Integracja z aplikacją Oracle Identity Manager

Produkt Oracle Identity Manager umożliwia scentralizowanie w siedzibie definicji użytkowników i reguł dotyczących haseł w celu zarządzania nimi oraz ich wdrażania w zestawie produktów używanych w przedsiębiorstwie. Gdy pracownik dołącza do organizacji, zmienia nazwisko lub opuszcza organizację, wymagane jest odpowiednie zarządzanie bezpieczeństwem jego danych w całym przedsiębiorstwie. Moduł Oracle Identity Manager umożliwia tworzenie użytkowników i zarządzanie ich danymi w centralnej lokalizacji.

Integracja ma na celu umożliwienie tworzenia, obsługi i usuwania użytkowników w produkcie do zarządzania identyfikacją. Służy również do synchronizowania tego rodzaju zmian danych użytkowników zdefiniowanych w aplikacji. Kolejne sekcje zawierają dodatkowe szczegóły integracji dotyczące kroków konfiguracji wymaganych w produkcie bazowym Oracle Utilities Application Framework. Więcej informacji o konfiguracji wymaganej w produkcie do zarządzania identyfikacją zawiera dokument Identity Management Suite Integration.

Aby możliwe było używanie tej funkcjonalności, opcje konfiguracji cechy dla typu cechy Komunikaty zewnętrzne muszą być skonfigurowane.

  • Typ opcji Obsługa wdrażania SPML w przychodzących usługach WWW należy ustawić na wartość prawda.

  • Typ opcji Domyślne zasady zabezpieczeń usługi SPML należy ustawić na odpowiednią wartość zgodnie z regułami wdrożenia.

Funkcja użytkownika szablonu

Obiekt użytkownika w tym produkcie pobiera konfigurację służącą do kontrolowania dostępu, a także preferencji. Produkt do zarządzania identyfikacją pozwala na rozszerzenie tej konfiguracji i pobranie konfiguracji użytkownika specyficznej dla tego produktu. Nie obsługuje jednak wyszukiwania ani list rozwijanych umożliwiających wybór prawidłowych wartości. Na przykład definiowanie strony startowej użytkownika wymaga odwołania do opcji nawigacji. Konfiguracja procesu biznesowego, takiego jak konfigurowanie strony startowej podczas definiowania użytkownika w produkcie do zarządzania identyfikacją, wymaga, aby użytkownik zabezpieczeń wprowadził poprawne odwołanie do opcji nawigacji.

Z drugiej strony zdefiniowanie minimalnej ilości informacji o użytkowniku w produkcie do zarządzania identyfikacją może doprowadzić do dwustopniowego procesu definiowania użytkowników: najpierw należy ich zdefiniować w produkcie do zarządzania identyfikacją przy użyciu podstawowych szczegółów uwierzytelniania, ustawiając systemowe wartości domyślne w niektórych ważnych polach. Następnie po przesłaniu nowego użytkownika w celu dodania go do produktu należy przejść do strony użytkownika w tym produkcie i wypełnić danymi całą konfigurację specyficzną dla tego produktu.

Omawiany produkt zapewnia obsługę definiowania użytkownika szablonu, co może ułatwić definiowanie użytkowników i zmniejszyć niektóre z wyzwań, które wymieniono powyżej. Koncepcja jest następująca:

  • Należy zdefiniować użytkownika szablonu dla każdej szerokiej kategorii użytkowników w systemie. Na przykład w aplikacji Oracle Utilities Mobile Workforce Management można zdefiniować następujących użytkowników szablonu: osoba wysyłająca, pracownik mobilny, administrator systemu i wykonawca. Każdy z tych użytkowników umożliwia zdefiniowanie typowej konfiguracji użytkowników danego typu, w tym strony startowej, grup użytkowników, ról Do wykonania, preferencji portalu itd.

  • Podczas rozszerzania konfiguracji w produkcie menedżera identyfikacji należy odwzorować informacje unikatowe dla użytkownika, a dodatkowo zdefiniować pole użytkownika szablonu. Na przykład można wybrać tylko pobieranie nazwiska (imienia i nazwiska), adresu e-mail oraz ID użytkownika wraz z powiązanym użytkownikiem szablonu (odwzorowanym do charakterystyki użytkownika). Dodatkowe pola do pobierania można uwzględnić w produkcie do zarządzania identyfikacją podczas definiowania nowych użytkowników zgodnie z potrzebami biznesowymi wdrożenia. Jeśli na przykład organizacja działa w wielu strefach czasowych, pewnym ułatwieniem będzie zdefiniowanie strefy czasowej użytkownika podczas definiowania go w produkcie do zarządzania identyfikacją.

  • Gdy dane nowego użytkownika są ładowane do systemu, do tworzenia użytkownika w interfejsie używany jest obiekt biznesowy użytkownika F1–IDMUser. Ten obiekt biznesowy zawiera algorytm wstępnego przetwarzania wyszukujący istniejącego użytkownika szablonu (wysyłanego w postaci typu charakterystyki F1-TMUSR). Wszystkie informacje pochodzące od użytkownika szablonu zostaną skopiowane do nowego rekordu użytkownika, z wyjątkiem informacji przekazanych z menedżera identyfikacji. Dane użytkownika szablonu są pobierane do rekordu nowo utworzonego użytkownika za pośrednictwem charakterystyki dla celów informacyjnych/na potrzeby audytu.

  • Po utworzeniu nowego użytkownika można w razie potrzeby skorygować jego konfigurację. Należy zauważyć, że użytkownik szablonu jest tylko narzędziem używanym podczas dodawania użytkownika. Aktualizacje użytkownika szablonu nie będą miały wpływu na pozostałych użytkowników utworzonych na podstawie tego szablonu.

Konfigurowanie użytkowników szablonu

Przed skonfigurowaniem użytkowników szablonu należy zdefiniować wszystkie administracyjne tabele kontrolne będące częścią konfiguracji użytkownika, w tym strefy czasowe, profile wyświetlania, role Do wykonania, role dostępu do danych i grupy użytkowników.

Kolejnym krokiem jest zdefiniowanie konfiguracji użytkowników systemowych. Podczas tego procesu okaże się, że istnieją szerokie kategorie użytkowników. Można również zaobserwować, że w danej kategorii użytkowników występują różnice w uprawnieniach i preferencjach użytkowników. Na przykład w ramach roli "Pracownik mobilny" mogą istnieć przełożeni, którzy mają większe uprawnienia w zakresie zabezpieczeń niż typowy pracownik mobilny. Dodatkowo mogą występować różnice wynikające z atrybutów samych użytkowników. Jeśli na przykład organizacja działa w wielu strefach czasowych, część pracowników może być zatrudnionych w jednej strefie czasowej, a część w innej.

W takiej sytuacji użytkownicy odpowiedzialni za zabezpieczenia i projektujący procedury tworzenia użytkowników mogą podjąć decyzje w następujących kwestiach:

  • Jakie informacje o nowym użytkowniku będą pobierane w systemie identyfikacji (poza spodziewanymi informacjami, takimi jak nazwisko, adres e-mail i ID użytkownika)? W przypadku wielu stref czasowych być może najlepszym rozwiązaniem będzie pobieranie strefy czasowej podczas definiowania użytkownika.

    Jakie informacje są określone w rekordzie użytkownika szablonu oraz ilu użytkowników szablonu należy utworzyć, aby zmniejszyć potrzebę działań ręcznych lub pobierania dodatkowych danych w systemie zarządzania identyfikacją? W przypadku wielu stref czasowych mnożenie użytkowników szablonu w taki sposób, aby jeden był ustawiony dla jednej strefy czasowej, a drugi dla innej, może nie mieć uzasadnienia, ponieważ jest to jedno pole, które może mieć różne wartości. Natomiast sensowne byłoby utworzenie dodatkowych szablonów w przypadku różnic w poziomach uprawnień pracowników innej kategorii. Zatem zamiast użytkowników szablonu, takich jak osoba wysyłająca, pracownik mobilny, administrator systemu i wykonawca, można w organizacji zdefiniować następujących użytkowników szablonu: osoba wysyłająca, pracownik mobilny, pracownik mobilny (przełożony), administrator systemu, wykonawca (krótkoterminowy) i wykonawca (długoterminowy).

    Jakie informacje należy skonfigurować w rekordzie użytkownika w aplikacji po dodaniu użytkownika? Jeśli tylko w przypadku niewielkiej liczby użytkowników występują różnice względem innych użytkowników, najprostszym sposobem przetworzenia tych różnic jest ręczna aktualizacja konkretnych rekordów użytkowników. Uwzględniając powyższe przykłady:

    • Jeśli organizacja obejmuje dwie strefy czasowe, ale tylko niewielka grupa osób pracuje w jednej z nich, natomiast ogromna większość użytkowników jest zatrudnionych w innej strefie czasowej, najłatwiej jest zdefiniować użytkowników szablonu dla głównej strefy czasowej i użyć ich do utworzenia wszystkich użytkowników. Następnie w przypadku mniejszej grupy użytkowników pracujących w innej strefie czasowej należy przejść do strony "Użytkownik", aby skorygować strefę czasową po dodaniu rekordu.

    • Jeśli tylko niewielka liczba pracowników mobilnych to przełożeni z oddzielnymi uprawnieniami, zamiast definiować specjalnego użytkownika szablonu dla tego typu pracowników, prostszą procedurą jest użycie szablonu "Pracownik mobilny" i przejście do strony "Użytkownik", aby dodać dodatkowe uprawnienia do użytkowników będących przełożonymi po dodaniu rekordu.

Aby utworzyć użytkownika szablonu, należy przejść do pozycji menu Administrator > Zabezpieczenia > Użytkownik.

  • Należy zdefiniować ID użytkownika, który będzie stanowił odwołanie do użytkownika szablonu w systemie zarządzania identyfikacją.

  • Należy upewnić się, że w opcji Typ użytkownika wybrano wartość Użytkownik szablonu.

  • Należy określić wszystkie informacje, które powinny zostać skopiowane do rekordu nowego użytkownika odwołującego się do danego użytkownika jako użytkownika szablonu. Należy zauważyć, że zakładki nie są uwzględniane w danych kopiowanych z rekordu użytkownika szablonu.

Uwaga: W module Oracle Identity Management wymagana jest konfiguracja pobierania danych użytkownika szablonu i wszelkich innych informacji wybranych we wdrożeniu do określenia w produkcie do zarządzania identyfikacją podczas tworzenia nowego użytkownika. Więcej informacji zawiera dokument Identity Management Suite Integration.