Oracle Cloud Infrastructure-Dokumentation

Mit Oracle Identity Governance integrieren

Sie können die Integration mit Oracle Identity Governance (OIG) ermöglichen, um die Identitätsorchestrierung zu ermöglichen und das Onboarding von Accounts und Berechtigungen, Rollen und die Abstimmung von Accounts zu automatisieren. Sie können jeweils nur eine aktive OIG-Anwendung integrieren.

Zertifizierte Komponenten

Das Zielsystem kann eines der folgenden sein:

  • Oracle Identity Governance 12.2.1.4 Bundle-Patchnummer 11 (12.2.1.4.220703) oder höher. Ist die aktuelle Version von Oracle Identity Governance nicht kompatibel, wenden Sie sich an Oracle Support, der einen Patch für das Oracle Identity Governance-System anordnen kann.
  • Oracle Identity Governance 14.1.2.1.0 oder höher.

Voraussetzungen

Oracle Identity Governance-Quelldaten müssen die folgenden Anforderungen in Oracle Access Governance erfüllen

Schritt 1: Kennzeichen "Zertifizierbar" für Anwendung, Berechtigungen und Rollen aktivieren

Das Kennzeichen Zertifizierbar muss wie folgt für Anwendungen, Berechtigungen und Rollen ausgewählt werden:

  1. Kennzeichen "Zertifizierbar" für Anwendungen und Berechtigungen auswählen
    1. Melden Sie sich bei der Oracle Identity Governance-Selfserviceanwendung an.
    2. Gehen Sie zu Verwalten, Selbstanfrage
    3. Suchen Sie nach der Anwendung, und wählen Sie das Informationssymbol.
    4. Wählen Sie das Flag Zertifizierbar.
  2. Für Rollen,
    1. Melden Sie sich bei der Oracle Identity Governance-Selfserviceanwendung an.
    2. Gehen Sie zu Verwalten, Rollen
    3. Suchen Sie nach einer Rolle, und wählen Sie das Informationssymbol aus.
    4. Aktivieren Sie unter Katalogattribute das Kontrollkästchen Zulässig.

Schritt 2: Berechtigungstypen in Oracle Identity Governance

Als Benutzer in Oracle Identity Governance benötigen Sie die folgenden Berechtigungstypen:

  • Direktrückstellungskonten und -ansprüche
  • Provisioning-Accounts und -Berechtigungen anfordern
  • Abgestimmte Konten und Berechtigungen von den Zielen
  • Global geladene Accounts und Berechtigungen
  • Rolle "Anforderung" oder "Direkte Bereitstellung", die der Zugriffs-Policy zugeordnet ist

Schritt 3: JDBC-URL abrufen

Sie benötigen die JDBC-URL von OIG in den Verbindungseinstellungen.

  1. Melden Sie sich bei der Oracle WebLogic Server-Administrationskonsole an, die der Oracle Identity Governance-Instanz zugeordnet ist.
  2. Navigieren Sie zu Services → Datenquellen.
  3. Wählen Sie oimOperationsDB in der Registerkarte Konfigurationen aus.
  4. Wählen Sie Verbindungspool aus, und kopieren sie den Wert aus dem Feld URL:, der als JDBC-URL für Oracle Identity Governance verwendet werden soll.

Referenz: OIG JDBC-URL

Schritt 4: Server-URL von Oracle Identity Governance abrufen

  1. Melden Sie sich bei dem Oracle Enterprise Manager Fusion Middleware Control-System an.
  2. Navigieren Sie zum System-MBean-Browser, und suchen Sie das MBean XMLConfig.DiscoveryConfig.
  3. Kopieren Sie den Wert des Attributs OimExternalFrontEndURL, und verwenden Sie den Wert als Wert für die Oracle Identity Governance-Server-URL.

OIG-URL

Integration für Oracle Identity Governance konfigurieren

Sie können den Oracle Identity Governance-Agent so konfigurieren, dass eine Verbindung zu Oracle Access Governance hergestellt wird, dass Sie Verbindungsdetails und Zugangsdaten für das Zielsystem eingeben und einen für die Umgebung spezifischen Agent entwickeln müssen.

Zur Seite "Orchestrierte Systeme" navigieren

Auf der Seite "Orchestrierte Systeme" der Oracle Access Governance-Konsole können Sie die Konfiguration des orchestrierten Systems starten.

Navigieren Sie zur Seite "Orchestrierte Systeme" der Oracle Access Governance-Konsole, indem Sie die folgenden Schritte ausführen:
  1. Wählen Sie im Navigationsmenü von Oracle Access Governance Navigationsmenü die Option Serviceadministration → Orchestrierte Systeme aus.
  2. Wählen Sie die Schaltfläche Orchestriertes System hinzufügen, um den Workflow zu starten.

System auswählen

Im Schritt System auswählen des Workflows können Sie angeben, welchen Systemtyp Sie in Oracle Access Governance integrieren möchten.

Mit dem Feld Suchen können Sie das erforderliche System nach Namen suchen.

  1. Wählen Sie Oracle Identity Governance.
  2. Wählen Sie Weiter.

Details hinzufügen

Fügen Sie Details wie Name, Beschreibung und unterstützte Modi hinzu. Sie können den Modus nicht bearbeiten, nachdem Sie das orchestrierte System erstellt haben.

Mit der Integration können Sie Oracle Identity Governance so konfigurieren, dass es entweder als vollständige Identitätsquelle, als Quelle von Identitätsattributen für vorhandene Identitäten oder als verwaltetes System funktioniert.

  1. Geben Sie im Feld Name einen Namen für das System ein, mit dem Sie eine Verbindung herstellen möchten.
  2. Geben Sie eine Beschreibung für das System in das Feld Beschreibung ein.
  3. Entscheiden Sie, ob dieses orchestrierte System eine zuverlässige Quelle ist. Oracle Access Governance verwaltet immer Berechtigungen für dieses orchestrierte System.
    • Das ist die autoritative Quelle für meine Identitäten

      Wählen Sie unter folgenden Optionen:

      • Quelle der Identitäten und ihrer Attribute: Das System fungiert als Quellidentitäten und zugehörige Attribute. Mit dieser Option werden neue Identitäten erstellt.
      • Nur Quelle von Identitätsattributen: Das System nimmt zusätzliche Details zu Identitätsattributen auf und gilt für vorhandene Identitäten. Mit dieser Option werden keine neuen Identitätsdatensätze aufgenommen oder erstellt.
  4. Wählen Sie Weiter.

Eigentümer hinzufügen

Fügen Sie dem orchestrierten System primäre und zusätzliche Verantwortliche hinzu, um Ressourcen zu verwalten.

Sie können Ressourcenverantwortung zuordnen, indem Sie primäre und zusätzliche Verantwortliche hinzufügen. Dies steuert Self-Service, da diese Eigentümer dann die Ressourcen verwalten (lesen, aktualisieren oder löschen) können, deren Eigentümer sie sind. Standardmäßig wird der Ressourcenersteller als Ressourceneigentümer angegeben. Sie können einen primären Verantwortlichen und bis zu 20 zusätzliche Verantwortliche für die Ressourcen zuweisen.
Hinweis

Wenn Sie das erste orchestrierte System für Ihre Serviceinstanz einrichten, können Sie Eigentümer erst zuweisen, nachdem Sie die Identitäten im Abschnitt Identitäten verwalten aktiviert haben.
So fügen Sie Eigentümer hinzu:
  1. Wählen Sie im Feld Wer ist der primäre Eigentümer? einen aktiven Oracle Access Governance-Benutzer als primären Eigentümer aus.
  2. Wählen Sie einen oder mehrere zusätzliche Eigentümer in der Liste Wer ist Eigentümer? aus. Sie können bis zu 20 zusätzliche Eigentümer für die Ressource hinzufügen.
Sie können den primären Eigentümer in der Liste anzeigen. Alle Verantwortlichen können die Ressourcen anzeigen und verwalten, für die sie verantwortlich sind.

Integrationseinstellungen

Geben Sie Verbindungsdetails für das Oracle Identity Governance-System ein.

  1. Geben Sie im Feld Wie lautet die JDBC-URL Ihres OIG-Datenbankservers? die JDBC-URL der OIG-Datenbank ein, mit der Sie eine Verbindung herstellen möchten. Informationen zum Abrufen der JDBC-URL finden Sie in Schritt 3: JDBC-URL abrufen.
  2. Geben Sie im Feld Wie lautet der Benutzername der OIG-Datenbank? den Datenbankbenutzer mit Lesezugriff ein, um eine Verbindung zur OIG-Datenbank herzustellen. Weitere Informationen finden Sie unter Schritt 4: Server-URL von Oracle Identity Governance abrufen
  3. Geben Sie im Feld Kennwort das Kennwort für den von Ihnen angegebenen OIG-Datenbankbenutzer ein.
  4. Geben Sie im Feld Wie lautet die URL Ihres OIG-Servers? die URL des OIG-Servers ein, mit dem Sie die Integration durchführen möchten.
  5. Geben Sie im Feld Wie lautet der Benutzername des OIG-Servers? den OIG-Benutzer ein, der für die Korrektur und Schema-Discovery verwendet wird. Der Oracle Identity Governance Server-Benutzer muss zur Rolle Systemadministrator gehören, um sowohl Remediation als auch Schema-Discovery für benutzerdefinierte Attribute zu unterstützen. Wenn nur Remediation erforderlich ist, kann der Benutzer stattdessen zur Rolle OrclOAGIntegrationAdmin gehören, die Schema-Discovery funktioniert jedoch nicht für diesen Benutzer.
  6. Geben Sie im Feld OIG-Serverkennwort ein, um den OIG-Serverbenutzer beim Aufrufen von OIG-APIs zur Korrektur zu authentifizieren.
  7. Möchten Sie das inkrementelle Laden von Daten in der OIG-Datenbank aktivieren?: Wählen Sie diese Option aus, um inkrementelles Laden von Daten durchzuführen. Wenn die Option "Tag-N" ausgewählt ist, verwenden Dataloads einen ereignisgesteuerten Modus, der Änderungen an Oracle Access Governance anwendet, wenn sie stattfinden, und nicht als periodischer Snapshot. Wenn Sie diese Option auswählen, stellen Sie sicher, dass Sie die erforderlichen Aufgaben in der OIG-Datenbank abgeschlossen haben, die unter Datenbanksetupschritte für das ereignisgesteuerte Laden von Daten definiert ist.
    Hinweis

    Mit dieser Option können Sie Ereignisse aus OIG in Echtzeit und nicht regelmäßig anzeigen. Beispiel: Wenn die Organisation eine Identität für einen Benutzer erstellt, die sofort in Oracle Access Governance widergespiegelt werden muss, müssen Sie diese Option verwenden. Wenn die Identität hinzugefügt wird, wird das Ereignis nicht von der Integration notiert und mit Oracle Access Governance abgestimmt. Beim Laden der Standard-Snapshot-Daten würde die neue Identität erst bei der nächsten geplanten Ausführung abgestimmt. Mit dem ereignisgesteuerten Dataload werden Änderungen in Echtzeit identifiziert und bei jeder Veranstaltung in Oracle Access Governance geladen.
  8. Prüfen Sie, ob die eingegebenen Details korrekt sind, und wählen Sie die Schaltfläche Hinzufügen.
  9. Wählen Sie im Schritt Agent herunterladen den Link Herunterladen aus, und laden Sie diese ZIP-Datei in die Umgebung herunter, in der dieser Agent ausgeführt wird.

Beenden

Beenden Sie die Konfiguration des orchestrierten Systems, indem Sie Details darüber angeben, ob weitere Anpassungen vorgenommen werden sollen, oder einen Dataload aktivieren und ausführen.

Der letzte Schritt des Workflows ist Fertigstellen.

Im Schritt Fertigstellen des Workflows werden Sie aufgefordert, den Agent herunterzuladen, mit dem Sie eine Schnittstelle zwischen Oracle Access Governance und Oracle Identity Governance herstellen. Wählen Sie den Link Herunterladen aus, um die ZIP-Datei des Agent in die Umgebung herunterzuladen, in der der dieser ausgeführt wird.

Befolgen Sie nach dem Herunterladen des Agent die Anweisungen im Artikel Agent-Administration.

Schließlich können Sie entscheiden, ob Sie das orchestrierte System weiter konfigurieren möchten, bevor Sie einen Dataload ausführen, oder ob Sie die Standardkonfiguration akzeptieren und einen Dataload starten. Wählen Sie eine aus:
  • Anpassen und dann das System für Dataloads aktivieren
  • Aktivieren und die Dataload mit den bereitgestellten Standardwerten vorbereiten

Datenbankschritte für das ereignisgesteuerte Laden von Daten konfigurieren

Beim Erstellen oder Aktualisieren eines orchestrierten Oracle Access Governance-Systems können Sie die ereignisgesteuerte Dataload-Option aktivieren. Mit dieser Option wird der Dataload von Tag zu Tag vom standardmäßigen Snapshot-basierten Modell auf ein ereignisgesteuertes Modell umgestellt. Als Voraussetzung für diese Option müssen Sie einen schreibgeschützten Benutzer in der OIG-Datenbank erstellen und die erforderlichen Rollen und Systemberechtigungen erteilen.

Gehen Sie folgendermaßen vor, um einen schreibgeschützten Benutzer in der OIG-Datenbank für die ereignisgesteuerte Dataload-Option hinzuzufügen:
  1. Melden Sie sich bei der OIG-Datenbank als SYS an, und erstellen Sie einen schreibgeschützten Benutzer in der OIG-Datenbank, der von Oracle Access Governance für den Zugriff auf Änderungsereignisse verwendet wird: 
    create user <username> identified by <password>;
    Beispiel:
    create user ag2oigro identified by mypassword;
  2. Melden Sie sich bei der OIG-Datenbank als SYS an, und erteilen Sie dem im vorherigen Schritt erstellten schreibgeschützten Benutzer die erforderlichen Rollen und Systemberechtigungen: 
    GRANT CREATE SESSION TO <read-only user>;
                                GRANT SELECT ANY TABLE TO <read-only user>;
                                GRANT CREATE ANY TRIGGER TO <read-only user>;
                                GRANT ADMINISTER DATABASE TRIGGER TO <read-only user>;
                                GRANT CREATE TABLE TO <read-only user>;
                                GRANT CREATE SYNONYM TO <read-only user>;
                                GRANT UNLIMITED TABLESPACE TO <read-only user>;
                                
                                GRANT CONNECT TO <read-only user>;
                                GRANT RESOURCE TO <read-only user>;
    Beispiel:
    GRANT CREATE SESSION TO ag2oigro;
                                    GRANT SELECT ANY TABLE TO ag2oigro;
                                    GRANT CREATE ANY TRIGGER TO ag2oigro;
                                    GRANT ADMINISTER DATABASE TRIGGER TO ag2oigro;
                                    GRANT CREATE TABLE TO ag2oigro;
                                    GRANT CREATE SYNONYM TO ag2oigro;
                                    GRANT UNLIMITED TABLESPACE TO ag2oigro;
                                    
                                    GRANT CONNECT TO ag2oigro;
                                    GRANT RESOURCE TO ag2oigro;
  3. Melden Sie sich bei der OIG-Datenbank als Eigentümer des OIG-DB-Schemas an, und führen Sie den folgenden Befehl aus, um ein Skript zu erstellen, das Synonyme für OIG-Tabellen für den schreibgeschützten Benutzer erstellt: 
    setheading on
                                setlinesize 1500
                                setnumformat 99999999999999999999
                                setpagesize 25000
                                spool synon.out
                                SELECT 'create synonym <read-only user>.'||TNAME||' for <OIG_SCHEMA_USER_NAME>.'||TNAME||';'
                                FROM TAB
                                WHERE tabtype = 'TABLE';
                                spool off
    Beispiel:
    setheading on
                                    setlinesize 1500
                                    setnumformat 99999999999999999999
                                    setpagesize 25000
                                    spool synon.sql
                                    SELECT 'create synonym ag2oigro.'||TNAME||' for <OIG_SCHEMA_USER_NAME>.'||TNAME||';'
                                    FROM TAB
                                    WHERE tabtype = 'TABLE';
                                    spool off
  4. Melden Sie sich bei der OIG-Datenbank als schreibgeschützter Benutzer an, und erstellen Sie die Synonyme mit dem im vorherigen Schritt erstellten Skript: 
    @<scriptname>

    Beispiel:

    @synon.sql

Unterstützte Attribute zum Filtern von Benutzerdaten

Wenn Sie ein orchestriertes System zum Onboarding von Daten aus Oracle Identity Governance konfigurieren, können Sie die Benutzerdaten filtern, die Sie in Oracle Access Governance aufnehmen möchten. Sie können das Onboarding von Benutzern einschränken, indem Sie Filter für Identitätsattribute wie Abteilung, Mitarbeitertyp, Standort und andere festlegen.

Eigenschaften zum Filtern von Benutzerdaten

Beachten Sie die folgenden Eigenschaften der Filterung von Benutzerdatenladungen, die für die Konfiguration von Filtern im orchestrierten System geeignet sind.

  • Beim Abgleich von Benutzersuchfiltern und Filtern von Benutzerdatenwerten muss die Groß-/Kleinschreibung beachtet werden. Beispiel: Ein Filter von department = Human Resources würde keine Benutzer mit dem Wert department = HUMAN RESOURCES oder Department = Human Resources zurückgeben.
  • Wenn keine Benutzer oder Accounts mit dem Benutzerdatenladefilter übereinstimmen, werden keine Daten von Oracle Access Governance aus Oracle Identity Governance aufgenommen. In diesem Fall würde der Dataload selbst jedoch im Aktivitätsprotokoll als erfolgreich bezeichnet werden, obwohl keine Identitäten oder Konten eingebunden sind.
  • Benutzerdatenladefilterwerte dürfen für ein bestimmtes Filterattribut nicht größer als 1000 sein.
  • Wenn bereits ein Agent installiert ist, ist ein Agent-Upgrade erforderlich, um Filter für das Laden von Benutzerdaten zu aktivieren. Einzelheiten zum Upgrade des Agent finden Sie unter Agent-Beispielverwendung.

Liste der unterstützten Attribute für das Filtern von Benutzerdaten

Sie können Benutzer, die aus Oracle Identity Governance aufgenommen wurden, anhand der folgenden Attribute filtern.

Liste der unterstützten Attribute für das Filtern von Benutzerdaten
Oracle Access Governance-Attributname Oracle Identity Governance-Attributname
employeeType usr_emp_type
jobCode usr_job_code
Abteilungen usr_dept_no
Standort usr_location
Bundesland usr_state
postalCode usr_postal_code
Land usr_country
managerUid usr_manager_key
managerLogin usr_login

(usr_login des Managers)
organizationUid act_key
organizationName act_name

act_name der Aktionstabelle
territory usr_territory

Beispielfilter zum Laden von Benutzerdaten

Im Folgenden finden Sie einige Beispiele, die Sie mit der Funktion "User Data Load Filter" konfigurieren können:
Beispielfilter zum Laden von Benutzerdaten
Anwendungsfall Konfigurationsparameter

Benutzer mit department=Product Development

und

jobCode=IC004 oder M0003

  • userFilter1Name=Abteilung
  • userFilter1Value=Produktentwicklung
  • userFilter2Name=jobCode
  • userFilter2Value=IC004~M0003
  • userFilter3Name=
  • userFilter3Value=
  • filterValueDelimiter=~

Benutzer mit state =Kent

und

organizationUid=1 oder 4

  • userFilter1Name=Status
  • userFilter1Value=Kent
  • userFilter2Name=organizationUid
  • userFilter2Value=1~4
  • userFilter3Name=
  • userFilter3Value=
  • filterValueDelimiter=~

Benutzer mit postalCode = 78045 oder 12204

mit benutzerdefiniertem Trennzeichen ##

  • userFilter1Name=postalCode
  • userFilter1Value=78045##12204
  • userFilter2Name=
  • userFilter2Value=
  • userFilter3Name=
  • userFilter3Value=
  • filterValueDelimiter=##

Benutzer mit managerUid = 17981 oder 17854

und managerLogin = DINORAH.PREWITT oder JOELLA.SHANNON

  • userFilter1Name=managerUid
  • userFilter1Value=17981~17854
  • userFilter2Name=managerLogin
  • userFilter2Value=DINORAH.PREWITT~SHIRLEY.THOMAS
  • userFilter3Name=
  • userFilter3Value=
  • filterValueDelimiter=~
Hinweis

Bei dem Filterwertnamen und dem Filterwert muss die Groß-/Kleinschreibung beachtet werden. In den Beispielen wäre einer der folgenden Filter ungültig, und es werden keine Ergebnisse zurückgegeben:
  • Beispiel1:
    • userFilter1Name=MANAGERUID
    • userFilter1Value=17981~17854
    • userFilter2Name=managerLogin
    • userFilter2Value=DINORAH.PREWITT~SHIRLEY.THOMAS
  • Beispiel2:
    • userFilter1Name=managerUid
    • userFilter1Value=17981~17854
    • userFilter2Name=managerLogin
    • userFilter2Value=Dinorah.Prewitt~SHIRLEY.THOMAS
    • Beispiel3:
      • USERFilter1Name=managerUid
      • userFilter1Value=17981~17854
      • userFilter2Name=managerLogin
      • userFilter2Value=DINORAH.PREWITT~SHIRLEY.THOMAS
  • Beispiel4:
    • userFilter1Name=managerUid
    • userFilter1Value=17981~17854
    • userFilter2Name=managerLogin
    • USERFILTER2VALUE=DINORAH.PREWITT~SHIRLEY.THOMAS

Unterstützte Konfigurationsmodi für das orchestrierte Oracle Identity Governance-System

Je nach Anforderung für Onboarding-Identitäten, Identitätsattribute und Provisioning-Accounts können Sie verschiedene Konfigurationsmodi einrichten.

Oracle Identity Governance unterstützt Folgendes:

  • Sowohl (Autoritativ - Identitätsquelle) als auch verwaltetes System
  • Sowohl (Autoritativ - Source of Identity-Attribut) als auch verwaltetes System
  • Nur verwaltetes System

Standardabgleichsregeln

Um Konten Identitäten zuzuordnen, wenden Sie die folgenden Abgleichsregeln an.

Informationen zum Aktivieren von Abgleichsregeleinstellungen finden Sie unter Identitäts- und Accountattribute mit Korrelationsregeln abgleichen und Abgleichsregeln.
Modus Standardabgleichsregeln
Autoritative Herkunft User login = Employee user name
Verwaltetes Systeme Wird nicht unterstützt. Der Abgleich basiert auf der UID.