Access Governance 常见问题解答
服务功能
什么是 Oracle Access Governance?
Oracle Access Governance 是一个云原生身份治理和管理 (IGA) 解决方案,通过用户供应、访问审查和身份分析来定义和管理访问权限。您可通过该服务洞悉合规性,利用切实可行的人工智能/机器学习驱动的身份智能降低风险。
如需了解更多详情,请参阅 Oracle Access Governance 网页。
Oracle Access Governance 有哪些关键特性?
Oracle Access Governance 提供以下关键特性和功能:
- 适用于 Oracle 和非 Oracle 工作负载的专门身份编排,以及通过 REST 和平面文件提供的通用集成
- 持续发现用户、组、角色、应用、权限和策略
- 洞悉用户对企业中所有资源的访问权限
- 跨云端环境、跨企业的访问相关性
- 访问请求以及基于角色、属性和策略的访问控制
- 通过即席、定期和基于事件的访问审查活动,治理分配给用户(包括员工、承包商和合作伙伴)的访问权限
- 提供规范性分析和建议,帮助访问审查人员高效审查和限制用户访问
- 易于理解的视图和简化的访问策略和组成员资格访问审查
- 自动执行访问决策
如何开始使用 Oracle Access Governance?
您可通过以下步骤开始使用 Oracle Access Governance:
- 在 Oracle Cloud 中创建一个 Oracle Access Governance 实例。
- 设置身份编排以提取身份和访问数据。
- 在 OCI Identity and Access Management (OCI IAM) 中设置用户和组,并将其分配给应用角色。
哪些身份管理系统可与 Oracle Access Governance 集成?
Oracle Access Governance 提供与 Oracle 和非 Oracle 工作负载的现成集成。未来我们将继续增加更多系统和服务。
如需了解更多详细信息,请参阅产品文档:Oracle Access Governance 集成。
Oracle Access Governance 如何与 Oracle 和非 Oracle 工作负载实现连接?
Oracle Access Governance 可通过云技术应用编程接口 (API) 与云技术应用和云技术服务提供商实现连接。
此外,Oracle Access Governance 还提供一个容器化代理来支持其它集成。该代理经过专门定制和配置,能够通过安全通道与特定的 Oracle Access Governance 实例一起使用。该代理的用途是确保在 Access Governance 与客户本地部署身份和访问数据来源之间进行安全的数据传输。
Oracle Access Governance 可以在混合模式下与 Oracle Identity Governance 结合使用,一起执行身份治理和管理吗?
可以,Oracle Access Governance 可以与 Oracle Identity Governance 无缝集成,以执行混合身份治理和管理。
Oracle Access Governance 服务是否可以与多个 Oracle Cloud Infrastructure (OCI) 租户集成?
可以,Oracle Access Governance 可以与多个 OCI 租户集成,提供身份访问权限的跨云端环境访问相关性。未来我们还将支持其它云技术服务提供商,如 AWS、Azure 和 Google Cloud Platform。
在 Oracle Access Governance 中同步的用户如何访问服务控制台?
在 Oracle Access Governance 中同步的用户需要引入 Oracle Cloud Infrastructure Identity and Access Management (OCI IAM),才可以访问 Oracle Access Governance 控制台。您可以选择下列其中一个方法将用户引入 OCI IAM:
- 使用 Oracle Identity Cloud Service 连接器为 OCI IAM 配置 Oracle Identity Governance 供应。
- 设置外部身份提供者联合身份,并启用安全声明标记语言 (SAML) 即时供应。
- 构建自注册配置文件。
有关更多详细信息,请参阅以下产品文档和教程:
- 使用 Identity Cloud Service 连接器在 Oracle Identity Governance 中执行供应操作,为 Oracle Access Governance 设置用户
- 在 Oracle Access Governance 与 OCI IAM 之间设置身份编排
如何在 Oracle access Governance 中选择企业身份子集以治理其访问权限?
如果您想治理分配给某个身份子集(定义了地点、部门、组织或任何其它用户属性)的访问权限,可以在 Oracle Access Governance 中将用户标记为 Active。
- 将为标记为 Active 的身份生成访问审查任务。
- 为标记为 Active 的身份提供访问控制。
有关更多详细信息,请参阅文档:激活/停用许可管理身份。
Oracle Access Governance 如何执行访问审查?
Oracle Access Governance 通过基于规范性分析的身份洞察执行智能访问审查活动,以此帮助访问审查人员快速做出明智决策。它支持事件驱动的定期访问审查和按需执行访问审查。访问审查人员可以在一个统一的仪表盘视图中审查用户权限、角色成员资格、身份集合成员资格和 OCI 策略,从而确保用户仅拥有执行工作任务所需的访问权限。
Oracle Access Governance 中如何进行基于事件的访问审查?
当 Oracle Access Governance 中的用户属性(如组织、经理、地点、雇用状态等)出现变化时,便会对该用户触发基于事件的访问审查。
Oracle Access Governance 还提供基于时间线的微认证,这有助于根据重要里程碑及时进行访问审查。
Oracle Access Governance 是否提供身份智能(分析、基于人工智能/机器学习的洞察等)?
Oracle Access Governance 提供基于 AI/ML 的洞察,例如对等组分析、异常检测和建议,帮助审查人员根据建议的行动执行访问审查任务。
Oracle Access Governance 如何帮助维护 Oracle Cloud Infrastructure (OCI) 中的身份安全状况?
Oracle Access Governance 通过以下功能帮助企业维护 OCI 工作负载的安全状况:
- 洞察谁访问了哪些云技术资源
- 易于理解的视图和简化的 OCI 策略和 OCI 组成员资格访问审查
- 基于 OCI 优秀实践的身份编排和自动履行
能否在 Oracle Access Governance 中使用用户核心和自定义属性?
可以在 Oracle Access Governance 中使用 Oracle Identity Governance 中定义的用户模式自定义属性来
- 查看身份概要文件
- 将身份标记为 Workforce(员工)用户或 Consumer(消费者)用户
- 定义访问审查活动中的用户选择标准
- 定义基于事件的访问审查
有关更多详细信息,请参阅查看和配置自定义身份属性产品文档。
访问审查人员是否可以在 Oracle Access Governance 中重新分配访问审查任务?
可以。您可以为选定的审查任务选择重新分配选项,将访问审查任务重新分配给个人。您还可以批量重新分配访问审查任务。
是否会出于审计和合规性目的记录访问审查决策?
会。对于访问审查活动中所做的每一项决策,都会记录以下信息用于审计或合规性目的:
- 决策内容
- 决策人员
- 决策原因(理由)
- 决策时间
Oracle Access Governance 提供哪些报告和分析功能?
Oracle Access Governance 使用简单易用且易于理解的图形和图表提供智能的访问审查报告,还提供 CSV 格式的详细访问审查活动报告。
Oracle Access Governance 是否提供了管理孤立账户或不匹配账户的功能?
Oracle Access Governance 可以检测所有集成式应用和系统中的不匹配账户,并向业务所有者通知可能是孤立账户、流氓账户或服务账户的账户。业务所有者可以手动清理这些不匹配的账户,也可以为孤立账户指定身份然后定期查看这些指定的账户。如果集成的应用或系统中检测到不匹配的账户,还可以配置基于事件的审核,以审核这些账户。
该解决方案提供访问请求功能吗?
Oracle Access Governance 提供直观的自助服务用户体验,用户可为自己和他人申请访问权限并跟踪访问请求进度。
Oracle Access Governance 提供哪些类型的访问控制?
Oracle Access Governance 提供访问请求以及基于角色的访问控制 (RBAC)、基于属性的访问控制 (ABAC) 和基于策略的访问控制 (PBAC)。
Oracle Access Governance 支持创建自定义工作流吗?
Oracle Access Governance 支持为访问审批和访问审查创建自定义工作流。用户无需编码即可轻松定义多阶段的并行工作流。
Oracle Access Governance 是否提供与已断开连接的资源或应用的集成?
Oracle Access Governance 面向已断开连接的资源提供基于 CSV(平面)文件的集成。该资源可以作为身份来源和/或托管系统进行集成。
Oracle Access Governance 是否通过 REST 端点提供集成?
Oracle Access Governance 支持与身份来源和/或下游应用进行基于 REST 的通用集成。
Oracle Access Governance 是否提供属性转换规则?
Oracle Access Governance 提供转换规则,用于从身份来源对身份数据进行协调时生成或构建身份属性。它还提供了对账期间转换账户属性的规则。
Oracle Access Governance 是否提供关联身份和匹配账户的规则?
Oracle Access Governance 提供匹配规则,用于映射从身份来源协调的身份,以及将从下游应用协调的账户与身份进行匹配。
Oracle Access Governance 是否提供了一个基于 Web 且移动设备友好的管理和自助控制台?
Oracle Access Governance 提供一个基于 Web 的控制台,其针对智能设备进行了优化,能够在所有设备(包括计算机、平板电脑和智能手机)上无缝运行。
Oracle Access Governance 支持使用哪些身份提供程序进行用户登录?
Oracle Access Governance 支持使用 Oracle Cloud Infrastructure Identity and Access Management 作为身份提供程序进行用户登录和授权。要使用外部身份提供程序登录,您需要将 OCI IAM 配置为使用外部身份提供程序进行联合身份验证。
有关如何使用外部身份提供程序设置联合身份的说明,请参阅管理身份提供程序产品文档。
服务管理
如何在 Oracle Cloud 中获取 Oracle Access Governance?
您可以使用 Oracle 通用储值获取 Oracle Access Governance。使用通用储值订购 Oracle Access Governance 后,您将自动获得 Oracle Cloud Infrastructure 和其它必需服务的访问权限。有关详细信息,请参阅写在前面产品文档。
如何创建 Oracle Access Governance 实例?
您可以在 Oracle Cloud Infrastructure 控制台中创建 Oracle Access Governance 实例。有关详细信息,请参阅设置服务实例产品文档。
如何管理 Oracle Access Governance 实例?
您可以在 Oracle Cloud Infrastructure 控制台中管理 Oracle Access Governance 实例。有关详细信息,请参阅管理服务实例产品文档。
创建 Oracle Access Governance 实例后,如何启用它?
可从 Oracle Cloud Infrastructure 控制台中访问 Oracle Access Governance 实例。您可以导航至“Access Governance”页面,选择要访问的服务实例,然后点击 Access Governance URL。
如何获取 Oracle Access Governance 相关支持?
访问 My Oracle Support,创建服务请求。
Oracle 支持服务是否会另行收取费用?
否。订阅费用中已包含支持服务。
如何为服务打补丁或升级?
Oracle Access Governance 是一个云原生服务。Oracle 负责为服务打补丁和升级。
如何获取有关服务等级协议的详细信息?
请参阅 SLA 文档 (PDF)。
许可和定价
Oracle Access Governance 提供哪些许可证类型和 SKU?
Oracle Access Governance 提供三种许可证类型和五个 SKU,包括:
- Oracle Access Governance for Oracle Cloud Infrastructure
- Oracle Access Governance for Oracle Cloud Infrastructure — 员工用户
- Oracle Access Governance for Oracle Workloads
- Oracle Access Governance for Oracle Workloads—Workforce User
- Oracle Access Governance for Oracle Workloads—Consumer User
- Oracle Access Governance Premium
- Oracle Access Governance Premium — 员工用户
- Oracle Access Governance Premium — 消费者用户
有关详细信息,请参阅 Oracle Access Governance 定价网页。
Oracle Access Governance 的 SKU 内部分为几个层级?
Oracle Access Governance 的 SKU 内部分为多个层级,包括:
- Oracle Access Governance for Oracle Cloud Infrastructure — 员工用户
- 前 10 万个员工用户
- 超过 10 万个员工用户
- Oracle Access Governance for Oracle Workloads—Workforce User
- 前 1 万个员工用户
- 1 万到 3 万个员工用户
- 超过 3 万个员工用户
- Oracle Access Governance for Oracle Workloads—Consumer User
- 不分级
- Oracle Access Governance Premium — 员工用户
- 前 1 万个员工用户
- 1 万到 3 万个员工用户
- 超过 3 万个员工用户
- Oracle Access Governance Premium — 消费者用户
- 不分级
每个许可证类型支持哪些集成?
Oracle Access Governance 提供大量集成。每个 SKU 分别支持以下集成:
- Oracle Access Governance for Oracle Cloud Infrastructure
- 支持的集成:Oracle Cloud Infrastructure
- Oracle Access Governance for Oracle Workloads
- 支持的集成:Oracle Cloud Infrastructure 和 Oracle Access Governance 与 Oracle E-Business Suite、Oracle Database、Oracle Unified Directory 等 Oracle Cloud 服务和 Oracle 企业应用集成。
- Oracle Access Governance Premium
- 支持的集成:所有 Oracle Access Governance 集成,包括 ServiceNow、Azure AD 等。
Oracle Access Governance 许可证使用何种单位度量?
Oracle Access Governance 使用两种单位度量。
- /员工用户/月:针对配置为在计费期间通过用户界面或编程配置访问服务的身份,无论该身份是否在指定时间内主动访问服务
- /消费者用户/月:针对未配置为在计费期间通过用户界面或编程配置访问服务的身份,但员工用户可以在 Oracle Access Governance 控制台中管理这些身份的访问
有关详细信息,请参阅 Oracle PaaS 和 IaaS 通用储值服务说明文档。
如何在 Oracle Access Governance 中选择企业身份子集进行治理?
如果您想治理分配给某个身份子集(定义了地点、部门、组织或任何其它用户属性)的访问权限,可以在 Oracle Access Governance 中将用户标记为 Active。
您可以将这些 Active 身份进一步标记为 Workforce(员工)或 Consumer(消费者)用户。
在 Oracle Access Governance 中拥有“员工”或“消费者”身份意味着什么?
Oracle Access Governance 中的“Active”身份可以细分为员工用户或消费者用户。
- 员工用户可以登录 Oracle Access Governance 控制台。他们可以参与身份和治理管理流程,包括在 Oracle Access Governance 中执行管理角色,以及请求和查看分配给自己或他人的访问权限。
- 消费者用户无法登录 Oracle Access Governance 控制台。他们可获得一组供应的固定权限,这些权限通常无法随着时间推移而更改。此外,消费者用户也无法请求和查看分配给自己或他人的访问权限。
有关员工和消费者用户功能的详细信息,请参阅管理身份文档。
请举例说明哪些人应标记为“员工”用户,哪些人应标记为“消费者”用户。
以下是关于如何在 Oracle Access Governance 中标记 Workforce(员工)和 Consumer(消费者)用户的示例说明;注意,此处提供的示例仅用于说明目的。
| 行业/部门 | 员工身份 | 消费者身份 |
|---|---|---|
| 银行和保险 | 员工和承包商:银行会计人员和管理人员、出纳、财务顾问、行政人员、外包 IT 人员 | 客户:银行账户开户人、银行贷款持有人、保险单持有人 承包商:自助餐厅、电力设施、保洁用品 合作伙伴和供应商:销售保险或提供类似辅助服务的供应商 |
| 医疗卫生 | 员工和承包商:医生、临床医生、医务人员、行政人员 | 消费者:患者、受益人 承包商:自助餐厅、保洁用品 合作伙伴和供应商:提供手杖、绷带、药物等物品的公司 |
| 教育 | 员工和承包商:教职人员、支持人员、行政人员 | 消费者:学生、校友、家长、监护人 承包商:自助餐厅、保洁用品 合作伙伴和供应商:提供教材、运输服务的公司 |
Oracle 是否会对同步到 Oracle Access Governance 中的所有身份收取费用?
只有在 Oracle Access Governance 中标记为 Active 状态(员工用户或消费者用户)的身份才会被计费,计费时间从这些身份标记为 Active 状态时开始。尽管 Oracle Access Governance 所有 SKU 均采用以月为单位的度量方式,但 Oracle 仍然在以小时为单位计算 Active 身份数量的基础上生成月度账单,为客户提供更大优惠。
如需了解更多详细信息,请参阅文档:管理身份。
如何在 Oracle Access Governance 中将身份标记为“Active”状态以及“员工”和“消费者”用户?
Oracle Access Governance 提供身份筛选或标记功能,用户可使用这些功能将身份标记为“Active”状态或员工/消费者用户。管理员可以使用身份属性定义此类规则。
如需了解更多详细信息,请参阅文档:管理身份。
我想审查已禁用身份的访问权限。应当如何在 Oracle Access Governance 中执行该操作?
您可以在 Oracle Access Governance 中将禁用身份标记为 Active 员工用户或消费者用户,以查看其访问权限。
Oracle 是否对已禁用身份收费?
Oracle Access Governance 仅对标记为 Active 状态的已禁用身份收费。
如何在停止计费的同时保留 Oracle Access Governance 实例?
如果您未将任何身份标记为 Active 状态,将不会产生 Oracle Access Governance 账单。
如果当前的许可证类型是 Oracle Access Governance for Oracle Workloads,我是否可以升级 Oracle Access Governance 服务实例的许可模式?
可以,您可以将 Oracle Access Governance 服务实例的许可证类型从 Oracle Access Governance for Oracle Workloads 升级到 Oracle Access Governance Premium,且不会造成任何服务中断。您可以在 Oracle Cloud Infrastructure 控制台中的“Access Governance”页面手动完成升级。
如果当前的许可证类型是 Oracle Access Governance for Oracle Cloud Infrastructure,我是否可以升级 Oracle Access Governance 服务实例的许可模式?
可以,Oracle Access Governance 许可证类型支持升级,且不会造成任何服务中断。您可以将许可证类型从 Oracle Access Governance for Oracle Cloud Infrastructure 升级到 Oracle Access Governance for Oracle Workloads 或 Oracle Access Governance Premium。
如果当前的许可证类型是 Oracle Access Governance for Oracle Workloads 或 Oracle Access Governance Premium,我是否可以降级 Oracle Access Governance 服务实例的许可模式?
不可以,Oracle Access Governance 许可证类型无法降级。
如果我从 Oracle Access Governance for Oracle Cloud Infrastructure 升级到 Oracle Access Governance for Oracle Workloads,升级当月如何计费?
Oracle Access Governance 按小时计费。在升级服务实例之前,按小时对 Oracle Access Governance for Oracle Cloud Infrastructure 进行计费。升级许可证后,将按小时对 Oracle Access Governance for Oracle Workloads 进行计费。虽然该月有两个计费行项,但都只对每种许可证类型处于活跃状态的时间按小时计费。
我在与 Oracle Access Governance 集成的 Oracle Identity Governance/Oracle Identity Management 中拥有 22000 名用户,我想将属于某家企业的 1 万个用户(员工)设置为员工用户,将属于另一家企业的另外 8000 个用户(承包商)设置为消费者用户,但我的实例的许可证类型是 Oracle Access Governance for Oracle Workloads。我该如何做?我需要为多少用户付费?
默认情况下,从 Oracle Identity Management 同步到 Oracle Access Governance 的所有 2.2 万个用户都不会标记为 Active 状态。您可以先按企业(员工和承包商)将 1.8 万个用户标记为 Active 状态,然后再将外部企业的 8000 个用户标记为消费者用户。
我们将按照以下规则计费
- 1 万名用户采用 Oracle Access Governance for Oracle Workloads—Workforce User SKU
- 另外 8000 名用户采用 Oracle Access Governance for Oracle Workloads—Consumer User SKU
我的 Oracle Cloud Infrastructure 租户中有两个 Identity Access Managemen 域,每个域中有 1000 名用户,且每个 OCI 用户都是不同的。在这种情况下我需要为多少用户付费?
如果您想要审查该 OCI 租户中所有用户的访问权限,则可以在 Oracle Access Governance 中将所有用户标记为 Active 状态。在这种情况下,您将为 2000 (2 × 1000) 名用户付费。
如果您只想审查其中一个域的用户访问权限,则可以定义一个规则,在 Oracle Access Governance 中将该域的用户标记为 Active 状态。在这种情况下,您将为 1000 (1 × 1,000) 名用户付费。
在一个计费周期中,计费金额如何根据员工用户数量和消费者用户数量发生变化?
按小时计费,按月计算活跃员工用户和消费者用户数量。账单金额根据用量和您的费率计算得出。如果在该计费周期内活跃员工用户数量或活跃消费者用户数量发生变化,您的账单也将相应地按比例调整。
如何估算服务使用成本?
您可以参照以下步骤,使用成本估算器估算服务使用成本:
- 前往 www.oracle.com/cloud/costestimator.html。
- 选择“Select Category”下拉菜单。
- 选择“Security”。
- 选择 "Access Governance"。
注:为免疑义,本网页所用以下术语专指以下含义:
- 除Oracle隐私政策外,本网站中提及的“Oracle”专指Oracle境外公司而非甲骨文中国 。
- 相关Cloud或云术语均指代Oracle境外公司提供的云技术或其解决方案。