Tutorial: usar o acesso Zero Trust

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura

    • Procedimento para usar o recurso acesso Zero Trust em um caso de uso de ponta a ponta.

    Antes de Iniciar

    Função necessária: security_admin

    Habilite a propriedade habilitar acesso à sessão.

    Nota:
    • As configurações de Acesso à sessão só podem ser realizadas com a função security_admin. Promova sua função para security_admin.
    • O Acesso à sessão não é compatível com integrações.
    • O Acesso à sessão não tem impacto se a função reduzida ou limitada não for atribuída a um usuário. Nesse caso não haverá mudanças na sessão conectada. O usuário ainda continuará acessando a instância com os privilégios atribuídos.
    • O Acesso à sessão não tem impacto enquanto o usuário estiver conectado à instância e, simultaneamente, o administrador configurar a política. O usuário precisa encerrar a sessão para que a política seja aplicada.
    • O Acesso à sessão é imposto no momento do login. Mudanças nos parâmetros de risco durante a sessão não resultarão na redução do acesso. Por exemplo, um usuário que sair da rede corporativa para uma rede não confiável após estabelecer a sessão não terá seu acesso reduzido. Isso é, a menos que o usuário encerre a sessão e faça login novamente.
    • Recurso de acesso à sessão (acesso zero trust - ZTA), funções como snc_internal e. snc_external não pode ser removido.
    • O recurso Acesso à sessão (acesso zero trust - ZTA) não remove uma função do sys_user_has_role ou a tabela de associação do grupo de usuários. Com base na política ZTA, ele estabelece a sessão do usuário com funções reduzidas ou limitadas.
    • Os scripts em execução no contexto do sistema não honrarão as funções da sessão do ZTA.

    O Acesso à sessão é um recurso que permite aos administradores reduzir ou restringir dinamicamente um conjunto de funções para o usuário quando ele estiver tentando fazer login na instância a partir de ambientes diferentes, como logins de redes não confiáveis, dispositivos diferentes e assim por diante.

    O acesso à sessão pode ser controlado pela política criada e pela ação selecionada ao executar a configuração. Estes são alguns dos cenários:

    • Quando a política for verdadeira e a ação de funções estiver definida como “Remover funções”, as funções selecionadas e as funções secundárias associadas serão removidas para o usuário ao tentar fazer login na instância.
    • Quando a política for verdadeira e a ação de funções estiver definida como “Limitar às funções” somente as funções selecionadas e suas funções secundárias associadas serão atribuídas ao usuário ao tentar fazer login na instância.

    O procedimento a seguir explica uma configuração ponta a ponta da configuração de acesso à sessão com base na qual a função é limitada ao usuário que está fazendo login na instância. Da mesma forma, você também pode remover funções selecionando a opção “Remover funções” durante a configuração.

    Procedimento

    1. Navegar até Tudo > Acesso à sessão > Configurações de função de acesso à sessão.
    2. Na página “Configurações de função de acesso à sessão”, selecione “Novo”.
    3. Para limitar qualquer função do usuário, preencha os campos a seguir no formulário:
      • Nome
      • Descrição
      • Política
      • Ação
      • Lista de funções
      • Lista agrupada
      1. Escolha “Limitar às funções” para limitar as funções do usuário.
        Por exemplo: itil.
      2. Escolha a função conhecimento na lista de funções.
      3. Escolha a Política.

        Você pode criar a política de Acesso à sessão usando uma política de autenticação e critérios de filtro (função, grupo, IP, local) com políticas de entrada e condições.

        Use a política na configuração de Acesso à sessão. Por exemplo, se quiser limitar a função (conhecimento) do usuário que faz login fora do local (nesse caso, Austrália).

      4. Escolha a Ação como “Limitar às funções”.
        Quando a política for verdadeira, somente as funções selecionadas e suas funções secundárias associadas estarão disponíveis ao usuário ao tentar fazer login na instância.Função limitada.
      5. Selecione Enviar.

        Da mesma forma, você pode escolher o grupo na Lista agrupada para restringir ou remover funções dos usuários dentro do grupo.

      Quando o usuário faz login na instância fora da Austrália, somente a função de Conhecimento e suas funções secundárias associadas são atribuídas à sessão registrada e outras funções do usuário são restritas.

      Após o login, o usuário receberá a seguinte mensagem de erro na plataforma no seu perfil:

      Mensagem de erro após o login.

      O usuário deve entrar em contato com os administradores e fornecer o ID de correlação para averiguação.

      Nota:
      O ID de correlação é o sys_id do registro de auditoria correspondente na tabela de auditoria de acesso à sessão.