28 нояб. 2018 г.

FAQ: OIM 11gR2PS3 / 12c - аудит назначения административных ролей

Short intro: here you can find FAQ answer about auditing of administrative role assignment in OIM11gR2PS3 / 12c…

Q: Наша служба ИБ требует аудита назначения полномочий внутри Oracle Identity Manager, какие возможности предоставляет продукт?

Этот элементарный вопрос потребовал некоторого исследования, ни в AUDIT_EVENT_* ни в UPA_* таблицах ничего не нашлось. Ответ - под катом.





Как вы знаете, разграничение доступа внутри OIM происходит на основе организаций (область разграничения) и административных ролей (определяют функциональность внутри области, состоят из элементов - “Capabilities”). Данные аудита назначения административных ролей находятся в таблице ARM_AUD, журналируются действие (назначение, отзыв), область применения (ID организации), пользователь (субъект доступа), пользователь (назначивший доступ), даты.

Это верно (как минимум) для версий, начиная с OIM 11gR2PS3.

Пример запроса:

select au.arm_aud_id,
       au.membership_id,
       au.role_id,
       ar.role_name,
       au.scope_id,
       act.act_name,
       au.user_id,
       usr.usr_login,
       au.arm_aud_eff_from_date,
       au.arm_aud_eff_to_date,
       au.usr_action,
       au.usr_login
    from arm_aud au, admin_role ar, act, usr
    where au.role_id = ar.role_id and au.scope_id = act.act_key and au.user_id = usr.usr_key;

Для корректной работы аудита не забудьте применить патч, указанный здесь -  OIM Auditing Of Admin Role Operations Does Not Have Records on ARM_AUD Table (Doc ID 2185342.1). Впрочем, я думаю, что достаточно применить последний Bundle patch.

Комментариев нет:

Отправить комментарий