Documentación de Oracle Cloud Infrastructure

Integrar con REST genérico

El sistema REST Orchestrated System genérico proporciona una solución para integrar Oracle Access Governance con sistemas conscientes de la identidad basados en REST. Un sistema de identificación basado en REST es cualquier sistema que expone sus interfaces o API de REST para la gestión de identidades.

Visión general del sistema orquestado REST genérico

El sistema REST Orchestrated System genérico proporciona funciones que incluyen las siguientes:
  • Carga de datos completa/incremental para orígenes autorizados o sistemas gestionados
  • Aprovisionamiento en tiempo real
  • Integración de funciones sin servidor nativa en la nube para definir plantillas de prueba, solicitud, respuesta y esquema de sistema conscientes de la identidad basado en REST

El sistema REST Orchestrated System genérico difiere de otros en que no se corrigen las definiciones de esquema, solicitud y respuesta. Otros sistemas orquestados tienen plantillas de esquema, solicitud, respuesta y prueba precargadas para el origen autorizado o el sistema gestionado al que se aplican. Puede aplicar sistemas REST orquestados genéricos a cualquier sistema que tenga en cuenta la identidad basado en REST, ya que las plantillas de esquema, solicitud, respuesta y prueba se cargan en tiempo de ejecución, en lugar de cuando se crea el sistema orquestado.

Para cada origen autorizado o sistema gestionado, deberá crear las siguientes plantillas:
  • grc-schema-template: esta plantilla define el esquema para el origen autorizado o el sistema gestionado que desea integrar.
  • grc-request-template: esta plantilla define el formato de solicitud (cabeceras, URL, parámetros de solicitud, cuerpo de solicitud) necesario para llamar al origen autorizado o a la API del sistema gestionado para solicitar datos de identidad.
  • grc-response-template: esta plantilla define el formato de respuesta para los datos de identidad y cuenta.
  • grc-test-template: esta plantilla define una API para probar la conectividad entre Oracle Access Governance y el origen autorizado o el sistema gestionado.
Cuando se llama a una operación, se transfieren los siguientes parámetros a OCI Functions.
  • Nombre de sistema orquestado
  • Nombre de entidad (identidad o cuenta)
  • Nombre de la operación

Se llama a la función OCI y devuelve un archivo JSON con las plantillas relevantes para el sistema orquestado.

Requisitos

Antes de instalar y configurar un sistema REST orquestado genérico, debe tener en cuenta los siguientes requisitos y tareas.

Componentes Certificados

El sistema gestionado puede ser cualquiera de los siguientes:

  • Cualquier sistema compatible con servicios REST que reconozca la identidad

Modos soportados

El sistema REST Orchestrated System genérico admite los siguientes modos de configuración:

  • Origen autorizado
  • Sistema gestionado

Casos de uso soportados por el sistema orquestado REST genérico

Un sistema REST orquestado genérico se puede utilizar para incorporar datos de identidad en Oracle Access Governance desde un servicio REST y, a continuación, gestionar de forma eficiente las identidades en un ciclo integrado con el resto de los sistemas conscientes de la identidad de la empresa.

Como ejemplo de caso de uso empresarial, considere una empresa de logística líder que tenga más de 20 aplicaciones en la nube. La mayoría de estas aplicaciones en la nube ahora no son eficientes porque los datos de estas aplicaciones se introducen manualmente y se gestionan mediante hojas de cálculo o flujos de procesos codificados personalizados. Por lo tanto, esta empresa desea integrar sus aplicaciones en la nube con Oracle Access Governance para simplificar sus operaciones, aumentar su eficiencia organizativa y, al mismo tiempo, reducir sus costos operativos. Existen dos enfoques para integrar estas aplicaciones en la nube con Oracle Access Governance. Un enfoque sería desplegar un conector punto a punto para cada una de estas aplicaciones. Los inconvenientes de este enfoque son los siguientes:

  • Mayor tiempo y esfuerzo para identificar y desplegar un conector de punto a punto para cada aplicación.

  • Aumento de los gastos generales de administración y mantenimiento para gestionar conectores para cada aplicación.

  • No disponibilidad de conectores punto a punto para todas las aplicaciones. En este caso, es necesario desarrollar conectores personalizados que aumenten el tiempo y el esfuerzo para desarrollar, desplegar y probar el conector personalizado.

Una alternativa a este enfoque es utilizar el sistema REST Orchestrated System genérico para integrar todas las aplicaciones en la nube con Oracle Access Governance. El sistema REST Orchestrated System genérico proporciona la capacidad de gestionar cuentas en todas las aplicaciones en la nube sin dedicar recursos y tiempo adicionales a la creación de conectores personalizados para cada aplicación en la nube.

El sistema REST Orchestrated System genérico ayuda a las empresas a aprovechar Oracle Access Governance para integrarse con los sistemas gestionados para la gobernanza de identidades. Estos sistemas gestionados incluyen cualquier aplicación que muestre las API de REST, como SaaS, PaaS, aplicaciones propias, etc.

A continuación se muestran algunos escenarios de ejemplo en los que se utiliza el sistema REST Orchestrated System genérico:

  • Gestión de usuarios

    El sistema REST Orchestrated System genérico permite gestionar individuos que pueden acceder a recursos definiéndolos como identidades en Oracle Access Governance y asignándolos a recopilaciones y roles de identidad. Las identidades se crean a partir de cualquier sistema orquestado autorizado, como REST genérico, en la carga de datos.

  • Control de Acceso

    El sistema REST Orchestrated System genérico gestiona el control de acceso mediante recopilaciones de identidades, roles, paquetes de acceso y políticas. En función del sistema orquestado que se utilice, puede gestionar el acceso mediante las funciones de autoservicio de Oracle Access Governance, específicamente Solicitar acceso. Por ejemplo, puede utilizar el sistema REST orquestado genérico para asignar o revocar automáticamente el acceso a un sistema basado en políticas de acceso predefinidas en Oracle Access Governance. A medida que se agregan nuevos usuarios a un rol específico, obtienen automáticamente el acceso correspondiente en los sistemas cubiertos por la política de acceso.

Configurar

Puede establecer una integración entre los sistemas conscientes de la identidad basados en REST y Oracle Access Governance introduciendo detalles de las funciones y plantillas de OCI para integrar el sistema basado en REST. Para ello, utilice la funcionalidad del sistema orquestado disponible en la consola de Oracle Access Governance.

Establezca una integración entre los sistemas conscientes de la identidad basados en REST y Oracle Access Governance introduciendo detalles de las funciones y plantillas de OCI para integrar el sistema basado en REST. Utilice la funcionalidad del sistema orquestado en la consola de Oracle Access Governance.

Oracle Access Governance utiliza la entidad de recurso para acceder y llamar a las funciones de OCI. Si tiene un sistema orquestado existente y necesita migrar, consulte Migrar acceso de clave de API a acceso de entidad de recurso.

Navegar a la página Orchestrated Systems

Vaya a la página Orchestrated Systems de la consola de Oracle Access Governance siguiendo estos pasos:
  1. En el icono de menú de navegación de Oracle Access Governance Menú de navegación, seleccione Administración de servicios → Sistemas orquestados.
  2. Seleccione el botón Add an Orchestrated system (Agregar un sistema orquestado) para iniciar el flujo de trabajo.

Seleccionar sistema

En el paso Seleccionar sistema del flujo de trabajo, puede especificar qué tipo de sistema desea incorporar. Puede buscar el sistema necesario por nombre mediante el campo Buscar. Seleccione el mosaico Conector REST genérico. Al seleccionar este mosaico, se muestra una página de diálogo que describe los pasos para configurar el sistema orquestado. Esto incluye un enlace a una implantación de ejemplo de las funciones de OCI necesarias para conectarse a sistemas conscientes de identidad basados en REST. Si no lo ha hecho, debe descargar el archivo idm-agcs-generic-rest-reference-implementation.zip y desarrollar sus propias funciones de OCI en este ejemplo. Para obtener más información sobre la implantación de ejemplo, consulte Configuración de la implantación de ejemplo. Para obtener más información sobre cómo desarrollar las funciones de OCI necesarias, consulte Configuración de la función sin servidor de OCI para conectarse con el sistema de detección de identidades basado en REST y Detección de esquemas de descanso genérico.

Después de la selección, se muestra un valor de Conector REST genérico en la parte derecha en Lo que he seleccionado. Seleccione Next (Siguiente).

Introducir detalles

En el paso Agregar detalles del flujo de trabajo, introduzca los detalles del sistema orquestado:
  1. Introduzca un nombre para el sistema al que desea conectarse en el campo Nombre.
  2. Introduzca una descripción para el sistema en el campo Descripción.
  3. Decida si este sistema orquestado es un origen autorizado y si Oracle Access Governance puede gestionar permisos mediante la definición de las siguientes casillas de control.
    • Este es el origen autorizado de mis identidades

      Seleccione uno de estos procedimientos:

      • Origen de las identidades y sus atributos: el sistema actúa como identidades de origen y atributos asociados. Se crean nuevas identidades a través de esta opción.
      • Solo origen de atributos de identidad: el sistema ingiere detalles de atributos de identidad adicionales y se aplica a las identidades existentes. Esta opción no ingiere ni crea nuevos registros de identidad.
    • Quiero gestionar los permisos de este sistema
    El valor predeterminado en cada caso es No seleccionado.
  4. Seleccione Next (Siguiente).

Agregar propietarios

Puede asociar la propiedad de recursos agregando propietarios principales y adicionales. Esto impulsa el autoservicio, ya que estos propietarios pueden gestionar (leer, actualizar o suprimir) los recursos que poseen. Por defecto, el creador del recurso se designa como propietario del recurso. Puede asignar un propietario principal y hasta 20 propietarios adicionales para los recursos.
Nota

Al configurar el primer sistema orquestado para la instancia de servicio, solo puede asignar propietarios después de activar las identidades en la sección Gestionar identidades.
Para agregar propietarios:
  1. Seleccione un usuario activo de Oracle Access Governance como propietario principal en el campo ¿Quién es el propietario principal?.
  2. Seleccione uno o más propietarios adicionales en la lista ¿Quién más los posee?. Puede agregar hasta 20 propietarios adicionales para el recurso.
Puede ver el propietario principal en la lista. Todos los propietarios pueden ver y gestionar los recursos de los que son propietarios.

Configuración de la Cuenta

En el paso Configuración de cuenta del flujo de trabajo, introduzca cómo desea que Oracle Access Governance gestione las cuentas cuando el sistema esté configurado como un sistema gestionado:
  1. Cuando se solicite un permiso y la cuenta no exista, seleccione esta opción para crear nuevas cuentas. Esta opción está seleccionada por defecto. Cuando se selecciona, Oracle Access Governance crea una cuenta si no existe una cuando se solicita un permiso. Si desactiva esta opción, los permisos se aprovisionan solo para las cuentas existentes en el sistema orquestado. Si no existe ninguna cuenta, la operación de aprovisionamiento falla.
  2. Seleccione los destinatarios de los correos electrónicos de notificación cuando se cree una cuenta. El destinatario predeterminado es User (Usuario). Si no se selecciona ningún destinatario, las notificaciones no se envían cuando se crean las cuentas.
    • Usuario
    • Gestor de usuarios
  3. Configuración de cuentas existentes
    Nota

    Solo puede definir estas configuraciones si lo permite el administrador del sistema. Cuando se activa la configuración de cese de cuenta global, los administradores de la aplicación no pueden gestionar la configuración de cese de cuenta en el nivel de sistema orquestado.
    1. Seleccionar qué hacer con las cuentas cuando comience el cese anticipado: seleccione la acción que se debe realizar cuando comience un cese anticipado. Esto sucede cuando necesita revocar los accesos de identidad antes de la fecha de cese oficial.
      • Suprimir: suprime todas las cuentas y permisos gestionados por Oracle Access Governance.
        Nota

        Si un sistema orquestado específico no soporta la acción, no se realiza ninguna acción.
      • Desactivar: desactiva todas las cuentas y desactiva los permisos gestionados por Oracle Access Governance.
        • Suprimir los permisos para las cuentas desactivadas: para garantizar un acceso residual cero, seleccione esta opción para suprimir los permisos asignados directamente y los permisos otorgados por políticas durante la desactivación de la cuenta.
      • Sin acción: no se realiza ninguna acción cuando Oracle Access Governance marca una identidad para su terminación anticipada.
    2. Seleccionar qué hacer con las cuentas en la fecha de cese: seleccione la acción que se debe realizar durante el cese oficial. Esto sucede cuando necesita revocar los accesos de identidad en la fecha de cese oficial.
      • Suprimir: suprime todas las cuentas y permisos gestionados por Oracle Access Governance.
        Nota

        Si el sistema orquestado específico no soporta la acción Suprimir, no se realiza ninguna acción.
      • Desactivar: desactiva todas las cuentas y desactiva los permisos gestionados por Oracle Access Governance.
        • Suprimir los permisos para las cuentas desactivadas: para garantizar un acceso residual cero, seleccione esta opción para suprimir los permisos asignados directamente y los permisos otorgados por políticas durante la desactivación de la cuenta.
        Nota

        Si el sistema orquestado específico no soporta la acción Desactivar, se suprime la cuenta.
      • Sin acción: Oracle Access Governance no realiza ninguna acción en las cuentas y los permisos.
  4. Cuando una identidad abandona la empresa, debe eliminar el acceso a sus cuentas.
    Nota

    Solo puede definir estas configuraciones si lo permite el administrador del sistema. Cuando se activa la configuración de cese de cuenta global, los administradores de la aplicación no pueden gestionar la configuración de cese de cuenta en el nivel de sistema orquestado.

    Seleccione una de las siguientes acciones para la cuenta:

    • Suprimir: suprime todas las cuentas y permisos gestionados por Oracle Access Governance.
    • Desactivar: desactive todas las cuentas y marque los permisos como inactivos.
      • Suprimir los permisos para las cuentas desactivadas: suprima los permisos asignados directamente y otorgados por la política durante la desactivación de la cuenta para garantizar un acceso residual cero.
    • Sin acción: no realice ninguna acción cuando una identidad abandone la organización.
    Nota

    Estas acciones solo están disponibles si están soportadas por el tipo de sistema orquestado. Por ejemplo, si Suprimir no está soportado, solo verá las opciones Desactivar y Sin acción.
  5. Cuando se eliminan todos los permisos de una cuenta, por ejemplo, cuando una identidad se mueve entre departamentos, puede que tenga que decidir qué hacer con la cuenta. Seleccione una de las siguientes acciones, si son compatibles con el tipo de sistema orquestado:
    • Suprimir
    • Desactivar
    • No hay acciones
  6. Gestionar cuentas que no han sido creadas por Access Governance: seleccione esta opción para gestionar cuentas que se hayan creado directamente en el sistema orquestado. Con esto, puede conciliar cuentas existentes y gestionarlas desde Oracle Access Governance.
Nota

Si no configura el sistema como un sistema gestionado, se mostrará este paso del flujo de trabajo, pero no estará activado. En este caso, debe continuar directamente con el paso Configuración de integración del flujo de trabajo.
Nota

Si el sistema orquestado requiere la detección de esquemas dinámicos, al igual que con las integraciones de tablas de aplicación de base de datos y REST genéricas, solo se puede definir el destino de correo electrónico de notificación (Usuario, Usermanager) al crear el sistema orquestado. No puede definir las reglas de desactivación/supresión para los movimientos y los elementos salientes. Para ello, debe crear el sistema orquestado y, a continuación, actualizar los valores de cuenta como se describe en Configure Orchestrated System Account Settings.

Configurar

En el paso Configurar del flujo de trabajo, introduzca los detalles de configuración necesarios para permitir que Oracle Access Governance se conecte al sistema mediante el conector REST genérico.

  1. ¿Cuál es el OCID de arrendamiento de OCI de la función OCI?: introduzca el OCID (identificador de Oracle Cloud) para su función OCI. Consulte Dónde obtener el OCID del arrendamiento y el OCID del usuario. Por ejemplo, ocid1.oc1..aabdgsegsccawmw2o6qraopae7egmlochlopclhnwxq6pctu6oocgn.
  2. ¿Cuál es el código de región de la función de OCI?: introduzca la región principal del arrendamiento de OCI de destino mediante el identificador de región. Por ejemplo, para US East (Ashburn), el identificador de región es us-ashburn-1. Consulte Región principal y ¿Cómo puedo encontrar mi región principal del arrendamiento?.
  3. ¿Cuál es el ID de compartimento de la función de OCI?: introduzca el ID de compartimento de la función que desea integrar.
  4. ¿Cuál es el nombre de la aplicación de la función de OCI?: introduzca el nombre de la aplicación de la función que desea integrar.
  5. Versión de función: introduzca la versión de función de la función que desea integrar.
  6. Duración de la TTL de caché de plantillas de solicitud (en minutos): duración para la que se almacenará en caché esta plantilla. Si el tiempo se define como 0, no se realizará el almacenamiento en caché. Cuando caduque la caché, se llamará a la función OCI para obtener la nueva plantilla. El tiempo de caché debe ser inferior al tiempo de caducidad del token para evitar que se borren las conexiones debido a que el token ha caducado.
  7. Duración de la caché de plantillas de respuesta (en minutos): duración para la que se almacenará en caché esta plantilla. Si el tiempo se define como 0, no se realizará el almacenamiento en caché. Cuando caduque la caché, se llamará a la función OCI para obtener la nueva plantilla. El tiempo de caché debe ser inferior al tiempo de caducidad del token para evitar que se borren las conexiones debido a que el token ha caducado.
  8. Duración de la caché de plantillas de prueba (en minutos): duración para la que se almacenará en caché las plantillas de prueba. Si el tiempo se define como 0, no se realizará el almacenamiento en caché. Cuando caduque la caché, se llamará a la función OCI para obtener la nueva plantilla. El tiempo de caché debe ser inferior al tiempo de caducidad del token para evitar que se borren las conexiones debido a que el token ha caducado.
  9. Duración de la plantilla del esquema (en minutos): duración para la que se almacenará en caché el esquema. Si el tiempo se define como 0, no se realizará el almacenamiento en caché. Cuando caduque la caché, se llamará a la función OCI para obtener la nueva plantilla. El tiempo de caché debe ser inferior al tiempo de caducidad del token para evitar que se borren las conexiones debido a que el token ha caducado.
  10. Timeout de Respuesta de Lectura (en segundos): introduzca un valor entero que especifique el número de segundos que se debe recibir la respuesta de la
  11. Tiempo de espera de conexión (en segundos): valor entero que especifica el número de segundos tras el cual un intento para establecer conexión entre el Sistema de destino y AGCS sufra un timeout.
  12. Haga clic en Agregar .
  13. ¿Políticas de OCI necesarias?: copie las sentencias exactas en el compartimento root del arrendamiento relevante. Consulte Gestión de políticas para aplicar las políticas al arrendamiento.

Finalizar

En el paso final, Termine, puede elegir si desea configurar aún más el sistema orquestado antes de ejecutar una carga de datos, o bien aceptar la configuración por defecto e iniciar una carga de datos. Seleccione una de las siguientes opciones:
  • Personalizar antes de activar el sistema para cargas de datos
  • Activar y preparar la carga de datos con los valores por defecto proporcionados

Migrar acceso de clave de API a acceso de entidad de recurso

Si ya tiene sistemas orquestados que utilizan el método de acceso de clave de API para conectarse, debe migrar lo antes posible al método de acceso de entidad de recurso.

Para migrar el acceso de clave de API al acceso de entidad de recurso:

  1. Vaya a la página Configuración de integración siguiendo las instrucciones proporcionadas en Configurar valores de integración del sistema orquestado.
  2. En la página Configuración de integración, verá una advertencia de desuso. Seleccione el botón Más información sobre la migración.
  3. Copie las políticas exactas en el compartimento raíz como se muestra en la consola. Consulte Creación de una política para obtener más información sobre cómo aplicar las políticas.
    Nota

    Las políticas necesarias varían en función de dónde se alojen sus funciones de OCI y su instancia de Oracle Access Governance (por ejemplo, en el mismo arrendamiento frente a distintos arrendamientos).

  4. Una vez que haya aplicado políticas, seleccione Probar integración para comprobar la conexión. Si tiene algún error o mensaje, revise la configuración. No podrá completar la migración hasta que la prueba se realice correctamente.
  5. Si se confirma la conexión, haga clic en el botón Migrar para iniciar la migración.
  6. Cuando se completa la migración, se muestra un mensaje de confirmación
Nota

Una vez que haya completado la migración al método de entidad de recurso, no podrá revertir el procedimiento ni restablecer el método de claves de API en el sistema orquestado.

Configuración Posterior

Una vez que haya configurado el sistema REST orquestado genérico, puede navegar a la página Orchestrated System y comprobar las operaciones en el log de actividades. Algunas de las operaciones que puede ver incluyen:
  • Detección de Esquemas: el sistema REST orquestado genérico no tiene esquemas en tiempo de diseño y despliegue. Como parte del ciclo de vida de la orquestación, se debe realizar la detección de esquemas para actualizar el sistema orquestado con detalles del esquema y las clases de objetos para el origen autorizado o el sistema gestionado necesarios. Para obtener más información sobre la detección de esquemas, consulte Generic Rest Schema Discovery.
  • Validar: esta operación realiza las siguientes tareas:
    • Llama a la plantilla de prueba, que a su vez llama al punto final especificado en la plantilla y comprueba la conectividad con el sistema gestionado.
    • Llama a la plantilla de esquema y recupera toda la información de esquema para el sistema gestionado, incluidas las entidades y los atributos.
  • Carga de datos de consulta: si se define alguna consulta, se cargan los datos correspondientes a las consultas.
  • Carga de datos completa: esta operación cargará los datos de las entidades especificadas e introducirá.