Documentation sur Oracle Cloud Infrastructure

Intégrer à des tables d'application de base de données

Aperçu : Intégrer Oracle Access Governance aux tables d'application de base de données

Oracle Access Governance peut être intégré aux tables d'application de base de données, ce qui permet l'orchestration des identités, y compris l'intégration des données d'identité (d'utilisateur) et le provisionnement des comptes.

Les tables d'application de base de données peuvent être définies en tant qu'applications personnalisées basées sur la base de données. En termes d'administration des identités, ces applications sont caractérisées par les éléments suivants :
  • Les applications n'ont pas d'API pour l'administration des identités
  • Chaque application peut avoir un jeu de schémas différent pour les données d'identité, de compte et d'autorisation
  • Le schéma d'application n'est pas connu d'Oracle Access Governance avant la configuration et l'exécution de l'intégration
  • Il n'existe aucun mappage direct entre les tables de base de données d'application et les entités Oracle Access Governance
  • Il n'existe pas de modèle commun pour l'organisation des données d'identité dans le schéma d'application. Les données d'identité peuvent se trouver dans une seule table ou être réparties entre plusieurs tables

L'intégration des tables d'application de base de données permet l'échange de données utilisateur entre une base de données client et Oracle Access Governance.

L'intégration des tables d'application de base de données prend en charge les éléments suivants :
  • Les tables d'application de base de données en tant que source fiable d'informations d'identité permettant le rapprochement des identités créées ou modifiées dans les tables de base de données.
  • Tables d'application de base de données en tant que système géré permettant le provisionnement des comptes d'application dans les tables de base de données.

Présentation de l'architecture d'intégration des tables d'application de base de données

L'intégration aux tables d'application de base de données vous permet d'extraire des données d'identité d'un système, de les transporter vers Oracle Access Governance et d'effectuer l'ingestion. Une fois le système connecté, vous pouvez effectuer des tâches et des opérations de provisionnement et de correction, telles que la création, le rapprochement, la mise à jour, la suppression, la désactivation/l'activation, l'ajout/la suppression d'autorisations et l'ajout/la suppression de groupes, qui sont ensuite répercutés dans le système géré.


Architecture DBAT

Figure 1. Architecture DBAT
L'intégration des tables d'application de base de données est mise en oeuvre à l'aide d'un type de connexion basé sur un agent. Cela signifie qu'une connexion directe n'est pas disponible. Par conséquent, une connexion indirecte est établie entre Oracle Access Governance et l'instance de base de données requise à l'aide de l'agent de gouvernance des accès. L'intégration des tables d'application de base de données prend en charge les modes suivants :
  • Si vous sélectionnez le mode de configuration Source faisant autorité lorsque vous configurez un système orchestré de tables d'application de base de données, Oracle Access Governance extraira les données d'identité de l'instance de base de données et les traitera comme une source faisant autorité (de confiance) d'informations d'identité.
  • Si vous sélectionnez le mode de configuration Systèmes gérés, Oracle Access Governance vous permettra de gérer les comptes d'utilisateur dans la base de données cible. Cela permet le provisionnement de nouveaux comptes dans les instances de base de données client à partir d'Oracle Access Governance.

Afin d'identifier le schéma approprié pour votre intégration, l'intégration des tables d'application de base de données offre la détection automatique de schéma. Il s'agit du processus d'identification du schéma de base de données sous-jacent qui contient vos données utilisateur. La prise en charge est assurée pour le schéma limité Jour-0, et les modifications ultérieures du schéma utilisateur sont prises en charge par la prise en charge Jour-N, ce qui vous permet de mettre à jour le schéma avec toutes les modifications apportées aux tables de base de données et de les appliquer à votre schéma détecté.

Les détails des tables pertinentes de la base de données utilisateur sont fournis lors de la création de l'agent. Les détails du schéma sont stockés dans un fichier de schéma situé avec l'agent. Les détails du schéma peuvent être mis à jour en modifiant directement ce fichier selon les besoins.

La connexion à la base de données contenant vos tables utilisateur s'effectue via une connexion de base de données JDBC. Cela permet à l'agent de :
  • Détecter le schéma pour votre application basée sur la base de données
  • Effectuer des chargements de données
  • Provisionner des comptes

Un chargement complet des données d'identité et de compte pertinentes est effectué dans Oracle Access Governance chaque fois que le chargement est exécuté. Si c'est la première fois que le chargement est effectué, les structures d'identité et de compte pertinentes sont créées dans Oracle Access Governance, le cas échéant. Lors des exécutions de chargement de données suivantes, toutes les données sont chargées dans Oracle Access Governance et le processus d'ingestion met à jour toutes les modifications depuis le dernier chargement de données dans les artefacts d'identité et de compte appropriés.

Une fois votre système orchestré configuré, vous pouvez provisionner des comptes à l'aide du moteur de provisionnement d'Oracle Access Governance, qui traitera toute demande de comptes ou d'autorisations et le transmettra à l'agent et à la base de données cible. Le provisionnement prend en charge les opérations de création, de mise à jour et de révocation.

Si votre fichier de schéma est perdu ou corrompu de quelque manière que ce soit, l'intégration des tables d'application de base de données fournit une récupération de fichier de schéma. Cela est utile dans des scénarios tels qu'une panne d'agent ou la perte du fichier de schéma.

Présentation fonctionnelle de l'intégration des tables d'application de base de données

L'intégration des tables d'application de base de données prend en charge des cas d'utilisation tels que la configuration du système orchestré, le chargement de données, la création et la révocation de comptes, le changement de mot de passe et l'affectation et la suppression de rôles.

Fonctions d'intégration prises en charge

L'intégration des tables d'application de base de données à Oracle Access Governance prend en charge les fonctions suivantes :
  • Configurer le système orchestré
  • Charger des données
  • Créer un compte
  • Affecter des autorisations
  • Supprimer des autorisations
  • Changer le mot de passe
  • Révoquer le compte

Pour plus de détails sur les fonctions prises en charge, consultez Aperçu fonctionnel de l'intégration d'Oracle Access Governance.

Exemple de cycle de vie de compte

Regardons un exemple. Vous avez créé un nouveau système orchestré connecté à l'instance de base de données MyDBAT qui contient des données d'utilisateur pour votre organisation. Le système orchestré est configuré pour les modes Source faisant autorité et Système géré. Dans le premier chargement de données, les données d'identité et de compte sont chargées dans Oracle Access Governance. Pour le moment, les détails suivants sont créés dans Oracle Access Governance :
  • Une identité Oracle Access Governance est créée, par exemple MyAGIdentity, comprenant des données faisant autorité telles que le nom, l'adresse de courriel et l'emplacement.
  • Un compte est créé dans Oracle Access Governance pour les rôles de tables d'application de base de données existants, par exemple DBATRole_Composer.
Nous avons maintenant les éléments suivants :
  • MyAGIdentity
    • MyDBATAccount
      • DBATRole_Composer

Après un certain temps, MyAGIdentity passe à un nouveau poste au sein de son organisation nécessitant le rôle de développeur. Un ensemble d'accès DBATBundle_Developer est créé dans Oracle Access Governance, qui contient les autorisations de développement requises. Cet ensemble d'accès peut être affecté à la suite d'une politique, d'un rôle ou d'une demande. Supposons que l'utilisateur demande l'ensemble d'accès à l'aide de l'option Demander un nouvel accès. Lors de l'approbation, la demande déclenche une opération de provisionnement qui applique les modifications à MyDBAT, en affectant les rôles Tables d'application de base de données correspondant aux autorisations contenues dans l'ensemble d'accès DBATBundle_Developer.

Nous avons maintenant les éléments suivants :
  • MyAGIdentity
    • MyDBATAccount
      • DBATRole_Composer
      • DBATBundle_Developer
Des comptes supplémentaires peuvent être mappés à l'identité MyAGIdentity au fil du temps à partir d'autres systèmes gérés, ce qui nous donne un profil comme celui-ci :
  • MyAGIdentity
    • MyDBATAccount
    • MyOracleDBAccount
    • MyMSTeamsAccount

MyAGIdentity est alors nécessaire pour modifier son mot de passe. À l'aide de la fonctionnalité Mon accès de la console Oracle Access Governance, ils modifient leur mot de passe, ce qui propage la modification à MyDBAT à l'aide du provisionnement d'Oracle Access Governance.

MyAGIdentity passe ensuite à un rôle, ce qui signifie qu'ils n'ont plus besoin d'un compte sur MyDBAT. Dans ce cas, une tâche de provisionnement de compte de révocation peut être générée en révoquant le compte de l'identité dans le cadre d'une révision d'accès. Vous pouvez également supprimer leur association avec les rôles de base de données du client en supprimant l'identité du rôle ou de la politique Oracle Access Governance approprié. Dans les deux cas, cela entraînera une tâche de provisionnement qui révoquera le compte de la base de données du client, ainsi que tous les rôles connexes. Le profil ressemblerait maintenant à :
  • MyAGIdentity
    • MyOracleDBAccount
    • MyMSTeamsAccount

Si le système orchestré de tables d'application de base de données est configuré en mode Source faisant autorité et que vous rendez une identité inactive, l'identité MyAGIdentity est désactivée. Dans ce cas, une tâche de provisionnement sera générée et appliquée au système géré.

Nous avons maintenant les éléments suivants :
  • MyAGIdentity (Désactivé)