Documentación de Oracle Cloud Infrastructure

Configuración de Event Data Publisher en Oracle Access Governance

Puede publicar los eventos de datos de Oracle Access Governance en su arrendamiento de OCI mediante la función Fuente de datos en la consola de Oracle Access Governance. Primero debe realizar algunas configuraciones preliminares en su arrendamiento y, a continuación, agregar los detalles de conexión en la consola de Oracle Access Governance. Una vez validados los detalles de conexión, el primer evento de datos se publica en el cubo de Object Storage y todas las actualizaciones posteriores se reciben de forma continua y secuencial en el cubo de OCI o en los flujos de OCI.

Requisitos

Puede exportar los datos de Oracle Access Governance al arrendamiento de OCI. Estos son algunos requisitos obligatorios que debe tener en cuenta antes de continuar con la configuración.

  • Debe tener asignado un rol de administrador de Oracle Access Governance AG_Administrator
  • Debe tener un sistema orquestado de Oracle Cloud Infrastructure (OCI) activo integrado con Oracle Access Governance para ver el menú Fuente de datos en Administración de servicios.
  • La instancia de servicio, la cuenta de servicio, el almacenamiento de objetos y otros recursos relacionados de Oracle Access Governance deben residir en la misma región y dominio de identidad.
  • El arrendamiento de la instancia de servicio de Oracle Access Governance puede ser diferente al arrendamiento en el que desea recibir los datos siempre que se encuentren en la misma región.
  • Si la región de sus recursos de OCI es diferente a la región de la instancia de servicio de Oracle Access Governance, replique el dominio de identidad en la región de la instancia de servicio de Oracle Access Governance. Para obtener más información, consulte Replicación de un dominio de identidad en varias regiones.
  • Puede conectar varias instancias de servicio de Oracle Access Governance disponibles en distintos arrendamientos dentro de una región a los mismos recursos de OCI. Esto significa que los datos disponibles en sus distintas instancias de servicio de Oracle Access Governance se pueden recopilar en el mismo bloque y flujo. También puede crear recursos de OCI independientes por instancia de servicio de Oracle Access Governance.
  • Asegúrese de que su cuenta en la nube, incluidos los cubos de Object Storage y los servicios Streaming asociados, tenga suficiente espacio y capacidad antes de exportar tipos de objetos. Revise las cuotas de Object Storage y los límites de los recursos de Streaming de su cuenta para evitar interrupciones durante el proceso.

Configurar arrendamiento de OCI para el publicador de eventos de datos

Para poder utilizar la función de fuente de datos en Oracle Access Governance para publicar sus datos, debe crear algunos recursos de OCI para soportar esto. Debe crear un compartimento, una cuenta de servicio, un grupo de IAM, generar claves de API y un token de autenticación para la cuenta de servicio, crear cubos y flujos de OCI, y asignar las políticas adecuadas para otorgar al grupo y las cuentas de servicio acceso a los recursos relacionados.

Paso 1: Crear un compartimento

Cree un compartimento dedicado a la fuente de datos para que pueda asignar políticas restringidas para acceder a los recursos de este compartimento o modificarlos. Puede omitir el paso si ya tiene un compartimento. Este compartimento debe contener todos los recursos de IAM necesarios (dominio, grupos, usuario), Object Storage (cubos) y Streams para publicar datos de eventos.
  1. Conéctese a la consola de Oracle Cloud Infrastructure como administrador de arrendamiento.
  2. Abra el menú de navegación y seleccione Identity & Security.
  3. En la sección Identidad, seleccione Compartimentos.
  4. Seleccione Crear compartimento y agregue el nombre y la descripción del compartimento.
  5. Confirme y seleccione el botón Crear compartimento.
Compartimento: data-feed-compartment.

Para obtener más información, consulte Para crear un compartimento.

Paso 2: Crear un Nuevo Dominio

Cree un nuevo dominio dedicado para la fuente de datos en el compartimento creado en el Step 1.
  1. En su cuenta en la nube de OCI, abra el menú de navegación y seleccione Identidad y seguridad.
  2. En la sección Identidad, seleccione Dominios.
  3. Seleccione el compartimento
  4. Seleccione Crear dominio e introduzca los detalles básicos, como el nombre y la descripción.
  5. En el panel izquierdo, en la lista Compartimento, seleccione el compartimento creado en el Paso 1.
  6. Puede seleccionar el dominio por defecto o crear un nuevo dominio.

Para obtener más información, consulte Creación de dominio de identidad.

Dominio: domain-feed-domain

Paso 3: Crear grupo de IAM

  1. En la consola de OCI, abra el menú de navegación y seleccione Identidad y seguridad -> Dominios.
  2. Seleccione el dominio creado para las operaciones de alimentación de datos.
  3. En el panel izquierdo, seleccione Grupos. Se muestra una lista de los grupos disponibles en el dominio.
  4. Introduzca la siguiente información:
    • Nombre: introduzca el nombre del grupo.
    • Descripción: introduzca información descriptiva sobre el grupo.
  5. Seleccione la casilla de control user can request access (el usuario puede solicitar acceso).
  6. Seleccione Crear.
Grupo de IAM: writer_access_group

Paso 4: Crear una cuenta de servicio agregando un usuario de identidad

Cree un nuevo usuario de identidad para la cuenta de servicio. A este usuario se le proporciona acceso restringido a través de políticas y Oracle Access Governance solo lo utiliza para el acceso programático a los recursos de OCI. Asigne este usuario de servicio al grupo de IAM creado en el paso 3.

  1. En la consola de OCI, abra el menú de navegación y seleccione Identidad y seguridad -> Dominios.
  2. Seleccione el dominio creado para las operaciones de alimentación de datos.
  3. En el panel izquierdo, seleccione Usuarios. Se muestra una lista de los usuarios disponibles en el dominio.
  4. Introduzca el nombre, apellido, nombre de usuario o dirección de correo electrónico.
  5. Seleccione el grupo de IAM al que asignar el usuario al grupo de identidades.
  6. Seleccione Crear.

Paso 5: Crear clave de API

Cree claves de API para establecer una autenticación segura entre la cuenta de usuario en la nube y el servicio Oracle Access Governance. Con esta cuenta de servicio, permite al servicio realizar las operaciones adecuadas en los recursos de OCI.

  1. En la página de usuario de la cuenta de servicio, en el panel izquierdo, en la sección Recursos, seleccione Claves de API.
  2. Seleccione el botón Agregar clave de API y, a continuación, Generar par de claves de API.
  3. Descargar la clave pública y la clave privada.
  4. Haga clic en Agregar. El archivo de configuración se crea mostrando los detalles de ocid, fingerprint, tenancy y region.
  5. Abra el archivo de clave privada (extensión .pem) con cualquier editor de texto y guarde la información disponible en el archivo. Esto lo necesitará para configurar la función de editor de datos en Oracle Access Governance.

Paso 6: Generar token de autenticación

Los tokens de autenticación son tokens de autenticación generados por Oracle para autenticar y autorizar al usuario de la cuenta de servicio a interactuar con los recursos de OCI.

  1. En la página de usuario de la cuenta de servicio, en el panel izquierdo, en la sección Recursos, seleccione Tokens de autenticación.
  2. Haga clic en el botón Generar token.
  3. En la ventana Generar token, introduzca una descripción y, a continuación, haga clic en Generar token.

Se genera el token. Copie el token mostrado y guárdelo en una ubicación segura. Esto lo necesitará para configurar la función de evento de editor de datos en Oracle Access Governance.

Paso 7: Crear un nuevo flujo

Oracle Access Governance publicará los juegos de datos menores que 1 MB en sus flujos de OCI. Por lo general, todos los eventos del día N, con actualizaciones de tamaño pequeño, se publicarán en el servicio de transmisión configurado en su arrendamiento.

  1. En la consola de OCI, abra el menú de navegación y seleccione Analytics & AI.
  2. En la sección Mensajería, seleccione Flujo.
  3. Introduzca un nombre de flujo único.
  4. Seleccione el compartimento específico del editor de datos.
  5. Para el pool de flujos, seleccione crear automáticamente un pool de flujos por defecto o crear su propio pool de flujos.
  6. En la sección Definir configuración de flujo:
    1. En el campo Retención (en horas), introduzca un número del 24 al 168 para retener mensajes en este flujo. Puede elegir introducir cualquier número. Sin embargo, se recomienda introducir el número máximo, que es de 168 horas.
    2. Introduzca el número de particiones que desea crear en el flujo. El límite máximo depende de los límites de su arrendamiento.
  7. Haga clic en Crear. Se crea el nuevo flujo de mensajes.

Para obtener más información, consulte Creación de un flujo.

Guardar detalles de flujo

Una vez creado, seleccione el enlace de nombre de flujo para ver sus detalles. Para configurar el flujo en Oracle Access Governance, copie y guarde los siguientes detalles relacionados con el flujo:
  • Nombre de Flujo
  • Punto final de mensaje
  • OCID de flujo
Para el pool de flujos, siga los pasos para ver y guardar la información:
  1. En la página Stream details, seleccione el enlace Stream Pool.
    • Copie y guarde el OCID del pool de flujos.
    • Para ver el enlace del servidor de inicialización de datos:
      1. En el panel izquierdo, en la sección Recursos, seleccione Configuración de conexión de Kafka.
      2. En la sección Configuración de conexión de Kafka, copie y guarde el enlace Servidores de inicialización de datos.

Paso 8: Crear un nuevo cubo de Object Storage

Oracle Access Governance publicará el evento de datos inicial en el cubo de Object Storage. Las actualizaciones regulares con datos mayores que 1 MB se publicarán en cubos.

  1. En la consola de OCI, abra el menú de navegación y seleccione Storage.
  2. En la sección Object Storage & Archive Storage, seleccione Buckets.
  3. Seleccione el compartimento específico del editor de datos y, a continuación, haga clic en Crear cubo.
  4. En la ventana Crear cubo, introduzca los detalles del cubo.
  5. Seleccione la casilla de control Activar Control de Versiones de Objeto.
  6. Haga clic en Crear. Se crea el nuevo flujo de bloques.
Para obtener más información, consulte Creación de un cubo de Object Storage. Guarde el nombre del cubo y el espacio de nombres. Los necesitará para configurar la función de editor de eventos de datos en Oracle Access Governance.
Nombre de cubo: Data-event-publisher-bucket

Paso 9: Configurar políticas para Data Event Publisher

Tendrá que configurar políticas de IAM para permitir que Oracle Access Governance Data Event Publisher acceda a los recursos de OCI.

  1. En la consola de OCI, abra el menú de navegación y seleccione Identidad y seguridad y, a continuación, Políticas.
  2. En Identidad, seleccione Políticas.
  3. Introduzca el nombre y la descripción significativa.
  4. En la sección Editor de políticas, utilice el botón de alternancia para cambiar al editor manual.
  5. Introduzca las sentencias de política de la siguiente forma:
    Allow group '<domain-name>'/'<group-name>' to use stream-push in compartment <compartment-name> where target.stream.id 
          = '<stream-OCID>'

    Allow group '<domain-name>'/'<group-name>' to manage object-family in compartment <compartment-name> where target.bucket.name
          = '<bucket-name>'

    Por ejemplo

    
Allow group 'data-feed-domain'/'writer_access_group' to use stream-push in compartment data-feed-compartment where target.stream.id 
          = 'ocid1.stream.oc1.iad.amaaaaaa1212121212126pc5dc6wjn7xloxga'

    Allow group 'data-feed-domain'/'writer_access_group' to manage object-family in compartment data-feed-compartment where target.bucket.name
          = 'Data-event-publisher-bucket'

Configuración de Valores para Data Publisher en Oracle Access Governance

Puede configurar los valores en la consola de Oracle Access Governance para que empiece a recibir los eventos de datos en su arrendamiento de OCI. Utilice la funcionalidad Fuente de datos para configurar eventos de publicación de datos.

Debe completar la configuración preliminar en su arrendamiento de OCI antes de configurar la funcionalidad de fuente de datos en Oracle Access Governance.

Navegar a la página de fuente de datos

  1. En la consola de Oracle Access Governance, seleccione el icono del menú de navegación y, a continuación, seleccione Administración de servicios.
  2. Seleccione Fuente de datos.

Activar la acción de fuente de datos

  1. En la página Fuente de datos, en el menú Acciones, seleccione Gestionar configuración.
  2. Seleccione en la opción ¿Desea activar la Fuente de Datos?. Verá los campos de configuración para introducir detalles.
  3. Seleccione la casilla de control Activar tipos de dato para recibir eventos de datos en los flujos de OCI o en el almacenamiento de cubos de OCI.
  4. Seleccione la casilla de control Activar eventos de auditoría para recibir eventos de auditoría en el flujo de OCI. La misma configuración de flujo se utilizaría para enviar eventos de auditoría como eventos de datos.

Agregar detalles de cubo de OCI Object Storage

Introduzca los detalles del cubo de OCI. Obtendrá la información necesaria a partir de los detalles del cubo creados en su arrendamiento de OCI. Para obtener más información, consulte el Paso 5: Crear claves de API y la Configuración del arrendamiento de OCI para Data Event Publisher.
  1. En el campo ¿En qué región está el cubo?, introduzca el identificador de región en el que ha creado el cubo. Por ejemplo, para la región Ashburn, introduzca us-ashburn-1. Puede ver el nombre de la región en el menú de navegación superior de la consola de OCI y el identificador de región correspondiente en Regiones y dominios de disponibilidad.
  2. En el campo ¿En qué espacio del nombre se encuentra el cubo?, introduzca el espacio del nombre del cubo. Para obtener más información, consulte Obtención de detalles de un cubo de Object Storage.
  3. En el campo ¿Cuál es el nombre del cubo?, introduzca el nombre del cubo.
  4. En el campo ¿Cuál es el OCID de arrendamiento?, introduzca el OCID de arrendamiento. Puede ver los detalles del arrendamiento en su perfil de cuenta en la nube o desde el archivo de configuración. Para obtener más información, consulte Obtención de detalles de mi perfil.
  5. En el campo ¿En qué región está el usuario?, introduzca el identificador de región de usuario de la cuenta de servicio. Obtendrá los detalles en el archivo de configuración. Para obtener más información, consulte Creación de claves de API.
  6. En el campo ¿Cuál es el OCID del usuario?, introduzca el OCID de la cuenta de servicio. Obtendrá los detalles en el archivo de configuración. Para obtener más información, consulte Creación de claves de API.
  7. En el campo ¿Cuál es la huella del usuario?, introduzca el valor de la huella. Obtendrá los detalles en el archivo de configuración. Para obtener más información, consulte Creación de claves de API.
  8. En el campo What is the user's private SSH key? (¿Cuál es la clave SSH privada del usuario?), copie y pegue el contenido del archivo PEM, empezando por -----BEGIN PRIVATE KEY----- en -----END PRIVATE KEY-----. Debe tenerlo descargado al crear las claves de API para la cuenta de servicio. Para obtener más información, consulte Creación de claves de API.

Agregar detalles de flujo y pool de flujos de OCI

  1. En el campo ¿Qué es el token de autenticación?, introduzca el valor del token de autenticación de usuario. Para obtener más información, consulte Configuración del arrendamiento de OCI para Data Event Publisher.
  2. En el campo ¿Qué arrendamiento?, introduzca el nombre del arrendamiento. Puede ver los detalles del arrendamiento en su perfil de cuenta en la nube. Para obtener más información, consulte Obtención de detalles de mi perfil.
  3. En el campo ¿Cuál es el nombre de usuario?, introduzca el nombre de usuario de la cuenta de servicio con el prefijo de nombre de dominio con el formato <domain-name/user name>. Por ejemplo, si el nombre de dominio es data-pub y el nombre de usuario de la cuenta de servicio es john.doe, introduzca data-pub/john.doe.
  4. En el campo ¿Qué es el punto final de mensaje?, introduzca el punto final de mensaje sin el valor https o del servidor de inicialización de datos. Para obtener más información, consulte Detalles de Streaming.
  5. En el campo ¿Cuál es el nombre del tema?, introduzca el nombre del flujo. Para obtener más información, consulte Detalles de Streaming.
  6. En el campo Definición del OCID de pool de flujos, introduzca el OCID de pool de flujos. Para obtener más información, consulte Detalles de Streaming.
    Consejo

    Introduzca el OCID del pool de flujos y no el OCID del flujo.
  7. Haga clic en Guardar. Se guardan los detalles de configuración. Si hay errores de validación, debe resolverlos antes de guardar los detalles.
  8. En Acciones, haga clic en Publicar datos ahora. Aparecerá un mensaje de confirmación y, a continuación, haga clic en Publicar.
Una vez publicados los datos, el estado de publicación junto con la fecha y la hora se muestran en la consola de Oracle Access Governance. Según el tamaño de los datos, puede tardar un par de minutos en publicar todos los datos. Una vez completado, verá el estado de finalización en la consola con el mensaje "A data publish is successfully on <Date> <Time> by <Administrator Email Address>". En el cubo de OCI, debería ver varios archivos de eventos en la carpeta json.

Puede consumir mensajes de OCI Stream mediante dos métodos diferentes: el cliente Java de Kafka y el SDK de OCI. Cada método sigue un proceso de descodificación distinto para una correcta interpretación del mensaje.

  • Uso del SDK de OCI: debe descodificar la clave del mensaje de flujo una vez y el valor dos veces.

  • Uso del cliente Java de Kafka: solo tiene que decodificar el valor del mensaje de flujo una vez y no se necesita descodificación para la clave.