Intégration à la gestion des utilisateurs de base de données (Oracle)
Le connecteur Database User Management intègre Oracle Access Governance aux tables de gestion des utilisateurs de base de données dans Oracle Database. Vous pouvez établir une connexion entre Oracle Database et Oracle Access Governance en saisissant les détails de connexion et en configurant le connecteur. Pour ce faire, utilisez la fonctionnalité Systèmes orchestrés disponible dans la console Oracle Access Governance.
Prérequis
Avant d'installer et de configurer un système orchestré Database User Management (Oracle), vous devez tenir compte des tâches et prérequis suivants.
Composants certifiés
Vous pouvez intégrer l'un des types Oracle Database suivants à Oracle Access Governance :
- Exadata V2.
- Oracle Database 12c en tant que base de données unique, base de données pluggable ou implémentation Oracle RAC.
- Oracle Database 18c en tant que base de données unique, base de données pluggable ou implémentation Oracle RAC.
- Oracle Database 19c en tant que base de données unique, base de données pluggable ou implémentation Oracle RAC.
- Oracle Database 23ai en tant que base de données unique, base de données pluggable ou implémentation Oracle RAC.
- Oracle Autonomous Database
Opérations prises en charge
Le système orchestré Database User Management (Oracle) prend en charge les opérations suivantes :
- Créer un utilisateur
- Réinitialiser le mot de passe
- Ajouter des rôles
- Révoquer des rôles
- Ajouter des privilèges
- Révoquer des privilèges
Attributs pris en charge par défaut
Le système orchestré Database User Management (Oracle) prend en charge les attributs par défaut suivants.
| Entité utilisateur DBUM | Attribut de compte cible | Attribut de compte Oracle Access Governance |
|---|---|---|
| ID renvoyé | UID | |
| Nom d'utilisateur | nom | |
| Type d'authentification | authenticationType | |
| Nom distinctif global | globalDN | |
| Tablespace par défaut | defaultTablespace | |
| Quota de tablespace par défaut (en Mo) | defaultTablespaceQuotaInMB | |
| Tablespace temporaire | temporaryTablespace | |
| Nom du profil | profileName | |
| Statut du compte | accountStatus | |
| Statut | statut | |
| Mot de passe | mot de passe | |
|
Rôle Les rôles DBUM (Oracle) sont mis en correspondance avec les habilitations Oracle Access Governance |
||
| adminOption | roleAdminOption | |
|
Privilège Les privilèges DBUM (Oracle) sont mis en correspondance avec les habilitations Oracle Access Governance |
||
| adminOption | privilegeAdminOption |
Règle de correspondance par défaut
Règle de correspondance par défaut pour le système orchestré Database User Management (Oracle)
est :| Mode | Règle de correspondance par défaut |
|---|---|
| Gérer les droits d'accès |
userNameOracle = userLogin
|
Créer un compte utilisateur système cible pour les opérations système orchestrées de gestion des utilisateurs de base de données (Oracle)
Oracle Access Governance nécessite un compte utilisateur pour accéder au système pendant les opérations de service. Selon le système que vous utilisez, vous pouvez créer l'utilisateur et lui affecter des autorisations et des rôles spécifiques.
Pour la base de données Oracle :
- Créez un utilisateur de service à l'aide de l'instruction SQL suivante :
CREATE USER agserviceuser IDENTIFIED BY password DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp QUOTA UNLIMITED ON users;
- Affectez les droits d'accès et les rôles suivants à l'utilisateur de service créé :
GRANT SELECT on dba_role_privs TO agserviceuser; GRANT SELECT on dba_sys_privs TO agserviceuser; GRANT SELECT on dba_ts_quotas TO agserviceuser; GRANT SELECT on dba_tablespaces TO agserviceuser; GRANT SELECT on dba_users TO agserviceuser; GRANT CREATE USER TO agserviceuser; GRANT ALTER ANY TABLE TO agserviceuser; GRANT GRANT ANY PRIVILEGE TO agserviceuser; GRANT GRANT ANY ROLE TO agserviceuser; GRANT DROP USER TO agserviceuser; GRANT SELECT on dba_roles TO agserviceuser; GRANT SELECT ON dba_profiles TO agserviceuser; GRANT ALTER USER TO agserviceuser; GRANT CREATE ANY TABLE TO agserviceuser; GRANT DROP ANY TABLE TO agserviceuser; GRANT CREATE ANY PROCEDURE TO agserviceuser; GRANT DROP ANY PROCEDURE TO agserviceuser;
Configurer
Vous pouvez établir une connexion entre Oracle Database et Oracle Access Governance en saisissant les détails de connexion et en configurant votre environnement de base de données. Pour ce faire, utilisez la fonctionnalité Systèmes orchestrés disponible dans la console Oracle Access Governance.
Accéder à la page Systèmes orchestrés
Accédez à la page Systèmes orchestrés de la console Oracle Access Governance en procédant comme suit :
- Dans l'icône
du menu de navigation d'Oracle Access Governance, sélectionnez Administration des services → Systèmes orchestrés. - Cliquez sur le bouton Ajouter un système orchestré pour démarrer le workflow.
Sélectionner un système
A l'étape Sélectionner un système du workflow, indiquez le type de système que vous souhaitez intégrer. Vous pouvez rechercher le système requis par nom à l'aide du champ Rechercher.
- Sélectionnez la mosaïque Oracle DB (Database User Management). Une fois sélectionnée, la valeur Gestion des utilisateurs de base de données (Oracle DB) est affichée à droite sous Ce que j'ai sélectionné.
- Cliquez sur Suivant.
Saisir les détails
A l'étape Ajouter des détails du workflow, entrez les détails du système orchestré :
- Entrez le nom du système auquel vous souhaitez vous connecter dans le champ Nom.
- Entrez une description du système dans le champ Description.
- Décidez si ce système orchestré est une source faisant autorité et si Oracle Access Governance peut gérer les droits d'accès en cochant les cases suivantes.
-
Il s'agit de la source faisant autorité pour mes identités
Sélectionnez l'une des options suivantes :
- Source d'identités et de leurs attributs : le système agit comme une source d'identités et des attributs associés. De nouvelles identités sont créées via cette option .
- Source des attributs d'identité uniquement : le système ingère des détails d'attributs d'identité supplémentaires et les applique aux identités existantes. Cette option n'ingère ni ne crée d'enregistrements d'identité.
- Je veux gérer les droits d'accès pour ce système
-
Il s'agit de la source faisant autorité pour mes identités
- Sélectionnez Suivant.
Ajouter des propriétaires
Vous pouvez associer la propriété des ressources en ajoutant des propriétaires principaux et supplémentaires. Cela entraîne le libre-service car ces propriétaires peuvent ensuite gérer (lire, mettre à jour ou supprimer) les ressources qu'ils possèdent. Par défaut, le créateur de la ressource est désigné comme propriétaire de la ressource. Vous pouvez affecter un propriétaire principal et jusqu'à 20 propriétaires supplémentaires pour les ressources.
Remarque
Lorsque vous configurez le premier système orchestré pour votre instance de service, vous ne pouvez affecter des propriétaires qu'après avoir activé les identités à partir de la section Gérer les identités.
Pour ajouter des propriétaires :Lorsque vous configurez le premier système orchestré pour votre instance de service, vous ne pouvez affecter des propriétaires qu'après avoir activé les identités à partir de la section Gérer les identités.
- Sélectionnez un utilisateur actif Oracle Access Governance en tant que propriétaire principal dans le champ Qui est le propriétaire principal ?.
- Sélectionnez un ou plusieurs propriétaires supplémentaires dans la liste Qui d'autre en est propriétaire ?. Vous pouvez ajouter jusqu'à 20 propriétaires supplémentaires pour la ressource.
Paramètres de compte
A l'étape Paramètres de compte du workflow, indiquez comment Oracle Access Governance doit gérer les comptes lorsque le système est configuré en tant que système géré :
- Lorsqu'une autorisation est demandée et que le compte n'existe pas encore, sélectionnez cette option pour créer de nouveaux comptes. Cette option est sélectionnée par défaut. Lorsque cette option est sélectionnée, Oracle Access Governance crée un compte s'il n'en existe pas lorsqu'une autorisation est demandée. Si vous désélectionnez cette option, les droits d'accès ne sont provisionnés que pour les comptes existants dans le système orchestré. Si aucun compte n'existe, l'opération de provisionnement échoue.
- Sélectionnez les destinataires des courriels de notification lorsqu'un compte est créé. Le destinataire par défaut est Utilisateur. Si aucun destinataire n'est sélectionné, aucune notification n'est envoyée lors de la création des comptes.
- Utilisateur
- Gestionnaire d'utilisateurs
- Configurer des comptes existantsRemarque
Vous ne pouvez définir ces configurations que si l'administrateur système l'autorise. Lorsque les paramètres globaux de résiliation de compte sont activés, les administrateurs de l'application ne peuvent pas gérer les paramètres de résiliation de compte au niveau du système orchestré.- Sélectionner ce qu'il faut faire avec les comptes lorsqu'une résiliation anticipée commence : choisissez l'action à effectuer lorsqu'une résiliation anticipée commence. Cela se produit lorsque vous devez révoquer les accès à l'identité avant la date de fin officielle.
- Supprimer : supprime tous les comptes et droits d'accès gérés par Oracle Access Governance.Remarque
Si un système orchestré spécifique ne prend pas en charge l'action, aucune action n'est entreprise. - Désactiver : désactive tous les comptes et tous les droits d'accès gérés par Oracle Access Governance.
- Supprimer les droits d'accès pour les comptes désactivés : pour garantir un accès résiduel nul, sélectionnez cette option pour supprimer les droits d'accès affectés directement et les droits d'accès accordés par une stratégie lors de la désactivation du compte.
- Aucune action : aucune action n'est entreprise lorsqu'une identité est marquée pour une résiliation anticipée par Oracle Access Governance.
- Supprimer : supprime tous les comptes et droits d'accès gérés par Oracle Access Governance.
- Sélectionner ce qu'il faut faire avec les comptes à la date de fin de contrat : sélectionnez l'action à effectuer lors de la fin de contrat officielle. Cela se produit lorsque vous devez révoquer les accès d'identité à la date de fin de contrat officielle.
- Supprimer : supprime tous les comptes et droits d'accès gérés par Oracle Access Governance.Remarque
Si un système orchestré spécifique ne prend pas en charge l'action Supprimer, aucune action n'est effectuée. - Désactiver : désactive tous les comptes et tous les droits d'accès gérés par Oracle Access Governance.
- Supprimer les droits d'accès pour les comptes désactivés : pour garantir un accès résiduel nul, sélectionnez cette option pour supprimer les droits d'accès affectés directement et les droits d'accès accordés par une stratégie lors de la désactivation du compte.
Remarque
Si un système orchestré spécifique ne prend pas en charge l'action Désactiver, le compte est supprimé. - Aucune action : aucune action n'est effectuée sur les comptes et les droits d'accès par Oracle Access Governance.
- Supprimer : supprime tous les comptes et droits d'accès gérés par Oracle Access Governance.
- Sélectionner ce qu'il faut faire avec les comptes lorsqu'une résiliation anticipée commence : choisissez l'action à effectuer lorsqu'une résiliation anticipée commence. Cela se produit lorsque vous devez révoquer les accès à l'identité avant la date de fin officielle.
- Lorsqu'une identité quitte votre entreprise, vous devez supprimer l'accès à ses comptes. Remarque
Vous ne pouvez définir ces configurations que si l'administrateur système l'autorise. Lorsque les paramètres globaux de résiliation de compte sont activés, les administrateurs de l'application ne peuvent pas gérer les paramètres de résiliation de compte au niveau du système orchestré.Sélectionnez l'une des actions suivantes pour le compte :
- Supprimer : supprimez tous les comptes et droits d'accès gérés par Oracle Access Governance.
- Désactiver : désactivez tous les comptes et marquez les autorisations comme inactives.
- Supprimer les droits d'accès pour les comptes désactivés : supprimer les droits d'accès directement affectés et accordés par une stratégie lors de la désactivation du compte afin de garantir un accès résiduel nul.
- Aucune action : n'effectuez aucune action lorsqu'une identité quitte l'organisation.
Remarque
Ces actions ne sont disponibles que si elles sont prises en charge par le type de système orchestré. Par exemple, si l'option Supprimer n'est pas prise en charge, vous verrez uniquement les options Désactiver et Aucune action. - Lorsque tous les droits d'accès d'un compte sont supprimés, par exemple lorsqu'une identité se déplace d'un service à l'autre, vous devrez peut-être décider quoi faire avec le compte. Sélectionnez l'une des actions suivantes, si elle est prise en charge par le type de système orchestré :
- Supprimer
- Désactiver
- Aucune intervention
- Gérer les comptes qui ne sont pas créés par Access Governance : sélectionnez cette option pour gérer les comptes qui sont créés directement dans le système orchestré. Vous pouvez ainsi rapprocher les comptes existants et les gérer à partir d'Oracle Access Governance.
Remarque
Si vous ne configurez pas le système en tant que système géré, cette étape du workflow s'affiche mais n'est pas activée. Dans ce cas, vous passez directement à l'étape Paramètres d'intégration du workflow.
Si vous ne configurez pas le système en tant que système géré, cette étape du workflow s'affiche mais n'est pas activée. Dans ce cas, vous passez directement à l'étape Paramètres d'intégration du workflow.
Remarque
Si votre système orchestré nécessite un repérage de schéma dynamique, comme pour les intégrations Generic REST et Database Application Tables, seule la destination de courriel de notification peut être définie (Utilisateur, Usermanager) lors de la création du système orchestré. Vous ne pouvez pas définir les règles de désactivation/suppression pour les déménageurs et les sortants. Pour ce faire, vous devez créer le système orchestré, puis mettre à jour les paramètres de compte comme décrit dans Configurer les paramètres de compte système orchestré.
Si votre système orchestré nécessite un repérage de schéma dynamique, comme pour les intégrations Generic REST et Database Application Tables, seule la destination de courriel de notification peut être définie (Utilisateur, Usermanager) lors de la création du système orchestré. Vous ne pouvez pas définir les règles de désactivation/suppression pour les déménageurs et les sortants. Pour ce faire, vous devez créer le système orchestré, puis mettre à jour les paramètres de compte comme décrit dans Configurer les paramètres de compte système orchestré.
Paramètres d'intégration
A l'étape Paramètres d'intégration du workflow, entrez les détails de configuration requis pour permettre à Oracle Access Governance de se connecter à la base de données indiquée.
- Dans le champ URL Easy Connect pour la base de données, entrez la chaîne de connexion de la base de données à intégrer à Oracle Access Governance. Pour Oracle Database, utilisez le format host/port/database service/sid. Pour Oracle Autonomous Database, utilisez le format jdbc:oracle:thin :@<SERVICE_NAME> ? TNS_ADMIN=<WALLET-DIR> comme décrit dans Configuration du portefeuille pour l'intégration à Autonomous Database.
- Dans le champ Nom utilisateur, entrez l'utilisateur de base de données que vous utiliserez pour vous connecter à la base de données. Utilisateur que vous avez créé dans Création d'un compte utilisateur système cible pour les opérations système orchestrées de gestion des utilisateurs de base de données (Oracle).
- Entrez le mot de passe d'un utilisateur de base de données cible dans le champ Password. Confirmez le mot de passe dans le champ Confirmer le mot de passe.
- Dans Propriétés de connexion, entrez les propriétés de connexion au format prop1=val1#prop2=val2.
- Consultez le volet de droite pour voir Ce que j'ai sélectionné. Si vous êtes satisfait des détails saisis, sélectionnez Ajouter pour créer le système orchestré.
Terminer
A l'étape Terminer du workflow, vous êtes invité à télécharger l'agent que vous utiliserez pour l'interface entre Oracle Access Governance et Oracle Database. Cliquez sur le lien Télécharger pour télécharger le fichier ZIP d'agent vers l'environnement dans lequel l'agent sera exécuté.
Après avoir téléchargé l'agent, suivez les instructions expliquées dans l'article Administration de l'agent.
Enfin, vous pouvez choisir de configurer davantage votre système orchestré avant d'exécuter un chargement de données, ou d'accepter la configuration par défaut et de lancer un chargement de données. Sélectionnez l'une des options suivantes :
- Effectuer une personnalisation avant d'activer le système pour les chargements de données
- Activer et préparer le chargement de données avec les valeurs par défaut fournies
Post-configuration
Configuration du portefeuille pour l'intégration Autonomous Database
Pour activer cette fonctionnalité, téléchargez le portefeuille de base de données autonome sur l'hôte de l'agent, puis mettez à jour le champ URL Easy Connect pour la base de données dans la configuration système orchestrée. Pour configurer cette fonctionnalité, procédez comme suit :
Pour configurer le portefeuille pour Autonomous Database, procédez comme suit :
- Créez un système orchestré Database User Management (Oracle) et configurez l'agent.
- Téléchargez le portefeuille de base de données autonome à l'aide des instructions fournies dans Téléchargement des informations d'identification client (portefeuilles).
- Créez un répertoire de portefeuille dans le dossier d'agent installé,
<PERSISTENT_VOLUME_LOCATION><WALLET-DIR>. Par exemple :mkdir /myagent/install/db-wallet - Copiez le fichier ZIP contenant le portefeuille téléchargé à l'étape 2 dans
<PERSISTENT_VOLUME_LOCATION><WALLET-DIR>et décompressez-le à l'aide de la commande suivante :cp -rf Wallet_<DATABASENAME>.zip <PERSISTENT_VOLUME_LOCATION><WALLET-DIR> cd /myagent/install/db-wallet unzip Wallet_<DATABASENAME>.zip - Le fichier de portefeuille décompressé contient le fichier tnsnames.ora, qui contient les noms de service disponibles pour Oracle Autonomous Database. Choisissez le nom TNS correct en fonction de votre charge globale :
- nom de base de données_tpurgent
- nom de base de données_tp
- nom de base de données_high
- nom de base de données_medium
- nom de base de données_low
- Modifiez les paramètres d'intégration de votre système orchestré en suivant les instructions de la rubrique Configurer les paramètres d'un système orchestré.
- Ouvrez le fichier
tnsnames.oraà partir du répertoire de portefeuille et recherchez le libellé TNS avant le signe = correspondant à ce bloc de description.Par exemple, si la chaîne de connexion est :myhost_db_high = (description= (retry_count=20)(retry_delay=3) (address=(protocol=tcps)(port=1522)(host=<myhost>.adb.<region>.example.com)) (connect_data=(service_name=myhost_db_high.adb.example.com)) (security=(ssl_server_dn_match=no))) - Mettez à jour le champ URL Easy Connect pour la base de données avec la chaîne de connexion de la base de données, en fonction du nom de service que vous avez sélectionné à l'étape précédente. La chaîne de connexion doit prendre le format suivant :
Par exemple :jdbc:oracle:thin:@<TNS_NAME>?TNS_ADMIN=<full-path-to-WALLET-DIR>jdbc:oracle:thin:@myhost_db_high?TNS_ADMIN=/agent/install