Oracle Cloud Infrastructure-Dokumentation

Mit Datenbankanwendungstabellen integrieren (Oracle)

Konfigurieren

Sie können eine Verbindung zwischen Kundendatenbanken und Oracle Access Governance herstellen, indem Sie Verbindungsdetails eingeben. Verwenden Sie dazu die in der Oracle Access Governance-Konsole verfügbare orchestrierte Systemfunktionalität.

Zur Seite "Orchestrierte Systeme" navigieren

Navigieren Sie zur Seite "Orchestrierte Systeme" der Oracle Access Governance-Konsole, indem Sie die folgenden Schritte ausführen:
  1. Wählen Sie im Oracle Access Governance-Navigationsmenü symbol Navigationsmenü die Option Serviceadministration → Orchestrierte Systeme aus.
  2. Wählen Sie die Schaltfläche Orchestriertes System hinzufügen, um den Workflow zu starten.

System auswählen

Im Schritt System auswählen des Workflows können Sie angeben, welcher Systemtyp integriert werden soll. Mit dem Feld Suchen können Sie das erforderliche System nach Namen suchen.

  1. Wählen Sie Datenbankanwendungstabelle (Oracle DB) aus.
  2. Klicken Sie auf Weiter.

Details eingeben

Geben Sie im Schritt Details hinzufügen des Workflows die Details für das orchestrierte System ein:
  1. Geben Sie im Feld Name einen Namen für das System ein, mit dem Sie eine Verbindung herstellen möchten.
  2. Geben Sie eine Beschreibung für das System in das Feld Beschreibung ein.
  3. Entscheiden Sie, ob dieses orchestrierte System eine zuverlässige Quelle ist und ob Oracle Access Governance Berechtigungen verwalten kann, indem Sie die folgenden Kontrollkästchen aktivieren.
    • Das ist die autoritative Quelle für meine Identitäten

      Wählen Sie unter folgenden Optionen:

      • Quelle der Identitäten und ihrer Attribute: Das System fungiert als Quellidentitäten und zugehörige Attribute. Mit dieser Option werden neue Identitäten erstellt.
      • Nur Quelle von Identitätsattributen: Das System nimmt zusätzliche Details zu Identitätsattributen auf und gilt für vorhandene Identitäten. Mit dieser Option werden keine neuen Identitätsdatensätze aufgenommen oder erstellt.
    • Ich möchte Berechtigungen für dieses System verwalten
    Der Standardwert in jedem Fall ist Nicht ausgewählt.
  4. Wählen Sie Weiter.

Eigentümer hinzufügen

Sie können Ressourcenverantwortung zuordnen, indem Sie primäre und zusätzliche Verantwortliche hinzufügen. Dies steuert Self-Service, da diese Eigentümer dann die Ressourcen verwalten (lesen, aktualisieren oder löschen) können, deren Eigentümer sie sind. Standardmäßig wird der Ressourcenersteller als Ressourceneigentümer angegeben. Sie können einen primären Verantwortlichen und bis zu 20 zusätzliche Verantwortliche für die Ressourcen zuweisen.
Hinweis

Wenn Sie das erste orchestrierte System für Ihre Serviceinstanz einrichten, können Sie Eigentümer erst zuweisen, nachdem Sie die Identitäten im Abschnitt Identitäten verwalten aktiviert haben.
So fügen Sie Eigentümer hinzu:
  1. Wählen Sie im Feld Wer ist der primäre Eigentümer? einen aktiven Oracle Access Governance-Benutzer als primären Eigentümer aus.
  2. Wählen Sie einen oder mehrere zusätzliche Eigentümer in der Liste Wer ist Eigentümer? aus. Sie können bis zu 20 zusätzliche Eigentümer für die Ressource hinzufügen.
Sie können den primären Eigentümer in der Liste anzeigen. Alle Verantwortlichen können die Ressourcen anzeigen und verwalten, für die sie verantwortlich sind.

Accounteinstellungen

Geben Sie im Schritt Accounteinstellungen des Workflows ein, wie Oracle Access Governance Accounts verwalten soll, wenn das System als verwaltetes System konfiguriert ist:
  1. Wenn eine Berechtigung angefordert wird und das Konto noch nicht vorhanden ist, wählen Sie diese Option aus, um neue Konten zu erstellen. Diese Option ist standardmäßig aktiviert. Wenn diese Option ausgewählt ist, erstellt Oracle Access Governance einen Account, wenn kein Account vorhanden ist, wenn eine Berechtigung angefordert wird. Wenn Sie diese Option deaktivieren, werden Berechtigungen nur für vorhandene Konten im orchestrierten System bereitgestellt. Wenn kein Account vorhanden ist, verläuft der Provisioning-Vorgang nicht erfolgreich.
  2. Wählen Sie die Empfänger für Benachrichtigungs-E-Mails aus, wenn ein Account erstellt wird. Der Standardempfänger ist Benutzer. Wenn keine Empfänger ausgewählt sind, werden keine Benachrichtigungen gesendet, wenn Accounts erstellt werden.
    • Benutzer
    • Benutzermanager
  3. Vorhandene Accounts konfigurieren
    Hinweis

    Sie können diese Konfigurationen nur festlegen, wenn dies vom Systemadministrator zulässig ist. Wenn die Einstellungen für die globale Accountbeendigung aktiviert sind, können Anwendungsadministratoren die Einstellungen für die Accountbeendigung nicht auf der orchestrierten Systemebene verwalten.
    1. Wählen Sie aus, was mit Konten zu tun ist, wenn die vorzeitige Beendigung beginnt: Wählen Sie die Aktion aus, die ausgeführt werden soll, wenn eine vorzeitige Beendigung beginnt. Dies geschieht, wenn Sie Identitätszugriffe vor dem offiziellen Austrittsdatum widerrufen müssen.
      • Löschen: Löscht alle Accounts und Berechtigungen, die von Oracle Access Governance verwaltet werden.
        Hinweis

        Wenn ein bestimmtes orchestriertes System die Aktion nicht unterstützt, wird keine Aktion ausgeführt.
      • Deaktivieren: Deaktiviert alle Konten und deaktiviert Berechtigungen, die von Oracle Access Governance verwaltet werden.
        • Berechtigungen für deaktivierte Konten löschen: Um einen Restzugriff von Null sicherzustellen, wählen Sie diese Option aus, um direkt zugewiesene Berechtigungen und Policy-berechtigte Berechtigungen bei der Kontodeaktivierung zu löschen.
      • Keine Aktion: Wenn eine Identität von Oracle Access Governance zur vorzeitigen Beendigung gekennzeichnet wird, wird keine Aktion ausgeführt.
    2. Wählen Sie aus, was mit Konten am Austrittsdatum zu tun ist: Wählen Sie die Aktion aus, die während des offiziellen Austritts ausgeführt werden soll. Dies geschieht, wenn Sie Identitätszugriffe am offiziellen Austrittsdatum widerrufen müssen.
      • Löschen: Löscht alle Accounts und Berechtigungen, die von Oracle Access Governance verwaltet werden.
        Hinweis

        Wenn ein bestimmtes orchestriertes System die Aktion Löschen nicht unterstützt, wird keine Aktion ausgeführt.
      • Deaktivieren: Deaktiviert alle Konten und deaktiviert Berechtigungen, die von Oracle Access Governance verwaltet werden.
        • Berechtigungen für deaktivierte Konten löschen: Um einen Restzugriff von Null sicherzustellen, wählen Sie diese Option aus, um direkt zugewiesene Berechtigungen und Policy-berechtigte Berechtigungen bei der Kontodeaktivierung zu löschen.
        Hinweis

        Wenn ein bestimmtes orchestriertes System die Aktion Deaktivieren nicht unterstützt, wird der Account gelöscht.
      • Keine Aktion: Für Accounts und Berechtigungen von Oracle Access Governance wird keine Aktion ausgeführt.
  4. Wenn eine Identität Ihr Unternehmen verlässt, müssen Sie den Zugriff auf ihre Accounts entfernen.
    Hinweis

    Sie können diese Konfigurationen nur festlegen, wenn dies von Ihrem Systemadministrator zulässig ist. Wenn die globalen Einstellungen für die Kontobeendigung aktiviert sind, können Anwendungsadministratoren die Einstellungen für die Kontobeendigung nicht auf der orchestrierten Systemebene verwalten.

    Wählen Sie eine der folgenden Aktionen für den Account aus:

    • Löschen: Löschen Sie alle Accounts und Berechtigungen, die von Oracle Access Governance verwaltet werden.
    • Deaktivieren: Deaktivieren Sie alle Accounts, und markieren Sie Berechtigungen als inaktiv.
      • Berechtigungen für deaktivierte Konten löschen: Löschen Sie direkt zugewiesene und durch Richtlinien erteilte Berechtigungen bei der Kontodeaktivierung, um einen verbleibenden Zugriff zu verhindern.
    • Keine Aktion: Keine Aktion ausführen, wenn eine Identität die Organisation verlässt.
    Hinweis

    Diese Aktionen sind nur verfügbar, wenn sie vom orchestrierten Systemtyp unterstützt werden. Beispiel: Wenn Löschen nicht unterstützt wird, werden nur die Optionen Deaktivieren und Keine Aktion angezeigt.
  5. Wenn alle Berechtigungen für einen Account entfernt werden, z.B. wenn eine Identität zwischen Abteilungen verschoben wird, müssen Sie möglicherweise entscheiden, was mit dem Account zu tun ist. Wählen Sie eine der folgenden Aktionen aus, sofern dies vom orchestrierten Systemtyp unterstützt wird:
    • Löschen
    • Deaktivieren
    • Keine Aktion
  6. Accounts verwalten, die nicht von Access Governance erstellt wurden: Wählen Sie diese Option aus, um Accounts zu verwalten, die direkt im orchestrierten System erstellt werden. Damit können Sie vorhandene Accounts abstimmen und über Oracle Access Governance verwalten.
Hinweis

Wenn Sie das System nicht als verwaltetes System konfigurieren, wird dieser Schritt im Workflow angezeigt, ist jedoch nicht aktiviert. In diesem Fall fahren Sie direkt mit dem Schritt Integrationseinstellungen des Workflows fort.
Hinweis

Wenn Ihr orchestriertes System eine dynamische Schema-Discovery erfordert, wie bei den generischen Integrationen für REST- und Datenbankanwendungstabellen, kann beim Erstellen des orchestrierten Systems nur das Benachrichtigungs-E-Mail-Ziel (Benutzer, Benutzer) festgelegt werden. Sie können die Deaktivierungs-/Löschregeln für Mover und Abgänger nicht festlegen. Dazu müssen Sie das orchestrierte System erstellen und dann die Accounteinstellungen aktualisieren, wie unter Einstellungen für orchestrierte Systemaccounts konfigurieren beschrieben.

Integrationseinstellungen

Geben Sie im Schritt Integrationseinstellungen des Workflows die Details ein, die erforderlich sind, damit Oracle Access Governance eine Verbindung zur Kundendatenbank herstellen kann.

Integrationseinstellungen
Parametername Obligatorisch? Beschreibung

Easy-Connect-URL für Oracle-Datenbank

Ja

URL des Servers, auf dem das Kundendatenbanksystem gehostet wird, mit dem Sie die Integration durchführen möchten.

Verwenden Sie für Oracle Database das Format host/port/database service/sid. Verwenden Sie für Oracle Autonomous Database das Format jdbc:oracle:thin:@<SERVICE_NAME>? TNS_ADMIN=<WALLET-DIR>, wie unter WALLET für Autonomous Database-Integration konfigurieren beschrieben.
Benutzername

Ja

 Der Benutzername, der zum Herstellen einer Verbindung zum Benutzerdatenbanksystem für die Datenabstimmung und das Provisioning erforderlich ist.

Kennwort/Kennwort bestätigen

Ja

Das Kennwort, das den Benutzer authentifiziert, mit dem Sie eine Verbindung zum Benutzerdatenbanksystem herstellen.

Name der Benutzeraccounttabelle

Ja

Der Name der Datenbanktabelle mit Ihren Benutzeraccounts.

Hinweis

Fügen Sie den Benutzernamen des Tabelleneigentümers nicht in den Tabellennamen ein. Beispiel: MYUSER.MYDBAT_PERSON. Andernfalls werden Fehler angezeigt. Der Benutzername wird als separater Parameter übergeben, wie in dieser Tabelle beschrieben.

Berechtigungstabellen

Fügen Sie die Namen Ihrer Berechtigungstabellen in einer durch Komma getrennten Liste hinzu. Dieser Parameter gilt nur, wenn das orchestrierte System im Modus "Managed System" konfiguriert ist.

Hinweis

Fügen Sie den Benutzernamen des Tabelleneigentümers nicht in den Tabellennamen ein. Beispiel: MYUSER.MYDBAT_PERMISSION. Andernfalls werden Fehler angezeigt. Der Benutzername wird als separater Parameter übergeben, wie in dieser Tabelle beschrieben.

Accountberechtigungstabellen

Wenn Account-Daten in übergeordneten und untergeordneten Tabellen gespeichert sind, geben Sie eine durch Komma getrennte Liste der Namen der untergeordneten Tabellen an.

Hinweis

Fügen Sie den Benutzernamen des Tabelleneigentümers nicht in den Tabellennamen ein. Beispiel: MYUSER.MYDBAT_ACCOUNTPERMISSION. Andernfalls werden Fehler angezeigt. Der Benutzername wird als separater Parameter übergeben, wie in dieser Tabelle beschrieben.

Lookup-Tabellen

Durch Komma getrennte Liste der Lookup-Tabellen für Attribute wie Land.

Hinweis

Fügen Sie den Benutzernamen des Tabelleneigentümers nicht in den Tabellennamen ein. Beispiel: MYUSER.MYDBAT_LOOKUP. Andernfalls werden Fehler angezeigt. Der Benutzername wird als separater Parameter übergeben, wie in dieser Tabelle beschrieben.
Zuordnungstabellen Durch Komma getrennte Liste der erstellten Zugehörigkeitstabellen. Weitere Informationen finden Sie unter DBAT Affiliation Support for Custom Multivalued Identity Attributes.

Schlüsselspaltenzuordnungen

Ja

 Durch Komma getrennte Liste der Schlüsselspaltenzuordnungen. Diese Zuordnungen müssen im Format Table:KeyColumn eingegeben werden.
Hinweis

Dieser Parameter gilt nur für ACCOUNT-, ENTITLEMENT- und LOOKUP-Tabellen.

Namensspaltenzuordnungen

Ja

 Durch Komma getrennte Liste mit Namensspaltenzuordnungen. Diese Zuordnungen müssen im Format Table:NameColumn eingegeben werden.
Hinweis

Dieser Parameter gilt nur für ACCOUNT-, ENTITLEMENT- und LOOKUP-Tabellen.

Kennwortspaltenzuordnung für Benutzeraccounttabelle

Kennwortspaltenzuordnung für Benutzeraccounttabelle im Format Table:PasswordColumn.

Statusspaltenzuordnung für Benutzeraccounttabelle

Ja

Statusspaltenzuordnung für die Benutzeraccounttabelle im Format Table:StatusColumn. Die Statusspalte enthält den Status eines Benutzerdatensatzes. Konfigurieren Sie bei speziellen Werten den Wert "Aktivieren/Deaktivieren".

Statuswert für "Benutzeraccount aktiviert"

Dieser Wert wird als Aktivierungs-Wert verwendet, wenn die Statusspalte konfiguriert ist und es um einen Zeichenfolgentyp handelt. Wenn für diesen Parameter kein Wert angegeben ist, wird standardmäßig "ACTIVE" verwendet.

Statuswert für "Benutzeraccount deaktiviert"

Dieser Wert wird als Deaktivierungswert benutzt, wenn der Status der Spalte konfiguriert ist und es sichum einen Zeichenfolgentyp handelt. Wenn für diesen Parameter kein Wert angegeben ist, wird standardmäßig "INACTIVE" verwendet.

Datumsformat

Format für Datumsdaten, die in Zeichenfolgen konvertiert werden. Wenn Sie Datumsdaten als Datumseditor handhaben möchten, dann geben sie keinen Wert für diesen Parameter ein. Wenn Sie Datumsdaten als Text behandeln möchten, müssen Sie das Datumsformat eingeben. Wenn Sie einen Wert für diesen Parameter angeben, wird der Parameter allNative ungültig.

Zeitstempelformat

Format für Zeitstempeldaten, die in Zeichenfolgen konvertiert werden. Wenn Sie diese Eigenschaft angeben, werden die Eigenschaften nativeTimestamps und allNative ungültig

Filterbedingung für Benutzeraccount

Eine WHERE-Klausel, die eine Teilmenge der Benutzeraccountdatensätze definiert, die Sie aus Ihrer Kundendatenbank in Oracle Access Governance übertragen möchten.

Erstellungsskript

Benutzerdefiniertes Skript zur Verwendung benutzerdefinierter Stored Procedures oder SQL-Anweisungen anstelle der Standard-SQL-Anweisungen für Provisioning-Vorgänge. Geben Sie die Datei-URL des Groovy-Skripts ein, das für den Provisioning-Vorgang "Benutzeraccount erstellen" erstellt wurde. Sie müssen die Datei-URL im folgenden Format eingeben: /directoryName/fileName.

Beispielwert:

/app/scripts/create_user.groovy

Weitere Details zum Skripting mit der Integration von Datenbanktabellen finden Sie unter Benutzerdefinierte Skripte für Datenbanktabellen (Oracle) mit Groovy entwickeln.

Aktualisierungsskript

Benutzerdefiniertes Skript zur Verwendung benutzerdefinierter Stored Procedures oder SQL-Anweisungen anstelle der Standard-SQL-Anweisungen für Provisioning-Vorgänge. Geben Sie die Datei-URL des Groovy-Skripts ein, das für den Provisioning-Vorgang des Benutzeraccounts aktualisiert wurde. Dieses Skript wird aufgerufen, wenn Sie das Accountattributformular aktualisieren, das Benutzerkonto aktivieren oder deaktivieren. Sie müssen die Datei-URL im folgenden Format eingeben: /directoryName/fileName.

Beispielwert:

/app/scripts/update_user.groovy

Weitere Details zum Skripting mit der Integration von Datenbanktabellen finden Sie unter Benutzerdefinierte Skripte für Datenbanktabellen (Oracle) mit Groovy entwickeln.

Löschungsskript

Benutzerdefiniertes Skript zur Verwendung benutzerdefinierter Stored Procedures oder SQL-Anweisungen anstelle der Standard-SQL-Anweisungen für Provisioning-Vorgänge. Geben Sie die Datei-URL des Groovy-Skripts ein, das für den Vorgang zum Löschen der Benutzeraccountbereitstellung erstellt wurde. Dieses Skript wird aufgerufen, wenn Sie ein Konto widerrufen oder löschen. Sie müssen die Datei-URL im folgenden Format eingeben: /directoryName/fileName.

Beispielwert:

/app/scripts/delete_user.groovy

Weitere Details zum Skripting mit der Integration von Datenbanktabellen finden Sie unter Benutzerdefinierte Skripte für Datenbanktabellen (Oracle) mit Groovy entwickeln.

Dataload-Skript

Benutzerdefiniertes Skript zur Verwendung benutzerdefinierter Stored Procedures oder SQL-Anweisungen anstelle der Standard-SQL-Anweisungen für Provisioning-Vorgänge. Geben Sie die Datei-URL des Groovy-Skripts ein, das für die Abstimmung erstellt wurde. Der Connector delegiert den Dataload-Vorgang an das Groovy-Skript, das für die Übergabe der Informationen (Connector-Objekt) an den Callback-Handler verantwortlich ist. Dieses Skript wird beim Durchführen einer Kontosuche aufgerufen (Vorgänge wie vollständiges Laden von Daten). Sie müssen die Datei-URL im folgenden Format eingeben: /directoryName/fileName.

Beispielwert:

/app/scripts/full_data_load.groovy

Weitere Details zum Skripting mit der Integration von Datenbanktabellen finden Sie unter Benutzerdefinierte Skripte für Datenbanktabellen (Oracle) mit Groovy entwickeln.

Skript für das Hinzufügen von Beziehungsdaten

Benutzerdefiniertes Skript zur Verwendung benutzerdefinierter Stored Procedures oder SQL-Anweisungen anstelle der Standard-SQL-Anweisungen für Provisioning-Vorgänge. Geben Sie die Datei-URL des Groovy-Skripts ein, das für den Provisioning-Vorgang "Mehrwertiges Attribut hinzufügen" (einschließlich Berechtigungen für den Account) erstellt wurde. Dieses Skript wird aufgerufen, wenn Sie untergeordnete Attribute mit mehreren Werten hinzufügen. Sie müssen die Datei-URL im folgenden Format eingeben: /directoryName/fileName.

Beispielwert:

/app/scripts/add_mulval_attr.groovy

Weitere Details zum Skripting mit der Integration von Datenbanktabellen finden Sie unter Benutzerdefinierte Skripte für Datenbanktabellen (Oracle) mit Groovy entwickeln.

Skript für das Entfernen von Beziehungsdaten

Benutzerdefiniertes Skript zur Verwendung benutzerdefinierter Stored Procedures oder SQL-Anweisungen anstelle der Standard-SQL-Anweisungen für Provisioning-Vorgänge. Geben Sie die Datei-URL des Groovy-Skripts ein, das für den Provisioning-Vorgang "Mehrwertiges Attribut entfernen" (einschließlich Berechtigungen für den Account) erstellt wurde. Dieses Skript wird aufgerufen, während mehrwertige untergeordnete Attribute entfernt werden. Sie müssen die Datei-URL im folgenden Format eingeben: /directoryName/fileName.

Beispielwert:

/app/scripts/remove_mulval_attr.groovy

Weitere Details zum Skripting mit der Integration von Datenbanktabellen finden Sie unter Benutzerdefinierte Skripte für Datenbanktabellen (Oracle) mit Groovy entwickeln.

  1. Klicken Sie auf Hinzufügen, um das orchestrierte System zu erstellen.

Beenden

Der letzte Schritt des Workflows ist Fertigstellen, in dem Sie aufgefordert werden, den Agent für das orchestrierte System herunterzuladen. Nachdem Sie den Agent heruntergeladen haben, können Sie den Agent mit den Anweisungen unter Oracle Access Governance Agent für indirekte Integrationen verwalten in Ihrer Umgebung installieren und konfigurieren.

Sie haben die Wahl, ob Sie das orchestrierte System weiter konfigurieren möchten, bevor Sie einen Dataload ausführen, oder ob Sie die Standardkonfiguration akzeptieren und einen Dataload initiieren. Wählen Sie eine aus:
  • Anpassen und dann das System für Dataloads aktivieren
  • Aktivieren und die Dataload mit den bereitgestellten Standardwerten vorbereiten

Nach Konfiguration

JSON-Datei für Zwischenschema aktualisieren

Wenn Sie die Installation des Agent abgeschlossen haben, wird eine JSON-Zwischenschemadatei schema.json auf dem Agent-Host erstellt. Diese Datei ordnet die Tabellen in der integrierten Datenbank dem Schema zu, das in Oracle Access Governance dargestellt wird. Die anfängliche Schema-JSON-Datei wird mit Basisattributen erstellt, die für Dataload, UID, NAME, STATUS und PASSWORD aktiviert sind (falls vom Benutzer konfiguriert). Der vollständige Dataload-Vorgang kann mit dieser anfänglichen Schema-JSON-Datei ausgeführt werden. Dabei werden nur Daten für diese grundlegenden Attribute geladen. Anschließend können Sie die Schema-JSON-Datei weiter ändern, um weitere Attribute für die nächsten Dataload-Vorgänge einzuschließen.
Hinweis

Stellen Sie sicher, dass Sie Lese-/Schreibberechtigungen für die Schema-JSON-Datei für den BS-Benutzer erteilt haben, der den Agent ausführt.

Um die ausgehende Transformation anzuwenden, müssen Sie sie nach dem Day0 über die Oracle Access Governance-Konsole aktualisieren. In Schema.json angewendete Transformationsregeln werden nicht berücksichtigt. Informationen zum Anwenden von Transformationsregeln finden Sie unter Ausgehende Transformationen für Identitätsattribute anwenden. Wenn Sie jedoch das Attribut ändern oder ein Attribut in Schema.json löschen, werden die Transformationsregeln, die sich auf dieses bestimmte Accountattribut beziehen, während des Schema-Discovery-Vorgangs gelöscht.

Ausführliche Informationen zur Struktur und zu den Optionen, die beim Bearbeiten von schema.json verfügbar sind, finden Sie unter Schema-JSON-Dateireferenz.

Letzte benutzerdefinierte Attribute abrufen

Sie müssen einen Schema-Discovery-Vorgang ausführen, der die neuesten benutzerdefinierten Attributinformationen abruft. Einzelheiten zum Ausführen dieser Aufgabe finden Sie unter Letzte benutzerdefinierte Attribute abrufen.

SSL-/TLS-Kommunikation in Oracle Database konfigurieren

Um die Kommunikation zwischen Ihrem Oracle Access Governance-Agent und der Oracle-Datenbank zu sichern, können Sie Secure Sockets Layer/Transport Layer Security (SSL/TLS) konfigurieren. Stellen Sie dazu sicher, dass Sie die folgenden Schritte ausgeführt haben:
  1. Datenverschlüsselung und -integrität in Oracle Database konfigurieren

    Informationen zum Konfigurieren der Datenverschlüsselung und -integrität finden Sie unter Transport Layer Security-Authentifizierung konfigurieren.

  2. Um den Oracle Access Governance-Agent für die Verwendung von SSL/TLS bei der Kommunikation mit der Datenbank zu konfigurieren, führen Sie die folgenden Schritte aus:
    1. Exportieren Sie das Zertifikat auf dem Oracle Database-Hostcomputer.
    2. Kopieren Sie das Datenbankzertifikat in den Oracle Access Governance-Agent-Host.
    3. Importieren Sie das Datenbankzertifikat mit dem folgenden Befehl in den Java Truststore des Agent:
      <%JAVA_HOME%>/bin/keytool -import -alias database-cert -file <AD-cert-file> -keystore <agent-install-dir>/cacerts
    4. Aktualisieren Sie die Datei config.properties des Agent so, dass sie Folgendes enthält:
      JAVA_OPTS=-Djavax.net.ssl.trustStore=/app/cacerts-Djavax.net.ssl.trustStorePassword=changeit

Wallet für Autonomous Database-Integration konfigurieren

Für eine Verbindung zu Oracle Autonomous Database muss der Client, in diesem Fall der Oracle Access Governance-Agent, so konfiguriert werden, dass er die SSL-Kommunikation zwischen dem Agent und dem Datenbankservice unterstützt. Um dieses Feature zu aktivieren, müssen Sie das Wallet der autonomen Datenbank auf den Agent-Host herunterladen und dann das Feld Easy Connect-URL für Datenbank in der orchestrierten Systemkonfiguration aktualisieren. Gehen Sie folgendermaßen vor, um diese Funktion zu konfigurieren:

  1. Erstellen Sie ein Oracle-(Database User Management-)orchestriertes System, und konfigurieren Sie den Agent.
  2. Laden Sie das Wallet der autonomen Datenbank herunter, wie unter Clientzugangsdaten (Wallets) herunterladen beschrieben.
  3. Erstellen Sie ein Wallet-Verzeichnis auf dem Agent-Host unter dem Verzeichnis <agent-vol-location>/app. Beispiel:
    mkdir <agent-vol-location>/app/db-wallet
  4. Kopieren Sie die ZIP-Datei mit dem in Schritt 2 heruntergeladenen Wallet in den Wallet-Ordner, und entpacken Sie sie mit dem folgenden Befehl: 
    cp -rf Wallet_<DATABASENAME>.zip <agent-vol-location>/app/db-wallet
  5. Die entpackte Wallet-Datei enthält die Datei tnsnames.ora, in der die für Oracle Autonomous Database verfügbaren Servicenamen enthalten sind. Wählen Sie je nach Workload eine der folgenden Optionen:
    • databasename_tpurgent
    • databasename_tp
    • databasename_high
    • databasename_medium
    • databasename_low
    Weitere Details zu Oracle Autonomous Database-Servicenamen finden Sie unter Datenbankservicenamen für Autonomous Transaction Processing und Autonomous JSON Database.
  6. Bearbeiten Sie die Integrationseinstellungen für das orchestrierte System, indem Sie die Anweisungen unter Einstellungen für ein orchestriertes System konfigurieren befolgen. Aktualisieren Sie das Feld Easy Connect-URL für Datenbank mit der Verbindungszeichenfolge für Ihre Datenbank, basierend auf dem Servicenamen, den Sie im vorherigen Schritt ausgewählt haben. Die Verbindungszeichenfolge muss das folgende Format haben:
    jdbc:oracle:thin:@<SERVICE_NAME>?TNS_ADMIN=<WALLET-DIR>
    Beispiel:
    jdbc:oracle:thin:@MYAUTDB_TP?TNS_ADMIN=<agent-vol-location>/app/db-wallet