注意:

使用 Oracle Access Governance 监管孤立账户

简介

Oracle Access Governance 是一款云原生现代身份治理和管理 (IGA) 解决方案,可提供企业级可见性来管理所有云服务和内部部署系统的访问。它提供动态访问控制,这是一个规范性分析驱动的访问审查流程,可帮助客户自动执行访问预配,深入了解访问权限,识别异常并修复安全风险。Oracle Access Governance 结合了简单性、自动化和强大的安全功能,可确保企业中的员工和消费者只有必要的访问权限,才能在需要时完成工作。

孤立帐户是指缺少指定所有者并且源自各种系统或应用程序的帐户。通过在 Oracle Access Governance 中实施此流程,您将建立集中式治理流程,确保对未管理的身份进行可见性和控制。

微认证:事件驱动的访问审查

只要检测到更改事件、时间表事件或不匹配的账户事件,Oracle Access Governance 就会自动启动微认证。Oracle Access Governance 持续监视身份概要信息,每当检测到预定义事件时,都会启动与该事件相关的访问审查。

只要 Oracle Access Governance 检测到无法与任何身份关联的孤立账户,就会触发不匹配的账户事件。您可以选择要为其配置此事件类型的编排系统。您可以配置以自动删除不匹配的账户。

目标读者

目标

先决条件

任务 1:在 Oracle Access Governance 中验证编排的系统配置

在本任务中,我们将验证编排的系统配置是否正确以及数据加载流程是否成功运行。

  1. 打开浏览器并导航到 Oracle Access Governance 控制台。

  2. 为 Oracle Access Governance 管理员输入用户名口令,然后单击登录

  3. 从导航菜单中,选择服务管理编排的系统

  4. 找到您的托管系统,单击右侧的三点 (URL) 图标并选择查看活动日志

  5. 确认完全数据加载活动已成功运行。

    连接的系统验证和数据加载成功

任务 2:为不匹配的客户创建基于事件的访问复核

在本任务中,我们将为源自数据库的不匹配账户配置基于事件的访问审查。

  1. 从导航菜单中,选择访问审核基于事件的设置

  2. 导航到不匹配的账户,然后单击创建不匹配的账户事件

  3. 输入事件的名称,例如不匹配帐户 - 数据库,然后选择已启用以启用事件。

  4. 选择数据库编排的系统。

  5. 选择工作流页中,在哪个用户?字段中选择自定义用户,然后选择管理员用户。

    不匹配账户的基于事件的设置

    不匹配账户的基于事件的设置

任务 3:在数据库中创建用户

在本任务中,我们将使用数据库客户端在目标数据库中手动创建用户帐户。

  1. 使用数据库客户机(例如 SQLDeveloper)在数据库中创建多个用户帐户。确保 Oracle Access Governance 中不存在用户名。

    注:本教程使用 SQLDeveloper 时,您可以使用任何首选数据库客户端。

    CREATE USER demousr1 IDENTIFIED BY demopasswd;
    CREATE USER demousr2 IDENTIFIED BY demopasswd;
    CREATE USER demousr3 IDENTIFIED BY demopasswd;
    
    SELECT username, user_id, default_tablespace,
    temporary_tablespace, profile, external_name,
    password_versions, authentication_type
    FROM dba_users where Upper(username) like '%DEMO%';
    

    创建数据库用户

任务 4:在 Oracle Access Governance 中同步和验证新创建的数据库用户

在此任务中,我们将通过运行数据加载来使数据库用户与 Oracle Access Governance 同步。

  1. 按照任务 1 中所述导航到受管系统。单击三点(和管理集成)图标,然后选择管理集成

  2. 单击右上角的立即加载数据,然后等待数据加载完成。

    数据加载成功

  3. 从导航菜单的服务管理下,单击不匹配的帐户

  4. 系统筛选(选择数据库),然后按创建日期排序以查看新创建的帐户。

    验证不匹配的账户

任务 5:复核不匹配的客户并分配所有权

在本任务中,我们将复核不匹配的客户并将其分配给适当的所有者。

  1. 转到导航菜单,选择访问审查,然后单击我的访问审查

  2. 导航到所有权。您应该看到不匹配账户的复核任务。单击查看可查看每个帐户的详细洞察。

    复核不匹配的账户

  3. 要分配所有者,请单击选择身份。选择相应的所有者,单击匹配应用

    将所有者分配给不匹配的客户

在本教程中,您学习了如何为孤立账户或不匹配账户配置基于事件的访问审查。您观察到 Oracle Access Governance 如何持续监视身份概要信息,每当检测到预定义的不匹配账户事件时,它会自动触发访问复核任务,并根据工作流配置将它们路由到指定的复核人。您还了解了审核者如何访问详细的洞察并将所有权分配给这些孤立账户。

后续步骤

完成这些任务后,您可以管理直接在下游应用程序和服务中创建但 Oracle Access Governance 无法匹配的账户的整个生命周期。通过 Oracle Access Governance,您可以定义策略来自动执行用户预配,以及通过审批工作流创建手动请求。您可以监管整个环境的访问,建立访问审查活动以定期审计用户访问,并在必要时实施补救操作。

确认

更多学习资源

浏览 docs.oracle.com/learn 上的其他实验室,或者访问 Oracle Learning YouTube 渠道上的更多免费学习内容。此外,请访问 education.oracle.com/learning-explorer 成为 Oracle Learning Explorer。

有关产品文档,请访问 Oracle 帮助中心