在 Oracle Access Governance 中使用存取權複查委派群組成員身分複查

簡介

Oracle Access Governance 是雲端原生解決方案，可協助滿足許多應用程式、工作負載、基礎架構及識別平台的治理與規範需求。它提供全組織的可見性和功能，以識別異常並降低跨雲端和內部部署環境的安全性風險。它提供動態存取控制，這是一種規範分析導向的存取複查流程，可協助客戶將存取佈建自動化、取得存取權限洞察分析、識別異常，以及修正安全風險。

瀏覽至區間

群組成員身分複查

Oracle Access Governance 提供此功能 - Oracle Cloud Infrastructure (OCI) 群組成員複查。OCI 管理員現在可以使用此功能，簡化 OCI 群組成員、成員及其存取權限的概觀。這有助於管理員識別不再需要及時使用的 OCI 群組成員。

委派

您可能希望委派核准或存取複查給其他人員，原因如下：
- 因為假期、病假或處理其他任務，所以無法使用。
- 擁有最合格的人員做出決策。
- 發展某人處理其他外派的能力。
您可以在 Oracle Access Governance 中設定和管理偏好設定。使用者可以使用 Oracle Access Governance Console 來委派工作和活動。您可以使用我的偏好設定設定，將工作和活動指派給其他使用者或「識別集合」。您可以委派執行存取權複查的人員，以及代表您執行核准的人員。工作可以委派給個人或「識別集合」。「識別集合」中可以有一或多個成員。委派期間可設為時間範圍或無限期。

適用對象

Oracle Access Governance 管理員和 OCI 管理員。

目標

使用 Oracle Access Governance 中的「存取權複查」，委派群組成員身分複查。對於此，您需要：
- 建立和執行 Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) 使用者的群組成員身分複查活動。
- 委派存取複查作業至識別集合。

必要條件

具有管理員權限的 OCI 帳戶存取權。OCI 中佈建的 Oracle Access Governance 服務執行處理。如需詳細資訊，請參閱設定服務例項。
您的 Oracle Access Governance 使用者必須具備 Oracle 管理員權限。如需詳細資訊，請參閱關於應用程式角色。
指定給他們的 OCI 群組和 OCI IAM 使用者。
將 OCI IAM 與 Oracle Access Governance 整合。如需詳細資訊，請參閱與 Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) 整合。
建立識別集合。如需詳細資訊，請參閱建立識別集合。
在 Oracle Access Governance 中建立核准工作流程。如需詳細資訊，請參閱建立核准工作流程。

作業 1：建立群組成員資格複查促銷活動

以管理使用者身分登入「Oracle Access Governance 主控台」。按一下導覽功能表、存取檢閱及行銷活動。或者，您可以選取建立一些工作並定義新的行銷活動。
在行銷活動頁面中，按一下建立行銷活動。
在選擇條件區段中，選取哪一個租用戶？，您將會見到可用的雲端租用戶清單。
選取適當的雲端租用戶。在此教學課程中，選取您的雲端租用戶。系統會根據您的選擇標示綠色勾號，然後按一下進一步縮小。您可以選取特定區間和網域以進一步縮小選擇範圍，以執行網域特定的原則複查。
輸入區間 (ag-compartment)，然後按一下套用。
選取哪些識別集合？，即可選取要複查的「識別集合」。您會在選取的網域中見到可用的「識別集合」清單。
選取下列「識別集合」，然後按一下套用我的選擇項目。
- 稽核員
- NetworkAdmins
- SecurityAdmins
按一下不錯，前往工作流程。
在指派工作流程區段中，輸入下列資訊，然後按一下下一步。
- 應該使用哪些核准工作流程？：選取一個層次核准工作流程 (選取核准工作流程)。
在新增明細區段中，您可以定義執行存取權複查行銷活動的頻率 (一次性或定期)、為您的行銷活動提供有意義的名稱、新增支援描述，以及將值指派給其他屬性，例如負責人，以及行銷活動應開始或結束的時間，然後按一下下一步。
- 此項的執行頻率為何？請選取一次。
- 您要如何命名此活動？：輸入 Group-Membership-Review-Campaign 。
- 您要如何描述此活動？：輸入 Group-Membership-Review-Campaign 。
- 誰是此行銷活動的擁有者？：選取我。
- 您要如何排定行銷活動？：選取立即執行 (將從建立開始 10 分鐘) 。
在複查並提交區段中，複查您已新增的資訊，然後按一下建立以建立行銷活動。

您的行銷活動已排定並顯示在行銷活動頁面中。建立後將執行 10 分鐘。

已順利排定活動。

工作 2：設定委派

在此任務中，我們將設定群組成員資格審核任務的委派至「身分識別集合」，以便在您缺勤期間採取動作。

前往 Oracle Access Governance Console 並瀏覽至首頁。
瀏覽至存取控制和識別集合，以檢視您要指派委派的「識別集合」。
按一下我的內容與我的偏好設定。
按一下新增委派。
在新增委派頁面中，輸入下列資訊，然後按一下儲存。
- 要委派哪些工作？：選取存取複查。
- 要委派給誰？：選取身分識別集合。
- 誰？：選取 IT 團隊。
- 您想要委派持續多久時間？：選取在時間範圍內。
備註：已設定委派，您 (管理員) 將行銷活動委派給 IT-Team 識別集合。此「識別集合」的成員將能夠在定義的期間內執行存取複查。管理員和代理人都會收到需要採取動作之行銷活動的通知電子郵件。

工作 3：執行群組成員身分複查作業

在此任務中，我們將複查並認證在任務 1 中建立的行銷活動所產生的群組成員資格審核任務。

前往 Oracle Access Governance Console 並瀏覽至首頁。
按一下存取複查與我的存取複查。
若要檢視原則複查行銷活動所建立的複查作業，請按一下存取控制。您將會看到以複查者身分指派給您的所有原則存取權複查工作。Oracle Access Governance 使用內部分析型智慧系統來提供接受 / 複查建議。
在本教學課程中，讓我們查看 Oracle Access Governance 所提供的建議。
- 稽核者會標示為複查。
- NetworkAdmins 已標示要複查。
- SecurityAdmins 會標示為複查。
按一下動作，逐一進行複查決定，您可以一次撤銷該原則中的所有可作用敘述句或接受該原則中的所有可作用敘述句，或個別決定每個原則敘述句。
- 使用案例 1：接受所有使用者識別以接受稽核者的群組成員身分。
  1. 按一下 Accept all 。
  2. 按一下套用
  3. 輸入理由，代表您接受所有具名使用者識別以存取群組成員身分的原因，然後按一下送出。這將會觸發 Oracle Access Governance 系統中的自動修正處理作業。
- 使用案例 2：撤銷 4 個具名識別中的 2 個，以接受 NetworkAdmins 的群組成員身分。
  1. 讓我們撤銷身分 ( David Brown 與 Jerry Poland) 的存取權。其餘的 2 個使用者 ( John Smith 和 Mark Hernandez) 已被接受，將群組成員身分並按一下套用。
  2. 輸入正當理由，然後按一下提交。將會自動進行封閉迴圈存取修正。
- 使用案例 3：撤銷具有 SecurityAdmins 群組成員身分的所有具名識別。
  1. 按一下全部撤銷和套用。
  2. 輸入正當理由，然後按一下提交。將會自動進行封閉迴圈存取修正。
以識別網域管理員身分登入 OCI 主控台，瀏覽至識別與安全，識別，按一下識別網域 (ag-domain) 和使用者。

驗證已順利處理使用者的群組成員。

認可

作者 - Indiradarshni Balasundaram (雲端工程師)

其他學習資源

探索 docs.oracle.com/learn 上的其他實驗室，或存取 Oracle Learning YouTube 頻道上的更多免費學習內容。此外，請造訪 education.oracle.com/learning-explorer 以成為 Oracle Learning Explorer。

如需產品文件，請造訪 Oracle Help Center 。

標題與著作權資訊

Delegate Group Membership Reviews with Access Reviews in Oracle Access Governance

G16616-01

October 2024

Oracle 和 (或) 其關係企業。