Documentazione dell'infrastruttura Oracle Cloud

Configurare l'integrazione tra Oracle Access Governance e Microsoft Active Directory

Requisiti indispensabili

Prima di installare e configurare un sistema orchestrato di Microsoft Active Directory o Microsoft Active Directory Lightweight Directory Services (AD LDS), è necessario considerare i prerequisiti e i task riportati di seguito.

Crea un account utente

Oracle Access Governance richiede un account utente per accedere ai sistemi AD LDS (Lightweight Directory Services) di Microsoft Active Directory o Microsoft Active Directory durante le operazioni di servizio. A seconda del sistema in uso, è possibile creare l'utente nel sistema gestito e assegnare all'utente autorizzazioni e ruoli specifici.

Creare un account utente per le operazioni di sistema orchestrate in Microsoft Active Directory

Per Microsoft Active Directory:

È possibile utilizzare un account amministratore di Microsoft Windows 2008 Server (Domain Controller) per le operazioni. In alternativa, è possibile creare un account utente e assegnare i diritti minimi richiesti all'account utente.

Per creare l'account utente Microsoft Active Directory per le operazioni, effettuare le operazioni riportate di seguito.

Per informazioni dettagliate sull'esecuzione di questa procedura, vedere anche la documentazione di Microsoft Active Directory.

  1. Creare un gruppo (ad esempio, AGGroup) sul sistema. Durante la creazione del gruppo, selezionare Gruppo di sicurezza come tipo di gruppo e Globale o Universale come ambito del gruppo.
    Nota

    In un'impostazione del dominio padre-figlio, creare il gruppo nel dominio padre.
  2. Se si sta impostando il sistema orchestrato in modalità sistema gestito, è necessario rendere questo gruppo un membro del gruppo Operatori account.
  3. Se si sta impostando il sistema orchestrato in modalità sistema gestito, impostare le autorizzazioni riportate di seguito per consentire al gruppo Utenti autenticati.
    • Crea tutti gli oggetti figlio
    • Elimina tutti gli abject figlio
  4. Assegna tutte le autorizzazioni di lettura a questo gruppo. Se nella foresta sono presenti diversi domini figlio, eseguire l'accesso a ciascun dominio figlio e aggiungere il gruppo precedente al gruppo Operatori account di ogni dominio figlio.
    Nota

    Le autorizzazioni di lettura vengono assegnate nella scheda Sicurezza della finestra di dialogo Proprietà per l'account utente. Questa scheda viene visualizzata solo nella vista Funzioni avanzate. Per passare a questa vista, selezionare Funzioni avanzate dal menu Visualizza di Microsoft Active Directory Console.
  5. Creare un utente (ad esempio, AGUser) nel sistema di destinazione. Nell'impostazione di un dominio padre-figlio, creare l'utente nel dominio padre.
  6. Rendere l'utente un membro del gruppo (ad esempio, AGGroup) creato nel Passo 1.

Creare un account utente per le operazioni di sistema orchestrate in Microsoft Active Directory Lightweight Directory Services (AD LDS)

Per Microsoft Active Directory Lightweight Directory Services (AD LDS):

È necessario creare e utilizzare un account utente membro del gruppo Administrators per eseguire operazioni.

Per creare l'account utente di Microsoft Active Directory Lightweight Directory Services (AD LDS) per le operazioni, procedere come segue.

Vedere anche: documentazione di Microsoft Active Directory Lightweight Directory Services (AD LDS) per informazioni dettagliate sull'esecuzione di questa procedura.

  1. Creare un account utente in Microsoft Active Directory Lightweight Directory Services (AD LDS).
  2. Impostare una password per l'account utente.
  3. Abilitare l'account utente impostando il campo msDS-UserAccountDisabled su false.
  4. Assicurarsi che i campi msDS-UserDontExpirePassword e ms-DS-UserPasswordNotRequired siano disponibili.
  5. Immettere un valore nel campo userPrincipalName.
    Nota

    Il valore deve essere nel formato username@domain_name, ad esempio: OAGuser@example.com.
  6. Aggiungere il nome distinto (DN) dell'utente al gruppo Administrators.
Nota

Per creare un account utente per l'esecuzione di operazioni in un'istanza standalone di Microsoft Active Directory Lightweight Directory Services (AD LDS), attenersi alla procedura riportata di seguito.
  1. Creare un account utente nel computer standalone.
  2. Aggiungere l'utente appena creato al gruppo di amministratori AD LDS: CN=Administrators,CN=Roles,DC=X.

Configura

È possibile stabilire una connessione tra Microsoft Active Directory e Oracle Access Governance immettendo i dettagli di connessione. A tale scopo, utilizzare la funzionalità dei sistemi orchestrati disponibile in Oracle Access Governance Console.

Passa alla pagina Sistemi orchestrati

La pagina Sistemi orchestrati di Oracle Access Governance Console consente di avviare la configurazione del sistema orchestrato.

Passare alla pagina Sistemi orchestrati di Oracle Access Governance Console, effettuando le operazioni riportate di seguito.
  1. Dall'icona Menu di navigazione del menu di navigazione di Oracle Access Governance selezionare Amministrazione servizi → Sistemi orchestrati.
  2. Selezionare il pulsante Aggiungi un sistema orchestrato per avviare il workflow.

Seleziona sistema

Nel passo Seleziona sistema del workflow è possibile specificare il tipo di sistema che si desidera integrare con Oracle Access Governance.

È possibile cercare il sistema richiesto in base al nome utilizzando il campo Cerca.

  1. Selezionare Microsoft Active Directory.
  2. Selezionare Next.

Aggiungi dettagli

Aggiungere dettagli quali nome, descrizione e modalità di configurazione.

Nel passo Aggiungi dettagli del flusso di lavoro, immettere i dettagli del sistema orchestrato.
  1. Immettere il nome del sistema a cui si desidera connettersi nel campo Nome.
  2. Immettere una descrizione nel campoDescrizione per il sistema.
  3. Decidere se il sistema orchestrato è un'origine affidabile e se Oracle Access Governance può gestire le autorizzazioni impostando le caselle di controllo riportate di seguito.
    • Questa è l'origine affidabile per le identità personali

      Selezionare una delle seguenti opzioni:

      • Origine delle identificative e dei relativi attributi: il sistema funge da identità di origine e attributi associati. Le nuove identità vengono create con questa opzione.
      • Solo origine degli attributi di identità: il sistema acquisisce ulteriori dettagli sugli attributi di identità e li applica alle identità esistenti. Questa opzione non include o crea nuovi record di identità.
    • Desidero gestire le autorizzazioni per questo sistema
    Il valore predefinito in ogni caso è Non selezionato.
  4. Selezionare Next.
Nota

Il sistema orchestrato di Microsoft Active Directory consente di gestire i gruppi in Microsoft Active Directory utilizzando l'opzione Voglio gestire le raccolte di identità per questo sistema orchestrato. Se selezionata, questa casella di controllo consente di gestire i gruppi di Microsoft Active Directory dall'interno di Oracle Access Governance. Eventuali modifiche apportate ai gruppi di Microsoft Active Directory verranno riconciliate tra Oracle Access Governance e il sistema orchestrato. Analogamente, qualsiasi modifica apportata in Microsoft Active Directory si rifletterà in Oracle Access Governance

Aggiungi proprietari

Aggiungere proprietari principali e aggiuntivi al sistema orchestrato per consentire loro di gestire le risorse.

È possibile associare la proprietà delle risorse aggiungendo proprietari principali e aggiuntivi. Il servizio self-service consente ai proprietari di gestire (leggere, aggiornare o eliminare) le risorse di cui sono proprietari. Per impostazione predefinita, l'autore della risorsa viene designato come proprietario della risorsa. È possibile assegnare un proprietario principale e fino a 20 proprietari aggiuntivi per le risorse.
Nota

Quando si imposta il primo sistema orchestrato per l'istanza del servizio, è possibile assegnare i proprietari solo dopo aver abilitato le identità dalla sezione Gestisci identità.
Per aggiungere proprietari:
  1. Selezionare un utente attivo di Oracle Access Governance come proprietario principale nel campo Chi è il proprietario principale?.
  2. Selezionare uno o più proprietari aggiuntivi nell'elenco Chi altro lo possiede?. È possibile aggiungere fino a 20 proprietari aggiuntivi per la risorsa.
È possibile visualizzare il proprietario principale nell'elenco. Tutti i proprietari possono visualizzare e gestire le risorse di cui sono proprietari.

Impostazioni account

Descrive i dettagli su come gestire le impostazioni dell'account durante l'impostazione del sistema orchestrato, incluse le impostazioni di notifica e le azioni predefinite quando un'identità si sposta o esce dall'organizzazione.

Nel passo Impostazioni account del workflow, immettere la modalità di gestione degli account da parte di Oracle Access Governance quando il sistema è configurato come sistema gestito.
  1. Quando viene richiesta un'autorizzazione e l'account non esiste già, selezionare questa opzione per creare nuovi account. Questa opzione è selezionata per impostazione predefinita. Quando questa opzione è selezionata, Oracle Access Governance crea un account se non ne esiste uno quando viene richiesta un'autorizzazione. Se si deseleziona questa opzione, viene eseguito il provisioning delle autorizzazioni solo per gli account esistenti nel sistema orchestrato. Se non esiste alcun account, l'operazione di provisioning non riesce.
  2. Selezionare i destinatari dei messaggi di posta elettronica di notifica quando viene creato un account. Il destinatario predefinito è Utente. Se non viene selezionato alcun destinatario, le notifiche non vengono inviate quando vengono creati gli account.
    • Utente
    • Responsabile utenti
  3. Configura account esistenti
    Nota

    È possibile impostare queste configurazioni solo se consentito dall'amministratore di sistema. Quando le impostazioni di cessazione dell'account globale sono abilitate, gli amministratori dell'applicazione non possono gestire le impostazioni di cessazione dell'account a livello di sistema orchestrato.
    1. Selezionare le azioni da eseguire con i conti all'inizio della cessazione anticipata: scegliere l'azione da eseguire all'inizio di una cessazione anticipata. Ciò si verifica quando è necessario revocare gli accessi di identità prima della data di cessazione ufficiale.
      • Elimina: elimina tutti gli account e le autorizzazioni gestiti da Oracle Access Governance.
        Nota

        Se un sistema orchestrato specifico non supporta l'azione, non viene eseguita alcuna azione.
      • Disabilita: disabilita tutti gli account e disabilita le autorizzazioni gestite da Oracle Access Governance.
        • Eliminare le autorizzazioni per gli account disabilitati: per garantire zero accessi residui, selezionare questa opzione per eliminare le autorizzazioni assegnate direttamente e le autorizzazioni concesse dai criteri durante la disabilitazione dell'account.
      • Nessuna azione: non viene eseguita alcuna azione quando un'identità viene contrassegnata per l'interruzione anticipata da Oracle Access Governance.
    2. Selezionare le azioni da eseguire con i conti alla data di cessazione: selezionare l'azione da eseguire durante la cessazione ufficiale. Ciò si verifica quando è necessario revocare gli accessi di identità alla data di cessazione ufficiale.
      • Elimina: elimina tutti gli account e le autorizzazioni gestiti da Oracle Access Governance.
        Nota

        Se un sistema orchestrato specifico non supporta l'azione Elimina, non viene eseguita alcuna azione.
      • Disabilita: disabilita tutti gli account e disabilita le autorizzazioni gestite da Oracle Access Governance.
        • Eliminare le autorizzazioni per gli account disabilitati: per garantire zero accessi residui, selezionare questa opzione per eliminare le autorizzazioni assegnate direttamente e le autorizzazioni concesse dai criteri durante la disabilitazione dell'account.
        Nota

        Se un sistema orchestrato specifico non supporta l'azione Disabilita, l'account viene eliminato.
      • Nessuna azione: Oracle Access Governance non esegue alcuna azione sugli account e sulle autorizzazioni.
  4. Quando un'identità lascia l'azienda, è necessario rimuovere l'accesso ai propri account.
    Nota

    È possibile impostare queste configurazioni solo se consentito dall'amministratore di sistema. Quando le impostazioni di cessazione dell'account globale sono abilitate, gli amministratori dell'applicazione non possono gestire le impostazioni di cessazione dell'account a livello di sistema orchestrato.

    Selezionare una delle azioni seguenti per l'account:

    • Elimina: consente di eliminare tutti gli account e le autorizzazioni gestiti da Oracle Access Governance.
    • Disabilita: disabilita tutti gli account e contrassegna le autorizzazioni come inattive.
      • Eliminare le autorizzazioni per gli account disabilitati: eliminare le autorizzazioni assegnate direttamente e concesse dai criteri durante la disabilitazione dell'account per garantire zero accessi residui.
    • Nessuna azione: non eseguire alcuna azione quando un'identità lascia l'organizzazione.
    Nota

    Queste azioni sono disponibili solo se supportate dal tipo di sistema orchestrato. Ad esempio, se Elimina non è supportato, verranno visualizzate solo le opzioni Disabilita e Nessuna azione.
  5. Quando vengono rimosse tutte le autorizzazioni per un account, ad esempio quando un'identità si sposta tra i reparti, potrebbe essere necessario decidere cosa fare con l'account. Selezionare una delle seguenti azioni, se supportata dal tipo di sistema orchestrato:
    • Elimina
    • Disabilita
    • Nessuna azione
  6. Gestisci account non creati da Access Governance: selezionare questa opzione per gestire gli account creati direttamente nel sistema orchestrato. Ciò consente di riconciliare i conti esistenti e di gestirli da Oracle Access Governance.
Nota

Se non si configura il sistema come sistema gestito, questo passo del workflow verrà visualizzato ma non è abilitato. In questo caso si passa direttamente al passo Impostazioni di integrazione del workflow.
Nota

Se il sistema orchestrato richiede la ricerca automatica dinamica degli schemi, come per le integrazioni delle tabelle applicazioni REST e di database generiche, è possibile impostare solo la destinazione e-mail di notifica (Utente, Usermanager) durante la creazione del sistema orchestrato. Impossibile impostare le regole di disabilitazione/eliminazione per movers e leavers. A tale scopo, è necessario creare il sistema orchestrato, quindi aggiornare le impostazioni dell'account come descritto in Configura impostazioni account di sistema orchestrato.

Impostazioni di integrazione

Immettere i dettagli della connessione al sistema Microsoft Active Directory.

  1. Nel passo Impostazioni di integrazione del flusso di lavoro, immettere i dettagli necessari per connettersi al sistema Microsoft Active Directory.

    Impostazioni di integrazione
    Nome di parametro Obbligatorio? Descrizione
    Che cos'è il nome host? Nome host o indirizzo IP per la directory che si desidera integrare con Oracle Access Governance, ad esempio example.com, 172.20.55.120.
    Che cos'è il numero di porta? Valore del numero di porta TCP/IP utilizzato per comunicare con il server LDAP. L'impostazione predefinita è 636.
    Che cos'è il principal? Nome distinto con cui autenticare il server LDAP.

    Questo è l'utente creato in Crea un account utente.
    Che cos'è la password? La password del nome distinto della destinazione.
    Conferma password Conferma la password.
    Che cos'è il contesto di base? Immettere un contesto di base da cui iniziare le ricerche di utenti e gruppi. Ad esempio, OU=new,DC=test,DC=com.
    Il filtro di ricerca account? N

    Immettere il filtro di ricerca LDAP a cui ogni account deve corrispondere per essere incluso nei risultati di ricerca. Di seguito vengono riportati alcuni esempi.

    1. Valore predefinito: objectClass=*
    2. Restituisce tutti i conti persona in cui il nome del conto termina con "a" nel nome del conto e il tipo di dipendente "ADM". 
      (&(objectCategory=person)(sAMAccountName=*a)(employeeType=ADM))
    3. Restituisce tutti gli account utente classificati come "persona" con un tipo di dipendente "EMP" o "NON", utilizza
      (&(objectCategory=person)(objectClass=user)(|(employeeType=EMP)(employeeType=NON)))
    Che cos'è il server di failover? N Immettere una lista di server di failover nel formato <servername>:<port>, <servername>:<port>, ..., ad esempio ADExample1:636, ADExample1:636, ....
    SSL abilitato Assicurarsi che il valore true sia selezionato.

    Di seguito sono riportati i passi per configurare SSL sull'agente.

    1. Utilizzare JDK per installare ed eseguire un agente.
    2. Nell'ambito del processo di installazione dell'agente, copiare cacerts di JDK utilizzato per l'agente nella directory di installazione dell'agente.
    3. Importare il certificato AD nel file cacerts precedente utilizzando il comando
      <%JAVA_HOME%>/bin/keytool -import -alias OIGAD-cert -file <AD-cert-file> -keystore <agent-install-dir>/cacerts
    4. Config.properties deve includere quanto segue:
      JAVA_OPTS=-Djavax.net.ssl.trustStore=/app/cacerts-Djavax.net.ssl.trustStorePassword=changeit
    Che cos'è il nome dominio? Nome del dominio Windows, ad esempio windowsdomain.mycompany.com.
    Utilizzare il catalogo globale per eseguire una ricerca di oggetti a livello di foresta?

    È possibile cercare oggetti (ad esempio utenti, gruppi e risorse) nell'intera foresta di Microsoft Active Directory, anziché limitare le query a un singolo dominio.

    • No, non utilizzare il catalogo globale: recupera solo gli oggetti dal dominio padre, esclusi i domini figlio nella foresta.

    • Sì, usa catalogo globale su non SSL: consente la ricerca tra domini padre e figlio (intera foresta) utilizzando una connessione non sicura. Questo è applicabile solo durante l'operazione di caricamento dati utilizzando la porta globale 3268.

    • Sì, usa catalogo globale su ssl: consente la ricerca tra domini padre e figlio (intera foresta) utilizzando una connessione sicura. Ciò è applicabile solo durante l'operazione di caricamento dati utilizzando la porta globale 3269.
    Che cosa sono le classi oggetto account? Classe o classi oggetto che verranno utilizzate per la creazione di oggetti utente nella struttura LDAP.
    Che cosa sono le classi oggetto dell'organizzazione? Specificare le classi oggetto per l'organizzazione, l'unità organizzativa e il contenitore in Microsoft Active Directory.
    Qual è il livello di ambito della ricerca LDAP?

    • Cerca l'oggetto base (OBJECT): limita la ricerca solo all'oggetto base specificato. Utilizzare questa opzione quando è necessario recuperare o verificare un singolo oggetto directory.

    • Cercare elementi figlio immediati di un oggetto base (ONE_LEVEL): consente di cercare solo il contenitore specificato nel contesto di base, esclusi i relativi contenitori figlio. Ad esempio, se la base di ricerca è OU=abc,DC=corp,DC=com, verrà eseguita la ricerca solo nell'unità organizzativa abc.

    • Cerca tutti gli oggetti figlio e l'oggetto base (SUBTREE): ricerca l'oggetto base e tutti i relativi discendenti nella directory. Ad esempio, se il contesto di base è impostato su OU=abc,DC=corp,DC=com, la ricerca riguarderà sia l'unità operativa abc che tutte le unità operative figlio.
    Qual è il tipo di invii a consulto?

    Un referral consente di instradare le query su più server LDAP. Ciò è utile per le operazioni di provisioning e gestione degli account.

    • Ignora referral: i referral non vengono seguiti e il provisioning viene eseguito solo all'interno del dominio padre.

    • Segui i referral automaticamente: tutti i referral vengono seguiti dall'integrazione di Oracle Access Governance, supportando le operazioni di caricamento e provisioning dei dati in diversi sottodomini in un'unica foresta.

    • Esegui eccezione quando viene rilevata una segnalazione: selezionare questa opzione se qualsiasi segnalazione restituita dalla query LDAP deve essere segnalata come errore.
    Quali sono i nomi degli attributi di destinazione del tipo di data personalizzato? N

    Immettere un elenco di nomi di attributi di sistema di destinazione personalizzati con tipo di sintassi Large Integer che richiedono la trasformazione in un formato numerico compatibile con LDAP.
    Questo Active Directory è un ambiente Lightweight Directory Services (AD LDS)? N Selezionare questa casella di controllo se si sta configurando questa istanza come istanza di Active Directory Lightweight Directory Services (AD LDS).

    Per impostazione predefinita, è false.

    Nota: in AD LDS sono presenti i prerequisiti per gli attributi dello schema. È necessario rivedere Attributi supportati predefiniti.
  2. Selezionare Aggiungi per creare il sistema orchestrato.

Termina

Completare la configurazione del sistema orchestrato specificando se eseguire ulteriori personalizzazioni o attivare ed eseguire un caricamento dati.

Il passo finale del workflow è Fine.

Nel passo Fine del flusso di lavoro viene richiesto di scaricare l'agente che verrà utilizzato per l'interfaccia tra Oracle Access Governance e Microsoft Active Directory. Selezionare il collegamento Scarica per scaricare il file zip dell'agente nell'ambiente in cui verrà eseguito l'agente.

Dopo aver scaricato l'agente, seguire le istruzioni spiegate nell'articolo Amministrazione agente.

Infine, è possibile scegliere se configurare ulteriormente il sistema orchestrato prima di eseguire un caricamento dati oppure accettare la configurazione predefinita e avviare un caricamento dati. Selezioni una sola opzione tra:
  • Personalizzare prima di abilitare il sistema per i caricamenti dati
  • Attivare e preparare il caricamento dati con le impostazioni predefinite fornite

Postconfigurazione

Non sono presenti passi successivi alla configurazione associati a un sistema Microsoft Active Directory.