Oracle Cloud Infrastructure-Dokumentation

Identitätspersonen mit Zugehörigkeiten behandeln

Zugehörigkeiten in Oracle Access Governance ermöglichen es einer einzelnen Identität, mehrere Personas innerhalb des Unternehmens zu haben, die jeweils an ihre eigenen Daten, Accounts und den Zugriff gebunden sind. Es besteht aus einem oder mehreren einfachen oder komplexen Attributen, die vom Autoritativen Quellsystem erkannt werden.

Zugehörigkeiten - Übersicht

Mit Zuordnungen können Administratoren neue Zugehörigkeitsattribute definieren, indem sie bestimmte Identitätsattribute zuordnen und dann Skripte verwenden, um abgeleitete Werte aus dem Quellsystem zu erstellen.

In vielen großen Organisationen (z. B. Universitäten, Regierungen) kann eine einzelne Identität (Person) mehrere Rollen oder Zugehörigkeiten haben, z. B. Student und Fakultätsmitglied zu sein oder zwei verschiedene Tätigkeiten (z. B. Krankenschwester und Hausarzt) auszuüben. Jede Zugehörigkeit kann unterschiedliche Konten/Zugriffe erfordern und muss separat verwaltet werden.

Zugehörigkeiten helfen dabei, komplexe, Array-basierte Attributdaten wie jobData zu vereinfachen und zu trennen, sodass jede Zugehörigkeit und die zugehörigen Attribute für das Provisioning und Reporting an verbundene verwaltete Systeme einfach zu handhaben sind.

Zugehörigkeiten bieten auch einen Mechanismus, um einzelne untergeordnete Attribute aus komplexen Attributen freizugeben, indem entsprechende Zugehörigkeitsattribute definiert werden. Durch Zuordnungsregeln können Sie Werte aus dem komplexen Attribut bestimmten Zugehörigkeitsattributen zuordnen. Außerdem können Verwendungs-Flags nur für diese Zugehörigkeitsattribute aktualisiert und verwaltet werden.

Gilt für : Peoplesoft, Flat File, DBAT und alle zuverlässigen Quellen.

Prozessablauf für mehrere Zugehörigkeiten

So können Sie Zugehörigkeiten auf einer allgemeinen Ebene konfigurieren und verwenden:

Einen schrittweisen Workflow zum Konfigurieren von Zugehörigkeiten finden Sie unter Zugehörigkeiten konfigurieren und verwalten.

  1. Wählen Sie das orchestrierte System, für das Sie eine Zugehörigkeit definieren möchten.
  2. (Optional) Erstellen Sie komplexe Identitätsattribute, die Sie unterstützen möchten.
  3. Fügen Sie Zugehörigkeitsdetails hinzu, indem Sie einen aussagekräftigen Namen angeben.
  4. Nehmen Sie die untergeordneten Identitätsattribute in die Zugehörigkeiten auf.
  5. Fügen Sie Regeln mit Funktionen hinzu, wie user.get, um den Quellwert bereitzustellen.
  6. Zugehörigkeiten validieren und übermitteln.
  7. Vollständiges Dataload ausführen.
  8. Aktivieren Sie Identitäts-Flags für Zugehörigkeiten auf der Seite "Identitätsattribute".
  9. Prüfen Sie Identitätsattribute im unternehmensweiten Browser.

Beispiel für Zugehörigkeiten

Im Folgenden finden Sie ein End-to-End-Beispiel für die Funktionsweise von Zugehörigkeiten. Dabei wird anhand eines Szenarios erläutert, wie das System Verknüpfungen von der Erstellung bis zur endgültigen Attributzuordnung verarbeitet.

Vollständigen Dataload für das orchestrierte System ausführen
Szenario

An einer großen Universität ist eine Person namens Alex beides:

  • Absolvent auf dem Ingenieurcampus
  • Teilzeitlehrer an der Business School

Alex benötigt verschiedene Arten von Zugriff und Konten für jede dieser Rollen. Beispiel:

  • Student: Bibliothekszugriff, E-Mail-Adresse des Studierenden, Kursregistrierung
  • Dozent: E-Mail-Adresse der Fakultät, Zugriff auf Bewertungssystem, Abteilungsressourcen
Im Quellsystem sieht Alex's jobData folgendermaßen aus:
"jobData": [
  {
    "employeeRecord": "0",
    "jobType": "Graduate Student",
    "department": "Engineering",
    "company": "University",
    "fullPartTime": "F",
    "emplStatus": "A",
    "supervisorUid": "dr_brown",
    "lastUpdateTimestamp": "2025-06-01T09:00:00Z"
  },
  {
    "employeeRecord": "1",
    "jobType": "Instructor",
    "department": "Business School",
    "company": "University",
    "fullPartTime": "P",
    "emplStatus": "A",
    "supervisorUid": "prof_wilson",
    "lastUpdateTimestamp": "2025-06-05T09:00:00Z"
  }
]

Schritt 1: Affiliation Builder einrichten

Erstellen Sie als Administrator zwei Zugehörigkeiten für dieses Szenario:
  • PrimaryJobAffiliation: Filtert employeeRecord == '0' (Graduate Student)
  • SecondaryJobAffiliation: Filtert employeeRecord == '1' (Dozent)

Schritt 2: Attribute in den Beziehungen hinzufügen

Nehmen Sie die folgenden Attribute in beide Zugehörigkeiten auf:
  • jobType
  • Abteilungen
  • company
  • fullPartTime
  • emplStatus
  • supervisorUid
  • lastUpdateTimestamp

Schritt 2: Skript zum Extrahieren von Jobs definieren

Das folgende Skript ruft jobbezogene Daten aus den benutzerdefinierten Attributen einer Identität ab und ordnet sie basierend auf der Mitarbeiterdatensatznummer der Variablen PrimaryJobAffiliation oder SecondaryJob1Affiliation zu.

var jobDataList = user.getCustomAttributes() ? user.getCustomAttributes()['jobData'] : null;

function getJobByRecord(recordNum) {
    if (jobDataList != null) {
        for (var i = 0; i < jobDataList.length; i++) {
            if (jobDataList[i]['employeeRecord'] == recordNum) {
                return jobDataList[i];
            }
        }
    }
    return null;
}

var primaryJob   = getJobByRecord("0"); // Graduate Student
var secondaryJob = getJobByRecord("1"); // Instructor

function mapJobToAffiliation(job, affiliationPrefix) {
    if(job != null){
        return {
            [affiliationPrefix + "jobType"]:      job['jobType'],
            [affiliationPrefix + "department"]:   job['department'],
            [affiliationPrefix + "company"]:      job['company'],
            [affiliationPrefix + "fullPartTime"]: job['fullPartTime'],
            [affiliationPrefix + "emplStatus"]:   job['emplStatus'],
            [affiliationPrefix + "supervisorUid"]: job['supervisorUid'],
            [affiliationPrefix + "lastUpdateTimestamp"]: job['lastUpdateTimestamp']
        };
    }
    return {};
}

var primaryJobAttrs   = mapJobToAffiliation(primaryJob,   "PrimaryJobAffiliation.");
var secondaryJobAttrs = mapJobToAffiliation(secondaryJob, "SecondaryJobAffiliation.");
Zugehörige Identitätsattribute anzeigen
Im Enterprise-wide Browser sieht das Identitätsprofil von Alex nach der Zuordnung wie folgt aus:
  • PrimaryJobAffiliation.jobType: Hochschulabsolvent
  • PrimaryJobAffiliation.company: Universität
  • PrimaryJobAffiliation.supervisorUid: dr_brown
  • SecondaryJobAffiliation.department: Business School
  • SecondaryJobAffiliation.jobType: Dozent
  • SecondaryJobAffiliation.company: Universität
  • SecondaryJobAffiliation.supervisorUid: prof_wilson

Sie können Affiliations überall dort verwenden, wo Identitätsattribute verwendet werden können, z.B. beim Definieren von Identitäts-Collections, Organisationen und Access Guardrails. Sie können diese Attribute auch bei der Prüfung von Zugriffen oder bei der Änderung von Ereigniszugriffsprüfungen verwenden, sofern aktiviert.