¿Por qué debería integrar sus aplicaciones?
La integración de sus aplicaciones facilita a los usuarios el inicio de sesión con inicio de sesión único y le proporciona un lugar central para gestionar sus permisos. La integración de aplicaciones incluye proteger a los usuarios, proteger los recursos dentro de las aplicaciones y permitir a los usuarios acceder a sus aplicaciones mediante una conexión única (SSO). La integración de las aplicaciones con IAM proporciona al usuario una experiencia ininterrumpida. Debido a la conexión única (SSO), el usuario no tiene que recordar identificadores y contraseñas diferentes para cada aplicación. Cuando las aplicaciones se integran con IAM, la sobrecarga administrativa se reduce considerablemente, ya que puede gestionar las políticas y los usuarios de las aplicaciones desde una ubicación central. Desde el punto de vista del cumplimiento, IAM proporciona una única ubicación en la que puede gestionar el acceso que los usuarios tienen a sus aplicaciones.
Como parte de la integración de aplicaciones, IAM se puede utilizar como proveedor de identidad o como proveedor de servicios para las aplicaciones. Un proveedor de identidad, también conocido como proveedor de afirmación de identidad, proporciona identificadores para los usuarios que desean interactuar con IAM mediante un sitio web externo a IAM. Un proveedor de servicios es un sitio web que aloja aplicaciones. Puede activar un proveedor de identidad y definir uno o más proveedores de servicios. A continuación, los usuarios pueden acceder a las aplicaciones alojadas por los proveedores de servicios directamente desde el proveedor de identidad.
Por ejemplo, un sitio web puede permitir a los usuarios conectarse a IAM con sus credenciales de Google. Google actúa como proveedor de identidad y IAM funciona como proveedor de servicios. Google verifica que el usuario sea un usuario autorizado y devuelve información a IAM (por ejemplo, el nombre de usuario y la dirección de correo electrónico del usuario, si la dirección de correo electrónico difiere del nombre de usuario).
Es posible que algunas aplicaciones requieran que exista una cuenta de usuario en su almacén de identidades local para que el usuario pueda conectarse y acceder a estas aplicaciones.
Si los usuarios no se crean en IAM ni se importan en IAM desde un archivo plano, es necesario sincronizarlos desde un origen autorizado, como una aplicación de R.R. H.H. o un directorio LDAP corporativo. Para este escenario, el origen autorizado y la aplicación deben integrarse con IAM para fines de aprovisionamiento y sincronización.
¿Qué método de integración se debe utilizar?
Utilice el siguiente diagrama de flujo para conocer qué método debe utilizar para integrar la aplicación con IAM.
En este diagrama de flujo, descubrirá qué método debe utilizar para integrar su aplicación con Oracle Identity Cloud Service. ¿Desea sincronizar usuarios con o desde Microsoft Active Directory (AD)? En ese caso, utilice el puente de AD. En caso contrario, ¿desea sincronizar los usuarios de un LDAP como Oracle Internet Directory? En ese caso, utilice el catálogo de aplicaciones y el puente de aprovisionamiento. En caso contrario, ¿aparece la aplicación en el catálogo de aplicaciones? En ese caso, utilice la plantilla del catálogo de aplicaciones para aprovisionar o sincronizar usuarios. En caso contrario, ¿expone la aplicación las API de REST basadas en SCIM para gestionar usuarios? En ese caso, utilice una de las plantillas de SCIM genéricas para aprovisionar o sincronizar usuarios. En caso contrario, desarrolle y despliegue una interfaz REST de SCIM para su aplicación y utilice la plantilla de aplicación de SCIM para aprovisionar o sincronizar usuarios.
Los siguientes escenarios le ayudarán a comprender este diagrama de flujo para fines de sincronización y aprovisionamiento:
Escenarios de sincronización de usuarios
Se puede aplicar uno de los siguientes escenarios al sincronizar usuarios y grupos desde orígenes autorizados:
Una aplicación de RR. HH. como origen autorizado
Cuando una compañía contrata a un empleado, un representante de RR. HH. agrega directamente la información de ese empleado en la aplicación de RR. HH. La aplicación de RR. HH. contiene información sobre el usuario, como el nombre, los apellidos, el rol de puesto y la ubicación del puesto del usuario. Esta información se utiliza para crear una cuenta para el usuario y asignar aplicaciones al usuario. Para este escenario, debe sincronizar su cuenta de usuario con IAM desde la aplicación de RR. HH.
IAM soporta la integración con la aplicación de RR. HH. mediante el catálogo de aplicaciones. Si la aplicación no aparece en el catálogo de aplicaciones, puede crear su propio conector o utilizar la plantilla de aplicación de SCIM genérica. Esta plantilla facilita la configuración de la aplicación personalizada cuando se exponen las API de SCIM. Si la aplicación no expone las API de SCIM, puede desarrollar un gateway de SCIM personalizado para que actúe como una interfaz entre IAM y la aplicación.
Un LDAP corporativo como origen autorizado
Algunos clientes almacenan usuarios y grupos en LDAP, como Microsoft Active Directory (AD) u Oracle Internet Directory. Estos usuarios y grupos se pueden autenticar en IAM mediante SSO. Para que esto ocurra, primero, los usuarios y grupos se deben sincronizar desde LDAP en IAM. Para ello, utilice el puente de Microsoft Active Directory (para AD) o el puente de aprovisionamiento (para Oracle Internet Directory).
Escenario para el aprovisionamiento de usuarios
IAM permite utilizar plantillas de aplicación para aprovisionar usuarios a aplicaciones. En el catálogo de aplicaciones, encontrará una lista de plantillas de aplicación que soportan el aprovisionamiento. Estas plantillas le permiten integrar estas aplicaciones con IAM rápidamente. Si la aplicación no aparece en el catálogo de aplicaciones, utilice la plantilla de aplicación de SCIM genérica.
Ahora que sabe cómo utilizar el diagrama de flujo para seleccionar un método para integrar la aplicación con IAM con fines de aprovisionamiento y sincronización, veamos cada tipo de integración con más detalle.
Integración de IAM con aplicaciones del catálogo de aplicaciones
En esta sección se proporcionan respuestas a las siguientes preguntas para ayudarle a comprender cómo se utiliza el catálogo de aplicaciones para integrar IAM con aplicaciones de software como servicio (SaaS):
Temas:
¿Por qué se debe integrar con las aplicaciones de SaaS?
En los últimos años, los clientes están realizando la transición del sistema de gestión de acceso desde un entorno local a uno basado en la nube. Esto incluye trasladar sus activos (por ejemplo, sus aplicaciones locales) a la nube. Debido a la proliferación en el mercado de aplicaciones de SaaS basadas en la nube, IAM debe poder integrarse con estas aplicaciones. IAM cuenta con integraciones listas para usar para miles de aplicaciones de SaaS. Cuando una integración predefinida no está disponible para una aplicación de SaaS, IAM proporciona juegos de herramientas de SAML y SCIM que permitirán a los clientes integrarla con ella. Al integrar las aplicaciones de SaaS con IAM, dispone de una ubicación central en la que no solo puede gestionar las aplicaciones, sino también el acceso que los usuarios tienen a ellas.
¿Qué es el catálogo de aplicaciones?
El catálogo de aplicaciones es una recopilación de plantillas de aplicación parcialmente configuradas para miles de aplicaciones de SaaS, como Amazon Web Services y Google Suite. Mediante las plantillas, puede definir una aplicación, configurar SSO y configurar el aprovisionamiento. Oracle crea y mantiene el catálogo de aplicaciones, y proporciona instrucciones paso a paso que le ayudarán a configurar sus aplicaciones.
¿Cuáles son las ventajas de utilizar el catálogo de aplicaciones?
El catálogo de aplicaciones incluye integraciones listas para usar para miles de aplicaciones de SaaS. Cuando una aplicación está disponible en el catálogo de aplicaciones, la mayoría de los metadatos que IAM necesita para integrarse con la aplicación ya existen, por lo que no es necesario definirlos. Para la mayoría de las aplicaciones, se tarda menos de cinco minutos en configurarlas para que se puedan integrar con IAM. Todo lo que tiene que hacer es ir al catálogo de aplicaciones, buscar una aplicación, crear una instancia de la aplicación y proporcionar los detalles de conectividad que IAM necesita para comunicarse con ella. Al configurar aplicaciones, IAM cuenta con asistentes guiados que le ayudarán a configurarlas aún más. Esto le proporciona un enfoque coherente al utilizar el catálogo de aplicaciones para integrar sus aplicaciones con IAM.
Uso de puentes para integrar IAM con aplicaciones locales
En esta sección se proporcionan respuestas a las siguientes preguntas para ayudarle a comprender cómo utilizar puentes para integrar IAM con aplicaciones locales, incluido Microsoft Active Directory (AD), un LDAP de empresa (como Oracle Internet Directory) y una aplicación de negocio (como Oracle E-Business Suite) que se utiliza para gestionar y automatizar los procesos relacionados con el negocio:
Temas:
¿Por qué utilizar puentes para integrar IAM con aplicaciones locales?
La mayoría de los clientes tienen Microsoft Active Directory (AD) como servicio de directorios central. Estos clientes también utilizan AD como directorio de red. Este directorio es donde están conectadas todas sus estaciones de trabajo y dónde gestionan sus usuarios.
Además del AD, los clientes utilizan:
- Un LDAP de empresa para centralizar todas sus identidades de usuario. Por lo tanto, un cliente utiliza AD para gestionar a sus empleados, pero en el LDAP centralizado, el cliente gestiona sus partners, consumidores y cualquier otro usuario con el que el cliente tenga relaciones.
- Aplicaciones de negocio para gestionar y automatizar los procesos en toda la empresa. Estos procesos incluyen procesos de gestión de relaciones con el cliente (CRM), planificación de recursos empresariales (ERP) y gestión de cadena de suministro (SCM).
Por estos motivos, es imprescindible que IAM se pueda integrar con el AD, un LDAP de empresa (por ejemplo, Oracle Internet Directory) y una aplicación de negocio local (como Oracle E-Business Suite) para gestionar y automatizar CRM, ERP, SCM y otros procesos del cliente relacionados con el negocio.
¿Cuáles son los tipos de integraciones de aplicaciones locales?
Al utilizar IAM, los clientes pueden controlar cuándo migrarán sus aplicaciones basadas en directorios a la nube. Mientras tanto, pueden utilizar una de las siguientes opciones:
-
Puente de AD: este puente proporciona un enlace entre la estructura de directorios de empresa de AD e IAM. IAM se puede sincronizar con esta estructura de directorios para que los registros de usuarios o grupos nuevos, actualizados o suprimidos se transfieran a IAM. Cada minuto, el puente sondea AD para detectar cualquier cambio realizado en estos registros y lleva estos cambios a IAM. Por lo tanto, si se suprime un usuario en AD, este cambio se propagará a IAM. Debido a esta sincronización, el estado de cada registro se sincroniza entre AD e IAM. Después de sincronizar el usuario de Microsoft Active Directory con IAM, si activa o desactive un usuario, modifique los valores de atributo del usuario o cambie las afiliaciones a grupos para el usuario en IAM. A continuación, estos cambios se propagarán a Microsoft Active Directory a través del puente de AD. Consulte Configuración de un puente de Microsoft Active Directory (AD).
-
Puente de aprovisionamiento: este puente proporciona un enlace entre el LDAP de empresa o la aplicación de negocio local (como Oracle Internet Directory u Oracle E-Business Suite) e IAM. Mediante la sincronización, los datos de cuenta que se crean y actualizan directamente en LDAP o la aplicación de negocio se extraen a IAM y se almacenan para los usuarios y los grupos de IAM correspondientes. Todos los cambios en estos registros se transferirán a IAM. Debido a esto, el estado de cada registro se sincroniza entre el LDAP o la aplicación de negocio y IAM.
Una vez que los usuarios se han sincronizado de la aplicación de negocio local a IAM, también puede utilizar el puente de aprovisionamiento para aprovisionar usuarios a la aplicación. El aprovisionamiento permite utilizar IAM para gestionar el ciclo de vida de los usuarios de la aplicación. Esto incluye la creación, la modificación, la desactivación, la activación y la eliminación de usuarios y sus perfiles en la aplicación. Los cambios que realice en los usuarios o sus perfiles en IAM se propagarán a la aplicación de negocio a través del puente de aprovisionamiento. Consulte Gestión de puentes de aprovisionamiento.