Documentazione dell'infrastruttura Oracle Cloud

Integrazione con il REST generico

Il sistema orchestrato REST generico fornisce una soluzione per integrare Oracle Access Governance con sistemi di riconoscimento delle identità basati su REST. Un sistema di riconoscimento delle identità basato su REST è qualsiasi sistema che espone le API o le interfacce REST per la gestione delle identità.

Panoramica del sistema orchestrato REST generico

Il sistema orchestrato REST generico fornisce le funzioni riportate di seguito.
  • Caricamento dati completo/incrementale per origini autorevoli o sistemi gestiti
  • Provisioning in tempo reale
  • Integrazione di funzioni serverless native nel cloud per definire schemi di sistema, richieste, risposte e test basati su REST

Il sistema orchestrato REST generico è diverso dalle altre definizioni per lo schema, la richiesta e la risposta non sono corrette. Altri sistemi orchestrati dispongono di modelli di schema, richiesta, risposta e test precaricati per l'origine affidabile o il sistema gestito a cui si applicano. È possibile applicare sistemi orchestrati REST generici a qualsiasi sistema con riconoscimento delle identità basato su REST, lo schema, la richiesta, la risposta e i modelli di test vengono caricati in runtime anziché quando viene creato il sistema orchestrato.

Per ogni origine affidabile o sistema gestito, sarà necessario creare i seguenti modelli:
  • grc-schema-template: questo modello definisce lo schema per l'origine affidabile o il sistema gestito che si desidera integrare.
  • grc-request-template: questo modello definisce il formato della richiesta (intestazioni, URL, parametri della richiesta, corpo della richiesta) necessario per richiamare l'API Origine affidabile o Sistema gestito per richiedere i dati di identità.
  • grc-response-template: questo modello definisce il formato di risposta per i dati di identità e account.
  • grc-test-template: questo modello definisce un'API per eseguire il test della connettività tra Oracle Access Governance e l'origine affidabile o il sistema gestito.
Quando viene richiamata un'operazione, i parametri riportati di seguito vengono passati a OCI Functions.
  • Nome sistema orchestrato
  • Nome entità (identità o account)
  • Nome dell'operazione

La funzione OCI viene chiamata e restituisce un file JSON con i modelli rilevanti per il sistema orchestrato.

Requisiti indispensabili

Prima di installare e configurare un sistema orchestrato REST generico, è necessario considerare i prerequisiti e i task riportati di seguito.

Componenti certificati

Il sistema gestito può essere uno dei seguenti:

  • Qualsiasi sistema basato sulle identità che supporta i servizi REST

Modalità supportate

Il sistema orchestrato REST generico supporta le seguenti modalità di configurazione:

  • Origine autorevole
  • Sistema gestito

Casi d'uso supportati dal sistema orchestrato REST generico

Un sistema orchestrato REST generico può essere utilizzato per inserire i dati di identità in Oracle Access Governance da un servizio REST, quindi gestire in modo efficiente le identità in un ciclo integrato con il resto dei sistemi che supportano le identità nell'azienda.

Come esempio di caso d'uso aziendale, prendi in considerazione un'azienda di logistica leader che dispone di oltre 20 applicazioni cloud. La maggior parte di queste applicazioni cloud sono ora inefficienti perché i dati in queste applicazioni vengono immessi manualmente e vengono gestiti utilizzando fogli di calcolo o flussi di processo codificati personalizzati. Pertanto, questa azienda desidera integrare le proprie applicazioni cloud con Oracle Access Governance per semplificare le proprie operazioni, aumentare l'efficienza organizzativa e, allo stesso tempo, ridurre i costi operativi. Esistono due approcci per integrare queste applicazioni cloud con Oracle Access Governance. Un approccio sarebbe quello di distribuire un connettore point-to-point per ciascuna di queste applicazioni. Gli svantaggi di questo approccio sono i seguenti:

  • Maggiore tempo e impegno per identificare e distribuire un connettore point-to-point per ogni applicazione.

  • Aumento dei costi di amministrazione e manutenzione per la gestione dei connettori per ogni applicazione.

  • Indisponibilità di connettori point-to-point per tutte le applicazioni. In questo scenario, è necessario sviluppare connettori personalizzati che aumentano il tempo e gli sforzi per sviluppare, distribuire e testare il connettore personalizzato.

Un'alternativa a questo approccio è utilizzare il sistema orchestrato REST generico per integrare tutte le applicazioni cloud con Oracle Access Governance. Il sistema orchestrato REST generico consente di gestire gli account in tutte le applicazioni cloud senza dedicare risorse e tempo aggiuntivi alla creazione di connettori personalizzati per ogni applicazione cloud.

Il sistema orchestrato REST generico consente alle aziende di utilizzare Oracle Access Governance per l'integrazione con i sistemi gestiti per la governance delle identità. Questi sistemi gestiti includono qualsiasi applicazione che espone le API REST, ad esempio SaaS, PaaS, applicazioni generate in home e così via.

Di seguito sono riportati alcuni scenari di esempio in cui viene utilizzato il sistema orchestrato REST generico.

  • Gestione utenti

    Il sistema orchestrato REST generico consente di gestire le persone che possono accedere alle risorse definendole come identità in Oracle Access Governance e assegnandole alle raccolte e ai ruoli di identità. Le identità vengono create da qualsiasi sistema orchestrato affidabile, ad esempio REST generico, durante il caricamento dei dati.

  • Controllo dell'accesso

    Il sistema orchestrato REST generico gestisce il controllo dell'accesso tramite raccolte di identità, ruoli, bundle di accesso e criteri. A seconda del sistema orchestrato in uso, è possibile gestire l'accesso utilizzando le funzioni self-service di Oracle Access Governance, in particolare Richiedi accesso. Ad esempio, è possibile utilizzare il sistema orchestrato REST generico per assegnare o revocare automaticamente l'accesso a un sistema in base a criteri di accesso predefiniti in Oracle Access Governance. Man mano che i nuovi utenti vengono aggiunti a un ruolo specifico, ottengono automaticamente l'accesso corrispondente nei sistemi coperti dal criterio di accesso.

Configura

Puoi stabilire un'integrazione tra sistemi di riconoscimento delle identità basati su REST e Oracle Access Governance immettendo i dettagli delle funzioni e dei modelli OCI per integrare il sistema basato su REST. A tale scopo, utilizzare la funzionalità Sistema orchestrato disponibile in Oracle Access Governance Console.

Stabilisci un'integrazione tra sistemi di riconoscimento delle identità basati su REST e Oracle Access Governance immettendo i dettagli delle funzioni e dei modelli OCI per integrare il sistema basato su REST. Utilizzare la funzionalità Sistema orchestrato nella console di Oracle Access Governance.

Oracle Access Governance utilizza il principal delle risorse per accedere e richiamare le funzioni OCI. Se si dispone di un sistema orchestrato esistente e è necessario eseguire la migrazione, vedere Esegui migrazione dell'accesso chiave API all'accesso principal risorsa.

Passa alla pagina Sistemi orchestrati

Passare alla pagina Sistemi orchestrati di Oracle Access Governance Console, effettuando le operazioni riportate di seguito.
  1. Dall'icona Menu di navigazione del menu di navigazione di Oracle Access Governance selezionare Amministrazione servizi → Sistemi orchestrati.
  2. Selezionare il pulsante Aggiungi un sistema orchestrato per avviare il workflow.

Seleziona sistema

Nel passo Seleziona sistema del flusso di lavoro, è possibile specificare il tipo di sistema da inserire. È possibile cercare il sistema richiesto in base al nome utilizzando il campo Cerca. Selezionare la casella Connettore REST generico. Quando si seleziona questa casella, viene visualizzata una pagina di dialogo che illustra i passi per configurare il sistema orchestrato. Ciò include un collegamento a un'implementazione di esempio delle funzioni OCI necessarie per connettersi ai sistemi di identità basati su REST. Se non lo si è fatto, è necessario scaricare il file idm-agcs-generic-rest-reference-implementation.zip e sviluppare le proprie funzioni OCI in base a questo esempio. Per ulteriori dettagli sull'implementazione di esempio, vedere Imposta implementazione di esempio. Per ulteriori dettagli su come sviluppare le funzioni OCI necessarie, vedere Impostazione della funzione serverless OCI per connettersi con il sistema di riconoscimento delle identità basato su REST e Ricerca automatica dello schema Generic Rest.

Dopo la selezione, viene visualizzato un valore di Connettore REST generico sul lato destro in Informazioni selezionate. Selezionare Next.

Immettere i dettagli

Nel passo Aggiungi dettagli del flusso di lavoro, immettere i dettagli del sistema orchestrato.
  1. Immettere il nome del sistema a cui si desidera connettersi nel campo Nome.
  2. Immettere una descrizione nel campo Descrizione per il sistema.
  3. Decidere se il sistema orchestrato è un'origine affidabile e se Oracle Access Governance può gestire le autorizzazioni impostando le caselle di controllo riportate di seguito.
    • Questa è l'origine affidabile per le identità personali

      Selezionare una delle seguenti opzioni:

      • Origine delle identificative e dei relativi attributi: il sistema funge da identità di origine e attributi associati. Le nuove identità vengono create con questa opzione.
      • Solo origine degli attributi di identità: il sistema acquisisce ulteriori dettagli sugli attributi di identità e li applica alle identità esistenti. Questa opzione non include o crea nuovi record di identità.
    • Desidero gestire le autorizzazioni per questo sistema
    Il valore predefinito in ogni caso è Non selezionato.
  4. Selezionare Next.

Aggiungi proprietari

È possibile associare la proprietà delle risorse aggiungendo proprietari principali e aggiuntivi. Il servizio self-service consente ai proprietari di gestire (leggere, aggiornare o eliminare) le risorse di cui sono proprietari. Per impostazione predefinita, l'autore della risorsa viene designato come proprietario della risorsa. È possibile assegnare un proprietario principale e fino a 20 proprietari aggiuntivi per le risorse.
Nota

Quando si imposta il primo sistema orchestrato per l'istanza del servizio, è possibile assegnare i proprietari solo dopo aver abilitato le identità dalla sezione Gestisci identità.
Per aggiungere proprietari:
  1. Selezionare un utente attivo di Oracle Access Governance come proprietario principale nel campo Chi è il proprietario principale?.
  2. Selezionare uno o più proprietari aggiuntivi nell'elenco Chi altro lo possiede?. È possibile aggiungere fino a 20 proprietari aggiuntivi per la risorsa.
È possibile visualizzare il proprietario principale nell'elenco. Tutti i proprietari possono visualizzare e gestire le risorse di cui sono proprietari.

Impostazioni account

Nel passo Impostazioni account del workflow, immettere la modalità di gestione degli account da parte di Oracle Access Governance quando il sistema è configurato come sistema gestito.
  1. Quando viene richiesta un'autorizzazione e l'account non esiste già, selezionare questa opzione per creare nuovi account. Questa opzione è selezionata per impostazione predefinita. Quando questa opzione è selezionata, Oracle Access Governance crea un account se non ne esiste uno quando viene richiesta un'autorizzazione. Se si deseleziona questa opzione, viene eseguito il provisioning delle autorizzazioni solo per gli account esistenti nel sistema orchestrato. Se non esiste alcun account, l'operazione di provisioning non riesce.
  2. Selezionare i destinatari dei messaggi di posta elettronica di notifica quando viene creato un account. Il destinatario predefinito è Utente. Se non viene selezionato alcun destinatario, le notifiche non vengono inviate quando vengono creati gli account.
    • Utente
    • Responsabile utenti
  3. Configura account esistenti
    Nota

    È possibile impostare queste configurazioni solo se consentito dall'amministratore di sistema. Quando le impostazioni di cessazione dell'account globale sono abilitate, gli amministratori dell'applicazione non possono gestire le impostazioni di cessazione dell'account a livello di sistema orchestrato.
    1. Selezionare le azioni da eseguire con i conti all'inizio della cessazione anticipata: scegliere l'azione da eseguire all'inizio di una cessazione anticipata. Ciò si verifica quando è necessario revocare gli accessi di identità prima della data di cessazione ufficiale.
      • Elimina: elimina tutti gli account e le autorizzazioni gestiti da Oracle Access Governance.
        Nota

        Se un sistema orchestrato specifico non supporta l'azione, non viene eseguita alcuna azione.
      • Disabilita: disabilita tutti gli account e disabilita le autorizzazioni gestite da Oracle Access Governance.
        • Eliminare le autorizzazioni per gli account disabilitati: per garantire zero accessi residui, selezionare questa opzione per eliminare le autorizzazioni assegnate direttamente e le autorizzazioni concesse dai criteri durante la disabilitazione dell'account.
      • Nessuna azione: non viene eseguita alcuna azione quando un'identità viene contrassegnata per l'interruzione anticipata da Oracle Access Governance.
    2. Selezionare le azioni da eseguire con i conti alla data di cessazione: selezionare l'azione da eseguire durante la cessazione ufficiale. Ciò si verifica quando è necessario revocare gli accessi di identità alla data di cessazione ufficiale.
      • Elimina: elimina tutti gli account e le autorizzazioni gestiti da Oracle Access Governance.
        Nota

        Se un sistema orchestrato specifico non supporta l'azione Elimina, non viene eseguita alcuna azione.
      • Disabilita: disabilita tutti gli account e disabilita le autorizzazioni gestite da Oracle Access Governance.
        • Eliminare le autorizzazioni per gli account disabilitati: per garantire zero accessi residui, selezionare questa opzione per eliminare le autorizzazioni assegnate direttamente e le autorizzazioni concesse dai criteri durante la disabilitazione dell'account.
        Nota

        Se un sistema orchestrato specifico non supporta l'azione Disabilita, l'account viene eliminato.
      • Nessuna azione: Oracle Access Governance non esegue alcuna azione sugli account e sulle autorizzazioni.
  4. Quando un'identità lascia l'azienda, è necessario rimuovere l'accesso ai propri account.
    Nota

    È possibile impostare queste configurazioni solo se consentito dall'amministratore di sistema. Quando le impostazioni di cessazione dell'account globale sono abilitate, gli amministratori dell'applicazione non possono gestire le impostazioni di cessazione dell'account a livello di sistema orchestrato.

    Selezionare una delle azioni seguenti per l'account:

    • Elimina: consente di eliminare tutti gli account e le autorizzazioni gestiti da Oracle Access Governance.
    • Disabilita: disabilita tutti gli account e contrassegna le autorizzazioni come inattive.
      • Eliminare le autorizzazioni per gli account disabilitati: eliminare le autorizzazioni assegnate direttamente e concesse dai criteri durante la disabilitazione dell'account per garantire zero accessi residui.
    • Nessuna azione: non eseguire alcuna azione quando un'identità lascia l'organizzazione.
    Nota

    Queste azioni sono disponibili solo se supportate dal tipo di sistema orchestrato. Ad esempio, se Elimina non è supportato, verranno visualizzate solo le opzioni Disabilita e Nessuna azione.
  5. Quando vengono rimosse tutte le autorizzazioni per un account, ad esempio quando un'identità si sposta tra i reparti, potrebbe essere necessario decidere cosa fare con l'account. Selezionare una delle seguenti azioni, se supportata dal tipo di sistema orchestrato:
    • Elimina
    • Disabilita
    • Nessuna azione
  6. Gestisci account non creati da Access Governance: selezionare questa opzione per gestire gli account creati direttamente nel sistema orchestrato. Ciò consente di riconciliare i conti esistenti e di gestirli da Oracle Access Governance.
Nota

Se non si configura il sistema come sistema gestito, questo passo del workflow verrà visualizzato ma non è abilitato. In questo caso si passa direttamente al passo Impostazioni di integrazione del workflow.
Nota

Se il sistema orchestrato richiede la ricerca automatica dinamica degli schemi, come per le integrazioni delle tabelle applicazioni REST e di database generiche, è possibile impostare solo la destinazione e-mail di notifica (Utente, Usermanager) durante la creazione del sistema orchestrato. Impossibile impostare le regole di disabilitazione/eliminazione per movers e leavers. A tale scopo, è necessario creare il sistema orchestrato, quindi aggiornare le impostazioni dell'account come descritto in Configura impostazioni account di sistema orchestrato.

Configura

Nel passo Configura del workflow, immettere i dettagli di configurazione necessari per consentire a Oracle Access Governance di connettersi al sistema utilizzando il connettore REST generico.

  1. Che cos'è l'OCID tenancy OCI della funzione OCI?: immettere l'OCID (identificativo Oracle Cloud) per la funzione OCI. Vedere Dove recuperare l'OCID della tenancy e l'OCID dell'utente. Ad esempio, ocid1.oc1..aabdgsegsccawmw2o6qraopae7egmlochlopclhnwxq6pctu6oocgn.
  2. Cos'è il codice area della funzione OCI?: immettere l'area di origine per la tenancy OCI di destinazione, utilizzando l'identificativo dell'area. Ad esempio, per US East (Ashburn), l'identificativo dell'area è us-ashburn-1. Vedere Area di origine e Come trovare l'area di origine della tenancy.
  3. Che cos'è l'ID compartimento della funzione OCI?: immettere l'ID compartimento per la funzione che si desidera integrare.
  4. Qual è il nome dell'applicazione della funzione OCI?: immettere il nome dell'applicazione della funzione che si desidera integrare.
  5. Versione funzione: immettere la versione della funzione che si desidera integrare.
  6. Durata dell'inserimento nella cache del modello della richiesta TTL (in minuti): durata per la quale il modello della richiesta verrà inserito nella cache. Se il tempo è impostato su 0, non verrà eseguita alcuna memorizzazione nella cache. Alla scadenza della cache verrà richiamata la funzione OCI per ottenere il nuovo modello. Il tempo della cache deve essere inferiore al tempo di scadenza del token per evitare connessioni eliminate a causa di un token scaduto.
  7. Durata della cache dei modelli di risposta (in minuti): durata per la quale il modello verrà inserito nella cache. Se il tempo è impostato su 0, non verrà eseguita alcuna memorizzazione nella cache. Alla scadenza della cache verrà richiamata la funzione OCI per ottenere il nuovo modello. Il tempo della cache deve essere inferiore al tempo di scadenza del token per evitare connessioni eliminate a causa di un token scaduto.
  8. Durata dell'inserimento nella cache dei modelli di test (in minuti): durata per la quale il modello verrà inserito nella cache. Se il tempo è impostato su 0, non verrà eseguita alcuna memorizzazione nella cache. Alla scadenza della cache verrà richiamata la funzione OCI per ottenere il nuovo modello. Il tempo della cache deve essere inferiore al tempo di scadenza del token per evitare connessioni eliminate a causa di un token scaduto.
  9. Durata del modello dello schema (in minuti): durata per la quale il modello dello schema verrà inserito nella cache. Se il tempo è impostato su 0, non verrà eseguita alcuna memorizzazione nella cache. Alla scadenza della cache verrà richiamata la funzione OCI per ottenere il nuovo modello. Il tempo della cache deve essere inferiore al tempo di scadenza del token per evitare connessioni eliminate a causa di un token scaduto.
  10. Timeout risposta lettura (in secondi): immettere un valore intero che specifichi il numero di secondi entro i quali deve essere ricevuta la risposta dal sistema di destinazione
  11. Timeout connessione (in secondi): valore intero che specifica il numero di secondi dopo il quale si verifica un tentativo di stabilire una connessione tra il sistema di destinazione ed AGCS.
  12. Selezionare Aggiungi .
  13. Criteri OCI necessari?: copiare le istruzioni esatte nel compartimento root della tenancy pertinente. Vedere Gestione dei criteri per applicare i criteri alla tenancy.

Termina

Al passo finale, Fine, è possibile scegliere se configurare ulteriormente il sistema orchestrato prima di eseguire un caricamento dati oppure accettare la configurazione predefinita e avviare un caricamento dati. Selezioni una sola opzione tra:
  • Personalizzare prima di abilitare il sistema per i caricamenti dati
  • Attivare e preparare il caricamento dati con le impostazioni predefinite fornite

Esegui migrazione accesso chiave API ad accesso principal risorsa

Se si dispone di sistemi orchestrati esistenti che utilizzano il metodo di accesso Chiave API per connettersi, è consigliabile eseguire la migrazione al metodo di accesso Principal risorsa non appena possibile.

Per eseguire la migrazione dell'accesso chiave API all'accesso principal risorsa:

  1. Passare alla pagina Impostazioni integrazione seguendo le istruzioni fornite in Configura impostazioni integrazione sistema orchestrato.
  2. Nella pagina Impostazioni di integrazione verrà visualizzato un avviso di non validità. Selezionare il pulsante Ulteriori informazioni sulla migrazione.
  3. Copiare i criteri esatti nel compartimento radice come visualizzato nella console. Per informazioni dettagliate sull'applicazione dei criteri, vedere Creazione di un criterio.
    Nota

    I criteri richiesti variano a seconda di dove sono ospitate le funzioni OCI e l'istanza di Oracle Access Governance (ad esempio, nella stessa tenancy rispetto a tenancy diverse).

  4. Dopo aver applicato i criteri, selezionare Test dell'integrazione per controllare la connessione. In caso di errori o messaggi, rivedere la configurazione. Non sarà possibile completare la migrazione finché il test non avrà esito positivo.
  5. Se la connessione è stata confermata, fare clic sul pulsante Esegui migrazione per avviare la migrazione.
  6. Al termine della migrazione, viene visualizzato un messaggio di conferma
Nota

Una volta completata la migrazione al metodo Principal risorsa, non è possibile annullare la procedura e ripristinare il metodo Chiavi API nel sistema orchestrato.

Postconfigurazione

Dopo aver configurato il sistema orchestrato REST generico, è possibile passare alla pagina Sistema orchestrato e controllare le operazioni nel log attività. Di seguito sono riportate alcune delle operazioni che è possibile visualizzare.
  • Ricerca automatica schema: il sistema orchestrato REST generico è privo di schema in fase di progettazione e distribuzione. Nell'ambito del ciclo di vita dell'orchestrazione, è necessario eseguire la ricerca automatica dello schema per aggiornare il sistema orchestrato con i dettagli dello schema e delle classi oggetto per l'origine affidabile o il sistema gestito necessari. Per informazioni dettagliate su Schema Discovery, vedere Generic Rest Schema Discovery.
  • Convalida: questa operazione esegue i task riportati di seguito.
    • Richiama il modello di test, che a sua volta richiama l'endpoint specificato nel modello e controlla la connettività con il sistema gestito.
    • Richiama il modello di schema e recupera tutte le informazioni sullo schema per il sistema gestito, incluse le entità e gli attributi.
  • Caricamento dati di ricerca: se vengono definite ricerche, vengono caricati i dati corrispondenti alle ricerche.
  • Caricamento dati completo: questa operazione caricherà i dati per qualsiasi entità specificata e incorporata.