Documentazione dell'infrastruttura Oracle Cloud

Integrazione con Microsoft Entra ID

Requisiti indispensabili

Prima di installare e configurare un sistema orchestrato Microsoft Entra ID, è necessario considerare i prerequisiti e i task riportati di seguito.

Componenti certificati

Il sistema Microsoft Entra ID può essere uno dei seguenti:

Componenti certificati
Tipo di componente Componente
Di sistema
  • Microsoft Entra ID
  • ID Microsoft Entra con tenant abilitato per Business-to-Consumer (B2C)
Versione API di sistema
  • Microsoft Entra ID
  • API Microsoft Graph v1.0
  • API di autenticazione Microsoft versione v2.0 (OAuth 2.0)

Modalità supportate

Il sistema orchestrato Microsoft Entra ID supporta le seguenti modalità:

  • Origine affidabile
  • Sistema gestito

Operazioni supportate

Il sistema orchestrato Microsoft Entra ID supporta le seguenti operazioni su Microsoft Entra ID:
  • Crea utente
  • Elimina l'utente
  • Reimposta password
  • Assegnare ruoli a un utente
  • Revoca ruoli da un utente
  • Assegna licenze a un utente
  • Rimuovi licenze da un utente
  • Assegnare SecurityGroup a un utente
  • Rimuovere SecurityGroup da un utente
  • Assegnare OfficeGroup a un utente
  • Rimuovere OfficeGroup da un utente

Attributi supportati predefiniti

Il sistema orchestrato Microsoft Entra ID supporta i seguenti attributi predefiniti. Questi attributi vengono mappati in base alla direzione della connessione, ad esempio:
  • I dati inclusi in Oracle Access Governance da Microsoft Entra ID: User.givenName verranno mappati a Identity.firstName
  • Provisioning dei dati in Microsoft Entra ID da Oracle Access Governance: account.lastName verrà mappato a User.surname
Attributi predefiniti - Origine affidabile
Entità tenant abilitata per Microsoft Entra ID/Microsoft Entra ID B2C Nome attributo nel sistema gestito Nome attributo identità Oracle Access Governance Nome visualizzato attributo identità Oracle Access Governance
Utente id uid ID univoco
mailNickname nome Nome utente dipendente
userPrincipalName e-mail E-mail
givenName firstName Nome
cognome lastName Cognome
displayName displayName Nome
usageLocation usageLocation Nome località
responsabile managerLogin Responabile
preferredLanguage preferredLanguage Lingua preferita
accountEnabled stato Stato
Attributi aggiuntivi per tenant abilitato per B2C identità identities.issuerAssignedId identità
identità identities.signInType Tipo di connessione
identità identities.issuer Emittente
passwordPolicies passwordPolicy Criteri di gestione delle password
Attributi predefiniti - Sistema gestito
Entità tenant abilitata per Microsoft Entra ID/Microsoft Entra ID B2C Nome attributo nel sistema gestito Nome attributo conto Oracle Access Governance Nome visualizzato attributo conto Oracle Access Governance
Utente id uid ID univoco
userPrincipalName nome Login utente
givenName firstName Nome
cognome lastName Cognome
displayName displayName Nome
mailNickname mailNickname Pseudonimo di posta
posta e-mail E-mail
usageLocation usageLocation Posizione uso
city city Città
paese paese Paese
responsabile managerLogin Responabile
passwordProfile.forceChangePasswordNextSignIn forceChangePasswordNextSignIn Modifica password al logon successivo
preferredLanguage preferredLanguage Lingua preferita
userType userType Tipo di dipendente
accountEnabled stato Stato
password password Password
Attributi aggiuntivi per tenant abilitato per B2C
identities.issuerAssignedId issuerAssignedId ID assegnato all'emittente
identities.signInType signInType Tipo di accesso
identities.issuer emittente Emittente
passwordPolicies passwordPolicy Criteri di gestione password
Licenze licenze come abilitazione

Configurazione e impostazioni delle applicazioni Microsoft Enterprise

Prima di poter stabilire una connessione, è necessario eseguire i task riportati di seguito nel Centro di amministrazione ID Microsoft Entra per l'applicazione Enterprise.
  1. Crea e registra un'applicazione aziendale da integrare con Oracle Access Governance. Per ulteriori informazioni, consultare la documentazione di Microsoft.
  2. Genera un segreto client per l'applicazione
  3. Concedere le seguenti autorizzazioni delegate e dell'applicazione per l'API Microsoft Graph:

    Autorizzazione delegata

    • Directory.ReadWrite.All
    • Group.ReadWrite.All
    • GroupMember.ReadWrite.All
    • User.Read
    • User.ReadWrite

    Autorizzazione applicazione

    • Directory.ReadWrite.All
    • Group.ReadWrite.All
    • GroupMember.ReadWrite.All
    • User.ReadWrite.All
    • RoleManagement.ReadWrite.Directory
  4. Selezionare il pulsante Concedi consenso amministratore per fornire le autorizzazioni complete a livello di directory per eseguire i task API correlati per un sistema integrato

Per ulteriori informazioni, consultare la documentazione di Microsoft.

Regole di corrispondenza predefinite

Per eseguire il mapping degli account alle identità in Oracle Access Governance, è necessario disporre di una regola di corrispondenza per ogni regola di corrispondenza predefinita system.The orchestrata per il sistema orchestrato Microsoft Entra ID:

Regole di corrispondenza predefinite
Modalità Regola di corrispondenza predefinita
Origine autorevole

Verifica la corrispondenza delle identità se le identità in entrata corrispondono a un'identità esistente o sono nuove.

Per Microsoft Entra ID/Per Microsoft Entra ID B2C-Enabled Tenant:

Valore schermata:

User login = Email

Nome attributo:

Account.userPrincipalName = Identity.name

Sistema gestito

Verifica della corrispondenza degli account se gli account in entrata corrispondono alle identità esistenti.

Per Microsoft Entra ID:

Valore schermata:

User login = Email

Nome attributo:

Account.userPrincipalName = Identity.name

Per il tenant abilitato per Microsoft Entra ID B2C:

Valore schermata:

Email = Email

Nome attributo:

Account.mail = Identity.email

Configura

È possibile stabilire una connessione tra Microsoft Entra ID (in precedenza Azure Active Directory) e Oracle Access Governance immettendo i dettagli di connessione. A tale scopo, utilizzare la funzionalità dei sistemi orchestrati disponibile in Oracle Access Governance Console.

Passa alla pagina Sistemi orchestrati

Passare alla pagina Sistemi orchestrati di Oracle Access Governance Console, effettuando le operazioni riportate di seguito.
  1. Dall'icona Menu di navigazione del menu di navigazione di Oracle Access Governance selezionare Amministrazione servizi → Sistemi orchestrati.
  2. Selezionare il pulsante Aggiungi un sistema orchestrato per avviare il workflow.

Seleziona sistema

Nel passo Seleziona sistema del flusso di lavoro, è possibile specificare il tipo di sistema da inserire. È possibile cercare il sistema richiesto in base al nome utilizzando il campo Cerca.

  1. Selezionare Microsoft Entra ID .
  2. Fare clic su Avanti.

Immettere i dettagli

Nel passo Aggiungi dettagli del flusso di lavoro, immettere i dettagli del sistema orchestrato.
  1. Immettere il nome del sistema a cui si desidera connettersi nel campo Nome.
  2. Immettere una descrizione nel campo Descrizione per il sistema.
  3. Decidere se il sistema orchestrato è un'origine affidabile e se Oracle Access Governance può gestire le autorizzazioni impostando le caselle di controllo riportate di seguito.
    • Questa è l'origine affidabile per le identità personali

      Selezionare una delle seguenti opzioni:

      • Origine delle identificative e dei relativi attributi: il sistema funge da identità di origine e attributi associati. Le nuove identità vengono create con questa opzione.
      • Solo origine degli attributi di identità: il sistema acquisisce ulteriori dettagli sugli attributi di identità e li applica alle identità esistenti. Questa opzione non include o crea nuovi record di identità.
    • Desidero gestire le autorizzazioni per questo sistema
    Il valore predefinito in ogni caso è Non selezionato.
  4. Selezionare Next.
Nota

Il sistema orchestrato Microsoft Entra ID consente di gestire i gruppi in Microsoft Entra ID utilizzando l'opzione Voglio gestire le raccolte di identità per questo sistema orchestrato. Se selezionata, questa casella di controllo consente di gestire i gruppi Microsoft Entra ID dall'interno di Oracle Access Governance. Eventuali modifiche apportate ai gruppi Microsoft Entra ID verranno riconciliate tra Oracle Access Governance e il sistema orchestrato. Analogamente, qualsiasi modifica apportata in Microsoft Entra ID si rifletterà in Oracle Access Governance

Aggiungi proprietari

È possibile associare la proprietà delle risorse aggiungendo proprietari principali e aggiuntivi. Il servizio self-service consente ai proprietari di gestire (leggere, aggiornare o eliminare) le risorse di cui sono proprietari. Per impostazione predefinita, l'autore della risorsa viene designato come proprietario della risorsa. È possibile assegnare un proprietario principale e fino a 20 proprietari aggiuntivi per le risorse.
Nota

Quando si imposta il primo sistema orchestrato per l'istanza del servizio, è possibile assegnare i proprietari solo dopo aver abilitato le identità dalla sezione Gestisci identità.
Per aggiungere proprietari:
  1. Selezionare un utente attivo di Oracle Access Governance come proprietario principale nel campo Chi è il proprietario principale?.
  2. Selezionare uno o più proprietari aggiuntivi nell'elenco Chi altro lo possiede?. È possibile aggiungere fino a 20 proprietari aggiuntivi per la risorsa.
È possibile visualizzare il proprietario principale nell'elenco. Tutti i proprietari possono visualizzare e gestire le risorse di cui sono proprietari.

Impostazioni account

Nel passo Impostazioni account del workflow, immettere la modalità di gestione degli account da parte di Oracle Access Governance quando il sistema è configurato come sistema gestito.
  1. Quando viene richiesta un'autorizzazione e l'account non esiste già, selezionare questa opzione per creare nuovi account. Questa opzione è selezionata per impostazione predefinita. Quando questa opzione è selezionata, Oracle Access Governance crea un account se non ne esiste uno quando viene richiesta un'autorizzazione. Se si deseleziona questa opzione, viene eseguito il provisioning delle autorizzazioni solo per gli account esistenti nel sistema orchestrato. Se non esiste alcun account, l'operazione di provisioning non riesce.
  2. Selezionare i destinatari dei messaggi di posta elettronica di notifica quando viene creato un account. Il destinatario predefinito è Utente. Se non viene selezionato alcun destinatario, le notifiche non vengono inviate quando vengono creati gli account.
    • Utente
    • Responsabile utenti
  3. Configura account esistenti
    Nota

    È possibile impostare queste configurazioni solo se consentito dall'amministratore di sistema. Quando le impostazioni di cessazione dell'account globale sono abilitate, gli amministratori dell'applicazione non possono gestire le impostazioni di cessazione dell'account a livello di sistema orchestrato.
    1. Selezionare le azioni da eseguire con i conti all'inizio della cessazione anticipata: scegliere l'azione da eseguire all'inizio di una cessazione anticipata. Ciò si verifica quando è necessario revocare gli accessi di identità prima della data di cessazione ufficiale.
      • Elimina: elimina tutti gli account e le autorizzazioni gestiti da Oracle Access Governance.
        Nota

        Se un sistema orchestrato specifico non supporta l'azione, non viene eseguita alcuna azione.
      • Disabilita: disabilita tutti gli account e disabilita le autorizzazioni gestite da Oracle Access Governance.
        • Eliminare le autorizzazioni per gli account disabilitati: per garantire zero accessi residui, selezionare questa opzione per eliminare le autorizzazioni assegnate direttamente e le autorizzazioni concesse dai criteri durante la disabilitazione dell'account.
      • Nessuna azione: non viene eseguita alcuna azione quando un'identità viene contrassegnata per l'interruzione anticipata da Oracle Access Governance.
    2. Selezionare le azioni da eseguire con i conti alla data di cessazione: selezionare l'azione da eseguire durante la cessazione ufficiale. Ciò si verifica quando è necessario revocare gli accessi di identità alla data di cessazione ufficiale.
      • Elimina: elimina tutti gli account e le autorizzazioni gestiti da Oracle Access Governance.
        Nota

        Se un sistema orchestrato specifico non supporta l'azione Elimina, non viene eseguita alcuna azione.
      • Disabilita: disabilita tutti gli account e disabilita le autorizzazioni gestite da Oracle Access Governance.
        • Eliminare le autorizzazioni per gli account disabilitati: per garantire zero accessi residui, selezionare questa opzione per eliminare le autorizzazioni assegnate direttamente e le autorizzazioni concesse dai criteri durante la disabilitazione dell'account.
        Nota

        Se un sistema orchestrato specifico non supporta l'azione Disabilita, l'account viene eliminato.
      • Nessuna azione: Oracle Access Governance non esegue alcuna azione sugli account e sulle autorizzazioni.
  4. Quando un'identità lascia l'azienda, è necessario rimuovere l'accesso ai propri account.
    Nota

    È possibile impostare queste configurazioni solo se consentito dall'amministratore di sistema. Quando le impostazioni di cessazione dell'account globale sono abilitate, gli amministratori dell'applicazione non possono gestire le impostazioni di cessazione dell'account a livello di sistema orchestrato.

    Selezionare una delle azioni seguenti per l'account:

    • Elimina: consente di eliminare tutti gli account e le autorizzazioni gestiti da Oracle Access Governance.
    • Disabilita: disabilita tutti gli account e contrassegna le autorizzazioni come inattive.
      • Eliminare le autorizzazioni per gli account disabilitati: eliminare le autorizzazioni assegnate direttamente e concesse dai criteri durante la disabilitazione dell'account per garantire zero accessi residui.
    • Nessuna azione: non eseguire alcuna azione quando un'identità lascia l'organizzazione.
    Nota

    Queste azioni sono disponibili solo se supportate dal tipo di sistema orchestrato. Ad esempio, se Elimina non è supportato, verranno visualizzate solo le opzioni Disabilita e Nessuna azione.
  5. Quando vengono rimosse tutte le autorizzazioni per un account, ad esempio quando un'identità si sposta tra i reparti, potrebbe essere necessario decidere cosa fare con l'account. Selezionare una delle seguenti azioni, se supportata dal tipo di sistema orchestrato:
    • Elimina
    • Disabilita
    • Nessuna azione
  6. Gestisci account non creati da Access Governance: selezionare questa opzione per gestire gli account creati direttamente nel sistema orchestrato. Ciò consente di riconciliare i conti esistenti e di gestirli da Oracle Access Governance.
Nota

Se non si configura il sistema come sistema gestito, questo passo del workflow verrà visualizzato ma non è abilitato. In questo caso si passa direttamente al passo Impostazioni di integrazione del workflow.
Nota

Se il sistema orchestrato richiede la ricerca automatica dinamica degli schemi, come per le integrazioni delle tabelle applicazioni REST e di database generiche, è possibile impostare solo la destinazione e-mail di notifica (Utente, Usermanager) durante la creazione del sistema orchestrato. Impossibile impostare le regole di disabilitazione/eliminazione per movers e leavers. A tale scopo, è necessario creare il sistema orchestrato, quindi aggiornare le impostazioni dell'account come descritto in Configura impostazioni account di sistema orchestrato.

Impostazioni di integrazione

Nel passo Impostazioni di integrazione del workflow, immettere i dettagli di configurazione necessari per consentire a Oracle Access Governance di connettersi a Microsoft Entra ID.

  1. Nel campo Host immettere il nome host del computer che ospita il sistema gestito. Ad esempio, per l'API Microsoft Graph, è possibile immettere graph.microsoft.com
  2. Nel campo della porta immettere il numero della porta a cui il sistema sarà accessibile. Per impostazione predefinita, Microsoft Entra ID utilizza la porta 443.
  3. Nel campo URL server autenticazione immettere l'URL del server autenticazione che convalida l'ID client e del segreto client per il sistema gestito. Ad esempio, per autenticare l'applicazione utilizzando l'API OAuth 2.0, immettere la sintassi seguente. 
    https://login.microsoftonline.com/<Primary Domain or Directory(tenant ID)>/oauth2/v2.0/token
    Per informazioni su come recuperare il dominio primario o l'ID tenant, fare riferimento alla documentazione di Microsoft.
  4. Immettere l'identificativo client (stringa univoca) emesso dal server di autorizzazione al sistema client durante il processo di registrazione nel campo ID client. L'ID client, noto anche come ID applicazione, viene ottenuto durante la registrazione di un'applicazione in Microsoft Entra ID. Questo valore identifica l'applicazione nella piattaforma di identità Microsoft. Per ulteriori informazioni, consultare la documentazione di Microsoft.
  5. Nel campo Segreto client immettere il valore dell'ID segreto per autenticare l'identità del sistema. È necessario creare un nuovo segreto client per il sistema e immettere il valore in questo campo. Utilizzare questo valore solo quando non si utilizza una chiave privata per l'autenticazione.
    Nota

    È necessario prendere nota o copiare questo valore segreto client, in quanto non sarà possibile accedervi o visualizzarlo dopo aver lasciato la pagina.
    Per ulteriori dettagli, consultare la documentazione di Microsoft.
  6. Immettere la chiave privata PEM nel campo Chiave privata, solo quando non si utilizza il segreto client per l'autenticazione.

    Solo a scopo di test, è possibile generare un certificato autofirmato effettuando le operazioni riportate di seguito.

    1. Creare una chiave privata cifrata che verrà caricata nell'istanza Entra ID.
      openssl req -x509 -newkey rsa:2048 -keyout encrypted_key.pem -out cert.cer -sha256 -days 365
    2. Decifrare la chiave privata per creare un file .pem (decrypted_key.pem nell'esempio) che è possibile immettere come valore per la chiave privata durante la configurazione di Oracle Access Governance.
      openssl rsa -in encrypted_key.pem -out decrypted_key.pem
    3. Se si desidera, se la chiave privata è in formato PKCS1, convertire la chiave decifrata per il formato PKCS8 supportato in Oracle Access Governance.
      openssl pkcs8 -topk8 -inform PEM -outform PEM -nocrypt -in decrypted_key.pem -out pkcs8.key
  7. Immettere il valore per l'impronta digitale del certificato (X509) nell'impronta digitale del certificato, solo quando non si utilizza il segreto client per l'autenticazione.

    Per ottenere l'impronta digitale del certificato, attenersi alla seguente procedura:

    1. Converte il valore esadecimale dell'impronta digitale del certificato in binario.
      echo -n "***353DB6DF03567473E299DB5E7F4C***" | xxd -r -p > thumbprint.bin
    2. Convertire l'impronta binaria in base64, che può essere utilizzata nel campo Impronta digitale certificato.
      openssl base64 -in thumbprint.bin -out thumbprint_base64.txt
  8. Selezionare la casella di controllo Questo ambiente abilitato per il tenant B2C? per includere gli attributi di identità (Emittente, Tipo di connessione, ID emittente) per ogni utente. Se uno qualsiasi degli attributi di identità viene restituito nullo o vuoto, Oracle Access Governance salta il caricamento dei dati per tale utente e non include l'utente.
  9. Nel campo Qual è il timeout della richiesta? immettere il tempo massimo di attesa per un server per rispondere a una richiesta.
  10. Fare clic su Aggiungi per creare il sistema orchestrato.

Termina

Infine, è possibile scegliere se configurare ulteriormente il sistema orchestrato prima di eseguire un caricamento dati oppure accettare la configurazione predefinita e avviare un caricamento dati. Selezioni una sola opzione tra:
  • Personalizzare prima di abilitare il sistema per i caricamenti dati
  • Attivare e preparare il caricamento dati con le impostazioni predefinite fornite

Postconfigurazione

Non sono presenti passi di postinstallazione associati a un sistema Microsoft Entra ID.