Oracle Cloud Infrastructure-Dokumentation

Integration mit Datenbanktabellen

Überblick: Oracle Access Governance mit Datenbankanwendungstabellen integrieren

Oracle Access Governance kann in Datenbankanwendungstabellen integriert werden und ermöglicht die Identitätsorchestrierung, einschließlich Onboarding von Identitäts-(Benutzer-)Daten und Provisioning von Accounts.

Datenbankanwendungstabellen können als datenbankgesteuerte benutzerdefinierte Anwendungen definiert werden. In Bezug auf die Identitätsverwaltung zeichnen sich diese Anwendungen durch Folgendes aus:
  • Anwendungen verfügen über keine APIs für die Identitätsadministration
  • Jede Anwendung kann eine andere Gruppe von Schemas für Identitäts-, Account- und Berechtigungsdaten aufweisen
  • Das Anwendungsschema ist Oracle Access Governance nicht bekannt, bevor die Integration konfiguriert und ausgeführt wird
  • Es gibt keine direkte Zuordnung zwischen den Anwendungsdatenbanktabellen und Oracle Access Governance-Entitys
  • Es gibt kein allgemeines Muster für die Organisation von Identitätsdaten im Anwendungsschema. Identitätsdaten können sich in einer einzelnen Tabelle befinden oder auf viele Tabellen verteilt sein

Die Integration von Datenbankanwendungstabellen ermöglicht den Austausch von Benutzerdaten zwischen einer Kundendatenbank und Oracle Access Governance.

Die Integration der Datenbanktabellen unterstützt die folgenden Elemente:
  • Datenbankanwendungstabellen als zuverlässige (vertrauenswürdige) Quelle von Identitätsinformationen, die eine Reconciliation von Identitäten ermöglichen, die in Datenbanktabellen erstellt oder geändert wurden.
  • Datenbankanwendungstabellen als verwaltetes System, das das Provisioning von Anwendungsaccounts in Datenbanktabellen ermöglicht.

Überblick über die Integrationsarchitektur von Datenbankanwendungstabellen

Durch die Integration mit Datenbankanwendungstabellen können Sie Identitätsdaten aus einem System abrufen, an Oracle Access Governance übertragen und aufnehmen. Sobald ein System verbunden ist, können Sie Provisioning- und Remediation-Aufgaben und -Vorgänge ausführen, wie Erstellen, Abstimmen, Aktualisieren, Löschen, Deaktivieren/Aktivieren, Berechtigungen hinzufügen/löschen und Gruppe hinzufügen/löschen, die dann im verwalteten System wiedergegeben werden.


DBAT-Architektur

Abbildung 1. DBAT-Architektur
Die Integration von Datenbankanwendungstabellen wird mit einem Agent-basierten Verbindungstyp implementiert. Das bedeutet, dass keine direkte Verbindung verfügbar ist. Daher wird mit dem Access Governance Agent eine indirekte Verbindung zwischen Oracle Access Governance und der erforderlichen Datenbankinstanz hergestellt. Die Integration von Datenbanktabellen unterstützt die folgenden Modi:
  • Wenn Sie den Konfigurationsmodus Autoritative Quelle auswählen, wenn Sie ein orchestriertes System für Datenbankanwendungstabellen einrichten, ruft Oracle Access Governance Identitätsdaten aus der Datenbankinstanz ab und behandelt sie als zuverlässige (vertrauenswürdige) Quelle von Identitätsinformationen.
  • Wenn Sie den Konfigurationsmodus Verwaltete Systeme auswählen, können Sie mit Oracle Access Governance Benutzeraccounts in der Zieldatenbank verwalten. Dadurch können neue Accounts in Kundendatenbankinstanzen über Oracle Access Governance bereitgestellt werden.

Um das relevante Schema für Ihre Integration zu identifizieren, bietet die Integration von Datenbankanwendungstabellen eine automatische Schemaerkennung. Hierbei wird das zugrunde liegende Datenbankschema identifiziert, das Ihre Benutzerdaten enthält. Unterstützung wird für das Schema Day-0 bereitgestellt, und nachfolgende Änderungen im Benutzerschema werden durch Day-N-Unterstützung unterstützt. Dadurch können Sie das Schema mit allen Änderungen aktualisieren, die an den Datenbanktabellen vorgenommen wurden, und sie auf das erkannte Schema anwenden

Details zu den relevanten Benutzerdatenbanktabellen werden bei der Agent-Erstellung angegeben. Details des Schemas werden in einer Schemadatei gespeichert, die sich mit dem Agent befindet. Details des Schemas können aktualisiert werden, indem Sie diese Datei nach Bedarf direkt bearbeiten.

Die Verbindung zur Datenbank mit den Benutzertabellen wird über eine JDBC-Datenbankverbindung hergestellt. Dadurch kann der Agent:
  • Schema für Ihre datenbankgesteuerte Anwendung ermitteln
  • Dataloads ausführen
  • Accounts bereitstellen

Bei jeder Ausführung des Ladevorgangs werden alle relevanten Identitäts- und Accountdaten in Oracle Access Governance geladen. Wenn der Ladevorgang zum ersten Mal erfolgt, werden relevante Identitäts- und Accountstrukturen in Oracle Access Governance entsprechend erstellt. Bei nachfolgenden Dataload-Ausführungen werden alle Daten in Oracle Access Governance geladen, und der Aufnahmeprozess aktualisiert alle Änderungen seit dem letzten Dataload in den entsprechenden Identitäts- und Accountartefakten.

Nachdem Ihr orchestriertes System konfiguriert wurde, können Sie Accounts mit der Provisioning-Engine von Oracle Access Governance bereitstellen. Diese Engine fordert Accounts oder Berechtigungen an und leitet sie über den Agent weiter und an die Zieldatenbank. Das Provisioning unterstützt Vorgänge zum Erstellen, Aktualisieren und Entziehen.

Wenn Ihre Schemadatei in irgendeiner Weise verloren geht oder beschädigt ist, bietet die Integration der Datenbankanwendungstabellen ein Recovery der Schemadatei. Dies ist nützlich bei Szenarios wie einem Agent-Absturz oder dem Verlust der Schemadatei.

Integration von Datenbankanwendungstabellen - Funktionsüberblick

Die Integration von Datenbankanwendungstabellen unterstützt Anwendungsfälle wie die Konfiguration des orchestrierten Systems, das Laden von Daten, das Erstellen und Entziehen von Konten, das Ändern des Kennworts sowie das Zuweisen und Entfernen von Rollen.

Unterstützte Integrationsfunktionen

Die Integration von Datenbankanwendungstabellen mit Oracle Access Governance unterstützt die folgenden Funktionen:
  • Orchestriertes System konfigurieren
  • Daten laden
  • Account erstellen
  • Berechtigungen zuordnen
  • Berechtigungen entfernen
  • Kennwort ändern
  • Account widerrufen

Ausführliche Informationen zu den unterstützten Funktionen finden Sie unter Oracle Access Governance Integration – Funktionsüberblick

Beispiel für einen Accountlebenszyklus

Sehen wir uns ein Beispiel an. Sie haben ein neues orchestriertes System erstellt, das mit der Datenbankinstanz MyDBAT verbunden ist, die Benutzerdaten für Ihre Organisation enthält. Das orchestrierte System ist für die Modi "Autoritative Quelle" und "Verwaltetes System" konfiguriert. Beim ersten Dataload werden Identitäts- und Accountdaten in Oracle Access Governance geladen. Zu diesem Zeitpunkt werden die folgenden Details in Oracle Access Governance erstellt:
  • Eine Oracle Access Governance-Identität wird erstellt, z.B. MyAGIdentity, die autoritative Daten wie Name, E-Mail-Adresse und Standort enthält.
  • Ein Account wird in Oracle Access Governance für vorhandene Datenbankanwendungstabellenrollen erstellt. Beispiel: DBATRole_Composer.
Wir haben jetzt Folgendes:
  • MyAGIdentity
    • MyDBATAccount
      • DBATRole_Composer

Nach einiger Zeit wechselt MyAGIdentity in eine neue Position innerhalb ihrer Organisation, die eine Entwicklerrolle erfordert. In Oracle Access Governance wird ein Zugriffs-Bundle DBATBundle_Developer erstellt, das die erforderlichen Entwicklungsberechtigungen enthält. Dieses Zugriffs-Bundle kann als Ergebnis einer Policy, Rolle oder Anforderung zugewiesen werden. Angenommen, der Benutzer fordert das Zugriffs-Bundle mit der Option Neuen Zugriff anfordern an. Bei der Genehmigung löst die Anforderung einen Provisioning-Vorgang aus, bei dem die Änderungen auf MyDBAT angewendet werden. Dabei werden die Rollen der Datenbankanwendungstabellen zugewiesen, die den Berechtigungen im Zugriffs-Bundle DBATBundle_Developer entsprechen.

Wir haben jetzt Folgendes:
  • MyAGIdentity
    • MyDBATAccount
      • DBATRole_Composer
      • DBATBundle_Developer
Zusätzliche Accounts können der MyAGIdentity-Identität im Laufe der Zeit von anderen verwalteten Systemen zugeordnet werden, sodass wir ein Profil wie das Folgende erhalten:
  • MyAGIdentity
    • MyDBATAccount
    • MyOracleDBAccount
    • MyMSTeamsAccount

Anschließend ist MyAGIdentity erforderlich, um das Kennwort zu ändern. Mit der Funktion Mein Zugriff in der Oracle Access Governance-Konsole ändern sie ihr Kennwort, wodurch die Änderung mit dem Oracle Access Governance-Provisioning an MyDBAT propagiert wird.

MyAGIdentity wechselt dann zu einer Rolle, was bedeutet, dass sie kein Konto mehr unter MyDBAT benötigen. In diesem Fall kann eine Aufgabe zum Entziehen des Account-Provisionings generiert werden, indem der Account der Identity im Rahmen einer Zugriffsprüfung entzogen wird. Alternativ kann ihre Verknüpfung mit Kundendatenbankrollen entfernt werden, indem die Identität aus der relevanten Oracle Access Governance-Rolle oder -Policy entfernt wird. In beiden Fällen führt dies zu einer Provisioning-Aufgabe, die den Account zusammen mit allen zugehörigen Rollen aus der Kundendatenbank entzieht. Das Profil würde nun wie folgt aussehen:
  • MyAGIdentity
    • MyOracleDBAccount
    • MyMSTeamsAccount

Wenn das orchestrierte System der Datenbankanwendungstabellen im Modus Autoritative Quelle konfiguriert ist und Sie eine Identität inaktiv machen, wird die MyAGIdentity-Identität effektiv deaktiviert. In diesem Fall wird eine Provisioning-Aufgabe generiert und auf das verwaltete System angewendet.

Wir haben jetzt Folgendes:
  • MyAGIdentity (Deaktiviert)