Documentation sur Oracle Cloud Infrastructure

Pourquoi intégrer vos applications?

L'intégration de vos applications permet aux utilisateurs de se connecter facilement à l'aide de l'authentification unique et vous offre un emplacement central pour gérer leurs autorisations. L'intégration d'applications comprend la sécurisation des utilisateurs, la protection des ressources au sein des applications et l'accès des utilisateurs à vos applications au moyen de l'authentification unique (SSO). L'intégration de vos applications à GIA offre à l'utilisateur une expérience transparente. En raison de l'authentification unique, l'utilisateur n'a pas besoin de mémoriser différents ID et mots de passe pour chaque application. Lorsque vos applications sont intégrées à GIA, vos frais d'administration sont considérablement réduits car vous pouvez gérer les politiques et les utilisateurs de vos applications à partir d'un emplacement central. Sur le plan de la conformité, le service GIA vous offre un emplacement unique où vous pouvez gérer l'accès de vos utilisateurs à vos applications.

Dans le cadre de l'intégration d'applications, le service IAM peut être utilisé en tant que fournisseur d'identités ou de services pour les applications. Un fournisseur d'identités, également appelé fournisseur d'assertion d'identité, fournit des identificateurs pour les utilisateurs qui veulent interagir avec le service IAM à l'aide d'un site Web externe à IAM. Un fournisseur de services est un site Web hébergeant des applications. Vous pouvez activer un fournisseur d'identités et définir un ou plusieurs fournisseurs de services. Vos utilisateurs peuvent alors accéder aux applications hébergées par les fournisseurs de services directement à partir du fournisseur d'identités.

Par exemple, un site Web peut permettre aux utilisateurs de se connecter à GIA avec leurs données d'identification Google. Google agit en tant que fournisseur d'identités et GIA fait office de fournisseur de services. Google vérifie que l'utilisateur est un utilisateur autorisé et retourne des informations au service GIA (par exemple, le nom d'utilisateur et l'adresse de courriel de l'utilisateur, si l'adresse de courriel diffère du nom d'utilisateur).

Certaines applications peuvent nécessiter l'existence d'un compte utilisateur dans leur magasin d'identités local avant que l'utilisateur puisse se connecter pour accéder à ces applications.

Si des utilisateurs ne sont pas créés dans GIA ou importés dans GIA à partir d'un fichier plat, ils doivent être synchronisés à partir d'une source faisant autorité, telle qu'une application RH ou un répertoire LDAP d'entreprise. Pour ce scénario, la source faisant autorité et l'application doivent être intégrées à GIA à des fins de provisionnement et de synchronisation.

Quelle méthode d'intégration utiliser?

Utilisez l'organigramme suivant pour savoir quelle méthode utiliser pour intégrer votre application à GIA.

Description dans le texte

Dans cet organigramme, vous découvrirez la méthode à utiliser pour intégrer votre application à Oracle Identity Cloud Service. Voulez-vous synchroniser les utilisateurs vers ou depuis Microsoft Active Directory (AD)? Dans ce cas, utilisez le pont AD. Si ce n'est pas le cas, voulez-vous synchroniser les utilisateurs à partir d'un annuaire LDAP tel qu'Oracle Internet Directory? Si tel est le cas, utilisez le catalogue d'applications et le pont de provisionnement. Si ce n'est pas le cas, votre application est-elle répertoriée dans le catalogue d'applications? Si tel est le cas, utilisez le modèle du catalogue d'applications pour provisionner ou synchroniser les utilisateurs. Si ce n'est pas le cas, votre application expose-t-elle les API REST basées sur SCIM pour gérer les utilisateurs? Si tel est le cas, utilisez l'un des modèles SCIM génériques pour provisionner ou synchroniser les utilisateurs. Si ce n'est pas le cas, développez et déployez une interface REST SCIM pour votre application et utilisez le modèle d'application SCIM pour provisionner ou synchroniser les utilisateurs.

Les scénarios suivants vous aideront à comprendre cet organigramme à des fins de synchronisation et de provisionnement :

Scénarios de synchronisation de l'utilisateur

L'un des scénarios suivants peut s'appliquer lors de la synchronisation des utilisateurs et des groupes à partir de sources faisant autorité :

Une application RH en tant que source faisant autorité

Lorsqu'une société embauche un employé, un représentant RH ajoute directement les informations de cet employé dans l'application RH. L'application RH contient des informations sur l'utilisateur, telles que son prénom, son nom, son rôle professionnel et son lieu de travail. Ces informations permettent de créer un compte pour l'utilisateur et de lui affecter des applications. Pour ce scénario, vous voulez synchroniser votre compte d'utilisateur dans GIA à partir de l'application RH.

Le service GIA prend en charge l'intégration auprès de l'application RH à l'aide du catalogue d'applications. Si votre application n'est pas répertoriée dans le catalogue d'applications, vous pouvez créer votre propre connecteur ou utiliser le modèle d'application SCIM générique. Ce modèle facilite la configuration de votre application personnalisée lorsque les API SCIM sont exposées. Si votre application n'expose pas les API SCIM, vous pouvez développer une passerelle SCIM personnalisée pour agir en tant qu'interface entre GIA et votre application.

Un annuaire LDAP d'entreprise en tant que source faisant autorité

Certains clients stockent des utilisateurs et des groupes dans un référentiel LDAP, tels que Microsoft Active Directory (AD) ou Oracle Internet Directory. Ces utilisateurs et groupes peuvent s'authentifier auprès de GIA à l'aide de l'authentification unique. Pour que cela soit possible, les utilisateurs et les groupes doivent d'abord être synchronisés depuis le serveur LDAP dans GIA. Pour ce faire, utilisez le pont Microsoft Active Directory (pour AD) ou le pont de provisionnement (pour Oracle Internet Directory).

Scénario pour le provisionnement d'utilisateurs

Le service GIA vous permet d'utiliser des modèles d'application pour provisionner des utilisateurs dans des applications. Dans le catalogue d'applications, vous trouverez une liste des modèles d'application prenant en charge le provisionnement. Ces modèles vous permettent d'intégrer rapidement ces applications à GIA. Si votre application n'est pas répertoriée dans le catalogue d'applications, utilisez le modèle d'application SCIM générique.

Maintenant que vous savez comment utiliser l'organigramme pour sélectionner une méthode d'intégration de votre application à GIA à des fins de provisionnement et de synchronisation, nous allons découvrir chaque type d'intégration plus en détail.

Intégrer GIA aux applications à partir du catalogue d'applications

Cette section fournit des réponses aux questions suivantes pour vous aider à comprendre comment utiliser le catalogue d'applications pour intégrer GIA à des applications de logiciel-service (SaaS) :

Rubriques :

Pourquoi intégrer aux applications SaaS?

Ces dernières années, les clients opèrent une transition de leur système de gestion des accès d’un environnement sur place vers un environnement en nuage. Cela inclut le transfert de leurs actifs (des applications sur place, par exemple) vers le nuage. En raison de la prolifération des applications SaaS en nuage sur le marché, le service GIA doit être en mesure de s'intégrer à ces applications. Le service GIA propose des intégrations prêtes à l'emploi pour des milliers d'applications SaaS. Lorsqu'aucune intégration prédéfinie n'est disponible pour une application SaaS, le service GIA fournit des jeux d'outils SAML et SCIM qui permettent l'intégration des clients. En intégrant vos applications SaaS à GIA, vous disposez d'un emplacement central où vous pouvez non seulement gérer vos applications, mais aussi l'accès dont disposent vos utilisateurs.

Qu'est-ce que le catalogue d'applications?

Le catalogue d'applications est un ensemble de modèles d'application partiellement configurés pour des milliers d'applications SaaS, telles qu'Amazon Web Services et Google Suite. Les modèles permettent de définir une application, de configurer l'authentification unique et de configurer le provisionnement. Oracle crée et tient à jour le catalogue d'applications pour vous. Il fournit des instructions étape par étape qui vous aideront à configurer vos applications.

Quels sont les avantages liés à l'utilisation du catalogue d'applications?

Le catalogue d'applications comporte des intégrations prêtes à l'emploi pour des milliers d'applications SaaS. Lorsqu'une application est disponible dans le catalogue d'applications, la plupart des métadonnées que le service GIA doit intégrer à l'application existent déjà, vous n'avez donc pas besoin de la définir. Moins de cinq minutes sont nécessaires pour configurer la plupart des applications afin qu'elles puissent être intégrées à GIA. Il vous suffit d'accéder au catalogue d'applications, de rechercher une application, de créer une instance de l'application et de fournir les détails de connectivité dont GIA a besoin pour communiquer avec elle. Lors de la configuration d'applications, le service GIA propose des assistants guidés qui vous aideront à effectuer des configurations supplémentaires. Vous disposez ainsi d'une approche cohérente lors de l'utilisation du catalogue d'applications pour intégrer vos applications à GIA.

Utiliser des ponts pour intégrer GIA aux applications sur place

Cette section fournit des réponses aux questions suivantes pour vous aider à comprendre comment utiliser des ponts pour intégrer GIA à des applications sur place, notamment Microsoft Active Directory (AD), un LDAP d'entreprise (tel qu'Oracle Internet Directory) et une application d'affaires (telle qu'Oracle E-Business Suite) utilisée pour gérer et automatiser vos processus liés à l'entreprise :

Rubriques :

Pourquoi utiliser des ponts pour intégrer GIA aux applications sur place?

La plupart des clients utilisent Microsoft Active Directory (AD) comme service de répertoire central. Ces clients utilisent également AD comme répertoire de réseau. Ce répertoire est l'endroit auquel tous les postes de travail des clients sont connectés et où ces derniers gèrent leurs utilisateurs.

En plus du domaine de disponibilité, les clients utilisent :

  • Un LDAP d'entreprise pour centraliser toutes leurs identités d'utilisateur. Ainsi, un client utilise AD pour gérer ses employés, mais dans le serveur LDAP centralisé, il gère ses partenaires, ses consommateurs et tous les autres utilisateurs avec lesquels il est en relation.
  • Des applications d'affaires pour gérer et automatiser les processus au sein de leur entreprise. Ces processus comprennent les processus de gestion des relations avec la clientèle (CRM), de planification des ressources d’entreprise (ERP) et de gestion de la chaîne d’approvisionnement (SCM).

Pour ces raisons, il est impératif qu'IAM puisse s'intégrer à AD, à un LDAP d'entreprise (par exemple, Oracle Internet Directory) et à une application d'affaires sur place (par exemple, Oracle E-Business Suite) pour gérer et automatiser les processus CRM, ERP, SCM et autres processus liés à l'entreprise du client.

Quels sont les types d'intégration d'applications sur place?

Les clients peuvent utiliser GIA pour déterminer le moment où leurs applications basées sur des répertoires seront migrées vers le nuage. En attendant, ils peuvent utiliser l'un des éléments suivants :

  • Pont AD : Ce pont fournit un lien entre la structure de répertoires d'entreprise AD et le service IAM. GIA peut se synchroniser avec cette structure de répertoire de sorte que tous les enregistrements d'utilisateur ou de groupe nouveaux, mis à jour ou supprimés soient transférés dans GIA. Chaque minute, le pont interroge AD pour toutes les modifications apportées à ces enregistrements et les apporte dans IAM. Ainsi, si un utilisateur est supprimé dans AD, cette modification sera propagée dans IAM. Grâce à cette synchronisation, l'état de chaque enregistrement est synchronisé entre AD et IAM. Une fois que l'utilisateur est synchronisé de Microsoft Active Directory à IAM, si vous activez ou désactivez un utilisateur, modifiez les valeurs d'attribut de l'utilisateur ou modifiez l'appartenance à un groupe pour l'utilisateur dans IAM, ces modifications sont propagées à Microsoft Active Directory au moyen du pont AD. Voir Configuration d'un pont Microsoft Active Directory (AD).

  • Pont de provisionnement : Ce pont fournit un lien entre votre LDAP d'entreprise ou une application d'affaires sur place (comme Oracle Internet Directory ou Oracle E-Business Suite) et GIA. Au moyen de la synchronisation, les données de compte créées et mises à jour directement sur LDAP ou l'application d'affaires sont extraites dans GIA et stockées pour les utilisateurs et les groupes GIA correspondants. Toutes les modifications apportées à ces enregistrements seront transférées dans GIA. Ainsi, l'état de chaque enregistrement est synchronisé entre le serveur LDAP ou l'application d'affaires et GIA.

    Une fois les utilisateurs synchronisés entre l'application d'affaires sur place et le service IAM, vous pouvez également utiliser le pont de provisionnement pour provisionner les utilisateurs pour l'application. Le provisionnement vous permet d'utiliser le service IAM pour gérer le cycle de vie des utilisateurs de l'application. Cela inclut la création, la modification, la désactivation, l'activation et la suppression des utilisateurs et de leurs profils dans l'application. Toutes les modifications que vous apportez aux utilisateurs ou à leurs profils dans IAM sont propagées à l'application d'affaires au moyen du pont de provisionnement. Voir Gestion des ponts de provisionnement.