Oracle Cloud Infrastructure-Dokumentation

Event Data Publisher in Oracle Access Governance konfigurieren

Mit dem Feature Datenfeed in der Oracle Access Governance-Konsole können Sie die Datenereignisse aus Oracle Access Governance in Ihrem OCI-Mandanten veröffentlichen. Sie müssen zunächst einige vorläufige Konfigurationen in Ihrem Mandanten ausführen und dann die Verbindungsdetails in der Oracle Access Governance-Konsole hinzufügen. Nachdem die Verbindungsdetails validiert wurden, wird das erste Datenereignis in Ihrem Object Storage-Bucket veröffentlicht, und alle nachfolgenden Updates werden kontinuierlich und sequenziell entweder in OCI Bucket oder OCI Streams empfangen.

Voraussetzungen

Sie können Oracle Access Governance-Daten in den OCI-Mandanten exportieren. Nachfolgend sind einige obligatorische Anforderungen aufgeführt, die Sie berücksichtigen müssen, bevor Sie mit dem Setup fortfahren.

  • Ihnen muss eine Oracle Access Governance-Administratorrolle zugewiesen sein AG_Administrator
  • Um das Menü Datenfeed unter Serviceadministration anzuzeigen, müssen Sie über ein aktives orchestriertes Oracle Cloud Infrastructure-(OCI-)System verfügen, das in Oracle Access Governance integriert ist.
  • Oracle Access Governance-Serviceinstanz, -Serviceaccount, -Objektspeicher und andere zugehörige Ressourcen müssen sich alle in derselben Region und Identitätsdomain befinden.
  • Der Oracle Access Governance-Serviceinstanzmandant kann sich von dem Mandanten unterscheiden, in dem Sie die Daten empfangen möchten, solange sie sich in derselben Region befinden.
  • Wenn sich die Region Ihrer OCI-Ressourcen von der Region der Oracle Access Governance-Serviceinstanz unterscheidet, replizieren Sie die Identitätsdomain in der Oracle Access Governance-Serviceinstanzregion. Weitere Informationen finden Sie unter Identitätsdomain in mehreren Regionen replizieren.
  • Sie können mehrere Oracle Access Governance-Serviceinstanzen, die in verschiedenen Mandanten innerhalb einer Region verfügbar sind, mit denselben OCI-Ressourcen verbinden. Das bedeutet, dass Daten, die in mehreren Oracle Access Governance-Serviceinstanzen verfügbar sind, in demselben Bucket und Stream erfasst werden können. Sie können auch separate OCI-Ressourcen pro Oracle Access Governance-Serviceinstanz erstellen.
  • Stellen Sie sicher, dass Ihr Cloud-Account, einschließlich der zugehörigen Object Storage-Buckets und Streaming-Services, über ausreichend Speicherplatz und Kapazität verfügt, bevor Sie Objekttypen exportieren. Prüfen Sie die Object Storage-Quotas und Limits für Streaming-Ressourcen Ihres Accounts, um Unterbrechungen während des Prozesses zu vermeiden.

OCI-Mandant für Data Event Publisher einrichten

Bevor Sie das Feature Datenfeed in Oracle Access Governance zur Veröffentlichung Ihrer Daten verwenden können, müssen Sie einige OCI-Ressourcen erstellen, um dies zu unterstützen. Sie müssen ein Compartment, einen Serviceaccount und eine IAM-Gruppe erstellen, API-Schlüssel und Authentifizierungstoken für den Serviceaccount generieren, Buckets und OCI-Streams erstellen und geeignete Policys zuweisen, um den Gruppen- und Serviceaccounts Zugriff auf zugehörige Ressourcen zu erteilen.

Schritt 1: Compartment erstellen

Erstellen Sie ein Compartment, das für den Datenfeed dediziert ist, damit Sie eingeschränkte Policys für den Zugriff auf Ressourcen in diesem Compartment zuweisen oder ändern können. Sie können den Schritt überspringen, wenn Sie bereits ein Compartment haben. Dieses Compartment muss alle erforderlichen IAM-Ressourcen (Domain, Gruppen, Benutzer), Object Storage (Buckets) und Streams zum Veröffentlichen von Ereignisdaten enthalten.
  1. Melden Sie sich bei der Oracle Cloud Infrastructure-Konsole als Mandantenadministrator an.
  2. öffnen Sie das Navigationsmenü, und wählen Sie Identität und Sicherheit aus.
  3. Wählen Sie im Abschnitt "Identität" die Option Compartments aus.
  4. Wählen Sie Compartment erstellen aus, und fügen Sie den Compartment-Namen und die Beschreibung hinzu.
  5. Bestätigen Sie, und wählen Sie die Schaltfläche Compartment erstellen aus.
Compartment: data-feed-compartment.

Weitere Informationen finden Sie unter So erstellen Sie ein Compartment.

Schritt 2: Neue Domain erstellen

Erstellen Sie eine neue Domain, die für den Datenfeed dediziert ist, in dem in Schritt 1 erstellten Compartment.
  1. Öffnen Sie in Ihrem OCI-Cloud-Account das Navigationsmenü, und wählen Sie Identität und Sicherheit aus.
  2. Wählen Sie im Abschnitt Identität die Option Domains aus.
  3. Compartment auswählen
  4. Wählen Sie Domain erstellen aus, und geben Sie die grundlegenden Details ein, wie Name und Beschreibung.
  5. Wählen Sie im linken Bereich in der Liste Compartment das Compartment aus, das in Schritt 1 erstellt wurde.
  6. Sie können die Standarddomain auswählen oder eine neue Domain erstellen.

Weitere Informationen finden Sie unter Identitätsdomain erstellen.

Domain: domain-feed-domain

Schritt 3: IAM-Gruppe erstellen

  1. Öffnen Sie in der OCI-Konsole das Navigationsmenü, und wählen Sie Identität und Sicherheit -> Domains aus.
  2. Wählen Sie die Domain aus, die für Datenfeedvorgänge erstellt wurde.
  3. Wählen Sie im linken Fensterbereich Gruppen aus. Eine Liste der in Ihrer Domain verfügbaren Gruppen wird angezeigt.
  4. Geben Sie folgende Details ein:
    • Name: Geben Sie den Gruppennamen ein.
    • Beschreibung: Geben Sie einige beschreibende Informationen zur Gruppe ein.
  5. Aktivieren Sie das Kontrollkästchen Benutzer kann Zugriff anfordern.
  6. Wählen Sie Erstellen.
IAM-Gruppe: writer_access_group

Schritt 4: Serviceaccount durch Hinzufügen eines Identity-Benutzers erstellen

Erstellen Sie einen neuen Identitätsbenutzer für Serviceaccountzwecke. Dieser Benutzer erhält eingeschränkten Zugriff über Policys und wird nur für den programmgesteuerten Zugriff auf OCI-Ressourcen durch Oracle Access Governance verwendet. Weisen Sie diesen Servicebenutzer der in Schritt 3 erstellten IAM-Gruppe zu.

  1. Öffnen Sie in der OCI-Konsole das Navigationsmenü, und wählen Sie Identität und Sicherheit -> Domains aus.
  2. Wählen Sie die Domain aus, die für Datenfeedvorgänge erstellt wurde.
  3. Wählen Sie im linken Fensterbereich Benutzer aus. Eine Liste der in Ihrer Domain verfügbaren Benutzer wird angezeigt.
  4. Geben Sie Vorname, Nachname, Benutzername oder E-Mail-Adresse ein.
  5. Wählen Sie die IAM-Gruppe aus, um den Benutzer der Identitätsgruppe zuzuweisen.
  6. Wählen Sie Erstellen.

Schritt 5: API-Schlüssel erstellen

Erstellen Sie API-Schlüssel, um eine sichere Authentifizierung zwischen dem Benutzer-Cloud-Account und dem Oracle Access Governance-Service einzurichten. Mit diesem Serviceaccount kann der Service geeignete Vorgänge für die OCI-Ressourcen ausführen.

  1. Wählen Sie auf der Seite "Serviceaccountbenutzer" im linken Fensterbereich im Abschnitt Ressourcen die Option API-Schlüssel aus.
  2. Wählen Sie die Schaltfläche API-Schlüssel hinzufügen und dann API-Schlüsselpaar generieren aus.
  3. Laden Sie den Public Key und den Private Key herunter.
  4. Klicken Sie auf Hinzufügen. Die Konfigurationsdatei wird mit den Details ocid, fingerprint, tenancy und region erstellt.
  5. Öffnen Sie die Private-Key-Datei (.pem-Erweiterung) mit einem beliebigen Texteditor, und speichern Sie die in der Datei verfügbaren Informationen. Sie benötigen diese Option, um das Datenherausgeberfeature in Oracle Access Governance zu konfigurieren.

Schritt 6: Authentifizierungstoken generieren

Authentifizierungstoken sind von Oracle generierte Authentifizierungstoken zur Authentifizierung und Autorisierung des Serviceaccountbenutzers zur Interaktion mit OCI-Ressourcen.

  1. Wählen Sie auf der Seite "Serviceaccountbenutzer" im linken Bereich im Abschnitt Ressourcen die Option Authentifizierungstoken aus.
  2. Klicken Sie auf die Schaltfläche Token generieren.
  3. Geben Sie im Fenster Token generieren eine aussagekräftige Beschreibung ein. Klicken Sie dann auf Token generieren.

Das Token wird generiert. Kopieren Sie das angezeigte Token, und speichern Sie es an einem sicheren Speicherort. Dies ist erforderlich, um das Ereignisfeature für Datenherausgeber in Oracle Access Governance zu konfigurieren.

Schritt 7: Neuen Stream erstellen

Oracle Access Governance veröffentlicht die Datensätze, die kleiner als 1 MB sind, in Ihren OCI Streams. Im Allgemeinen werden alle Day-N-Ereignisse mit kleinen Updates in dem Streaming-Service veröffentlicht, der in Ihrem Mandanten eingerichtet ist.

  1. Öffnen Sie in der OCI-Konsole das Navigationsmenü, und wählen Sie Analysen und KI aus.
  2. Wählen Sie im Abschnitt Messaging die Option Streaming aus.
  3. Geben Sie einen eindeutigen Streamnamen ein.
  4. Wählen Sie das datenherausgeberspezifische Compartment aus.
  5. Bei Streampools können Sie entweder automatisch einen Standardstreampool erstellen oder einen eigenen Streampool erstellen.
  6. Nehmen Sie im Abschnitt Streameinstellungen definieren folgende Einstellungen vor.
    1. Geben Sie im Feld Aufbewahrung (in Stunden) eine Zahl zwischen 24 und 168 ein, um Nachrichten in diesem Stream beizubehalten. Sie können eine beliebige Zahl eingeben. Es wird jedoch empfohlen, die maximale Anzahl von 168 Stunden einzugeben.
    2. Geben Sie die Anzahl der Partitionen ein, die Sie in Ihrem Stream erstellen möchten. Das maximale Limit hängt von Ihren Mandantenlimits ab.
  7. Klicken Sie auf Erstellen. Ihr neuer Messagingstream wird erstellt.

Weitere Informationen finden Sie unter Streams erstellen.

Streaming-Details speichern

Wählen Sie nach der Erstellung den Link für den Streamnamen aus, um die zugehörigen Details anzuzeigen. Um Ihren Stream in Oracle Access Governance zu konfigurieren, kopieren und speichern Sie die folgenden Details zu Ihrem Stream:
  • Streamname
  • Nachrichtenendpunkt
  • Stream-OCID
Führen Sie für Streampool die folgenden Schritte aus, um die Informationen anzuzeigen und zu speichern:
  1. Wählen Sie auf der Seite "Streampooldetails" den Link "Streampool".
    • Kopieren und speichern Sie die Streampool-OCID.
    • Zum Anzeigen des Links Bootstrap Server:
      1. Wählen Sie im linken Bereich im Abschnitt Ressourcen die Option Kafka-Verbindungseinstellungen aus.
      2. Kopieren und speichern Sie im Abschnitt Kafka-Verbindungseinstellungen den Link Bootstrap-Server.

Schritt 8: Neuen Objektspeicher-Bucket erstellen

Oracle Access Governance veröffentlicht das anfängliche Datenereignis im Object Storage-Bucket. Regelmäßige Updates mit Daten größer als 1 MB werden in Buckets veröffentlicht.

  1. Öffnen Sie in der OCI-Konsole das Navigationsmenü, und wählen Sie Speicher aus.
  2. Wählen Sie im Abschnitt Object Storage und Archive Storage die Option Buckets aus.
  3. Wählen Sie das für den Datenherausgeber spezifische Compartment aus, und klicken Sie auf Bucket erstellen.
  4. Geben Sie im Fenster Bucket erstellen die Bucket-Details ein.
  5. Aktivieren Sie das Kontrollkästchen Objektversionierung aktivieren.
  6. Klicken Sie auf Erstellen. Der neue Bucket-Stream wird erstellt.
Weitere Informationen finden Sie unter Objektspeicher-Bucket erstellen. Speichern Sie den Bucket-Namen und den Namespace. Sie benötigen diese Informationen, um das Feature für Herausgeber von Datenereignissen in Oracle Access Governance zu konfigurieren.
Bucket-Name: Data-event-publisher-bucket

Schritt 9: Policys für Data Event Publisher einrichten

Sie müssen IAM-Policys einrichten, damit der Oracle Access Governance Data Event Publisher auf die OCI-Ressourcen zugreifen kann.

  1. Öffnen Sie in der OCI-Konsole das Navigationsmenü, und wählen Sie Identität und Sicherheit, Policys aus.
  2. Wählen Sie unter Identität die Option Policys aus.
  3. Geben Sie einen Namen und eine aussagekräftige Beschreibung ein.
  4. Verwenden Sie im Abschnitt Policy-Editor die Umschaltschaltfläche, um zum manuellen Editor zu wechseln.
  5. Geben Sie die Policy-Anweisungen wie folgt ein:
    Allow group '<domain-name>'/'<group-name>' to use stream-push in compartment <compartment-name> where target.stream.id 
          = '<stream-OCID>'

    Allow group '<domain-name>'/'<group-name>' to manage object-family in compartment <compartment-name> where target.bucket.name
          = '<bucket-name>'

    Zum Beispiel

    
Allow group 'data-feed-domain'/'writer_access_group' to use stream-push in compartment data-feed-compartment where target.stream.id 
          = 'ocid1.stream.oc1.iad.amaaaaaa1212121212126pc5dc6wjn7xloxga'

    Allow group 'data-feed-domain'/'writer_access_group' to manage object-family in compartment data-feed-compartment where target.bucket.name
          = 'Data-event-publisher-bucket'

Einstellungen für Data Publisher in Oracle Access Governance konfigurieren

Sie können Einstellungen in der Oracle Access Governance-Konsole konfigurieren, um den Empfang der Datenereignisse in Ihrem OCI-Mandanten zu starten. Mit der Datenfeedfunktion können Sie Datenveröffentlichungsereignisse konfigurieren.

Sie müssen das vorläufige Setup in Ihrem OCI-Mandanten abschließen, bevor Sie die Datenfeedfunktion in Oracle Access Governance konfigurieren.

Zur Seite "Datenfeed" navigieren

  1. Wählen Sie in der Oracle Access Governance-Konsole das Navigationsmenüsymbol, und wählen Sie Serviceadministration aus.
  2. Wählen Sie Datenfeed aus.

Datenfeedaktion aktivieren

  1. Wählen Sie auf der Seite Datenfeed im Menü Aktionen die Option Einstellungen verwalten aus.
  2. Wählen Sie Ja in der Option Möchten Sie den Datenfeed aktivieren? aus. Die Konfigurationsfelder werden angezeigt, um Details einzugeben.
  3. Aktivieren Sie das Kontrollkästchen Datentypen aktivieren, um Datenereignisse in Ihrem OCI Streams- oder OCI-Bucket-Speicher zu empfangen.
  4. Aktivieren Sie das Kontrollkästchen Auditereignisse aktivieren, um Auditereignisse in Ihrem OCI-Stream zu empfangen. Für das Senden von Auditereignissen als Datenereignisse wird dieselbe Streamkonfiguration verwendet.

OCI-Objektspeicher-Bucket-Details hinzufügen

Geben Sie die OCI-Bucket-Details ein. Sie erhalten die erforderlichen Informationen aus den Bucket-Details, die in Ihrem OCI-Mandanten erstellt wurden. Weitere Informationen finden Sie unter Schritt 5: API-Schlüssel erstellen und OCI-Mandanten für Data Event Publisher einrichten.
  1. Geben Sie im Feld In welcher Region befindet sich der Bucket? die Regions-ID ein, in der Sie den Bucket erstellt haben. Beispiel: Geben Sie für die Region "Ashburn" us-ashburn-1 ein. Sie können den Regionsnamen im oberen Navigationsmenü der OCI-Konsole und die entsprechende Regions-ID unter Regionen und Availability-Domains anzeigen.
  2. Geben Sie im Feld In welchem Namespace befindet sich der Bucket? den Bucket-Namespace ein. Weitere Informationen finden Sie unter Details eines Object Storage-Buckets abrufen.
  3. Geben Sie im Feld Wie lautet der Bucket-Name? den Bucket-Namen ein.
  4. Geben Sie im Feld Wie lautet die Mandanten-OCID? die Mandanten-OCID ein. Sie können die Mandantendetails in Ihrem Cloud-Accountprofil oder in der Konfigurationsdatei anzeigen. Weitere Informationen finden Sie unter Meine Profildetails abrufen.
  5. Geben Sie im Feld In welcher Region ist der Benutzer? die ID der Benutzerregion des Serviceaccounts ein. Sie erhalten die Details in der Konfigurationsdatei. Weitere Informationen finden Sie unter API-Schlüssel erstellen.
  6. Geben Sie im Feld Wie lautet die OCID des Benutzers? die OCID des Serviceaccounts ein. Sie erhalten die Details in der Konfigurationsdatei. Weitere Informationen finden Sie unter API-Schlüssel erstellen.
  7. Geben Sie im Feld Was ist der Fingerprint des Benutzers? einen Fingerprintwert ein. Sie erhalten die Details in der Konfigurationsdatei. Weitere Informationen finden Sie unter API-Schlüssel erstellen.
  8. Kopieren Sie im Feld Was ist der private SSH-Schlüssel des Benutzers? den Inhalt der PEM-Datei, und fügen Sie ihn ab -----BEGIN PRIVATE KEY----- in -----END PRIVATE KEY----- ein. Sie sollten dies beim Erstellen der API-Schlüssel für den Serviceaccount herunterladen. Weitere Informationen finden Sie unter API-Schlüssel erstellen.

OCI Stream- und Streampooldetails hinzufügen

  1. Geben Sie im Feld Was ist das Authentifizierungstoken? den Wert für das Benutzerauthentifizierungstoken ein. Weitere Informationen finden Sie unter OCI-Mandanten für Data Event Publisher einrichten.
  2. Geben Sie im Feld Welcher Mandant? den Mandantennamen ein. Sie können die Mandantendetails in Ihrem Cloud-Accountprofil anzeigen. Weitere Informationen finden Sie unter Meine Profildetails abrufen.
  3. Geben Sie im Feld Wie lautet der Benutzername? den Benutzernamen des Serviceaccounts mit dem Präfix "Domainname" im Format <domain-name/user name> ein. Beispiel: Wenn der Domainname data-pub lautet und der Benutzername des Serviceaccounts john.doe lautet, geben Sie data-pub/john.doe ein.
  4. Geben Sie im Feld Was ist der Nachrichtenendpunkt? einen Nachrichtenendpunkt ohne https oder einen Bootstrap-Serverwert ein. Weitere Informationen finden Sie unter Streamingdetails.
  5. Geben Sie im Feld Wie lautet der Themenname? den Streamnamen ein. Weitere Informationen finden Sie unter Streamingdetails.
  6. Geben Sie im Feld Wie lautet die Streampool-OCID? die Streampool-OCID ein. Weitere Informationen hierzu finden Sie unter Streamingdetails.
    Tipp

    Geben Sie die Streampool-OCID ein, und nicht die Stream-OCID.
  7. Klicken Sie auf Speichern. Die Konfigurationsdetails werden gespeichert. Wenn Validierungsfehler vorliegen, müssen Sie diese beheben, bevor Sie die Details speichern können.
  8. Klicken Sie unter Aktionen auf Daten jetzt veröffentlichen. Eine Bestätigungsmeldung wird angezeigt, und klicken Sie auf Veröffentlichen.
Nachdem Sie die Daten veröffentlicht haben, wird der Veröffentlichungsstatus zusammen mit Datum und Uhrzeit in der Oracle Access Governance-Konsole angezeigt. Je nach Datengröße kann es einige Minuten dauern, die gesamten Daten zu veröffentlichen. Nach Abschluss wird der Abschlussstatus in der Konsole mit der Meldung "Eine Datenveröffentlichung wurde am <Datum> <Zeit> von <E-Mail-Adresse des Administrators> erfolgreich abgeschlossen" angezeigt. Im OCI-Bucket sollten unter dem Ordner json mehrere Ereignisdateien angezeigt werden.

Sie können OCI Stream-Nachrichten mit zwei verschiedenen Methoden konsumieren: dem Kafka-Java-Client und dem OCI-SDK. Jede Methode folgt einem eindeutigen Dekodierungsprozess zur korrekten Nachrichteninterpretation.

  • OCI-SDK verwenden: Sie müssen den Schlüssel der Streamnachricht einmal und zweimal entschlüsseln.

  • Verwenden des Kafka-Java-Clients: Sie müssen den Wert der Streamnachricht nur einmal dekodieren, und für den Schlüssel ist keine Decodierung erforderlich.