Documentation Oracle Cloud Infrastructure

Configurer l'intégration entre Oracle Access Governance et Microsoft Active Directory

Prérequis

Avant d'installer et de configurer un système orchestré Microsoft Active Directory ou Microsoft Active Directory Lightweight Directory Services (AD LDS), vous devez prendre en compte les prérequis et tâches suivants.

Créer un compte utilisateur

Oracle Access Governance nécessite un compte utilisateur pour accéder aux systèmes Microsoft Active Directory ou Microsoft Active Directory Lightweight Directory Services (AD LDS) pendant les opérations de service. Selon le système que vous utilisez, vous pouvez créer l'utilisateur dans le système géré et lui affecter des autorisations et des rôles spécifiques.

Créer un compte utilisateur pour les opérations système orchestrées dans Microsoft Active Directory

Pour Microsoft Active Directory :

Vous pouvez utiliser un compte administrateur Microsoft Windows 2008 Server (Contrôleur de domaine) pour les opérations. Vous pouvez également créer un compte utilisateur et lui affecter les droits minimum requis.

Pour créer le compte utilisateur Microsoft Active Directory pour les opérations, procédez comme suit :

Voir aussi : documentation Microsoft Active Directory pour plus d'informations sur l'exécution de cette procédure.

  1. Créez un groupe (par exemple, AGGroup) sur le système. Lors de la création du groupe, sélectionnez Groupe de sécurité comme type de groupe et Global ou Universal comme étendue de groupe.
    Remarque

    Dans une configuration de domaine parent-enfant, créez le groupe dans le domaine parent.
  2. Si vous configurez le système orchestré en mode système géré, vous devez faire de ce groupe un membre du groupe Opérateurs de compte.
  3. Si vous configurez le système orchestré en mode système géré, définissez les droits d'accès suivants pour le groupe Utilisateurs authentifiés sur Autoriser.
    • Créer tous les objets enfant
    • Supprimer tous les objets enfant
  4. Affectez toutes les autorisations de lecture à ce groupe. S'il existe plusieurs domaines enfant dans la forêt, connectez-vous à chaque domaine enfant et ajoutez le groupe précédent au groupe Opérateurs de compte de chaque domaine enfant.
    Remarque

    Vous affectez des droits d'accès en lecture à l'onglet Sécurité de la boîte de dialogue Propriétés pour le compte utilisateur. Cet onglet s'affiche uniquement dans la vue Fonctionnalités avancées. Pour passer à cette vue, sélectionnez Fonctionnalités avancées dans le menu Affichage de la console Microsoft Active Directory.
  5. Créez un utilisateur (par exemple, AGUser) sur le système cible. Dans une configuration de domaine parent-enfant, créez l'utilisateur dans le domaine parent.
  6. Faites de l'utilisateur un membre du groupe (par exemple, AGGroup) créé à l'étape 1.

Création d'un compte utilisateur pour les opérations système orchestrées dans Microsoft Active Directory Lightweight Directory Services (AD LDS)

Pour Microsoft Active Directory Lightweight Directory Services (AD LDS) :

Vous devez créer et utiliser un compte utilisateur qui est membre du groupe Administrateurs pour effectuer des opérations.

Pour créer le compte utilisateur Microsoft Active Directory Lightweight Directory Services (AD LDS) pour les opérations :

Voir aussi : documentation de Microsoft Active Directory Lightweight Directory Services (AD LDS) pour des informations détaillées sur l'exécution de cette procédure.

  1. Créez un compte utilisateur dans Microsoft Active Directory Lightweight Directory Services (AD LDS).
  2. Définissez un mot de passe pour le compte utilisateur.
  3. Activez le compte utilisateur en définissant le champ msDS-UserAccountDisabled sur false.
  4. Assurez-vous que les champs msDS-UserDontExpirePassword et ms-DS-UserPasswordNotRequired sont disponibles.
  5. Entrez une valeur dans le champ userPrincipalName.
    Remarque

    La valeur doit être au format username@domain_name, par exemple : OAGuser@example.com.
  6. Ajoutez le nom distinctif (DN) de l'utilisateur au groupe Administrators.
Remarque

Pour créer un compte utilisateur pour effectuer des opérations dans une instance Microsoft Active Directory Lightweight Directory Services (AD LDS) autonome, procédez comme suit :
  1. Créez un compte utilisateur sur l'ordinateur autonome.
  2. Ajoutez l'utilisateur que vous venez de créer au groupe Administrateurs AD LDS : CN=Administrators,CN=Roles,DC=X.

Configurer

Vous pouvez établir une connexion entre Microsoft Active Directory et Oracle Access Governance en saisissant les détails de connexion. Pour ce faire, utilisez la fonctionnalité des systèmes orchestrés disponible dans la console Oracle Access Governance.

Accéder à la page Systèmes orchestrés

La page Systèmes orchestrés de la console Oracle Access Governance vous permet de démarrer la configuration de votre système orchestré.

Accédez à la page Systèmes orchestrés de la console Oracle Access Governance en procédant comme suit :
  1. Dans l'icône Menu de navigation du menu de navigation d'Oracle Access Governance, sélectionnez Administration des services → Systèmes orchestrés.
  2. Cliquez sur le bouton Ajouter un système orchestré pour démarrer le workflow.

Sélectionner un système

A l'étape Sélectionner un système du workflow, vous pouvez indiquer le type de système à intégrer à Oracle Access Governance.

Vous pouvez rechercher le système requis par nom à l'aide du champ Rechercher.

  1. Sélectionnez Microsoft Active Directory.
  2. Sélectionnez Suivant.

Ajouter des détails

Ajoutez des détails tels que le nom, la description et le mode de configuration.

A l'étape Ajouter des détails du workflow, entrez les détails du système orchestré :
  1. Entrez le nom du système auquel vous souhaitez vous connecter dans le champ Nom.
  2. Entrez une description du système dans le champ Description.
  3. Décidez si ce système orchestré est une source faisant autorité et si Oracle Access Governance peut gérer les droits d'accès en cochant les cases suivantes.
    • Il s'agit de la source faisant autorité pour mes identités

      Sélectionnez l'une des options suivantes :

      • Source d'identités et de leurs attributs : le système agit comme une source d'identités et des attributs associés. De nouvelles identités sont créées via cette option .
      • Source des attributs d'identité uniquement : le système ingère des détails d'attributs d'identité supplémentaires et les applique aux identités existantes. Cette option n'ingère ni ne crée d'enregistrements d'identité.
    • Je veux gérer les droits d'accès pour ce système
    Dans chaque cas, la valeur par défaut est Non sélectionné.
  4. Sélectionnez Suivant.
Remarque

Le système orchestré Microsoft Active Directory vous permet de gérer des groupes dans Microsoft Active Directory à l'aide de l'option Je veux gérer les collections d'identités pour ce système orchestré. Si cette case est cochée, vous pouvez gérer les groupes Microsoft Active Directory à partir d'Oracle Access Governance. Toutes les modifications apportées aux groupes Microsoft Active Directory seront rapprochées entre Oracle Access Governance et le système orchestré. De même, toutes les modifications apportées dans Microsoft Active Directory seront reflétées dans Oracle Access Governance

Ajouter des propriétaires

Ajoutez des propriétaires principaux et supplémentaires au système orchestré pour leur permettre de gérer les ressources.

Vous pouvez associer la propriété des ressources en ajoutant des propriétaires principaux et supplémentaires. Cela entraîne le libre-service car ces propriétaires peuvent ensuite gérer (lire, mettre à jour ou supprimer) les ressources qu'ils possèdent. Par défaut, le créateur de la ressource est désigné comme propriétaire de la ressource. Vous pouvez affecter un propriétaire principal et jusqu'à 20 propriétaires supplémentaires pour les ressources.
Remarque

Lorsque vous configurez le premier système orchestré pour votre instance de service, vous ne pouvez affecter des propriétaires qu'après avoir activé les identités à partir de la section Gérer les identités.
Pour ajouter des propriétaires :
  1. Sélectionnez un utilisateur actif Oracle Access Governance en tant que propriétaire principal dans le champ Qui est le propriétaire principal ?.
  2. Sélectionnez un ou plusieurs propriétaires supplémentaires dans la liste Qui d'autre en est propriétaire ?. Vous pouvez ajouter jusqu'à 20 propriétaires supplémentaires pour la ressource.
Vous pouvez afficher le propriétaire principal dans la liste. Tous les propriétaires peuvent afficher et gérer les ressources qu'ils possèdent.

Paramètres de compte

Décrire les détails de la gestion des paramètres de compte lors de la configuration du système orchestré, y compris les paramètres de notification et les actions par défaut lorsqu'une identité déménage ou quitte l'organisation.

A l'étape Paramètres de compte du workflow, indiquez comment Oracle Access Governance doit gérer les comptes lorsque le système est configuré en tant que système géré :
  1. Lorsqu'une autorisation est demandée et que le compte n'existe pas encore, sélectionnez cette option pour créer de nouveaux comptes. Cette option est sélectionnée par défaut. Lorsque cette option est sélectionnée, Oracle Access Governance crée un compte s'il n'en existe pas lorsqu'une autorisation est demandée. Si vous désélectionnez cette option, les droits d'accès ne sont provisionnés que pour les comptes existants dans le système orchestré. Si aucun compte n'existe, l'opération de provisionnement échoue.
  2. Sélectionnez les destinataires des courriels de notification lorsqu'un compte est créé. Le destinataire par défaut est Utilisateur. Si aucun destinataire n'est sélectionné, aucune notification n'est envoyée lors de la création des comptes.
    • Utilisateur
    • Gestionnaire d'utilisateurs
  3. Configurer des comptes existants
    Remarque

    Vous ne pouvez définir ces configurations que si l'administrateur système l'autorise. Lorsque les paramètres globaux de résiliation de compte sont activés, les administrateurs de l'application ne peuvent pas gérer les paramètres de résiliation de compte au niveau du système orchestré.
    1. Sélectionner ce qu'il faut faire avec les comptes lorsqu'une résiliation anticipée commence : choisissez l'action à effectuer lorsqu'une résiliation anticipée commence. Cela se produit lorsque vous devez révoquer les accès à l'identité avant la date de fin officielle.
      • Supprimer : supprime tous les comptes et droits d'accès gérés par Oracle Access Governance.
        Remarque

        Si un système orchestré spécifique ne prend pas en charge l'action, aucune action n'est entreprise.
      • Désactiver : désactive tous les comptes et tous les droits d'accès gérés par Oracle Access Governance.
        • Supprimer les droits d'accès pour les comptes désactivés : pour garantir un accès résiduel nul, sélectionnez cette option pour supprimer les droits d'accès affectés directement et les droits d'accès accordés par une stratégie lors de la désactivation du compte.
      • Aucune action : aucune action n'est entreprise lorsqu'une identité est marquée pour une résiliation anticipée par Oracle Access Governance.
    2. Sélectionner ce qu'il faut faire avec les comptes à la date de fin de contrat : sélectionnez l'action à effectuer lors de la fin de contrat officielle. Cela se produit lorsque vous devez révoquer les accès d'identité à la date de fin de contrat officielle.
      • Supprimer : supprime tous les comptes et droits d'accès gérés par Oracle Access Governance.
        Remarque

        Si un système orchestré spécifique ne prend pas en charge l'action Supprimer, aucune action n'est effectuée.
      • Désactiver : désactive tous les comptes et tous les droits d'accès gérés par Oracle Access Governance.
        • Supprimer les droits d'accès pour les comptes désactivés : pour garantir un accès résiduel nul, sélectionnez cette option pour supprimer les droits d'accès affectés directement et les droits d'accès accordés par une stratégie lors de la désactivation du compte.
        Remarque

        Si un système orchestré spécifique ne prend pas en charge l'action Désactiver, le compte est supprimé.
      • Aucune action : aucune action n'est effectuée sur les comptes et les droits d'accès par Oracle Access Governance.
  4. Lorsqu'une identité quitte votre entreprise, vous devez supprimer l'accès à ses comptes.
    Remarque

    Vous ne pouvez définir ces configurations que si l'administrateur système l'autorise. Lorsque les paramètres globaux de résiliation de compte sont activés, les administrateurs de l'application ne peuvent pas gérer les paramètres de résiliation de compte au niveau du système orchestré.

    Sélectionnez l'une des actions suivantes pour le compte :

    • Supprimer : supprimez tous les comptes et droits d'accès gérés par Oracle Access Governance.
    • Désactiver : désactivez tous les comptes et marquez les autorisations comme inactives.
      • Supprimer les droits d'accès pour les comptes désactivés : supprimer les droits d'accès directement affectés et accordés par une stratégie lors de la désactivation du compte afin de garantir un accès résiduel nul.
    • Aucune action : n'effectuez aucune action lorsqu'une identité quitte l'organisation.
    Remarque

    Ces actions ne sont disponibles que si elles sont prises en charge par le type de système orchestré. Par exemple, si l'option Supprimer n'est pas prise en charge, vous verrez uniquement les options Désactiver et Aucune action.
  5. Lorsque tous les droits d'accès d'un compte sont supprimés, par exemple lorsqu'une identité se déplace d'un service à l'autre, vous devrez peut-être décider quoi faire avec le compte. Sélectionnez l'une des actions suivantes, si elle est prise en charge par le type de système orchestré :
    • Supprimer
    • Désactiver
    • Aucune intervention
  6. Gérer les comptes qui ne sont pas créés par Access Governance : sélectionnez cette option pour gérer les comptes qui sont créés directement dans le système orchestré. Vous pouvez ainsi rapprocher les comptes existants et les gérer à partir d'Oracle Access Governance.
Remarque

Si vous ne configurez pas le système en tant que système géré, cette étape du workflow s'affiche mais n'est pas activée. Dans ce cas, vous passez directement à l'étape Paramètres d'intégration du workflow.
Remarque

Si votre système orchestré nécessite un repérage de schéma dynamique, comme pour les intégrations Generic REST et Database Application Tables, seule la destination de courriel de notification peut être définie (Utilisateur, Usermanager) lors de la création du système orchestré. Vous ne pouvez pas définir les règles de désactivation/suppression pour les déménageurs et les sortants. Pour ce faire, vous devez créer le système orchestré, puis mettre à jour les paramètres de compte comme décrit dans Configurer les paramètres de compte système orchestré.

Paramètres d'intégration

Entrez les détails de la connexion au système Microsoft Active Directory.

  1. A l'étape Paramètres d'intégration du workflow, entrez les détails requis pour la connexion au système Microsoft Active Directory.

    Paramètres d'intégration
    Nom du paramètre Obligatoire ? Description
    Quel est le nom d'hôte ? Oui Nom d'hôte ou adresse IP du répertoire à intégrer à Oracle Access Governance, par exemple example.com, 172.20.55.120.
    Quel est le numéro de port ? Oui Valeur du numéro de port TCP/IP utilisé pour communiquer avec le serveur LDAP. La valeur par défaut est 636.
    Quel est le principal ? Oui Nom distinctif d'authentification auprès du serveur LDAP.

    Il s'agit de l'utilisateur que vous avez créé dans Création d'un compte utilisateur.
    Quel est le mot de passe ? Oui Mot de passe du nom distinctif de la cible.
    Confirmer le mot de passe Oui Confirmez le mot de passe.
    Quel est le contexte de base ? Oui Entrez un contexte de base à partir duquel commencer les recherches d'utilisateurs et de groupes. Par exemple, OU=new,DC=test,DC=com.
    Filtre de recherche du compte ? Non

    Entrez le filtre de recherche LDAP que chaque compte doit correspondre pour être inclus dans les résultats de la recherche. Quelques exemples :

    1. Valeur par défaut : objectClass=*
    2. Renvoie tous les comptes d'acteur où le nom du compte se termine par "a" dans le nom du compte et le type d'employé "ADM", utilisez 
      (&(objectCategory=person)(sAMAccountName=*a)(employeeType=ADM))
    3. Renvoie tous les comptes utilisateur classés comme "personne" avec un type d'employé "EMP" ou "NON", utilisez
      (&(objectCategory=person)(objectClass=user)(|(employeeType=EMP)(employeeType=NON)))
    Quel est le serveur de basculement ? Non Entrez la liste des serveurs de basculement au format <servername>:<port>, <servername>:<port>, ..., par exemple ADExample1:636, ADExample1:636, ....
    SSL activé Oui Assurez-vous que la valeur true est sélectionnée.

    Pour configurer SSL sur un agent, procédez comme suit :

    1. Utilisez JDK pour installer et exécuter un agent.
    2. Dans le cadre du processus d'installation de l'agent, copiez cacerts du kit JDK utilisé pour l'agent sous le répertoire d'installation de l'agent.
    3. Importer un certificat AD dans le fichier cacerts précédent à l'aide de la commande
      <%JAVA_HOME%>/bin/keytool -import -alias OIGAD-cert -file <AD-cert-file> -keystore <agent-install-dir>/cacerts
    4. Config.properties doit inclure les éléments suivants :
      JAVA_OPTS=-Djavax.net.ssl.trustStore=/app/cacerts-Djavax.net.ssl.trustStorePassword=changeit
    Quel est le nom de domaine ? Oui Nom du domaine Windows, par exemple windowsdomain.mycompany.com.
    Voulez-vous utiliser le catalogue global pour effectuer une recherche d'objet à l'échelle de la forêt ? Oui

    Vous pouvez rechercher des objets (tels que des utilisateurs, des groupes et des ressources) dans l'ensemble de la forêt Microsoft Active Directory, plutôt que de restreindre les requêtes à un seul domaine.

    • Non, n'utilisez pas de catalogue global : extrait uniquement les objets du domaine parent, en excluant tous les domaines enfant de la forêt.

    • Oui, utiliser le catalogue global plutôt que ssl : permet la recherche dans les domaines parent et enfant (ensemble de la forêt) à l'aide d'une connexion non sécurisée. Ceci n'est applicable que lors de l'opération de chargement de données à l'aide du port global 3268.

    • Oui, utiliser le catalogue global sur ssl : permet d'effectuer des recherches dans les domaines parent et enfant (ensemble de la forêt) à l'aide d'une connexion sécurisée. Ceci n'est applicable que pendant l'opération de chargement de données à l'aide du port global 3269.
    Quelles sont les classes d'objet de compte ? Oui Classe ou classes d'objet qui seront utilisées pour créer des objets utilisateur dans l'arborescence LDAP.
    Quelles sont les classes d'objet d'organisation ? Oui Indiquez les classes d'objet pour l'organisation, l'unité d'organisation et le conteneur dans Microsoft Active Directory.
    Quel est le niveau de portée de la recherche LDAP ? Oui

    • Rechercher l'objet de base (OBJECT) : limite la recherche à l'objet de base spécifié. Utilisez-le lorsque vous devez extraire ou vérifier un seul objet répertoire.

    • Rechercher les enfants immédiats d'un objet de base (ONE_LEVEL) : effectue une recherche uniquement sur le conteneur indiqué dans le contexte de base, sans inclure ses conteneurs enfant. Par exemple, si la base de recherche est OU=abc,DC=corp,DC=com, seule l'unité opérationnelle abc fera l'objet d'une recherche.

    • Rechercher tous les objets enfant et l'objet de base (SUBTREE) : permet de rechercher l'objet de base et tous ses descendants dans le répertoire. Par exemple, si le contexte de base est défini sur OU=abc,DC=corp,DC=com, la recherche couvrira à la fois l'unité opérationnelle abc et toutes les unités opérationnelles enfant.
    Quel est le type de recommandation ? Oui

    Une orientation permet d'acheminer des requêtes sur plusieurs serveurs LDAP. Cela est utile pour les opérations de provisionnement et de gestion des comptes.

    • Ignorer les recommandations : les recommandations ne sont pas suivies et le provisionnement est effectué uniquement au sein du domaine parent.

    • Suivre les recommandations automatiquement : toutes les recommandations sont suivies par l'intégration d'Oracle Access Governance, qui prend en charge les opérations de chargement et de provisionnement des données sur plusieurs sous-domaines dans une même forêt.

    • Générer une exception lorsqu'une recommandation est rencontrée : sélectionnez cette option si une recommandation renvoyée par la requête LDAP doit être signalée comme une erreur.
    Quels sont les noms d'attribut cible de type date personnalisé ? Non

    Entrez la liste des noms d'attribut système cible personnalisés qui ont un type de syntaxe Entier important et qui doivent être transformés en un format numérique compatible LDAP.
    Cette instance Active Directory est-elle un environnement Lightweight Directory Services (AD LDS) ? Non Cochez cette case si vous configurez cette instance en tant qu'instance Active Directory Lightweight Directory Services (AD LDS).

    Par défaut, il est false.

    Remarque : il existe des prérequis pour les attributs de schéma dans AD LDS. Vous devez consulter la section Default Supported Attributes.
  2. Sélectionnez Ajouter pour créer le système orchestré.

Terminer

Terminez la configuration du système orchestré en fournissant des détails sur l'opportunité d'effectuer une personnalisation supplémentaire ou d'activer et d'exécuter un chargement de données.

La dernière étape du workflow est Terminer.

A l'étape Terminer du workflow, vous êtes invité à télécharger l'agent que vous utiliserez pour l'interface entre Oracle Access Governance et Microsoft Active Directory. Cliquez sur le lien Télécharger pour télécharger le fichier ZIP d'agent vers l'environnement dans lequel l'agent sera exécuté.

Après avoir téléchargé l'agent, suivez les instructions expliquées dans l'article Administration de l'agent.

Enfin, vous pouvez choisir de configurer davantage le système orchestré avant d'exécuter un chargement de données, ou d'accepter la configuration par défaut et de lancer un chargement de données. Sélectionnez l'une des options suivantes :
  • Effectuer une personnalisation avant d'activer le système pour les chargements de données
  • Activer et préparer le chargement de données avec les valeurs par défaut fournies

Post-configuration

Aucune étape de post-configuration n'est associée à un système Microsoft Active Directory.