Documentación de Oracle Cloud Infrastructure

Integración con Oracle Unified Directory

El conector de Oracle Unified Directory integra Oracle Access Governance con Oracle Unified Directory. Puede establecer una conexión entre Oracle Unified Directory y Oracle Access Governance introduciendo los detalles de conexión y configurando el conector. Para ello, utilice la funcionalidad Sistemas orquestados disponible en la consola de Oracle Access Governance.

Preinstalación

Antes de instalar y configurar un sistema orquestado de Oracle Unified Directory, debe tener en cuenta los siguientes requisitos y tareas.

Componentes Certificados

El sistema puede ser cualquiera de las siguientes opciones:

  • Oracle Unified Directory 11g 11.1.1.5.0, 11.1.2.0.0, 11.1.2.2.0 y 11.1.2.3.0
  • Oracle Unified Directory 12c 12.2.1.3.0 y 12.2.1.4.0
  • Oracle Unified Directory 14c 14.1.2.1.0

Operaciones soportadas (autorizadas)

El sistema orquestado de Oracle Unified Directory soporta las siguientes operaciones en las que Oracle Unified Directory es el origen autorizado de las identidades:

  • Crear usuario
  • Actualizar el usuario
  • Suprimir usuario
  • Activar usuario
  • Desactivar el usuario
  • Restablecer Contraseña
  • Crear grupo o unidad de organización
  • Actualizar nombre de grupo o nombre de unidad de organización
  • Suprimir grupo o unidad de organización
  • Actualizar DN de contenedor
  • Agregar Grupos
  • Revocar grupos

Operaciones soportadas (no autorizadas)

El sistema orquestado de Oracle Unified Directory soporta las siguientes operaciones en las que Oracle Unified Directory es un sistema gestionado:

  • Crear usuario
  • Restablecer Contraseña
  • Agregar Grupos
  • Revocar grupos

Creación de una cuenta de usuario del sistema para operaciones de sistema orquestadas de Oracle Unified Directory

Oracle Access Governance necesita una cuenta de usuario para acceder al sistema durante las operaciones de servicio. Según el sistema que utilice, puede crear el usuario en el sistema y asignar permisos y roles específicos al usuario.

Para Oracle Unified Directory:

Debe crear una cuenta de usuario del sistema para realizar las siguientes funciones.
  • Cree, modifique y suprima entradas relacionadas con los objetos gestionados, incluidas las cuentas, los grupos, los roles (si se admiten) y las unidades organizativas (ou).
  • Actualizar contraseñas para usuarios.
Cree una cuenta de usuario administrador en el sistema Oracle Unified Directory. Para obtener detalles sobre cómo hacerlo, consulte las secciones relevantes de lo siguiente:

Instalar

Puede establecer una conexión entre Oracle Unified Directory y Oracle Access Governance introduciendo los detalles de conexión y configurando el entorno de OUD. Para ello, utilice la funcionalidad de sistemas orquestados disponible en la consola de Oracle Access Governance.

Navegar a la página Orchestrated Systems

Vaya a la página Orchestrated Systems de la consola de Oracle Access Governance siguiendo estos pasos:
  1. En el icono de menú de navegación de Oracle Access Governance Menú de navegación, seleccione Administración de servicios → Sistemas orquestados.
  2. Seleccione el botón Add an Orchestrated system (Agregar un sistema orquestado) para iniciar el flujo de trabajo.

Seleccionar sistema

En el paso Seleccionar sistema del flujo de trabajo, especifique el tipo de sistema que desea incorporar.

  1. Seleccione Oracle Unified Directory y haga clic en Siguiente.

Introducir detalles

En el paso Agregar detalles del flujo de trabajo, introduzca los detalles del sistema orquestado:
  1. Introduzca un nombre para el sistema al que desea conectarse en el campo Nombre.
  2. Introduzca una descripción para el sistema en el campo Description (Descripción).
  3. Decida si este sistema orquestado es un origen autorizado y si Oracle Access Governance puede gestionar permisos mediante la definición de las siguientes casillas de control.
    • Este es el origen autorizado de mis identidades

      Seleccione uno de estos procedimientos:

      • Origen de las identidades y sus atributos: el sistema actúa como identidades de origen y atributos asociados. Se crean nuevas identidades a través de esta opción.
      • Solo origen de atributos de identidad: el sistema ingiere detalles de atributos de identidad adicionales y se aplica a las identidades existentes. Esta opción no ingiere ni crea nuevos registros de identidad.
    • Quiero gestionar los permisos de este sistema
    El valor predeterminado en cada caso es No seleccionado.
  4. Seleccione Next (Siguiente).

Agregar propietarios

Puede asociar la propiedad de recursos agregando propietarios principales y adicionales. Esto impulsa el autoservicio, ya que estos propietarios pueden gestionar (leer, actualizar o suprimir) los recursos que poseen. Por defecto, el creador del recurso se designa como propietario del recurso. Puede asignar un propietario principal y hasta 20 propietarios adicionales para los recursos.
Nota

Al configurar el primer sistema orquestado para la instancia de servicio, solo puede asignar propietarios después de activar las identidades en la sección Gestionar identidades.
Para agregar propietarios:
  1. Seleccione un usuario activo de Oracle Access Governance como propietario principal en el campo ¿Quién es el propietario principal?.
  2. Seleccione uno o más propietarios adicionales en la lista ¿Quién más los posee?. Puede agregar hasta 20 propietarios adicionales para el recurso.
Puede ver el propietario principal en la lista. Todos los propietarios pueden ver y gestionar los recursos de los que son propietarios.

Configuración de la Cuenta

En el paso Configuración de cuenta del flujo de trabajo, introduzca cómo desea que Oracle Access Governance gestione las cuentas cuando el sistema esté configurado como un sistema gestionado:
  1. Cuando se solicite un permiso y la cuenta no exista, seleccione esta opción para crear nuevas cuentas. Esta opción está seleccionada por defecto. Cuando se selecciona, Oracle Access Governance crea una cuenta si no existe una cuando se solicita un permiso. Si desactiva esta opción, los permisos se aprovisionan solo para las cuentas existentes en el sistema orquestado. Si no existe ninguna cuenta, la operación de aprovisionamiento falla.
  2. Seleccione los destinatarios de los correos electrónicos de notificación cuando se cree una cuenta. El destinatario predeterminado es User (Usuario). Si no se selecciona ningún destinatario, las notificaciones no se envían cuando se crean las cuentas.
    • Usuario
    • Gestor de usuarios
  3. Configuración de cuentas existentes
    Nota

    Solo puede definir estas configuraciones si lo permite el administrador del sistema. Cuando se activa la configuración de cese de cuenta global, los administradores de la aplicación no pueden gestionar la configuración de cese de cuenta en el nivel de sistema orquestado.
    1. Seleccionar qué hacer con las cuentas cuando comience el cese anticipado: seleccione la acción que se debe realizar cuando comience un cese anticipado. Esto sucede cuando necesita revocar los accesos de identidad antes de la fecha de cese oficial.
      • Suprimir: suprime todas las cuentas y permisos gestionados por Oracle Access Governance.
        Nota

        Si un sistema orquestado específico no soporta la acción, no se realiza ninguna acción.
      • Desactivar: desactiva todas las cuentas y desactiva los permisos gestionados por Oracle Access Governance.
        • Suprimir los permisos para las cuentas desactivadas: para garantizar un acceso residual cero, seleccione esta opción para suprimir los permisos asignados directamente y los permisos otorgados por políticas durante la desactivación de la cuenta.
      • Sin acción: no se realiza ninguna acción cuando Oracle Access Governance marca una identidad para su terminación anticipada.
    2. Seleccionar qué hacer con las cuentas en la fecha de cese: seleccione la acción que se debe realizar durante el cese oficial. Esto sucede cuando necesita revocar los accesos de identidad en la fecha de cese oficial.
      • Suprimir: suprime todas las cuentas y permisos gestionados por Oracle Access Governance.
        Nota

        Si el sistema orquestado específico no soporta la acción Suprimir, no se realiza ninguna acción.
      • Desactivar: desactiva todas las cuentas y desactiva los permisos gestionados por Oracle Access Governance.
        • Suprimir los permisos para las cuentas desactivadas: para garantizar un acceso residual cero, seleccione esta opción para suprimir los permisos asignados directamente y los permisos otorgados por políticas durante la desactivación de la cuenta.
        Nota

        Si el sistema orquestado específico no soporta la acción Desactivar, se suprime la cuenta.
      • Sin acción: Oracle Access Governance no realiza ninguna acción en las cuentas y los permisos.
  4. Cuando una identidad abandona la empresa, debe eliminar el acceso a sus cuentas.
    Nota

    Solo puede definir estas configuraciones si lo permite el administrador del sistema. Cuando se activa la configuración de cese de cuenta global, los administradores de la aplicación no pueden gestionar la configuración de cese de cuenta en el nivel de sistema orquestado.

    Seleccione una de las siguientes acciones para la cuenta:

    • Suprimir: suprime todas las cuentas y permisos gestionados por Oracle Access Governance.
    • Desactivar: desactive todas las cuentas y marque los permisos como inactivos.
      • Suprimir los permisos para las cuentas desactivadas: suprima los permisos asignados directamente y otorgados por la política durante la desactivación de la cuenta para garantizar un acceso residual cero.
    • Sin acción: no realice ninguna acción cuando una identidad abandone la organización.
    Nota

    Estas acciones solo están disponibles si están soportadas por el tipo de sistema orquestado. Por ejemplo, si Suprimir no está soportado, solo verá las opciones Desactivar y Sin acción.
  5. Cuando se eliminan todos los permisos de una cuenta, por ejemplo, cuando una identidad se mueve entre departamentos, puede que tenga que decidir qué hacer con la cuenta. Seleccione una de las siguientes acciones, si son compatibles con el tipo de sistema orquestado:
    • Suprimir
    • Desactivar
    • No hay acciones
  6. Gestionar cuentas que no han sido creadas por Access Governance: seleccione esta opción para gestionar cuentas que se hayan creado directamente en el sistema orquestado. Con esto, puede conciliar cuentas existentes y gestionarlas desde Oracle Access Governance.
Nota

Si no configura el sistema como un sistema gestionado, se mostrará este paso del flujo de trabajo, pero no estará activado. En este caso, debe continuar directamente con el paso Configuración de integración del flujo de trabajo.
Nota

Si el sistema orquestado requiere la detección de esquemas dinámicos, al igual que con las integraciones de tablas de aplicación de base de datos y REST genéricas, solo se puede definir el destino de correo electrónico de notificación (Usuario, Usermanager) al crear el sistema orquestado. No puede definir las reglas de desactivación/supresión para los movimientos y los elementos salientes. Para ello, debe crear el sistema orquestado y, a continuación, actualizar los valores de cuenta como se describe en Configure Orchestrated System Account Settings.

Configuración de integración

En el paso Configuración de integración del flujo de trabajo, introduzca los detalles de configuración necesarios para permitir que Oracle Access Governance se conecte al Oracle Unified Directory de destino.

  1. En el campo Host, introduzca el nombre de host o la dirección IP del directorio que desea integrar con Oracle Access Governance.
  2. En el campo Port (Puerto), introduzca el valor del número de puerto TCP/IP utilizado para comunicarse con el servidor LDAP.
  3. Introduzca el nombre distintivo que utilizará para autenticarse en el directorio, en el campo Administrator Username (Nombre de usuario del administrador). Este es el usuario que ha creado en Creación de una cuenta de usuario de sistema de destino para operaciones de sistema orquestadas de Oracle Unified Directory.
  4. Introduzca la contraseña del nombre distintivo de destino en el campo Password (Contraseña). Confirme la contraseña en el campo Confirmar contraseña.
  5. Introduzca un contexto base desde el que iniciar las búsquedas de usuarios y grupos en el campo Contextos base.
  6. En el campo Failover, introduzca una lista de servidores de failover con el formato <servername>:<port>, <servername>:<port>, ..., por ejemplo OUDExample1:636, OUDExample1:636, ...
  7. En el campo SSL Enabled (SSL activado), asegúrese de que el valor true esté seleccionado.
  8. Compruebe el panel de la derecha para ver Lo que he seleccionado. Si está satisfecho con los detalles introducidos, seleccione Agregar para crear el sistema orquestado.

Finalizar

El paso final del flujo de trabajo es Finalizar, donde se le pedirá que descargue el agente para el sistema orquestado. Una vez descargado el agente, puede instalar y configurar el agente en su entorno mediante las instrucciones de Instalación de Oracle Access Governance Agent.

Se le permite elegir si desea configurar aún más el sistema orquestado antes de ejecutar una carga de datos, o aceptar la configuración por defecto e iniciar una carga de datos. Seleccione una de las siguientes opciones:
  • Personalizar antes de activar el sistema para cargas de datos
  • Activar y preparar la carga de datos con los valores por defecto proporcionados

Después de la instalación

No hay pasos posteriores a la instalación asociados a un sistema Oracle Unified Directory.

Referencia

Oracle Access Governance soporta los siguientes atributos por defecto de Oracle Unified Directory.

Asignación de atributos de cuenta (modo de autorización)
Entidad Atributo de cuenta de Oracle Unified Directory Atributo de cuenta de Oracle Access Governance Nombre mostrado de Oracle Access Governance
Usuario Inicio de sesión de usuario UID Identificador Único
UID nombre Nombre de usuario del empleado
DN Completo fullDN DN completo
correo correo electrónico Correo electrónico
givenName firstName Nombre
initials middleName Segundo nombre
sn lastName Apellido
gestor managerLogin Mánager
Estado estado Estado
departmentnumber departamento Departamento
l ubicación Ubicación
Asignación de atributos de cuenta (modo Gestionar permisos)
Entidad Atributo de cuenta de Oracle Unified Directory Atributo de cuenta de Oracle Access Governance Nombre mostrado de Oracle Access Governance
Usuario NsuniqueID UID Identificador Único
UID nombre Inicio de sesión de usuario
DN completo fullDn DN completo
Contraseña contraseña Contraseña
título título Title
nombre dado firstName Nombre
initials middleName Segundo nombre
sn lastName Apellido
ContainerDN containerDN DN de Contenedor
correo emailID Correo electrónico
cn Nombre Común Nombre Común
departmentnumber departamento Departamento
l ubicación Ubicación
número de teléfono teléfono Teléfono
idioma preferido idioma preferido Idioma preferido
inicio de sesión desactivado loginDisabled Conexión desactivada
Estado estado Estado
buildingName buildingName Nombre de edificio
displayName displayName Nombre mostrado
o organizationName Nombre de la Organización
homePhone homePhone Teléfono Particular
móvil móvil Móvil
orclActiveStartDate startDate Fecha de inicio
orclActiveEndDate endDate Fecha de Finalización
orclTimeZone timeZone Zona horaria
orclGuid orclGUID GUID (identificador global)
Nombre de grupo grupos como derechos Grupos
Rol rol como derecho Roles