Documentazione dell'infrastruttura Oracle Cloud

Integrazione con le tabelle dell'applicazione di database

Panoramica: integrazione di Oracle Access Governance con le tabelle dell'applicazione di database

Oracle Access Governance può essere integrato con le tabelle delle applicazioni di database, abilitando l'orchestrazione delle identità, inclusa l'onboarding dei dati di identità (utente) e il provisioning degli account.

Le tabelle dell'applicazione di database possono essere definite come applicazioni personalizzate basate su database. In termini di amministrazione delle identità, queste applicazioni sono caratterizzate dai seguenti elementi:
  • Le applicazioni non dispongono di API per l'amministrazione delle identità
  • Ogni applicazione può avere un set diverso di schemi per i dati di identità, account e autorizzazione
  • Lo schema dell'applicazione non è noto a Oracle Access Governance prima di configurare ed eseguire l'integrazione
  • Nessun mapping diretto tra le tabelle del database dell'applicazione e le entità di Oracle Access Governance
  • Non esiste un pattern comune per l'organizzazione dei dati di identità all'interno dello schema dell'applicazione. I dati di identità possono trovarsi in una singola tabella o essere distribuiti in più tabelle

L'integrazione delle tabelle dell'applicazione di database consente lo scambio di dati utente tra un database clienti e Oracle Access Governance.

L'integrazione delle tabelle applicazione database supporta gli elementi riportati di seguito.
  • Tabelle dell'applicazione di database come origine affidabile delle informazioni di identità che consentono la riconciliazione delle identità create o modificate nelle tabelle di database.
  • Tabelle dell'applicazione di database come sistema gestito che consente il provisioning degli account dell'applicazione nelle tabelle di database.

Panoramica di Database Application Tables Integration Architecture

L'integrazione con le tabelle dell'applicazione di database consente di recuperare i dati di identità da un sistema, trasportarli in Oracle Access Governance e includerli. Una volta connesso un sistema, è possibile eseguire i task e le operazioni di provisioning e correzione, ad esempio creare, riconciliare, aggiornare, eliminare, disabilitare/abilitare, aggiungere/eliminare l'autorizzazione e aggiungere/eliminare il gruppo, che si riflettono nel sistema gestito.


Architettura DBAT

Figura 1. Architettura DBAT
L'integrazione delle tabelle dell'applicazione di database viene implementata utilizzando un tipo di connessione basato su agente. Ciò significa che non è disponibile una connessione diretta, pertanto viene effettuata una connessione indiretta tra Oracle Access Governance e l'istanza di database richiesta utilizzando Access Governance Agent. L'integrazione delle tabelle applicazione database supporta le modalità riportate di seguito.
  • Se si seleziona la modalità di configurazione Origine autorevole quando si imposta un sistema orchestrato di tabelle di applicazioni di database, Oracle Access Governance recupererà i dati di identità dall'istanza di database e li considererà come un'origine affidabile delle informazioni di identità.
  • Se si seleziona la modalità di configurazione dei sistemi gestiti, Oracle Access Governance consentirà di gestire gli account utente nel database di destinazione. Ciò consente il provisioning di nuovi account nelle istanze di database dei clienti da Oracle Access Governance.

Per identificare lo schema pertinente per l'integrazione, l'integrazione Tabelle applicazioni database offre la ricerca automatica dello schema. Processo di identificazione dello schema di database di base contenente i dati utente. Il supporto viene fornito per lo schema limitato Day-0 e le modifiche successive nello schema utente sono gestite dal supporto Day-N, che consente di aggiornare lo schema con le modifiche apportate alle tabelle di database e di applicarle allo schema trovato.

I dettagli delle tabelle del database utenti pertinenti vengono forniti durante la creazione dell'agente. I dettagli dello schema vengono memorizzati in un file di schema, che si trova con l'agente. I dettagli dello schema possono essere aggiornati modificando direttamente questo file in base alle esigenze.

La connessione al database contenente le tabelle utente viene effettuata tramite una connessione al database JDBC. Ciò consente all'agente di:
  • Scoprire lo schema per l'applicazione basata su database
  • Esegui tracciati dati
  • Esegui provisioning degli account

Ogni volta che viene eseguito il caricamento, in Oracle Access Governance viene eseguito un carico completo di dati di identità e account pertinenti. Se questa è la prima volta che viene eseguito il caricamento, in Oracle Access Governance vengono create le strutture di identità e account pertinenti. Nelle successive esecuzioni di caricamento dei dati, tutti i dati vengono caricati in Oracle Access Governance e il processo di inclusione aggiorna eventuali modifiche dall'ultimo caricamento dei dati negli artifact di identità e account appropriati.

Una volta configurato il sistema orchestrato, puoi eseguire il provisioning degli account utilizzando il motore di provisioning di Oracle Access Governance che eseguirà qualsiasi richiesta di account o autorizzazioni e lo passerà all'agente e successivamente al database di destinazione. Il provisioning supporta le operazioni di creazione, aggiornamento e revoca.

Nel caso in cui il file di schema venga perso o danneggiato in qualsiasi modo, l'integrazione delle tabelle dell'applicazione di database fornisce il recupero del file di schema. Ciò è utile in scenari quali il crash di un agente o la perdita del file di schema.

Panoramica funzionale integrazione tabelle applicazione database

L'integrazione delle tabelle dell'applicazione di database supporta gli usi, tra cui la configurazione del sistema orchestrato, il caricamento dei dati, la creazione e la revoca degli account, la modifica della password e l'assegnazione e la rimozione dei ruoli.

Funzioni di integrazione supportate

L'integrazione delle tabelle dell'applicazione di database con Oracle Access Governance supporta le funzioni riportate di seguito.
  • Configura sistema orchestrato
  • Carica dati
  • Creare l'account
  • Assegna autorizzazioni
  • Rimuovi permessi
  • Modifica password
  • Revoca account

Per i dettagli completi delle funzioni supportate, consulta Panoramica funzionale su Oracle Access Governance Integration

Ciclo di vita account di esempio

Di seguito è riportato un esempio. È stato creato un nuovo sistema orchestrato connesso all'istanza di database MyDBAT che contiene i dati utente per l'organizzazione. Il sistema orchestrato è configurato per le modalità Origine affidabile e Sistema gestito. Nel primo caricamento dati, i dati di identità e account vengono caricati in Oracle Access Governance. In Oracle Access Governance vengono creati i dettagli riportati di seguito.
  • Viene creata un'identità Oracle Access Governance, ad esempio MyAGIdentity, che comprende dati autorevoli come nome, e-mail e posizione.
  • Un account viene creato in Oracle Access Governance per i ruoli delle tabelle applicazioni di database esistenti, ad esempio DBATRole_Composer.
Ora abbiamo quanto segue:
  • MyAGIdentity
    • MyDBATAccount
      • DBATRole_Composer

Dopo qualche tempo MyAGIdentity si sposta in una nuova posizione all'interno della propria organizzazione che richiede il ruolo di sviluppatore. In Oracle Access Governance viene creato un bundle di accesso DBATBundle_Developer contenente le autorizzazioni di sviluppo necessarie. Questo bundle accessi può essere assegnato come risultato di un criterio, un ruolo o una richiesta. Si supponga che l'utente richieda il bundle accessi utilizzando l'opzione Richiedi un nuovo accesso. All'approvazione, la richiesta attiva un'operazione di provisioning che applica le modifiche a MyDBAT, assegnando i ruoli delle tabelle dell'applicazione di database corrispondenti alle autorizzazioni contenute nel bundle accessi DBATBundle_Developer.

Ora abbiamo quanto segue:
  • MyAGIdentity
    • MyDBATAccount
      • DBATRole_Composer
      • DBATBundle_Developer
Gli account aggiuntivi possono essere mappati all'identità MyAGIdentity nel tempo da altri sistemi gestiti che ci forniscono un profilo simile al seguente:
  • MyAGIdentity
    • MyDBATAccount
    • MyOracleDBAccount
    • MyMSTeamsAccount

Per modificare la password, è necessario specificare MyAGIdentity. Utilizzando la funzionalità Accesso personale in Oracle Access Governance Console, modificano la password, propagando la modifica a MyDBAT utilizzando il provisioning di Oracle Access Governance.

MyAGIdentity passa quindi a un ruolo che significa che non richiede più un account su MyDBAT. In questo caso, è possibile generare un task di revoca del provisioning dell'account revocando l'account dell'identità nell'ambito di una revisione degli accessi. In alternativa, è possibile rimuovere l'associazione con i ruoli del database clienti rimuovendo l'identità dal ruolo o dal criterio di Oracle Access Governance pertinente. In entrambi i casi, ciò comporterà un task di provisioning che revocerà l'account dal database dei clienti, insieme a eventuali ruoli correlati. Il profilo ora assomiglia a:
  • MyAGIdentity
    • MyOracleDBAccount
    • MyMSTeamsAccount

Se il sistema orchestrato delle tabelle dell'applicazione di database è configurato in modalità Origine autore e si rende un'identità inattiva, l'identità MyAGIdentity viene effettivamente disabilitata. In questo caso, verrà generato e applicato un task di provisioning al sistema gestito.

Ora abbiamo quanto segue:
  • MyAGIdentity (disabilitato)