Integración con Database User Management (Oracle)
El conector de Database User Management integra Oracle Access Governance con tablas de gestión de usuarios de base de datos en Oracle Database. Puede establecer una conexión entre Oracle Database y Oracle Access Governance introduciendo los detalles de conexión y configurando el conector. Para ello, utilice la funcionalidad de sistemas orquestados disponible en la consola de Oracle Access Governance.
Requisitos
Antes de instalar y configurar un sistema orquestado de Database User Management (Oracle), debe tener en cuenta los siguientes requisitos y tareas.
Componentes Certificados
Puede integrar cualquiera de los siguientes tipos de Oracle Database con Oracle Access Governance:
- Exadata V2.
- Oracle Database 12c como base de datos única, base de datos conectable (PDB) o implementación de Oracle RAC.
- Oracle Database 18c como base de datos única, base de datos conectable (PDB) o implementación de Oracle RAC.
- Oracle Database 19c como base de datos única, base de datos conectable (PDB) o implementación de Oracle RAC.
- Oracle Database 23ai como base de datos única, base de datos conectable (PDB) o implementación de Oracle RAC.
- Oracle Autonomous Database
Operaciones Soportadas
El sistema orquestado de Database User Management (Oracle) soporta las siguientes operaciones:
- Crear usuario
- Restablecer Contraseña
- Agregar roles
- Revocar Roles
- Agregar Privilegios
- Revocar Privilegios
Atributos soportados por defecto
El sistema orquestado de Database User Management (Oracle) soporta los siguientes atributos por defecto.
| Entidad de usuario de DBUM | Atributo de cuenta de destino | Atributo de cuenta de Oracle Access Governance |
|---|---|---|
| ID de devolución | UID | |
| Nombre de usuario | nombre | |
| Tipo de Autenticación | authenticationType | |
| DN Global | globalDN | |
| Tablespace por Defecto | defaultTablespace | |
| Cuota de Tablespace por Defecto (en MB) | defaultTablespaceQuotaInMB | |
| Tablespace Temporal | temporaryTablespace | |
| Nombre de perfil | profileName | |
| Estado de la Cuenta | accountStatus | |
| Estado | estado | |
| Contraseña | contraseña | |
|
Rol Los roles de DBUM (Oracle) se asignan a derechos de Oracle Access Governance |
||
| adminOption | roleAdminOption | |
|
Privilegio Los privilegios de DBUM (Oracle) se asignan a derechos de Oracle Access Governance |
||
| adminOption | privilegeAdminOption |
Regla de confrontación por defecto
Regla de coincidencia por defecto para el sistema orquestado de Database User Management (Oracle)
es:| Modo | Regla de confrontación por defecto |
|---|---|
| Gestionar permisos |
userNameOracle = userLogin
|
Creación de una cuenta de usuario del sistema de destino para operaciones del sistema orquestadas de Database User Management (Oracle)
Oracle Access Governance necesita una cuenta de usuario para acceder al sistema durante las operaciones de servicio. Según el sistema que utilice, puede crear el usuario y asignarles permisos y roles específicos.
Para la base de datos Oracle:
- Cree un usuario de servicio mediante la siguiente sentencia SQL:
CREATE USER agserviceuser IDENTIFIED BY password DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp QUOTA UNLIMITED ON users;
- Asigne los siguientes permisos y roles al usuario de servicio creado:
GRANT SELECT on dba_role_privs TO agserviceuser; GRANT SELECT on dba_sys_privs TO agserviceuser; GRANT SELECT on dba_ts_quotas TO agserviceuser; GRANT SELECT on dba_tablespaces TO agserviceuser; GRANT SELECT on dba_users TO agserviceuser; GRANT CREATE USER TO agserviceuser; GRANT ALTER ANY TABLE TO agserviceuser; GRANT GRANT ANY PRIVILEGE TO agserviceuser; GRANT GRANT ANY ROLE TO agserviceuser; GRANT DROP USER TO agserviceuser; GRANT SELECT on dba_roles TO agserviceuser; GRANT SELECT ON dba_profiles TO agserviceuser; GRANT ALTER USER TO agserviceuser; GRANT CREATE ANY TABLE TO agserviceuser; GRANT DROP ANY TABLE TO agserviceuser; GRANT CREATE ANY PROCEDURE TO agserviceuser; GRANT DROP ANY PROCEDURE TO agserviceuser;
Configurar
Puede establecer una conexión entre Oracle Database y Oracle Access Governance introduciendo los detalles de conexión y configurando el entorno de base de datos. Para ello, utilice la funcionalidad de sistemas orquestados disponible en la consola de Oracle Access Governance.
Navegar a la página Orchestrated Systems
Vaya a la página Orchestrated Systems de la consola de Oracle Access Governance siguiendo estos pasos:
- En el icono de menú de navegación de Oracle Access Governance
, seleccione Administración de servicios → Sistemas orquestados. - Seleccione el botón Add an Orchestrated system (Agregar un sistema orquestado) para iniciar el flujo de trabajo.
Seleccionar sistema
En el paso Seleccionar sistema del flujo de trabajo, especifique el tipo de sistema que desea incorporar. Puede buscar el sistema necesario por nombre mediante el campo Buscar.
- Seleccione el mosaico Gestión de usuarios de base de Datos (Oracle DB). Una vez seleccionado, se muestra un valor de Gestión de usuarios de base de datos (Oracle DB) a la derecha en Lo que he seleccionado.
- Haga clic en Siguiente.
Introducir detalles
En el paso Agregar detalles del flujo de trabajo, introduzca los detalles del sistema orquestado:
- Introduzca un nombre para el sistema al que desea conectarse en el campo Nombre.
- Introduzca una descripción para el sistema en el campo Descripción.
- Decida si este sistema orquestado es un origen autorizado y si Oracle Access Governance puede gestionar permisos mediante la definición de las siguientes casillas de control.
-
Este es el origen autorizado de mis identidades
Seleccione uno de estos procedimientos:
- Origen de las identidades y sus atributos: el sistema actúa como identidades de origen y atributos asociados. Se crean nuevas identidades a través de esta opción.
- Solo origen de atributos de identidad: el sistema ingiere detalles de atributos de identidad adicionales y se aplica a las identidades existentes. Esta opción no ingiere ni crea nuevos registros de identidad.
- Quiero gestionar los permisos de este sistema
-
Este es el origen autorizado de mis identidades
- Seleccione Next (Siguiente).
Agregar propietarios
Puede asociar la propiedad de recursos agregando propietarios principales y adicionales. Esto impulsa el autoservicio, ya que estos propietarios pueden gestionar (leer, actualizar o suprimir) los recursos que poseen. Por defecto, el creador del recurso se designa como propietario del recurso. Puede asignar un propietario principal y hasta 20 propietarios adicionales para los recursos.
Nota
Al configurar el primer sistema orquestado para la instancia de servicio, solo puede asignar propietarios después de activar las identidades en la sección Gestionar identidades.
Para agregar propietarios:Al configurar el primer sistema orquestado para la instancia de servicio, solo puede asignar propietarios después de activar las identidades en la sección Gestionar identidades.
- Seleccione un usuario activo de Oracle Access Governance como propietario principal en el campo ¿Quién es el propietario principal?.
- Seleccione uno o más propietarios adicionales en la lista ¿Quién más los posee?. Puede agregar hasta 20 propietarios adicionales para el recurso.
Configuración de la Cuenta
En el paso Configuración de cuenta del flujo de trabajo, introduzca cómo desea que Oracle Access Governance gestione las cuentas cuando el sistema esté configurado como un sistema gestionado:
- Cuando se solicite un permiso y la cuenta no exista, seleccione esta opción para crear nuevas cuentas. Esta opción está seleccionada por defecto. Cuando se selecciona, Oracle Access Governance crea una cuenta si no existe una cuando se solicita un permiso. Si desactiva esta opción, los permisos se aprovisionan solo para las cuentas existentes en el sistema orquestado. Si no existe ninguna cuenta, la operación de aprovisionamiento falla.
- Seleccione los destinatarios de los correos electrónicos de notificación cuando se cree una cuenta. El destinatario predeterminado es User (Usuario). Si no se selecciona ningún destinatario, las notificaciones no se envían cuando se crean las cuentas.
- Usuario
- Gestor de usuarios
- Configuración de cuentas existentesNota
Solo puede definir estas configuraciones si lo permite el administrador del sistema. Cuando se activa la configuración de cese de cuenta global, los administradores de la aplicación no pueden gestionar la configuración de cese de cuenta en el nivel de sistema orquestado.- Seleccionar qué hacer con las cuentas cuando comience el cese anticipado: seleccione la acción que se debe realizar cuando comience un cese anticipado. Esto sucede cuando necesita revocar los accesos de identidad antes de la fecha de cese oficial.
- Suprimir: suprime todas las cuentas y permisos gestionados por Oracle Access Governance.Nota
Si un sistema orquestado específico no soporta la acción, no se realiza ninguna acción. - Desactivar: desactiva todas las cuentas y desactiva los permisos gestionados por Oracle Access Governance.
- Suprimir los permisos para las cuentas desactivadas: para garantizar un acceso residual cero, seleccione esta opción para suprimir los permisos asignados directamente y los permisos otorgados por políticas durante la desactivación de la cuenta.
- Sin acción: no se realiza ninguna acción cuando Oracle Access Governance marca una identidad para su terminación anticipada.
- Suprimir: suprime todas las cuentas y permisos gestionados por Oracle Access Governance.
- Seleccionar qué hacer con las cuentas en la fecha de cese: seleccione la acción que se debe realizar durante el cese oficial. Esto sucede cuando necesita revocar los accesos de identidad en la fecha de cese oficial.
- Suprimir: suprime todas las cuentas y permisos gestionados por Oracle Access Governance.Nota
Si el sistema orquestado específico no soporta la acción Suprimir, no se realiza ninguna acción. - Desactivar: desactiva todas las cuentas y desactiva los permisos gestionados por Oracle Access Governance.
- Suprimir los permisos para las cuentas desactivadas: para garantizar un acceso residual cero, seleccione esta opción para suprimir los permisos asignados directamente y los permisos otorgados por políticas durante la desactivación de la cuenta.
Nota
Si el sistema orquestado específico no soporta la acción Desactivar, se suprime la cuenta. - Sin acción: Oracle Access Governance no realiza ninguna acción en las cuentas y los permisos.
- Suprimir: suprime todas las cuentas y permisos gestionados por Oracle Access Governance.
- Seleccionar qué hacer con las cuentas cuando comience el cese anticipado: seleccione la acción que se debe realizar cuando comience un cese anticipado. Esto sucede cuando necesita revocar los accesos de identidad antes de la fecha de cese oficial.
- Cuando una identidad abandona la empresa, debe eliminar el acceso a sus cuentas. Nota
Solo puede definir estas configuraciones si lo permite el administrador del sistema. Cuando se activa la configuración de cese de cuenta global, los administradores de la aplicación no pueden gestionar la configuración de cese de cuenta en el nivel de sistema orquestado.Seleccione una de las siguientes acciones para la cuenta:
- Suprimir: suprime todas las cuentas y permisos gestionados por Oracle Access Governance.
- Desactivar: desactive todas las cuentas y marque los permisos como inactivos.
- Suprimir los permisos para las cuentas desactivadas: suprima los permisos asignados directamente y otorgados por la política durante la desactivación de la cuenta para garantizar un acceso residual cero.
- Sin acción: no realice ninguna acción cuando una identidad abandone la organización.
Nota
Estas acciones solo están disponibles si están soportadas por el tipo de sistema orquestado. Por ejemplo, si Suprimir no está soportado, solo verá las opciones Desactivar y Sin acción. - Cuando se eliminan todos los permisos de una cuenta, por ejemplo, cuando una identidad se mueve entre departamentos, puede que tenga que decidir qué hacer con la cuenta. Seleccione una de las siguientes acciones, si son compatibles con el tipo de sistema orquestado:
- Suprimir
- Desactivar
- No hay acciones
- Gestionar cuentas que no han sido creadas por Access Governance: seleccione esta opción para gestionar cuentas que se hayan creado directamente en el sistema orquestado. Con esto, puede conciliar cuentas existentes y gestionarlas desde Oracle Access Governance.
Nota
Si no configura el sistema como un sistema gestionado, se mostrará este paso del flujo de trabajo, pero no estará activado. En este caso, debe continuar directamente con el paso Configuración de integración del flujo de trabajo.
Si no configura el sistema como un sistema gestionado, se mostrará este paso del flujo de trabajo, pero no estará activado. En este caso, debe continuar directamente con el paso Configuración de integración del flujo de trabajo.
Nota
Si el sistema orquestado requiere la detección de esquemas dinámicos, al igual que con las integraciones de tablas de aplicación de base de datos y REST genéricas, solo se puede definir el destino de correo electrónico de notificación (Usuario, Usermanager) al crear el sistema orquestado. No puede definir las reglas de desactivación/supresión para los movimientos y los elementos salientes. Para ello, debe crear el sistema orquestado y, a continuación, actualizar los valores de cuenta como se describe en Configure Orchestrated System Account Settings.
Si el sistema orquestado requiere la detección de esquemas dinámicos, al igual que con las integraciones de tablas de aplicación de base de datos y REST genéricas, solo se puede definir el destino de correo electrónico de notificación (Usuario, Usermanager) al crear el sistema orquestado. No puede definir las reglas de desactivación/supresión para los movimientos y los elementos salientes. Para ello, debe crear el sistema orquestado y, a continuación, actualizar los valores de cuenta como se describe en Configure Orchestrated System Account Settings.
Configuración de integración
En el paso Configuración de integración del flujo de trabajo, introduzca los detalles de configuración necesarios para permitir que Oracle Access Governance se conecte a la base de datos especificada.
- En el campo URL de Conexión Fácil para Base de Datos, introduzca la cadena de conexión para la base de datos que desea integrar con Oracle Access Governance. Para Oracle Database, utilice el formato host/puerto/servicio de base de datos/sid. Para Oracle Autonomous Database, ¿utiliza el formato jdbc:oracle:thin:@<SERVICE_NAME>? TNS_ADMIN=<WALLET-DIR> como se describe en Configuración de cartera para la integración de Autonomous Database.
- En el campo Nombre de usuario, introduzca el usuario de base de datos que utilizará para conectarse a la base de datos. Es el usuario que ha creado en Creación de una cuenta de usuario de sistema de destino para operaciones de sistema orquestadas de Database User Management (Oracle).
- Introduzca la contraseña del usuario de bases de datos destino en el campo Password (Contraseña). Confirme la contraseña en el campo Confirmar contraseña.
- En Connection Properties, introduzca las propiedades de conexión con el formato prop1=val1#prop2=val2
- Compruebe el panel de la derecha para ver Lo que he seleccionado. Si está satisfecho con los detalles introducidos, seleccione Agregar para crear el sistema orquestado.
Finalizar
En el paso Finalizar del flujo de trabajo, se le solicita que descargue el agente que utilizará para la interfaz entre Oracle Access Governance y Oracle Database. Seleccione el enlace Download (Descargar) para descargar el archivo zip del agente al entorno en el que se ejecutará el agente.
Después de descargar el agente, siga las instrucciones que se explican en el artículo Administración de agentes.
Por último, puede elegir si desea configurar aún más el sistema orquestado antes de ejecutar una carga de datos, o aceptar la configuración por defecto e iniciar una carga de datos. Seleccione una de las siguientes opciones:
- Personalizar antes de activar el sistema para cargas de datos
- Activar y preparar la carga de datos con los valores por defecto proporcionados
Configuración Posterior
Configuración de cartera para la integración de Autonomous Database
Una conexión a Oracle Autonomous Database requiere que el cliente, en este caso el agente de Oracle Access Governance, se configure para soportar la comunicación SSL entre el agente y el servicio de base de datos. Para activar esta función, debe descargar la cartera de la base de datos autónoma en el host del agente y, a continuación, actualizar el campo URL de Easy Connect para la base de datos en la configuración del sistema orquestada. Complete los siguientes pasos para configurar esta función:
- Cree un sistema orquestado de Database User Management (Oracle) y configure el agente.
- Descargue la cartera de base de datos autónoma mediante las instrucciones de Descarga de credenciales de cliente (carteras).
- Cree un directorio de cartera dentro de la carpeta de agente instalada,
<PERSISTENT_VOLUME_LOCATION><WALLET-DIR>. Por ejemplo:mkdir /myagent/install/db-wallet - Copie el archivo zip que contiene la cartera que ha descargado en el paso 2 en
<PERSISTENT_VOLUME_LOCATION><WALLET-DIR>y descomprímalo mediante el comando:cp -rf Wallet_<DATABASENAME>.zip <PERSISTENT_VOLUME_LOCATION><WALLET-DIR> - El archivo de cartera descomprimido contendrá el archivo
tnsnames.ora, que contiene los nombres de servicio disponibles para Oracle Autonomous Database. Elija una de las siguientes opciones según la carga de trabajo:- nombre_dato_tpurgent
- nombre_dato_tp
- nombre_base_datos_high
- nombre_base_datos_medium
- nombre_base_datos_low
- Edite los valores de integración del sistema orquestado siguiendo las instrucciones de Configuración de Valores para un Sistema Orquestado. Actualice el campo URL de Conexión Fácil para Base de Datos con la cadena de conexión para la base de datos, según el nombre de servicio que haya seleccionado en el paso anterior. La cadena de conexión debe tener el siguiente formato:
Por ejemplo:jdbc:oracle:thin:@<SERVICE_NAME>?TNS_ADMIN=<WALLET-DIR>jdbc:oracle:thin:@MYAUTDB_TP?TNS_ADMIN=/agent/install