Short intro: here you can find FAQ answer about auditing of administrative role assignment in OIM11gR2PS3 / 12c…
Q: Наша служба ИБ требует аудита назначения полномочий внутри Oracle Identity Manager, какие возможности предоставляет продукт?
Этот элементарный вопрос потребовал некоторого исследования, ни в AUDIT_EVENT_* ни в UPA_* таблицах ничего не нашлось. Ответ - под катом.
Как вы знаете, разграничение доступа внутри OIM происходит на основе организаций (область разграничения) и административных ролей (определяют функциональность внутри области, состоят из элементов - “Capabilities”). Данные аудита назначения административных ролей находятся в таблице ARM_AUD, журналируются действие (назначение, отзыв), область применения (ID организации), пользователь (субъект доступа), пользователь (назначивший доступ), даты.
Это верно (как минимум) для версий, начиная с OIM 11gR2PS3.
Пример запроса:
select au.arm_aud_id,
au.membership_id,
au.role_id,
ar.role_name,
au.scope_id,
act.act_name,
au.user_id,
usr.usr_login,
au.arm_aud_eff_from_date,
au.arm_aud_eff_to_date,
au.usr_action,
au.usr_login
from arm_aud au, admin_role ar, act, usr
where au.role_id = ar.role_id and au.scope_id = act.act_key and au.user_id = usr.usr_key;
Для корректной работы аудита не забудьте применить патч, указанный здесь - OIM Auditing Of Admin Role Operations Does Not Have Records on ARM_AUD Table (Doc ID 2185342.1). Впрочем, я думаю, что достаточно применить последний Bundle patch.
Q: Наша служба ИБ требует аудита назначения полномочий внутри Oracle Identity Manager, какие возможности предоставляет продукт?
Этот элементарный вопрос потребовал некоторого исследования, ни в AUDIT_EVENT_* ни в UPA_* таблицах ничего не нашлось. Ответ - под катом.
Как вы знаете, разграничение доступа внутри OIM происходит на основе организаций (область разграничения) и административных ролей (определяют функциональность внутри области, состоят из элементов - “Capabilities”). Данные аудита назначения административных ролей находятся в таблице ARM_AUD, журналируются действие (назначение, отзыв), область применения (ID организации), пользователь (субъект доступа), пользователь (назначивший доступ), даты.
Это верно (как минимум) для версий, начиная с OIM 11gR2PS3.
Пример запроса:
select au.arm_aud_id,
au.membership_id,
au.role_id,
ar.role_name,
au.scope_id,
act.act_name,
au.user_id,
usr.usr_login,
au.arm_aud_eff_from_date,
au.arm_aud_eff_to_date,
au.usr_action,
au.usr_login
from arm_aud au, admin_role ar, act, usr
where au.role_id = ar.role_id and au.scope_id = act.act_key and au.user_id = usr.usr_key;
Для корректной работы аудита не забудьте применить патч, указанный здесь - OIM Auditing Of Admin Role Operations Does Not Have Records on ARM_AUD Table (Doc ID 2185342.1). Впрочем, я думаю, что достаточно применить последний Bundle patch.
No comments:
Post a Comment