Documentation sur Oracle Cloud Infrastructure

Configurer l'intégration entre Oracle Access Governance et Microsoft Active Directory

Préalables

Avant d'installer et de configurer un système orchestré Microsoft Active Directory ou Microsoft Active Directory Lightweight Directory Services (AD LDS), vous devez tenir compte des préalables et des tâches suivants.

Créer un compte d'utilisateur

Oracle Access Governance nécessite un compte d'utilisateur pour accéder aux systèmes Microsoft Active Directory ou Microsoft Active Directory Lightweight Directory Services (AD LDS) pendant les opérations de service. Selon le système que vous utilisez, vous pouvez créer l'utilisateur dans le système géré et lui affecter des autorisations et des rôles spécifiques.

Créer un compte d'utilisateur pour les opérations de système orchestrées dans Microsoft Active Directory

Pour Microsoft Active Directory :

Vous pouvez utiliser un compte administrateur Microsoft Windows 2008 Server (Contrôleur de domaine) pour les opérations. Vous pouvez également créer un compte d'utilisateur et lui affecter les droits minimum requis.

Pour créer le compte d'utilisateur Microsoft Active Directory pour les opérations :

Voir aussi : Documentation sur Microsoft Active Directory pour des informations détaillées sur l'exécution de cette procédure.

  1. Créez un groupe (par exemple, AGGroup) sur le système. Lors de la création du groupe, sélectionnez Groupe de sécurité comme type de groupe et Global ou Universal comme portée du groupe.
    Note

    Dans une configuration de domaine parent-enfant, créez le groupe dans le domaine parent.
  2. Si vous configurez le système orchestré en mode système géré, vous devez faire de ce groupe un membre du groupe Opérateurs de compte.
  3. Si vous configurez le système orchestré en mode système géré, réglez les autorisations suivantes pour le groupe Utilisateurs authentifiés à Autoriser.
    • Créer tous les objets enfants
    • Supprimer tous les abonnements enfants
  4. Affectez toutes les autorisations de lecture à ce groupe. S'il y a plusieurs domaines enfants dans la forêt, connectez-vous à chaque domaine enfant et ajoutez le groupe précédent au groupe Opérateurs de compte de chaque domaine enfant.
    Note

    Vous affectez des autorisations de lecture dans l'onglet Sécurité de la boîte de dialogue Propriétés pour le compte d'utilisateur. Cet onglet n'est affiché que dans la vue Fonctions avancées. Pour passer à cette vue, sélectionnez Fonctions avancées dans le menu Affichage de la console Microsoft Active Directory.
  5. Créez un utilisateur (par exemple, AGUser) sur le système cible. Dans une configuration de domaine parent-enfant, créez l'utilisateur dans le domaine parent.
  6. Faites de l'utilisateur un membre du groupe (par exemple, AGGroup) créé à l'étape 1.

Créer un compte d'utilisateur pour les opérations de système orchestrées dans Microsoft Active Directory Lightweight Directory Services (AD LDS)

Pour Microsoft Active Directory Lightweight Directory Services (AD LDS) :

Vous devez créer et utiliser un compte d'utilisateur qui est membre du groupe Administrateurs pour effectuer des opérations.

Pour créer le compte utilisateur Microsoft Active Directory Lightweight Directory Services (AD LDS) pour les opérations :

Voir aussi : Documentation sur Microsoft Active Directory Lightweight Directory Services (AD LDS) pour des informations détaillées sur l'exécution de cette procédure.

  1. Créez un compte d'utilisateur dans Microsoft Active Directory Lightweight Directory Services (AD LDS).
  2. Définissez un mot de passe pour le compte d'utilisateur.
  3. Activez le compte d'utilisateur en réglant le champ msDS-UserAccountDisabled à false.
  4. Assurez-vous que les champs msDS-UserDontExpirePassword et ms-DS-UserPasswordNotRequired sont disponibles.
  5. Entrez une valeur dans le champ userPrincipalName.
    Note

    La valeur doit être dans le format username@domain_name, par exemple : OAGuser@example.com.
  6. Ajoutez le nom distinctif (DN) de l'utilisateur au groupe Administrators.
Note

Pour créer un compte d'utilisateur pour effectuer des opérations dans une instance Microsoft Active Directory Lightweight Directory Services (AD LDS) autonome, procédez comme suit :
  1. Créez un compte d'utilisateur sur l'ordinateur autonome.
  2. Ajoutez l'utilisateur nouvellement créé au groupe AD LDS Administrators : CN=Administrators,CN=Roles,DC=X.

Configurer

Vous pouvez établir une connexion entre Microsoft Active Directory et Oracle Access Governance en entrant les détails de connexion. Pour ce faire, utilisez les fonctionnalités des systèmes orchestrés disponibles dans la console Oracle Access Governance.

Naviguer jusqu'à la page Systèmes orchestrés

La page Systèmes orchestrés de la console Oracle Access Governance vous permet de démarrer la configuration de votre système orchestré.

Accédez à la page Orchestrated Systems de la console Oracle Access Governance en procédant comme suit :
  1. Dans l'icône Menu de navigation d'Oracle Access Governance Menu de navigation, sélectionnez Administration du service → Systèmes orchestrés.
  2. Sélectionnez le bouton Ajouter un système orchestré pour démarrer le flux de travail.

Sélectionner un système

À l'étape Sélectionner un système du flux de travail, vous pouvez spécifier le type de système que vous souhaitez intégrer à Oracle Access Governance.

Vous pouvez rechercher le système requis par son nom à l'aide du champ Rechercher.

  1. Sélectionnez Microsoft Active Directory .
  2. Sélectionnez Suivant.

Ajouter des détails

Ajoutez des détails tels que le nom, la description et le mode de configuration.

À l'étape Ajouter des détails du flux de travail, entrez les détails du système orchestré :
  1. Dans le champ Nom, entrez le nom du système auquel vous souhaitez vous connecter.
  2. Entrez une description du système dans le champ Description.
  3. Déterminez si ce système orchestré est une source faisant autorité et si Oracle Access Governance peut gérer les autorisations en cochant les cases suivantes.
    • Il s'agit de la source faisant autorité pour mes identités

      Sélectionnez une des options suivantes :

      • Source des identités et de leurs attributs : Le système agit en tant qu'identités sources et attributs associés. Cette option permet de créer de nouvelles identités.
      • Source des attributs d'identité uniquement : Le système ingère des détails supplémentaires sur les attributs d'identité et s'applique aux identités existantes. Cette option n'ingère pas ou ne crée pas de nouveaux enregistrements d'identité.
    • Je veux gérer les autorisations pour ce système
    La valeur par défaut de chaque cas est Non sélectionné.
  4. Sélectionnez Suivant.
Note

Le système orchestré de Microsoft Active Directory vous permet de gérer des groupes dans Microsoft Active Directory à l'aide de l'option Je veux gérer les collections d'identités pour ce système orchestré. Si cette case est cochée, vous pouvez gérer les groupes Microsoft Active Directory à partir d'Oracle Access Governance. Toute modification apportée aux groupes Microsoft Active Directory sera rapprochée entre Oracle Access Governance et le système orchestré. De même, toutes les modifications apportées dans Microsoft Active Directory seront répercutées dans Oracle Access Governance

Ajouter des responsables

Ajoutez des responsables principaux et supplémentaires au système orchestré pour leur permettre de gérer les ressources.

Vous pouvez associer la responsabilité de la ressource en ajoutant des responsables principaux et supplémentaires. Ces responsables peuvent ainsi gérer (lire, mettre à jour ou supprimer) les ressources dont ils sont responsables. Par défaut, le créateur de la ressource est désigné comme responsable de la ressource. Vous pouvez affecter un responsable principal et jusqu'à 20 responsables supplémentaires aux ressources.
Note

Lors de la configuration du premier système orchestré pour votre instance de service, vous ne pouvez affecter des responsables qu'après avoir activé les identités à partir de la section Gérer les identités.
Pour ajouter des responsables :
  1. Sélectionnez un utilisateur actif d'Oracle Access Governance en tant que responsable principal dans le champ Qui est le responsable principal?.
  2. Sélectionnez un ou plusieurs responsables supplémentaires dans la liste Qui en est le responsable?. Vous pouvez ajouter jusqu'à 20 responsables supplémentaires pour la ressource.
Vous pouvez voir le responsable principal dans la liste. Tous les responsables peuvent voir et gérer les ressources dont ils sont responsables.

Paramètres du compte

Présenter les détails de la gestion des paramètres de compte lors de la configuration du système orchestré, notamment les paramètres d'avis et les actions par défaut lorsqu'une identité se déplace ou quitte l'organisation.

À l'étape Paramètres du compte du flux de travail, entrez la façon dont Oracle Access Governance doit gérer les comptes lorsque le système est configuré en tant que système géré :
  1. Lorsqu'une autorisation est demandée et que le compte n'existe pas déjà, sélectionnez cette option pour créer de nouveaux comptes. Cette option est sélectionnée par défaut. Lorsque cette option est sélectionnée, Oracle Access Governance crée un compte s'il n'en existe pas lorsqu'une autorisation est demandée. Si vous désélectionnez cette option, les autorisations ne sont provisionnées que pour les comptes existants dans le système orchestré. Si aucun compte n'existe, l'opération de provisionnement échoue.
  2. Sélectionnez les destinataires des courriels d'avis lorsqu'un compte est créé. Le destinataire par défaut est Utilisateur. Si aucun destinataire n'est sélectionné, les avis ne sont pas envoyés lors de la création des comptes.
    • Utilisateur
    • Gestionnaire d'utilisateurs
  3. Configurer les comptes existants
    Note

    Vous ne pouvez définir ces configurations que si l'administrateur de système l'autorise. Lorsque les paramètres globaux d'arrêt de compte sont activés, les administrateurs d'application ne peuvent pas gérer les paramètres d'arrêt de compte au niveau du système orchestré.
    1. Sélectionner les actions à effectuer avec les comptes au début d'une cessation d'emploi anticipée : Sélectionnez l'action à effectuer au début d'une cessation d'emploi anticipée. Cela se produit lorsque vous devez révoquer les accès d'identité avant la date de cessation officielle.
      • Supprimer : Supprime tous les comptes et autorisations gérés par Oracle Access Governance.
        Note

        Si un système orchestré spécifique ne prend pas en charge cette action, aucune action n'est effectuée.
      • Désactiver : Désactive tous les comptes et désactive les autorisations gérées par Oracle Access Governance.
        • Supprimer les autorisations pour les comptes désactivés : Pour garantir l'absence d'accès résiduel, sélectionnez cette option pour supprimer les autorisations affectées directement et les autorisations accordées par une politique lors de la désactivation du compte.
      • Aucune action : Aucune action n'est effectuée lorsqu'une identité est marquée pour résiliation anticipée par Oracle Access Governance.
    2. Sélectionner les actions à effectuer avec les comptes à la date de cessation : Sélectionnez l'action à effectuer lors de la cessation officielle. Cela se produit lorsque vous devez révoquer les accès d'identité à la date de cessation officielle.
      • Supprimer : Supprime tous les comptes et autorisations gérés par Oracle Access Governance.
        Note

        Si un système orchestré spécifique ne prend pas en charge l'action Supprimer, aucune action n'est effectuée.
      • Désactiver : Désactive tous les comptes et désactive les autorisations gérées par Oracle Access Governance.
        • Supprimer les autorisations pour les comptes désactivés : Pour garantir l'absence d'accès résiduel, sélectionnez cette option pour supprimer les autorisations affectées directement et les autorisations accordées par une politique lors de la désactivation du compte.
        Note

        Si un système orchestré spécifique ne prend pas en charge l'action Désactiver, le compte est supprimé.
      • Aucune action : Aucune action n'est effectuée sur les comptes et les autorisations par Oracle Access Governance.
  4. Lorsqu'une identité quitte votre entreprise, vous devez supprimer l'accès à ses comptes.
    Note

    Vous ne pouvez définir ces configurations que si l'administrateur de système l'autorise. Lorsque les paramètres globaux d'arrêt de compte sont activés, les administrateurs d'application ne peuvent pas gérer les paramètres d'arrêt de compte au niveau du système orchestré.

    Sélectionnez l'une des actions suivantes pour le compte :

    • Supprimer : Supprimez tous les comptes et autorisations gérés par Oracle Access Governance.
    • Désactiver : Désactivez tous les comptes et marquez les autorisations comme inactives.
      • Supprimer les autorisations pour les comptes désactivés : Supprimez les autorisations directement affectées et accordées par une politique lors de la désactivation du compte afin de garantir l'absence d'accès résiduel.
    • Aucune action : Ne rien faire lorsqu'une identité quitte l'organisation.
    Note

    Ces actions ne sont disponibles que si elles sont prises en charge par le type de système orchestré. Par exemple, si Supprimer n'est pas pris en charge, vous ne verrez que les options Désactiver et Aucune action.
  5. Lorsque toutes les autorisations d'un compte sont supprimées, par exemple lorsqu'une identité se déplace entre les services, vous devrez peut-être décider quoi faire avec le compte. Sélectionnez l'une des actions suivantes, si elle est prise en charge par le type de système orchestré :
    • Suppression
    • Désactiver
    • Aucune action
  6. Gérer les comptes qui ne sont pas créés par la gouvernance des accès : Sélectionnez cette option pour gérer les comptes qui sont créés directement dans le système orchestré. Vous pouvez ainsi rapprocher des comptes existants et les gérer à partir d'Oracle Access Governance.
Note

Si vous ne configurez pas le système en tant que système géré, cette étape du flux de travail s'affiche mais n'est pas activée. Dans ce cas, vous passez directement à l'étape Paramètres d'intégration du flux de travail.
Note

Si votre système orchestré nécessite une détection de schéma dynamique, comme pour les intégrations REST générique et des tables d'application de base de données, seule la destination de courriel d'avis peut être définie (utilisateur, utilisateur) lors de la création du système orchestré. Vous ne pouvez pas définir les règles de désactivation/suppression pour les déménageurs et les départs. Pour ce faire, vous devez créer le système orchestré, puis mettre à jour les paramètres du compte comme décrit sous Configurer les paramètres du compte de système orchestré.

Paramètres d'intégration

Entrez les détails de la connexion au système Microsoft Active Directory.

  1. À l'étape Paramètres d'intégration du flux de travail, entrez les détails requis pour la connexion au système Microsoft Active Directory.

    Paramètres d'intégration
    Nom du paramètre Obligatoire? Description
    Quel est le nom de l'hôte? Oui Nom d'hôte ou adresse IP du répertoire à intégrer à Oracle Access Governance, par exemple example.com, 172.20.55.120.
    Quel est le numéro de port? Oui Valeur du numéro du port TCP/IP utilisé pour communiquer avec le serveur LDAP. La valeur par défaut est 636.
    Quel est le principal? Oui Nom distinctif utilisé pour l'authentification du serveur LDAP.

    Il s'agit de l'utilisateur que vous avez créé dans Créer un compte d'utilisateur.
    Quel est le mot de passe? Oui Mot de passe du nom distinctif cible.
    Confirmer le mot de passe Oui Confirmez le mot de passe.
    Quel est le contexte de base? Oui Entrez un contexte de base à partir duquel commencer les recherches d'utilisateurs et de groupes. Par exemple, OU=new,DC=test,DC=com.
    Filtre de recherche de compte? Nombre

    Entrez le filtre de recherche LDAP que chaque compte doit correspondre pour être inclus dans les résultats de la recherche. Quelques exemples :

    1. Valeur par défaut : objectClass=*
    2. Retourne tous les comptes de personne dont le nom de compte se termine par "a" dans le nom de compte et le type d'employé "ADM", utiliser 
      (&(objectCategory=person)(sAMAccountName=*a)(employeeType=ADM))
    3. Retourne tous les comptes d'utilisateur classés comme "personne" avec un type d'employé "EMP" ou "NON", utiliser
      (&(objectCategory=person)(objectClass=user)(|(employeeType=EMP)(employeeType=NON)))
    Quel est le serveur de basculement? Nombre Entrez une liste de serveurs de basculement dans le format <servername>:<port>, <servername>:<port>, ..., par exemple ADExample1:636, ADExample1:636, ....
    Protocole SSL activé Oui Assurez-vous que la valeur true est sélectionnée.

    Voici la marche à suivre pour configurer SSL sur l'agent :

    1. Utilisez JDK pour installer et exécuter un agent.
    2. Dans le cadre du processus d'installation de l'agent, copiez cacerts du JDK utilisé pour l'agent dans le répertoire d'installation de l'agent.
    3. Importer le certificat AD dans le fichier cacerts précédent à l'aide de la commande
      <%JAVA_HOME%>/bin/keytool -import -alias OIGAD-cert -file <AD-cert-file> -keystore <agent-install-dir>/cacerts
    4. Config.properties doit inclure les éléments suivants :
      JAVA_OPTS=-Djavax.net.ssl.trustStore=/app/cacerts-Djavax.net.ssl.trustStorePassword=changeit
    Quel est le nom du domaine? Oui Nom du domaine Windows, par exemple windowsdomain.mycompany.com.
    Voulez-vous utiliser le catalogue global pour effectuer une recherche d'objet à l'échelle de la forêt? Oui

    Vous pouvez rechercher des objets (tels que des utilisateurs, des groupes et des ressources) dans l'ensemble de la forêt Microsoft Active Directory, plutôt que de restreindre les interrogations à un seul domaine.

    • Non, ne pas utiliser le catalogue global : Extrait uniquement les objets du domaine parent, à l'exclusion des domaines enfants de la forêt.

    • Oui, utiliser le catalogue global sur une connexion non SSL : Active la recherche dans les domaines parent et enfant (forêt entière) à l'aide d'une connexion non sécurisée. Cela s'applique uniquement lors de l'opération de chargement de données à l'aide du port global 3268.

    • Oui, utiliser le catalogue global sur SSL : Permet la recherche dans les domaines parent et enfant (forêt entière) à l'aide d'une connexion sécurisée. Cela s'applique uniquement lors de l'opération de chargement de données à l'aide du port global 3269.
    Quelles sont les classes d'objets de compte? Oui Classe ou classes d'objets qui seront utilisées pour créer des objets utilisateur dans l'arborescence LDAP.
    Quelles sont les classes d'objets de l'organisation? Oui Spécifiez les classes d'objet pour l'organisation, l'unité organisationnelle et le conteneur dans Microsoft Active Directory.
    Quel est le niveau de portée de la recherche LDAP? Oui

    • Rechercher l'objet de base (OBJECT) : Limite la recherche à l'objet de base spécifié. Utilisez cette option lorsque vous devez extraire ou vérifier un objet répertoire unique.

    • Rechercher les enfants immédiats d'un objet de base (ONE_LEVEL) : Recherche uniquement dans le conteneur spécifié dans le contexte de base, sans inclure ses conteneurs enfants. Par exemple, si la base de recherche est OU=abc,DC=corp,DC=com, seule l'unité organisationnelle abc sera recherchée.

    • Rechercher tous les objets enfants et l'objet de base (SUBTREE) : Recherche l'objet de base et tous ses descendants dans le répertoire. Par exemple, si le contexte de base est réglé à OU=abc,DC=corp,DC=com, la recherche couvrira à la fois l'unité organisationnelle abc et toutes les unités organisationnelles enfants.
    Quel est le type de recommandation? Oui

    Une recommandation permet d'acheminer les requêtes entre plusieurs serveurs LDAP. Cela est utile pour les opérations de provisionnement et de gestion de compte.

    • Ignorer les recommandations : Les recommandations ne seront pas suivies et le provisionnement n'est effectué que dans le domaine parent.

    • Suivre automatiquement les recommandations : Toutes les recommandations sont suivies par l'intégration d'Oracle Access Governance, ce qui prend en charge les opérations de chargement et de provisionnement des données dans plusieurs sous-domaines d'une seule forêt.

    • Lancer une exception lorsqu'une recommandation est détectée : Sélectionnez cette option si une recommandation retournée par l'interrogation LDAP doit être signalée comme une erreur.
    Quels sont les noms d'attribut cible de type date personnalisé? Nombre

    Entrez une liste de noms d'attribut de système cible personnalisés ayant un type de syntaxe Large Integer et nécessitant une transformation dans un format numérique compatible LDAP.
    Est-ce qu'Active Directory est un environnement Lightweight Directory Services (AD LDS)? Nombre Cochez cette case si vous configurez cette instance en tant qu'instance Active Directory Lightweight Directory Services (AD LDS).

    Par défaut, il s'agit de false.

    Note : Il existe des préalables pour les attributs de schéma dans AD LDS. Vous devez consulter les attributs pris en charge par défaut.
  2. Sélectionnez Ajouter pour créer le système orchestré.

Terminer

Terminez la configuration du système orchestré en fournissant des détails indiquant s'il faut effectuer une personnalisation supplémentaire ou activer et exécuter un chargement de données.

La dernière étape du flux de travail est Terminer.

À l'étape Terminer du flux de travail, vous êtes invité à télécharger l'agent que vous utiliserez pour l'interface entre Oracle Access Governance et Microsoft Active Directory. Sélectionnez le lien Télécharger pour télécharger le fichier zip de l'agent dans l'environnement dans lequel il sera exécuté.

Après avoir téléchargé l'agent, suivez les instructions décrites dans l'article Administration de l'agent.

Enfin, vous pouvez choisir de configurer davantage le système orchestré avant d'exécuter un chargement de données, ou d'accepter la configuration par défaut et de lancer un chargement de données. Sélectionner une valeur dans :
  • Personnaliser avant d'activer les chargements de données pour le système
  • Activer et préparer le chargement de données avec les valeurs par défaut fournies

Post-configuration

Aucune étape de post-configuration n'est associée à un système Microsoft Active Directory.