptAccessReview.png 的说明

7. 在洞察页上，对于 Figma 应用程序，您可以检查洞察并查看最近的更改。这些洞察是基于人工智能/机器学习的唯一规范分析的身份智能系统驱动的。在本教程中，我们的建议系统建议 Betty 应接受分配给 Ema 的此访问权限。

   

   插图 AcceptRecommendation.png 的说明

特殊情况：了解基于事件的设置中的多事件访问复核任务

当发生多个与单个身份关联的事件类型时，访问监管将引发多个事件。每当发生与单个实体相关的事件（例如职务代码更改、地点更改、组织更改等）时，基于事件的访问检查功能可以帮助审核者检查、认证或补救该身份受到影响的应用程序、角色或权限。

多事件访问审查方案

Ruby Paul 是 Acme 公司的一名员工，最近进行了从产品管理到质量保证部门的内部职业转变。因此，她的组织已更改为质量保证，她现在将向 Betty Cook 报告。她以前向 Chelsea Neal 报告过。

从身份角度来看，Ruby 不再需要 Chelsea 的直接报告所需的访问权限，但现在需要 Betty 团队使用的新访问权限。

您必须启用要为其触发基于多个事件的访问复查的多个事件类型，并且应在基于事件的设置中配置共享工作流。在本教程中，您可以启用组织更改和经理更改事件类型。

插图 SharedWorkflowSetup.png 的说明

更新 Ruby 的用户属性后，访问监管将自动为该单一身份（在本例中为 Ruby ）引发多个基于事件的访问审核任务。

让我们看看 Access Review 见解。

插图 MultiEventInsights.png 的说明

您可以根据建议批准或拒绝访问复核任务。您还可以使用 Oracle Access Governance 的基于事件的报告功能生成报表，查看有关基于事件的访问复查的信息。有关详细信息，请参阅生成基于事件的访问审核报表。

因此，这就是身份变化、基于事件和定期访问审查的发生方式，有效地帮助一个组织阻止因滥用访问权限而可能造成的任何损害。

致谢

• 作者 - Komalreet Kaur
• 贡献者 - Abhishek Juneja，Mike Howlett，Oracle IAM 产品管理

更多学习资源

浏览 docs.oracle.com/learn 上的其他实验室，或在 Oracle Learning YouTube 频道上访问更多免费学习内容。此外，请访问 education.oracle.com/learning-explorer 以成为 Oracle Learning Explorer。

有关产品文档，请访问 Oracle 帮助中心。

---

标题和版权信息

Implement Event-Based Access Reviews with Oracle Access Governance

F72104-01

November 2022

Copyright © 2022, Oracle and/or its affiliates.