Documentazione dell'infrastruttura Oracle Cloud

Integrazione con Gestione utenti database (Oracle)

Il connettore Gestione utenti database integra Oracle Access Governance con le tabelle di gestione degli utenti del database in Oracle Database. È possibile stabilire una connessione tra Oracle Database e Oracle Access Governance immettendo i dettagli di connessione e configurando il connettore. A tale scopo, utilizzare la funzionalità Sistemi orchestrati disponibile in Oracle Access Governance Console.

Requisiti indispensabili

Prima di installare e configurare un sistema orchestrato di Gestione utenti database (Oracle), è necessario considerare i prerequisiti e i task riportati di seguito.

Componenti certificati

È possibile integrare uno qualsiasi dei seguenti tipi di Oracle Database con Oracle Access Governance:

  • Exadata V2.
  • Oracle Database 12c come implementazione di un singolo database, pluggable database (PDB) o Oracle RAC.
  • Oracle Database 18c come implementazione di un singolo database, pluggable database (PDB) o Oracle RAC.
  • Oracle Database 19c come implementazione di un singolo database, pluggable database (PDB) o Oracle RAC.
  • Oracle Database 23ai come implementazione di un singolo database, pluggable database (PDB) o Oracle RAC.
  • Oracle Autonomous Database

Operazioni supportate

Il sistema orchestrato Gestione utenti database (Oracle) supporta le operazioni riportate di seguito.

  • Crea utente
  • Reimposta password
  • Aggiungi ruolo
  • Revoca ruoli
  • Aggiungi privilegi
  • Revoca privilegi

Attributi supportati predefiniti

Il sistema orchestrato Gestione utenti database (Oracle) supporta i seguenti attributi predefiniti.

Attributi predefiniti - Gestisci modalità autorizzazione
Entità utente DBUM Attributo conto di destinazione Attributo conto Oracle Access Governance
ID restituito uid
Nome utente nome
Tipo di autenticazione authenticationType
DN globale globalDN
Tablespace predefinita defaultTablespace
Quota tablespace predefinita (in MB) defaultTablespaceQuotaInMB
Tablespace temporanea temporaryTablespace
Nome profilo profileName
Stato conto accountStatus
Stato stato
Password password

Mansione

I ruoli DBUM (Oracle) sono mappati alle abilitazioni di Oracle Access Governance
adminOption roleAdminOption

Privilegio

I privilegi DBUM (Oracle) sono mappati alle abilitazioni di Oracle Access Governance
adminOption privilegeAdminOption

Regola di corrispondenza predefinita

Regola di corrispondenza predefinita per il sistema orchestrato Gestione utenti database (Oracle)

è:
Regole di corrispondenza predefinite
Modalità Regola di corrispondenza predefinita
Gestisci autorizzazioni userNameOracle = userLogin

Creare un account utente di sistema di destinazione per le operazioni di sistema orchestrate Gestione utenti database (Oracle)

Oracle Access Governance richiede un account utente per accedere al sistema durante le operazioni di servizio. A seconda del sistema in uso, è possibile creare l'utente e assegnargli autorizzazioni e ruoli specifici.

Per il database Oracle:

  1. Creare un utente del servizio utilizzando la seguente istruzione SQL:
    CREATE USER agserviceuser IDENTIFIED BY password
DEFAULT TABLESPACE users
TEMPORARY TABLESPACE temp QUOTA UNLIMITED ON users;
  2. Assegnare le autorizzazioni e i ruoli seguenti all'utente del servizio creato:
    GRANT SELECT on dba_role_privs TO agserviceuser;
GRANT SELECT on dba_sys_privs TO agserviceuser;
GRANT SELECT on dba_ts_quotas TO agserviceuser;
GRANT SELECT on dba_tablespaces TO agserviceuser;
GRANT SELECT on dba_users TO agserviceuser;
GRANT CREATE USER TO agserviceuser;
GRANT ALTER ANY TABLE TO agserviceuser;
GRANT GRANT ANY PRIVILEGE TO agserviceuser;
GRANT GRANT ANY ROLE TO agserviceuser;
GRANT DROP USER TO agserviceuser;
GRANT SELECT on dba_roles TO agserviceuser;
GRANT SELECT ON dba_profiles TO agserviceuser;
GRANT ALTER USER TO agserviceuser;
GRANT CREATE ANY TABLE TO agserviceuser;
GRANT DROP ANY TABLE TO agserviceuser;
GRANT CREATE ANY PROCEDURE TO agserviceuser;
GRANT DROP ANY PROCEDURE TO agserviceuser;

Configura

È possibile stabilire una connessione tra Oracle Database e Oracle Access Governance immettendo i dettagli di connessione e configurando l'ambiente di database. A tale scopo, utilizzare la funzionalità Sistemi orchestrati disponibile in Oracle Access Governance Console.

Passa alla pagina Sistemi orchestrati

Passare alla pagina Sistemi orchestrati di Oracle Access Governance Console, effettuando le operazioni riportate di seguito.
  1. Dall'icona Menu di navigazione del menu di navigazione di Oracle Access Governance selezionare Amministrazione servizi → Sistemi orchestrati.
  2. Selezionare il pulsante Aggiungi un sistema orchestrato per avviare il workflow.

Seleziona sistema

Nel passo Seleziona sistema del flusso di lavoro, specificare il tipo di sistema da inserire. È possibile cercare il sistema richiesto in base al nome utilizzando il campo Cerca.

  1. Selezionare la casella Gestione utenti database (Oracle DB). Una volta selezionato, il valore Gestione utenti database (Oracle DB) viene visualizzato sul lato destro in Informazioni selezionate.
  2. Fare clic su Avanti.

Immettere i dettagli

Nel passo Aggiungi dettagli del flusso di lavoro, immettere i dettagli del sistema orchestrato.
  1. Immettere il nome del sistema a cui si desidera connettersi nel campo Nome.
  2. Immettere una descrizione nel campo Descrizione per il sistema.
  3. Decidere se il sistema orchestrato è un'origine affidabile e se Oracle Access Governance può gestire le autorizzazioni impostando le caselle di controllo riportate di seguito.
    • Questa è l'origine affidabile per le identità personali

      Selezionare una delle seguenti opzioni:

      • Origine delle identificative e dei relativi attributi: il sistema funge da identità di origine e attributi associati. Le nuove identità vengono create con questa opzione.
      • Solo origine degli attributi di identità: il sistema acquisisce ulteriori dettagli sugli attributi di identità e li applica alle identità esistenti. Questa opzione non include o crea nuovi record di identità.
    • Desidero gestire le autorizzazioni per questo sistema
    Il valore predefinito in ogni caso è Non selezionato.
  4. Selezionare Next.

Aggiungi proprietari

È possibile associare la proprietà delle risorse aggiungendo proprietari principali e aggiuntivi. Il servizio self-service consente ai proprietari di gestire (leggere, aggiornare o eliminare) le risorse di cui sono proprietari. Per impostazione predefinita, l'autore della risorsa viene designato come proprietario della risorsa. È possibile assegnare un proprietario principale e fino a 20 proprietari aggiuntivi per le risorse.
Nota

Quando si imposta il primo sistema orchestrato per l'istanza del servizio, è possibile assegnare i proprietari solo dopo aver abilitato le identità dalla sezione Gestisci identità.
Per aggiungere proprietari:
  1. Selezionare un utente attivo di Oracle Access Governance come proprietario principale nel campo Chi è il proprietario principale?.
  2. Selezionare uno o più proprietari aggiuntivi nell'elenco Chi altro lo possiede?. È possibile aggiungere fino a 20 proprietari aggiuntivi per la risorsa.
È possibile visualizzare il proprietario principale nell'elenco. Tutti i proprietari possono visualizzare e gestire le risorse di cui sono proprietari.

Impostazioni account

Nel passo Impostazioni account del workflow, immettere la modalità di gestione degli account da parte di Oracle Access Governance quando il sistema è configurato come sistema gestito.
  1. Quando viene richiesta un'autorizzazione e l'account non esiste già, selezionare questa opzione per creare nuovi account. Questa opzione è selezionata per impostazione predefinita. Quando questa opzione è selezionata, Oracle Access Governance crea un account se non ne esiste uno quando viene richiesta un'autorizzazione. Se si deseleziona questa opzione, viene eseguito il provisioning delle autorizzazioni solo per gli account esistenti nel sistema orchestrato. Se non esiste alcun account, l'operazione di provisioning non riesce.
  2. Selezionare i destinatari dei messaggi di posta elettronica di notifica quando viene creato un account. Il destinatario predefinito è Utente. Se non viene selezionato alcun destinatario, le notifiche non vengono inviate quando vengono creati gli account.
    • Utente
    • Responsabile utenti
  3. Configura account esistenti
    Nota

    È possibile impostare queste configurazioni solo se consentito dall'amministratore di sistema. Quando le impostazioni di cessazione dell'account globale sono abilitate, gli amministratori dell'applicazione non possono gestire le impostazioni di cessazione dell'account a livello di sistema orchestrato.
    1. Selezionare le azioni da eseguire con i conti all'inizio della cessazione anticipata: scegliere l'azione da eseguire all'inizio di una cessazione anticipata. Ciò si verifica quando è necessario revocare gli accessi di identità prima della data di cessazione ufficiale.
      • Elimina: elimina tutti gli account e le autorizzazioni gestiti da Oracle Access Governance.
        Nota

        Se un sistema orchestrato specifico non supporta l'azione, non viene eseguita alcuna azione.
      • Disabilita: disabilita tutti gli account e disabilita le autorizzazioni gestite da Oracle Access Governance.
        • Eliminare le autorizzazioni per gli account disabilitati: per garantire zero accessi residui, selezionare questa opzione per eliminare le autorizzazioni assegnate direttamente e le autorizzazioni concesse dai criteri durante la disabilitazione dell'account.
      • Nessuna azione: non viene eseguita alcuna azione quando un'identità viene contrassegnata per l'interruzione anticipata da Oracle Access Governance.
    2. Selezionare le azioni da eseguire con i conti alla data di cessazione: selezionare l'azione da eseguire durante la cessazione ufficiale. Ciò si verifica quando è necessario revocare gli accessi di identità alla data di cessazione ufficiale.
      • Elimina: elimina tutti gli account e le autorizzazioni gestiti da Oracle Access Governance.
        Nota

        Se un sistema orchestrato specifico non supporta l'azione Elimina, non viene eseguita alcuna azione.
      • Disabilita: disabilita tutti gli account e disabilita le autorizzazioni gestite da Oracle Access Governance.
        • Eliminare le autorizzazioni per gli account disabilitati: per garantire zero accessi residui, selezionare questa opzione per eliminare le autorizzazioni assegnate direttamente e le autorizzazioni concesse dai criteri durante la disabilitazione dell'account.
        Nota

        Se un sistema orchestrato specifico non supporta l'azione Disabilita, l'account viene eliminato.
      • Nessuna azione: Oracle Access Governance non esegue alcuna azione sugli account e sulle autorizzazioni.
  4. Quando un'identità lascia l'azienda, è necessario rimuovere l'accesso ai propri account.
    Nota

    È possibile impostare queste configurazioni solo se consentito dall'amministratore di sistema. Quando le impostazioni di cessazione dell'account globale sono abilitate, gli amministratori dell'applicazione non possono gestire le impostazioni di cessazione dell'account a livello di sistema orchestrato.

    Selezionare una delle azioni seguenti per l'account:

    • Elimina: consente di eliminare tutti gli account e le autorizzazioni gestiti da Oracle Access Governance.
    • Disabilita: disabilita tutti gli account e contrassegna le autorizzazioni come inattive.
      • Eliminare le autorizzazioni per gli account disabilitati: eliminare le autorizzazioni assegnate direttamente e concesse dai criteri durante la disabilitazione dell'account per garantire zero accessi residui.
    • Nessuna azione: non eseguire alcuna azione quando un'identità lascia l'organizzazione.
    Nota

    Queste azioni sono disponibili solo se supportate dal tipo di sistema orchestrato. Ad esempio, se Elimina non è supportato, verranno visualizzate solo le opzioni Disabilita e Nessuna azione.
  5. Quando vengono rimosse tutte le autorizzazioni per un account, ad esempio quando un'identità si sposta tra i reparti, potrebbe essere necessario decidere cosa fare con l'account. Selezionare una delle seguenti azioni, se supportata dal tipo di sistema orchestrato:
    • Elimina
    • Disabilita
    • Nessuna azione
  6. Gestisci account non creati da Access Governance: selezionare questa opzione per gestire gli account creati direttamente nel sistema orchestrato. Ciò consente di riconciliare i conti esistenti e di gestirli da Oracle Access Governance.
Nota

Se non si configura il sistema come sistema gestito, questo passo del workflow verrà visualizzato ma non è abilitato. In questo caso si passa direttamente al passo Impostazioni di integrazione del workflow.
Nota

Se il sistema orchestrato richiede la ricerca automatica dinamica degli schemi, come per le integrazioni delle tabelle applicazioni REST e di database generiche, è possibile impostare solo la destinazione e-mail di notifica (Utente, Usermanager) durante la creazione del sistema orchestrato. Impossibile impostare le regole di disabilitazione/eliminazione per movers e leavers. A tale scopo, è necessario creare il sistema orchestrato, quindi aggiornare le impostazioni dell'account come descritto in Configura impostazioni account di sistema orchestrato.

Impostazioni di integrazione

Nel passo Impostazioni di integrazione del workflow, immettere i dettagli di configurazione necessari per consentire a Oracle Access Governance di connettersi al database specificato.

  1. Nel campo URL di connessione semplice per database immettere la stringa di connessione per il database che si desidera integrare con Oracle Access Governance. Per Oracle Database utilizzare il formato host/porta/servizio/sid database. Per Oracle Autonomous Database utilizzare il formato jdbc:oracle:thin:@<SERVICE_NAME>? TNS_ADMIN=<WALLET-DIR> come descritto in Configura WALLET per Autonomous Database Integration.
  2. Nel campo Nome utente immettere l'utente DB che verrà utilizzato per connettersi al database. Questo è l'utente creato in Crea un account utente di sistema di destinazione per le operazioni di sistema orchestrato di Gestione utenti database (Oracle).
  3. Immettere la password dell'utente del database di destinazione nel campo Password. Confermare la password nel campo Conferma la password.
  4. In Proprietà connessione immettere le proprietà di connessione nel formato prop1=val1#prop2=val2
  5. Selezionare il riquadro di destra per visualizzare l'elemento selezionato. Se si è soddisfatti dei dettagli immessi, selezionare Aggiungi per creare il sistema orchestrato.

Termina

Nel passo Fine del workflow viene richiesto di scaricare l'agente che verrà utilizzato per l'interfaccia tra Oracle Access Governance e Oracle Database. Selezionare il collegamento Scarica per scaricare il file zip dell'agente nell'ambiente in cui verrà eseguito l'agente.

Dopo aver scaricato l'agente, seguire le istruzioni spiegate nell'articolo Amministrazione agente.

Infine, è possibile scegliere se configurare ulteriormente il sistema orchestrato prima di eseguire un caricamento dati oppure accettare la configurazione predefinita e avviare un caricamento dati. Selezioni una sola opzione tra:
  • Personalizzare prima di abilitare il sistema per i caricamenti dati
  • Attivare e preparare il caricamento dati con le impostazioni predefinite fornite

Postconfigurazione

Configurare il wallet per l'integrazione di Autonomous Database

Per abilitare questa funzione, scaricare il wallet del database autonomo nell'host dell'agente, quindi aggiornare il campo URL di connessione semplice per il database nella configurazione del sistema orchestrato. Per configurare questa funzione, attenersi alla procedura riportata di seguito.

Completare i passi riportati di seguito per configurare il wallet per Autonomous Database.

  1. Creare un sistema orchestrato di Gestione utenti database (Oracle) e configurare l'agente.
  2. Scaricare il wallet del database autonomo utilizzando le istruzioni riportate in Scarica credenziali client (wallet).
  3. Creare una directory wallet nella cartella dell'agente installato, <PERSISTENT_VOLUME_LOCATION><WALLET-DIR>. Ad esempio:
    mkdir /myagent/install/db-wallet
  4. Copiare il file zip contenente il wallet scaricato nel Passo 2 nel file <PERSISTENT_VOLUME_LOCATION><WALLET-DIR> e decomprimere mediante il comando: 
    cp -rf Wallet_<DATABASENAME>.zip <PERSISTENT_VOLUME_LOCATION><WALLET-DIR>
cd /myagent/install/db-wallet
unzip Wallet_<DATABASENAME>.zip
  5. Il file wallet decompresso contiene il file tnsnames.ora, che contiene i nomi di servizio disponibili per Oracle Autonomous Database. Scegliere il nome TNS corretto in base al carico di lavoro:
    • nome_database_turgente
    • nome_database_tp
    • nome database_high
    • nome database_medium
    • nome database_low
    Per ulteriori dettagli sui nomi dei servizi di Oracle Autonomous Database, vedere Nomi dei servizi di database per Autonomous Transaction Processing e Autonomous JSON Database.
  6. Modificare le impostazioni di integrazione per il sistema orchestrato seguendo le istruzioni riportate in Configura impostazioni per un sistema orchestrato.
  7. Aprire il file tnsnames.ora dalla directory del wallet e trovare l'etichetta TNS prima della = che corrisponde a questo blocco di descrizione.
    Ad esempio, se la stringa di connessione è:
    myhost_db_high =
  (description= (retry_count=20)(retry_delay=3)
  (address=(protocol=tcps)(port=1522)(host=<myhost>.adb.<region>.example.com))
  (connect_data=(service_name=myhost_db_high.adb.example.com))
  (security=(ssl_server_dn_match=no)))
  8. Aggiornare il campo URL di connessione semplice per il database con la stringa di connessione per il database, in base al nome del servizio selezionato nel passo precedente. La stringa di connessione deve avere il seguente formato:
    
jdbc:oracle:thin:@<TNS_NAME>?TNS_ADMIN=<full-path-to-WALLET-DIR>
    Ad esempio:
    jdbc:oracle:thin:@myhost_db_high?TNS_ADMIN=/agent/install