Documentación de Oracle Cloud Infrastructure

Configuración de la Integración entre Oracle Access Governance y Microsoft Active Directory

Requisitos

Antes de instalar y configurar un sistema orquestado de Microsoft Active Directory o Microsoft Active Directory Lightweight Directory Services (AD LDS), debe tener en cuenta los siguientes requisitos y tareas.

Crear una cuenta de usuario

Oracle Access Governance requiere que una cuenta de usuario acceda a los sistemas Microsoft Active Directory o Microsoft Active Directory Lightweight Directory Services (AD LDS) durante las operaciones de servicio. Según el sistema que utilice, puede crear el usuario en el sistema gestionado y asignar permisos y roles específicos al usuario.

Creación de una cuenta de usuario para operaciones de sistema orquestadas en Microsoft Active Directory

Para Microsoft Active Directory:

Puede utilizar una cuenta de administrador de Microsoft Windows 2008 Server (controlador de dominio) para las operaciones. También puede crear una cuenta de usuario y asignar los derechos mínimos necesarios a la cuenta de usuario.

Para crear la cuenta de usuario de Microsoft Active Directory para operaciones:

Consulte también: documentación de Microsoft Active Directory para obtener información detallada sobre la realización de este procedimiento.

  1. Cree un grupo (por ejemplo, AGGroup) en el sistema. Al crear el grupo, seleccione Grupo de seguridad como tipo de grupo y Global o Universal como ámbito de grupo.
    Nota

    En una configuración de dominio principal-secundario, cree el grupo en el dominio principal.
  2. Si está configurando el sistema orquestado en modo de sistema gestionado, debe convertir este grupo en miembro del grupo Operadores de cuenta.
  3. Si está configurando el sistema orquestado en modo de sistema gestionado, establezca los siguientes permisos para el grupo Usuarios autenticados en Permitir.
    • Crear todos los objetos secundarios
    • Suprimir todos los objetos secundarios
  4. Asigne todos los permisos de lectura a este grupo. Si hay varios dominios secundarios en el bosque, inicie sesión en cada dominio secundario y agregue el grupo anterior al grupo Operadores de cuentas de cada dominio secundario.
    Nota

    Asigne permisos de lectura en el separador Seguridad del cuadro de diálogo Propiedades de la cuenta de usuario. Esta ficha solo se muestra en la vista Funciones avanzadas. Para cambiar a esta vista, seleccione Funciones avanzadas en el menú Ver de la consola de Microsoft Active Directory.
  5. Cree un usuario (por ejemplo, AGUser) en el sistema de destino. En una configuración de dominio principal-secundario, cree el usuario en el dominio principal.
  6. Convierta al usuario en miembro del grupo (por ejemplo, AGGroup) creado en el paso 1.

Creación de una cuenta de usuario para operaciones de sistema orquestadas en Microsoft Active Directory Lightweight Directory Services (AD LDS)

Para los servicios de directorio ligero de Microsoft Active Directory (AD LDS):

Debe crear y utilizar una cuenta de usuario que sea miembro del grupo Administradores para realizar operaciones.

Para crear la cuenta de usuario de Microsoft Active Directory Lightweight Directory Services (AD LDS) para las operaciones:

Consulte también: documentación de Microsoft Active Directory Lightweight Directory Services (AD LDS) para obtener información detallada sobre la realización de este procedimiento.

  1. Cree una cuenta de usuario en Microsoft Active Directory Lightweight Directory Services (AD LDS).
  2. Defina una contraseña para la cuenta de usuarios.
  3. Active la cuenta de usuario definiendo el campo msDS-UserAccountDisabled en false.
  4. Asegúrese de que los campos msDS-UserDontExpirePassword y ms-DS-UserPasswordNotRequired están disponibles.
  5. Introduzca un valor en el campo userPrincipalName.
    Nota

    El valor debe tener el formato username@domain_name, por ejemplo: OAGuser@example.com.
  6. Agregue el nombre distintivo (DN) del usuario al grupo Administradores.
Nota

Para crear una cuenta de usuario para realizar operaciones en una instancia independiente de Microsoft Active Directory Lightweight Directory Services (AD LDS), siga estos pasos:
  1. Cree una cuenta de usuario en el equipo independiente.
  2. Agregue el usuario recién creado al grupo AD LDS Administrators: CN=Administrators,CN=Roles,DC=X.

Configurar

Puede establecer una conexión entre Microsoft Active Directory y Oracle Access Governance introduciendo los detalles de la conexión. Para ello, utilice la funcionalidad de sistemas orquestados disponible en la consola de Oracle Access Governance.

Navegar a la página Orchestrated Systems

En la página Orchestrated Systems de la consola de Oracle Access Governance se inicia la configuración del sistema orquestado.

Vaya a la página Orchestrated Systems de la consola de Oracle Access Governance siguiendo estos pasos:
  1. En el icono de menú de navegación de Oracle Access Governance Menú de navegación, seleccione Administración de servicios → Sistemas orquestados.
  2. Seleccione el botón Add an Orchestrated system (Agregar un sistema orquestado) para iniciar el flujo de trabajo.

Seleccionar sistema

En el paso Seleccionar sistema del flujo de trabajo, puede especificar qué tipo de sistema desea integrar con Oracle Access Governance.

Puede buscar el sistema necesario por nombre mediante el campo Buscar.

  1. Seleccione Microsoft Active Directory.
  2. Seleccione Next (Siguiente).

Agregar detalles

Agregue detalles como el nombre, la descripción y el modo de configuración.

En el paso Agregar detalles del flujo de trabajo, introduzca los detalles del sistema orquestado:
  1. Introduzca un nombre para el sistema al que desea conectarse en el campo Nombre.
  2. Introduzca una descripción para el sistema en el campo Descripción.
  3. Decida si este sistema orquestado es un origen autorizado y si Oracle Access Governance puede gestionar permisos mediante la definición de las siguientes casillas de control.
    • Este es el origen autorizado de mis identidades

      Seleccione uno de estos procedimientos:

      • Origen de las identidades y sus atributos: el sistema actúa como identidades de origen y atributos asociados. Se crean nuevas identidades a través de esta opción.
      • Solo origen de atributos de identidad: el sistema ingiere detalles de atributos de identidad adicionales y se aplica a las identidades existentes. Esta opción no ingiere ni crea nuevos registros de identidad.
    • Quiero gestionar los permisos de este sistema
    El valor predeterminado en cada caso es No seleccionado.
  4. Seleccione Next (Siguiente).
Nota

El sistema orquestado de Microsoft Active Directory permite gestionar grupos en Microsoft Active Directory mediante la opción Deseo gestionar recopilaciones de identidades para este sistema orquestado. Si se selecciona, esta casilla de control permite gestionar grupos de Microsoft Active Directory desde Oracle Access Governance. Cualquier cambio realizado en los grupos de Microsoft Active Directory se conciliará entre Oracle Access Governance y el sistema orquestado. Del mismo modo, cualquier cambio realizado en Microsoft Active Directory se reflejará en Oracle Access Governance

Agregar Propietarios

Agregue propietarios principales y adicionales al sistema orquestado para permitirles gestionar recursos.

Puede asociar la propiedad de recursos agregando propietarios principales y adicionales. Esto impulsa el autoservicio, ya que estos propietarios pueden gestionar (leer, actualizar o suprimir) los recursos que poseen. Por defecto, el creador del recurso se designa como propietario del recurso. Puede asignar un propietario principal y hasta 20 propietarios adicionales para los recursos.
Nota

Al configurar el primer sistema orquestado para la instancia de servicio, solo puede asignar propietarios después de activar las identidades en la sección Gestionar identidades.
Para agregar propietarios:
  1. Seleccione un usuario activo de Oracle Access Governance como propietario principal en el campo ¿Quién es el propietario principal?.
  2. Seleccione uno o más propietarios adicionales en la lista ¿Quién más los posee?. Puede agregar hasta 20 propietarios adicionales para el recurso.
Puede ver el propietario principal en la lista. Todos los propietarios pueden ver y gestionar los recursos de los que son propietarios.

Configuración de la Cuenta

Describe los detalles de cómo gestionar la configuración de la cuenta al configurar el sistema orquestado, incluida la configuración de notificaciones, y las acciones por defecto cuando una identidad se mueve o abandona la organización.

En el paso Configuración de cuenta del flujo de trabajo, introduzca cómo desea que Oracle Access Governance gestione las cuentas cuando el sistema esté configurado como un sistema gestionado:
  1. Cuando se solicite un permiso y la cuenta no exista, seleccione esta opción para crear nuevas cuentas. Esta opción está seleccionada por defecto. Cuando se selecciona, Oracle Access Governance crea una cuenta si no existe una cuando se solicita un permiso. Si desactiva esta opción, los permisos se aprovisionan solo para las cuentas existentes en el sistema orquestado. Si no existe ninguna cuenta, la operación de aprovisionamiento falla.
  2. Seleccione los destinatarios de los correos electrónicos de notificación cuando se cree una cuenta. El destinatario predeterminado es User (Usuario). Si no se selecciona ningún destinatario, las notificaciones no se envían cuando se crean las cuentas.
    • Usuario
    • Gestor de usuarios
  3. Configuración de cuentas existentes
    Nota

    Solo puede definir estas configuraciones si lo permite el administrador del sistema. Cuando se activa la configuración de cese de cuenta global, los administradores de la aplicación no pueden gestionar la configuración de cese de cuenta en el nivel de sistema orquestado.
    1. Seleccionar qué hacer con las cuentas cuando comience el cese anticipado: seleccione la acción que se debe realizar cuando comience un cese anticipado. Esto sucede cuando necesita revocar los accesos de identidad antes de la fecha de cese oficial.
      • Suprimir: suprime todas las cuentas y permisos gestionados por Oracle Access Governance.
        Nota

        Si un sistema orquestado específico no soporta la acción, no se realiza ninguna acción.
      • Desactivar: desactiva todas las cuentas y desactiva los permisos gestionados por Oracle Access Governance.
        • Suprimir los permisos para las cuentas desactivadas: para garantizar un acceso residual cero, seleccione esta opción para suprimir los permisos asignados directamente y los permisos otorgados por políticas durante la desactivación de la cuenta.
      • Sin acción: no se realiza ninguna acción cuando Oracle Access Governance marca una identidad para su terminación anticipada.
    2. Seleccionar qué hacer con las cuentas en la fecha de cese: seleccione la acción que se debe realizar durante el cese oficial. Esto sucede cuando necesita revocar los accesos de identidad en la fecha de cese oficial.
      • Suprimir: suprime todas las cuentas y permisos gestionados por Oracle Access Governance.
        Nota

        Si el sistema orquestado específico no soporta la acción Suprimir, no se realiza ninguna acción.
      • Desactivar: desactiva todas las cuentas y desactiva los permisos gestionados por Oracle Access Governance.
        • Suprimir los permisos para las cuentas desactivadas: para garantizar un acceso residual cero, seleccione esta opción para suprimir los permisos asignados directamente y los permisos otorgados por políticas durante la desactivación de la cuenta.
        Nota

        Si el sistema orquestado específico no soporta la acción Desactivar, se suprime la cuenta.
      • Sin acción: Oracle Access Governance no realiza ninguna acción en las cuentas y los permisos.
  4. Cuando una identidad abandona la empresa, debe eliminar el acceso a sus cuentas.
    Nota

    Solo puede definir estas configuraciones si lo permite el administrador del sistema. Cuando se activa la configuración de cese de cuenta global, los administradores de la aplicación no pueden gestionar la configuración de cese de cuenta en el nivel de sistema orquestado.

    Seleccione una de las siguientes acciones para la cuenta:

    • Suprimir: suprime todas las cuentas y permisos gestionados por Oracle Access Governance.
    • Desactivar: desactive todas las cuentas y marque los permisos como inactivos.
      • Suprimir los permisos para las cuentas desactivadas: suprima los permisos asignados directamente y otorgados por la política durante la desactivación de la cuenta para garantizar un acceso residual cero.
    • Sin acción: no realice ninguna acción cuando una identidad abandone la organización.
    Nota

    Estas acciones solo están disponibles si están soportadas por el tipo de sistema orquestado. Por ejemplo, si Suprimir no está soportado, solo verá las opciones Desactivar y Sin acción.
  5. Cuando se eliminan todos los permisos de una cuenta, por ejemplo, cuando una identidad se mueve entre departamentos, puede que tenga que decidir qué hacer con la cuenta. Seleccione una de las siguientes acciones, si son compatibles con el tipo de sistema orquestado:
    • Suprimir
    • Desactivar
    • No hay acciones
  6. Gestionar cuentas que no han sido creadas por Access Governance: seleccione esta opción para gestionar cuentas que se hayan creado directamente en el sistema orquestado. Con esto, puede conciliar cuentas existentes y gestionarlas desde Oracle Access Governance.
Nota

Si no configura el sistema como un sistema gestionado, se mostrará este paso del flujo de trabajo, pero no estará activado. En este caso, debe continuar directamente con el paso Configuración de integración del flujo de trabajo.
Nota

Si el sistema orquestado requiere la detección de esquemas dinámicos, al igual que con las integraciones de tablas de aplicación de base de datos y REST genéricas, solo se puede definir el destino de correo electrónico de notificación (Usuario, Usermanager) al crear el sistema orquestado. No puede definir las reglas de desactivación/supresión para los movimientos y los elementos salientes. Para ello, debe crear el sistema orquestado y, a continuación, actualizar los valores de cuenta como se describe en Configure Orchestrated System Account Settings.

Configuración de integración

Introduzca los detalles de la conexión con el sistema Microsoft Active Directory.

  1. En el paso Configuración de integración del flujo de trabajo, introduzca los detalles necesarios para conectarse al sistema Microsoft Active Directory.

    Configuración de integración
    Nombre de parámetro ¿Obligatorio? Descripción
    ¿Cuál es el nombre de host? Nombre de host o dirección IP del directorio que desea integrar con Oracle Access Governance, por ejemplo example.com, 172.20.55.120.
    ¿Cuál es el número de puerto? El valor del número de puerto TCP/IP utilizado para comunicarse con el servidor LDAP. El valor por defecto es 636.
    ¿Cuál es el principal? Nombre distintivo utilizado para la autenticación en el servidor de LDAP.

    Usuario que ha creado en Crear una cuenta de usuario.
    ¿Cuál es la contraseña? Contraseña del nombre distintivo de destino.
    Confirmar contraseña Confirme la contraseña.
    ¿Cuál es el contexto base? Introduzca un contexto base desde el que iniciar las búsquedas de usuarios y grupos. Por ejemplo, OU=new,DC=test,DC=com.
    ¿Filtro de búsqueda por cuenta? No

    Introduzca el filtro de búsqueda LDAP que cada cuenta debe coincidir para que se incluya en los resultados de búsqueda. Algunos de estos ejemplos:

    1. Valor por defecto: objectClass=*
    2. Devuelve todas las cuentas de persona en las que el nombre de la cuenta termina con "a" en el nombre de la cuenta y el tipo de empleado "ADM", use 
      (&(objectCategory=person)(sAMAccountName=*a)(employeeType=ADM))
    3. Devuelve todas las cuentas de usuario clasificadas como "persona" con un tipo de empleado "EMP" o "NON", use
      (&(objectCategory=person)(objectClass=user)(|(employeeType=EMP)(employeeType=NON)))
    ¿Cuál es el servidor de failover? No Introduzca una lista de servidores de failover con el formato <servername>:<port>, <servername>:<port>, ..., por ejemplo, ADExample1:636, ADExample1:636, ....
    SSL activado Asegúrese de que el valor true esté seleccionado.

    A continuación, se muestran los pasos para configurar SSL en el agente:

    1. Utilice JDK para instalar y ejecutar un agente.
    2. Como parte del proceso de instalación del agente, copie cacerts del JDK utilizado para el agente en el directorio de instalación del agente.
    3. Importe el certificado de AD al archivo cacerts anterior mediante el comando
      <%JAVA_HOME%>/bin/keytool -import -alias OIGAD-cert -file <AD-cert-file> -keystore <agent-install-dir>/cacerts
    4. Config.properties debe incluir lo siguiente:
      JAVA_OPTS=-Djavax.net.ssl.trustStore=/app/cacerts-Djavax.net.ssl.trustStorePassword=changeit
    ¿Cuál es el nombre de dominio? Nombre del dominio de Windows, por ejemplo, windowsdomain.mycompany.com.
    ¿Desea utilizar el catálogo global para realizar una búsqueda de objetos en todo el bosque?

    Puede buscar objetos (como usuarios, grupos y recursos) en todo el bosque de Microsoft Active Directory, en lugar de restringir las consultas a un solo dominio.

    • No, no utilice el catálogo global: solo recupera objetos del dominio principal, excluyendo los dominios secundarios del bosque.

    • Sí, usar catálogo global en lugar de SSL: permite la búsqueda en dominios principales y secundarios (bosque completo) mediante una conexión no segura. Esto solo se aplica durante la operación de carga de datos mediante el puerto global 3268.

    • Sí, usar catálogo global en ssl: permite buscar en dominios principales y secundarios (todo el bosque) mediante una conexión segura. Esto solo se aplica durante la operación de carga de datos mediante el puerto global 3269.
    ¿Cuáles son las clases de objetos de cuenta? Clase o clases de objeto que se utilizarán para crear objetos de usuario en el árbol LDAP.
    ¿Cuáles son las clases de objetos de organización? Especifique las clases de objeto para organización, unidad organizativa y contenedor en Microsoft Active Directory.
    ¿Cuál es el nivel de ámbito de la búsqueda ldap?

    • Buscar el objeto base (OBJECT): limita la búsqueda solo al objeto base especificado. Utilice esta opción cuando necesite recuperar o verificar un único objeto de directorio.

    • Buscar secundarios inmediatos de un objeto base (ONE_LEVEL): busca sólo en el contenedor especificado en el contexto base, sin incluir sus contenedores secundarios. Por ejemplo, si la base de búsqueda es OU=abc,DC=corp,DC=com, solo se buscará la UO abc.

    • Buscar todos los objetos secundarios y el objeto base (SUBTREE): busca el objeto base y todos sus descendientes en el directorio. Por ejemplo, si el contexto base está definido en OU=abc,DC=corp,DC=com, la búsqueda abarcará tanto la OU abc como todas las OU secundarias.
    ¿Cuál es el tipo de referencias?

    Una derivación permite que las consultas se enruten a varios servidores LDAP. Esto resulta útil para las operaciones de aprovisionamiento y gestión de cuentas.

    • Ignorar referencias: las referencias no se perseguirán y el aprovisionamiento se realiza solo dentro del dominio principal.

    • Sigue las recomendaciones automáticamente: todas las recomendaciones son perseguidas por la integración de Oracle Access Governance, que admite operaciones de carga y aprovisionamiento de datos en varios subdominios en un solo bosque.

    • Excepción de devolución cuando se encuentra una referencia: seleccione esta opción si alguna referencia devuelta por la consulta LDAP se debe informar como un error.
    ¿Cuáles son los nombres de atributo de destino de tipo de fecha personalizados? No

    Introduzca una lista de nombres de atributos personalizados del sistema de destino que tengan un tipo de sintaxis Large Integer y que requieran transformación en un formato numérico compatible con LDAP.
    ¿Es este un entorno deActive Directory Lightweight Directory Services (AD LDS)? No Active esta casilla de control si la está configurando como una instancia de Active Directory Lightweight Directory Services (AD LDS).

    Por defecto, es false.

    Nota: Hay requisitos para los atributos de esquema en AD LDS. Debe revisar Atributos soportados por defecto.
  2. Seleccione Agregar para crear el sistema orquestado.

Finalizar

Finalice la configuración del sistema orquestado proporcionando detalles sobre si se debe realizar una personalización adicional o activar y ejecutar una carga de datos.

El paso final del flujo de trabajo es Finalizar.

En el paso Finalizar del flujo de trabajo, se le solicita que descargue el agente que utilizará para la interfaz entre Oracle Access Governance y Microsoft Active Directory. Seleccione el enlace Download (Descargar) para descargar el archivo zip del agente al entorno en el que se ejecutará el agente.

Después de descargar el agente, siga las instrucciones que se explican en el artículo Administración de agentes.

Por último, puede elegir si desea configurar aún más el sistema orquestado antes de ejecutar una carga de datos o aceptar la configuración por defecto e iniciar una carga de datos. Seleccione una de las siguientes opciones:
  • Personalizar antes de activar el sistema para cargas de datos
  • Activar y preparar la carga de datos con los valores por defecto proporcionados

Configuración Posterior

No hay pasos posteriores a la configuración asociados a un sistema Microsoft Active Directory.