在 Oracle Access Governance 中通过访问复核委托组成员资格复核

简介

Oracle Access Governance 是一个云原生解决方案，可帮助满足许多应用、工作负载、基础设施和身份平台的治理和合规性要求。它提供组织范围的可见性和功能，可识别异常并降低云和内部部署环境中的安全风险。它提供动态访问控制，这是一个规范性分析驱动的访问审查流程，可帮助客户自动执行访问预配，深入了解访问权限，识别异常并修复安全风险。

导航至区间

组成员资格审核

Oracle Access Governance 提供了 Oracle Cloud Infrastructure (OCI) 组成员资格审查功能。OCI 管理员现在可以简化 OCI 组成员资格、成员及其访问权限的概览。这有助于管理员及时识别不再需要的 OCI 组成员资格。

委派

您可能希望将审批或访问审查委派给其他人，原因如下：
- 因休假、生病或处理其他任务而不可用。
- 让最有资格的人做出决定。
- 培养某人处理其他任务的能力。
在 Oracle Access Governance 中，您可以设置和管理首选项。用户可以使用 Oracle Access Governance Console 委派任务和活动。您可以使用我的首选项设置将任务和活动分配给其他用户或身份集合。您可以委派执行访问审查的人员以及代表您执行审批的人员。可以将任务委派给个人或身份集合。身份集合中可以有一个或多个成员。委派的持续时间可以设置为时间范围或无限期。

目标读者

Oracle Access Governance 管理员和 OCI 管理员。

目标

在 Oracle Access Governance 中通过访问审查委托组成员资格审查。为此，您需要：
- 为 Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) 用户创建和执行组成员资格审查市场活动。
- 将访问审查任务委派给身份集合。

先决条件

访问具有管理员权限的 OCI 账户。在 OCI 中预配的 Oracle Access Governance 服务实例。有关更多信息，请参见 Set Up Service Instance 。
您的 Oracle Access Governance 用户必须具有 Oracle 管理员权限。有关更多信息，请参见 About Application Roles 。
分配给它们的 OCI 组和 OCI IAM 用户。
将 OCI IAM 与 Oracle Access Governance 集成。有关详细信息，请参阅与 Oracle Cloud Infrastructure (OCI) 身份和访问管理 (IAM) 集成。
创建身份集合。有关更多信息，请参阅创建身份集合。
在 Oracle Access Governance 中创建审批工作流。有关更多信息，请参阅创建审批工作流。

任务 1：创建组成员资格复核市场活动

以管理用户身份登录到 Oracle Access Governance Console。单击导航菜单、访问审查和市场活动。或者，您可以选择“让我们创建一些工作并定义新的市场活动”。
在市场活动页中，单击创建市场活动。
在 Selection criteria（选择条件）部分中，选择 Which tenancies（哪些租户？），您将看到可用云租户的列表。
选择适当的云租户。在本教程中，选择您的云租户。将根据您的选择标记绿色勾号，然后单击进一步细化。您可以通过选择特定区间和域来进一步细化您的选择，以运行特定于域的策略审核。
输入区间 (ag-compartment)，然后单击应用。
选择哪些身份集合？以选择要查看的身份集合。您将在所选域中看到可用身份集合的列表。
选择以下身份集合，然后单击应用我的选择。
- 审计器
- NetworkAdmins
- SecurityAdmins
单击我已确定，转至工作流。
在分配工作流部分中，输入以下信息，然后单击下一步。
- 应使用哪个审批工作流？：选择 One-level-approval-workflow （选择审批工作流）。
在添加详细信息部分中，您可以定义运行访问审查市场活动的频率（一次性或定期），为市场活动提供有意义的名称，添加支持说明，并为其他属性分配值，例如拥有者以及市场活动何时应开始或结束，然后单击下一步。
- 您希望此活动多长时间运行？：选择一次。
- 您希望如何命名此市场活动？：输入 Group-Membership-Review-Campaign 。
- 如何描述此活动？：输入 Group-Membership-Review-Campaign 。
- 谁拥有此市场活动？：选择我。
- 您希望如何安排市场活动？：选择立即运行（将在创建后 10 分钟开始）。
在复查并提交部分中，复查已添加的信息，然后单击创建以创建市场活动。

您的市场活动已计划并显示在市场活动页中。它将在创建后 10 分钟内运行。

已成功计划商业活动。

任务 2：配置委派

在此任务中，我们将为组成员资格审核任务配置委派以在您缺勤期间对身份集合执行操作。

转到 Oracle Access Governance Console 并导航到主页。
导航到访问控制和身份集合以查看将分配给委派的身份集合。
单击我的内容和我的首选项。
单击添加委派。
在添加委派页中，输入以下信息，然后单击保存。
- 要委派哪些任务？：选择访问审查。
- 要委派给谁？：选择身份集合。
- 谁？：选择 IT 团队。
- 您希望委派持续多长时间？：选择在时间范围内。
注：已配置委派，您（管理员）将在其中将市场活动委派给 IT-Team 身份集合。此身份集合的成员将能够在定义的时段内执行访问审查。对于需要执行的市场活动，管理员和代表都会收到通知电子邮件。

任务 3：执行组成员资格复核任务

在本任务中，我们将审核并认证由在任务 1 中创建的市场活动引发的组成员资格审核任务。

转到 Oracle Access Governance Console 并导航到主页。
单击访问审查和我的访问审查。
要查看策略复核市场活动创建的复核任务，请单击访问控制。您将看到作为审核者分配给您的所有策略访问审核任务。Oracle Access Governance 使用基于分析的内部智能系统提供接受/审核建议。
对于本教程，让我们查看 Oracle Access Governance 提供的建议。
- 审核者已标记为审核。
- NetworkAdmins 已标记为复查。
- SecurityAdmins 已标记为复查。
单击 Actions（操作）可逐个做出审核决策，可以一次撤销该策略中的所有可操作语句或接受该策略中的所有可操作语句，也可以对每个策略语句单独做出决策。
- 用例 1：接受所有用户身份以接受审计者的组成员资格。
  1. 单击 Accept all 。
  2. 单击应用
  3. 输入理由以说明您接受所有指定用户身份以有权访问组成员资格的原因，然后单击提交。这将触发 Oracle Access Governance 系统中的自动补救过程。
- 用例 2：撤销 4 个指定身份中的 2 个，以接受 NetworkAdmins 的组成员资格。
  1. 让我们撤消对身份的访问权限（ David Brown 和 Jerry Poland ）。其余 2 个用户（ John Smith 和 Mark Hernandez ）已被接受为组成员，然后单击应用。
  2. 输入理由并单击提交。闭环访问修复将自动进行。
- 用例 3：撤销具有 SecurityAdmins 的组成员资格的所有已命名身份。
  1. 单击全部撤消和应用。
  2. 输入理由并单击提交。闭环访问修复将自动进行。
以身份域管理员身份登录到 OCI 控制台，导航到身份与安全、身份，单击身份域 (ag-domain) 和用户。

验证已成功处理用户的组成员资格。

确认

作者 — Indiradarshni Balasundaram（云工程师）