Intégrer aux tables d'application de base de données (Oracle)

Préalables

Avant d'installer et de configurer un système orchestré de tables d'application de base de données, vous devez tenir compte des préalables et des tâches suivants.

Votre système Database Application Tables est certifié pour Oracle Access Governance. Pour plus de détails sur les versions prises en charge, voir Composants des tables d'application de base de données certifiés pour l'intégration à Oracle Access Governance.

Configurer

Vous pouvez établir une connexion entre les bases de données clients et Oracle Access Governance en entrant les détails de connexion. Pour ce faire, utilisez les fonctionnalités des systèmes orchestrés disponibles dans la console Oracle Access Governance.

Naviguer jusqu'à la page Systèmes orchestrés

Accédez à la page Orchestrated Systems de la console Oracle Access Governance en procédant comme suit :

Dans l'icône Menu de navigation d'Oracle Access Governance , sélectionnez Administration du service → Systèmes orchestrés.
Sélectionnez le bouton Ajouter un système orchestré pour démarrer le flux de travail.

Sélectionner un système

À l'étape Sélectionner un système du flux de travail, vous pouvez spécifier le type de système à intégrer. Vous pouvez rechercher le système requis par son nom à l'aide du champ Rechercher.

Sélectionnez Table d'application de base de données (Oracle DB).
Cliquez sur Next (Suivant).

Entrer les détails

À l'étape Ajouter des détails du flux de travail, entrez les détails du système orchestré :

Dans le champ Nom, entrez le nom du système auquel vous souhaitez vous connecter.
Entrez une description du système dans le champ Description.
Déterminez si ce système orchestré est une source faisant autorité et si Oracle Access Governance peut gérer les autorisations en cochant les cases suivantes.
- Il s'agit de la source faisant autorité pour mes identités
  Sélectionnez une des options suivantes :
  - Source des identités et de leurs attributs : Le système agit en tant qu'identités sources et attributs associés. Cette option permet de créer de nouvelles identités.
  - Source des attributs d'identité uniquement : Le système ingère des détails supplémentaires sur les attributs d'identité et s'applique aux identités existantes. Cette option n'ingère pas ou ne crée pas de nouveaux enregistrements d'identité.
- Je veux gérer les autorisations pour ce système
La valeur par défaut de chaque cas est Non sélectionné.
Sélectionnez Suivant.

Ajouter des responsables

Vous pouvez associer la responsabilité de la ressource en ajoutant des responsables principaux et supplémentaires. Ces responsables peuvent ainsi gérer (lire, mettre à jour ou supprimer) les ressources dont ils sont responsables. Par défaut, le créateur de la ressource est désigné comme responsable de la ressource. Vous pouvez affecter un responsable principal et jusqu'à 20 responsables supplémentaires aux ressources.

Note

Lors de la configuration du premier système orchestré pour votre instance de service, vous ne pouvez affecter des responsables qu'après avoir activé les identités à partir de la section Gérer les identités.

Pour ajouter des responsables :

Sélectionnez un utilisateur actif d'Oracle Access Governance en tant que responsable principal dans le champ Qui est le responsable principal?.
Sélectionnez un ou plusieurs responsables supplémentaires dans la liste Qui en est le responsable?. Vous pouvez ajouter jusqu'à 20 responsables supplémentaires pour la ressource.

Vous pouvez voir le responsable principal dans la liste. Tous les responsables peuvent voir et gérer les ressources dont ils sont responsables.

Paramètres du compte

À l'étape Paramètres du compte du flux de travail, entrez la façon dont Oracle Access Governance doit gérer les comptes lorsque le système est configuré en tant que système géré :

Lorsqu'une autorisation est demandée et que le compte n'existe pas déjà, sélectionnez cette option pour créer de nouveaux comptes. Cette option est sélectionnée par défaut. Lorsque cette option est sélectionnée, Oracle Access Governance crée un compte s'il n'en existe pas lorsqu'une autorisation est demandée. Si vous désélectionnez cette option, les autorisations ne sont provisionnées que pour les comptes existants dans le système orchestré. Si aucun compte n'existe, l'opération de provisionnement échoue.
Sélectionnez les destinataires des courriels d'avis lorsqu'un compte est créé. Le destinataire par défaut est Utilisateur. Si aucun destinataire n'est sélectionné, les avis ne sont pas envoyés lors de la création des comptes.
- Utilisateur
- Gestionnaire d'utilisateurs
Configurer les comptes existants
Note

Vous ne pouvez définir ces configurations que si l'administrateur de système l'autorise. Lorsque les paramètres globaux d'arrêt de compte sont activés, les administrateurs d'application ne peuvent pas gérer les paramètres d'arrêt de compte au niveau du système orchestré.
1. Sélectionner les actions à effectuer avec les comptes au début d'une cessation d'emploi anticipée : Sélectionnez l'action à effectuer au début d'une cessation d'emploi anticipée. Cela se produit lorsque vous devez révoquer les accès d'identité avant la date de cessation officielle.
  - Supprimer : Supprime tous les comptes et autorisations gérés par Oracle Access Governance.
    Note
    
    Si un système orchestré spécifique ne prend pas en charge cette action, aucune action n'est effectuée.
  - Désactiver : Désactive tous les comptes et désactive les autorisations gérées par Oracle Access Governance.
    - Supprimer les autorisations pour les comptes désactivés : Pour garantir l'absence d'accès résiduel, sélectionnez cette option pour supprimer les autorisations affectées directement et les autorisations accordées par une politique lors de la désactivation du compte.
  - Aucune action : Aucune action n'est effectuée lorsqu'une identité est marquée pour résiliation anticipée par Oracle Access Governance.
2. Sélectionner les actions à effectuer avec les comptes à la date de cessation : Sélectionnez l'action à effectuer lors de la cessation officielle. Cela se produit lorsque vous devez révoquer les accès d'identité à la date de cessation officielle.
  - Supprimer : Supprime tous les comptes et autorisations gérés par Oracle Access Governance.
    Note
    
    Si un système orchestré spécifique ne prend pas en charge l'action Supprimer, aucune action n'est effectuée.
  - Désactiver : Désactive tous les comptes et désactive les autorisations gérées par Oracle Access Governance.
    - Supprimer les autorisations pour les comptes désactivés : Pour garantir l'absence d'accès résiduel, sélectionnez cette option pour supprimer les autorisations affectées directement et les autorisations accordées par une politique lors de la désactivation du compte.
    Note
    
    Si un système orchestré spécifique ne prend pas en charge l'action Désactiver, le compte est supprimé.
  - Aucune action : Aucune action n'est effectuée sur les comptes et les autorisations par Oracle Access Governance.
Lorsqu'une identité quitte votre entreprise, vous devez supprimer l'accès à ses comptes.
Note

Vous ne pouvez définir ces configurations que si l'administrateur de système l'autorise. Lorsque les paramètres globaux d'arrêt de compte sont activés, les administrateurs d'application ne peuvent pas gérer les paramètres d'arrêt de compte au niveau du système orchestré.
Sélectionnez l'une des actions suivantes pour le compte :
- Supprimer : Supprimez tous les comptes et autorisations gérés par Oracle Access Governance.
- Désactiver : Désactivez tous les comptes et marquez les autorisations comme inactives.
  - Supprimer les autorisations pour les comptes désactivés : Supprimez les autorisations directement affectées et accordées par une politique lors de la désactivation du compte afin de garantir l'absence d'accès résiduel.
- Aucune action : Ne rien faire lorsqu'une identité quitte l'organisation.
Note

Ces actions ne sont disponibles que si elles sont prises en charge par le type de système orchestré. Par exemple, si Supprimer n'est pas pris en charge, vous ne verrez que les options Désactiver et Aucune action.
Lorsque toutes les autorisations d'un compte sont supprimées, par exemple lorsqu'une identité se déplace entre les services, vous devrez peut-être décider quoi faire avec le compte. Sélectionnez l'une des actions suivantes, si elle est prise en charge par le type de système orchestré :
- Suppression
- Désactiver
- Aucune action
Gérer les comptes qui ne sont pas créés par la gouvernance des accès : Sélectionnez cette option pour gérer les comptes qui sont créés directement dans le système orchestré. Vous pouvez ainsi rapprocher des comptes existants et les gérer à partir d'Oracle Access Governance.

Note

Si vous ne configurez pas le système en tant que système géré, cette étape du flux de travail s'affiche mais n'est pas activée. Dans ce cas, vous passez directement à l'étape Paramètres d'intégration du flux de travail.

Note

Si votre système orchestré nécessite une détection de schéma dynamique, comme pour les intégrations REST générique et des tables d'application de base de données, seule la destination de courriel d'avis peut être définie (utilisateur, utilisateur) lors de la création du système orchestré. Vous ne pouvez pas définir les règles de désactivation/suppression pour les déménageurs et les départs. Pour ce faire, vous devez créer le système orchestré, puis mettre à jour les paramètres du compte comme décrit sous Configurer les paramètres du compte de système orchestré.

Paramètres d'intégration

À l'étape Paramètres d'intégration du flux de travail, entrez les détails requis pour permettre à Oracle Access Governance de se connecter à votre base de données client.

Paramètres d'intégration
Nom du paramètre	Obligatoire?	Description
URL Easy Connect pour la base de données Oracle	Oui	URL du serveur hébergeant le système de base de données client auquel vous souhaitez intégrer. Pour Oracle Database, utilisez le format host/port/database service/sid. Pour Oracle Autonomous Database, utilisez le format jdbc:oracle:thin :@<SERVICE_NAME>? TNS_ADMIN=<WALLET-DIR>, comme décrit sous Configurer le portefeuille pour l'intégration d'Autonomous Database.
Nom d'utilisateur	Oui	Nom d'utilisateur requis pour la connexion au système de base de données de l'utilisateur afin d'effectuer le rapprochement et le provisionnement des données.
Mot de passe/Confirmer le mot de passe	Oui	Mot de passe qui authentifie l'utilisateur avec lequel vous êtes connecté au système de base de données de l'utilisateur.
Nom de la table de comptes d'utilisateur	Oui	Nom de la table de base de données contenant vos comptes d'utilisateur. Note N'incluez pas le nom d'utilisateur du responsable de la table dans le nom de la table, par exemple MYUSER.MYDBAT_PERSON, sinon des erreurs s'afficheront. Le nom d'utilisateur est transmis en tant que paramètre distinct tel que détaillé dans ce tableau.
Tables d'autorisations		Ajoutez les noms de vos tables d'autorisations dans une liste séparée par des virgules. Ce paramètre s'applique uniquement si votre système orchestré est configuré en mode système géré. Note N'incluez pas le nom d'utilisateur du responsable de la table dans le nom de la table, par exemple MYUSER.MYDBAT_PERMISSION, sinon des erreurs s'afficheront. Le nom d'utilisateur est transmis en tant que paramètre distinct tel que détaillé dans ce tableau.
Tables d'autorisations de compte		Si des données de compte résident dans des tables parent et enfant, fournissez une liste séparée par des virgules des noms des tables enfants. Note N'incluez pas le nom d'utilisateur du responsable de la table dans le nom de la table, par exemple MYUSER.MYDBAT_ACCOUNTPERMISSION, sinon des erreurs s'afficheront. Le nom d'utilisateur est transmis en tant que paramètre distinct tel que détaillé dans ce tableau.
Tables de consultation		Liste de tables de consultation séparées par des virgules pour les attributs tels que le pays. Note N'incluez pas le nom d'utilisateur du responsable de la table dans le nom de la table, par exemple MYUSER.MYDBAT_LOOKUP, sinon des erreurs s'afficheront. Le nom d'utilisateur est transmis en tant que paramètre distinct tel que détaillé dans ce tableau.
Tables d'affiliation		Liste de tables d'affiliation séparées par des virgules créée. Pour plus d'informations, voir Soutien d'affiliation DBAT pour les attributs d'identité multivaleurs personnalisés.
Mappages de colonnes clés	Oui	Liste de mappages de colonne de clé séparés par des virgules. Ces mappages doivent être entrés dans le format `Table:KeyColumn`. Note Ce paramètre s'applique uniquement aux tables ACCOUNT, ENTITLEMENT et LOOKUP.
Mappages de colonnes de nom	Oui	Liste de mappages de colonne de nom séparés par des virgules. Ces mappages doivent être entrés dans le format `Table:NameColumn`. Note Ce paramètre s'applique uniquement aux tables ACCOUNT, ENTITLEMENT et LOOKUP.
Mappage de colonnes de mot de passe de la table de comptes d'utilisateur		Mappage de colonnes de mot de passe pour la table de comptes d'utilisateur dans le format `Table:PasswordColumn`.
Mappage de colonnes de statut de la table de comptes d'utilisateur	Oui	Mappage de colonne de statut pour la table de compte d'utilisateur dans le format `Table:StatusColumn`. La colonne de statut contient le statut d'un enregistrement d'utilisateur. Pour les valeurs spéciales, configurez la valeur d'activation/désactivation.
Valeur de statut d'activation du compte d'utilisateur		Cette valeur sera utilisée si la colonne de statut est configurée et qu'elle est de type chaîne. Si aucune valeur n'est fournie pour ce paramètre, la valeur par défaut est 'ACTIVE'.
Valeur de statut de désactivation du compte d'utilisateur		Cette valeur sera utilisée si la colonne de statut est configurée et qu'elle est de type chaîne. Si aucune valeur n'est fournie pour ce paramètre, la valeur par défaut est 'INACTIVE'.
Format de date		Format des données de date en cours de conversion en chaînes. Si vous voulez traiter les données de date en tant qu'éditeur de date, n'entrez aucune valeur pour ce paramètre. Si vous voulez traiter les données de date sous forme de texte, vous devez entrer le format de date. La spécification d'une valeur pour ce paramètre invalide le paramètre allNative.
Format d'horodatage		Format des données d'horodatage en cours de conversion en chaînes. La spécification de cette propriété invalide les propriétés nativeTimestamps et allNative
Condition de filtre de compte d'utilisateur		Clause WHERE qui définit le sous-ensemble des enregistrements de compte d'utilisateur que vous souhaitez transférer de votre base de données client dans Oracle Access Governance.
Script de création		Script personnalisé permettant d'utiliser des procédures ou des énoncés SQL stockés personnalisés plutôt que les énoncés SQL par défaut pour effectuer des opérations de provisionnement. Entrez l'URL du fichier du script Groovy créé pour l'opération de provisionnement de création de compte d'utilisateur. Vous devez entrer l'URL du fichier dans le format suivant : `/directoryName/fileName`. Exemple de valeur : `/app/scripts/create_user.groovy` Pour plus de détails sur les scripts avec l'intégration des tables d'application de base de données, voir Développer des scripts personnalisés pour les tables d'application de base de données (Oracle) à l'aide de Groovy
Script de mise à jour		Script personnalisé permettant d'utiliser des procédures ou des énoncés SQL stockés personnalisés plutôt que les énoncés SQL par défaut pour effectuer des opérations de provisionnement. Entrez l'URL du fichier du script Groovy créé pour l'opération de mise à jour du provisionnement de compte d'utilisateur. Ce script est appelé lorsque vous mettez à jour le formulaire d'attribut de compte, activez ou désactivez le compte d'utilisateur. Vous devez entrer l'URL du fichier dans le format suivant : `/directoryName/fileName`. Exemple de valeur : `/app/scripts/update_user.groovy` Pour plus de détails sur les scripts avec l'intégration des tables d'application de base de données, voir Développer des scripts personnalisés pour les tables d'application de base de données (Oracle) à l'aide de Groovy
Script de suppression		Script personnalisé permettant d'utiliser des procédures ou des énoncés SQL stockés personnalisés plutôt que les énoncés SQL par défaut pour effectuer des opérations de provisionnement. Entrez l'URL du fichier du script Groovy créé pour l'opération de provisionnement de suppression de compte d'utilisateur. Ce script est appelé lorsque vous révoquez ou supprimez un compte. Vous devez entrer l'URL du fichier dans le format suivant : `/directoryName/fileName`. Exemple de valeur : `/app/scripts/delete_user.groovy` Pour plus de détails sur les scripts avec l'intégration des tables d'application de base de données, voir Développer des scripts personnalisés pour les tables d'application de base de données (Oracle) à l'aide de Groovy
Script de chargement de données		Script personnalisé permettant d'utiliser des procédures ou des énoncés SQL stockés personnalisés plutôt que les énoncés SQL par défaut pour effectuer des opérations de provisionnement. Entrez l'URL du fichier du script Groovy créé pour le rapprochement. Le connecteur délègue l'opération de chargement de données au script Groovy, qui est responsable de transmettre les informations (objet de connecteur) au gestionnaire de rappel. Ce script est appelé lors de l'exécution d'une recherche de compte (opérations telles que le chargement complet des données). Vous devez entrer l'URL du fichier dans le format suivant : `/directoryName/fileName`. Exemple de valeur : `/app/scripts/full_data_load.groovy` Pour plus de détails sur les scripts avec l'intégration des tables d'application de base de données, voir Développer des scripts personnalisés pour les tables d'application de base de données (Oracle) à l'aide de Groovy
Script d'ajout de données de relation		Script personnalisé permettant d'utiliser des procédures ou des énoncés SQL stockés personnalisés plutôt que les énoncés SQL par défaut pour effectuer des opérations de provisionnement. Entrez l'URL du fichier du script Groovy créé pour l'opération de provisionnement d'ajout d'attribut multivaleur (y compris les autorisations pour le compte). Ce script est appelé lorsque vous ajoutez des attributs enfants multivaleurs. Vous devez entrer l'URL du fichier dans le format suivant : `/directoryName/fileName`. Exemple de valeur : `/app/scripts/add_mulval_attr.groovy` Pour plus de détails sur les scripts avec l'intégration des tables d'application de base de données, voir Développer des scripts personnalisés pour les tables d'application de base de données (Oracle) à l'aide de Groovy
Script de suppression de données de relation		Script personnalisé permettant d'utiliser des procédures ou des énoncés SQL stockés personnalisés plutôt que les énoncés SQL par défaut pour effectuer des opérations de provisionnement. Entrez l'URL du fichier du script Groovy créé pour l'opération de provisionnement de suppression d'attribut multivaleur (y compris les autorisations pour le compte). Ce script est appelé lors de la suppression d'attributs enfants multivaleurs. Vous devez entrer l'URL du fichier dans le format suivant : `/directoryName/fileName`. Exemple de valeur : `/app/scripts/remove_mulval_attr.groovy` Pour plus de détails sur les scripts avec l'intégration des tables d'application de base de données, voir Développer des scripts personnalisés pour les tables d'application de base de données (Oracle) à l'aide de Groovy

Cliquez sur Ajouter pour créer le système orchestré.

Terminer

L'étape finale du flux de travail est Terminer, où vous êtes invité à télécharger l'agent pour le système orchestré. Après avoir téléchargé l'agent, vous pouvez l'installer et le configurer dans votre environnement à l'aide des instructions sous Gérer l'agent Oracle Access Governance pour les intégrations indirectes.

Vous avez le choix entre configurer davantage votre système orchestré avant d'exécuter un chargement de données ou accepter la configuration par défaut et lancer un chargement de données. Sélectionner une valeur dans :

Personnaliser avant d'activer les chargements de données pour le système
Activer et préparer le chargement de données avec les valeurs par défaut fournies

Post-configuration

Mettre à jour le fichier JSON de schéma intermédiaire

Lorsque vous avez terminé l'installation de votre agent, un fichier JSON de schéma intermédiaire, schema.json est créé sur l'hôte de l'agent. Ce fichier mappe les tables de la base de données intégrée avec le schéma représenté dans Oracle Access Governance. Le fichier JSON de schéma initial est créé avec des attributs de base activés pour le chargement de données, l'UID, le NOM, le STATUS et le PASSWORD (si configuré par l'utilisateur). L'opération de chargement de données complet peut s'exécuter avec ce fichier JSON de schéma initial, en chargeant les données uniquement pour ces attributs de base. Vous pouvez ensuite modifier le fichier JSON du schéma pour inclure d'autres attributs pour les opérations de chargement de données suivantes.

Note

Assurez-vous d'avoir accordé des autorisations de lecture/écriture au fichier JSON de schéma pour l'utilisateur du système d'exploitation qui exécutera l'agent.

Après Day0, pour appliquer la transformation sortante, vous devez la mettre à jour à partir de la console Oracle Access Governance. Toute règle de transformation appliquée dans Schema.json ne sera pas prise en compte. Pour appliquer une règle de transformation, voir Appliquer les transformations sortantes pour les attributs d'identité. Toutefois, si vous modifiez l'attribut ou supprimez un attribut dans Schema.json, les règles de transformation associées à cet attribut de compte particulier sont supprimées lors de l'opération de détection de schéma.

Pour plus de détails sur la structure et les options disponibles lors de la modification de schema.json, voir Informations de référence sur les fichiers JSON de schéma.

Extraire les derniers attributs personnalisés

Vous devez effectuer une opération de détection de schéma qui extrait les dernières informations d'attribut personnalisé. Pour plus de détails sur l'exécution de cette tâche, voir Extraire les derniers attributs personnalisés.

Configuration de la communication SSL/TLS dans Oracle Database

Pour sécuriser la communication entre votre agent Oracle Access Governance et la base de données Oracle, vous pouvez configurer la sécurité SSL/TLS (Secure Sockets Layer/Transport Layer Security). Pour ce faire, assurez-vous d'avoir effectué les étapes suivantes :

Configurer le chiffrement et l'intégrité des données dans Oracle Database
Voir Configuration de l'authentification de sécurité de la couche de transport pour plus d'informations sur la configuration du chiffrement et de l'intégrité des données.
Pour configurer votre agent Oracle Access Governance afin qu'il utilise SSL/TLS lors de la communication avec la base de données, procédez comme suit :
1. Exportez le certificat sur l'ordinateur hôte Oracle Database.
2. Copiez le certificat de base de données sur l'hôte de l'agent Oracle Access Governance.
3. Importez le certificat de base de données dans le magasin de certificats SSL Java de l'agent à l'aide de la commande suivante :
```
<%JAVA_HOME%>/bin/keytool -import -alias database-cert -file <AD-cert-file> -keystore <agent-install-dir>/cacerts
```
4. Mettez à jour le fichier config.properties de l'agent pour inclure les éléments suivants :
```
JAVA_OPTS=-Djavax.net.ssl.trustStore=/app/cacerts-Djavax.net.ssl.trustStorePassword=changeit
```

Configurer le portefeuille pour l'intégration à Autonomous Database

Une connexion à Oracle Autonomous Database nécessite que le client, dans ce cas l'agent Oracle Access Governance, soit configuré pour prendre en charge la communication SSL entre l'agent et le service de base de données. Pour activer cette fonction, vous devez télécharger le portefeuille de base de données autonome sur l'hôte de votre agent, puis mettre à jour le champ URL de connexion facile pour la base de données dans la configuration du système orchestré. Pour configurer cette fonction, procédez comme suit :

Créer un système orchestré par le service de gestion des utilisateurs de base de données (Oracle) et configurer l'agent.
Téléchargez le portefeuille de base de données autonome à l'aide des instructions sous Télécharger les données d'identification de client (portefeuilles).
Créez un répertoire de portefeuille sur l'hôte de l'agent, sous le répertoire <agent-vol-location>/app. Par exemple :
```
mkdir <agent-vol-location>/app/db-wallet
```
Copiez le fichier zip contenant le portefeuille que vous avez téléchargé à l'étape 2, dans le dossier du portefeuille, puis décompressez à l'aide de la commande :
```
cp -rf Wallet_<DATABASENAME>.zip <agent-vol-location>/app/db-wallet
```
Le fichier de portefeuille décompressé contiendra le fichier tnsnames.ora, qui contient les noms de service disponibles pour Oracle Autonomous Database. Choisissez l'une des options suivantes en fonction de votre charge de travail :
- nom de la base de données_tpurgent
- nom de la base de données_tp
- nom de la base de données_élevé
- nom de base de données_moyen
- nom de la base de données_inférieur
Pour plus de détails sur les noms de service Oracle Autonomous Database, voir Noms de service de base de données pour une base de données Autonomous Transaction Processing ou Autonomous JSON Database.
Modifiez les paramètres d'intégration de votre système orchestré en suivant les instructions sous Configurer les paramètres d'un système orchestré. Mettez à jour le champ URL de connexion facile pour la base de données avec la chaîne de connexion pour la base de données, en fonction du nom de service que vous avez sélectionné à l'étape précédente. La chaîne de connexion doit avoir le format suivant :
```
jdbc:oracle:thin:@<SERVICE_NAME>?TNS_ADMIN=<WALLET-DIR>
```
Par exemple :
```
jdbc:oracle:thin:@MYAUTDB_TP?TNS_ADMIN=<agent-vol-location>/app/db-wallet
```

Documentation sur Oracle Cloud Infrastructure