Documentation Oracle Cloud Infrastructure

Intégrer au REST générique

Le système REST orchestré générique fournit une solution permettant d'intégrer Oracle Access Governance aux systèmes tenant compte des identités REST. Un système tenant compte des identités basé sur REST est tout système qui expose ses interfaces ou API REST pour la gestion des identités.

Générique - Présentation du système orchestré REST

Le système REST orchestré générique fournit les fonctionnalités suivantes :
  • Chargement de données complet/incrémentiel pour les sources autorisées ou les systèmes gérés
  • Provisionnement en temps réel
  • Intégration de fonctions sans serveur natives du cloud pour définir des modèles de schéma, de demande, de réponse et de test système tenant compte des identités REST

Le système orchestré REST générique diffère des autres en ce sens que les définitions de schéma, de demande et de réponse ne sont pas fixes. Les autres systèmes orchestrés ont des modèles de schéma, de demande, de réponse et de test préchargés pour la source ou le système géré faisant autorité auquel ils s'appliquent. Vous pouvez appliquer des systèmes orchestrés REST génériques à n'importe quel système tenant compte des identités basé sur REST. Les modèles de schéma, de demande, de réponse et de test sont chargés lors de l'exécution et non lors de la création du système orchestré.

Pour chaque source ou système géré faisant autorité, vous devez créer les modèles suivants :
  • grc-schema-template : ce modèle définit le schéma de la source ou du système géré faisant autorité à intégrer.
  • grc-request-template : ce modèle définit le format de demande (en-têtes, URL, paramètres de demande, corps de demande) requis pour appeler l'API source ou système géré faisant autorité pour demander des données d'identité.
  • grc-response-template : ce modèle définit le format de réponse pour les données d'identité et de compte.
  • grc-test-template : ce modèle définit une API pour tester la connectivité entre Oracle Access Governance et la source ou le système géré faisant autorité.
Lorsqu'une opération est appelée, les paramètres suivants sont transmis à OCI Functions.
  • Nom du système orchestré
  • Nom de l'entité (identité ou compte)
  • Nom de l'opération

La fonction OCI est appelée et renvoie un fichier JSON avec les modèles pertinents pour le système orchestré.

Prérequis

Avant d'installer et de configurer un système REST orchestré générique, vous devez prendre en compte les prérequis et tâches suivants.

Composants certifiés

Le système géré peut être l'un des suivants :

  • Tout système tenant compte des identités prenant en charge les services REST

Modes pris en charge

Le système REST orchestré générique prend en charge les modes de configuration suivants :

  • Source faisant autorité
  • Système géré

Cas d'utilisation pris en charge par le système REST orchestré générique

Un système orchestré REST générique peut être utilisé pour intégrer des données d'identité dans Oracle Access Governance à partir d'un service REST, puis pour gérer efficacement les identités dans un cycle intégré avec les autres systèmes conscients des identités de votre entreprise.

Prenons l'exemple d'une entreprise de logistique leader qui compte plus de 20 applications cloud. La plupart de ces applications cloud sont désormais inefficaces car les données de ces applications sont saisies manuellement et gérées à l'aide de feuilles de calcul ou de flux de processus personnalisés. Par conséquent, cette entreprise souhaite intégrer ses applications cloud à Oracle Access Governance afin de rationaliser ses opérations, d'augmenter son efficacité organisationnelle et, en même temps, de réduire ses coûts opérationnels. Il existe deux approches pour intégrer ces applications cloud à Oracle Access Governance. Une approche consisterait à déployer un connecteur point à point pour chacune de ces applications. Les inconvénients de cette approche sont les suivants :

  • Temps et efforts accrus pour identifier et déployer un connecteur point à point pour chaque application.

  • Augmentation des frais d'administration et de maintenance pour la gestion des connecteurs pour chaque application.

  • Indisponibilité des connecteurs point à point pour toutes les applications. Dans un tel scénario, il faut développer des connecteurs personnalisés qui augmentent le temps et les efforts pour développer, déployer et tester le connecteur personnalisé.

Une alternative à cette approche consiste à utiliser le système orchestré REST générique pour intégrer toutes les applications cloud à Oracle Access Governance. Le système REST orchestré générique permet de gérer les comptes de toutes les applications cloud sans passer par des ressources et du temps supplémentaires à créer des connecteurs personnalisés pour chaque application cloud.

Le système REST orchestré générique aide les entreprises à tirer parti d'Oracle Access Governance pour s'intégrer aux systèmes gérés pour la gouvernance des identités. Ces systèmes gérés incluent toutes les applications qui exposent des API REST telles que SaaS, PaaS, des applications développées en interne, etc.

Voici quelques exemples de scénarios dans lesquels le système orchestré REST générique est utilisé :

  • Gestion des utilisateurs

    Le système REST orchestré générique vous permet de gérer les personnes qui peuvent accéder aux ressources en les définissant en tant qu'identités dans Oracle Access Governance et en les affectant aux collections d'identités et aux rôles. Les identités sont créées à partir de tout système orchestré faisant autorité, tel que REST générique, lors du chargement des données.

  • Contrôle d'accès

    Le système orchestré REST générique gère le contrôle d'accès via des ensembles d'identités, des rôles, des lots d'accès et des stratégies. Selon le système orchestré utilisé, vous pouvez gérer l'accès à l'aide des fonctionnalités en libre-service d'Oracle Access Governance, en particulier Demander l'accès. Par exemple, vous pouvez utiliser le système orchestré REST générique pour affecter ou révoquer automatiquement l'accès à un système en fonction de stratégies d'accès prédéfinies dans Oracle Access Governance. Lorsque de nouveaux utilisateurs sont ajoutés à un rôle spécifique, ils obtiennent automatiquement l'accès correspondant dans les systèmes couverts par la stratégie d'accès.

Configurer

Vous pouvez établir une intégration entre les systèmes tenant compte des identités basés sur REST et Oracle Access Governance en entrant les détails des fonctions et des modèles OCI pour intégrer le système basé sur REST. Pour ce faire, utilisez la fonctionnalité de système orchestré disponible dans la console Oracle Access Governance.

Etablissez une intégration entre les systèmes tenant compte des identités basés sur REST et Oracle Access Governance en entrant les détails des fonctions et des modèles OCI pour intégrer le système basé sur REST. Utilisez la fonctionnalité Système orchestré dans la console Oracle Access Governance.

Oracle Access Governance utilise le principal de ressource pour accéder aux fonctions OCI et les appeler. Si vous disposez d'un système orchestré existant et que vous devez effectuer une migration, reportez-vous à Migration de l'accès aux clés d'API vers l'accès au principal de ressource.

Accéder à la page Systèmes orchestrés

Accédez à la page Systèmes orchestrés de la console Oracle Access Governance en procédant comme suit :
  1. Dans l'icône Menu de navigation du menu de navigation d'Oracle Access Governance, sélectionnez Administration des services → Systèmes orchestrés.
  2. Cliquez sur le bouton Ajouter un système orchestré pour démarrer le workflow.

Sélectionner un système

A l'étape Sélectionner un système du workflow, vous pouvez indiquer le type de système que vous souhaitez intégrer. Vous pouvez rechercher le système requis par nom à l'aide du champ Rechercher. Sélectionnez la mosaïque Connecteur REST générique. Lorsque vous sélectionnez cette mosaïque, une boîte de dialogue apparaît et présente les étapes de configuration du système orchestré. Cela inclut un lien vers un exemple d'implémentation des fonctions OCI requises pour se connecter à des systèmes REST conscients des identités. Si vous ne l'avez pas fait, vous devez télécharger le fichier idm-agcs-generic-rest-reference-implementation.zip et développer vos propres fonctions OCI en fonction de cet exemple. Pour plus d'informations sur l'exemple d'implémentation, voir Configurer l'exemple d'implémentation. Pour plus de détails sur le développement des fonctions OCI requises, reportez-vous à Configuration de la fonction sans serveur OCI pour la connexion à un système tenant compte des identités basé sur REST et à Repérage de schéma générique Rest.

Une fois l'option sélectionnée, la valeur Connecteur REST générique est affichée sur le côté droit sous Ce que j'ai sélectionné. Sélectionnez Suivant.

Saisir les détails

A l'étape Ajouter des détails du workflow, entrez les détails du système orchestré :
  1. Entrez le nom du système auquel vous souhaitez vous connecter dans le champ Nom.
  2. Entrez une description du système dans le champ Description.
  3. Décidez si ce système orchestré est une source faisant autorité et si Oracle Access Governance peut gérer les droits d'accès en cochant les cases suivantes.
    • Il s'agit de la source faisant autorité pour mes identités

      Sélectionnez l'une des options suivantes :

      • Source d'identités et de leurs attributs : le système agit comme une source d'identités et des attributs associés. De nouvelles identités sont créées via cette option .
      • Source des attributs d'identité uniquement : le système ingère des détails d'attributs d'identité supplémentaires et les applique aux identités existantes. Cette option n'ingère ni ne crée d'enregistrements d'identité.
    • Je veux gérer les droits d'accès pour ce système
    Dans chaque cas, la valeur par défaut est Non sélectionné.
  4. Sélectionnez Suivant.

Ajouter des propriétaires

Vous pouvez associer la propriété des ressources en ajoutant des propriétaires principaux et supplémentaires. Cela entraîne le libre-service car ces propriétaires peuvent ensuite gérer (lire, mettre à jour ou supprimer) les ressources qu'ils possèdent. Par défaut, le créateur de la ressource est désigné comme propriétaire de la ressource. Vous pouvez affecter un propriétaire principal et jusqu'à 20 propriétaires supplémentaires pour les ressources.
Remarque

Lorsque vous configurez le premier système orchestré pour votre instance de service, vous ne pouvez affecter des propriétaires qu'après avoir activé les identités à partir de la section Gérer les identités.
Pour ajouter des propriétaires :
  1. Sélectionnez un utilisateur actif Oracle Access Governance en tant que propriétaire principal dans le champ Qui est le propriétaire principal ?.
  2. Sélectionnez un ou plusieurs propriétaires supplémentaires dans la liste Qui d'autre en est propriétaire ?. Vous pouvez ajouter jusqu'à 20 propriétaires supplémentaires pour la ressource.
Vous pouvez afficher le propriétaire principal dans la liste. Tous les propriétaires peuvent afficher et gérer les ressources qu'ils possèdent.

Paramètres de compte

A l'étape Paramètres de compte du workflow, indiquez comment Oracle Access Governance doit gérer les comptes lorsque le système est configuré en tant que système géré :
  1. Lorsqu'une autorisation est demandée et que le compte n'existe pas encore, sélectionnez cette option pour créer de nouveaux comptes. Cette option est sélectionnée par défaut. Lorsque cette option est sélectionnée, Oracle Access Governance crée un compte s'il n'en existe pas lorsqu'une autorisation est demandée. Si vous désélectionnez cette option, les droits d'accès ne sont provisionnés que pour les comptes existants dans le système orchestré. Si aucun compte n'existe, l'opération de provisionnement échoue.
  2. Sélectionnez les destinataires des courriels de notification lorsqu'un compte est créé. Le destinataire par défaut est Utilisateur. Si aucun destinataire n'est sélectionné, aucune notification n'est envoyée lors de la création des comptes.
    • Utilisateur
    • Gestionnaire d'utilisateurs
  3. Configurer des comptes existants
    Remarque

    Vous ne pouvez définir ces configurations que si l'administrateur système l'autorise. Lorsque les paramètres globaux de résiliation de compte sont activés, les administrateurs de l'application ne peuvent pas gérer les paramètres de résiliation de compte au niveau du système orchestré.
    1. Sélectionner ce qu'il faut faire avec les comptes lorsqu'une résiliation anticipée commence : choisissez l'action à effectuer lorsqu'une résiliation anticipée commence. Cela se produit lorsque vous devez révoquer les accès à l'identité avant la date de fin officielle.
      • Supprimer : supprime tous les comptes et droits d'accès gérés par Oracle Access Governance.
        Remarque

        Si un système orchestré spécifique ne prend pas en charge l'action, aucune action n'est entreprise.
      • Désactiver : désactive tous les comptes et tous les droits d'accès gérés par Oracle Access Governance.
        • Supprimer les droits d'accès pour les comptes désactivés : pour garantir un accès résiduel nul, sélectionnez cette option pour supprimer les droits d'accès affectés directement et les droits d'accès accordés par une stratégie lors de la désactivation du compte.
      • Aucune action : aucune action n'est entreprise lorsqu'une identité est marquée pour une résiliation anticipée par Oracle Access Governance.
    2. Sélectionner ce qu'il faut faire avec les comptes à la date de fin de contrat : sélectionnez l'action à effectuer lors de la fin de contrat officielle. Cela se produit lorsque vous devez révoquer les accès d'identité à la date de fin de contrat officielle.
      • Supprimer : supprime tous les comptes et droits d'accès gérés par Oracle Access Governance.
        Remarque

        Si un système orchestré spécifique ne prend pas en charge l'action Supprimer, aucune action n'est effectuée.
      • Désactiver : désactive tous les comptes et tous les droits d'accès gérés par Oracle Access Governance.
        • Supprimer les droits d'accès pour les comptes désactivés : pour garantir un accès résiduel nul, sélectionnez cette option pour supprimer les droits d'accès affectés directement et les droits d'accès accordés par une stratégie lors de la désactivation du compte.
        Remarque

        Si un système orchestré spécifique ne prend pas en charge l'action Désactiver, le compte est supprimé.
      • Aucune action : aucune action n'est effectuée sur les comptes et les droits d'accès par Oracle Access Governance.
  4. Lorsqu'une identité quitte votre entreprise, vous devez supprimer l'accès à ses comptes.
    Remarque

    Vous ne pouvez définir ces configurations que si l'administrateur système l'autorise. Lorsque les paramètres globaux de résiliation de compte sont activés, les administrateurs de l'application ne peuvent pas gérer les paramètres de résiliation de compte au niveau du système orchestré.

    Sélectionnez l'une des actions suivantes pour le compte :

    • Supprimer : supprimez tous les comptes et droits d'accès gérés par Oracle Access Governance.
    • Désactiver : désactivez tous les comptes et marquez les autorisations comme inactives.
      • Supprimer les droits d'accès pour les comptes désactivés : supprimer les droits d'accès directement affectés et accordés par une stratégie lors de la désactivation du compte afin de garantir un accès résiduel nul.
    • Aucune action : n'effectuez aucune action lorsqu'une identité quitte l'organisation.
    Remarque

    Ces actions ne sont disponibles que si elles sont prises en charge par le type de système orchestré. Par exemple, si l'option Supprimer n'est pas prise en charge, vous verrez uniquement les options Désactiver et Aucune action.
  5. Lorsque tous les droits d'accès d'un compte sont supprimés, par exemple lorsqu'une identité se déplace d'un service à l'autre, vous devrez peut-être décider quoi faire avec le compte. Sélectionnez l'une des actions suivantes, si elle est prise en charge par le type de système orchestré :
    • Supprimer
    • Désactiver
    • Aucune intervention
  6. Gérer les comptes qui ne sont pas créés par Access Governance : sélectionnez cette option pour gérer les comptes qui sont créés directement dans le système orchestré. Vous pouvez ainsi rapprocher les comptes existants et les gérer à partir d'Oracle Access Governance.
Remarque

Si vous ne configurez pas le système en tant que système géré, cette étape du workflow s'affiche mais n'est pas activée. Dans ce cas, vous passez directement à l'étape Paramètres d'intégration du workflow.
Remarque

Si votre système orchestré nécessite un repérage de schéma dynamique, comme pour les intégrations Generic REST et Database Application Tables, seule la destination de courriel de notification peut être définie (Utilisateur, Usermanager) lors de la création du système orchestré. Vous ne pouvez pas définir les règles de désactivation/suppression pour les déménageurs et les sortants. Pour ce faire, vous devez créer le système orchestré, puis mettre à jour les paramètres de compte comme décrit dans Configurer les paramètres de compte système orchestré.

Configurer

A l'étape Configurer du workflow, entrez les détails de configuration requis pour permettre à Oracle Access Governance de se connecter au système à l'aide du connecteur REST générique.

  1. Quel est l'OCID de location OCI de la fonction OCI ? : entrez l'OCID (identificateur Oracle Cloud) de la fonction OCI. Reportez-vous à Emplacement de l'OCID de la location et de l'OCID de l'utilisateur. Par exemple, ocid1.oc1..aabdgsegsccawmw2o6qraopae7egmlochlopclhnwxq6pctu6oocgn.
  2. Quel est le code de région de la fonction OCI ? : entrez la région d'origine de la location OCI cible à l'aide de l'identificateur de région. Par exemple, pour US East (Ashburn), l'identificateur de région est us-ashburn-1. Reportez-vous à Région d'origine et à Comment trouver la région d'origine de ma location ?.
  3. Quel est l'ID de compartiment de la fonction OCI ? : entrez l'ID de compartiment de la fonction à intégrer.
  4. Quel est le nom d'application de la fonction OCI ? : entrez le nom d'application de la fonction à intégrer.
  5. Version de fonction : entrez la version de fonction de la fonction à intégrer.
  6. Durée de vie du cache de modèles de demande (en minutes) : durée pendant laquelle les modèles de demande seront mis en cache. Si l'heure est définie sur 0, aucune mise en cache n'est effectuée. Lorsque le cache expire, la fonction OCI est appelée pour obtenir le nouveau modèle. La durée du cache doit être inférieure à la durée d'expiration du jeton pour éviter les connexions supprimées en raison de l'expiration du jeton.
  7. Durée pour le cache de modèles de réponse (en minutes) : durée pendant laquelle ce modèle sera mis en mémoire cache. Si l'heure est définie sur 0, aucune mise en cache n'est effectuée. Lorsque le cache expire, la fonction OCI est appelée pour obtenir le nouveau modèle. La durée du cache doit être inférieure à la durée d'expiration du jeton pour éviter les connexions supprimées en raison de l'expiration du jeton.
  8. Durée pour le cache de modèles de test (en minutes) : durée pendant laquelle ce modèle sera mis en mémoire cache. Si l'heure est définie sur 0, aucune mise en cache n'est effectuée. Lorsque le cache expire, la fonction OCI est appelée pour obtenir le nouveau modèle. La durée du cache doit être inférieure à la durée d'expiration du jeton pour éviter les connexions supprimées en raison de l'expiration du jeton.
  9. Durée du modèle du schéma (en minutes) : durée pendant laquelle ce modèle sera mis en mémoire cache. Si l'heure est définie sur 0, aucune mise en cache n'est effectuée. Lorsque le cache expire, la fonction OCI est appelée pour obtenir le nouveau modèle. La durée du cache doit être inférieure à la durée d'expiration du jeton pour éviter les connexions supprimées en raison de l'expiration du jeton.
  10. Délai d'expiration de la réponse de lecture (en secondes) : entrez une valeur entière qui spécifie le nombre de secondes au cours duquel la réponse doit être reçue de la part du
  11. Délai d'expiration de la connexion (en secondes) : valeur entière qui spécifie le nombre de secondes après lequel une tentative d'établissement de la connexion entre le et l'expiration expire.
  12. Choisissez Ajouter .
  13. Stratégies OCI requises : copiez les instructions exactes dans le compartiment racine de la location concernée. Reportez-vous à Gestion des stratégies pour appliquer les stratégies à la location.

Terminer

A l'étape finale, Terminer, vous pouvez choisir de configurer davantage votre système orchestré avant d'exécuter un chargement de données, ou d'accepter la configuration par défaut et de lancer un chargement de données. Sélectionnez l'une des options suivantes :
  • Effectuer une personnalisation avant d'activer le système pour les chargements de données
  • Activer et préparer le chargement de données avec les valeurs par défaut fournies

Migrer l'accès de clé d'API vers l'accès de principal de ressource

Si vous disposez d'un système orchestré existant qui utilise la méthode d'accès de clé d'API pour la connexion, vous devez migrer le plus rapidement possible vers la méthode d'accès de principal de ressource.

Pour migrer l'accès de clé d'API vers l'accès de principal de ressource, procédez comme suit :

  1. Accédez à la page Paramètres d'intégration en suivant les instructions fournies dans Configurer les paramètres d'intégration du système orchestré.
  2. Sur la page Paramètres d'intégration, un avertissement d'abandon apparaît. Cliquez sur le bouton En savoir plus sur la migration.
  3. Copiez les stratégies exactes dans le compartiment racine tel qu'affiché sur la console. Pour plus de détails sur l'application des stratégies, reportez-vous à Création d'une stratégie.
    Remarque

    Les stratégies requises varient en fonction de l'emplacement d'hébergement de vos fonctions OCI et de votre instance Oracle Access Governance (par exemple, dans la même location ou dans des locations différentes).

  4. Une fois les stratégies appliquées, sélectionnez Tester l'intégration pour vérifier la connexion. Si vous avez des erreurs ou des messages, vérifiez votre configuration. Vous ne pourrez pas terminer la migration tant que le test n'aura pas abouti.
  5. Si votre connexion est confirmée, cliquez sur le bouton Migrer pour démarrer la migration.
  6. Une fois la migration terminée, un message de confirmation s'affiche.
Remarque

Une fois la migration vers la méthode Principal de ressource terminée, vous ne pouvez pas inverser la procédure et rétablir la méthode des clés d'API sur votre système orchestré.

Post-configuration

Une fois que vous avez configuré votre système orchestré REST générique, vous pouvez accéder à la page Système orchestré et vérifier les opérations dans le journal d'activité. Voici quelques-unes des opérations que vous pouvez voir :
  • Repérage de schéma : le système REST orchestré générique est sans schéma au moment de la conception et du déploiement. Dans le cadre du cycle de vie de l'orchestration, le repérage de schéma doit avoir lieu pour mettre à jour le système orchestré avec les détails du schéma et des classes d'objet pour la source ou le système géré faisant autorité requis. Pour plus d'informations sur le repérage de schéma, reportez-vous à Repérage de schéma générique Rest.
  • Valider : cette opération effectue les tâches suivantes :
    • Appelle le modèle de test, qui appelle à son tour l'adresse indiquée dans le modèle et vérifie la connectivité avec le système géré.
    • Appelle le modèle de schéma et extrait toutes les informations de schéma pour le système géré, y compris les entités et les attributs.
  • Chargement des données de consultation : Si des recherches sont définies, les données correspondant aux recherches sont chargées.
  • Chargement complet des données : cette opération charge les données pour toutes les entités indiquées et incluses.