Documentación de Oracle Cloud Infrastructure

Visión General de Identity Orchestration

Identity Orchestration es un marco de Oracle Access Governance que reúne diversos sistemas autorizados y gestionados al admitir integraciones con poco código. Facilita las transformaciones de datos y las reglas de correlación, lo que garantiza la coherencia de los datos, extrae los datos de identidad necesarios de varios sistemas en Oracle Access Governance y realiza la satisfacción mediante el aprovisionamiento de cuentas.

Todo el proceso de orquestación implica:

  • Integración con varios sistemas locales o en la nube mediante la integración con poco código.
  • Extraer o ingerir solo la información necesaria (atributos de identidad, asignaciones de permisos y políticas) en Oracle Access Governance.
  • Transformar y correlacionar los datos ingeridos, tanto atributos de identidad como de cuenta, para crear un perfil de identidad compuesto y la información de cuenta.
  • Procesamiento de los datos de identidad y su uso para controles de acceso, revisiones de acceso, flujos de trabajo, etc.
  • Aprovisionamiento y sincronización de datos entre los sistemas orquestados.

Importancia de la orquestación de identidades: por qué la orquestación de identidades moderna es esencial para su empresa

La orquestación de identidades es crucial para un ecosistema de TI complejo y dinámico que puede incluir la naturaleza distribuida de la infraestructura de TI, las implementaciones en entornos locales, de zona desmilitarizada (DMZ), de múltiples nubes y IoT. Sin esto, las empresas se enfrentan a problemas críticos como la visibilidad limitada de las actividades relacionadas con la identidad, el control de acceso fragmentado, la ineficiencia operativa y una mayor probabilidad de amenazas de seguridad y problemas de cumplimiento.

Los miembros de su empresa pueden utilizar una variedad de sistemas en su rutina diaria, como Oracle HCM para la gestión de recursos, Microsoft Teams como conjunto de colaboración, Oracle CRM para la gestión de clientes, aplicaciones de bases de datos internas y aplicaciones mainframe heredadas. En una configuración tan heterogénea, la orquestación de identidades desempeña un papel vital a la hora de proporcionar un sistema completo y centralizado de gestión y gobernanza de identidades. Permite integrar fácilmente varios sistemas, extraer e ingerir solo los atributos necesarios, crear un perfil de identidad compuesto mediante reglas de correlación y transformación de datos y, por último, activar la satisfacción mediante el aprovisionamiento de cuentas.

La gestión de identidades y sus respectivos accesos requieren una orquestación de identidad y acceso perfecta para una gestión, gobernanza y cumplimiento efectivos del ciclo de vida de la identidad. Los sistemas modernos de Identity Governance, como Oracle Access Governance, ofrecen un sistema holístico de orquestación de identidades que proporciona integraciones con poco código, correlaciones de datos y capacidades de transformación de datos junto con la satisfacción. Esto permite un descubrimiento exhaustivo del acceso, información completa sobre los perfiles de identidad y controles de acceso claramente establecidos, revisiones de acceso y microcertificaciones.

Integraciones en Oracle Access Governance

Oracle Access Governance simplifica la orquestación de identidades al ofrecer una amplia gama de integraciones especializadas y genéricas listas para usar, que requieren configuraciones mínimas.

  • Integraciones especializadas: integraciones para aplicaciones específicas, que proporcionan casos de uso específicos de la aplicación. Por ejemplo, la integración con Oracle Human Capital Management (HCM), Microsoft Entra ID, Microsoft Teams, etc.
  • Integraciones genéricas: integraciones para aplicaciones restringidas o confidenciales, o para aplicaciones con estructuras de datos no soportadas. Puede lograr la integración mediante un archivo plano o una API de Rest genérica, que ofrece flexibilidad y compatibilidad más amplia.

Oracle Access Governance lleva a cabo integraciones a través de API (integración directa) con servicios y sistemas en la nube en dominios públicos o mediante un agente, que es una imagen docker descargable, para sistemas detrás de firewalls. Estos sistemas y aplicaciones se pueden integrar como orígenes autorizados o sistemas gestionados.

Visión General Funcional de Identity Orchestration


Visión General Funcional de Identity Orchestration

Vamos a entender los pasos implicados:
  1. Sincronización de datos de identidad + reglas de correlación + transformación de datos de entrada: en el primer paso, se sincronizan los datos de identidad de orígenes autorizados junto con la ejecución de reglas de correlación y la transformación de entrada en los datos de identidad ingeridos. Aquí es donde se crean las identidades de Oracle Access Governance.
  2. Perfil de identidad + Atributos de identidad: en el segundo paso, se crea un perfil de identidad compuesto mediante la personalización y configuración de atributos de identidad en Oracle Access Governance.
  3. Reglas de correlación + Transformación de datos entrantes + Conciliación de cuentas: en el tercer paso, se ejecutan reglas de correlación y transformación de entrada en los datos de cuentas y permisos ingeridos de los sistemas gestionados. Durante este proceso, las cuentas se concilian con las identidades. Aquí es donde se crean las cuentas de Oracle Access Governance y se utilizan para realizar operaciones de aprovisionamiento.
  4. Ciclo de vida de identidad + Control de acceso + Revisiones de acceso: en el siguiente paso, puede realizar las funciones habituales de Oracle Access Governance, como gestionar el ciclo de vida de identidad, ejecutar revisiones de acceso, configurar controles de acceso y flujos de trabajo de aprobación dentro de Oracle Access Governance.
  5. Transformación de datos salientes + Provisionamiento de cuentas: por fin, Oracle Access Governance soporta transformaciones de datos salientes que utilizan atributos de identidad para definir atributos de cuenta para el aprovisionamiento en los sistemas gestionados. Por ejemplo, la aplicación de valores por defecto a valores nulos o el cambio de formato de un atributo para mantener la coherencia durante todo el proceso de aprovisionamiento.

Origen autorizado y el sistema gestionado

Según el tipo de identidad y los datos de acceso extraídos de sistemas o aplicaciones, Oracle Access Governance separa los sistemas en:

  • Origen autorizado: origen de confianza de los datos de identidad y los atributos de identidad que puede utilizar Oracle Access Governance para cargar y gestionar datos de identidad. Algunos ejemplos pueden ser Oracle Identity Governance, Microsoft Entra ID (anteriormente conocido como Azure Active Directory) o cualquier sistema de recursos humanos para gestionar los datos de identidad y sus atributos, como la dirección de correo electrónico, el nombre de usuario, la ubicación o el departamento.
  • Sistema gestionado: las aplicaciones y los servicios que contienen cuentas y sus respectivos privilegios de acceso, pero no sirven como fuente de confianza de identidades en la información de la empresa, por ejemplo, la gestión de usuarios de Oracle Database, Salesforce y Microsoft Teams. Al establecer un sistema orquestado, Oracle Access Governance gestiona las cuentas de usuario y los permisos de acceso para estas aplicaciones aprovechando los controles de acceso definidos (incluidas las solicitudes de acceso, RBAC, ABAC y PBAC).
  • Origen autorizado y sistema gestionado: los sistemas y las aplicaciones pueden cumplir ambos roles, sirviendo como origen autorizado para los datos de identidad, al tiempo que actúan como sistemas gestionados para controlar el acceso.

Reglas de correlación y transformación de datos

Los principios clave de la orquestación de identidad perfecta incluyen:
  • Reglas de correlación: puede aprovechar las reglas de correlación o coincidencia para que coincidan con los datos de identidad ingeridos de diferentes orígenes autorizados y, por lo tanto, crear un perfil de identidad compuesto. Del mismo modo, durante la ingesta de datos desde sistemas gestionados, pueden existir varias cuentas para una identidad. Puede hacer coincidir los datos de la cuenta con las identidades correspondientes para asociar las cuentas de usuario ingeridas desde sistemas gestionados a la identidad. Por ejemplo, puede hacer coincidir la conexión de usuario procedente del sistema orquestado con el nombre de usuario Employee ingerido en Oracle Access Governance.
  • Transformaciones de datos entrantes: las aplicaciones, ya sean orígenes autorizados o sistemas gestionados, pueden presentar datos en diferentes formatos. Durante el proceso de ingesta de datos de orígenes autorizados a Oracle Access Governance, puede transformar los datos de identidad para mejorar la información del perfil de identidad mediante reglas de transformación de entrada. Por ejemplo, puede que desee concatenar el número de empleado con el nombre para definir un nombre mostrado en Oracle Access Governance. Del mismo modo, durante la ingestión de datos desde sistemas gestionados, puede definir o personalizar datos de cuenta mediante las reglas de transformación de entrada. Por ejemplo, durante el cambio de marca de un producto, puede que desee cambiar el nombre mostrado de la aplicación por otro valor fijo.
  • Transformaciones de datos salientes: Oracle Access Governance ofrece reglas de transformación saliente, en las que se utilizan atributos de identidad para definir atributos de cuenta para el aprovisionamiento de cuentas en los sistemas gestionados. Por ejemplo, puede definir la organización que tiene un valor nulo en algún valor por defecto.

En resumen, Identity Orchestration es una solución independiente del proveedor de Oracle Access Governance para los entornos heterogéneos de hoy en día que funciona con todos los proveedores o servicios de identidad (IDP) líderes para proteger su infraestructura de TI.