Oracle Access Governance: Novas Atualizações para Automação do Ciclo de Vida de Identidades, Revisões Baseadas em Eventos e Orquestração de Identidades

TL;DR: A Oracle Access Governance (AG) evoluiu com suporte a birthright access baseado em data de admissão, revogação antecipada antes do término do contrato, revisões micro-certificadas acionadas por mudanças de atributos (cargo, gerente, localização) e orquestração flexível de fontes autoritativas. Também permite configuração global de término de contas com regras de exceção. Para empresas brasileiras que lidam com complexidade de identidades multi-sistema, essas atualizações trazem ganhos reais de segurança operacional e redução de retrabalho manual.

Conforme os ambientes de identidade se tornam mais complexos, equipes de segurança e negócios precisam de processos de governança que sejam não apenas periódicos, mas também reativos a eventos corporativos. Um novo contratado pode precisar de acesso antes da data de admissão. Um funcionário que está saindo pode ter o acesso revogado antes da data final de desligamento. Uma mudança de departamento, gerente ou localização pode exigir uma revisão de acesso focada. Dados de identidade também podem vir de múltiplos sistemas confiáveis, exigindo melhores formas de ingerir, correlacionar e governar esses dados.

As últimas atualizações do Oracle Access Governance (AG) atendem a essas necessidades em quatro áreas principais:

• Birthright Access e Early Termination
• Global Account Termination Settings
• Event-Based Micro-Certification
• Identity Orchestration Updates

Juntas, essas melhorias ajudam as organizações a alinhar a governança de acesso com eventos de negócios, reduzir esforço manual e melhorar a visibilidade sobre identidades, contas e acessos.

Como funciona o Birthright Access e Early Termination?

Processos de joiner e leaver nem sempre são tão simples quanto "conceder acesso na data de início" e "revogar acesso na data de desligamento". Em muitas organizações, funcionários precisam de acesso antes da data oficial de admissão para serem produtivos no primeiro dia. Da mesma forma, em cenários de saída antecipada, aviso prévio ou garden leave, o acesso pode precisar ser revogado antes da data final.

A AG agora suporta a atribuição de birthright access com base na data de admissão e o tratamento de early termination antes da data final. Administradores podem usar atributos do ciclo de vida vindos da fonte autoritativa para direcionar o provisionamento e desprovisionamento de acesso. O acesso pode ser atribuído usando Identity Collections, Access Bundles e Policies, permitindo automação orientada por políticas.

Com essa atualização, as organizações podem suportar cenários de acesso pré-contratação e revogação precoce de acesso sem depender apenas de intervenção manual.

Principais capacidades:

• Atribuir birthright access com base na data de admissão
• Suportar provisionamento de acesso orientado por políticas para pré-contratados
• Permitir provisionamento de acesso antes da data de admissão do funcionário
• Revogar acesso antes da data final de desligamento quando aplicável a early termination
• Usar atributos do ciclo de vida da fonte autoritativa para direcionar provisionamento e desprovisionamento

Benefícios:

• Melhora a prontidão de novos contratados no primeiro dia
• Alinha a automação do ciclo de vida com datas efetivas de negócio
• Reduz risco de segurança ao revogar acesso antes da data final
• Reduz dependência de tratamento manual de joiner e leaver

Como as Global Account Termination Settings centralizam o offboarding?

O tratamento de desligamento precisa ser consistente, mas também requer flexibilidade. Algumas organizações podem querer desabilitar contas quando o early termination começa e deletá-las no desligamento final. Outras podem não querer ação para certas aplicações porque esses sistemas têm processos regulatórios ou de negócio separados. Em empresas maiores, o comportamento de desligamento pode variar por população de usuários, geografia, tipo de trabalhador ou sistema gerenciado.

A AG agora fornece Global Account Termination Settings para definir comportamento centralizado de término de contas em sistemas gerenciados.

Administradores podem configurar o que deve acontecer com as contas gerenciadas durante o early termination e o final termination. As ações suportadas incluem desabilitar contas, deletar contas ou nenhuma ação. Também é possível definir regras de exceção para sistemas gerenciados e populações de usuários selecionados, para que exceções específicas de negócio sejam tratadas sem alterar a política global.

Principais capacidades:

• Aplicar comportamento centralizado de término em sistemas gerenciados
• Configurar ações para early termination e final termination
• Suportar diferentes ações de ciclo de vida de conta no início e no fim do desligamento
• Usar ações orientadas por políticas para reduzir tratamento manual de desligamento
• Suportar regras de exceção para sistemas gerenciados e populações selecionadas
• Tratar exceções de offboarding específicas de negócio por meio de configurações globais e de exceção

Benefícios:

• Centraliza o tratamento de desligamento em sistemas gerenciados
• Suporta estratégias de offboarding em fases
• Reduz risco de acesso residual durante a saída do funcionário
• Permite exceções para aplicações ou populações com necessidades diferentes

Como funciona a Event-Based Micro-Certification?

Revisões periódicas de acesso continuam importantes, mas algumas mudanças de acesso devem ser revisadas quando o evento de negócio ocorre. Por exemplo, quando um funcionário muda de departamento, gerente, localização, cargo ou outro atributo chave de identidade, o acesso existente pode não ser mais apropriado. Esperar até a próxima campanha trimestral ou anual pode deixar acesso desnecessário em vigor por muito tempo.

A AG agora aprimora a event-based micro-certification para que administradores possam disparar revisões de acesso focadas quando atributos de identidade selecionados mudam. Administradores podem configurar a configuração de revisão baseada em eventos e refinar seu escopo selecionando a população de identidades usando valores de atributos, restringindo o escopo da revisão a aplicações, papéis ou permissões específicos, e usando workflows diferentes para cada configuração de evento. Isso torna as revisões de acesso mais oportunas e focadas.

Principais capacidades:

• Disparar revisões de acesso quando atributos de identidade selecionados mudam
• Suportar configuração baseada em eventos usando atributos de identidade principais e personalizados
• Permitir múltiplas definições de evento para o mesmo atributo com base em diferentes mudanças de valor
• Refinar população de revisão usando valores de atributos
• Refinar escopo de revisão para aplicações, papéis ou permissões específicas
• Suportar workflows distintos para cada configuração de evento

Benefícios:

• Ajuda a revisar acesso no momento de um evento de joiner, mover ou leaver
• Reduz dependência de campanhas periódicas para risco de acesso impulsionado por eventos
• Reduz fadiga de certificação criando tarefas de revisão apenas para identidades afetadas
• Permite workflows diferentes para diferentes cenários de negócio

Como a Identity Orchestration foi aprimorada?

A governança de identidades depende da qualidade dos dados de identidade e conta. As organizações precisam saber de onde vêm as identidades, como os atributos são mantidos, como as contas são correlacionadas e quais sistemas são governados.

As últimas atualizações da AG melhoram a orquestração de identidades em três áreas:

Fonte Autoritativa como Fonte de Atributos de Identidade

Muitas empresas não possuem um único sistema que detenha todos os atributos de identidade. Um sistema pode criar o registro primário de identidade, enquanto outros sistemas confiáveis podem contribuir com atributos adicionais como departamento, localização, tipo de trabalhador, dados de cargo, detalhes de projeto ou atributos específicos de negócio.

A AG agora oferece mais flexibilidade na configuração de fontes autoritativas. Administradores podem configurar uma fonte autoritativa como:

• fonte de identidades e atributos, ou
• fonte apenas de atributos de identidade

Isso significa que um sistema pode permanecer responsável pela criação de identidades, enquanto outros sistemas confiáveis podem contribuir com atributos de identidade sem exigir a ingestão completa de identidades.

Modos de Correlação de Identidade e Conta

A correlação de identidade e conta é fundamental para a governança de acesso. Se as contas não estiverem corretamente associadas às identidades, fica mais difícil revisar acesso, automatizar ações de ciclo de vida, provisionar acesso e relatar quem tem acesso a quê.

A AG agora dá aos administradores mais controle sobre como as regras de correspondência são aplicadas durante a ingestão de dados. Os modos de regra de correspondência incluem:

• Enable (aplica amplamente, incluindo reavaliação de registros existentes)
• Enable for new (aplica apenas a registros recém-ingentados, preservando correspondências existentes)
• Disable (preserva correspondências existentes, mas não realiza novas correspondências automáticas)

Novas Integrações

A AG continua expandindo a cobertura de integração para que os clientes possam governar mais aplicações e sistemas a partir de uma plataforma centralizada de governança de identidades. As novas integrações incluem:

• Palo Alto Networks Prisma Cloud
• Oracle Warehouse Management Cloud
• Oracle Utilities WACS
• Oracle Utilities CCS

Conclusão: Governança de Identidades Mais Responsiva a Eventos de Negócio

Essas atualizações fortalecem o Oracle Access Governance em automação de ciclo de vida, revisões de acesso e orquestração de identidades. O Birthright Access e Early Termination ajudam a alinhar o provisionamento e a revogação com datas efetivas de negócio. As Global Account Termination Settings fornecem controle centralizado sobre o comportamento de offboarding, com flexibilidade para exceções. A Event-Based Micro-Certification permite que equipes revisem acesso quando mudanças importantes de identidade ocorrem. As atualizações de Identity Orchestration melhoram a forma como os dados de identidade são originados, correspondidos e governados em sistemas integrados.

Para empresas brasileiras que buscam reduzir riscos de segurança e eliminar processos manuais em ambientes multi-sistema, essas capacidades representam um passo importante para uma governança de identidades mais eficiente e adaptável.

---

Artigo originalmente publicado por Abhishek Juneja e Atul Goyal em cloud-infrastructure.

Perguntas Frequentes

• Como o Birthright Access pode ser configurado para funcionários que entram antes da data oficial?
  A AG permite usar atributos do ciclo de vida (como data de admissão) vindos de fontes autoritativas para provisionar acesso automaticamente antes do início. Isso elimina a dependência de ações manuais e garante produtividade no primeiro dia.

• O que acontece com as contas durante o early termination?
  Com as Global Account Termination Settings, o administrador define ações diferentes para início e fim do período de saída — por exemplo, desabilitar contas no início do aviso prévio e deletá-las na data final. Regras de exceção podem ser aplicadas por sistema ou população de usuários.

• Quais eventos podem disparar uma micro-certificação?
  A AG aciona revisões quando atributos como departamento, gerente, localização ou cargo mudam. O escopo pode ser limitado a aplicações, papéis ou permissões específicas, e workflows diferentes podem ser usados para cada tipo de evento.

• Como a orquestração de identidades lida com múltiplas fontes de dados?
  É possível configurar uma fonte como responsável apenas por atributos (sem ingerir identidades completas), permitindo que sistemas diferentes contribuam com dados como departamento ou projeto. Isso melhora a qualidade do perfil de identidade e reduz duplicidade.

• Essas atualizações se aplicam a ambientes que usam sistemas não-Oracle?
  Sim, a AG expandiu integrações com Palo Alto Prisma Cloud, Oracle Warehouse Management Cloud e aplicativos de utilities, além de suportar correlação de contas e identidades de sistemas gerenciados não-Oracle, centralizando a governança independente do provedor.