Integrazione con Oracle Internet Directory
Il connettore Oracle Internet Directory integra Oracle Access Governance con Oracle Internet Directory. È possibile stabilire una connessione tra Oracle Internet Directory e Oracle Access Governance immettendo i dettagli di connessione e configurando il connettore. A tale scopo, utilizzare la funzionalità Sistemi orchestrati disponibile nella console di Oracle Access Governance.
Preinstallazione
Prima di installare e configurare un sistema orchestrato di Oracle Internet Directory, è necessario considerare i seguenti prerequisiti e task.
Componenti certificati
Il sistema può essere uno dei seguenti:
- Oracle Internet Directory 9.x
- Oracle Internet Directory 10.1.4.x
- Oracle Internet Directory 11g 11.1.1.5.0, 11.1.1.6.0, 11.1.1.7.0 e 11.1.1.9.0
- Oracle Internet Directory 12c 12.2.1.3.0 e 12.2.1.4.0
- Oracle Internet Directory 14c 14.1.2.1.0
Operazioni supportate
Il sistema orchestrato di Oracle Internet Directory supporta le seguenti operazioni:
- Crea utente
- Reimposta password
- Aggiungi gruppi
- Revoca gruppi
Creare un account utente di sistema per le operazioni di sistema orchestrate di Oracle Internet Directory
Oracle Access Governance richiede un account utente per accedere al sistema di destinazione durante le operazioni di servizio. A seconda del sistema in uso, è possibile creare l'utente e assegnare all'utente autorizzazioni e ruoli specifici.
Per Oracle Internet Directory:
È necessario creare un account utente di sistema per eseguire le seguenti funzioni.
- Consente di creare, modificare ed eliminare voci correlate agli oggetti gestiti, inclusi account, gruppi, ruoli (se supportati) e unità organizzative (ou).
- Aggiorna password per gli utenti.
Creare un utente amministratore, un gruppo di amministratori e le interfacce ACI nel sistema di destinazione OID. Per eseguire questa procedura, è necessario essere un amministratore del sistema di destinazione OID che abbia familiarità con le utility della riga di comando quali ldapsearch e ldapmodify. Se si preferisce, è anche possibile utilizzare Oracle Directory Services Manager per eseguire queste funzioni.
Per informazioni dettagliate su come eseguire questa operazione, vedere le sezioni pertinenti riportate di seguito.
- Oracle Internet Directory 11g: Creazione di un altro account con privilegi di utente privilegiato
- Oracle Internet Directory 12c: Creazione di un altro account con privilegi di utente privilegiato
Installa
È possibile stabilire una connessione tra Oracle Internet Directory e Oracle Access Governance immettendo i dettagli di connessione e configurando l'ambiente OID. A tale scopo, utilizzare la funzionalità Sistemi orchestrati disponibile in Oracle Access Governance Console.
Passa alla pagina Sistemi orchestrati
Passare alla pagina Sistemi orchestrati di Oracle Access Governance Console, effettuando le operazioni riportate di seguito.
- Dall'icona
del menu di navigazione di Oracle Access Governance selezionare Amministrazione servizi → Sistemi orchestrati. - Selezionare il pulsante Aggiungi un sistema orchestrato per avviare il workflow.
Seleziona sistema
Nel passo Seleziona sistema del flusso di lavoro, specificare il tipo di sistema da inserire.
- Selezionare Oracle Internet Directory e fare clic su Successivo.
Immettere i dettagli
Nel passo Aggiungi dettagli del flusso di lavoro, immettere i dettagli del sistema orchestrato.
- Immettere il nome del sistema a cui si desidera connettersi nel campo Nome.
- Immettere una descrizione nel campo Descrizione per il sistema.
- Decidere se il sistema orchestrato è un'origine affidabile e se Oracle Access Governance può gestire le autorizzazioni impostando le caselle di controllo riportate di seguito.
-
Questa è l'origine affidabile per le identità personali
Selezionare una delle seguenti opzioni:
- Origine delle identificative e dei relativi attributi: il sistema funge da identità di origine e attributi associati. Le nuove identità vengono create con questa opzione.
- Solo origine degli attributi di identità: il sistema acquisisce ulteriori dettagli sugli attributi di identità e li applica alle identità esistenti. Questa opzione non include o crea nuovi record di identità.
- Desidero gestire le autorizzazioni per questo sistema
-
Questa è l'origine affidabile per le identità personali
- Selezionare Next.
Aggiungi proprietari
È possibile associare la proprietà delle risorse aggiungendo proprietari principali e aggiuntivi. Il servizio self-service consente ai proprietari di gestire (leggere, aggiornare o eliminare) le risorse di cui sono proprietari. Per impostazione predefinita, l'autore della risorsa viene designato come proprietario della risorsa. È possibile assegnare un proprietario principale e fino a 20 proprietari aggiuntivi per le risorse.
Nota
Quando si imposta il primo sistema orchestrato per l'istanza del servizio, è possibile assegnare i proprietari solo dopo aver abilitato le identità dalla sezione Gestisci identità.
Per aggiungere proprietari:Quando si imposta il primo sistema orchestrato per l'istanza del servizio, è possibile assegnare i proprietari solo dopo aver abilitato le identità dalla sezione Gestisci identità.
- Selezionare un utente attivo di Oracle Access Governance come proprietario principale nel campo Chi è il proprietario principale?.
- Selezionare uno o più proprietari aggiuntivi nell'elenco Chi altro lo possiede?. È possibile aggiungere fino a 20 proprietari aggiuntivi per la risorsa.
Impostazioni account
Nel passo Impostazioni account del workflow, immettere la modalità di gestione degli account da parte di Oracle Access Governance quando il sistema è configurato come sistema gestito.
- Quando viene richiesta un'autorizzazione e l'account non esiste già, selezionare questa opzione per creare nuovi account. Questa opzione è selezionata per impostazione predefinita. Quando questa opzione è selezionata, Oracle Access Governance crea un account se non ne esiste uno quando viene richiesta un'autorizzazione. Se si deseleziona questa opzione, viene eseguito il provisioning delle autorizzazioni solo per gli account esistenti nel sistema orchestrato. Se non esiste alcun account, l'operazione di provisioning non riesce.
- Selezionare i destinatari dei messaggi di posta elettronica di notifica quando viene creato un account. Il destinatario predefinito è Utente. Se non viene selezionato alcun destinatario, le notifiche non vengono inviate quando vengono creati gli account.
- Utente
- Responsabile utenti
- Configura account esistentiNota
È possibile impostare queste configurazioni solo se consentito dall'amministratore di sistema. Quando le impostazioni di cessazione dell'account globale sono abilitate, gli amministratori dell'applicazione non possono gestire le impostazioni di cessazione dell'account a livello di sistema orchestrato.- Selezionare le azioni da eseguire con i conti all'inizio della cessazione anticipata: scegliere l'azione da eseguire all'inizio di una cessazione anticipata. Ciò si verifica quando è necessario revocare gli accessi di identità prima della data di cessazione ufficiale.
- Elimina: elimina tutti gli account e le autorizzazioni gestiti da Oracle Access Governance.Nota
Se un sistema orchestrato specifico non supporta l'azione, non viene eseguita alcuna azione. - Disabilita: disabilita tutti gli account e disabilita le autorizzazioni gestite da Oracle Access Governance.
- Eliminare le autorizzazioni per gli account disabilitati: per garantire zero accessi residui, selezionare questa opzione per eliminare le autorizzazioni assegnate direttamente e le autorizzazioni concesse dai criteri durante la disabilitazione dell'account.
- Nessuna azione: non viene eseguita alcuna azione quando un'identità viene contrassegnata per l'interruzione anticipata da Oracle Access Governance.
- Elimina: elimina tutti gli account e le autorizzazioni gestiti da Oracle Access Governance.
- Selezionare le azioni da eseguire con i conti alla data di cessazione: selezionare l'azione da eseguire durante la cessazione ufficiale. Ciò si verifica quando è necessario revocare gli accessi di identità alla data di cessazione ufficiale.
- Elimina: elimina tutti gli account e le autorizzazioni gestiti da Oracle Access Governance.Nota
Se un sistema orchestrato specifico non supporta l'azione Elimina, non viene eseguita alcuna azione. - Disabilita: disabilita tutti gli account e disabilita le autorizzazioni gestite da Oracle Access Governance.
- Eliminare le autorizzazioni per gli account disabilitati: per garantire zero accessi residui, selezionare questa opzione per eliminare le autorizzazioni assegnate direttamente e le autorizzazioni concesse dai criteri durante la disabilitazione dell'account.
Nota
Se un sistema orchestrato specifico non supporta l'azione Disabilita, l'account viene eliminato. - Nessuna azione: Oracle Access Governance non esegue alcuna azione sugli account e sulle autorizzazioni.
- Elimina: elimina tutti gli account e le autorizzazioni gestiti da Oracle Access Governance.
- Selezionare le azioni da eseguire con i conti all'inizio della cessazione anticipata: scegliere l'azione da eseguire all'inizio di una cessazione anticipata. Ciò si verifica quando è necessario revocare gli accessi di identità prima della data di cessazione ufficiale.
- Quando un'identità lascia l'azienda, è necessario rimuovere l'accesso ai propri account. Nota
È possibile impostare queste configurazioni solo se consentito dall'amministratore di sistema. Quando le impostazioni di cessazione dell'account globale sono abilitate, gli amministratori dell'applicazione non possono gestire le impostazioni di cessazione dell'account a livello di sistema orchestrato.Selezionare una delle azioni seguenti per l'account:
- Elimina: consente di eliminare tutti gli account e le autorizzazioni gestiti da Oracle Access Governance.
- Disabilita: disabilita tutti gli account e contrassegna le autorizzazioni come inattive.
- Eliminare le autorizzazioni per gli account disabilitati: eliminare le autorizzazioni assegnate direttamente e concesse dai criteri durante la disabilitazione dell'account per garantire zero accessi residui.
- Nessuna azione: non eseguire alcuna azione quando un'identità lascia l'organizzazione.
Nota
Queste azioni sono disponibili solo se supportate dal tipo di sistema orchestrato. Ad esempio, se Elimina non è supportato, verranno visualizzate solo le opzioni Disabilita e Nessuna azione. - Quando vengono rimosse tutte le autorizzazioni per un account, ad esempio quando un'identità si sposta tra i reparti, potrebbe essere necessario decidere cosa fare con l'account. Selezionare una delle seguenti azioni, se supportata dal tipo di sistema orchestrato:
- Elimina
- Disabilita
- Nessuna azione
- Gestisci account non creati da Access Governance: selezionare questa opzione per gestire gli account creati direttamente nel sistema orchestrato. Ciò consente di riconciliare i conti esistenti e di gestirli da Oracle Access Governance.
Nota
Se non si configura il sistema come sistema gestito, questo passo del workflow verrà visualizzato ma non è abilitato. In questo caso si passa direttamente al passo Impostazioni di integrazione del workflow.
Se non si configura il sistema come sistema gestito, questo passo del workflow verrà visualizzato ma non è abilitato. In questo caso si passa direttamente al passo Impostazioni di integrazione del workflow.
Nota
Se il sistema orchestrato richiede la ricerca automatica dinamica degli schemi, come per le integrazioni delle tabelle applicazioni REST e di database generiche, è possibile impostare solo la destinazione e-mail di notifica (Utente, Usermanager) durante la creazione del sistema orchestrato. Impossibile impostare le regole di disabilitazione/eliminazione per movers e leavers. A tale scopo, è necessario creare il sistema orchestrato, quindi aggiornare le impostazioni dell'account come descritto in Configura impostazioni account di sistema orchestrato.
Se il sistema orchestrato richiede la ricerca automatica dinamica degli schemi, come per le integrazioni delle tabelle applicazioni REST e di database generiche, è possibile impostare solo la destinazione e-mail di notifica (Utente, Usermanager) durante la creazione del sistema orchestrato. Impossibile impostare le regole di disabilitazione/eliminazione per movers e leavers. A tale scopo, è necessario creare il sistema orchestrato, quindi aggiornare le impostazioni dell'account come descritto in Configura impostazioni account di sistema orchestrato.
Impostazioni di integrazione
Nel passo Impostazioni di integrazione del workflow, immettere i dettagli di configurazione necessari per consentire a Oracle Access Governance di connettersi all'Oracle Internet Directory di destinazione.
- Nel campo Nome host immettere il nome host o l'indirizzo IP della directory che si desidera integrare con Oracle Access Governance.
- Nel campo Numero porta immettere il valore della porta TCP/IP utilizzata per comunicare con il server LDAP.
- Immettere il nome distinto che verrà utilizzato per l'autenticazione nella directory, nel campo Nome utente amministratore. Questo è l'utente creato in Crea un account utente di sistema di destinazione per le operazioni di sistema orchestrato di Oracle Internet Directory.
- Immettere la password del nome distinto della destinazione nel campo Administrator Password. Confermare la password nel campo Conferma la password.
- Immettere un contesto di base da cui iniziare a cercare utenti e gruppi nel campo Contesti di base.
- Nel campo Failover immettere una lista di server di failover nel formato
<servername>:<port>, <servername>:<port>, ..., ad esempioOUDExample1:636, OUDExample1:636, ... - Nel campo SSL Enabled assicurarsi che il valore true sia selezionato.
- Selezionare il riquadro di destra per visualizzare l'elemento selezionato. Se si è soddisfatti dei dettagli immessi, selezionare Aggiungi per creare il sistema orchestrato.
Termina
Il passo finale del workflow è Fine, in cui viene richiesto di scaricare l'agente per il sistema orchestrato. Una volta scaricato l'agente, è possibile installarlo e configurarlo nell'ambiente utilizzando le istruzioni riportate in Installa Oracle Access Governance Agent.
È possibile scegliere se configurare ulteriormente il sistema orchestrato prima di eseguire un caricamento dati oppure accettare la configurazione predefinita e avviare un caricamento dati. Selezioni una sola opzione tra:
- Personalizzare prima di abilitare il sistema per i caricamenti dati
- Attivare e preparare il caricamento dati con le impostazioni predefinite fornite
Postinstallazione
Non sono presenti passi di postinstallazione associati a un sistema Oracle Internet Directory.
Di riferimento
Oracle Access Governance supporta i seguenti attributi predefiniti di Oracle Internet Directory.
| Entità | Attributo account Oracle Internet Directory | Attributo conto Oracle Access Governance | Nome visualizzato di Oracle Access Governance |
|---|---|---|---|
| Utente | Login utente | uid | ID univoco |
| uid | nome | Nome utente dipendente | |
| DN intero | fullDN | DN completo | |
| posta | |||
| givenName | firstName | Nome | |
| initials | middleName | Secondo nome | |
| sn | lastName | Cognome | |
| responsabile | managerLogin | Responabile | |
| Stato | stato | Stato | |
| departmentnumber | dipartimento | Dipartimento | |
| l | ubicazione | Posizione | |
| c | paese | Paese | |
| displayName | displayName | Nome visualizzato | |
| o | organizationName | Nome organizzazione | |
| homePhone | homePhone | Numero di telefono abitazione | |
| cellulare | cellulare | Cellulare | |
| orclActiveStartDate | startDate |
Data di inizio |
|
| orclActiveEndDate | endDate | Data di fine | |
| orclTimeZone | timeZone | Fuso orario | |
| orclGuid | orclGuid | GUID |
| Entità | Attributo account Oracle Internet Directory | Attributo conto Oracle Access Governance | Nome visualizzato di Oracle Access Governance |
|---|---|---|---|
| Utente | orclGuid | uid | ID univoco |
| uid | nome | Login utente | |
| DN completo | fullDn | DN completo | |
| Password | password | Password | |
| titolo | titolo | Titolo | |
| givenname | firstName | Nome | |
| initials | middleName | Secondo nome | |
| sn | lastName | Cognome | |
| _DN__ padre | containerDN | DN contenitore | |
| posta |
emailID |
||
| cn | commonName (nome comune) | Nome Comune | |
| departmentnumber | dipartimento | Dipartimento | |
| l | ubicazione | Posizione | |
| telephonenumber | telefono | Telefono | |
| preferredlanguage | communicationLanguage | Lingua preferita | |
| orclTimeZone | timeZone | Fuso orario | |
| orclActiveStartDate | startDate | Data di inizio | |
| orclActiveEndDate | endDate | Data di fine | |
| responsabile | responsabile | Responabile | |
| login disabilitato | loginDisabled | Login disabilitato | |
| Stato | stato | Stato | |
| c | paese | Paese | |
| Nome gruppo | gruppi come abilitazione | Gruppi |