Integración de aplicaciones personalizadas con IAM

Supongamos que desea integrar las aplicaciones con un dominio de identidad. Sus aplicaciones son propias o no se muestran en el catálogo de aplicaciones, y no se puede utilizar un puente de AD o un puente de aprovisionamiento como enlace entre sus aplicaciones y un dominio de identidad, pero sí soportan el estándar SCIM.

Al integrar sus aplicaciones personalizadas que soportan el estándar SCIM con un dominio de identidad, puede proporcionar capacidades de aprovisionamiento para sus aplicaciones y sincronizar sus usuarios entre las aplicaciones e IAM.

Anteriormente, era habitual que las aplicaciones tuvieran sus propias API de gestión de usuarios. Puesto que las API de cada aplicación se comportan de una forma determinada, el desarrollador tenía que entender las API específicas de cada aplicación para crear integraciones para las aplicaciones.

Para integrar sus aplicaciones personalizadas con dominios de identidad, Oracle recomienda utilizar el sistema para la gestión de identidades entre dominios (SCIM). SCIM proporciona a los desarrolladores una capa de abstracción. Si las API de las aplicaciones se exponen a través de SCIM, los desarrolladores no tienen que aprender las API asociadas a cada aplicación, ya que el formato JSON de las API es común en todas las aplicaciones.

Además ser una especificación abierta que estandariza la gestión de usuarios y grupos en todas las aplicaciones, SCIM permite la automatización del aprovisionamiento de usuarios y grupos. Puede aprovisionar y sincronizar datos de usuarios y grupos entre varias aplicaciones.

Con SCIM, puede definir puntos finales HTTP para crear, leer, actualizar y suprimir recursos para entidades como los usuarios y los grupos. También puede utilizar SCIM para ampliar los esquemas de los usuarios y los grupos de la compañía. La especificación SCIM define un juego mínimo de atributos para el esquema de usuario, pero este esquema se puede ampliar.

Por ejemplo, supongamos que necesita aprovisionar el atributo personalizado Employee ID desde el esquema de usuario del dominio de identidad a la aplicación personalizada. Puede ampliar el esquema de usuario por defecto, agregar este atributo y asignarlo entre el dominio de identificación y la aplicación. El esquema de usuario del dominio de identidad ahora puede adherirse a los atributos asociados al almacén de identidades de la aplicación personalizada.

La especificación SCIM también define la seguridad de cualquier solicitud que realice mediante puntos finales HTTP. La seguridad se define mediante el uso de un protocolo seguro (HTTPS) para establecer la comunicación entre los puntos finales y las aplicaciones con las que se integra, y requiriendo un token de autorización que se utiliza para acceder a la solicitud y realizar las operaciones asociadas a ella.

Utilice la siguiente tabla para obtener más información sobre la especificación SCIM:

Si observa cómo se creaban las integraciones, los desarrolladores tenían que entender las API expuestas para cada aplicación. No había coherencia en cuanto al modo de representar una identidad en estas aplicaciones.

Con SCIM, ahora hay un estándar común sobre el modo de representar una identidad en cada aplicación. Debido a que todas las aplicaciones cumplen con el formato SCIM, existe un flujo armonioso en lo relativo a cómo se representan estas identidades. Esto facilita la integración con estas aplicaciones para un servicio de gestión de identidad en la nube, como IAM.

Tener un estándar común para representar identidades en aplicaciones mejora la eficiencia y la productividad del trabajo de los desarrolladores, ya que estos no tienen que dedicar tiempo a aprender las API de cada aplicación. Desde el punto de vista corporativo, el tiempo que se tarda en desarrollar una integración de un sistema de identidad a la aplicación se reducirá significativamente. Ahora puede ejecutar automatizaciones para la integración porque existe un estándar en cuanto a cómo puede representar una identidad y cómo se integra con dicha identidad.

Al exponer el almacén de identidades de la aplicación personalizada con una interfaz basada en SCIM, evita tener que desarrollar un conector personalizado entre la aplicación e IAM. Esto puede llevar bastante tiempo, ser costoso y requerir un mantenimiento intensivo en una futura actualización.

SCIM automatiza el proceso de gestión del ciclo de vida de la identidad de usuario y aumenta la seguridad de los datos asociados a los usuarios y los grupos de su compañía.

A medida que crece la compañía, aumentan los usuarios y los grupos. A través de las operaciones diarias de su compañía, puede experimentar situaciones como la rotación de personal o que puedan cambiar las afiliaciones que los usuarios tienen con los grupos de su compañía. Las cuentas de usuario, los grupos y las afiliaciones a grupos de su compañía aumentan considerablemente.

Dado que SCIM es un estándar, los datos de usuarios y grupos de su compañía se almacenan de manera consistente y se pueden comunicar como tal entre diferentes aplicaciones (incluidas sus aplicaciones personalizadas). Puede automatizar el proceso de aprovisionamiento y de anulación del aprovisionamiento y tener la función de IAM como un único punto para gestionar permisos y afiliaciones a grupos. Mediante la transferencia automática de los datos de usuario y grupo de la compañía, puede mitigar el riesgo de errores involuntarios.

Con la implantación de SCIM, mejora la seguridad de la compañía. A través de SSO, los empleados de su compañía ya no tendrán que conectarse a cada una de sus cuentas de forma individual. Puede garantizar el cumplimiento de las políticas de seguridad para los usuarios y su acceso a las aplicaciones de la compañía.

El catálogo de aplicaciones contiene miles de aplicaciones que se integran con IAM. Puede hacer que sus aplicaciones se ejecuten en el entorno local o en la nube, o crear aplicaciones en diferentes sistemas de infraestructura como Amazon Web Services u Oracle Cloud Infrastructure.

IAM debe proporcionar no solo integraciones con las aplicaciones que se muestran en el catálogo de aplicaciones, sino también herramientas para que pueda crear integraciones para sus aplicaciones personalizadas sin desarrollar código.

Con la plantilla de aplicación de SCIM genérica, puede configurar las aplicaciones personalizadas para que las API de SCIM estén expuestas y no tenga que desarrollar ni una sola línea de código. Todo lo que hay que hacer es ir al catálogo de aplicaciones y buscar una plantilla de aplicación gestionada por SCIM. Para utilizar esta plantilla, solo tiene que proporcionar la URL de punto final y los detalles que IAM necesita para conectarse a la aplicación. A continuación, asigne los atributos entre la aplicación y un dominio de identidad.

Con la plantilla de aplicación de SCIM genérica, puede aprovisionar o sincronizar usuarios entre las aplicaciones personalizadas y los dominios de identidad.

En este diagrama, se ha configurado la plantilla de aplicación de SCIM genérica para permitir que IAM se comunique con una aplicación personalizada que tenga una interfaz basada en SCIM. Esta interfaz utiliza puntos finales de API de REST para aprovisionar y sincronizar usuarios entre dominios de identidad y la aplicación personalizada.

Descubra qué hacer en función de si la aplicación personalizada tiene una interfaz basada en SCIM.

Si la aplicación personalizada tiene esta interfaz, puede configurar la plantilla de aplicación de SCIM genérica para aprovisionar usuarios con la aplicación. Consulte Configuración de la plantilla de aplicación de SCIM genérica.

Si la aplicación personalizada no tiene esta interfaz, puede desarrollar un gateway de SCIM personalizado para que actúe como interfaz entre IAM y la aplicación personalizada. Consulte Desarrollo de un gateway de SCIM personalizado