注意:
- 本教程需要访问 Oracle Cloud。要注册免费账户,请参阅开始使用 Oracle Cloud Infrastructure 免费套餐。
- 它对 Oracle Cloud Infrastructure 身份证明、租户和区间使用示例值。完成实验室后,请使用特定于云环境的那些值替换这些值。
使用 Oracle Access Governance 监管孤立账户
简介
Oracle Access Governance 是一款云原生现代身份治理和管理 (IGA) 解决方案,可提供企业级可见性来管理所有云服务和内部部署系统的访问。它提供动态访问控制,这是一个规范性分析驱动的访问审查流程,可帮助客户自动执行访问预配,深入了解访问权限,识别异常并修复安全风险。Oracle Access Governance 结合了简单性、自动化和强大的安全功能,可确保企业中的员工和消费者只有必要的访问权限,才能在需要时完成工作。
孤立帐户是指缺少指定所有者并且源自各种系统或应用程序的帐户。通过在 Oracle Access Governance 中实施此流程,您将建立集中式治理流程,确保对未管理的身份进行可见性和控制。
微认证:事件驱动的访问审查
只要检测到更改事件、时间表事件或不匹配的账户事件,Oracle Access Governance 就会自动启动微认证。Oracle Access Governance 持续监视身份概要信息,每当检测到预定义事件时,都会启动与该事件相关的访问审查。
只要 Oracle Access Governance 检测到无法与任何身份关联的孤立账户,就会触发不匹配的账户事件。您可以选择要为其配置此事件类型的编排系统。您可以配置以自动删除不匹配的账户。
目标读者
- Oracle Access Governance 管理员和 Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) 管理员。
目标
-
使用 Oracle Access Governance 为孤立账户或不匹配账户配置动态访问审查。
-
为数据库的不匹配帐户配置基于事件的访问审查。
-
使用客户机直接在数据库中创建用户。
-
在 Oracle Access Governance 中执行数据同步。
-
验证自动生成的访问审查任务。
-
复核并将所有权分配给不匹配的账户。
先决条件
-
具有管理权限的 Oracle Access Governance 实例。有关更多信息,请参阅设置服务实例和关于应用程序角色。
-
目标应用程序或服务,例如数据库或活动目录。
-
与 Oracle Access Governance 集成的目标应用。有关更多信息,请参见与数据库用户管理 (Oracle) 集成。
注:尽管本教程介绍了将数据库视为托管系统的过程,但对于由 Oracle Access Governance 管理的任何目标,都采用相同的步骤。
任务 1:在 Oracle Access Governance 中验证编排的系统配置
在本任务中,我们将验证编排的系统配置是否正确以及数据加载流程是否成功运行。
-
打开浏览器并导航到 Oracle Access Governance 控制台。
-
为 Oracle Access Governance 管理员输入用户名和口令,然后单击登录。
-
从导航菜单中,选择服务管理和编排的系统。
-
找到您的托管系统,单击右侧的三点 (URL) 图标并选择查看活动日志。
-
确认完全数据加载活动已成功运行。
任务 2:为不匹配的客户创建基于事件的访问复核
在本任务中,我们将为源自数据库的不匹配账户配置基于事件的访问审查。
-
从导航菜单中,选择访问审核和基于事件的设置。
-
导航到不匹配的账户,然后单击创建不匹配的账户事件。
-
输入事件的名称,例如不匹配帐户 - 数据库,然后选择已启用以启用事件。
-
选择数据库编排的系统。
-
在选择工作流页中,在哪个用户?字段中选择自定义用户,然后选择管理员用户。
任务 3:在数据库中创建用户
在本任务中,我们将使用数据库客户端在目标数据库中手动创建用户帐户。
-
使用数据库客户机(例如 SQLDeveloper)在数据库中创建多个用户帐户。确保 Oracle Access Governance 中不存在用户名。
注:本教程使用 SQLDeveloper 时,您可以使用任何首选数据库客户端。
CREATE USER demousr1 IDENTIFIED BY demopasswd; CREATE USER demousr2 IDENTIFIED BY demopasswd; CREATE USER demousr3 IDENTIFIED BY demopasswd;
SELECT username, user_id, default_tablespace, temporary_tablespace, profile, external_name, password_versions, authentication_type FROM dba_users where Upper(username) like '%DEMO%';
任务 4:在 Oracle Access Governance 中同步和验证新创建的数据库用户
在此任务中,我们将通过运行数据加载来使数据库用户与 Oracle Access Governance 同步。
-
按照任务 1 中所述导航到受管系统。单击三点(和管理集成)图标,然后选择管理集成。
-
单击右上角的立即加载数据,然后等待数据加载完成。
-
从导航菜单的服务管理下,单击不匹配的帐户。
-
按系统筛选(选择数据库),然后按创建日期排序以查看新创建的帐户。
任务 5:复核不匹配的客户并分配所有权
在本任务中,我们将复核不匹配的客户并将其分配给适当的所有者。
-
转到导航菜单,选择访问审查,然后单击我的访问审查。
-
导航到所有权。您应该看到不匹配账户的复核任务。单击查看可查看每个帐户的详细洞察。
-
要分配所有者,请单击选择身份。选择相应的所有者,单击匹配和应用。
在本教程中,您学习了如何为孤立账户或不匹配账户配置基于事件的访问审查。您观察到 Oracle Access Governance 如何持续监视身份概要信息,每当检测到预定义的不匹配账户事件时,它会自动触发访问复核任务,并根据工作流配置将它们路由到指定的复核人。您还了解了审核者如何访问详细的洞察并将所有权分配给这些孤立账户。
后续步骤
完成这些任务后,您可以管理直接在下游应用程序和服务中创建但 Oracle Access Governance 无法匹配的账户的整个生命周期。通过 Oracle Access Governance,您可以定义策略来自动执行用户预配,以及通过审批工作流创建手动请求。您可以监管整个环境的访问,建立访问审查活动以定期审计用户访问,并在必要时实施补救操作。
相关链接
确认
- 作者 — Anuj Tripathi(NA 云和技术平台安全专家)
更多学习资源
浏览 docs.oracle.com/learn 上的其他实验室,或者访问 Oracle Learning YouTube 渠道上的更多免费学习内容。此外,请访问 education.oracle.com/learning-explorer 成为 Oracle Learning Explorer。
有关产品文档,请访问 Oracle 帮助中心。
Govern Orphan Accounts using Oracle Access Governance
G15258-01
September 2024