Documentación de Oracle Cloud Infrastructure

Integración con el ID de Microsoft Entra

Requisitos

Antes de instalar y configurar un sistema orquestado de Microsoft Entra ID, debe tener en cuenta los siguientes requisitos y tareas.

Componentes Certificados

El sistema Microsoft Entra ID puede ser cualquiera de los siguientes:

Componentes Certificados
Tipo de Componente Componente
Sistema
  • Microsoft Entra ID
  • ID de Microsoft Entra con inquilino habilitado de negocio a consumidor (B2C)
Versión de API del sistema
  • Microsoft Entra ID
  • API de Microsoft Graph v1.0
  • API de autenticación de Microsoft versión v2.0 (OAuth 2.0)

Modos soportados

El sistema orquestado por Microsoft Entra ID admite los siguientes modos:

  • Origen autorizado
  • Sistema gestionado

Operaciones Soportadas

El sistema orquestado de Microsoft Entra ID admite las siguientes operaciones en Microsoft Entra ID:
  • Crear usuario
  • Suprimir usuario
  • Restablecer Contraseña
  • Asignación de roles a un usuario
  • Revocar roles de un usuario
  • Asignación de licencias a un usuario
  • Eliminar licencias de un usuario
  • Asignar SecurityGroup a un usuario
  • Eliminar SecurityGroup de un usuario
  • Asignar OfficeGroup a un usuario
  • Eliminar OfficeGroup de un usuario

Atributos soportados por defecto

El sistema orquestado por Microsoft Entra ID admite los siguientes atributos predeterminados. Estos atributos se asignan en función de la dirección de la conexión, por ejemplo:
  • Los datos que ingiere Oracle Access Governance desde el ID de Microsoft Entra: User.givenName se asignarán a Identity.firstName
  • Los datos que se aprovisionan en el ID de Microsoft Entra desde Oracle Access Governance: account.lastName se asignará a User.surname
Atributos por defecto - Origen autorizado
Entidad de inquilino habilitada para B2C con ID de Microsoft Entra/ID de Microsoft Entra Nombre de atributo en sistema gestionado Nombre de atributo de identidad de Oracle Access Governance Nombre mostrado de atributo de identidad de Oracle Access Governance
Usuario id UID Identificador Único
mailNickname nombre Nombre de usuario del empleado
userPrincipalName correo electrónico Correo electrónico
givenName firstName Nombre
apellido lastName Apellido
displayName displayName Nombre
usageLocation usageLocation Nombre de localidad
gestor managerLogin Mánager
preferredLanguage preferredLanguage Idioma preferido
accountEnabled estado Estado
Atributos adicionales para el inquilino activado para B2C identidades identities.issuerAssignedId identidades
identidades identities.signInType Tipo de conexión
identidades identities.issuer Emisor
passwordPolicies passwordPolicy Política de contraseñas
Atributos por defecto - Sistema gestionado
Entidad de inquilino habilitada para B2C con ID de Microsoft Entra/ID de Microsoft Entra Nombre de atributo en sistema gestionado Nombre de atributo de cuenta de Oracle Access Governance Nombre mostrado de atributo de cuenta de Oracle Access Governance
Usuario id UID Identificador Único
userPrincipalName nombre Inicio de sesión de usuario
givenName firstName Nombre
apellido lastName Apellido
displayName displayName Nombre
mailNickname mailNickname Alias de correo
correo correo electrónico Correo electrónico
usageLocation usageLocation Ubicación de uso
ciudad ciudad Ciudad
país país País
gestor managerLogin Mánager
passwordProfile.forceChangePasswordNextSignIn forceChangePasswordNextSignIn Cambiar contraseña en la siguiente conexión
preferredLanguage preferredLanguage Idioma preferido
userType userType Tipo de Empleado
accountEnabled estado Estado
contraseña contraseña Contraseña
Atributos adicionales para el inquilino activado para B2C
identities.issuerAssignedId issuerAssignedId ID asignado de emisor
identities.signInType signInType Tipo de conexión
identities.issuer emisor Emisor
passwordPolicies passwordPolicy Política de Contraseñas
Licencias licencias como derecho

Configuración y valores de la aplicación Microsoft Enterprise

Antes de establecer una conexión, debe realizar las siguientes tareas en el Centro de administración de Microsoft Entra ID para la aplicación Enterprise:
  1. Cree y registre una aplicación empresarial que desee integrar con Oracle Access Governance. Para obtener más información, consulte la documentación de Microsoft.
  2. Generar un secreto de cliente para la aplicación
  3. Otorgue los siguientes permisos de aplicación y delegados para la API de Microsoft Graph:

    Permisos Delegados

    • Directory.ReadWrite.All
    • Group.ReadWrite.All
    • GroupMember.ReadWrite.All
    • User.Read
    • User.ReadWrite

    Permisos Solicitud

    • Directory.ReadWrite.All
    • Group.ReadWrite.All
    • GroupMember.ReadWrite.All
    • User.ReadWrite.All
    • RoleManagement.ReadWrite.Directory
  4. Seleccione el botón Otorgar consentimiento de administrador para proporcionar permisos completos en todo el directorio para realizar las tareas de API relacionadas para un sistema integrado

Para obtener más información, consulte la documentación de Microsoft.

Reglas de confrontación por defecto

Para asignar cuentas a identidades en Oracle Access Governance, debe tener una regla de coincidencia para cada regla de coincidencia por defecto system.The orquestada para el sistema orquestado de Microsoft Entra ID:

Reglas de confrontación por defecto
Modo Regla de confrontación por defecto
Origen autorizado

La coincidencia de identidad comprueba si las identidades entrantes coinciden con una identidad existente o son nuevas.

Para Microsoft Entra ID/Para Microsoft Entra ID B2C-Enabled Tenant:

Valor de pantalla:

User login = Email

Nombre de atributo:

Account.userPrincipalName = Identity.name

Sistema gestionado

La confrontación de cuentas comprueba si las cuentas entrantes coinciden con las identidades existentes.

Para el ID de Microsoft Entra:

Valor de pantalla:

User login = Email

Nombre de atributo:

Account.userPrincipalName = Identity.name

Para el inquilino con el ID de Microsoft Entra activado para B2C:

Valor de pantalla:

Email = Email

Nombre de atributo:

Account.mail = Identity.email

Configurar

Puede establecer una conexión entre Microsoft Entra ID (anteriormente Azure Active Directory) y Oracle Access Governance introduciendo los detalles de la conexión. Para ello, utilice la funcionalidad de sistemas orquestados disponible en la consola de Oracle Access Governance.

Navegar a la página Orchestrated Systems

Vaya a la página Orchestrated Systems de la consola de Oracle Access Governance siguiendo estos pasos:
  1. En el icono de menú de navegación de Oracle Access Governance Menú de navegación, seleccione Administración de servicios → Sistemas orquestados.
  2. Seleccione el botón Add an Orchestrated system (Agregar un sistema orquestado) para iniciar el flujo de trabajo.

Seleccionar sistema

En el paso Seleccionar sistema del flujo de trabajo, puede especificar qué tipo de sistema desea incorporar. Puede buscar el sistema necesario por nombre mediante el campo Buscar.

  1. Seleccione ID de Microsoft Entra.
  2. Haga clic en Siguiente.

Introducir detalles

En el paso Agregar detalles del flujo de trabajo, introduzca los detalles del sistema orquestado:
  1. Introduzca un nombre para el sistema al que desea conectarse en el campo Nombre.
  2. Introduzca una descripción para el sistema en el campo Descripción.
  3. Decida si este sistema orquestado es un origen autorizado y si Oracle Access Governance puede gestionar permisos mediante la definición de las siguientes casillas de control.
    • Este es el origen autorizado de mis identidades

      Seleccione uno de estos procedimientos:

      • Origen de las identidades y sus atributos: el sistema actúa como identidades de origen y atributos asociados. Se crean nuevas identidades a través de esta opción.
      • Solo origen de atributos de identidad: el sistema ingiere detalles de atributos de identidad adicionales y se aplica a las identidades existentes. Esta opción no ingiere ni crea nuevos registros de identidad.
    • Quiero gestionar los permisos de este sistema
    El valor predeterminado en cada caso es No seleccionado.
  4. Seleccione Next (Siguiente).
Nota

El sistema orquestado de Microsoft Entra ID permite gestionar grupos en Microsoft Entra ID mediante la opción Deseo gestionar recopilaciones de identidades para este sistema orquestado. Si se selecciona, esta casilla de control permite gestionar grupos de ID de Microsoft Entra desde Oracle Access Governance. Cualquier cambio realizado en los grupos de Microsoft Entra ID se conciliará entre Oracle Access Governance y el sistema orquestado. Del mismo modo, cualquier cambio realizado en Microsoft Entra ID se reflejará en Oracle Access Governance

Agregar Propietarios

Puede asociar la propiedad de recursos agregando propietarios principales y adicionales. Esto impulsa el autoservicio, ya que estos propietarios pueden gestionar (leer, actualizar o suprimir) los recursos que poseen. Por defecto, el creador del recurso se designa como propietario del recurso. Puede asignar un propietario principal y hasta 20 propietarios adicionales para los recursos.
Nota

Al configurar el primer sistema orquestado para la instancia de servicio, solo puede asignar propietarios después de activar las identidades en la sección Gestionar identidades.
Para agregar propietarios:
  1. Seleccione un usuario activo de Oracle Access Governance como propietario principal en el campo ¿Quién es el propietario principal?.
  2. Seleccione uno o más propietarios adicionales en la lista ¿Quién más los posee?. Puede agregar hasta 20 propietarios adicionales para el recurso.
Puede ver el propietario principal en la lista. Todos los propietarios pueden ver y gestionar los recursos de los que son propietarios.

Configuración de la Cuenta

En el paso Configuración de cuenta del flujo de trabajo, introduzca cómo desea que Oracle Access Governance gestione las cuentas cuando el sistema esté configurado como un sistema gestionado:
  1. Cuando se solicite un permiso y la cuenta no exista, seleccione esta opción para crear nuevas cuentas. Esta opción está seleccionada por defecto. Cuando se selecciona, Oracle Access Governance crea una cuenta si no existe una cuando se solicita un permiso. Si desactiva esta opción, los permisos se aprovisionan solo para las cuentas existentes en el sistema orquestado. Si no existe ninguna cuenta, la operación de aprovisionamiento falla.
  2. Seleccione los destinatarios de los correos electrónicos de notificación cuando se cree una cuenta. El destinatario predeterminado es User (Usuario). Si no se selecciona ningún destinatario, las notificaciones no se envían cuando se crean las cuentas.
    • Usuario
    • Gestor de usuarios
  3. Configuración de cuentas existentes
    Nota

    Solo puede definir estas configuraciones si lo permite el administrador del sistema. Cuando se activa la configuración de cese de cuenta global, los administradores de la aplicación no pueden gestionar la configuración de cese de cuenta en el nivel de sistema orquestado.
    1. Seleccionar qué hacer con las cuentas cuando comience el cese anticipado: seleccione la acción que se debe realizar cuando comience un cese anticipado. Esto sucede cuando necesita revocar los accesos de identidad antes de la fecha de cese oficial.
      • Suprimir: suprime todas las cuentas y permisos gestionados por Oracle Access Governance.
        Nota

        Si un sistema orquestado específico no soporta la acción, no se realiza ninguna acción.
      • Desactivar: desactiva todas las cuentas y desactiva los permisos gestionados por Oracle Access Governance.
        • Suprimir los permisos para las cuentas desactivadas: para garantizar un acceso residual cero, seleccione esta opción para suprimir los permisos asignados directamente y los permisos otorgados por políticas durante la desactivación de la cuenta.
      • Sin acción: no se realiza ninguna acción cuando Oracle Access Governance marca una identidad para su terminación anticipada.
    2. Seleccionar qué hacer con las cuentas en la fecha de cese: seleccione la acción que se debe realizar durante el cese oficial. Esto sucede cuando necesita revocar los accesos de identidad en la fecha de cese oficial.
      • Suprimir: suprime todas las cuentas y permisos gestionados por Oracle Access Governance.
        Nota

        Si el sistema orquestado específico no soporta la acción Suprimir, no se realiza ninguna acción.
      • Desactivar: desactiva todas las cuentas y desactiva los permisos gestionados por Oracle Access Governance.
        • Suprimir los permisos para las cuentas desactivadas: para garantizar un acceso residual cero, seleccione esta opción para suprimir los permisos asignados directamente y los permisos otorgados por políticas durante la desactivación de la cuenta.
        Nota

        Si el sistema orquestado específico no soporta la acción Desactivar, se suprime la cuenta.
      • Sin acción: Oracle Access Governance no realiza ninguna acción en las cuentas y los permisos.
  4. Cuando una identidad abandona la empresa, debe eliminar el acceso a sus cuentas.
    Nota

    Solo puede definir estas configuraciones si lo permite el administrador del sistema. Cuando se activa la configuración de cese de cuenta global, los administradores de la aplicación no pueden gestionar la configuración de cese de cuenta en el nivel de sistema orquestado.

    Seleccione una de las siguientes acciones para la cuenta:

    • Suprimir: suprime todas las cuentas y permisos gestionados por Oracle Access Governance.
    • Desactivar: desactive todas las cuentas y marque los permisos como inactivos.
      • Suprimir los permisos para las cuentas desactivadas: suprima los permisos asignados directamente y otorgados por la política durante la desactivación de la cuenta para garantizar un acceso residual cero.
    • Sin acción: no realice ninguna acción cuando una identidad abandone la organización.
    Nota

    Estas acciones solo están disponibles si están soportadas por el tipo de sistema orquestado. Por ejemplo, si Suprimir no está soportado, solo verá las opciones Desactivar y Sin acción.
  5. Cuando se eliminan todos los permisos de una cuenta, por ejemplo, cuando una identidad se mueve entre departamentos, puede que tenga que decidir qué hacer con la cuenta. Seleccione una de las siguientes acciones, si son compatibles con el tipo de sistema orquestado:
    • Suprimir
    • Desactivar
    • No hay acciones
  6. Gestionar cuentas que no han sido creadas por Access Governance: seleccione esta opción para gestionar cuentas que se hayan creado directamente en el sistema orquestado. Con esto, puede conciliar cuentas existentes y gestionarlas desde Oracle Access Governance.
Nota

Si no configura el sistema como un sistema gestionado, se mostrará este paso del flujo de trabajo, pero no estará activado. En este caso, debe continuar directamente con el paso Configuración de integración del flujo de trabajo.
Nota

Si el sistema orquestado requiere la detección de esquemas dinámicos, al igual que con las integraciones de tablas de aplicación de base de datos y REST genéricas, solo se puede definir el destino de correo electrónico de notificación (Usuario, Usermanager) al crear el sistema orquestado. No puede definir las reglas de desactivación/supresión para los movimientos y los elementos salientes. Para ello, debe crear el sistema orquestado y, a continuación, actualizar los valores de cuenta como se describe en Configure Orchestrated System Account Settings.

Valores de Integración

En el paso Configuración de integración del flujo de trabajo, introduzca los detalles de configuración necesarios para permitir que Oracle Access Governance se conecte al ID de Microsoft Entra.

  1. En el campo Host, introduzca el nombre de host de la máquina que aloja el sistema gestionado. Por ejemplo, para la API de Microsoft Graph, puede introducir graph.microsoft.com
  2. En el campo Port (Puerto), introduzca el número de puerto en el que se podrá acceder al sistema. Por defecto, Microsoft Entra ID utiliza el puerto 443.
  3. Introduzca la URL del servidor para la autenticación que valida el ID y secreto del cliente para el sistema gestionado en el campo URL del servidor para la autenticación. Por ejemplo, para autenticar la aplicación mediante la API OAuth 2.0, introduzca la siguiente sintaxis 
    https://login.microsoftonline.com/<Primary Domain or Directory(tenant ID)>/oauth2/v2.0/token
    Para saber cómo recuperar el dominio principal o el ID de inquilino, consulte la documentación de Microsoft.
  4. Introduzca el identificador de cliente (una cadena única) emitido por el servidor de autorización al sistema cliente durante el proceso de registro, en el campo ID de cliente. El ID de cliente, también conocido como ID de aplicación, se obtiene al registrar una aplicación en Microsoft Entra ID. Este valor identifica la aplicación en la plataforma de identidad de Microsoft. Para obtener más información, consulte la documentación de Microsoft.
  5. En el campo Secreto de cliente, introduzca el valor de ID de secreto para autenticar la identidad del sistema. Debe crear un nuevo secreto de cliente para el sistema e introducir el valor en este campo. Utilice este valor solo cuando no utilice la clave privada para la autenticación.
    Nota

    Debe anotar o copiar este valor secreto de cliente, ya que no podrá acceder a él ni verlo una vez salga de la página.
    Para obtener más información, consulte la documentación de Microsoft.
  6. Introduzca la clave privada PEM en el campo Clave privada, solo cuando no utilice el secreto de cliente para la autenticación.

    Solo con fines de prueba, puede generar un certificado autofirmado mediante los siguientes pasos:

    1. Cree una clave privada cifrada que cargará en la instancia de Entra ID.
      openssl req -x509 -newkey rsa:2048 -keyout encrypted_key.pem -out cert.cer -sha256 -days 365
    2. Descifre la clave privada para crear un archivo .pem (decrypted_key.pem en el ejemplo) que pueda introducir como valor para la clave privada al configurar Oracle Access Governance.
      openssl rsa -in encrypted_key.pem -out decrypted_key.pem
    3. Opcionalmente, si la clave privada está en formato PKCS1, convierta la clave descifrada para el formato PKCS8 que está soportado en Oracle Access Governance.
      openssl pkcs8 -topk8 -inform PEM -outform PEM -nocrypt -in decrypted_key.pem -out pkcs8.key
  7. Introduzca el valor de la huella del certificado (X509) en la huella del certificado, solo cuando no esté utilizando el secreto de cliente para la autenticación. .

    Para obtener la huella digital del certificado, realice los siguientes pasos:

    1. Convierta el valor hexadecimal de la huella digital del certificado en binario.
      echo -n "***353DB6DF03567473E299DB5E7F4C***" | xxd -r -p > thumbprint.bin
    2. Convierta la huella binaria en base64, que se puede utilizar en el campo Huella de certificado.
      openssl base64 -in thumbprint.bin -out thumbprint_base64.txt
  8. Seleccione la casilla de control ¿Este entorno activado para inquilino B2C? para ingerir atributos de identidad (Issuer, Tipo de conexión, ID de emisor) para cada usuario. Si alguno de los atributos de identidad se devuelve nulo o está vacío, Oracle Access Governance omite la carga de datos para ese usuario y no ingiere el usuario.
  9. En el campo What is the request timeout? (¿Cuál es el timeout de solicitud?), introduzca la cantidad máxima de tiempo que se debe esperar a que un servidor responda a una solicitud.
  10. Haga clic en Agregar para crear el sistema orquestado.

Finalizar

Por último, puede elegir si desea configurar aún más el sistema orquestado antes de ejecutar una carga de datos, o aceptar la configuración por defecto e iniciar una carga de datos. Seleccione una de las siguientes opciones:
  • Personalizar antes de activar el sistema para cargas de datos
  • Activar y preparar la carga de datos con los valores por defecto proporcionados

Configuración Posterior

No hay pasos posteriores a la instalación asociados a un sistema Microsoft Entra ID.