Integración con Tablas de Aplicaciones de Base de Datos (Oracle)

Requisitos

Antes de instalar y configurar un sistema orquestado de tablas de aplicación de base de datos, debe tener en cuenta los siguientes requisitos y tareas.

El sistema de tablas de aplicaciones de base de datos está certificado con Oracle Access Governance. Consulte Componentes de tablas de aplicación de base de datos certificados para la integración con Oracle Access Governance para obtener más información sobre las versiones soportadas.

Configurar

Puede establecer una conexión entre las bases de datos de los clientes y Oracle Access Governance introduciendo los detalles de la conexión. Para ello, utilice la funcionalidad de sistemas orquestados disponible en la consola de Oracle Access Governance.

Navegar a la página Orchestrated Systems

Vaya a la página Orchestrated Systems de la consola de Oracle Access Governance siguiendo estos pasos:

En el icono de menú de navegación de Oracle Access Governance , seleccione Administración de servicios → Sistemas orquestados.
Seleccione el botón Add an Orchestrated system (Agregar un sistema orquestado) para iniciar el flujo de trabajo.

Seleccionar sistema

En el paso Seleccionar sistema del flujo de trabajo, puede especificar qué tipo de sistema desea incorporar. Puede buscar el sistema necesario por nombre mediante el campo Buscar.

Seleccione Database Application Table (Oracle DB).
Haga clic en Siguiente.

Introducir detalles

En el paso Agregar detalles del flujo de trabajo, introduzca los detalles del sistema orquestado:

Introduzca un nombre para el sistema al que desea conectarse en el campo Nombre.
Introduzca una descripción para el sistema en el campo Descripción.
Decida si este sistema orquestado es un origen autorizado y si Oracle Access Governance puede gestionar permisos mediante la definición de las siguientes casillas de control.
- Este es el origen autorizado de mis identidades
  Seleccione uno de estos procedimientos:
  - Origen de las identidades y sus atributos: el sistema actúa como identidades de origen y atributos asociados. Se crean nuevas identidades a través de esta opción.
  - Solo origen de atributos de identidad: el sistema ingiere detalles de atributos de identidad adicionales y se aplica a las identidades existentes. Esta opción no ingiere ni crea nuevos registros de identidad.
- Quiero gestionar los permisos de este sistema
El valor predeterminado en cada caso es No seleccionado.
Seleccione Next (Siguiente).

Agregar Propietarios

Puede asociar la propiedad de recursos agregando propietarios principales y adicionales. Esto impulsa el autoservicio, ya que estos propietarios pueden gestionar (leer, actualizar o suprimir) los recursos que poseen. Por defecto, el creador del recurso se designa como propietario del recurso. Puede asignar un propietario principal y hasta 20 propietarios adicionales para los recursos.

Nota

Al configurar el primer sistema orquestado para la instancia de servicio, solo puede asignar propietarios después de activar las identidades en la sección Gestionar identidades.

Para agregar propietarios:

Seleccione un usuario activo de Oracle Access Governance como propietario principal en el campo ¿Quién es el propietario principal?.
Seleccione uno o más propietarios adicionales en la lista ¿Quién más los posee?. Puede agregar hasta 20 propietarios adicionales para el recurso.

Puede ver el propietario principal en la lista. Todos los propietarios pueden ver y gestionar los recursos de los que son propietarios.

Configuración de la Cuenta

En el paso Configuración de cuenta del flujo de trabajo, introduzca cómo desea que Oracle Access Governance gestione las cuentas cuando el sistema esté configurado como un sistema gestionado:

Cuando se solicite un permiso y la cuenta no exista, seleccione esta opción para crear nuevas cuentas. Esta opción está seleccionada por defecto. Cuando se selecciona, Oracle Access Governance crea una cuenta si no existe una cuando se solicita un permiso. Si desactiva esta opción, los permisos se aprovisionan solo para las cuentas existentes en el sistema orquestado. Si no existe ninguna cuenta, la operación de aprovisionamiento falla.
Seleccione los destinatarios de los correos electrónicos de notificación cuando se cree una cuenta. El destinatario predeterminado es User (Usuario). Si no se selecciona ningún destinatario, las notificaciones no se envían cuando se crean las cuentas.
- Usuario
- Gestor de usuarios
Configuración de cuentas existentes
Nota

Solo puede definir estas configuraciones si lo permite el administrador del sistema. Cuando se activa la configuración de cese de cuenta global, los administradores de la aplicación no pueden gestionar la configuración de cese de cuenta en el nivel de sistema orquestado.
1. Seleccionar qué hacer con las cuentas cuando comience el cese anticipado: seleccione la acción que se debe realizar cuando comience un cese anticipado. Esto sucede cuando necesita revocar los accesos de identidad antes de la fecha de cese oficial.
  - Suprimir: suprime todas las cuentas y permisos gestionados por Oracle Access Governance.
    Nota
    
    Si un sistema orquestado específico no soporta la acción, no se realiza ninguna acción.
  - Desactivar: desactiva todas las cuentas y desactiva los permisos gestionados por Oracle Access Governance.
    - Suprimir los permisos para las cuentas desactivadas: para garantizar un acceso residual cero, seleccione esta opción para suprimir los permisos asignados directamente y los permisos otorgados por políticas durante la desactivación de la cuenta.
  - Sin acción: no se realiza ninguna acción cuando Oracle Access Governance marca una identidad para su terminación anticipada.
2. Seleccionar qué hacer con las cuentas en la fecha de cese: seleccione la acción que se debe realizar durante el cese oficial. Esto sucede cuando necesita revocar los accesos de identidad en la fecha de cese oficial.
  - Suprimir: suprime todas las cuentas y permisos gestionados por Oracle Access Governance.
    Nota
    
    Si el sistema orquestado específico no soporta la acción Suprimir, no se realiza ninguna acción.
  - Desactivar: desactiva todas las cuentas y desactiva los permisos gestionados por Oracle Access Governance.
    - Suprimir los permisos para las cuentas desactivadas: para garantizar un acceso residual cero, seleccione esta opción para suprimir los permisos asignados directamente y los permisos otorgados por políticas durante la desactivación de la cuenta.
    Nota
    
    Si el sistema orquestado específico no soporta la acción Desactivar, se suprime la cuenta.
  - Sin acción: Oracle Access Governance no realiza ninguna acción en las cuentas y los permisos.
Cuando una identidad abandona la empresa, debe eliminar el acceso a sus cuentas.
Nota

Solo puede definir estas configuraciones si lo permite el administrador del sistema. Cuando se activa la configuración de cese de cuenta global, los administradores de la aplicación no pueden gestionar la configuración de cese de cuenta en el nivel de sistema orquestado.
Seleccione una de las siguientes acciones para la cuenta:
- Suprimir: suprime todas las cuentas y permisos gestionados por Oracle Access Governance.
- Desactivar: desactive todas las cuentas y marque los permisos como inactivos.
  - Suprimir los permisos para las cuentas desactivadas: suprima los permisos asignados directamente y otorgados por la política durante la desactivación de la cuenta para garantizar un acceso residual cero.
- Sin acción: no realice ninguna acción cuando una identidad abandone la organización.
Nota

Estas acciones solo están disponibles si están soportadas por el tipo de sistema orquestado. Por ejemplo, si Suprimir no está soportado, solo verá las opciones Desactivar y Sin acción.
Cuando se eliminan todos los permisos de una cuenta, por ejemplo, cuando una identidad se mueve entre departamentos, puede que tenga que decidir qué hacer con la cuenta. Seleccione una de las siguientes acciones, si son compatibles con el tipo de sistema orquestado:
- Suprimir
- Desactivar
- No hay acciones
Gestionar cuentas que no han sido creadas por Access Governance: seleccione esta opción para gestionar cuentas que se hayan creado directamente en el sistema orquestado. Con esto, puede conciliar cuentas existentes y gestionarlas desde Oracle Access Governance.
No permitir que los usuarios restablezcan contraseñas: seleccione esta opción para evitar que los usuarios restablezcan las contraseñas del sistema orquestado. Si el sistema orquestado no admite la operación de cambio de contraseña, los restablecimientos de contraseña no están disponibles y se muestra un mensaje.

Nota

Si no configura el sistema como un sistema gestionado, se mostrará este paso del flujo de trabajo, pero no estará activado. En este caso, debe continuar directamente con el paso Configuración de integración del flujo de trabajo.

Nota

Si el sistema orquestado requiere la detección de esquemas dinámicos, al igual que con las integraciones de tablas de aplicación de base de datos y REST genéricas, solo se puede definir el destino de correo electrónico de notificación (Usuario, Usermanager) al crear el sistema orquestado. No puede definir las reglas de desactivación/supresión para los movimientos y los elementos salientes. Para ello, debe crear el sistema orquestado y, a continuación, actualizar los valores de cuenta como se describe en Configure Orchestrated System Account Settings.

Configuración de integración

En el paso Configuración de integración del flujo de trabajo, introduzca los detalles necesarios para permitir que Oracle Access Governance se conecte a la base de datos del cliente.

Configuración de integración
Nombre de parámetro	¿Obligatorio?	Descripción
URL de Conexión Fácil para las bases de datos de Oracle	Sí	URL del servidor que aloja el sistema de base de datos del cliente con el que desea integrar. Para Oracle Database, utilice el formato host/puerto/servicio de base de datos/sid. Para Oracle Autonomous Database, ¿utiliza el formato jdbc:oracle:thin:@<SERVICE_NAME>? TNS_ADMIN=<WALLET-DIR> como se describe en Configuración de cartera para la integración de Autonomous Database.
Nombre de usuario	Sí	Nombre de usuario necesario para conectarse al sistema de base de datos de usuario para realizar la conciliación y el aprovisionamiento de datos.
Password/Confirm password (Contraseña)	Sí	Contraseña que autentica el usuario con el que se conecta al sistema de base de datos de usuario.
Nombre de tabla de cuenta de usuario	Sí	Nombre de la tabla de base de datos que contiene las cuentas de usuario. Nota No incluya el nombre de usuario del propietario de la tabla en el nombre de la tabla, por ejemplo, MYUSER.MYDBAT_PERSON; de lo contrario, verá errores. El nombre de usuario se transfiere como un parámetro independiente como se detalla en esta tabla.
Tablas de permisos		Agregue los nombres de las tablas de permisos en una lista separada por comas. Este parámetro solo se aplica si el sistema orquestado está configurado en modo de sistema gestionado. Nota No incluya el nombre de usuario del propietario de la tabla en el nombre de la tabla, por ejemplo, MYUSER.MYDBAT_PERMISSION; de lo contrario, verá errores. El nombre de usuario se transfiere como un parámetro independiente como se detalla en esta tabla.
Tablas de permisos de cuentas		Si tiene datos de cuenta residentes en tablas principales y secundarias, proporcione una lista separada por comas de los nombres de las tablas secundarias. Nota No incluya el nombre de usuario del propietario de la tabla en el nombre de la tabla, por ejemplo, MYUSER.MYDBAT_ACCOUNTPERMISSION; de lo contrario, verá errores. El nombre de usuario se transfiere como un parámetro independiente como se detalla en esta tabla.
Tablas de consulta		Lista separada por comas de tablas de consulta para atributos como el país. Nota No incluya el nombre de usuario del propietario de la tabla en el nombre de la tabla, por ejemplo, MYUSER.MYDBAT_LOOKUP; de lo contrario, verá errores. El nombre de usuario se transfiere como un parámetro independiente como se detalla en esta tabla.
Tablas de afiliación		Lista separada por comas de tablas de afiliación creadas. Para obtener más información, consulte Soporte de afiliación de DBAT para atributos de identidad de varios valores personalizados.
Asignaciones de columnas de clave	Sí	Lista separada por comas de asignaciones de columnas clave. Estas asignaciones se deben introducir con el formato `Table:KeyColumn`. Nota Este parámetro solo se aplica a las tablas ACCOUNT, ENTITLEMENT y LOOKUP.
Asignaciones de columnas de nombre	Sí	Lista separada por comas de asignaciones de columna de nombre. Estas asignaciones se deben introducir con el formato `Table:NameColumn`. Nota Este parámetro solo se aplica a las tablas ACCOUNT, ENTITLEMENT y LOOKUP.
Asignación de columna de contraseñas de tabla de cuentas de usuario		Asignaciones de columnas de contraseñas para tablas de cuenta de usuario en formato `Table:PasswordColumn`.
Asignación de columna de estado de tabla de cuentas de usuario	Sí	Asignación de columna de estado para la tabla de cuentas de usuario con el formato `Table:StatusColumn`. La columna de estado contiene el estado de un registro de usuario. En caso de valores especiales, configure el valor de activación/desactivación.
Valor de estado de activación de cuenta de usuario		Este valor se utilizará como valor de activación si la columna del estado se configura y es de tipo cadena. Si no se proporciona ningún valor para este parámetro, el valor por defecto es 'ACTIVE'.
Valor de estado de desactivación de cuenta de usuario		Este valor se utilizará como valor para desactivar si la columna del estado está configurada y es de tipo cadena. Si no se proporciona ningún valor para este parámetro, el valor por defecto es 'INACTIVE'.
Formato de Fecha		Formato de los datos de fecha que se están convirtiendo en cadenas. Si deseas manejar los datos de fechas como un editor de fecha, no introduzcas ningún valor para este parámetro. Si desea manejar los datos de fecha como texto, debe introducir el formato de fecha. Al especificar un valor para este parámetro, se invalida el parámetro allNative.
Formato de registro de hora		Formato de los datos de registro de hora que se están convirtiendo en cadenas. La especificación de esta propiedad invalida las propiedades nativeTimestamps y allNative
Condición de filtro de cuenta de usuario		Cláusula WHERE que define el subjuego de registros de cuentas de usuario que desea traer de la base de datos de clientes a Oracle Access Governance.
Crear script		Script personalizado para utilizar procedimientos almacenados personalizados o sentencias SQL en lugar de las sentencias SQL por defecto para realizar operaciones de aprovisionamiento. Introduzca la URL de archivo del script de Groovy creado para la operación de creación de aprovisionamiento de cuentas de usuario. Debe introducir la URL de archivo con el siguiente formato: `/directoryName/fileName`. Valor de ejemplo: `/app/scripts/create_user.groovy` Para obtener más información sobre los scripts con la integración de tablas de aplicación de base de datos, consulte Desarrollo de scripts personalizados para tablas de aplicación de base de datos (Oracle) mediante Groovy
Actualizar script		Script personalizado para utilizar procedimientos almacenados personalizados o sentencias SQL en lugar de las sentencias SQL por defecto para realizar operaciones de aprovisionamiento. Introduzca la URL de archivo del script de Groovy creado para la operación de actualización de aprovisionamiento de cuentas de usuario. Este script se llama cuando actualiza el formulario de atributos de cuenta, activa o desactiva la cuenta de usuario. Debe introducir la URL de archivo con el siguiente formato: `/directoryName/fileName`. Valor de ejemplo: `/app/scripts/update_user.groovy` Para obtener más información sobre los scripts con la integración de tablas de aplicación de base de datos, consulte Desarrollo de scripts personalizados para tablas de aplicación de base de datos (Oracle) mediante Groovy
Suprimir script		Script personalizado para utilizar procedimientos almacenados personalizados o sentencias SQL en lugar de las sentencias SQL por defecto para realizar operaciones de aprovisionamiento. Introduzca la URL de archivo del script de Groovy creado para la operación de supresión de aprovisionamiento de cuentas de usuario. Este script se llama al revocar o eliminar una cuenta. Debe introducir la URL de archivo con el siguiente formato: `/directoryName/fileName`. Valor de ejemplo: `/app/scripts/delete_user.groovy` Para obtener más información sobre los scripts con la integración de tablas de aplicación de base de datos, consulte Desarrollo de scripts personalizados para tablas de aplicación de base de datos (Oracle) mediante Groovy
Cargar datos en el script		Script personalizado para utilizar procedimientos almacenados personalizados o sentencias SQL en lugar de las sentencias SQL por defecto para realizar operaciones de aprovisionamiento. Introduzca la URL de archivo del script Groovy creado para la conciliación. El conector delega la operación de carga de datos al script Groovy, que es responsable de transferir la información (objeto de conector) al manejador de devolución de llamada. Este script se llama al realizar una búsqueda de cuenta (operaciones como la carga completa de datos). Debe introducir la URL de archivo con el siguiente formato: `/directoryName/fileName`. Valor de ejemplo: `/app/scripts/full_data_load.groovy` Para obtener más información sobre los scripts con la integración de tablas de aplicación de base de datos, consulte Desarrollo de scripts personalizados para tablas de aplicación de base de datos (Oracle) mediante Groovy
Agregar script de datos de relación		Script personalizado para utilizar procedimientos almacenados personalizados o sentencias SQL en lugar de las sentencias SQL por defecto para realizar operaciones de aprovisionamiento. Introduzca la URL de archivo del script Groovy creado para la operación de aprovisionamiento de atributos de varios valores (incluidos los permisos para la cuenta). Este script se llama cuando agrega atributos secundarios de varios valores. Debe introducir la URL de archivo con el siguiente formato: `/directoryName/fileName`. Valor de ejemplo: `/app/scripts/add_mulval_attr.groovy` Para obtener más información sobre los scripts con la integración de tablas de aplicación de base de datos, consulte Desarrollo de scripts personalizados para tablas de aplicación de base de datos (Oracle) mediante Groovy
Eliminar script de datos de relación		Script personalizado para utilizar procedimientos almacenados personalizados o sentencias SQL en lugar de las sentencias SQL por defecto para realizar operaciones de aprovisionamiento. Introduzca la URL de archivo del script Groovy creado para la operación de aprovisionamiento de atributos de varios valores (incluidos los permisos para la cuenta). Se llama a este script al eliminar atributos secundarios de varios valores. Debe introducir la URL de archivo con el siguiente formato: `/directoryName/fileName`. Valor de ejemplo: `/app/scripts/remove_mulval_attr.groovy` Para obtener más información sobre los scripts con la integración de tablas de aplicación de base de datos, consulte Desarrollo de scripts personalizados para tablas de aplicación de base de datos (Oracle) mediante Groovy

Haga clic en Agregar para crear el sistema orquestado.

Finalizar

El paso final del flujo de trabajo es Finalizar, donde se le solicita que descargue el agente para el sistema orquestado. Después de descargar el agente, puede instalar y configurar el agente en su entorno mediante las instrucciones de Gestión del agente de Oracle Access Governance para integraciones indirectas.

Se le permite elegir si desea configurar aún más el sistema orquestado antes de ejecutar una carga de datos, o aceptar la configuración por defecto e iniciar una carga de datos. Seleccione una de las siguientes opciones:

Personalizar antes de activar el sistema para cargas de datos
Activar y preparar la carga de datos con los valores por defecto proporcionados

Configuración Posterior

Actualizar archivo JSON de esquema intermedio

Cuando haya completado la instalación del agente, se creará un archivo JSON de esquema intermedio, schema.json, en el host del agente. Este archivo asigna las tablas de la base de datos integrada al esquema que se representa en Oracle Access Governance. El archivo JSON de esquema inicial se crea con atributos básicos activados para carga de datos, UID, NAME, STATUS y PASSWORD (si lo ha configurado el usuario). La operación de carga de datos completa se puede ejecutar con este archivo JSON de esquema inicial, cargando datos solo para estos atributos básicos. A continuación, puede modificar aún más el archivo JSON de esquema para incluir más atributos para las siguientes operaciones de carga de datos.

Nota

Asegúrese de que ha otorgado permisos de lectura/escritura en el archivo JSON de esquema para el usuario del sistema operativo que va a ejecutar el agente.

Después de Day0, para aplicar la transformación saliente, debe actualizarla desde la consola de Oracle Access Governance. No se tendrá en cuenta ninguna regla de transformación aplicada en Schema.json. Para aplicar una regla de transformación, consulte Aplicación de transformaciones salientes para atributos de identidad. Sin embargo, si cambia el atributo o suprime un atributo en Schema.json, las reglas de transformación, relacionadas con ese atributo de cuenta concreto, se suprimen durante la operación de detección de esquemas.

Para obtener más información sobre la estructura y las opciones disponibles al editar schema.json, consulte Referencia de archivo JSON de esquema.

Recuperar los últimos atributos personalizados

Debe realizar una operación de detección de esquema que recuperará la información de atributo personalizado más reciente. Para obtener más información sobre cómo realizar esta tarea, consulte Recuperación de atributos personalizados más recientes.

Configuración de la Comunicación SSL/TLS en Oracle Database

Para proteger la comunicación entre el agente de Oracle Access Governance y la base de datos Oracle, puede configurar la seguridad de capa de conexión segura/capa de transporte (SSL/TLS). Para ello, asegúrese de haber completado los siguientes pasos:

Configurar el cifrado de datos y la integridad en Oracle Database
Consulte Configuring Transport Layer Security Authentication para obtener información sobre la configuración del cifrado y la integridad de los datos.
Para configurar el agente de Oracle Access Governance para que utilice SSL/TLS al comunicarse con la base de datos, realice los siguientes pasos:
1. Exporte el certificado en la computadora host de Oracle Database.
2. Copie el certificado de base de datos en el host del agente de Oracle Access Governance.
3. Importe el certificado de base de datos al almacén de confianza Java del agente mediante el comando:
```
<%JAVA_HOME%>/bin/keytool -import -alias database-cert -file <AD-cert-file> -keystore <agent-install-dir>/cacerts
```
4. Actualice el archivo config.properties del agente para incluir lo siguiente:
```
JAVA_OPTS=-Djavax.net.ssl.trustStore=/app/cacerts-Djavax.net.ssl.trustStorePassword=changeit
```

Configuración de cartera para la integración de Autonomous Database

Una conexión a Oracle Autonomous Database requiere que el cliente, en este caso el agente de Oracle Access Governance, se configure para soportar la comunicación SSL entre el agente y el servicio de base de datos. Para activar esta función, debe descargar la cartera de la base de datos autónoma en el host del agente y, a continuación, actualizar el campo URL de Easy Connect para la base de datos en la configuración del sistema orquestada. Complete los siguientes pasos para configurar esta función:

Cree un sistema orquestado de Database User Management (Oracle) y configure el agente.
Descargue la cartera de base de datos autónoma mediante las instrucciones de Descarga de credenciales de cliente (carteras).
Cree un directorio de cartera en el host del agente, en el directorio <agent-vol-location>/app. Por ejemplo:
```
mkdir <agent-vol-location>/app/db-wallet
```
Copie el archivo zip que contiene la cartera que ha descargado en el paso 2 en la carpeta de cartera y descomprímalo con el comando:
```
cp -rf Wallet_<DATABASENAME>.zip <agent-vol-location>/app/db-wallet
```
El archivo de cartera descomprimido contendrá el archivo tnsnames.ora, que contiene los nombres de servicio disponibles para Oracle Autonomous Database. Elija una de las siguientes opciones según la carga de trabajo:
- nombre_dato_tpurgent
- nombre_dato_tp
- nombre_base_datos_high
- nombre_base_datos_medium
- nombre_base_datos_low
For further details on Oracle Autonomous Database service names see Database Service Names for Autonomous Transaction Processing and Autonomous JSON Database.
Edite los valores de integración del sistema orquestado siguiendo las instrucciones de Configuración de Valores para un Sistema Orquestado. Actualice el campo URL de Conexión Fácil para Base de Datos con la cadena de conexión para la base de datos, según el nombre de servicio que haya seleccionado en el paso anterior. La cadena de conexión debe tener el siguiente formato:
```
jdbc:oracle:thin:@<SERVICE_NAME>?TNS_ADMIN=<WALLET-DIR>
```
Por ejemplo:
```
jdbc:oracle:thin:@MYAUTDB_TP?TNS_ADMIN=<agent-vol-location>/app/db-wallet
```

Documentación de Oracle Cloud Infrastructure