Intégration à Oracle Unified Directory
Le connecteur Oracle Unified Directory intègre Oracle Access Governance à Oracle Unified Directory. Vous pouvez établir une connexion entre Oracle Unified Directory et Oracle Access Governance en saisissant les détails de connexion et en configurant le connecteur. Pour ce faire, utilisez la fonctionnalité Systèmes orchestrés disponible dans la console Oracle Access Governance.
Préinstallation
Avant d'installer et de configurer un système orchestré Oracle Unified Directory, vous devez prendre en compte les prérequis et tâches suivants.
Composants certifiés
Le système peut être l'un des suivants :
- Oracle Unified Directory 11g 11.1.1.5.0, 11.1.2.0.0, 11.1.2.2.0 et 11.1.2.3.0
- Oracle Unified Directory 12c 12.2.1.3.0 et 12.2.1.4.0
- Oracle Unified Directory 14c 14.1.2.1.0
Opérations prises en charge (Authoritative)
Le système orchestré Oracle Unified Directory prend en charge les opérations suivantes, où Oracle Unified Directory est la source d'autorité pour les identités :
- Créer un utilisateur
- Mettre à jour l'utilisateur
- Supprimer l'utilisateur
- Activer l'utilisateur
- Désactiver l'utilisateur
- Réinitialiser le mot de passe
- Créer un groupe ou une unité organisationnelle
- Mettre à jour le nom du groupe ou le nom de l'unité organisationnelle
- Supprimer le groupe ou l'unité organisationnelle
- Mettre à jour le nom distinctif de conteneur
- Ajouter des groupes
- Révoquer des groupes
Opérations prises en charge (non autorisées)
Le système orchestré Oracle Unified Directory prend en charge les opérations suivantes, où Oracle Unified Directory est un système géré :
- Créer un utilisateur
- Réinitialiser le mot de passe
- Ajouter des groupes
- Révoquer des groupes
Créer un compte utilisateur système pour les opérations système orchestrées Oracle Unified Directory
Oracle Access Governance nécessite un compte utilisateur pour accéder au système pendant les opérations de service. Selon le système que vous utilisez, vous pouvez créer l'utilisateur dans votre système et lui affecter des autorisations et des rôles spécifiques.
Pour Oracle Unified Directory :
Vous devez créer un compte utilisateur système pour exécuter les fonctions suivantes.
- Créez, modifiez et supprimez les entrées associées aux objets gérés, notamment les comptes, les groupes, les rôles (si pris en charge) et les unités organisationnelles (ou).
- Mettre à jour les mots de passe pour les utilisateurs.
Créez un compte d'administrateur sur le système Oracle Unified Directory. Pour plus d'informations sur cette procédure, reportez-vous aux sections suivantes :
- Oracle Unified Directory 11g : Configuration des utilisateurs root
- Oracle Unified Directory 12c : Configuration des utilisateurs root
Installer
Vous pouvez établir une connexion entre Oracle Unified Directory et Oracle Access Governance en saisissant les détails de connexion et en configurant votre environnement OUD. Pour ce faire, utilisez la fonctionnalité Systèmes orchestrés disponible dans la console Oracle Access Governance.
Accéder à la page Systèmes orchestrés
Accédez à la page Systèmes orchestrés de la console Oracle Access Governance en procédant comme suit :
- Dans l'icône
du menu de navigation d'Oracle Access Governance, sélectionnez Administration des services → Systèmes orchestrés. - Cliquez sur le bouton Ajouter un système orchestré pour démarrer le workflow.
Sélectionner un système
A l'étape Sélectionner un système du workflow, indiquez le type de système que vous souhaitez intégrer.
- Sélectionnez Oracle Unified Directory, puis cliquez sur Suivant.
Saisir les détails
A l'étape Ajouter des détails du workflow, entrez les détails du système orchestré :
- Entrez le nom du système auquel vous souhaitez vous connecter dans le champ Nom.
- Entrez une description du système dans le champ Description.
- Décidez si ce système orchestré est une source faisant autorité et si Oracle Access Governance peut gérer les droits d'accès en cochant les cases suivantes.
-
Il s'agit de la source faisant autorité pour mes identités
Sélectionnez l'une des options suivantes :
- Source d'identités et de leurs attributs : le système agit comme une source d'identités et des attributs associés. De nouvelles identités sont créées via cette option .
- Source des attributs d'identité uniquement : le système ingère des détails d'attributs d'identité supplémentaires et les applique aux identités existantes. Cette option n'ingère ni ne crée d'enregistrements d'identité.
- Je veux gérer les droits d'accès pour ce système
-
Il s'agit de la source faisant autorité pour mes identités
- Sélectionnez Suivant.
Ajouter des propriétaires
Vous pouvez associer la propriété des ressources en ajoutant des propriétaires principaux et supplémentaires. Cela entraîne le libre-service car ces propriétaires peuvent ensuite gérer (lire, mettre à jour ou supprimer) les ressources qu'ils possèdent. Par défaut, le créateur de la ressource est désigné comme propriétaire de la ressource. Vous pouvez affecter un propriétaire principal et jusqu'à 20 propriétaires supplémentaires pour les ressources.
Remarque
Lorsque vous configurez le premier système orchestré pour votre instance de service, vous ne pouvez affecter des propriétaires qu'après avoir activé les identités à partir de la section Gérer les identités.
Pour ajouter des propriétaires :Lorsque vous configurez le premier système orchestré pour votre instance de service, vous ne pouvez affecter des propriétaires qu'après avoir activé les identités à partir de la section Gérer les identités.
- Sélectionnez un utilisateur actif Oracle Access Governance en tant que propriétaire principal dans le champ Qui est le propriétaire principal ?.
- Sélectionnez un ou plusieurs propriétaires supplémentaires dans la liste Qui d'autre en est propriétaire ?. Vous pouvez ajouter jusqu'à 20 propriétaires supplémentaires pour la ressource.
Paramètres de compte
A l'étape Paramètres de compte du workflow, indiquez comment Oracle Access Governance doit gérer les comptes lorsque le système est configuré en tant que système géré :
- Lorsqu'une autorisation est demandée et que le compte n'existe pas encore, sélectionnez cette option pour créer de nouveaux comptes. Cette option est sélectionnée par défaut. Lorsque cette option est sélectionnée, Oracle Access Governance crée un compte s'il n'en existe pas lorsqu'une autorisation est demandée. Si vous désélectionnez cette option, les droits d'accès ne sont provisionnés que pour les comptes existants dans le système orchestré. Si aucun compte n'existe, l'opération de provisionnement échoue.
- Sélectionnez les destinataires des courriels de notification lorsqu'un compte est créé. Le destinataire par défaut est Utilisateur. Si aucun destinataire n'est sélectionné, aucune notification n'est envoyée lors de la création des comptes.
- Utilisateur
- Gestionnaire d'utilisateurs
- Configurer des comptes existantsRemarque
Vous ne pouvez définir ces configurations que si l'administrateur système l'autorise. Lorsque les paramètres globaux de résiliation de compte sont activés, les administrateurs de l'application ne peuvent pas gérer les paramètres de résiliation de compte au niveau du système orchestré.- Sélectionner ce qu'il faut faire avec les comptes lorsqu'une résiliation anticipée commence : choisissez l'action à effectuer lorsqu'une résiliation anticipée commence. Cela se produit lorsque vous devez révoquer les accès à l'identité avant la date de fin officielle.
- Supprimer : supprime tous les comptes et droits d'accès gérés par Oracle Access Governance.Remarque
Si un système orchestré spécifique ne prend pas en charge l'action, aucune action n'est entreprise. - Désactiver : désactive tous les comptes et tous les droits d'accès gérés par Oracle Access Governance.
- Supprimer les droits d'accès pour les comptes désactivés : pour garantir un accès résiduel nul, sélectionnez cette option pour supprimer les droits d'accès affectés directement et les droits d'accès accordés par une stratégie lors de la désactivation du compte.
- Aucune action : aucune action n'est entreprise lorsqu'une identité est marquée pour une résiliation anticipée par Oracle Access Governance.
- Supprimer : supprime tous les comptes et droits d'accès gérés par Oracle Access Governance.
- Sélectionner ce qu'il faut faire avec les comptes à la date de fin de contrat : sélectionnez l'action à effectuer lors de la fin de contrat officielle. Cela se produit lorsque vous devez révoquer les accès d'identité à la date de fin de contrat officielle.
- Supprimer : supprime tous les comptes et droits d'accès gérés par Oracle Access Governance.Remarque
Si un système orchestré spécifique ne prend pas en charge l'action Supprimer, aucune action n'est effectuée. - Désactiver : désactive tous les comptes et tous les droits d'accès gérés par Oracle Access Governance.
- Supprimer les droits d'accès pour les comptes désactivés : pour garantir un accès résiduel nul, sélectionnez cette option pour supprimer les droits d'accès affectés directement et les droits d'accès accordés par une stratégie lors de la désactivation du compte.
Remarque
Si un système orchestré spécifique ne prend pas en charge l'action Désactiver, le compte est supprimé. - Aucune action : aucune action n'est effectuée sur les comptes et les droits d'accès par Oracle Access Governance.
- Supprimer : supprime tous les comptes et droits d'accès gérés par Oracle Access Governance.
- Sélectionner ce qu'il faut faire avec les comptes lorsqu'une résiliation anticipée commence : choisissez l'action à effectuer lorsqu'une résiliation anticipée commence. Cela se produit lorsque vous devez révoquer les accès à l'identité avant la date de fin officielle.
- Lorsqu'une identité quitte votre entreprise, vous devez supprimer l'accès à ses comptes. Remarque
Vous ne pouvez définir ces configurations que si l'administrateur système l'autorise. Lorsque les paramètres globaux de résiliation de compte sont activés, les administrateurs de l'application ne peuvent pas gérer les paramètres de résiliation de compte au niveau du système orchestré.Sélectionnez l'une des actions suivantes pour le compte :
- Supprimer : supprimez tous les comptes et droits d'accès gérés par Oracle Access Governance.
- Désactiver : désactivez tous les comptes et marquez les autorisations comme inactives.
- Supprimer les droits d'accès pour les comptes désactivés : supprimer les droits d'accès directement affectés et accordés par une stratégie lors de la désactivation du compte afin de garantir un accès résiduel nul.
- Aucune action : n'effectuez aucune action lorsqu'une identité quitte l'organisation.
Remarque
Ces actions ne sont disponibles que si elles sont prises en charge par le type de système orchestré. Par exemple, si l'option Supprimer n'est pas prise en charge, vous verrez uniquement les options Désactiver et Aucune action. - Lorsque tous les droits d'accès d'un compte sont supprimés, par exemple lorsqu'une identité se déplace d'un service à l'autre, vous devrez peut-être décider quoi faire avec le compte. Sélectionnez l'une des actions suivantes, si elle est prise en charge par le type de système orchestré :
- Supprimer
- Désactiver
- Aucune intervention
- Gérer les comptes qui ne sont pas créés par Access Governance : sélectionnez cette option pour gérer les comptes qui sont créés directement dans le système orchestré. Vous pouvez ainsi rapprocher les comptes existants et les gérer à partir d'Oracle Access Governance.
Remarque
Si vous ne configurez pas le système en tant que système géré, cette étape du workflow s'affiche mais n'est pas activée. Dans ce cas, vous passez directement à l'étape Paramètres d'intégration du workflow.
Si vous ne configurez pas le système en tant que système géré, cette étape du workflow s'affiche mais n'est pas activée. Dans ce cas, vous passez directement à l'étape Paramètres d'intégration du workflow.
Remarque
Si votre système orchestré nécessite un repérage de schéma dynamique, comme pour les intégrations Generic REST et Database Application Tables, seule la destination de courriel de notification peut être définie (Utilisateur, Usermanager) lors de la création du système orchestré. Vous ne pouvez pas définir les règles de désactivation/suppression pour les déménageurs et les sortants. Pour ce faire, vous devez créer le système orchestré, puis mettre à jour les paramètres de compte comme décrit dans Configurer les paramètres de compte système orchestré.
Si votre système orchestré nécessite un repérage de schéma dynamique, comme pour les intégrations Generic REST et Database Application Tables, seule la destination de courriel de notification peut être définie (Utilisateur, Usermanager) lors de la création du système orchestré. Vous ne pouvez pas définir les règles de désactivation/suppression pour les déménageurs et les sortants. Pour ce faire, vous devez créer le système orchestré, puis mettre à jour les paramètres de compte comme décrit dans Configurer les paramètres de compte système orchestré.
Paramètres d'intégration
A l'étape Paramètres d'intégration du workflow, entrez les détails de configuration requis pour permettre à Oracle Access Governance de se connecter à l'annuaire Oracle Unified Directory cible.
- Dans le champ Hôte, entrez le nom d'hôte ou l'adresse IP du répertoire à intégrer à Oracle Access Governance.
- Dans le champ Port, entrez la valeur du numéro de port TCP/IP utilisé pour communiquer avec le serveur LDAP.
- Entrez le nom distinctif que vous allez utiliser pour vous authentifier dans le répertoire, dans le champ Nom utilisateur de l'administrateur. Il s'agit de l'utilisateur que vous avez créé dans Créer un compte utilisateur système cible pour les opérations système orchestrées Oracle Unified Directory.
- Entrez le mot de passe du nom distinctif de la cible dans le champ Mot de passe. Confirmez le mot de passe dans le champ Confirmez le mot de passe.
- Entrez le contexte de base à partir duquel commencer les recherches d'utilisateurs et de groupes dans le champ Contextes de base.
- Dans le champ Basculement, entrez la liste des serveurs de basculement au format
<servername>:<port>, <servername>:<port>, ..., par exempleOUDExample1:636, OUDExample1:636, ... - Dans le champ SSL activé, assurez-vous que la valeur true est sélectionnée.
- Consultez le volet de droite pour voir Ce que j'ai sélectionné. Si vous êtes satisfait des détails saisis, sélectionnez Ajouter pour créer le système orchestré.
Terminer
La dernière étape du workflow est Terminer, où vous êtes invité à télécharger l'agent pour votre système orchestré. Une fois l'agent téléchargé, vous pouvez l'installer et le configurer dans votre environnement en suivant les instructions fournies dans Installation de l'agent Oracle Access Governance.
Vous pouvez choisir de configurer davantage votre système orchestré avant d'exécuter un chargement de données, ou d'accepter la configuration par défaut et de lancer un chargement de données. Sélectionnez l'une des options suivantes :
- Effectuer une personnalisation avant d'activer le système pour les chargements de données
- Activer et préparer le chargement de données avec les valeurs par défaut fournies
Postinstallation
Aucune étape de postinstallation n'est associée à un système Oracle Unified Directory.
Référence
Oracle Access Governance prend en charge les attributs Oracle Unified Directory par défaut suivants.
| Entité | Attribut de compte Oracle Unified Directory | Attribut de compte Oracle Access Governance | Nom d'affichage d'Oracle Access Governance |
|---|---|---|---|
| Utilisateur | Connexion de l'utilisateur | UID | ID uniques |
| UID | nom | Nom utilisateur de l'employé | |
| DN complet | fullDN | Nom distinctif complet | |
| courrier | |||
| givenName | firstName | Prénom | |
| initials | middleName | Deuxième prénom | |
| sn | lastName | Nom | |
| responsable | managerLogin | Responsable | |
| Statut | statut | Statut | |
| departmentnumber | service | Service | |
| l | lieu | Lieu |
| Entité | Attribut de compte Oracle Unified Directory | Attribut de compte Oracle Access Governance | Nom d'affichage d'Oracle Access Governance |
|---|---|---|---|
| Utilisateur | NsuniqueID | UID | ID uniques |
| UID | nom | Connexion de l'utilisateur | |
| Nom distinctif complet | fullDn | Nom distinctif complet | |
| Mot de passe | mot de passe | Mot de passe | |
| titre | titre | Titre | |
| givenname | firstName | Prénom | |
| initials | middleName | Deuxième prénom | |
| sn | lastName | Nom | |
| ContainerDN | containerDN | Nom distinctif (DN) de conteneur | |
| courrier | emailID | ||
| cn | nom commun | Nom commun | |
| departmentnumber | service | Service | |
| l | lieu | Lieu | |
| telephonenumber | téléphone | Téléphone | |
| preferredlanguage | preferredlanguage | Langue préférée | |
| connexion désactivée | loginDisabled | Connexion désactivée | |
| Statut | statut | Statut | |
| buildingName | buildingName | Nom du bâtiment | |
| displayName | displayName | Nom d'affichage | |
| o | organizationName | Nom d'organisation | |
| homePhone | homePhone | Téléphone personnel | |
| mobile | mobile | Mobile | |
| orclActiveStartDate | startDate | Date de début | |
| orclActiveEndDate | endDate | Date de fin | |
| orclTimeZone | timeZone | Fuseau horaire | |
| orclGuid | orclGUID | GUID | |
| Nom du groupe | groupes en tant que droits | Groupes | |
| Rôle | rôle en tant que droit | Rôles |