Documentation sur Oracle Cloud Infrastructure

Intégrer à des services REST génériques

Le système orchestré REST générique fournit une solution permettant d'intégrer Oracle Access Governance à des systèmes REST sensibles aux identités. Un système basé sur REST est tout système qui expose ses API REST ou ses interfaces pour la gestion des identités.

Aperçu du système orchestré REST générique

Le système orchestré REST générique offre les fonctions suivantes :
  • Chargement complet/incrémentiel des données pour les sources faisant autorité ou les systèmes gérés
  • Provisionnement en temps réel
  • Intégration de fonctions sans serveur en nuage native pour définir des modèles de schéma, de demande, de réponse et de test de système REST basés sur les identités

Le système orchestré REST générique diffère des autres dans la mesure où les définitions de schéma, de demande et de réponse ne sont pas corrigées. D'autres systèmes orchestrés ont des modèles de schéma, de demande, de réponse et de test préchargés pour la source faisant autorité ou le système géré auquel ils s'appliquent. Vous pouvez appliquer des systèmes orchestrés REST génériques à tout système sensible aux identités basé sur REST, le schéma, la demande, la réponse et les modèles de test sont chargés au moment de l'exécution, plutôt qu'au moment de la création du système orchestré.

Pour chaque source faisant autorité ou système géré, vous devez créer les modèles suivants :
  • grc-schema-template : Ce modèle définit le schéma du système source ou géré faisant autorité à intégrer.
  • grc-request-template : Ce modèle définit le format de demande (en-têtes, URL, paramètres de demande, corps de la demande) requis pour appeler la source faisant autorité ou l'API du système géré pour demander des données d'identité.
  • grc-response-template : Ce modèle définit le format de réponse pour les données d'identité et de compte.
  • grc-test-template : Ce modèle définit une API pour tester la connectivité entre Oracle Access Governance et la source ou le système géré faisant autorité.
Lorsqu'une opération est appelée, les paramètres suivants sont transmis au service des fonctions pour OCI.
  • Nom du système orchestré
  • Nom de l'entité (identité ou compte)
  • Nom de l'opération

La fonction OCI est appelée et retourne un fichier JSON avec les modèles pertinents pour le système orchestré.

Préalables

Avant d'installer et de configurer un système orchestré REST générique, vous devez tenir compte des préalables et des tâches suivants.

Composants certifiés

Le système géré peut être l'un des suivants :

  • Tout système sensible aux identités qui prend en charge les services REST

Modes pris en charge

Le système orchestré REST générique prend en charge les modes de configuration suivants :

  • Source faisant autorité
  • Système géré

Cas d'utilisation pris en charge par le système orchestré REST générique

Un système orchestré REST générique peut être utilisé pour intégrer les données d'identité dans Oracle Access Governance à partir d'un service REST, puis pour gérer efficacement les identités dans un cycle intégré avec le reste des systèmes sensibles aux identités de votre entreprise.

À titre d'exemple de cas d'utilisation commerciale, considérez une entreprise de logistique de premier plan qui compte plus de 20 applications en nuage. La plupart de ces applications en nuage sont maintenant inefficaces, car les données de ces applications sont entrées manuellement et gérées à l'aide de feuilles de calcul ou de flux de processus personnalisés. Par conséquent, cette société souhaite intégrer ses applications en nuage à Oracle Access Governance afin de rationaliser ses opérations, d'augmenter son efficacité organisationnelle et, en même temps, de réduire ses coûts opérationnels. Il existe deux approches pour intégrer ces applications en nuage à Oracle Access Governance. Une approche consisterait à déployer un connecteur point à point pour chacune de ces applications. Les inconvénients de cette approche sont les suivants :

  • Augmentation du temps et des efforts pour identifier et déployer un connecteur point à point pour chaque application.

  • Augmentation des frais généraux d'administration et de maintenance pour la gestion des connecteurs pour chaque application.

  • Indisponibilité des connecteurs point à point pour toutes les applications. Dans un tel scénario, il faut développer des connecteurs personnalisés qui augmentent le temps et les efforts nécessaires pour développer, déployer et tester le connecteur personnalisé.

Une autre solution consiste à utiliser le système orchestré REST générique pour intégrer toutes les applications en nuage à Oracle Access Governance. Le système orchestré REST générique permet de gérer les comptes de toutes les applications en nuage sans consacrer plus de temps et de ressources à la création de connecteurs personnalisés pour chaque application en nuage.

Le système orchestré REST générique aide les entreprises à tirer parti d'Oracle Access Governance pour s'intégrer aux systèmes gérés pour la gouvernance des identités. Ces systèmes gérés comprennent toutes les applications qui exposent les API REST telles que SaaS, PaaS, les applications maison, etc.

Voici quelques exemples de scénarios dans lesquels le système orchestré REST générique est utilisé :

  • Gestion des utilisateurs

    Le système orchestré REST générique vous permet de gérer les personnes qui peuvent accéder aux ressources en les définissant comme identités dans Oracle Access Governance et en les affectant à des collections d'identités et à des rôles. Les identités sont créées à partir de tout système orchestré faisant autorité, tel que Generic REST, lors du chargement des données.

  • Contrôle d'accès

    Le système orchestré REST générique gère le contrôle d'accès au moyen de collections d'identités, de rôles, d'ensembles d'accès et de politiques. Selon le système orchestré utilisé, vous pouvez gérer l'accès à l'aide des fonctions en libre-service d'Oracle Access Governance, notamment Demander l'accès. Par exemple, vous pouvez utiliser le système orchestré REST générique pour affecter ou révoquer automatiquement l'accès à un système en fonction de politiques d'accès prédéfinies dans Oracle Access Governance. Lorsque de nouveaux utilisateurs sont ajoutés à un rôle spécifique, ils obtiennent automatiquement l'accès correspondant dans les systèmes couverts par la politique d'accès.

Configurer la fonction sans serveur OCI pour la connexion au système Identity Aware basé sur REST

Le système orchestré REST générique nécessite une prise en charge à partir des fonctions sans serveur pour OCI afin de se connecter aux systèmes de reconnaissance d'identités basés sur REST.

Pour configurer le service des fonctions pour OCI à utiliser avec le système Rest Orchestrated générique, voir Configurer la fonction sans serveur OCI pour la connexion au système Identity Aware basé sur REST.

Configurer

Vous pouvez établir une intégration entre les systèmes conscients des identités basés sur REST et Oracle Access Governance en entrant les détails du service des fonctions et des modèles OCI pour intégrer le système basé sur REST. Pour ce faire, utilisez la fonctionnalité Système orchestré disponible dans la console Oracle Access Governance.

Établissez une intégration entre les systèmes basés sur REST et Oracle Access Governance en entrant les détails du service des fonctions et des modèles OCI pour intégrer le système basé sur REST. Utilisez la fonctionnalité Orchestrated System dans la console Oracle Access Governance.

Oracle Access Governance utilise un principal de ressource pour accéder aux fonctions OCI et les appeler. Si vous disposez d'un système orchestré existant et que vous devez effectuer une migration, voir Migrer l'accès par clé d'API vers l'accès au principal de ressource.

Naviguer jusqu'à la page Systèmes orchestrés

Accédez à la page Orchestrated Systems de la console Oracle Access Governance en procédant comme suit :
  1. Dans l'icône Menu de navigation d'Oracle Access Governance Menu de navigation, sélectionnez Administration du service → Systèmes orchestrés.
  2. Sélectionnez le bouton Ajouter un système orchestré pour démarrer le flux de travail.

Sélectionner un système

À l'étape Sélectionner un système du flux de travail, vous pouvez spécifier le type de système à intégrer. Vous pouvez rechercher le système requis par son nom à l'aide du champ Rechercher. Sélectionnez la vignette Connecteur REST générique. Lorsque vous sélectionnez cette vignette, une page de dialogue présente les étapes de configuration du système orchestré. Cela inclut un lien vers un exemple de mise en oeuvre du service des fonctions pour OCI requis pour la connexion aux systèmes de gestion des identités basés sur REST. Si vous ne l'avez pas encore fait, vous devez télécharger le fichier idm-agcs-generic-rest-reference-implementation.zip et développer vos propres fonctions OCI à partir de cet exemple. Pour plus de détails sur l'exemple de mise en oeuvre, voir Configurer l'exemple de mise en oeuvre. Pour plus de détails sur le développement des fonctions OCI requises, voir Configurer la fonction sans serveur OCI pour la connexion au système Identity Aware basé sur REST et Détection de schéma de repos générique.

Après la sélection, une valeur de Connecteur REST générique est affichée sur le côté droit sous Ce que j'ai sélectionné. Sélectionnez Suivant.

Entrer les détails

À l'étape Ajouter des détails du flux de travail, entrez les détails du système orchestré :
  1. Dans le champ Nom, entrez le nom du système auquel vous souhaitez vous connecter.
  2. Entrez une description du système dans le champ Description.
  3. Déterminez si ce système orchestré est une source faisant autorité et si Oracle Access Governance peut gérer les autorisations en cochant les cases suivantes.
    • Il s'agit de la source faisant autorité pour mes identités

      Sélectionnez une des options suivantes :

      • Source des identités et de leurs attributs : Le système agit en tant qu'identités sources et attributs associés. Cette option permet de créer de nouvelles identités.
      • Source des attributs d'identité uniquement : Le système ingère des détails supplémentaires sur les attributs d'identité et s'applique aux identités existantes. Cette option n'ingère pas ou ne crée pas de nouveaux enregistrements d'identité.
    • Je veux gérer les autorisations pour ce système
    La valeur par défaut de chaque cas est Non sélectionné.
  4. Sélectionnez Suivant.

Ajouter des responsables

Vous pouvez associer la responsabilité de la ressource en ajoutant des responsables principaux et supplémentaires. Ces responsables peuvent ainsi gérer (lire, mettre à jour ou supprimer) les ressources dont ils sont responsables. Par défaut, le créateur de la ressource est désigné comme responsable de la ressource. Vous pouvez affecter un responsable principal et jusqu'à 20 responsables supplémentaires aux ressources.
Note

Lors de la configuration du premier système orchestré pour votre instance de service, vous ne pouvez affecter des responsables qu'après avoir activé les identités à partir de la section Gérer les identités.
Pour ajouter des responsables :
  1. Sélectionnez un utilisateur actif d'Oracle Access Governance en tant que responsable principal dans le champ Qui est le responsable principal?.
  2. Sélectionnez un ou plusieurs responsables supplémentaires dans la liste Qui en est le responsable?. Vous pouvez ajouter jusqu'à 20 responsables supplémentaires pour la ressource.
Vous pouvez voir le responsable principal dans la liste. Tous les responsables peuvent voir et gérer les ressources dont ils sont responsables.

Paramètres de compte

À l'étape Paramètres du compte du flux de travail, entrez la façon dont Oracle Access Governance doit gérer les comptes lorsque le système est configuré en tant que système géré :
  1. Lorsqu'une autorisation est demandée et que le compte n'existe pas déjà, sélectionnez cette option pour créer de nouveaux comptes. Cette option est sélectionnée par défaut. Lorsque cette option est sélectionnée, Oracle Access Governance crée un compte s'il n'en existe pas lorsqu'une autorisation est demandée. Si vous désélectionnez cette option, les autorisations ne sont provisionnées que pour les comptes existants dans le système orchestré. Si aucun compte n'existe, l'opération de provisionnement échoue.
  2. Sélectionnez les destinataires des courriels d'avis lorsqu'un compte est créé. Le destinataire par défaut est Utilisateur. Si aucun destinataire n'est sélectionné, les avis ne sont pas envoyés lors de la création des comptes.
    • Utilisateur
    • Gestionnaire d'utilisateurs
  3. Configurer les comptes existants
    Note

    Vous ne pouvez définir ces configurations que si l'administrateur de système l'autorise. Lorsque les paramètres globaux d'arrêt de compte sont activés, les administrateurs d'application ne peuvent pas gérer les paramètres d'arrêt de compte au niveau du système orchestré.
    1. Sélectionner les actions à effectuer avec les comptes au début d'une cessation d'emploi anticipée : Sélectionnez l'action à effectuer au début d'une cessation d'emploi anticipée. Cela se produit lorsque vous devez révoquer les accès d'identité avant la date de cessation officielle.
      • Supprimer : Supprime tous les comptes et autorisations gérés par Oracle Access Governance.
        Note

        Si un système orchestré spécifique ne prend pas en charge cette action, aucune action n'est effectuée.
      • Désactiver : Désactive tous les comptes et désactive les autorisations gérées par Oracle Access Governance.
        • Supprimer les autorisations pour les comptes désactivés : Pour garantir l'absence d'accès résiduel, sélectionnez cette option pour supprimer les autorisations affectées directement et les autorisations accordées par une politique lors de la désactivation du compte.
      • Aucune action : Aucune action n'est effectuée lorsqu'une identité est marquée pour résiliation anticipée par Oracle Access Governance.
    2. Sélectionner les actions à effectuer avec les comptes à la date de cessation : Sélectionnez l'action à effectuer lors de la cessation officielle. Cela se produit lorsque vous devez révoquer les accès d'identité à la date de cessation officielle.
      • Supprimer : Supprime tous les comptes et autorisations gérés par Oracle Access Governance.
        Note

        Si un système orchestré spécifique ne prend pas en charge l'action Supprimer, aucune action n'est effectuée.
      • Désactiver : Désactive tous les comptes et désactive les autorisations gérées par Oracle Access Governance.
        • Supprimer les autorisations pour les comptes désactivés : Pour garantir l'absence d'accès résiduel, sélectionnez cette option pour supprimer les autorisations affectées directement et les autorisations accordées par une politique lors de la désactivation du compte.
        Note

        Si un système orchestré spécifique ne prend pas en charge l'action Désactiver, le compte est supprimé.
      • Aucune action : Aucune action n'est effectuée sur les comptes et les autorisations par Oracle Access Governance.
  4. Lorsqu'une identité quitte votre entreprise, vous devez supprimer l'accès à ses comptes.
    Note

    Vous ne pouvez définir ces configurations que si l'administrateur de système l'autorise. Lorsque les paramètres globaux d'arrêt de compte sont activés, les administrateurs d'application ne peuvent pas gérer les paramètres d'arrêt de compte au niveau du système orchestré.

    Sélectionnez l'une des actions suivantes pour le compte :

    • Supprimer : Supprimez tous les comptes et autorisations gérés par Oracle Access Governance.
    • Désactiver : Désactivez tous les comptes et marquez les autorisations comme inactives.
      • Supprimer les autorisations pour les comptes désactivés : Supprimez les autorisations directement affectées et accordées par une politique lors de la désactivation du compte afin de garantir l'absence d'accès résiduel.
    • Aucune action : Ne rien faire lorsqu'une identité quitte l'organisation.
    Note

    Ces actions ne sont disponibles que si elles sont prises en charge par le type de système orchestré. Par exemple, si Supprimer n'est pas pris en charge, vous ne verrez que les options Désactiver et Aucune action.
  5. Lorsque toutes les autorisations d'un compte sont supprimées, par exemple lorsqu'une identité se déplace entre les services, vous devrez peut-être décider quoi faire avec le compte. Sélectionnez l'une des actions suivantes, si elle est prise en charge par le type de système orchestré :
    • Suppression
    • Désactiver
    • Aucune action
  6. Gérer les comptes qui ne sont pas créés par la gouvernance des accès : Sélectionnez cette option pour gérer les comptes qui sont créés directement dans le système orchestré. Vous pouvez ainsi rapprocher des comptes existants et les gérer à partir d'Oracle Access Governance.
Note

Si vous ne configurez pas le système en tant que système géré, cette étape du flux de travail s'affiche mais n'est pas activée. Dans ce cas, vous passez directement à l'étape Paramètres d'intégration du flux de travail.
Note

Si votre système orchestré nécessite une détection de schéma dynamique, comme pour les intégrations REST générique et des tables d'application de base de données, seule la destination de courriel d'avis peut être définie (utilisateur, utilisateur) lors de la création du système orchestré. Vous ne pouvez pas définir les règles de désactivation/suppression pour les déménageurs et les départs. Pour ce faire, vous devez créer le système orchestré, puis mettre à jour les paramètres du compte comme décrit sous Configurer les paramètres du compte de système orchestré.

Configurer

À l'étape Configurer du flux de travail, entrez les détails de configuration requis pour permettre à Oracle Access Governance de se connecter au système à l'aide du connecteur REST générique.

  1. Quel est l'OCID de la location OCI de la fonction OCI? : Entrez l'OCID (Oracle Cloud Identifier) pour votre fonction OCI. Voir Où obtenir l'OCID de la location et l'OCID de l'utilisateur. Par exemple ocid1.oc1..aabdgsegsccawmw2o6qraopae7egmlochlopclhnwxq6pctu6oocgn.
  2. Quel est le code de région de la fonction OCI? : Entrez la région principale de la location OCI cible, à l'aide de l'identificateur de région. Par exemple, pour US East (Ashburn), l'identificateur de région est us-ashburn-1. Voir Région principale et Comment trouver ma région principale de location?.
  3. Quel est l'ID compartiment de la fonction OCI? : Entrez l'ID compartiment de la fonction à intégrer.
  4. Quel est le nom de l'application de la fonction OCI? : Entrez le nom de l'application de la fonction à intégrer.
  5. Version de fonction : Entrez la version de fonction de la fonction à intégrer.
  6. Durée de vie de la mémoire cache du modèle de demande (en minutes) : Durée de mise en cache du modèle de demande. Si l'heure est réglée à 0, aucune mise en cache n'est effectuée. À l'expiration du cache, la fonction OCI est appelée pour obtenir le nouveau modèle. La durée du cache doit être inférieure à la durée d'expiration du jeton pour éviter l'abandon des connexions en raison de l'expiration du jeton.
  7. Durée de mise en cache du modèle de réponse (en minutes) : Durée de mise en cache du modèle de réponse. Si l'heure est réglée à 0, aucune mise en cache n'est effectuée. À l'expiration du cache, la fonction OCI est appelée pour obtenir le nouveau modèle. La durée du cache doit être inférieure à la durée d'expiration du jeton pour éviter l'abandon des connexions en raison de l'expiration du jeton.
  8. Durée de mise en cache du modèle de test (en minutes) : Durée de mise en cache du modèle de test. Si l'heure est réglée à 0, aucune mise en cache n'est effectuée. À l'expiration du cache, la fonction OCI est appelée pour obtenir le nouveau modèle. La durée du cache doit être inférieure à la durée d'expiration du jeton pour éviter l'abandon des connexions en raison de l'expiration du jeton.
  9. Durée de mise en cache du modèle de schéma (en minutes) : Durée de mise en cache du modèle de schéma. Si l'heure est réglée à 0, aucune mise en cache n'est effectuée. À l'expiration du cache, la fonction OCI est appelée pour obtenir le nouveau modèle. La durée du cache doit être inférieure à la durée d'expiration du jeton pour éviter l'abandon des connexions en raison de l'expiration du jeton.
  10. Délai d'attente en lecture/réponse (en secondes) : Entrez une valeur entière qui spécifie le nombre de secondes d'attente pour la réception d'une réponse de la part de
  11. Temporisation de la connexion (en secondes) : Valeur entière qui spécifie le nombre de secondes d'attente d'une tentative de connexion entre et.
  12. Sélectionnez Ajouter.
  13. Politiques OCI requises? : Copiez les énoncés exacts dans le compartiment racine de la location concernée. Voir Gestion des politiques pour appliquer les politiques à la location.

Terminer

À la dernière étape, Terminer, vous pouvez choisir de configurer davantage votre système orchestré avant d'exécuter un chargement de données, ou d'accepter la configuration par défaut et de lancer un chargement de données. Sélectionner une valeur dans :
  • Personnaliser avant d'activer les chargements de données pour le système
  • Activer et préparer le chargement de données avec les valeurs par défaut fournies

Migrer l'accès par clé d'API vers l'accès au principal de ressource

Si vous avez des systèmes orchestrés existants qui utilisent la méthode d'accès par clé d'API pour se connecter, vous devez migrer le plus rapidement possible vers la méthode d'accès principal de ressource.

Pour migrer l'accès par clé d'API vers l'accès au principal de ressource :

  1. Naviguez jusqu'à la page Paramètres d'intégration en suivant les instructions fournies dans Configurer les paramètres d'intégration de système orchestré.
  2. Dans la page Paramètres d'intégration, vous verrez un avertissement d'abandon. Sélectionnez le bouton En savoir plus sur la migration.
  3. Copiez les politiques exactes dans le compartiment racine telles qu'elles s'affichent dans votre console. Voir Création d'une politique pour plus de détails sur l'application des politiques.
    Note

    Les politiques requises varient en fonction de l'emplacement où votre service des fonctions pour OCI et votre instance Oracle Access Governance sont hébergés (par exemple, dans la même location par rapport à des locations différentes).

  4. Une fois que vous avez appliqué des politiques, sélectionnez Tester l'intégration pour vérifier la connexion. Si vous avez des erreurs ou des messages, vérifiez votre configuration. Vous ne pourrez pas terminer la migration tant que le test n'aura pas réussi.
  5. Si votre connexion est confirmée, cliquez sur le bouton Migrer pour lancer la migration.
  6. Une fois la migration terminée, un message de confirmation s'affiche.
Note

Une fois la migration vers la méthode Principal de ressource terminée, vous ne pouvez pas renverser la procédure et rétablir la méthode Clés d'API sur votre système orchestré.

Post-configuration

Une fois que vous avez configuré votre système orchestré REST générique, vous pouvez naviguer jusqu'à la page Système orchestré et vérifier les opérations dans le journal des activités. Voici quelques-unes des opérations que vous pouvez voir :
  • Détection de schéma : Le système orchestré REST générique est sans schéma au moment de la conception et du déploiement. Dans le cadre du cycle de vie de l'orchestration, la détection de schéma doit avoir lieu pour mettre à jour le système orchestré avec les détails du schéma et des classes d'objet pour la source faisant autorité ou le système géré requis. Pour plus de détails sur la détection de schéma, voir Détection de schéma de repos générique.
  • Valider : Cette opération effectue les tâches suivantes :
    • Appelle le modèle de test, qui appelle à son tour le point d'extrémité spécifié dans le modèle et vérifie la connectivité avec le système géré.
    • Appelle le modèle de schéma et extrait toutes les informations de schéma pour le système géré, y compris les entités et les attributs.
  • Chargement des données de consultation : Si des consultations sont définies, les données correspondant aux consultations sont chargées.
  • Chargement de données complet : Cette opération charge les données pour toutes les entités spécifiées et ingérées.