Intégrer à Database User Management (Oracle)
Le connecteur de gestion des utilisateurs de base de données intègre Oracle Access Governance aux tables de gestion des utilisateurs de base de données dans Oracle Database. Vous pouvez établir une connexion entre Oracle Database et Oracle Access Governance en entrant les détails de connexion et en configurant le connecteur. Pour ce faire, utilisez la fonctionnalité Systèmes orchestrés disponible dans la console Oracle Access Governance.
Préalables
Avant d'installer et de configurer un système orchestré de gestion des utilisateurs de base de données (Oracle), vous devez tenir compte des préalables et des tâches suivants.
Composants certifiés
Vous pouvez intégrer l'un des types d'Oracle Database suivants à Oracle Access Governance :
- Exadata V2.
- Oracle Database 12c en tant que base de données unique, base de données enfichable ou mise en oeuvre d'Oracle RAC.
- Oracle Database 18c en tant que base de données unique, base de données enfichable ou mise en oeuvre d'Oracle RAC.
- Oracle Database 19c en tant que base de données unique, base de données enfichable ou mise en oeuvre d'Oracle RAC.
- Oracle Database 23ai en tant que base de données unique, base de données enfichable ou mise en oeuvre d'Oracle RAC.
- Oracle Autonomous Database
Opérations prises en charge
Le système orchestré Database User Management (Oracle) prend en charge les opérations suivantes :
- Créer un utilisateur
- Réinitialiser le mot de passe
- Ajouter des rôles
- Révoquer des rôles
- Ajouter des privilèges
- Révoquer des privilèges
Attributs pris en charge par défaut
Le système orchestré Database User Management (Oracle) prend en charge les attributs par défaut suivants.
| Entité utilisateur DBUM | Attribut de compte cible | Attribut de compte Oracle Access Governance |
|---|---|---|
| ID retour | uid | |
| Nom d'utilisateur | name | |
| Type d'authentification | authenticationType | |
| Nom distinctif global | globalDN | |
| Espace-table par défaut | defaultTablespace | |
| Quota d'espace-table par défaut (en Mo) | defaultTablespaceQuotaInMB | |
| Espace-table temporaire | temporaryTablespace | |
| Nom du profil | profileName | |
| Statut de compte | accountStatus | |
| Statut | statut | |
| Mot de passe | Mot de passe | |
|
Rôle Les rôles DBUM (Oracle) sont mappés aux droits Oracle Access Governance |
||
| adminOption | roleAdminOption | |
|
Privilèges Les privilèges DBUM (Oracle) sont mappés aux droits Oracle Access Governance |
||
| adminOption | privilegeAdminOption |
Règle de correspondance par défaut
Règle de correspondance par défaut pour le système orchestré Database User Management (Oracle)
est :| Mode | Règle de correspondance par défaut |
|---|---|
| Gérer les autorisations |
userNameOracle = userLogin
|
Créer un compte d'utilisateur de système cible pour les opérations de système orchestré de gestion des utilisateurs de base de données (Oracle)
Oracle Access Governance nécessite un compte d'utilisateur pour accéder au système pendant les opérations de service. Selon le système que vous utilisez, vous pouvez créer l'utilisateur et lui affecter des autorisations et des rôles spécifiques.
Pour la base de données Oracle :
- Créez un utilisateur de service à l'aide de l'énoncé SQL suivant :
CREATE USER agserviceuser IDENTIFIED BY password DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp QUOTA UNLIMITED ON users;
- Affectez les autorisations et les rôles suivants à l'utilisateur du service créé :
GRANT SELECT on dba_role_privs TO agserviceuser; GRANT SELECT on dba_sys_privs TO agserviceuser; GRANT SELECT on dba_ts_quotas TO agserviceuser; GRANT SELECT on dba_tablespaces TO agserviceuser; GRANT SELECT on dba_users TO agserviceuser; GRANT CREATE USER TO agserviceuser; GRANT ALTER ANY TABLE TO agserviceuser; GRANT GRANT ANY PRIVILEGE TO agserviceuser; GRANT GRANT ANY ROLE TO agserviceuser; GRANT DROP USER TO agserviceuser; GRANT SELECT on dba_roles TO agserviceuser; GRANT SELECT ON dba_profiles TO agserviceuser; GRANT ALTER USER TO agserviceuser; GRANT CREATE ANY TABLE TO agserviceuser; GRANT DROP ANY TABLE TO agserviceuser; GRANT CREATE ANY PROCEDURE TO agserviceuser; GRANT DROP ANY PROCEDURE TO agserviceuser;
Configurer
Vous pouvez établir une connexion entre Oracle Database et Oracle Access Governance en entrant les détails de connexion et en configurant votre environnement de base de données. Pour ce faire, utilisez la fonctionnalité Systèmes orchestrés disponible dans la console Oracle Access Governance.
Naviguer jusqu'à la page Systèmes orchestrés
Accédez à la page Orchestrated Systems de la console Oracle Access Governance en procédant comme suit :
- Dans l'icône Menu de navigation d'Oracle Access Governance
, sélectionnez Administration du service → Systèmes orchestrés. - Sélectionnez le bouton Ajouter un système orchestré pour démarrer le flux de travail.
Sélectionner un système
À l'étape Sélectionner un système du flux de travail, spécifiez le type de système à intégrer. Vous pouvez rechercher le système requis par son nom à l'aide du champ Rechercher.
- Sélectionnez la vignette Database User Management (Oracle DB). Une fois sélectionnée, une valeur de Gestion des utilisateurs de base de données (Oracle DB) est affichée à droite sous Ce que j'ai sélectionné.
- Cliquez sur Next (Suivant).
Entrer les détails
À l'étape Ajouter des détails du flux de travail, entrez les détails du système orchestré :
- Dans le champ Nom, entrez le nom du système auquel vous souhaitez vous connecter.
- Entrez une description du système dans le champ Description.
- Déterminez si ce système orchestré est une source faisant autorité et si Oracle Access Governance peut gérer les autorisations en cochant les cases suivantes.
-
Il s'agit de la source faisant autorité pour mes identités
Sélectionnez une des options suivantes :
- Source des identités et de leurs attributs : Le système agit en tant qu'identités sources et attributs associés. Cette option permet de créer de nouvelles identités.
- Source des attributs d'identité uniquement : Le système ingère des détails supplémentaires sur les attributs d'identité et s'applique aux identités existantes. Cette option n'ingère pas ou ne crée pas de nouveaux enregistrements d'identité.
- Je veux gérer les autorisations pour ce système
-
Il s'agit de la source faisant autorité pour mes identités
- Sélectionnez Suivant.
Ajouter des responsables
Vous pouvez associer la responsabilité de la ressource en ajoutant des responsables principaux et supplémentaires. Ces responsables peuvent ainsi gérer (lire, mettre à jour ou supprimer) les ressources dont ils sont responsables. Par défaut, le créateur de la ressource est désigné comme responsable de la ressource. Vous pouvez affecter un responsable principal et jusqu'à 20 responsables supplémentaires aux ressources.
Note
Lors de la configuration du premier système orchestré pour votre instance de service, vous ne pouvez affecter des responsables qu'après avoir activé les identités à partir de la section Gérer les identités.
Pour ajouter des responsables :Lors de la configuration du premier système orchestré pour votre instance de service, vous ne pouvez affecter des responsables qu'après avoir activé les identités à partir de la section Gérer les identités.
- Sélectionnez un utilisateur actif d'Oracle Access Governance en tant que responsable principal dans le champ Qui est le responsable principal?.
- Sélectionnez un ou plusieurs responsables supplémentaires dans la liste Qui en est le responsable?. Vous pouvez ajouter jusqu'à 20 responsables supplémentaires pour la ressource.
Paramètres du compte
À l'étape Paramètres du compte du flux de travail, entrez la façon dont Oracle Access Governance doit gérer les comptes lorsque le système est configuré en tant que système géré :
- Lorsqu'une autorisation est demandée et que le compte n'existe pas déjà, sélectionnez cette option pour créer de nouveaux comptes. Cette option est sélectionnée par défaut. Lorsque cette option est sélectionnée, Oracle Access Governance crée un compte s'il n'en existe pas lorsqu'une autorisation est demandée. Si vous désélectionnez cette option, les autorisations ne sont provisionnées que pour les comptes existants dans le système orchestré. Si aucun compte n'existe, l'opération de provisionnement échoue.
- Sélectionnez les destinataires des courriels d'avis lorsqu'un compte est créé. Le destinataire par défaut est Utilisateur. Si aucun destinataire n'est sélectionné, les avis ne sont pas envoyés lors de la création des comptes.
- Utilisateur
- Gestionnaire d'utilisateurs
- Configurer les comptes existantsNote
Vous ne pouvez définir ces configurations que si l'administrateur de système l'autorise. Lorsque les paramètres globaux d'arrêt de compte sont activés, les administrateurs d'application ne peuvent pas gérer les paramètres d'arrêt de compte au niveau du système orchestré.- Sélectionner les actions à effectuer avec les comptes au début d'une cessation d'emploi anticipée : Sélectionnez l'action à effectuer au début d'une cessation d'emploi anticipée. Cela se produit lorsque vous devez révoquer les accès d'identité avant la date de cessation officielle.
- Supprimer : Supprime tous les comptes et autorisations gérés par Oracle Access Governance.Note
Si un système orchestré spécifique ne prend pas en charge cette action, aucune action n'est effectuée. - Désactiver : Désactive tous les comptes et désactive les autorisations gérées par Oracle Access Governance.
- Supprimer les autorisations pour les comptes désactivés : Pour garantir l'absence d'accès résiduel, sélectionnez cette option pour supprimer les autorisations affectées directement et les autorisations accordées par une politique lors de la désactivation du compte.
- Aucune action : Aucune action n'est effectuée lorsqu'une identité est marquée pour résiliation anticipée par Oracle Access Governance.
- Supprimer : Supprime tous les comptes et autorisations gérés par Oracle Access Governance.
- Sélectionner les actions à effectuer avec les comptes à la date de cessation : Sélectionnez l'action à effectuer lors de la cessation officielle. Cela se produit lorsque vous devez révoquer les accès d'identité à la date de cessation officielle.
- Supprimer : Supprime tous les comptes et autorisations gérés par Oracle Access Governance.Note
Si un système orchestré spécifique ne prend pas en charge l'action Supprimer, aucune action n'est effectuée. - Désactiver : Désactive tous les comptes et désactive les autorisations gérées par Oracle Access Governance.
- Supprimer les autorisations pour les comptes désactivés : Pour garantir l'absence d'accès résiduel, sélectionnez cette option pour supprimer les autorisations affectées directement et les autorisations accordées par une politique lors de la désactivation du compte.
Note
Si un système orchestré spécifique ne prend pas en charge l'action Désactiver, le compte est supprimé. - Aucune action : Aucune action n'est effectuée sur les comptes et les autorisations par Oracle Access Governance.
- Supprimer : Supprime tous les comptes et autorisations gérés par Oracle Access Governance.
- Sélectionner les actions à effectuer avec les comptes au début d'une cessation d'emploi anticipée : Sélectionnez l'action à effectuer au début d'une cessation d'emploi anticipée. Cela se produit lorsque vous devez révoquer les accès d'identité avant la date de cessation officielle.
- Lorsqu'une identité quitte votre entreprise, vous devez supprimer l'accès à ses comptes. Note
Vous ne pouvez définir ces configurations que si l'administrateur de système l'autorise. Lorsque les paramètres globaux d'arrêt de compte sont activés, les administrateurs d'application ne peuvent pas gérer les paramètres d'arrêt de compte au niveau du système orchestré.Sélectionnez l'une des actions suivantes pour le compte :
- Supprimer : Supprimez tous les comptes et autorisations gérés par Oracle Access Governance.
- Désactiver : Désactivez tous les comptes et marquez les autorisations comme inactives.
- Supprimer les autorisations pour les comptes désactivés : Supprimez les autorisations directement affectées et accordées par une politique lors de la désactivation du compte afin de garantir l'absence d'accès résiduel.
- Aucune action : Ne rien faire lorsqu'une identité quitte l'organisation.
Note
Ces actions ne sont disponibles que si elles sont prises en charge par le type de système orchestré. Par exemple, si Supprimer n'est pas pris en charge, vous ne verrez que les options Désactiver et Aucune action. - Lorsque toutes les autorisations d'un compte sont supprimées, par exemple lorsqu'une identité se déplace entre les services, vous devrez peut-être décider quoi faire avec le compte. Sélectionnez l'une des actions suivantes, si elle est prise en charge par le type de système orchestré :
- Suppression
- Désactiver
- Aucune action
- Gérer les comptes qui ne sont pas créés par la gouvernance des accès : Sélectionnez cette option pour gérer les comptes qui sont créés directement dans le système orchestré. Vous pouvez ainsi rapprocher des comptes existants et les gérer à partir d'Oracle Access Governance.
Note
Si vous ne configurez pas le système en tant que système géré, cette étape du flux de travail s'affiche mais n'est pas activée. Dans ce cas, vous passez directement à l'étape Paramètres d'intégration du flux de travail.
Si vous ne configurez pas le système en tant que système géré, cette étape du flux de travail s'affiche mais n'est pas activée. Dans ce cas, vous passez directement à l'étape Paramètres d'intégration du flux de travail.
Note
Si votre système orchestré nécessite une détection de schéma dynamique, comme pour les intégrations REST générique et des tables d'application de base de données, seule la destination de courriel d'avis peut être définie (utilisateur, utilisateur) lors de la création du système orchestré. Vous ne pouvez pas définir les règles de désactivation/suppression pour les déménageurs et les départs. Pour ce faire, vous devez créer le système orchestré, puis mettre à jour les paramètres du compte comme décrit sous Configurer les paramètres du compte de système orchestré.
Si votre système orchestré nécessite une détection de schéma dynamique, comme pour les intégrations REST générique et des tables d'application de base de données, seule la destination de courriel d'avis peut être définie (utilisateur, utilisateur) lors de la création du système orchestré. Vous ne pouvez pas définir les règles de désactivation/suppression pour les déménageurs et les départs. Pour ce faire, vous devez créer le système orchestré, puis mettre à jour les paramètres du compte comme décrit sous Configurer les paramètres du compte de système orchestré.
Paramètres d'intégration
À l'étape Paramètres d'intégration du flux de travail, entrez les détails de configuration requis pour permettre à Oracle Access Governance de se connecter à la base de données spécifiée.
- Dans le champ URL de connexion facile pour la base de données, entrez la chaîne de connexion pour la base de données à intégrer à Oracle Access Governance. Pour Oracle Database, utilisez le format host/port/database service/sid. Pour Oracle Autonomous Database, utilisez le format jdbc:oracle:thin :@<SERVICE_NAME>? TNS_ADMIN=<WALLET-DIR>, comme décrit sous Configurer le portefeuille pour l'intégration d'Autonomous Database.
- Dans le champ Nom d'utilisateur, entrez l'utilisateur de base de données que vous utiliserez pour vous connecter à la base de données. Il s'agit de l'utilisateur que vous avez créé dans Créer un compte d'utilisateur de système cible pour les opérations de système orchestrées de gestion des utilisateurs de base de données (Oracle).
- Entrez le mot de passe de l'utilisateur de la base de données cible dans le champ Mot de passe. Confirmez le mot de passe dans le champ Confirmer le mot de passe.
- Dans Propriétés de connexion, entrez toutes les propriétés de connexion au format prop1=val1#prop2=val2
- Vérifiez le volet de droite pour voir Ce que j'ai sélectionné. Si vous êtes satisfait des détails entrés, sélectionnez Ajouter pour créer le système orchestré.
Terminer
À l'étape Terminer du flux de travail, vous êtes invité à télécharger l'agent que vous utiliserez pour l'interface entre Oracle Access Governance et Oracle Database. Sélectionnez le lien Télécharger pour télécharger le fichier zip de l'agent dans l'environnement dans lequel il sera exécuté.
Après avoir téléchargé l'agent, suivez les instructions décrites dans l'article Administration de l'agent.
Enfin, vous pouvez choisir de configurer davantage votre système orchestré avant d'exécuter un chargement de données, ou d'accepter la configuration par défaut et de lancer un chargement de données. Sélectionner une valeur dans :
- Personnaliser avant d'activer les chargements de données pour le système
- Activer et préparer le chargement de données avec les valeurs par défaut fournies
Post-configuration
Configurer le portefeuille pour l'intégration à Autonomous Database
Pour activer cette fonction, téléchargez le portefeuille de base de données autonome sur l'hôte de votre agent, puis mettez à jour le champ URL de connexion facile pour la base de données dans la configuration du système orchestré. Pour configurer cette fonction, procédez comme suit :
Effectuez les étapes suivantes pour configurer le portefeuille pour Autonomous Database :
- Créer un système orchestré par le service de gestion des utilisateurs de base de données (Oracle) et configurer l'agent.
- Téléchargez le portefeuille de base de données autonome à l'aide des instructions sous Télécharger les données d'identification de client (portefeuilles).
- Créez un répertoire de portefeuille dans le dossier de l'agent installé,
<PERSISTENT_VOLUME_LOCATION><WALLET-DIR>. Par exemple :mkdir /myagent/install/db-wallet - Copiez le fichier zip contenant le portefeuille que vous avez téléchargé à l'étape 2, dans
<PERSISTENT_VOLUME_LOCATION><WALLET-DIR>et décompressez à l'aide de la commande :cp -rf Wallet_<DATABASENAME>.zip <PERSISTENT_VOLUME_LOCATION><WALLET-DIR> cd /myagent/install/db-wallet unzip Wallet_<DATABASENAME>.zip - Le fichier de portefeuille décompressé contient le fichier tnsnames.ora, qui contient les noms de service disponibles pour Oracle Autonomous Database. Choisissez le nom TNS approprié en fonction de votre charge globale :
- nom de la base de données_tpurgent
- nom de la base de données_tp
- nom de la base de données_élevé
- nom de base de données_moyen
- nom de la base de données_inférieur
- Modifiez les paramètres d'intégration de votre système orchestré en suivant les instructions sous Configurer les paramètres d'un système orchestré.
- Ouvrez votre fichier
tnsnames.oraà partir du répertoire du portefeuille et recherchez l'étiquette TNS avant le = correspondant à ce bloc de description.Par exemple, si la chaîne de connexion est :myhost_db_high = (description= (retry_count=20)(retry_delay=3) (address=(protocol=tcps)(port=1522)(host=<myhost>.adb.<region>.example.com)) (connect_data=(service_name=myhost_db_high.adb.example.com)) (security=(ssl_server_dn_match=no))) - Mettez à jour le champ URL de connexion facile pour la base de données avec la chaîne de connexion pour la base de données, en fonction du nom de service que vous avez sélectionné à l'étape précédente. La chaîne de connexion doit avoir le format suivant :
Par exemple :jdbc:oracle:thin:@<TNS_NAME>?TNS_ADMIN=<full-path-to-WALLET-DIR>jdbc:oracle:thin:@myhost_db_high?TNS_ADMIN=/agent/install