Oracle Cloud Infrastructureドキュメント

Oracle Access Governanceのデータ・フィード

イベント・データ公開は、Oracle Cloud Infrastructure (OCI)クラウド・アカウントなどの外部システムに、進行中のデータ・イベントを1回かぎりの順次エクスポートし、継続的に公開するプロセスです。Oracle Access Governanceでは、アイデンティティ、アイデンティティ・コレクション、ポリシー、リソース、リソースへのアクセスなどのデータ・イベントをクラウド・テナンシに1回限りの方法でエクスポートし、継続的に公開する柔軟性があります。このデータは、インサイトの導出、コンプライアンスのためのデータの格納、またはアクセス管理およびガバナンス・データの分析に使用できます。

イベントとは、アイデンティティ、ポリシー、リソースなど、Oracle Access Governanceコンポーネントの作成、変更または削除時に発生するデータ状態の変更を指します。

管理者は、イベント・データ・パブリッシャを使用して、アクセスおよびアイデンティティ・データを完全に制御し、イベント・ロギングを自動化してコンプライアンス・レポートを合理化できます。たとえば、データ・フィードを有効にして、アクセス違反に関するインサイトをリアルタイムで表示できます。

データ・イベント公開フローの理解

Oracle Access Governanceのデータ・イベント公開フローを理解しましょう:

データ・イベント公開フローでは、個別エクスポートにOCIバケットを使用し、ファイル・サイズに応じてOCIストリームまたはOCIバケットに後続の更新を公開します。


データ・イベント公開フロー

  1. データを受信するには、OCIクラウド・アカウント内で事前ステップを実行します。詳細は、データ・パブリッシャおよびストリーミングのOCIテナンシの設定を参照してください。
  2. Oracle Access Governanceのデータ・フィード・サービスを使用して、データをクラウド・システムに公開します。
  3. 構成の詳細を入力して、Oracle Access Governanceとの接続を確立します。詳細は、Oracle Access Governanceでのイベント・データ・パブリッシャの構成を参照してください。
  4. データ・フィード・イベント・パブリッシャ・サービスは、Oracle Access Governanceで使用可能なデータ・コンポーネントを抽出します。0日目に、初期イベントはデータ・コンポーネントの完全なスナップショットをJSONLファイルとしてOCIオブジェクト・ストレージ・バケットにエクスポートします。0日目のイベントは、OCI Object Storageバケットに公開されます。
  5. データ・イベント・ハンドラは、公開ステータスを保持し、成功または失敗の通知を返します。
  6. N日目の場合、コンポーネントの作成、変更または削除に関連するデータ・コンポーネントの状態が変更されると、データ・フィード・イベント・パブリッシャは変更をリアルタイムで検出し、順次メッセージをOCIストリームに公開します。メッセージの最大サイズは1MBです。
  7. N日目の場合、メッセージ・サイズが1MBを超えると、データ・フィード・イベント・パブリッシャは、バージョン管理されたJSONLファイルのエントリを追加または置換する新しいバージョンとして、OCIバケットへの更新を公開します。
  8. 監査イベントの場合、Oracle Access Governance内で行われるすべての操作アクティビティがOCIストリームに公開されます。このデータを使用して、インサイトに富んだレポートを生成し、時間の経過に伴う変更を追跡し、セキュリティとコンプライアンスの監視を強化できます。

初期データ・イベントおよび増分データ・イベント: 第0日目および第N日目イベント

Oracle Access Governanceデータは、OCIストリームまたはOCIバケットにエクスポートおよび公開できます。

0日目: バケットを使用したイベント公開

最初のデータ・エクスポートである0日目に、Oracle Access GovernanceはJSONLファイル(.jsonl)としてOCIバケットにエクスポートされます。これらのファイルは、単一のペイロードで複数のJSONオブジェクトを効率的に処理できます。データ・コンポーネントごとに複数のファイルを受け取ります。

0日目に、データ・フィード・イベント・パブリッシャは、messageTypeをDay0、操作CREATEおよびステータスSTARTとしてOCIバケットに開始メッセージを送信します。すべてのデータ・オブジェクトがエクスポートされるまで、Day 0の各出力オブジェクト・ファイルにはステータスIn_PROGRESSが含まれます。完了すると、データ・フィード・イベント・パブリッシャは日付0の終了メッセージを送信します。ステータスはSUCCESSまたはFAILEDです。成功または失敗のステータスは、パブリッシュ操作を実行した管理者の名前を含むOracle Access Governanceコンソールに表示されます。

OCI StreamsまたはOCIバケットを使用したDay Nイベント公開

0日目以降、後続の更新は、OCIストリームまたはOCIバケットにリアルタイムで公開されます。ストリームにパブリッシュされる各メッセージには、コンシューマ・サービスがイベントの順序付けを管理するのに役立つeventTime属性があります。

ファイル・サイズに応じて、パブリッシュの宛先が決定されます。
  • ファイル・サイズが1MB未満(< 1 MB)の場合、更新はJSON形式でOCIストリームにパブリッシュされます。ストリーム内のデータはbase64でエンコードされるため、高速転送が保証されます。メッセージを使用するには、データをデコードしてから、それを活用してさらに使用する必要があります。
  • ファイル・サイズが1MB(> 1 MB)より大きい場合、更新はJSONL形式で日付0の出力ファイルのバージョンとしてOCIバケットに公開されます。

公開に使用可能なデータ・コンポーネント

次のデータ・コンポーネントをエクスポートおよび公開できます。

イベントの監査

スコープ: Oracle Access Governance内のすべての操作

messageType: AUDIT_EVENTS

監査イベントは、Oracle Access Governanceの運用活動を記録します。監査イベントは、セキュリティとコンプライアンスに重点を置き、基本的にユーザー・アクションを追跡します。これには、誰が何を、いつ、どこで実行したかの詳細が含まれます。

Oracle Access Governance内で行われるすべてのCRUD操作は、ほぼリアルタイムで監査イベントとして記録され、OCIストリームに公開されます。一度記録されると、これらは変更できません。: アクセス・バンドル作成監査イベントは、誰がバンドルを作成したかなどの詳細を記録します「どの権限が含まれていますか。」および「承認ワークフロー・ステータス」。スキーマ参照および属性の詳細は、監査イベント参照スキーマおよびサンプルを参照してください。

アクセス・バンドル

スコープ: Oracle Access Governanceのロール

messageType: ACCESS_BUNDLE

Oracle Access Governanceの推奨システムを使用して手動または自動で作成されるすべてのアクセス・バンドルは、ACCESS_BUNDLEイベントとして公開されます。出力ファイルには、特定の権限および所有者の詳細を含むアクセス・バンドルが含まれています。スキーマ参照および属性の詳細は、アクセス・バンドル参照スキーマおよびサンプルを参照してください。

アクセス・ガードレール

スコープ: Oracle Access Governanceで作成されたアクセス・ガードレール

messageType: ACCESS_GUARDRAIL

Oracle Access Governance内で作成および管理されるAccess Guardrailsは、ACCESS_GUARDRAILイベントとして公開されます。出力ファイルには、リソースにアクセスする前にアイデンティティが満たす必要がある事前定義済の条件および評価基準が含まれています。スキーマ参照および属性の詳細は、アクセス・ガードレール参照スキーマおよびサンプルを参照してください。

アイデンティティ

スコープ: すべてのアクティブなアイデンティティ(要員またはコンシューマ)

messageType: IDENTITY

すべてのアクティブなアイデンティティ(要員またはコンシューマ)は、IDENTITYイベントとしてOCIバケットおよびOCIストリームに公開されます。出力ファイルには、globalIdentity属性としてタグ付けされたコンポジット・アイデンティティ・プロファイルの詳細が含まれます。これには、コア属性およびカスタム属性を含むアクセス・プロファイル詳細が含まれます。Oracle Access Governanceのコンポジット・アイデンティティ・プロファイルは、1つ以上のオーケストレート済システムの属性を使用して構築されます。たとえば、アイデンティティのjobCodeは、Oracle Fusion Cloud ApplicationsからfirstName、lastNameなどのアイデンティティ・プロファイル詳細から取り込むことができます。Oracle Access Governanceでは、信頼できる情報源としてglobalIdentityにリストされている属性を使用して、様々なガバナンスおよびプロビジョニング操作を実行します。

さらに、このコンポジット・アイデンティティ・プロファイルと一致するtargetIdentitiesとしてタグ付けされた、他の統合オーケストレート済システムから受信するアイデンティティ属性の配列が含まれています。たとえば、Oracle Access Governanceのコンポジット・アイデンティティ・プロファイルでは、Oracle Fusion Cloud Applicationsのアイデンティティ詳細が使用されますが、Microsoft Entra IDで同じアイデンティティが使用可能で、コンポジット・アイデンティティと照合されている場合は、Microsoft Entra IDで使用可能なアイデンティティ属性がtargetIdentitiesの一部として公開されます。スキーマ参照および属性の詳細は、アイデンティティ参照スキーマおよびサンプルを参照してください。

グループ

スコープ: OCI IAMグループ

messageType: OCI_GROUP

Oracle Access Governanceに取り込まれた使用可能なOCI IAMグループはすべて、OCI_GROUPイベントとして公開されます。

出力ファイルには、ドメインID、コンパートメントID、アイデンティティ・コレクション名、説明、アイデンティティ・コレクションなどのOCI識別子と、アイデンティティ・コレクションに含まれるアイデンティティの配列が含まれます。「更新」操作と「作成」操作は、同じスキーマを共有します。ただし、新しいアイデンティティ・コレクションが作成されると、削除属性のアイデンティティは受信されません。スキーマ参照および属性の詳細は、グループ参照スキーマおよびサンプルを参照してください。

グローバル・アイデンティティ・コレクション

スコープ: OCI IAMグループ

messageType: GLOBAL_IDENTITY_COLLECTION

Oracle Access Governance内で収集されたすべてのアイデンティティ・コレクションは、GLOBAL_IDENTITY_COLLECTIONイベントとして公開されます。Identity Collectionsは、Oracle Access Governanceで管理される場合と管理されない場合があります。

アイデンティティ・コレクションがagManaged trueの場合、出力ファイルにはメンバーシップ・ルール、条件、メンバー数および所有権の詳細が含まれます。アイデンティティ・コレクションがagManaged falseの場合、Oracle Access Governance内で作成または管理されないOCIグループまたはActive Directoryグループの詳細が含まれます。そのグループおよびメンバーシップ・カウント情報のカスタム・メタデータ属性を表示できます。スキーマ参照および属性の詳細は、Identity Collection Reference Schema and Samplesを参照してください。

クラウド・ポリシー

スコープ: OCIポリシー

messageType: CLOUD_POLICY

Oracle Access Governanceに取り込まれた使用可能なOCIポリシーは、CLOUD_POLICYイベントとして公開されます。OCIポリシーの場合、出力ファイルには、ドメインID、コンパートメントID、ポリシー名、説明などのOCI識別子が含まれます。これには、アクセス権が付与されるサブジェクト、アクセス・タイプおよびアクセス権が付与されるスコープなど、ポリシーの詳細が含まれます。スキーマ参照および属性の詳細は、クラウド・ポリシー参照スキーマおよびサンプルを参照してください。

リソース

スコープ: すべてのリソース

messageType: RESOURCE

Oracle Access Governanceに取り込まれたすべてのオーケストレート済システムで使用可能なリソースはすべて、RESOURCEイベントとして公開されます。出力ファイルには、Oracle Access GovernanceおよびOCI内のリソース識別子、リソース名、説明およびリソース・タイプが含まれます。スキーマ参照および属性の詳細は、リソース参照スキーマおよびサンプルを参照してください。

役割

スコープ: Oracle Access Governanceのロール

messageType: ROLE

Oracle Access Governance内で作成および管理されるすべてのロールは、ROLEイベントとして公開されます。出力ファイルには、Oracle Access Governance内およびOCI内の必須識別子、リソース名、説明およびリソース・タイプが含まれます。スキーマ参照および属性の詳細は、リソース参照スキーマおよびサンプルを参照してください。

ポリシー

スコープ: Oracle Access Governanceに取り込まれたポリシー

messageType: POLICY

Oracle Access Governanceに収集されたすべてのポリシーは、POLICYイベントとして公開されます。出力ファイルには、どのアクセス・バンドルまたはロールをどのアイデンティティ・コレクションに関連付けるかを示すポリシー・ルールおよびポリシー・ステートメントが含まれます。スキーマ参照および属性の詳細は、ポリシー参照スキーマおよびサンプルを参照してください。

クラウド・ポリシーからリソースへのマッピング

範囲: OCIポリシーとOCIリソース

messageType: ポリシーからリソースへのマッピングの場合、POLICY_STATEMENT_RESOURCE_MAPPINGです。リソースからポリシーへのマッピングの場合、RESOURCE_POLICY_STATEMENT_MAPPINGです。

アクセス・コンポーネントには、同じデータを表示する2つの方法があります。
  • リソースへのアクセス権を付与するポリシー: 特定のポリシーによって管理されるリソースのリスト。各JSONオブジェクトには、アタッチされたリソースのセットを詳細に記述したポリシー・ステートメントが含まれます。このデータでは、リソースのセットを管理する特定のポリシーに重点を置いています。
  • ポリシー・ステートメントを使用したリソース・アクセス: リソースに関連付けられたポリシーのリスト。各JSONオブジェクトには、適用される一連のポリシーの詳細を示すリソースが含まれます。これは逆のプロセスであり、特定のリソースに焦点を当てます。

スキーマ参照および属性の詳細は、リソース・スキーマおよびサンプルへのアクセス・ポリシーおよびポリシー・スキーマおよびサンプルへのリソースへのアクセスを参照してください。

権限

スコープ: Oracle Access Governanceに収集された権限

messageType: PERMISSION

Oracle Access Governance内で取り込まれたすべての権限は、PERMISSIONイベントとして公開されます。出力ファイルには、権限のソースを追跡するためのID、外部ID、リソース詳細および権限のカスタム属性などの権限属性が含まれます。スキーマ参照および属性の詳細は、権限参照スキーマおよびサンプルを参照してください。

権限の割当て

スコープ: Oracle Access Governanceで管理される権限

messageType: PERMISSION_ASSIGNMENT

アイデンティティにプロビジョニングされ、Oracle Access Governance内で管理されるすべての権限は、PERMISSION_ASSIGNMENTイベントとして公開されます。出力ファイルには、アイデンティティID、権限が適用されるオーケストレート済システム、権限およびリソース識別子、アカウントおよびプロビジョニング・ステータスなど、アイデンティティに割り当てられた権限およびリソースの詳細が含まれます。スキーマ参照および属性の詳細は、Permission Assignment Reference Schema and Sampleを参照してください。