Documentation Oracle Cloud Infrastructure

Intégration à Oracle Identity Governance

Vous pouvez effectuer une intégration à Oracle Identity Governance (OIG) pour activer l'orchestration des identités, automatiser l'intégration des comptes et des habilitations, des rôles et le rapprochement des comptes. Vous pouvez intégrer une seule application OIG active à la fois.

Composants certifiés

Le système cible peut être l'un des suivants :

  • Lot de Correctifs 11 (12.2.1.4.220703) ou version ultérieure d'Oracle Identity Governance 12.2.1.4. Si la version actuelle d'Oracle Identity Governance n'est pas compatible, contactez le support technique Oracle, qui peut organiser un patch pour le système Oracle Identity Governance.
  • Oracle Identity Governance 14.1.2.1.0 ou version ultérieure.

Prérequis

Les données source d'Oracle Identity Governance doivent répondre aux exigences suivantes dans Oracle Access Governance

Etape 1 : Activer l'indicateur Certifiable pour l'application, les droits et les rôles

L'indicateur Certifiable doit être sélectionné pour les applications, les habilitations et les rôles, comme suit :

  1. Sélectionner l'indicateur Certifiable pour les applications et les habilitations
    1. Connectez-vous à l'application en libre-service Oracle Identity Governance.
    2. Accédez à Gérer, puis à Demande d'auto-évaluation
    3. Recherchez l'application et sélectionnez l'icône d'informations.
    4. Sélectionnez l'indicateur Certifiable.
  2. Pour les rôles,
    1. Connectez-vous à l'application en libre-service Oracle Identity Governance.
    2. Accédez à Gérer, puis à Rôles
    3. Recherchez le rôle et sélectionnez l'icône d'informations.
    4. Sous Attributs de catalogue, cochez la case Certifiable.

Etape 2 : Types d'octroi dans Oracle Identity Governance

En tant qu'utilisateur dans Oracle Identity Governance, vous devez disposer des types d'octroi suivants :

  • Comptes de provision directe et droits
  • Demander le provisionnement des comptes et des droits
  • Comptes et droits rapprochés des cibles
  • Comptes et droits chargés en masse
  • Rôle de demande ou de provisionnement direct associé à la stratégie d'accès

Etape 3 : obtention de l'URL JDBC

Vous avez besoin de l'URL JDBC d'OIG dans les paramètres de connexion.

  1. Connectez-vous à la console d'administration Oracle WebLogic Server associée à l'instance Oracle Identity Governance.
  2. Accédez à Services → Sources de données.
  3. Sélectionnez oimOperationsDB dans l'onglet Configurations.
  4. Sélectionnez Pool de connexions et copiez la valeur du champ URL : à utiliser comme URL JDBC d'Oracle Identity Governance.

Référence : URL JDBC OIG

Etape 4 : Obtention de l'URL de serveur d'Oracle Identity Governance

  1. Connectez-vous au contrôle Oracle Enterprise Manager Fusion Middleware Control.
  2. Accédez au navigateur Web de MBeans système et recherchez le MBean XMLConfig.DiscoveryConfig.
  3. Copiez la valeur de l'attribut OimExternalFrontEndURL et utilisez-la comme valeur pour l'URL du serveur Oracle Identity Governance.

URL d'OIG

Configurer l'intégration pour Oracle Identity Governance

Vous pouvez configurer l'agent Oracle Identity Governance de manière à ce qu'il se connecte à Oracle Access Governance, vous devez entrer les détails de connexion et les données d'identification du système cible, et créer un agent propre à l'environnement.

Accéder à la page Systèmes orchestrés

La page Systèmes orchestrés de la console Oracle Access Governance vous permet de démarrer la configuration de votre système orchestré.

Accédez à la page Systèmes orchestrés de la console Oracle Access Governance en procédant comme suit :
  1. Dans l'icône Menu de navigation du menu de navigation d'Oracle Access Governance, sélectionnez Administration des services → Systèmes orchestrés.
  2. Cliquez sur le bouton Ajouter un système orchestré pour démarrer le workflow.

Sélectionner un système

A l'étape Sélectionner un système du workflow, vous pouvez indiquer le type de système à intégrer à Oracle Access Governance.

Vous pouvez rechercher le système requis par nom à l'aide du champ Rechercher.

  1. Sélectionnez Oracle Identity Governance.
  2. Sélectionnez Suivant.

Ajouter des détails

Ajoutez des détails tels que le nom, la description et les modes pris en charge. Vous ne pouvez pas modifier le mode après avoir créé le système orchestré.

Avec l'intégration, vous pouvez configurer Oracle Identity Governance pour qu'il fonctionne en tant que source d'identité complète, source d'attributs d'identité pour les identités existantes ou système géré.

  1. Entrez le nom du système auquel vous souhaitez vous connecter dans le champ Nom.
  2. Entrez une description du système dans le champ Description.
  3. Déterminez si ce système orchestré est une source faisant autorité, Oracle Access Governance gère toujours les droits d'accès pour ce système orchestré.
    • Il s'agit de la source faisant autorité pour mes identités

      Sélectionnez l'une des options suivantes :

      • Source d'identités et de leurs attributs : le système agit comme une source d'identités et des attributs associés. De nouvelles identités sont créées via cette option.
      • Source des attributs d'identité uniquement : le système ingère des détails d'attributs d'identité supplémentaires et les applique aux identités existantes. Cette option n'ingère ni ne crée d'enregistrements d'identité.
  4. Sélectionnez Suivant.

Ajouter des propriétaires

Ajoutez des propriétaires principaux et supplémentaires au système orchestré pour gérer les ressources.

Vous pouvez associer la propriété des ressources en ajoutant des propriétaires principaux et supplémentaires. Cela entraîne le libre-service car ces propriétaires peuvent ensuite gérer (lire, mettre à jour ou supprimer) les ressources qu'ils possèdent. Par défaut, le créateur de la ressource est désigné comme propriétaire de la ressource. Vous pouvez affecter un propriétaire principal et jusqu'à 20 propriétaires supplémentaires pour les ressources.
Remarque

Lorsque vous configurez le premier système orchestré pour votre instance de service, vous ne pouvez affecter des propriétaires qu'après avoir activé les identités à partir de la section Gérer les identités.
Pour ajouter des propriétaires :
  1. Sélectionnez un utilisateur actif Oracle Access Governance en tant que propriétaire principal dans le champ Qui est le propriétaire principal ?.
  2. Sélectionnez un ou plusieurs propriétaires supplémentaires dans la liste Qui d'autre en est propriétaire ?. Vous pouvez ajouter jusqu'à 20 propriétaires supplémentaires pour la ressource.
Vous pouvez afficher le propriétaire principal dans la liste. Tous les propriétaires peuvent afficher et gérer les ressources qu'ils possèdent.

Paramètres d'intégration

Entrez les détails de connexion pour le système Oracle Identity Governance.

  1. Dans le champ Quelle est l'URL JDBC de votre serveur ? de base de données OIG ?, entrez l'URL JDBC de la base de données OIG à laquelle vous souhaitez vous connecter. Pour obtenir l'URL JDBC, reportez-vous à Etape 3 : Obtenir l'URL JDBC.
  2. Dans le champ Qu'est-ce que le nom utilisateur de base de données OIG ?, entrez l'utilisateur de base de données, avec accès en lecture, pour se connecter à la base de données OIG. Pour plus de détails, reportez-vous à Etape 4 : obtention de l'URL de serveur d'Oracle Identity Governance.
  3. Dans le champ Mot de passe, entrez le mot de passe de l'utilisateur de base de données OIG que vous avez indiqué.
  4. Dans le champ Quelle est l'URL de votre serveur OIG ?, entrez l'URL du serveur OIG avec lequel vous voulez effectuer l'intégration.
  5. Dans le champ Qu'est-ce que le nom utilisateur du serveur OIG ?, entrez l'utilisateur OIG utilisé pour la résolution et le repérage de schéma. L'utilisateur du serveur Oracle Identity Governance doit appartenir au rôle Administrateur système pour prendre en charge à la fois la remédiation et le repérage de schéma pour les attributs personnalisés. Si seule une action corrective est nécessaire, l'utilisateur peut appartenir au rôle OrclOAGIntegrationAdmin, mais la découverte de schéma ne fonctionnerait pas pour cet utilisateur.
  6. Dans le champ Mot de passe du serveur OIG, entrez pour authentifier l'utilisateur du serveur OIG lors de l'appel des API OIG pour effectuer des actions correctives.
  7. Voulez-vous activer le chargement de données incrémentiel de base de données OIG ? : sélectionnez cette option pour effectuer un chargement de données incrémentiel. Si l'option Jour-N est sélectionnée, les chargements de données utilisent un mode orienté événement qui applique les modifications à Oracle Access Governance au fur et à mesure qu'elles se produisent, plutôt qu'en tant que cliché périodique. Si vous sélectionnez cette option, assurez-vous que vous avez terminé les tâches prérequises dans la base de données OIG définies dans Etapes de configuration de base de données pour le chargement de données orienté événement.
    Remarque

    Utilisez cette option pour afficher les événements d'OIG en temps réel plutôt qu'à intervalles réguliers. Par exemple, si l'organisation crée une identité pour un utilisateur qui doit être reflétée immédiatement dans Oracle Access Governance, vous devez utiliser cette option. Lorsque l'identité est ajoutée, l'événement n'est pas noté par l'intégration et rapproché avec Oracle Access Governance. Le chargement des données de cliché par défaut ne rapprocherait pas la nouvelle identité avant la prochaine exécution programmée. Avec le chargement des données basé sur les événements, les modifications sont identifiées en temps réel et chargées dans Oracle Access Governance à mesure que chaque événement a lieu.
  8. Vérifiez que les détails saisis sont corrects et cliquez sur le bouton Ajouter.
  9. A l'étape Télécharger l'agent, sélectionnez le lien Télécharger et téléchargez le fichier ZIP d'agent vers l'environnement dans lequel l'agent sera exécuté.

Terminer

Terminez la configuration du système orchestré en fournissant des détails sur l'opportunité d'effectuer une personnalisation supplémentaire ou d'activer et d'exécuter un chargement de données.

La dernière étape du workflow est Terminer.

A l'étape Terminer du workflow, vous êtes invité à télécharger l'agent que vous utiliseriez pour l'interface entre Oracle Access Governance et Oracle Identity Governance. Cliquez sur le lien Télécharger pour télécharger le fichier ZIP d'agent vers l'environnement dans lequel l'agent sera exécuté.

Après avoir téléchargé l'agent, suivez les instructions expliquées dans l'article Administration de l'agent.

Enfin, vous pouvez décider de configurer davantage le système orchestré avant d'exécuter un chargement de données, ou d'accepter la configuration par défaut et de démarrer un chargement de données. Sélectionnez l'une des options suivantes :
  • Effectuer une personnalisation avant d'activer le système pour les chargements de données
  • Activer et préparer le chargement de données avec les valeurs par défaut fournies

Configuration des étapes de base de données pour le chargement de données basé sur les événements

Lors de la création ou de la mise à jour d'un système orchestré Oracle Access Governance, vous pouvez activer l'option de chargement de données orienté événement. Cette option bascule le chargement des données Day-N du modèle basé sur les instantanés par défaut vers un modèle basé sur les événements. Pour que cette option soit prérequise, vous devez créer un utilisateur en lecture seule dans la base de données OIG et accorder les rôles et privilèges système requis.

Pour ajouter un utilisateur en lecture seule dans la base de données OIG pour l'option de chargement de données orienté événement, procédez comme suit :
  1. Connectez-vous à la base de données OIG en tant qu'utilisateur SYS et créez dans la base de données OIG un utilisateur en lecture seule qui sera utilisé par Oracle Access Governance pour se connecter aux événements de modification : 
    create user <username> identified by <password>;
    Par exemple :
    create user ag2oigro identified by mypassword;
  2. Connectez-vous à la base de données OIG en tant qu'utilisateur SYS et accordez les rôles et privilèges système requis à l'utilisateur en lecture seule que vous avez créé à l'étape précédente : 
    GRANT CREATE SESSION TO <read-only user>;
                                GRANT SELECT ANY TABLE TO <read-only user>;
                                GRANT CREATE ANY TRIGGER TO <read-only user>;
                                GRANT ADMINISTER DATABASE TRIGGER TO <read-only user>;
                                GRANT CREATE TABLE TO <read-only user>;
                                GRANT CREATE SYNONYM TO <read-only user>;
                                GRANT UNLIMITED TABLESPACE TO <read-only user>;
                                
                                GRANT CONNECT TO <read-only user>;
                                GRANT RESOURCE TO <read-only user>;
    Par exemple :
    GRANT CREATE SESSION TO ag2oigro;
                                    GRANT SELECT ANY TABLE TO ag2oigro;
                                    GRANT CREATE ANY TRIGGER TO ag2oigro;
                                    GRANT ADMINISTER DATABASE TRIGGER TO ag2oigro;
                                    GRANT CREATE TABLE TO ag2oigro;
                                    GRANT CREATE SYNONYM TO ag2oigro;
                                    GRANT UNLIMITED TABLESPACE TO ag2oigro;
                                    
                                    GRANT CONNECT TO ag2oigro;
                                    GRANT RESOURCE TO ag2oigro;
  3. Connectez-vous à la base de données OIG en tant que propriétaire du schéma de base de données OIG et exécutez la commande suivante pour créer un script qui créera des synonymes pour les tables OIG pour l'utilisateur en lecture seule : 
    setheading on
                                setlinesize 1500
                                setnumformat 99999999999999999999
                                setpagesize 25000
                                spool synon.out
                                SELECT 'create synonym <read-only user>.'||TNAME||' for <OIG_SCHEMA_USER_NAME>.'||TNAME||';'
                                FROM TAB
                                WHERE tabtype = 'TABLE';
                                spool off
    Par exemple :
    setheading on
                                    setlinesize 1500
                                    setnumformat 99999999999999999999
                                    setpagesize 25000
                                    spool synon.sql
                                    SELECT 'create synonym ag2oigro.'||TNAME||' for <OIG_SCHEMA_USER_NAME>.'||TNAME||';'
                                    FROM TAB
                                    WHERE tabtype = 'TABLE';
                                    spool off
  4. Connectez-vous à la base de données OIG en tant qu'utilisateur en lecture seule et créez les synonymes à l'aide du script créé à l'étape précédente : 
    @<scriptname>

    Par exemple :

    @synon.sql

Attributs pris en charge pour le filtrage du chargement des données utilisateur

Lors de la configuration d'un système orchestré pour intégrer des données à partir d'Oracle Identity Governance, il est possible de filtrer les données utilisateur à inclure dans Oracle Access Governance. Vous pouvez restreindre l'intégration des utilisateurs en définissant des filtres sur les attributs d'identité tels que le service, le type d'employé, le lieu, etc.

Caractéristiques de filtrage du chargement des données utilisateur

Vous devez connaître les caractéristiques suivantes du filtrage du chargement des données utilisateur lors de la configuration des filtres dans le système orchestré.

  • La mise en correspondance des filtres de recherche utilisateur et du filtrage des valeurs de données utilisateur est sensible à la casse. Par exemple, un filtre de department = Human Resources ne renvoie pas d'utilisateurs ayant la valeur department = HUMAN RESOURCES ou Department = Human Resources.
  • Si aucun utilisateur ou compte ne correspond au filtre de chargement des données utilisateur, aucune donnée ne sera ingérée à partir d'Oracle Identity Governance par Oracle Access Governance. Dans ce cas, cependant, le chargement des données lui-même est qualifié de succès dans le journal d'activité, même si aucune identité ou aucun compte n'est intégré.
  • Les valeurs de filtre de chargement de données utilisateur ne peuvent pas dépasser 1000 pour un attribut de filtre spécifique.
  • Si un agent est déjà installé, une mise à niveau d'agent est requise pour activer les filtres de chargement de données utilisateur. Pour plus de détails sur la mise à niveau de l'agent, reportez-vous à Exemple d'utilisation d'agent.

Liste des attributs pris en charge pour le filtrage du chargement des données utilisateur

Vous pouvez filtrer les utilisateurs inclus dans Oracle Identity Governance en fonction des attributs suivants.

Liste des attributs pris en charge pour le filtrage du chargement des données utilisateur
Nom d'attribut Oracle Access Governance Nom d'attribut Oracle Identity Governance
employeeType usr_emp_type
jobCode usr_job_code
service usr_dept_no
lieu usr_location
département usr_state
postalCode usr_postal_code
pays usr_country
managerUid usr_manager_key
managerLogin usr_login

(usr_login du responsable)
organizationUid act_key
organizationName act_name

act_name de la table Act
territory usr_territory

Exemples de filtres de chargement de données utilisateur

Voici quelques exemples que vous pouvez configurer à l'aide de la fonctionnalité Filtre de chargement des données utilisateur :
Exemples de filtres de chargement de données utilisateur
Cas d'utilisation Paramètres de configuration

Utilisateur avec department=Product Development

et

jobCode=IC004 ou M0003

  • userFilter1Name=service
  • userFilter1Value=Développement de produit
  • userFilter2Name=jobCode
  • userFilter2Value=IC004~M0003
  • userFilter3Name=
  • userFilter3Value=
  • filterValueDelimiter=~

Utilisateur avec state =Kent

et

organizationUid=1 ou 4

  • userFilter1Name=état
  • userFilter1Value=Kent
  • userFilter2Name=organizationUid
  • userFilter2Value=1~4
  • userFilter3Name=
  • userFilter3Value=
  • filterValueDelimiter=~

Utilisateur avec postalCode = 78045 ou 12204

avec délimiteur personnalisé ##

  • userFilter1Name=postalCode
  • userFilter1Value=78045##12204
  • userFilter2Name=
  • userFilter2Value=
  • userFilter3Name=
  • userFilter3Value=
  • filterValueDelimiter=##

Utilisateur avec managerUid = 17981 ou 17854

et managerLogin = DINORAH.PREWITT ou JOELLA.SHANNON

  • userFilter1Name=managerUid
  • userFilter1Value=17981~17854
  • userFilter2Name=managerLogin
  • userFilter2Value=DINORAH.PREWITT~SHIRLEY.THOMAS
  • userFilter3Name=
  • userFilter3Value=
  • filterValueDelimiter=~
Remarque

Le nom de la valeur de filtre et la valeur du filtre sont tous deux sensibles à la casse. A l'aide de ces exemples, l'un des filtres suivants n'est pas valide et ne renvoie aucun résultat :
  • Exemple 1 :
    • userFilter1Name=MANAGERUID
    • userFilter1Value=17981~17854
    • userFilter2Name=managerLogin
    • userFilter2Value=DINORAH.PREWITT~SHIRLEY.THOMAS
  • Exemple 2 :
    • userFilter1Name=managerUid
    • userFilter1Value=17981~17854
    • userFilter2Name=managerLogin
    • userFilter2Value=Dinorah.Prewitt~SHIRLEY.THOMAS
    • Exemple 3 :
      • USERFilter1Name=managerUid
      • userFilter1Value=17981~17854
      • userFilter2Name=managerLogin
      • userFilter2Value=DINORAH.PREWITT~SHIRLEY.THOMAS
  • Exemple 4 :
    • userFilter1Name=managerUid
    • userFilter1Value=17981~17854
    • userFilter2Name=managerLogin
    • USERFILTER2VALUE=DINORAH.PREWITT~SHIRLEY.THOMAS

Modes de configuration pris en charge pour le système orchestré Oracle Identity Governance

Vous pouvez configurer différents modes de configuration en fonction des besoins en matière d'identités d'intégration, d'attributs d'identité et de comptes de provisionnement.

Oracle Identity Governance prend en charge les éléments suivants :

  • (Authoritative - Source d'identité) et système géré
  • (Authoritative - Source d'attribut d'identité) et système géré
  • Système géré uniquement

Règles de correspondance par défaut

Pour mapper des comptes avec des identités, appliquez les règles de correspondance suivantes.

Pour activer les paramètres de règles de correspondance, reportez-vous à Correspondance des attributs d'identité et de compte à l'aide de règles de corrélation et à Règles de correspondance.
Mode Règles de correspondance par défaut
Source faisant autorité User login = Employee user name
Système géré Non pris en charge. La correspondance est basée sur l'UID.