Mit Datenbankbenutzermanagement (Oracle) integrieren

Der Database User Management-Connector integriert Oracle Access Governance in Datenbankbenutzerverwaltungstabellen in Oracle Database. Sie können eine Verbindung zwischen Oracle Database und Oracle Access Governance herstellen, indem Sie Verbindungsdetails eingeben und den Connector konfigurieren. Verwenden Sie dazu die Funktion "Orchestrierte Systeme", die in der Oracle Access Governance-Konsole verfügbar ist.

Voraussetzungen

Bevor Sie ein orchestriertes Oracle-(Database User Management-)System installieren und konfigurieren, müssen Sie die folgenden Voraussetzungen und Aufgaben berücksichtigen.

Zertifizierte Komponenten

Sie können einen der folgenden Oracle Database-Typen in Oracle Access Governance integrieren:

Exadata V2.
Oracle Database 12c als Einzeldatenbank, integrierbare Datenbank (PDB) oder Oracle RAC-Implementierung.
Oracle Database 18c als Einzeldatenbank, integrierbare Datenbank (PDB) oder Oracle RAC-Implementierung.
Oracle Database 19c als einzelne Datenbank, integrierbare Datenbank (PDB) oder Oracle RAC-Implementierung.
Oracle Database 23ai als einzelne Datenbank, integrierbare Datenbank (PDB) oder Oracle RAC-Implementierung.
Oracle Autonomous Database

Unterstützte Operationen

Das orchestrierte Datenbankbenutzerverwaltungssystem (Oracle) unterstützt die folgenden Vorgänge:

Benutzer erstellen
Kennwort zurücksetzen
Rollen hinzufügen
Rollen widerrufen
Berechtigungen hinzufügen
Berechtigungen entziehen

Unterstützte Standardattribute

Das orchestrierte System der Datenbankbenutzerverwaltung (Oracle) unterstützt die folgenden Standardattribute.

Standardattribute - Berechtigungsmodus verwalten
DBUM-Benutzerentität	Zielkontenattribut	Oracle Access Governance-Kontoattribut
	Rückgabe-ID	UID
	Benutzername	Name
	Authentifizierungstyp	authenticationType
	Globaler DN	globalDN
	Default Tablespace	defaultTablespace
	Default Tablespace Quota (in MB)	defaultTablespaceQuotaInMB
	Temporärer Tablespace	temporaryTablespace
	Profilname	profileName
	Accountstatus	accountStatus
	Status	Status
	Kennwort	Kennwort
Rolle DBUM-(Oracle-)Rollen werden Oracle Access Governance-Berechtigungen zugeordnet
	adminOption	roleAdminOption
Berechtigung DBUM-(Oracle-)Berechtigungen werden Oracle Access Governance-Berechtigungen zugeordnet
	adminOption	privilegeAdminOption

Standardabgleichsregel

Die Standardabgleichsregel für das orchestrierte Datenbankbenutzerverwaltungssystem (Oracle)

is:

Standardabgleichsregeln
Modus	Standardabgleichsregel
Berechtigungen bearbeiten	`userNameOracle = userLogin`

Zielsystembenutzeraccount für orchestrierte Systemvorgänge der Datenbankbenutzerverwaltung (Oracle) erstellen

Oracle Access Governance erfordert, dass ein Benutzeraccount während des Servicevorgangs auf das System zugreift. Je nach verwendetem System können Sie den Benutzer erstellen und ihm bestimmte Berechtigungen und Rollen zuweisen.

Für Oracle-Datenbanken:

Erstellen Sie einen Servicebenutzer mit der folgenden SQL-Anweisung:

CREATE USER agserviceuser IDENTIFIED BY password
DEFAULT TABLESPACE users
TEMPORARY TABLESPACE temp QUOTA UNLIMITED ON users;

Weisen Sie dem erstellten Servicebenutzer die folgenden Berechtigungen und Rollen zu:

GRANT SELECT on dba_role_privs TO agserviceuser;
GRANT SELECT on dba_sys_privs TO agserviceuser;
GRANT SELECT on dba_ts_quotas TO agserviceuser;
GRANT SELECT on dba_tablespaces TO agserviceuser;
GRANT SELECT on dba_users TO agserviceuser;
GRANT CREATE USER TO agserviceuser;
GRANT ALTER ANY TABLE TO agserviceuser;
GRANT GRANT ANY PRIVILEGE TO agserviceuser;
GRANT GRANT ANY ROLE TO agserviceuser;
GRANT DROP USER TO agserviceuser;
GRANT SELECT on dba_roles TO agserviceuser;
GRANT SELECT ON dba_profiles TO agserviceuser;
GRANT ALTER USER TO agserviceuser;
GRANT CREATE ANY TABLE TO agserviceuser;
GRANT DROP ANY TABLE TO agserviceuser;
GRANT CREATE ANY PROCEDURE TO agserviceuser;
GRANT DROP ANY PROCEDURE TO agserviceuser;

Konfigurieren

Sie können eine Verbindung zwischen Oracle Database und Oracle Access Governance herstellen, indem Sie Verbindungsdetails eingeben und Ihre Datenbankumgebung konfigurieren. Verwenden Sie dazu die Funktion "Orchestrierte Systeme", die in der Oracle Access Governance-Konsole verfügbar ist.

Zur Seite "Orchestrierte Systeme" navigieren

Navigieren Sie zur Seite "Orchestrierte Systeme" der Oracle Access Governance-Konsole, indem Sie die folgenden Schritte ausführen:

Wählen Sie im Oracle Access Governance-Navigationsmenü symbol die Option Serviceadministration → Orchestrierte Systeme aus.
Wählen Sie die Schaltfläche Orchestriertes System hinzufügen, um den Workflow zu starten.

System auswählen

Geben Sie im Schritt System auswählen des Workflows an, welchen Systemtyp Sie integrieren möchten. Mit dem Feld Suchen können Sie das erforderliche System nach Namen suchen.

Wählen Sie die Kachel Datenbankbenutzermanagement (Oracle DB) aus. Nach der Auswahl wird auf der rechten Seite unter Was ich ausgewählt habe der Wert Datenbankbenutzermanagement (Oracle DB) angezeigt.
Klicken Sie auf Weiter.

Details eingeben

Geben Sie im Schritt Details hinzufügen des Workflows die Details für das orchestrierte System ein:

Geben Sie im Feld Name einen Namen für das System ein, mit dem Sie eine Verbindung herstellen möchten.
Geben Sie eine Beschreibung für das System in das Feld Beschreibung ein.
Entscheiden Sie, ob dieses orchestrierte System eine zuverlässige Quelle ist und ob Oracle Access Governance Berechtigungen verwalten kann, indem Sie die folgenden Kontrollkästchen aktivieren.
- Das ist die autoritative Quelle für meine Identitäten
  Wählen Sie unter folgenden Optionen:
  - Quelle der Identitäten und ihrer Attribute: Das System fungiert als Quellidentitäten und zugehörige Attribute. Mit dieser Option werden neue Identitäten erstellt.
  - Nur Quelle von Identitätsattributen: Das System nimmt zusätzliche Details zu Identitätsattributen auf und gilt für vorhandene Identitäten. Mit dieser Option werden keine neuen Identitätsdatensätze aufgenommen oder erstellt.
- Ich möchte Berechtigungen für dieses System verwalten
Der Standardwert in jedem Fall ist Nicht ausgewählt.
Wählen Sie Weiter.

Eigentümer hinzufügen

Sie können Ressourcenverantwortung zuordnen, indem Sie primäre und zusätzliche Verantwortliche hinzufügen. Dies steuert Self-Service, da diese Eigentümer dann die Ressourcen verwalten (lesen, aktualisieren oder löschen) können, deren Eigentümer sie sind. Standardmäßig wird der Ressourcenersteller als Ressourceneigentümer angegeben. Sie können einen primären Verantwortlichen und bis zu 20 zusätzliche Verantwortliche für die Ressourcen zuweisen.

Hinweis

Wenn Sie das erste orchestrierte System für Ihre Serviceinstanz einrichten, können Sie Eigentümer erst zuweisen, nachdem Sie die Identitäten im Abschnitt Identitäten verwalten aktiviert haben.

So fügen Sie Eigentümer hinzu:

Wählen Sie im Feld Wer ist der primäre Eigentümer? einen aktiven Oracle Access Governance-Benutzer als primären Eigentümer aus.
Wählen Sie einen oder mehrere zusätzliche Eigentümer in der Liste Wer ist Eigentümer? aus. Sie können bis zu 20 zusätzliche Eigentümer für die Ressource hinzufügen.

Sie können den primären Eigentümer in der Liste anzeigen. Alle Verantwortlichen können die Ressourcen anzeigen und verwalten, für die sie verantwortlich sind.

Accounteinstellungen

Geben Sie im Schritt Accounteinstellungen des Workflows ein, wie Oracle Access Governance Accounts verwalten soll, wenn das System als verwaltetes System konfiguriert ist:

Wenn eine Berechtigung angefordert wird und das Konto noch nicht vorhanden ist, wählen Sie diese Option aus, um neue Konten zu erstellen. Diese Option ist standardmäßig aktiviert. Wenn diese Option ausgewählt ist, erstellt Oracle Access Governance einen Account, wenn kein Account vorhanden ist, wenn eine Berechtigung angefordert wird. Wenn Sie diese Option deaktivieren, werden Berechtigungen nur für vorhandene Konten im orchestrierten System bereitgestellt. Wenn kein Account vorhanden ist, verläuft der Provisioning-Vorgang nicht erfolgreich.
Wählen Sie die Empfänger für Benachrichtigungs-E-Mails aus, wenn ein Account erstellt wird. Der Standardempfänger ist Benutzer. Wenn keine Empfänger ausgewählt sind, werden keine Benachrichtigungen gesendet, wenn Accounts erstellt werden.
- Benutzer
- Benutzermanager
Vorhandene Accounts konfigurieren
Hinweis

Sie können diese Konfigurationen nur festlegen, wenn dies vom Systemadministrator zulässig ist. Wenn die Einstellungen für die globale Accountbeendigung aktiviert sind, können Anwendungsadministratoren die Einstellungen für die Accountbeendigung nicht auf der orchestrierten Systemebene verwalten.
1. Wählen Sie aus, was mit Konten zu tun ist, wenn die vorzeitige Beendigung beginnt: Wählen Sie die Aktion aus, die ausgeführt werden soll, wenn eine vorzeitige Beendigung beginnt. Dies geschieht, wenn Sie Identitätszugriffe vor dem offiziellen Austrittsdatum widerrufen müssen.
  - Löschen: Löscht alle Accounts und Berechtigungen, die von Oracle Access Governance verwaltet werden.
    Hinweis
    
    Wenn ein bestimmtes orchestriertes System die Aktion nicht unterstützt, wird keine Aktion ausgeführt.
  - Deaktivieren: Deaktiviert alle Konten und deaktiviert Berechtigungen, die von Oracle Access Governance verwaltet werden.
    - Berechtigungen für deaktivierte Konten löschen: Um einen Restzugriff von Null sicherzustellen, wählen Sie diese Option aus, um direkt zugewiesene Berechtigungen und Policy-berechtigte Berechtigungen bei der Kontodeaktivierung zu löschen.
  - Keine Aktion: Wenn eine Identität von Oracle Access Governance zur vorzeitigen Beendigung gekennzeichnet wird, wird keine Aktion ausgeführt.
2. Wählen Sie aus, was mit Konten am Austrittsdatum zu tun ist: Wählen Sie die Aktion aus, die während des offiziellen Austritts ausgeführt werden soll. Dies geschieht, wenn Sie Identitätszugriffe am offiziellen Austrittsdatum widerrufen müssen.
  - Löschen: Löscht alle Accounts und Berechtigungen, die von Oracle Access Governance verwaltet werden.
    Hinweis
    
    Wenn ein bestimmtes orchestriertes System die Aktion Löschen nicht unterstützt, wird keine Aktion ausgeführt.
  - Deaktivieren: Deaktiviert alle Konten und deaktiviert Berechtigungen, die von Oracle Access Governance verwaltet werden.
    - Berechtigungen für deaktivierte Konten löschen: Um einen Restzugriff von Null sicherzustellen, wählen Sie diese Option aus, um direkt zugewiesene Berechtigungen und Policy-berechtigte Berechtigungen bei der Kontodeaktivierung zu löschen.
    Hinweis
    
    Wenn ein bestimmtes orchestriertes System die Aktion Deaktivieren nicht unterstützt, wird der Account gelöscht.
  - Keine Aktion: Für Accounts und Berechtigungen von Oracle Access Governance wird keine Aktion ausgeführt.
Wenn eine Identität Ihr Unternehmen verlässt, müssen Sie den Zugriff auf ihre Accounts entfernen.
Hinweis

Sie können diese Konfigurationen nur festlegen, wenn dies von Ihrem Systemadministrator zulässig ist. Wenn die globalen Einstellungen für die Kontobeendigung aktiviert sind, können Anwendungsadministratoren die Einstellungen für die Kontobeendigung nicht auf der orchestrierten Systemebene verwalten.
Wählen Sie eine der folgenden Aktionen für den Account aus:
- Löschen: Löschen Sie alle Accounts und Berechtigungen, die von Oracle Access Governance verwaltet werden.
- Deaktivieren: Deaktivieren Sie alle Accounts, und markieren Sie Berechtigungen als inaktiv.
  - Berechtigungen für deaktivierte Konten löschen: Löschen Sie direkt zugewiesene und durch Richtlinien erteilte Berechtigungen bei der Kontodeaktivierung, um einen verbleibenden Zugriff zu verhindern.
- Keine Aktion: Keine Aktion ausführen, wenn eine Identität die Organisation verlässt.
Hinweis

Diese Aktionen sind nur verfügbar, wenn sie vom orchestrierten Systemtyp unterstützt werden. Beispiel: Wenn Löschen nicht unterstützt wird, werden nur die Optionen Deaktivieren und Keine Aktion angezeigt.
Wenn alle Berechtigungen für einen Account entfernt werden, z.B. wenn eine Identität zwischen Abteilungen verschoben wird, müssen Sie möglicherweise entscheiden, was mit dem Account zu tun ist. Wählen Sie eine der folgenden Aktionen aus, sofern dies vom orchestrierten Systemtyp unterstützt wird:
- Löschen
- Deaktivieren
- Keine Aktion
Accounts verwalten, die nicht von Access Governance erstellt wurden: Wählen Sie diese Option aus, um Accounts zu verwalten, die direkt im orchestrierten System erstellt werden. Damit können Sie vorhandene Accounts abstimmen und über Oracle Access Governance verwalten.

Hinweis

Wenn Sie das System nicht als verwaltetes System konfigurieren, wird dieser Schritt im Workflow angezeigt, ist jedoch nicht aktiviert. In diesem Fall fahren Sie direkt mit dem Schritt Integrationseinstellungen des Workflows fort.

Hinweis

Wenn Ihr orchestriertes System eine dynamische Schema-Discovery erfordert, wie bei den generischen Integrationen für REST- und Datenbankanwendungstabellen, kann beim Erstellen des orchestrierten Systems nur das Benachrichtigungs-E-Mail-Ziel (Benutzer, Benutzer) festgelegt werden. Sie können die Deaktivierungs-/Löschregeln für Mover und Abgänger nicht festlegen. Dazu müssen Sie das orchestrierte System erstellen und dann die Accounteinstellungen aktualisieren, wie unter Einstellungen für orchestrierte Systemaccounts konfigurieren beschrieben.

Integrationseinstellungen

Geben Sie im Schritt Integrationseinstellungen des Workflows die Konfigurationsdetails ein, die erforderlich sind, damit Oracle Access Governance eine Verbindung zur angegebenen Datenbank herstellen kann.

Geben Sie im Feld Easy Connect-URL für Datenbank die Verbindungszeichenfolge für die Datenbank ein, die Sie in Oracle Access Governance integrieren möchten. Verwenden Sie für Oracle Database das Format host/port/database service/sid. Verwenden Sie für Oracle Autonomous Database das Format jdbc:oracle:thin:@<SERVICE_NAME>? TNS_ADMIN=<WALLET-DIR>, wie unter WALLET für Autonomous Database-Integration konfigurieren beschrieben.
Geben Sie im Feld Benutzername den DB-Benutzer ein, mit dem Sie sich bei der Datenbank anmelden. Dies ist der Benutzer, den Sie unter Zielsystembenutzeraccount für Oracle-(Database User Management-)Orchestrierte Systemvorgänge erstellen erstellt haben.
Geben sie das Kennwort des Zieldatenbankbenutzers in das Feld Kennwort ein. Bestätigen Sie das Kennwort im Feld Passwort bestätigen.
Geben Sie unter Verbindungseigenschaften alle Verbindungseigenschaften im Format prop1=val1#prop2=val2 ein.
Aktivieren Sie den rechten Fensterbereich, um Ausgewählte Elemente anzuzeigen. Wenn Sie mit den eingegebenen Details zufrieden sind, wählen Sie Hinzufügen aus, um das orchestrierte System zu erstellen.

Fertigstellen

Im Schritt Fertigstellen des Workflows werden Sie aufgefordert, den Agent herunterzuladen, mit dem Sie eine Schnittstelle zwischen Oracle Access Governance und Oracle Database herstellen. Wählen Sie den Link Herunterladen aus, um die ZIP-Datei des Agent in die Umgebung herunterzuladen, in der der dieser ausgeführt werden soll.

Befolgen Sie nach dem Herunterladen des Agent die Anweisungen im Artikel Agent-Administration.

Schließlich haben Sie die Wahl, ob Sie das orchestrierte System weiter konfigurieren möchten, bevor Sie einen Dataload ausführen, oder ob Sie die Standardkonfiguration akzeptieren und einen Dataload initiieren. Wählen Sie eine aus:

Anpassen und dann das System für Dataloads aktivieren
Aktivieren und die Dataload mit den bereitgestellten Standardwerten vorbereiten

Nach Konfiguration

Wallet für Autonomous Database-Integration konfigurieren

Um dieses Feature zu aktivieren, laden Sie das Wallet der autonomen Datenbank auf den Agent-Host herunter, und aktualisieren Sie dann das Feld Easy Connect-URL für Datenbank in der orchestrierten Systemkonfiguration. Gehen Sie folgendermaßen vor, um diese Funktion zu konfigurieren:

Gehen Sie folgendermaßen vor, um Wallet für Autonomous Database zu konfigurieren:

Erstellen Sie ein Oracle-(Database User Management-)orchestriertes System, und konfigurieren Sie den Agent.
Laden Sie das Wallet der autonomen Datenbank herunter, wie unter Clientzugangsdaten (Wallets) herunterladen beschrieben.
Erstellen Sie ein Wallet-Verzeichnis im Ordner für den installierten Agent, <PERSISTENT_VOLUME_LOCATION><WALLET-DIR>. Beispiel:
```
mkdir /myagent/install/db-wallet
```
Kopieren Sie die ZIP-Datei mit dem in Schritt 2 heruntergeladenen Wallet in die Datei <PERSISTENT_VOLUME_LOCATION><WALLET-DIR>, und entpacken Sie sie mit dem folgenden Befehl:
```
cp -rf Wallet_<DATABASENAME>.zip <PERSISTENT_VOLUME_LOCATION><WALLET-DIR>
cd /myagent/install/db-wallet
unzip Wallet_<DATABASENAME>.zip
```
Die entpackte Wallet-Datei enthält die Datei tnsnames.ora mit den Servicenamen, die für Oracle Autonomous Database verfügbar sind. Wählen Sie den richtigen TNS-Namen basierend auf Ihrer Workload:
- databasename_tpurgent
- databasename_tp
- databasename_high
- databasename_medium
- databasename_low
Weitere Details zu Oracle Autonomous Database-Servicenamen finden Sie unter Datenbankservicenamen für Autonomous Transaction Processing und Autonomous JSON Database.
Bearbeiten Sie die Integrationseinstellungen für das orchestrierte System, indem Sie die Anweisungen unter Einstellungen für ein orchestriertes System konfigurieren befolgen.

Öffnen Sie die Datei tnsnames.ora aus dem Wallet-Verzeichnis, und suchen Sie das TNS-Label vor dem =, das mit diesem Beschreibungsblock übereinstimmt.

Beispiel: Die Verbindungszeichenfolge lautet:

myhost_db_high =
  (description= (retry_count=20)(retry_delay=3)
  (address=(protocol=tcps)(port=1522)(host=<myhost>.adb.<region>.example.com))
  (connect_data=(service_name=myhost_db_high.adb.example.com))
  (security=(ssl_server_dn_match=no)))

Aktualisieren Sie das Feld Easy Connect-URL für Datenbank mit der Verbindungszeichenfolge für Ihre Datenbank basierend auf dem im vorherigen Schritt ausgewählten Servicenamen. Die Verbindungszeichenfolge muss das folgende Format haben:
```
jdbc:oracle:thin:@<TNS_NAME>?TNS_ADMIN=<full-path-to-WALLET-DIR>
```
Beispiel:
```
jdbc:oracle:thin:@myhost_db_high?TNS_ADMIN=/agent/install
```

Oracle Cloud Infrastructure-Dokumentation