Mit Oracle Unified Directory integrieren
Der Oracle Unified Directory-Connector integriert Oracle Access Governance in Oracle Unified Directory. Sie können eine Verbindung zwischen Oracle Unified Directory und Oracle Access Governance herstellen, indem Sie Verbindungsdetails eingeben und den Connector konfigurieren. Verwenden Sie dazu die Funktion Orchestrierte Systeme, die in der Oracle Access Governance-Konsole verfügbar ist.
Vorinstallieren
Bevor Sie ein orchestriertes Oracle Unified Directory-System installieren und konfigurieren, sollten Sie die folgenden Voraussetzungen und Aufgaben berücksichtigen.
Zertifizierte Komponenten
Das System kann einen der folgenden Werte aufweisen:
- Oracle Unified Directory 11g 11.1.1.5.0, 11.1.2.0.0, 11.1.2.2.0 und 11.1.2.3.0
- Oracle Unified Directory 12c 12.2.1.3.0 und 12.2.1.4.0
- Oracle Unified Directory 14c 14.1.2.1.0
Unterstützte Vorgänge (autoritativ)
Das orchestrierte Oracle Unified Directory-System unterstützt die folgenden Vorgänge, bei denen Oracle Unified Directory die zuverlässige Quelle für Identitäten ist:
- Benutzer erstellen
- Benutzer aktualisieren
- Benutzer löschen
- Benutzer aktivieren
- Benutzer deaktivieren
- Kennwort zurücksetzen
- Gruppe oder Organisationseinheit erstellen
- Gruppennamen oder Organisationseinheitennamen aktualisieren
- Gruppe oder Organisationseinheit löschen
- Container-DN aktualisieren
- Gruppen hinzufügen
- Gruppen entfernen
Unterstützte Vorgänge (nicht autoritativ)
Das orchestrierte Oracle Unified Directory-System unterstützt die folgenden Vorgänge, bei denen Oracle Unified Directory ein verwaltetes System ist:
- Benutzer erstellen
- Kennwort zurücksetzen
- Gruppen hinzufügen
- Gruppen entfernen
Systembenutzeraccount für orchestrierte Oracle Unified Directory-Systemvorgänge erstellen
Oracle Access Governance erfordert, dass ein Benutzeraccount während des Servicevorgangs auf das System zugreift. Je nach verwendetem System können Sie den Benutzer in Ihrem System erstellen und dem Benutzer bestimmte Berechtigungen und Rollen zuweisen.
Für Oracle Unified Directory:
Sie müssen ein Systembenutzerkonto erstellen, um die folgenden Funktionen auszuführen.
- Erstellen, ändern und löschen Sie Einträge für die verwalteten Objekte, einschließlich Accounts, Gruppen, Rollen (sofern unterstützt) und Organisationseinheiten (sofern unterstützt).
- Aktualisieren Sie Passwörter für Benutzer.
Erstellen Sie einen Admin-Benutzeraccount im Oracle Unified Directory-System. Einzelheiten dazu finden Sie in den relevanten Abschnitten in den folgenden Abschnitten:
- Oracle Unified Directory 11g: Root-Benutzer konfigurieren
- Oracle Unified Directory 12c: Root-Benutzer konfigurieren
Installieren
Sie können eine Verbindung zwischen Oracle Unified Directory und Oracle Access Governance herstellen, indem Sie Verbindungsdetails eingeben und die OUD-Umgebung konfigurieren. Verwenden Sie dazu die Funktion "Orchestrierte Systeme", die in der Oracle Access Governance-Konsole verfügbar ist.
Zur Seite "Orchestrierte Systeme" navigieren
Navigieren Sie zur Seite "Orchestrierte Systeme" der Oracle Access Governance-Konsole, indem Sie die folgenden Schritte ausführen:
- Wählen Sie im Oracle Access Governance-Navigationsmenü symbol
die Option Serviceadministration → Orchestrierte Systeme aus. - Wählen Sie die Schaltfläche Orchestriertes System hinzufügen, um den Workflow zu starten.
System auswählen
Geben Sie im Schritt System auswählen des Workflows an, welchen Systemtyp Sie integrieren möchten.
- Wählen Sie Oracle Unified Directory aus, und klicken Sie auf Weiter.
Details eingeben
Geben Sie im Schritt Details hinzufügen des Workflows die Details für das orchestrierte System ein:
- Geben Sie im Feld Name einen Namen für das System ein, mit dem Sie eine Verbindung herstellen möchten.
- Geben Sie eine Beschreibung für das System in das Feld Beschreibung ein.
- Entscheiden Sie, ob dieses orchestrierte System eine zuverlässige Quelle ist und ob Oracle Access Governance Berechtigungen verwalten kann, indem Sie die folgenden Kontrollkästchen aktivieren.
-
Das ist die autoritative Quelle für meine Identitäten
Wählen Sie unter folgenden Optionen:
- Quelle der Identitäten und ihrer Attribute: Das System fungiert als Quellidentitäten und zugehörige Attribute. Mit dieser Option werden neue Identitäten erstellt.
- Nur Quelle von Identitätsattributen: Das System nimmt zusätzliche Details zu Identitätsattributen auf und gilt für vorhandene Identitäten. Mit dieser Option werden keine neuen Identitätsdatensätze aufgenommen oder erstellt.
- Ich möchte Berechtigungen für dieses System verwalten
-
Das ist die autoritative Quelle für meine Identitäten
- Wählen Sie Weiter.
Eigentümer hinzufügen
Sie können Ressourcenverantwortung zuordnen, indem Sie primäre und zusätzliche Verantwortliche hinzufügen. Dies steuert Self-Service, da diese Eigentümer dann die Ressourcen verwalten (lesen, aktualisieren oder löschen) können, deren Eigentümer sie sind. Standardmäßig wird der Ressourcenersteller als Ressourceneigentümer angegeben. Sie können einen primären Verantwortlichen und bis zu 20 zusätzliche Verantwortliche für die Ressourcen zuweisen.
Hinweis
Wenn Sie das erste orchestrierte System für Ihre Serviceinstanz einrichten, können Sie Eigentümer erst zuweisen, nachdem Sie die Identitäten im Abschnitt Identitäten verwalten aktiviert haben.
So fügen Sie Eigentümer hinzu:Wenn Sie das erste orchestrierte System für Ihre Serviceinstanz einrichten, können Sie Eigentümer erst zuweisen, nachdem Sie die Identitäten im Abschnitt Identitäten verwalten aktiviert haben.
- Wählen Sie im Feld Wer ist der primäre Eigentümer? einen aktiven Oracle Access Governance-Benutzer als primären Eigentümer aus.
- Wählen Sie einen oder mehrere zusätzliche Eigentümer in der Liste Wer ist Eigentümer? aus. Sie können bis zu 20 zusätzliche Eigentümer für die Ressource hinzufügen.
Accounteinstellungen
Geben Sie im Schritt Accounteinstellungen des Workflows ein, wie Oracle Access Governance Accounts verwalten soll, wenn das System als verwaltetes System konfiguriert ist:
- Wenn eine Berechtigung angefordert wird und das Konto noch nicht vorhanden ist, wählen Sie diese Option aus, um neue Konten zu erstellen. Diese Option ist standardmäßig aktiviert. Wenn diese Option ausgewählt ist, erstellt Oracle Access Governance einen Account, wenn kein Account vorhanden ist, wenn eine Berechtigung angefordert wird. Wenn Sie diese Option deaktivieren, werden Berechtigungen nur für vorhandene Konten im orchestrierten System bereitgestellt. Wenn kein Account vorhanden ist, verläuft der Provisioning-Vorgang nicht erfolgreich.
- Wählen Sie die Empfänger für Benachrichtigungs-E-Mails aus, wenn ein Account erstellt wird. Der Standardempfänger ist Benutzer. Wenn keine Empfänger ausgewählt sind, werden keine Benachrichtigungen gesendet, wenn Accounts erstellt werden.
- Benutzer
- Benutzermanager
- Vorhandene Accounts konfigurierenHinweis
Sie können diese Konfigurationen nur festlegen, wenn dies vom Systemadministrator zulässig ist. Wenn die Einstellungen für die globale Accountbeendigung aktiviert sind, können Anwendungsadministratoren die Einstellungen für die Accountbeendigung nicht auf der orchestrierten Systemebene verwalten.- Wählen Sie aus, was mit Konten zu tun ist, wenn die vorzeitige Beendigung beginnt: Wählen Sie die Aktion aus, die ausgeführt werden soll, wenn eine vorzeitige Beendigung beginnt. Dies geschieht, wenn Sie Identitätszugriffe vor dem offiziellen Austrittsdatum widerrufen müssen.
- Löschen: Löscht alle Accounts und Berechtigungen, die von Oracle Access Governance verwaltet werden.Hinweis
Wenn ein bestimmtes orchestriertes System die Aktion nicht unterstützt, wird keine Aktion ausgeführt. - Deaktivieren: Deaktiviert alle Konten und deaktiviert Berechtigungen, die von Oracle Access Governance verwaltet werden.
- Berechtigungen für deaktivierte Konten löschen: Um einen Restzugriff von Null sicherzustellen, wählen Sie diese Option aus, um direkt zugewiesene Berechtigungen und Policy-berechtigte Berechtigungen bei der Kontodeaktivierung zu löschen.
- Keine Aktion: Wenn eine Identität von Oracle Access Governance zur vorzeitigen Beendigung gekennzeichnet wird, wird keine Aktion ausgeführt.
- Löschen: Löscht alle Accounts und Berechtigungen, die von Oracle Access Governance verwaltet werden.
- Wählen Sie aus, was mit Konten am Austrittsdatum zu tun ist: Wählen Sie die Aktion aus, die während des offiziellen Austritts ausgeführt werden soll. Dies geschieht, wenn Sie Identitätszugriffe am offiziellen Austrittsdatum widerrufen müssen.
- Löschen: Löscht alle Accounts und Berechtigungen, die von Oracle Access Governance verwaltet werden.Hinweis
Wenn ein bestimmtes orchestriertes System die Aktion Löschen nicht unterstützt, wird keine Aktion ausgeführt. - Deaktivieren: Deaktiviert alle Konten und deaktiviert Berechtigungen, die von Oracle Access Governance verwaltet werden.
- Berechtigungen für deaktivierte Konten löschen: Um einen Restzugriff von Null sicherzustellen, wählen Sie diese Option aus, um direkt zugewiesene Berechtigungen und Policy-berechtigte Berechtigungen bei der Kontodeaktivierung zu löschen.
Hinweis
Wenn ein bestimmtes orchestriertes System die Aktion Deaktivieren nicht unterstützt, wird der Account gelöscht. - Keine Aktion: Für Accounts und Berechtigungen von Oracle Access Governance wird keine Aktion ausgeführt.
- Löschen: Löscht alle Accounts und Berechtigungen, die von Oracle Access Governance verwaltet werden.
- Wählen Sie aus, was mit Konten zu tun ist, wenn die vorzeitige Beendigung beginnt: Wählen Sie die Aktion aus, die ausgeführt werden soll, wenn eine vorzeitige Beendigung beginnt. Dies geschieht, wenn Sie Identitätszugriffe vor dem offiziellen Austrittsdatum widerrufen müssen.
- Wenn eine Identität Ihr Unternehmen verlässt, müssen Sie den Zugriff auf ihre Accounts entfernen. Hinweis
Sie können diese Konfigurationen nur festlegen, wenn dies von Ihrem Systemadministrator zulässig ist. Wenn die globalen Einstellungen für die Kontobeendigung aktiviert sind, können Anwendungsadministratoren die Einstellungen für die Kontobeendigung nicht auf der orchestrierten Systemebene verwalten.Wählen Sie eine der folgenden Aktionen für den Account aus:
- Löschen: Löschen Sie alle Accounts und Berechtigungen, die von Oracle Access Governance verwaltet werden.
- Deaktivieren: Deaktivieren Sie alle Accounts, und markieren Sie Berechtigungen als inaktiv.
- Berechtigungen für deaktivierte Konten löschen: Löschen Sie direkt zugewiesene und durch Richtlinien erteilte Berechtigungen bei der Kontodeaktivierung, um einen verbleibenden Zugriff zu verhindern.
- Keine Aktion: Keine Aktion ausführen, wenn eine Identität die Organisation verlässt.
Hinweis
Diese Aktionen sind nur verfügbar, wenn sie vom orchestrierten Systemtyp unterstützt werden. Beispiel: Wenn Löschen nicht unterstützt wird, werden nur die Optionen Deaktivieren und Keine Aktion angezeigt. - Wenn alle Berechtigungen für einen Account entfernt werden, z.B. wenn eine Identität zwischen Abteilungen verschoben wird, müssen Sie möglicherweise entscheiden, was mit dem Account zu tun ist. Wählen Sie eine der folgenden Aktionen aus, sofern dies vom orchestrierten Systemtyp unterstützt wird:
- Löschen
- Deaktivieren
- Keine Aktion
- Accounts verwalten, die nicht von Access Governance erstellt wurden: Wählen Sie diese Option aus, um Accounts zu verwalten, die direkt im orchestrierten System erstellt werden. Damit können Sie vorhandene Accounts abstimmen und über Oracle Access Governance verwalten.
Hinweis
Wenn Sie das System nicht als verwaltetes System konfigurieren, wird dieser Schritt im Workflow angezeigt, ist jedoch nicht aktiviert. In diesem Fall fahren Sie direkt mit dem Schritt Integrationseinstellungen des Workflows fort.
Wenn Sie das System nicht als verwaltetes System konfigurieren, wird dieser Schritt im Workflow angezeigt, ist jedoch nicht aktiviert. In diesem Fall fahren Sie direkt mit dem Schritt Integrationseinstellungen des Workflows fort.
Hinweis
Wenn Ihr orchestriertes System eine dynamische Schema-Discovery erfordert, wie bei den generischen Integrationen für REST- und Datenbankanwendungstabellen, kann beim Erstellen des orchestrierten Systems nur das Benachrichtigungs-E-Mail-Ziel (Benutzer, Benutzer) festgelegt werden. Sie können die Deaktivierungs-/Löschregeln für Mover und Abgänger nicht festlegen. Dazu müssen Sie das orchestrierte System erstellen und dann die Accounteinstellungen aktualisieren, wie unter Einstellungen für orchestrierte Systemaccounts konfigurieren beschrieben.
Wenn Ihr orchestriertes System eine dynamische Schema-Discovery erfordert, wie bei den generischen Integrationen für REST- und Datenbankanwendungstabellen, kann beim Erstellen des orchestrierten Systems nur das Benachrichtigungs-E-Mail-Ziel (Benutzer, Benutzer) festgelegt werden. Sie können die Deaktivierungs-/Löschregeln für Mover und Abgänger nicht festlegen. Dazu müssen Sie das orchestrierte System erstellen und dann die Accounteinstellungen aktualisieren, wie unter Einstellungen für orchestrierte Systemaccounts konfigurieren beschrieben.
Integrationseinstellungen
Geben Sie im Schritt Integrationseinstellungen des Workflows die Konfigurationsdetails ein, die erforderlich sind, damit Oracle Access Governance eine Verbindung zum Ziel-Oracle Unified Directory herstellen kann.
- Geben Sie im Feld Host den Hostnamen oder die IP-Adresse für das Verzeichnis ein, das Sie in Oracle Access Governance integrieren möchten.
- Geben Sie im Feld Port den Wert der TCP/IP-Portnummer ein, die für die Kommunikation mit dem LDAP-Server verwendet wird.
- Geben Sie den Distinguished Name, mit dem Sie sich beim Verzeichnis authentifizieren, in das Feld Administratorbenutzername ein. Dies ist der Benutzer, den Sie unter Zielsystembenutzeraccount für Oracle Unified Directory Orchestrated System Operations erstellen erstellt haben.
- Geben Sie im Feld Kennwort das Kennwort des Ziel-Distinguished Names ein. Bestätigen Sie das Kennwort im Feld Passwort bestätigen.
- Geben Sie im Feld Basiskontexte einen Basiskontext ein, von dem aus die Suche nach Benutzern und Gruppen gestartet werden soll.
- Geben Sie im Feld Failover eine Liste der Failover-Server im Format
<servername>:<port>, <servername>:<port>, ...ein, z.B.OUDExample1:636, OUDExample1:636, ... - Stellen Sie im Feld SSL aktiviert sicher, dass der Wert true ausgewählt ist.
- Aktivieren Sie den rechten Fensterbereich, um Ausgewählte Elemente anzuzeigen. Wenn Sie mit den eingegebenen Details zufrieden sind, wählen Sie Hinzufügen aus, um das orchestrierte System zu erstellen.
Beenden
Der letzte Schritt des Workflows ist Fertigstellen, in dem Sie aufgefordert werden, den Agent für Ihr orchestriertes System herunterzuladen. Nachdem Sie den Agent heruntergeladen haben, können Sie den Agent mit den Anweisungen unter Oracle Access Governance Agent installieren in Ihrer Umgebung installieren und konfigurieren.
Sie können wählen, ob Sie das orchestrierte System weiter konfigurieren möchten, bevor Sie einen Dataload ausführen, oder ob Sie die Standardkonfiguration akzeptieren und einen Dataload initiieren möchten. Wählen Sie eine aus:
- Anpassen und dann das System für Dataloads aktivieren
- Aktivieren und die Dataload mit den bereitgestellten Standardwerten vorbereiten
Nach Installation
Mit einem Oracle Unified Directory-System sind keine Postinstall-Schritte verknüpft.
Referenz
Oracle Access Governance unterstützt die folgenden Oracle Unified Directory-Standardattribute.
| Entität | Oracle Unified Directory-Accountattribut | Oracle Access Governance-Kontoattribut | Oracle Access Governance-Anzeigename |
|---|---|---|---|
| Benutzer | Benutzeranmeldung | UID | Eindeutige ID |
| UID | Name | Benutzername des Mitarbeiters | |
| Vollständiger DN | fullDN | Vollständiger DN | |
| E-Mails | |||
| givenName | firstName | Vorname | |
| initials | middleName | Weitere Vornamen | |
| sn | lastName | Nachname | |
| Manager | managerLogin | Manager | |
| Status | Status | Status | |
| Abteilungsnummer | Abteilungen | Abteilung | |
| l | Standort | Standort |
| Entität | Oracle Unified Directory-Accountattribut | Oracle Access Governance-Kontoattribut | Oracle Access Governance-Anzeigename |
|---|---|---|---|
| Benutzer | NsuniqueID | UID | Eindeutige ID |
| UID | Name | Benutzeranmeldung | |
| Vollständiger DN | fullDn | Vollständiger DN | |
| Kennwort | Kennwort | Kennwort | |
| title | title | Titel | |
| Benutzername | firstName | Vorname | |
| initials | middleName | Weitere Vornamen | |
| sn | lastName | Nachname | |
| ContainerDN | containerDN | Container-DN | |
| E-Mails | emailID | ||
| cn | commonName | Allgemeiner Name | |
| Abteilungsnummer | Abteilungen | Abteilung | |
| l | Standort | Standort | |
| Rufnummer | Telefon | Telefon | |
| Bevorzugte Sprache | Bevorzugte Sprache | Bevorzugte Sprache | |
| Anmeldung ist deaktiviert | loginDisabled | Anmeldung deaktiviert | |
| Status | Status | Status | |
| buildingName | buildingName | Gebäudename | |
| displayName | displayName | Anzeigename | |
| o | organizationName | Organisationsname | |
| homePhone | homePhone | Telefon privat | |
| Mobil | Mobil | Mobil | |
| orclActiveStartDate | startDate | Startdatum | |
| orclActiveEndDate | endDate | Ende am | |
| orclTimeZone | timeZone | Zeitzone | |
| orclGuid | orclGUID | GUID | |
| Gruppenname | Gruppen als Anspruch | Gruppen | |
| Rolle | Rolle als Berechtigung | Rollen |