Documentación de Oracle Cloud Infrastructure

Integración con Tablas de Aplicación de Base de Datos

Visión General: Integración de Oracle Access Governance con Tablas de Aplicaciones de Base de Datos

Oracle Access Governance se puede integrar con tablas de aplicaciones de base de datos, lo que permite la orquestación de identidades, incluida la incorporación de datos de identidad (usuario) y el aprovisionamiento de cuentas.

Las tablas de aplicación de base de datos se pueden definir como aplicaciones personalizadas controladas por base de datos. En términos de administración de identidad, estas aplicaciones se caracterizan por lo siguiente:
  • Las aplicaciones no tienen API para la administración de identidades
  • Cada aplicación puede tener un juego diferente de esquemas para datos de identidad, cuenta y permiso
  • Oracle Access Governance no conoce el esquema de la aplicación antes de configurar y ejecutar la integración
  • No hay ninguna asignación directa entre las tablas de la base de datos de la aplicación y las entidades de Oracle Access Governance
  • No hay ningún patrón común sobre cómo se organizan los datos de identidad en el esquema de la aplicación. Los datos de identidad pueden estar en una sola tabla o distribuirse en varias tablas

La integración de tablas de aplicación de base de datos permite el intercambio de datos de usuario entre una base de datos de cliente y Oracle Access Governance.

La integración de tablas de aplicación de base de datos soporta los siguientes elementos:
  • Las tablas de aplicación de base de datos son una fuente autorizada (de confianza) de información de identidad que permite la conciliación de identidades creadas o modificadas en tablas de base de datos.
  • Tablas de Aplicación de Base de Datos como Sistema Gestionado que permite el aprovisionamiento de cuentas de aplicación en tablas de base de datos.

Visión General de la Arquitectura de Integración de Tablas de Aplicación de Base de Datos

La integración con tablas de aplicaciones de base de datos permite recuperar datos de identidad de un sistema, transportarlos a Oracle Access Governance e ingerirlos. Una vez conectado un sistema, puede realizar tareas y operaciones de aprovisionamiento y solución, como crear, conciliar, actualizar, suprimir, desactivar/activar, agregar/suprimir permiso y agregar/suprimir grupo, que luego se reflejan en el sistema gestionado.


Arquitectura DBAT

Figura 1. Arquitectura DBAT
La integración de tablas de aplicación de base de datos se implanta mediante un tipo de conexión basada en agente. Esto significa que no hay ninguna conexión directa disponible, por lo que se realiza una conexión indirecta entre Oracle Access Governance y la instancia de base de datos necesaria mediante el agente de Access Governance. La integración de tablas de aplicación de base de datos soporta los siguientes modos:
  • Si selecciona el modo de configuración Origen autorizado al configurar un sistema orquestado de tablas de aplicación de base de datos, Oracle Access Governance recuperará los datos de identidad de la instancia de base de datos y los tratará como un origen autorizado (de confianza) de la información de identidad.
  • Si selecciona el modo de configuración Sistemas gestionados, Oracle Access Governance le permitirá gestionar cuentas de usuario en la base de datos de destino. Esto permite el aprovisionamiento de nuevas cuentas en instancias de base de datos de clientes desde Oracle Access Governance.

Para identificar el esquema relevante para la integración, la integración de tablas de aplicación de base de datos ofrece la detección automática de esquemas. Este es el proceso de identificación del esquema de base de datos subyacente que contiene los datos de usuario. El soporte se proporciona para el esquema limitado Day-0, y el soporte Day-N acomoda las modificaciones posteriores en el esquema de usuario, lo que le permite actualizar el esquema con cualquier cambio que se haya realizado en las tablas de la base de datos y aplicarlas al esquema detectado

Los detalles de las tablas de base de datos de usuario relevantes se proporcionan durante la creación del agente. Los detalles del esquema se almacenan en un archivo de esquema, que se encuentra con el agente. Los detalles del esquema se pueden actualizar editando directamente este archivo según sea necesario.

La conexión a la base de datos que contiene las tablas de usuario se realiza mediante una conexión a la base de datos JDBC. Esto permite al agente:
  • Detectar el esquema de la aplicación controlada por base de datos
  • Realizar cargas de datos
  • Aprovisionar cuentas

Cada vez que se ejecuta la carga, se realiza una carga completa de datos relevantes de identidad y cuenta en Oracle Access Governance. Si es la primera vez que se realiza la carga, se crean estructuras de cuenta e identidad relevantes en Oracle Access Governance según corresponda. En ejecuciones de carga de datos posteriores, todos los datos se cargan en Oracle Access Governance y el proceso de ingesta actualiza los cambios desde la última carga de datos en los artefactos de identidad y cuenta adecuados.

Una vez configurado el sistema orquestado, puede aprovisionar cuentas mediante el motor de aprovisionamiento de Oracle Access Governance, que tomará cualquier solicitud de cuentas o permisos y la transferirá a través del agente y a la base de datos de destino. El aprovisionamiento soporta operaciones de creación, actualización y revocación.

En caso de que el archivo de esquema se pierda o se corrompa de alguna forma, la integración de tablas de aplicación de base de datos proporciona la recuperación del archivo de esquema. Esto resulta útil en escenarios como la caída de un agente o la pérdida del archivo de esquema.

Visión general funcional de la integración de tablas de aplicación de base de datos

La integración de tablas de aplicación de base de datos soporta casos de uso que incluyen la configuración del sistema orquestado, la carga de datos, la creación y revocación de cuentas, el cambio de contraseña y la asignación y eliminación de roles.

Funciones de integración soportadas

La integración de tablas de aplicaciones de base de datos con Oracle Access Governance soporta las siguientes funciones:
  • Configuración del sistema orquestado
  • Cargar datos
  • Crear Cuenta
  • Asignar Permisos
  • Eliminar Permisos
  • Cambiar Contraseña
  • Revocar Cuenta

Para obtener más información sobre las funciones soportadas, consulte Visión general funcional de Oracle Access Governance Integration

Ejemplo de ciclo de vida de la cuenta

Vamos a ver un ejemplo. Ha creado un nuevo sistema orquestado que está conectado a la instancia de base de datos MyDBAT que contiene datos de usuario para su organización. El sistema orquestado está configurado para los modos Origen autorizado y Sistema gestionado. En la primera carga de datos, los datos de identidad y cuenta se cargan en Oracle Access Governance. En este momento, se crean los siguientes detalles en Oracle Access Governance:
  • Se crea una identidad de Oracle Access Governance, por ejemploMyAGIdentity, que incluye datos autorizados como el nombre, el correo electrónico y la ubicación.
  • Se crea una cuenta en Oracle Access Governance para los roles de tablas de aplicación de base de datos existentes, por ejemplo, DBATRole_Composer.
Ahora tenemos lo siguiente:
  • MyAGIdentity
    • MyDBATAccount
      • DBATRole_Composer

Después de algún tiempo, MyAGIdentity pasa a una nueva posición dentro de su organización que requiere el rol de desarrollador. Se crea un grupo de acceso DBATBundle_Developer en Oracle Access Governance que contiene los permisos de desarrollo necesarios. Este grupo de acceso se puede asignar como resultado de una política, rol o solicitud. Supongamos que el usuario solicita el grupo de acceso mediante la opción Solicitar un nuevo acceso. Al aprobarse, la solicitud dispara una operación de aprovisionamiento que aplica los cambios a MyDBAT y asigna los roles de tablas de aplicación de base de datos correspondientes a los permisos incluidos en el grupo de acceso DBATBundle_Developer.

Ahora tenemos lo siguiente:
  • MyAGIdentity
    • MyDBATAccount
      • DBATRole_Composer
      • DBATBundle_Developer
Se pueden asignar cuentas adicionales a la identidad MyAGIdentity a lo largo del tiempo desde otros sistemas gestionados, lo que nos proporciona un perfil como este:
  • MyAGIdentity
    • MyDBATAccount
    • MyOracleDBAccount
    • MyMSTeamsAccount

A continuación, se necesita MyAGIdentity para cambiar su contraseña. Mediante la funcionalidad Mi acceso en la consola de Oracle Access Governance, cambian su contraseña, que propaga el cambio a MyDBAT mediante el aprovisionamiento de Oracle Access Governance.

A continuación, MyAGIdentity pasa a un rol, lo que significa que ya no necesitan una cuenta en MyDBAT. En este caso, se puede generar una tarea de aprovisionamiento de cuentas de revocación revocando la cuenta de la identidad como parte de una revisión de acceso. También se puede eliminar su asociación con roles de base de datos de cliente eliminando la identidad del rol o la política relevantes de Oracle Access Governance. En cualquier caso, esto dará lugar a una tarea de aprovisionamiento que revocará la cuenta de la base de datos del cliente, junto con los roles relacionados. El perfil ahora se parecería a:
  • MyAGIdentity
    • MyOracleDBAccount
    • MyMSTeamsAccount

Si el sistema orquestado de tablas de aplicación de base de datos está configurado en el modo Origen autorizado y hace que una identidad esté inactiva, la identidad MyAGIdentity se desactiva de forma eficaz. En este caso, se generará una tarea de aprovisionamiento y se aplicará al sistema gestionado.

Ahora tenemos lo siguiente:
  • MyAGIdentity (desactivado)