Composants d'orchestration d'identité
Les composants d'orchestration des identités servent de composants de base pour unifier divers systèmes et gérer efficacement le cycle de vie des identités de votre entreprise. Il s'agit notamment de l'agent Oracle Access Governance pour les intégrations indirectes, des règles de transformation des données entrantes et sortantes pour assurer la cohérence des données, des règles de corrélation pour créer des profils composites et des ressources système orchestrées pour gérer efficacement les ressources et les sources de contrôle utilisées pour charger les données.
Agent de gouvernance des accès
L'agent Oracle Access Governance est une image docker téléchargeable, qui permet à Oracle Access Governance de se synchroniser en continu ou périodiquement avec des sources faisant autorité ou des systèmes gérés lorsqu'une connexion directe n'est pas disponible.
L'agent exécute les tâches ETC (extraction, transformation et chargement) réparties programmées pour effectuer une synchronisation complète ou incrémentielle des données d'identité distantes, telles que les utilisateurs, les rôles, les instances d'application, les droits et affectations de droit, dans Oracle Access Governance. Une fois enregistré et installé, l'agent peut être surveillé à partir de la console Oracle Access Governance. L'agent s'exécute dans un environnement docker situé dans votre environnement local (client). Cet environnement doit respecter les préalables suivants :
- Installation de Docker ou Podman
- Autoriser la connexion à la base de données d'identité cible du client
- Autoriser la connexion à l'instance Oracle Access Governance du client hébergée dans Oracle Cloud. Si nécessaire, cette connexion peut être effectuée via un proxy Web.
L'agent extrait les données, recueillies par le service d'ingestion d'Oracle Access Governance, et est chargé dans Oracle Access Governance pour consommation.
Les demandes d'exécution (provisionnement de comptes ou correction d'accès en boucle fermée) sont transmises aux systèmes gérés. Par exemple, une fois les campagnes de révision d'accès terminées, toutes les autorisations révoquées dans Oracle Access Governance sont corrigées par le déclenchement d'une opération de révocation dans le système orchestré. Cette demande de révocation est transmise au système géré par l'agent.
Les agents ne sont applicables que dans les cas où une connexion directe ne peut pas être établie avec Oracle Access Governance. En général, vous aurez besoin d'un agent lors de l'intégration aux systèmes sur place. L'agent Oracle Access Governance agit à titre d'arbitre soutenant la synchronisation des sources faisant autorité ou des systèmes gérés et d'Oracle Access Governance.
Transformations de données
Les différents systèmes représentent les données différemment. Oracle Access Governance vous permet de manipuler et de transformer les données d'identité et de compte entrantes à partir d'une source faisant autorité ou de systèmes gérés, ou les données sortantes provisionnées pour des systèmes gérés. Vous pouvez modifier les valeurs de données en fonction de vos besoins, par exemple inclure des valeurs dérivées ou garantir un formatage cohérent. Cela garantit la cohérence des données et l'unification des systèmes.
- Améliorer les attributs d'identité entrants ingérés à partir d'une source faisant autorité dans Oracle Access Governance à l'aide de règles de transformation entrante. Par exemple, vous pouvez définir le nom d'utilisateur en majuscules ou concaténer le nom de famille avec le nom pour créer un nom d'affichage.
- Améliorer les attributs de compte entrant ingérés à partir des systèmes gérés vers Oracle Access Governance au moyen de règles de transformation entrante. Par exemple, vous pouvez concaténer le nom d'utilisateur avec le domaine par défaut pour définir le courriel principal dans Oracle Access Governance.
- Personnalisez les attributs d'identité composite intégrés dans Oracle Access Governance afin de pouvoir mettre en correspondance les attributs entrants. Par exemple, les applications de gestion des utilisateurs de base de données stockent le nom d'utilisateur dans un format spécifique et, comme il ne contient que des données de compte, vous devez personnaliser les attributs d'identité composite dans Oracle Access Governance afin que le nom d'utilisateur DBUM entrant corresponde aux attributs d'identité disponibles dans Oracle Access Governance.
- Définissez les attributs de compte en améliorant les attributs d'identité pour le provisionnement de compte par Oracle Access Governance dans les systèmes gérés. Par exemple, en réglant jobDescription à une valeur fixe, au cas où vous auriez une valeur nulle.
Types de transformation et son flux de travail
Voyons les types de transformations disponibles dans Oracle Access Governance et son flux de travail :
- Vous devez d'abord intégrer une source faisant autorité à Oracle Access Governance en ajoutant un système orchestré. Ici, vous pouvez exécuter des transformations entrantes sur les données des attributs d'identité source lors du processus d'ingestion de données. Par exemple, vous pouvez intégrer Oracle HCM en tant que source faisant autorité et appliquer des transformations entrantes pour créer un nom d'affichage à partir du nom complet. Ces transformations sont uniques et spécifiques à chaque système orchestré.
- Une fois que vous avez intégré des systèmes sources faisant autorité, à l'interne, un profil d'identité composite est créé qui contient les attributs Cœur et Personnalisé dans Oracle Access Governance. Ce profil d'identité composite peut contenir des attributs d'identité provenant de diverses sources faisant autorité que vous avez intégrées. Par exemple, l'identité dans Oracle Access Governance peut contenir des attributs jobCode ingérés à partir d'Oracle HCM et du service ingérés à partir d'un fichier plat. Dans le scénario où le même attribut est disponible dans plus d'une source faisant autorité, vous avez la possibilité de sélectionner et de modifier le système orchestré à partir duquel vous souhaitez utiliser cette valeur d'attribut. Pour plus de détails, voir Gérer les attributs d'identité. Ce profil d'identité composite sert de source de vérité pour Oracle Access Governance afin d'effectuer diverses opérations de gouvernance et de provisionnement.
- Ensuite, vous intégrez les systèmes gérés pour charger les attributs de compte. Ces attributs de compte sont mis en correspondance avec les attributs d'identité composite disponibles dans Oracle Access Governance.
- Pour le provisionnement sortant, vous manipulez les attributs d'identité composite disponibles dans Oracle Access Governance pour un provisionnement de compte précis dans les systèmes gérés.
Transformation de données entrantes
Les transformations de données entrantes vous permettent de contrôler comment les valeurs d'attribut sont transformées lorsqu'elles sont reçues d'un système orchestré dans Oracle Access Governance. Lorsque vous chargez des données à partir d'un système orchestré, les attributs d'identité et de compte sont importés dans Oracle Access Governance. Lors du processus de chargement ou d'ingestion de données, il est possible d'appliquer des transformations de données aux attributs.
Un exemple de cas d'utilisation peut inclure certains des éléments suivants :
- Alimentez l'attribut d'identité primaryEmail dans Oracle Access Governance en concaténant FirstName, ., LastName, @mydomain.com. Pour ce faire, utilisez Oracle Access Governance.
user.getFullName().getGivenName().concat('.',user.getFullName().getFamilyName())+'mydomain.com' - Réglez la valeur d'un attribut à une autre valeur si la valeur provenant du système orchestré est nulle. Par exemple, si l'organisation est nulle, réglez la valeur d'Oracle Access Governance à une valeur fixe.
user.getOrganization() != null && user.getOrganization().getDisplayName() != null ? user.getOrganization().getDisplayName() : 'Oracle Access Governance'
Transformation des données sortantes
Identity Orchestration permet de provisionner des comptes à l'aide des fonctionnalités d'demande d'accès (libre-service), de demande d'accès (pour d'autres) ou d'accès basé sur des politiques. Dans le cadre de ce processus, il est possible d'appliquer des transformations de données aux données provisionnées dans le compte système géré. Lorsque des opérations de provisionnement telles que Réinitialiser le mot de passe ou Créer un compte sont déclenchées dans Oracle Access Governance, des règles de transformation de données peuvent être appelées qui dérivent des valeurs des données d'identité et transforment les données à l'aide de chaînes et d'autres manipulations, de sorte que le provisionnement des comptes est effectué en fonction des identités correctes dans un système géré.
- Alimentez l'attribut workEmail dans le système géré provisionné avec la valeur d'attribut de l'identité primaryEmail.
- Créez une valeur pour l'attribut displayName dans le système géré provisionné en concaténant le titre, userName et employeeNumber de l'identité.
- Réglez la valeur d'un attribut à une autre valeur si la valeur d'entrée d'identité est nulle. Par exemple, si organisation est nulle, réglez la valeur à une valeur fixe dans le compte de système géré provisionné.
Attributs d'identité : Personnalisation du profil d'identité composite d'Oracle Access Governance en appliquant des règles de transformation
Lorsque vous chargez des attributs d'identité à partir de diverses sources faisant autorité, un profil d'identité composite est intégré à Oracle Access Governance, contenant des attributs d'identité provenant de diverses sources. Lorsque vous chargez des attributs de compte à partir de systèmes gérés, les valeurs disponibles dans ce profil d'identité composite sont mises en correspondance avec les attributs de compte (Identity Account Matching). Dans des circonstances particulières, vous devrez peut-être appliquer des règles de transformation supplémentaires à ce profil d'identité composite afin qu'il corresponde aux données entrantes provenant de divers systèmes. En général, vous avez besoin de ce type de transformation pour personnaliser un attribut d'identité dans Oracle Access Governance afin qu'il corresponde aux attributs de compte entrants des systèmes gérés.
Les transformations entrantes sont propres au système orchestré et la personnalisation des attributs d'identité est appliquée au profil d'identité composite intégré à Oracle Access Governance. Par exemple, si vous avez appliqué la transformation entrante sur JobCode ingérée à partir d'Oracle HCM, mais que vous avez sélectionné Fichier plat comme source pour cet attribut dans la page Gérer les identités, cette transformation n'aura aucune incidence sur la valeur disponible dans Oracle Access Governance.
Scénario
Par exemple, la gestion des utilisateurs de base de données (DBUM) peut stocker un attribut, tel qu'un nom d'utilisateur dans un format très spécifique, différent du nom d'utilisateur disponible dans le profil d'identité composite dans Oracle Access Governance. Pour mettre en correspondance un compte DBUM avec l'identité existante dans Oracle Access Governance, vous devez personnaliser l'attribut d'identité en appliquant des règles de transformation. Comme DBUM est un compte de système géré, vous ne pouvez pas manipuler les données d'identité en appliquant des règles de transformation entrante. C'est là que vous devez personnaliser les attributs d'identité composite. Par exemple, lorsque vous connectez MySQL DBUM, Oracle Access Governance ajoute un attribut d'identité interne userNameMysql aux règles de transformation applicables. Vous pouvez ensuite mettre en correspondance le nom d'utilisateur entrant de My SQL DBUM avec l'attribut d'identité userNameMysql. La même règle est appliquée du côté de la transformation sortante afin que le provisionnement des comptes soit effectué avec précision.
| Source faisant autorité | Attribut d'identité composite | Système géré |
|---|---|---|
|
|
|
|
L'attribut d'identité nom d'utilisateur a une valeur différente de l'attribut de compte userLogin et nous ne pouvons pas mettre en correspondance ces attributs. La transformation des attributs d'identité composite transformera John.Doe@o.com en John_Doe@o.com et stockera dans l'userNameMysql créé dans Oracle Access Governance. Une fois cela fait, la valeur entrante, John_Doe@o.com, correspond.
Il est recommandé d'utiliser des transformations entrantes pour transformer un attribut d'identité et limiter l'utilisation de l'application de règles de transformation au profil d'identité composite. Cela peut interférer avec le provisionnement des comptes.
Attributs de compte
Les attributs de compte dans Oracle Access Governance permettent aux administrateurs de configurer des attributs de compte supplémentaires au-delà des attributs par défaut pris en charge pour un système orchestré. Vous pouvez rechercher des valeurs pour les attributs de compte à partir d'un système géré, à partir du fichier de référence des valeurs de clé globale, ou les définir lors de la création d'un ensemble d'accès.
Lorsque vous configurez un système orchestré, il inclut un jeu d'attributs par défaut qui fournit les détails d'un compte tel que défini pour le système cible particulier que vous utilisez comme source. Dans certains cas, vous devrez peut-être inclure dans votre intégration des attributs supplémentaires qui sont présents dans le système cible, mais qui ne sont pas exposés par défaut. C'est là qu'interviennent les attributs de compte.
- L'utilisateur peut voir les attributs de compte pour un système orchestré spécifié. L'utilisateur peut voir les attributs par défaut créés dans le cadre de l'initialisation du système orchestré, ainsi que les attributs de compte créés par l'utilisateur.
- L'utilisateur peut créer des attributs de compte dans la définition du système orchestré.
- L'utilisateur peut modifier les attributs de compte dans la définition du système orchestré.
- L'utilisateur peut supprimer les attributs de compte dans la définition du système orchestré.
- Les attributs de compte prennent en charge les types de données simples et complexes.
- Les attributs de compte peuvent être utilisés dans les transformations entrantes et sortantes.
- Les attributs de compte sont pris en charge pour les systèmes orchestrés configurés en mode système géré.
- Les attributs de compte ne sont pas pris en charge pour :
- Systèmes orchestrés pour Oracle Cloud Infrastructure (OCI).
- Système orchestré d'Oracle Identity Governance.
- Systèmes orchestrés configurés en mode source faisant autorité.
- Les attributs de compte créés par l'utilisateur ne sont pas disponibles pour :
- Systèmes orchestrés de table d'application de base de données.
- Systèmes orchestrés REST génériques.
Examinons quelques cas d'utilisation simples :
Cas d'utilisation : Ajouter un attribut de compte à l'aide de la définition de l'ensemble d'accès
Dans ce cas d'utilisation, l'administrateur a créé un attribut de compte qui est mappé à l'attribut Description du système géré et dont la source de valeur est réglée à Ensemble d'accès. Ils ont également défini un ensemble d'accès qui inclut l'attribut de compte. Lorsqu'un utilisateur demande l'ensemble d'accès, il est invité à entrer une valeur dans la description. Une fois la demande d'ensemble d'accès approuvée, le compte est provisionné dans le système géré. La valeur de l'attribut Description entrée par l'utilisateur peut ou non faire l'objet d'une transformation sortante. Enfin, la valeur de la description est provisionnée dans le cadre du compte créé pour l'utilisateur.
Cas d'utilisation : refléter la mise à jour de l'attribut d'identité dans l'attribut de compte
Dans ce cas d'utilisation, un administrateur a créé un attribut de compte postalCode qui, en plus d'être mappé au système géré, est également associé à un attribut d'identité, Emplacement. Supposons que nous ayons une identité dans Oracle Access Governance pour un utilisateur, Alice. L'identité d'Alice est dérivée d'une source faisant autorité telle qu'Oracle HCM. Alice déménage chez elle, ce qui entraîne une modification de la valeur Location dans Oracle HCM. Lors du prochain chargement de données, cette mise à jour sera répercutée dans Oracle Access Governance, où l'attribut identity:Location d'Alice sera mis à jour. Avec les attributs de compte, cette modification déclenchera également une activité Mettre à jour le compte qui mettra à jour la valeur de account:postalCode avec le contenu de identity:Location. De cette façon, vous pouvez synchroniser vos attributs de compte avec des valeurs dérivées d'une source faisant autorité.
Profils de compte - Modèles réutilisables pour la génération d'offres groupées d'accès
Les profils de compte dans Oracle Access Governance servent de modèles réutilisables qui normalisent et simplifient la création de nouveaux comptes d'utilisateur dans les systèmes gérés en prédéfinissant et en stockant les valeurs par défaut de leurs attributs de compte. Cela simplifie le provisionnement des utilisateurs, en assurant la cohérence des données et en réduisant les interventions manuelles.
Présentation des profils de compte dans Oracle Access Governance
Lorsque vous provisionnez de nouveaux comptes d'utilisateur pour un système géré à partir d'Oracle Access Governance, vous devez transmettre des informations obligatoires ou des attributs communs. Les profils de compte servent de modèle vous permettant de définir des valeurs par défaut une seule fois pour les attributs communs requis par le système géré.
Cela assure la cohérence du provisionnement et élimine la nécessité d'entrer manuellement les détails du compte fréquemment dans chaque offre groupée d'accès, ce qui simplifie la gestion des autorisations.
Lors de la définition des profils de compte, vous pouvez choisir de fournir des valeurs par défaut ou de demander au demandeur de fournir des valeurs pendant la demande en libre-service.
Lorsque vous liez un profil de compte à un ensemble d'accès, Oracle Access Governance alimente de façon transparente les informations par défaut nécessaires lors du provisionnement des utilisateurs, en s'assurant que le nouveau compte est créé avec succès avec des données exactes et cohérentes.
Un profil de compte peut être lié à plusieurs ensembles d'accès, car il n'est pas spécifique à un seul.
Vous ne pouvez affecter qu'un seul profil de compte à un ensemble d'accès.
Principales caractéristiques des profils de compte
Explorons les capacités des profils de compte en examinant les fonctionnalités clés.
- Intégrité référentielle : Empêche la suppression d'un profil de compte s'il est lié à un ensemble d'accès, ce qui assure la cohérence des données et l'intégrité référentielle.
- Mises à jour centralisées : La mise à jour d'une valeur d'attribut de profil de compte propage les modifications dans tous les ensembles d'accès associés. Cela déclenche les demandes de provisionnement pour les utilisateurs concernés avec la valeur d'attribut de compte mise à jour. Cela élimine les tâches manuelles de mise à jour des ensembles d'accès individuels.
- Modèles réutilisables : Servez-vous d'instantanés groupés des attributs qui peuvent être facilement réutilisés dans différents ensembles d'accès, éliminant ainsi la configuration redondante.
Règles de correspondance
Oracle Access Governance tire parti des règles de corrélation ou de correspondance pour mettre en correspondance les données d'identité ingérées à partir de différentes sources faisant autorité et ainsi créer un profil d'identité composite. De même, lors de l'ingestion des données à partir des systèmes gérés, plusieurs comptes peuvent exister pour une identité. Dans ce cas, les données de compte doivent être ingérées et mises en correspondance avec les identités respectives. Les règles de mise en correspondance de compte peuvent être utilisées pour associer les comptes d'utilisateur ingérés à partir d'applications en aval aux identités dans Oracle Access Governance. Si vous disposez d'un système qui agit à la fois comme source faisant autorité et comme système géré au sein d'Oracle Access Governance , vous pouvez mettre en oeuvre la mise en correspondance d'identité et de compte pour le même système.
Vous pouvez facilement créer ces règles de corrélation dans Oracle Access Governance à l'aide des attributs d'identité et de compte. Si un compte ne peut pas être mis en correspondance automatiquement avec une identité, Oracle Access Governance crée une micro-certification pour ce compte sans correspondance, de sorte qu'il puisse être mis en correspondance manuellement avec l'identité ou corrigé à partir du système géré.
Types de règles de correspondance
Lorsque les données sont reçues d'un système orchestré, Oracle Access Governance vérifie si les données correspondent aux données déjà intégrées en tant qu'identité ou compte. Oracle Access Governance prend en charge les types de correspondance suivants :
- Correspondance d'identité : Cette correspondance vérifie si une identité entrante correspond à une identité existante ou est nouvelle dans Oracle Access Governance. S'il s'agit d'une correspondance, les données entrantes sont corrélées à l'identité existante. En cas d'absence de correspondance, les données sont utilisées pour créer une nouvelle identité dans Oracle Access Governance.
- Correspondance de compte : Cette correspondance vérifie si un compte entrant correspond à une identité existante. En cas de correspondance, les informations du compte sont corrélées à l'identité correspondante. Si aucune correspondance n'est trouvée, le compte est marqué comme non rapproché.
Données clés pour les résultats de correspondance
Utilisez les données clés pour voir une liste des comptes ou des identités entrants, y compris les identités ou comptes appariés, non appariés ou multiples.
- Aucune correspondance : L'identité ou le compte entrant n'est pas lié à une identité existante. Associez-le manuellement à l'identité appropriée ou effectuez l'action de correction appropriée pour le système.
- Règle de correspondance : Les identités ou les comptes sont mis en correspondance automatiquement en fonction des règles de correspondance configurées.
- Correspondances multiples : Plusieurs correspondances trouvées pour une identité, Vérifier les comptes ou les identités et correspondent manuellement à la bonne identité.
- Provisionné par le guide d'activités : Le compte est mis en correspondance car il a été créé ou provisionné au moyen d'Oracle Access Governance. Si le compte ne doit pas être lié, dissociez-le.
Ressources de système orchestrées
Vous pouvez déterminer les ressources à ingérer à partir des systèmes, ce qui vous permet de contrôler entièrement la source utilisée pour charger des données dans Oracle Access Governance. Vous pouvez gérer les ressources alimentées à partir de systèmes orchestrés. Cette fonctionnalité est très spécifique d'Oracle Identity Governance.
Un cas d'utilisation typique peut être celui où vous avez des données d'identité gérées par Oracle Identity Governance (OIG) et où vous voulez une gouvernance hybride jusqu'au moment où vous migrez complètement vers l'environnement en nuage. Par défaut, toutes les ressources ingérées à partir de la source faisant autorité et du système géré seront disponibles pour Oracle Access Governance. Lorsque vous ajoutez des connexions directes entre Oracle Access Governance et les systèmes, vous pouvez les supprimer de votre système de gouvernance principal pour éviter la duplication des données.
Présentation des systèmes virtuels pour un système orchestré
Les systèmes virtuels permettent une intégration orchestrée unique pour représenter et gérer plusieurs applications ou domaines connexes en tant que sous-systèmes logiques. Cela est utile lorsqu'une entreprise peut avoir plusieurs domaines ou sous-systèmes qui doivent être gérés, chacun avec des données différentes mais partageant le même schéma structurel.
Au lieu de créer et de gérer un système orchestré distinct pour chaque domaine, les systèmes virtuels vous permettent de :
- Regrouper plusieurs applications dans un seul système orchestré.
- Stocker et traiter les fichiers de données par application en fonction du mappage.
- Gérez ces applications individuellement pour le provisionnement des fonctions de contrôle d'accès.
S'applique à : Fichier plat
Exemple
Supposons que votre entreprise intègre trois domaines AD : Alpha, Bêta et Gamma. Sans systèmes virtuels, chacun nécessiterait un système orchestré distinct
- Configurez un seul système orchestré (par exemple,
Flatfile-MultiApp-01) et activez les systèmes virtuels. - Chargez un fichier CSV avec l'ID et le nom :
ID Nom virtual_ad_123 Alpha virtual_ad_456 Bêta virtual_ad_789 Gamma - Une fois les intégrations réussies, voir la structure de seau :
inbox/ IDENTITY/ virtual_ad_123 virtual_ad_456 virtual_ad_789 PERMISSION/ virtual_ad_123 virtual_ad_456 virtual_ad_789 TARGETACCOUNT/ virtual_ad_123 virtual_ad_456 virtual_ad_789
Note
Les sous-dossiers, tels que virtual_ad_123, virtual_ad_456, etc., ne sont créés que lorsque les systèmes virtuels sont activés. - Effectuez les étapes de post-configuration pour ajouter les fichiers de données dans les dossiers respectifs. Toute extension de schéma pour un système orchestré serait appliquée à tous les systèmes virtuels. Pour plus d'informations, voir Intégrer à un fichier plat - Après configuration.