Tutorial: Como usar o Acesso de confiança zero

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • Procedimento para usar o recurso de acesso de confiança zero com um caso de uso de ponta a ponta.

    Antes de Iniciar

    Função necessária: security_admin

    Habilite a propriedade habilitar acesso à sessão.

    Nota:
    • As configurações de Acesso à sessão só podem ser realizadas com a função security_admin. Promova sua função para security_admin.
    • O Acesso à sessão não é compatível com integrações.
    • O acesso à sessão não terá impacto se a função reduzida ou limitada não for atribuída a um usuário. Nesse caso, não há mudanças na sessão conectada. O usuário ainda continuará acessando a instância com os privilégios atribuídos.
    • O acesso à sessão não tem impacto enquanto o usuário já está conectado à instância e, simultaneamente, o administrador configura a política. O usuário precisa encerrar a sessão para que a política seja aplicada.
    • O Acesso à sessão é imposto no momento do login. Mudanças nos parâmetros de risco durante a sessão não resultarão na redução do acesso. Por exemplo, um usuário que muda da rede corporativa para uma rede não confiável após estabelecer a sessão não resultará em acesso reduzido, a menos que o usuário faça logout e faça login novamente.

    O acesso à sessão é um recurso que permite aos administradores reduzir ou restringir dinamicamente um conjunto de funções para o usuário, quando o usuário está tentando fazer login na instância de diferentes ambientes, como login da rede não confiável, login de um diferente dispositivo e assim por diante.

    O acesso à sessão pode ser controlado pela política criada e pela ação selecionada ao executar a configuração. Estes são alguns dos cenários:

    • Quando a política for verdadeira e a ação de funções estiver definida como “Remover funções”, as funções selecionadas e as funções secundárias associadas serão removidas para o usuário ao tentar fazer login na instância.
    • Quando a política for verdadeira e a ação de funções estiver definida como “Limitar às funções” somente as funções selecionadas e suas funções secundárias associadas serão atribuídas ao usuário ao tentar fazer login na instância.

    O procedimento a seguir explica uma configuração ponta a ponta da configuração de acesso à sessão com base na qual a função é limitada ao usuário que está fazendo login na instância. Da mesma forma, você também pode remover funções selecionando a opção “Remover funções” durante a configuração.

    Procedimento

    1. Navegar até Tudo > Acesso à sessão > Configurações de função de acesso à sessão.
    2. Na página “Configurações de função de acesso à sessão”, selecione “Novo”.
    3. Para limitar qualquer função para o usuário, no formulário, preencha os campos:
      • Nome
      • Descrição
      • Política
      • Ação
      • Lista de funções
      • Lista de grupos
      1. Escolha “Limitar às funções” para limitar as funções do usuário.
        Por exemplo: itil.
      2. Escolha a função conhecimento na lista de funções.
      3. Escolha a Política.

        Você pode criar a política de acesso à sessão usando políticas de autenticação e critérios de filtro (Função, Grupo, IP, Local) com entradas e condições de política.

        Use a política na configuração de Acesso à sessão. Por exemplo, se quiser limitar a função (conhecimento) do usuário que faz login fora do local (nesse caso, Austrália).

      4. Escolha a Ação como “Limitar às funções”. Se a Política for verdadeira, somente as funções selecionadas e suas funções secundárias associadas estarão disponíveis para o usuário ao tentar fazer login na instância.
        Função limitada
      5. Selecione Enviar.

        Da mesma forma, você pode escolher o grupo na Lista de grupos para restringir ou remover funções dos usuários dentro do grupo.

      Quando o usuário faz login na instância fora da Austrália, somente a função de Conhecimento e suas funções secundárias associadas são atribuídas à sessão registrada e outras funções do usuário são restritas.

      Depois de fazer login, a seguinte mensagem de erro é exibida para o usuário na seção de perfil da plataforma:

      Mensagem de erro após o login

      O usuário deve entrar em contato com os administradores e fornecer o ID de correlação para averiguação.

      Nota:
      O ID de correlação é o sys_id do registro de auditoria correspondente na tabela de auditoria de acesso à sessão.