Oracle Cloud Infrastructure-Dokumentation

Integration mit Oracle APEX konfigurieren

Voraussetzungen

Bevor Sie ein Oracle APEX Orchestrated System installieren und konfigurieren, sollten Sie die folgenden Voraussetzungen und Aufgaben berücksichtigen.

Bevor Sie beginnen

Bevor Sie mit der Konfiguration des REST-Moduls für Oracle REST Data Services (ORDS) für Oracle APEX beginnen, stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind.

  • Zugriff auf ORDS Web Developer UI: Stellen Sie sicher, dass Sie Zugriff auf die ORDS Web Developer UI haben, die über eine URL im Format https://<hostname>/ords/sql-developer zugänglich ist.
  • Administrative Berechtigungen: Sie benötigen einen Account mit Administratorberechtigungen (wie ADMIN) oder einen Benutzer, der für Folgendes autorisiert ist:
    • Datenbankbenutzer erstellen und verwalten
    • Erteilen Sie die erforderlichen REST-Rollen und -Berechtigungen.
    • Aktivieren Sie den REST-Zugriff für Benutzer und Schemas.
  • ORDS-Modulskript abrufen: Stellen Sie sicher, dass Sie Zugriff auf das Skript oracle.ag.sql haben, das zur Registrierung eines REST-Moduls in Oracle ORDS erforderlich ist.

    Sie finden das Skript unter: https://github.com/oracle/docker-images/tree/main/OracleIdentityGovernance/samples/scripts/Oracle_APEX/1.0

ORDS-REST-Modul für Oracle APEX konfigurieren

Nachdem alle Voraussetzungen erfüllt sind, führen Sie die folgenden Schritte aus, um das ORDS-REST-Modul für Oracle APEX zu konfigurieren.

  1. REST-fähigen ORDS-Benutzeraccount erstellen
  2. Oracle REST Data Services-(ORDS-)Modulskript importieren
  3. OAuth 2.0 für ORDS-Modul konfigurieren

REST-fähigen ORDS-Benutzeraccount erstellen

Für Oracle Access Governance ist ein ORDS-Benutzeraccount erforderlich, um während des Servicebetriebs auf das Oracle APEX-System zuzugreifen. Erstellen und richten Sie einen dedizierten Datenbankbenutzer für das Hosting und die Bereitstellung von REST-Modulen mit SQL Developer-Web ein, damit externe Clients sicher auf APIs zugreifen können.

Dieser REST-fähige Datenbankbenutzer führt folgende Aktionen aus:
  • Eigentümer aller REST-Module.
  • Geben Sie den Ausführungskontext für RESTful-API-Aufrufe an.
  • Als Hauptidentität für die bereitgestellten APIs fungieren.
Hinweis

Verwenden Sie keine privilegierten Accounts wie SYS, SYSTEM oder ADMIN, um REST-Module verfügbar zu machen. Erstellen Sie stattdessen immer einen separaten, REST-fähigen Datenbankbenutzer, der als Eigentümer des REST-Moduls dienen soll.

Schritt 1: REST-fähigen ORDS-Benutzeraccount erstellen

  1. Melden Sie sich bei der ORDS Web Developer-UI an, z.B. https://apex.example.com/ords/sql-developer), indem Sie ein Konto mit Administratorberechtigungen wie ADMIN verwenden.
  2. Klicken Sie auf das Symbol für Navigations-MenüNavigationsmenüsymbol, und wählen Sie Administration und dann Datenbankbenutzer aus.
  3. Klicken Sie auf "+ Create User".

    Die Seite Benutzer erstellen wird angezeigt, wobei die Registerkarte Benutzer ausgewählt ist.

  4. Geben Sie die folgenden Informationen ein, um einen REST-fähigen Datenbankbenutzer zu erstellen:
    • Benutzername: Stellen Sie einen Benutzernamen bereit.
    • Kennwort: Geben Sie ein Kennwort ein.
    • Kennwort bestätigen: Bestätigen Sie das Kennwort:
    • Aktivieren Sie REST-, GraphQL-, MongoDB-API- und Webzugriff.
  5. Klicken Sie für die folgenden Rollen auf die Registerkarte Erteilte Rollen:
    CONNECT Wählen Sie Erteilt und Standard.
    RESOURCE Wählen Sie Erteilt und Standard.
    APEX_ADMINISTRATOR_ROLE Wählen Sie Erteilt und Standard.
    ORDS_ADMINISTRATOR_ROLE Wählen Sie Erteilt und Standard.
    Hinweis

    Diese Rollen sind für die sichere Verwaltung von APEX- und ORDS-REST-Modulen unerlässlich.
  6. Klicken Sie auf Create User.

Schritt 2: REST-fähigen ORDS-Servicebenutzeraccount prüfen

Prüfen Sie, ob der ORDS-Benutzer auf der Seite Aktueller Benutzer angezeigt wird, indem Sie die folgenden Schritte ausführen:

  1. Klicken Sie auf das Symbol für Navigations-MenüNavigationsmenüsymbol, und wählen Sie Administration, Datenbankbenutzer aus.

    Die Seite Aktueller Benutzer wird angezeigt.

  2. Suchen Sie nach dem neuen Benutzer.

Oracle REST Data Services-(ORDS-)Modulskript importieren

Erfahren Sie, wie Sie ein REST-Modul in Oracle ORDS registrieren, indem Sie das Skript oracle.ag.sql über den Oracle SQL Developer-Workspace importieren.

REST-Modul in Oracle ORDS registrieren

Um ein REST-Modul in Oracle ORDS zu registrieren, führen Sie die folgenden Schritte aus:

  1. Laden Sie das Skript oracle.ag.sql herunter: Oracle APEX-Modulskript
  2. Melden Sie sich mit dem REST-fähigen ORDS-Servicebenutzeraccount, der im Abschnitt Erstellen eines REST-fähigen ORDS-Benutzeraccounts erstellt wurde, bei der ORDS-Webentwickler-UI an.
  3. Klicken Sie auf das Symbol für das Symbol für Navigations-MenüNavigationsmenü, und wählen Sie SQL aus.

    Die Seite "SQL-Arbeitsblatt" wird angezeigt, auf der Sie das Skript ausführen können.

  4. Öffnen Sie die heruntergeladene Skriptdatei oracle.ag.sql in einem Editor, und kopieren Sie den Inhalt des Skripts.
  5. Fügen Sie im SQL-Arbeitsblattbereich den Skriptinhalt ein.
  6. Klicken Sie auf das Symbol Run Statement, um das Skript auszuführen.

    Im Bereich "Abfrageergebnis" wird eine erfolgreiche Meldung angezeigt.

REST-Modulregistrierung in Oracle ORDS prüfen

Um zu prüfen, ob das REST-Modul erfolgreich mit allen sichtbaren und ausführbaren Vorlagen und Handlern registriert wurde, führen Sie die folgenden Schritte aus:

  1. Klicken Sie auf das Symbol für das Symbol für Navigations-MenüNavigationsmenü, und wählen Sie REST aus. Klicken Sie dann auf die Registerkarte Module.
  2. Klicken Sie auf das Symbol Aktualisieren.

    Das REST-Modul oracle.ag sollte jetzt aufgelistet werden.

  3. Klicken Sie auf das REST-Modul oracle.ag, um zu prüfen, ob alle zugehörigen Vorlagen und Handler verfügbar sind.
    Hinweis

    Die Gesamtanzahl der Vorlagen und Handler, die mit dem REST-Modul verknüpft sind, wird unter dem REST-Modul oracle.ag angezeigt. Sie müssen sicherstellen, dass die Anzahl der Vorlagen und Handler größer als 0 sein muss.
  4. Klicken Sie auf eine registrierte REST-Modulvorlage (z.B. Berechtigungen), und klicken Sie auf das Symbol Navigationsmenü. Wählen Sie dann Bearbeiten aus, um die entsprechenden Handler anzuzeigen.

    Stellen Sie unter Durch Berechtigung geschützt sicher, dass oracle.ag angezeigt wird.

  5. Um zu prüfen, ob die Berechtigung hinzugefügt wurde, klicken Sie auf die Registerkarte Sicherheit, und wählen Sie Berechtigungen aus.

    Auf der Seite Berechtigungen wird das REST-Modul oracle.ag aufgeführt.

OAuth 2.0-Clientzugangsdaten für Oracle REST Data Services-(ORDS-)Modul konfigurieren

Durch die Konfiguration einer OAuth 2.0-basierten Authentifizierung wird sichergestellt, dass bestimmte Benutzer oder Clients sicher auf Ihre REST-Module zugreifen können.

  1. Melden Sie sich mit dem REST-fähigen ORDS-Servicebenutzeraccount, der im Abschnitt Erstellen eines REST-fähigen ORDS-Benutzeraccounts erstellt wurde, bei der ORDS-Webentwickler-UI an.
  2. Klicken Sie auf das Symbol für das Symbol für Navigations-MenüNavigationsmenü, und wählen Sie REST aus.
  3. Wählen Sie auf der Registerkarte Sicherheit die Option OAuth Clients aus.

    Die Seite OAuth Clients wird angezeigt.

  4. Klicken Sie auf + OAuth-Client erstellen, um einen OAuth-Client in ORDS zu erstellen.

    Die Seite OAuth-Client erstellen wird angezeigt.

  5. Geben Sie auf der Registerkarte Clientdefinition die folgenden Informationen ein:
    • Name: Name für den Client.
    • Berechtigungstyp: Wählen Sie in der Liste den Autorisierungsberechtigungstyp als CLIENT_CRED aus.
    • Beschreibung: Eine kurze Beschreibung des Clientzwecks.
    • Support-E-Mail: E-Mail, in der Endbenutzer das Supportteam im Format kontaktieren können. Beispiel: support-team@example.com.
    • Support-URI: Dies ist ein optionales Attribut. Geben Sie den URI ein, über den Endbenutzer den Client zur Unterstützung kontaktieren können. Beispiel: https:// www.example.com/help/.
  6. Wählen Sie auf der Registerkarte Rollen in der Liste Verfügbare Rollen die Option RESTful Services aus, und verschieben Sie sie unter Ausgewählte Rollen, um den Client mit der angegebenen Rolle zu verknüpfen.
  7. Lassen Sie das Feld auf der Registerkarte Zulässige Ursprünge leer.
  8. Wählen Sie auf der Registerkarte Berechtigungen in der Liste Verfügbare Berechtigungen das REST-Modul oracle.ag aus, und verschieben Sie es unter Ausgewählte Berechtigungen, um eine Berechtigung zuzuweisen, die Zugriff auf das ORDS-Modul gewährt, das Sie schützen möchten.
    Hinweis

    Diese Berechtigung wird importiert, wenn Sie das Skript oracle.ag.sql ausführen. Sie wird automatisch dem REST-Modul oracle.ag und den zugehörigen Vorlagen zugeordnet.
  9. Klicken Sie auf Erstellen.

    Der neue registrierte OAuth-Client wird auf der Seite OAuth-Clients angezeigt, und das Dialogfeld Auth-Client wird mit dem Wert "Client Secret" angezeigt.

  10. Verwenden Sie das Symbol In Zwischenablage kopieren, um den Wert für Client Secret zu kopieren, und klicken Sie auf OK.
    Hinweis

    Sie müssen dieses Client Secret sicher speichern, da es nicht erneut angezeigt wird.
  11. Suchen Sie auf der Seite OAuth Clients die Clientkarte OAuth, die Sie im obigen Schritt erstellt haben, um die Client-ID mit dem Symbol In Zwischenablage kopieren zu kopieren.
    Hinweis

    Die Werte für Client-ID und Client Secret stellen die Secret-Zugangsdaten für den OAuth-Client dar. Speichern Sie diese Zugangsdaten sicher für die zukünftige Verwendung.

    Sie können den gesicherten ORDS-REST-Serviceendpunkt jetzt mit einem REST-Client testen.

Konfigurieren

Sie können eine Verbindung zwischen Oracle APEX und Oracle Access Governance herstellen, indem Sie Verbindungsdetails eingeben. Verwenden Sie dazu die in der Oracle Access Governance-Konsole verfügbare orchestrierte Systemfunktionalität.

Zur Seite "Orchestrierte Systeme" navigieren

Auf der Seite "Orchestrierte Systeme" der Oracle Access Governance-Konsole können Sie die Konfiguration des orchestrierten Systems starten.

Navigieren Sie zur Seite "Orchestrierte Systeme" der Oracle Access Governance-Konsole, indem Sie die folgenden Schritte ausführen:
  1. Wählen Sie im Oracle Access Governance-Navigationsmenü symbol Navigationsmenü die Option Serviceadministration → Orchestrierte Systeme aus.
  2. Wählen Sie die Schaltfläche Orchestriertes System hinzufügen, um den Workflow zu starten.

System auswählen

Im Schritt System auswählen des Workflows können Sie angeben, welchen Systemtyp Sie in Oracle Access Governance integrieren möchten.

Mit dem Feld Suchen können Sie das erforderliche System nach Namen suchen.

  1. Wählen Sie Oracle Application Express (APEX) aus.
  2. Klicken Sie auf Weiter.

Details hinzufügen

Fügen Sie Details wie Name, Beschreibung und Konfigurationsmodus hinzu.

Geben Sie im Schritt Details hinzufügen des Workflows die Details für das orchestrierte System ein:
  1. Geben Sie im Feld Name einen Namen für das System ein, mit dem Sie eine Verbindung herstellen möchten.
  2. Geben Sie eine Beschreibung für das System in das Feld Beschreibung ein.
  3. Wählen Sie Weiter.

Eigentümer hinzufügen

Fügen Sie primäre und zusätzliche Verantwortliche zu Ihrem orchestrierten System hinzu, damit diese Ressourcen verwalten können.

Sie können Ressourcenverantwortung zuordnen, indem Sie primäre und zusätzliche Verantwortliche hinzufügen. Dies steuert Self-Service, da diese Eigentümer dann die Ressourcen verwalten (lesen, aktualisieren oder löschen) können, deren Eigentümer sie sind. Standardmäßig wird der Ressourcenersteller als Ressourceneigentümer angegeben. Sie können einen primären Verantwortlichen und bis zu 20 zusätzliche Verantwortliche für die Ressourcen zuweisen.
Hinweis

Wenn Sie das erste orchestrierte System für Ihre Serviceinstanz einrichten, können Sie Eigentümer erst zuweisen, nachdem Sie die Identitäten im Abschnitt Identitäten verwalten aktiviert haben.
So fügen Sie Eigentümer hinzu:
  1. Wählen Sie im Feld Wer ist der primäre Eigentümer? einen aktiven Oracle Access Governance-Benutzer als primären Eigentümer aus.
  2. Wählen Sie einen oder mehrere zusätzliche Eigentümer in der Liste Wer ist Eigentümer? aus. Sie können bis zu 20 zusätzliche Eigentümer für die Ressource hinzufügen.
Sie können den primären Eigentümer in der Liste anzeigen. Alle Verantwortlichen können die Ressourcen anzeigen und verwalten, für die sie verantwortlich sind.

Accounteinstellungen

Gliederungsdetails zur Verwaltung von Accounteinstellungen beim Einrichten des orchestrierten Systems, einschließlich Benachrichtigungseinstellungen und Standardaktionen, wenn eine Identität in Ihre Organisation verschoben oder verlässt.

Geben Sie im Schritt Accounteinstellungen des Workflows ein, wie Oracle Access Governance Accounts verwalten soll, wenn das System als verwaltetes System konfiguriert ist:
  1. Wenn eine Berechtigung angefordert wird und das Konto noch nicht vorhanden ist, wählen Sie diese Option aus, um neue Konten zu erstellen. Diese Option ist standardmäßig aktiviert. Wenn diese Option ausgewählt ist, erstellt Oracle Access Governance einen Account, wenn kein Account vorhanden ist, wenn eine Berechtigung angefordert wird. Wenn Sie diese Option deaktivieren, werden Berechtigungen nur für vorhandene Konten im orchestrierten System bereitgestellt. Wenn kein Account vorhanden ist, verläuft der Provisioning-Vorgang nicht erfolgreich.
  2. Wählen Sie die Empfänger für Benachrichtigungs-E-Mails aus, wenn ein Account erstellt wird. Der Standardempfänger ist Benutzer. Wenn keine Empfänger ausgewählt sind, werden keine Benachrichtigungen gesendet, wenn Accounts erstellt werden.
    • Benutzer
    • Benutzermanager
  3. Vorhandene Accounts konfigurieren
    Hinweis

    Sie können diese Konfigurationen nur festlegen, wenn dies vom Systemadministrator zulässig ist. Wenn die Einstellungen für die globale Accountbeendigung aktiviert sind, können Anwendungsadministratoren die Einstellungen für die Accountbeendigung nicht auf der orchestrierten Systemebene verwalten.
    1. Wählen Sie aus, was mit Konten zu tun ist, wenn die vorzeitige Beendigung beginnt: Wählen Sie die Aktion aus, die ausgeführt werden soll, wenn eine vorzeitige Beendigung beginnt. Dies geschieht, wenn Sie Identitätszugriffe vor dem offiziellen Austrittsdatum widerrufen müssen.
      • Löschen: Löscht alle Accounts und Berechtigungen, die von Oracle Access Governance verwaltet werden.
        Hinweis

        Wenn ein bestimmtes orchestriertes System die Aktion nicht unterstützt, wird keine Aktion ausgeführt.
      • Deaktivieren: Deaktiviert alle Konten und deaktiviert Berechtigungen, die von Oracle Access Governance verwaltet werden.
        • Berechtigungen für deaktivierte Konten löschen: Um einen Restzugriff von Null sicherzustellen, wählen Sie diese Option aus, um direkt zugewiesene Berechtigungen und Policy-berechtigte Berechtigungen bei der Kontodeaktivierung zu löschen.
      • Keine Aktion: Wenn eine Identität von Oracle Access Governance zur vorzeitigen Beendigung gekennzeichnet wird, wird keine Aktion ausgeführt.
    2. Wählen Sie aus, was mit Konten am Austrittsdatum zu tun ist: Wählen Sie die Aktion aus, die während des offiziellen Austritts ausgeführt werden soll. Dies geschieht, wenn Sie Identitätszugriffe am offiziellen Austrittsdatum widerrufen müssen.
      • Löschen: Löscht alle Accounts und Berechtigungen, die von Oracle Access Governance verwaltet werden.
        Hinweis

        Wenn ein bestimmtes orchestriertes System die Aktion Löschen nicht unterstützt, wird keine Aktion ausgeführt.
      • Deaktivieren: Deaktiviert alle Konten und deaktiviert Berechtigungen, die von Oracle Access Governance verwaltet werden.
        • Berechtigungen für deaktivierte Konten löschen: Um einen Restzugriff von Null sicherzustellen, wählen Sie diese Option aus, um direkt zugewiesene Berechtigungen und Policy-berechtigte Berechtigungen bei der Kontodeaktivierung zu löschen.
        Hinweis

        Wenn ein bestimmtes orchestriertes System die Aktion Deaktivieren nicht unterstützt, wird der Account gelöscht.
      • Keine Aktion: Für Accounts und Berechtigungen von Oracle Access Governance wird keine Aktion ausgeführt.
  4. Wenn eine Identität Ihr Unternehmen verlässt, müssen Sie den Zugriff auf ihre Accounts entfernen.
    Hinweis

    Sie können diese Konfigurationen nur festlegen, wenn dies von Ihrem Systemadministrator zulässig ist. Wenn die globalen Einstellungen für die Kontobeendigung aktiviert sind, können Anwendungsadministratoren die Einstellungen für die Kontobeendigung nicht auf der orchestrierten Systemebene verwalten.

    Wählen Sie eine der folgenden Aktionen für den Account aus:

    • Löschen: Löschen Sie alle Accounts und Berechtigungen, die von Oracle Access Governance verwaltet werden.
    • Deaktivieren: Deaktivieren Sie alle Accounts, und markieren Sie Berechtigungen als inaktiv.
      • Berechtigungen für deaktivierte Konten löschen: Löschen Sie direkt zugewiesene und durch Richtlinien erteilte Berechtigungen bei der Kontodeaktivierung, um einen verbleibenden Zugriff zu verhindern.
    • Keine Aktion: Keine Aktion ausführen, wenn eine Identität die Organisation verlässt.
    Hinweis

    Diese Aktionen sind nur verfügbar, wenn sie vom orchestrierten Systemtyp unterstützt werden. Beispiel: Wenn Löschen nicht unterstützt wird, werden nur die Optionen Deaktivieren und Keine Aktion angezeigt.
  5. Wenn alle Berechtigungen für einen Account entfernt werden, z.B. wenn eine Identität zwischen Abteilungen verschoben wird, müssen Sie möglicherweise entscheiden, was mit dem Account zu tun ist. Wählen Sie eine der folgenden Aktionen aus, sofern dies vom orchestrierten Systemtyp unterstützt wird:
    • Löschen
    • Deaktivieren
    • Keine Aktion
  6. Accounts verwalten, die nicht von Access Governance erstellt wurden: Wählen Sie diese Option aus, um Accounts zu verwalten, die direkt im orchestrierten System erstellt werden. Damit können Sie vorhandene Accounts abstimmen und über Oracle Access Governance verwalten.
Hinweis

Wenn Sie das System nicht als verwaltetes System konfigurieren, wird dieser Schritt im Workflow angezeigt, ist jedoch nicht aktiviert. In diesem Fall fahren Sie direkt mit dem Schritt Integrationseinstellungen des Workflows fort.
Hinweis

Wenn Ihr orchestriertes System eine dynamische Schema-Discovery erfordert, wie bei den generischen Integrationen für REST- und Datenbankanwendungstabellen, kann beim Erstellen des orchestrierten Systems nur das Benachrichtigungs-E-Mail-Ziel (Benutzer, Benutzer) festgelegt werden. Sie können die Deaktivierungs-/Löschregeln für Mover und Abgänger nicht festlegen. Dazu müssen Sie das orchestrierte System erstellen und dann die Accounteinstellungen aktualisieren, wie unter Einstellungen für orchestrierte Systemaccounts konfigurieren beschrieben.

Integrationseinstellungen

Geben Sie Details zur Verbindung zu Ihrem Oracle APEX-System ein.

  1. Geben Sie im Schritt Integrationseinstellungen des Workflows die erforderlichen Details ein, damit Oracle Access Governance eine Verbindung zu Ihrem Oracle APEX-System herstellen kann.

    Integrationseinstellungen
    Parametername Obligatorisch? Beschreibung
    Wie lautet der Host? Ja Geben Sie den Hostnamen aus der Oracle APEX-URL ein. Für die URL 
    https://apex.example.com/ords/[base_path]/[context_path]
    Geben Sie apex.example.com/ords/[base_path]/[context_path] ein.
    Wie lautet die Portnummer? Nein Geben Sie den Portnamen ein
    Was ist die Authentifizierungsserver-URL? Ja Geben Sie die OAuth-URL in {{host}}/ords/{{base_path}}/oauth/token ein. Beispiel: https://apex.example.com/ords/admin/oauth/token
    Wie lautet die Client-ID? Ja Geben Sie die Client-ID aus der ORDS-Anwendung ein. Führen Sie die Schritte aus:

    Gehen Sie zu ORDS-Anwendung > Navigationsmenü > REST > Sicherheit > OAuth-Clients

    Was ist das Client Secret? Ja Geben Sie das Client Secret aus der ORDS-Anwendung ein.
    Was ist der APEX-Workspace? Nein Geben Sie den Workspace-Namen in Großbuchstaben ein. Falls angegeben, verwaltet Oracle Access Governance Accounts und Berechtigungen in diesem Workspace. Beispiel: APEXWORK1
  2. Klicken Sie auf Hinzufügen, um das orchestrierte System zu erstellen.

Beenden

Beenden Sie die Konfiguration des orchestrierten Systems, indem Sie Details darüber angeben, ob weitere Anpassungen vorgenommen werden sollen, oder einen Dataload aktivieren und ausführen.

Der letzte Schritt des Workflows ist Fertigstellen.

Sie können wählen, ob Sie das orchestrierte System weiter konfigurieren möchten, bevor Sie einen Dataload ausführen, oder ob Sie die Standardkonfiguration akzeptieren und einen Dataload initiieren möchten. Wählen Sie eine aus:
  • Anpassen und dann das System für Dataloads aktivieren
  • Aktivieren und die Dataload mit den bereitgestellten Standardwerten vorbereiten

Nach Konfiguration

Mit einem Oracle APEX-System sind keine Schritte nach der Konfiguration verknüpft.