Documentazione dell'infrastruttura Oracle Cloud

Configurare l'integrazione con Oracle APEX

Requisiti indispensabili

Prima di installare e configurare un sistema orchestrato Oracle APEX, è necessario considerare i prerequisiti e i task riportati di seguito.

Prima di iniziare

Prima di iniziare a configurare il modulo REST ORDS (Oracle REST Data Services) per Oracle APEX, assicurarsi che i requisiti riportati di seguito siano soddisfatti.

  • Accesso all'interfaccia utente di ORDS Web Developer: assicurarsi di disporre dell'accesso all'interfaccia utente di ORDS Web Developer, accessibile tramite un URL nel formato https://<hostname>/ords/sql-developer.
  • Privilegi amministrativi: è necessario disporre di un account che disponga di privilegi amministrativi (ad esempio ADMIN) o di un utente autorizzato a:
    • Crea e gestisce utenti di database.
    • Concedere i ruoli e i privilegi REST necessari.
    • Abilita l'accesso REST per utenti e schemi.
  • Ottenere lo script del modulo ORDS: assicurarsi di avere accesso allo script oracle.ag.sql, necessario per registrare un modulo REST in Oracle ORDS.

    Lo script è disponibile all'indirizzo: https://github.com/oracle/docker-images/tree/main/OracleIdentityGovernance/samples/scripts/Oracle_APEX/1.0

Configurare il modulo REST ORDS per Oracle APEX

Una volta completati tutti i prerequisiti, eseguire i passi riportati di seguito per configurare il modulo REST ORDS per Oracle APEX.

  1. Crea un account utente ORDS abilitato per REST
  2. Script modulo importazione Oracle REST Data Services (ORDS)
  3. Configurare OAuth 2.0 per il modulo ORDS

Crea un account utente ORDS abilitato per REST

Oracle Access Governance richiede un account utente ORDS per accedere al sistema Oracle APEX durante le operazioni di servizio. Consente di creare e impostare un utente di database dedicato per l'hosting e l'esposizione dei moduli REST utilizzando SQL Developer Web, in modo che i client esterni possano accedere in modo sicuro alle API.

Questo utente del database abilitato per REST eseguirà le operazioni riportate di seguito.
  • Possedere tutti i moduli REST.
  • Fornire il contesto di esecuzione per le chiamate API RESTful.
  • Agisci come identità principale associata alle API esposte.
Nota

Non utilizzare account con privilegi quali SYS, SYSTEM o ADMIN per esporre i moduli REST. Creare invece sempre un utente di database separato abilitato per REST da utilizzare come proprietario del modulo REST.

Passo 1: creare un account utente ORDS abilitato per REST

  1. Eseguire il login all'interfaccia utente di ORDS Web Developer, ad esempio https://apex.example.com/ords/sql-developer, utilizzando un account con privilegi amministrativi, ad esempio ADMIN.
  2. Fare clic sull'icona del menu di navigazione Icona Menu di navigazione, selezionare Amministrazione, quindi selezionare Utenti database.
  3. Fare clic su + Crea utente.

    Viene visualizzata la pagina Crea utente con la scheda Utente selezionata.

  4. Immettere le informazioni riportate di seguito per creare un utente del database abilitato per REST.
    • Nome utente: fornire un nome utente.
    • Password: fornire una password.
    • Conferma password: confermare la password:
    • Abilita REST, GraphQL, API MongoDB e accesso Web.
  5. Fare clic sulla scheda Ruoli concessi per i ruoli seguenti:
    CONNECT Scegliere Concesso e Predefinito.
    RESOURCE Scegliere Concesso e Predefinito.
    APEX_ADMINISTRATOR_ROLE Scegliere Concesso e Predefinito.
    ORDS_ADMINISTRATOR_ROLE Scegliere Concesso e Predefinito.
    Nota

    Questi ruoli sono essenziali per la gestione sicura dei moduli REST APEX e ORDS.
  6. Fare clic su Crea utente,

Passo 2: verificare l'account utente del servizio ORDS abilitato per REST

Verificare che l'utente ORDS venga visualizzato nella pagina Utente corrente utilizzando la procedura riportata di seguito.

  1. Fare clic sull'icona del menu di navigazione Icona Menu di navigazione, quindi selezionare Amministrazione, quindi Utenti database.

    Viene visualizzata la pagina Utente corrente.

  2. Cercare il nuovo utente.

Script modulo importazione Oracle REST Data Services (ORDS)

Scopri come registrare un modulo REST in Oracle ORDS importando lo script oracle.ag.sql nell'area di lavoro di Oracle SQL Developer.

Registra un modulo REST in Oracle ORDS

Per registrare un modulo REST in Oracle ORDS, effettuare le operazioni riportate di seguito.

  1. Scaricare lo script oracle.ag.sql: Script modulo Oracle APEX
  2. Eseguire il login all'interfaccia utente di sviluppo Web ORDS utilizzando l'account utente del servizio ORDS abilitato per REST creato nella sezione Creare un account utente ORDS abilitato per REST.
  3. Fare clic sull'icona del menu di navigazione Icona Menu di navigazionee selezionare SQL.

    Viene visualizzata la pagina del foglio di lavoro SQL in cui è possibile eseguire lo script.

  4. Aprire il file di script oracle.ag.sql scaricato in un editor e copiare il contenuto dello script.
  5. Nel riquadro del foglio di lavoro SQL incollare il contenuto dello script.
  6. Fare clic sull'icona Esegui istruzione per eseguire lo script.

    Nel riquadro Risultati query verrà visualizzato un messaggio riuscito.

Verificare la registrazione del modulo REST in Oracle ORDS

Per verificare che il modulo REST sia registrato correttamente con tutti i modelli e gli handler visibili ed eseguibili, effettuare le operazioni riportate di seguito.

  1. Fare clic sull'icona del menu di navigazione Icona Menu di navigazione, selezionare REST, quindi fare clic sulla scheda Moduli.
  2. Fare clic sull'icona Aggiorna.

    Ora dovrebbe essere visualizzato il modulo REST oracle.ag elencato.

  3. Fare clic sul modulo REST oracle.ag per verificare che tutti i modelli e gli handler associati siano disponibili.
    Nota

    Il numero totale di modelli e handler associati al modulo REST viene visualizzato sotto il modulo REST oracle.ag. È necessario assicurarsi che il conteggio di modelli e handler sia maggiore di 0.
  4. Fare clic su qualsiasi modello di modulo REST registrato (ad esempio privilegi), quindi fare clic sull'icona Menu di navigazione, quindi selezionare Modifica per visualizzare i rispettivi handler per lo stesso.

    In Protesso da privilegio, assicurarsi che venga visualizzato oracle.ag.

  5. Per verificare se il privilegio è stato aggiunto, fare clic sulla scheda Sicurezza, quindi selezionare Privilegi.

    Nella pagina Privilegi verrà visualizzato il modulo REST oracle.ag.

Configurare le credenziali client OAuth 2.0 per il modulo ORDS (Oracle REST Data Services)

La configurazione di un'autenticazione basata su OAuth 2.0 garantisce che l'accesso ai moduli REST da parte di utenti o client specifici sia sicuro.

  1. Eseguire il login all'interfaccia utente di sviluppo Web ORDS utilizzando l'account utente del servizio ORDS abilitato per REST creato nella sezione Creare un account utente ORDS abilitato per REST.
  2. Fare clic sull'icona del menu di navigazione Icona Menu di navigazione, quindi selezionare REST.
  3. Nella scheda Sicurezza selezionare OAuth Client.

    Viene visualizzata la pagina OAuth Client.

  4. Fare clic su + Crea client OAuth per creare un client OAuth in ORDS.

    Viene visualizzata la pagina Crea client OAuth.

  5. Nella scheda Definizione client immettere le informazioni riportate di seguito.
    • Nome: il nome del client.
    • Tipo di privilegio: selezionare il tipo di privilegio di autorizzazione dall'elenco come CLIENT_CRED.
    • Descrizione: una breve descrizione dello scopo del client.
    • E-mail di supporto: e-mail in cui gli utenti finali possono contattare il team di supporto nel formato desiderato. Esempio: support-team@example.com.
    • URI supporto: attributo facoltativo. Immettere l'URI in cui gli utenti finali possono contattare il client per il supporto. Esempio: https:// www.example.com/help/.
  6. Nella scheda Ruoli, nell'elenco Ruoli disponibili selezionare RESTful Servizi e spostarla nel riquadro Ruoli selezionati per associare il client al ruolo designato.
  7. Nella scheda Origini consentite lasciarla vuota.
  8. Nella scheda Privilegi, nella lista Privilegi disponibili selezionare il modulo REST oracle.ag e spostarlo nel riquadro Privilegi selezionati per assegnare un privilegio che concede l'accesso al modulo ORDS che si desidera proteggere.
    Nota

    Questo privilegio viene importato quando si esegue lo script oracle.ag.sql e viene mappato automaticamente al modulo REST oracle.ag e ai relativi modelli.
  9. Fare clic su Crea.

    Il nuovo client OAuth registrato viene visualizzato nella pagina OAuth Client e viene visualizzata una finestra di dialogo Client di autenticazione con il valore Segreto client.

  10. Utilizzare l'icona Copia in Appunti per copiare il valore Segreto client e fare clic su OK.
    Nota

    È necessario salvare questo segreto client in modo sicuro perché non verrà più visualizzato.
  11. Nella pagina OAuth Client, individuare la scheda client OAuth creata nel passo precedente per copiare l'ID client utilizzando l'icona Copia negli Appunti.
    Nota

    I valori ID client e Segreto client rappresentano le credenziali segrete per il client OAuth. Salvare queste credenziali in modo sicuro per utilizzarle in futuro.

    È ora possibile eseguire il test dell'endpoint del servizio REST ORDS protetto utilizzando un client REST.

Configura

È possibile stabilire una connessione tra Oracle APEX e Oracle Access Governance immettendo i dettagli di connessione. A tale scopo, utilizzare la funzionalità dei sistemi orchestrati disponibile in Oracle Access Governance Console.

Passa alla pagina Sistemi orchestrati

La pagina Sistemi orchestrati di Oracle Access Governance Console consente di avviare la configurazione del sistema orchestrato.

Passare alla pagina Sistemi orchestrati di Oracle Access Governance Console, effettuando le operazioni riportate di seguito.
  1. Dall'icona Menu di navigazione del menu di navigazione di Oracle Access Governance selezionare Amministrazione servizi → Sistemi orchestrati.
  2. Selezionare il pulsante Aggiungi un sistema orchestrato per avviare il workflow.

Seleziona sistema

Nel passo Seleziona sistema del workflow è possibile specificare il tipo di sistema che si desidera integrare con Oracle Access Governance.

È possibile cercare il sistema richiesto in base al nome utilizzando il campo Cerca.

  1. Selezionare Oracle Application Express (APEX).
  2. Fare clic su Avanti.

Aggiungi dettagli

Aggiungere dettagli quali nome, descrizione e modalità di configurazione.

Nel passo Aggiungi dettagli del flusso di lavoro, immettere i dettagli del sistema orchestrato.
  1. Immettere il nome del sistema a cui si desidera connettersi nel campo Nome.
  2. Immettere una descrizione nel campo Descrizione per il sistema.
  3. Selezionare Next.

Aggiungi proprietari

Aggiungere proprietari principali e aggiuntivi al sistema orchestrato per consentire loro di gestire le risorse.

È possibile associare la proprietà delle risorse aggiungendo proprietari principali e aggiuntivi. Il servizio self-service consente ai proprietari di gestire (leggere, aggiornare o eliminare) le risorse di cui sono proprietari. Per impostazione predefinita, l'autore della risorsa viene designato come proprietario della risorsa. È possibile assegnare un proprietario principale e fino a 20 proprietari aggiuntivi per le risorse.
Nota

Quando si imposta il primo sistema orchestrato per l'istanza del servizio, è possibile assegnare i proprietari solo dopo aver abilitato le identità dalla sezione Gestisci identità.
Per aggiungere proprietari:
  1. Selezionare un utente attivo di Oracle Access Governance come proprietario principale nel campo Chi è il proprietario principale?.
  2. Selezionare uno o più proprietari aggiuntivi nell'elenco Chi altro lo possiede?. È possibile aggiungere fino a 20 proprietari aggiuntivi per la risorsa.
È possibile visualizzare il proprietario principale nell'elenco. Tutti i proprietari possono visualizzare e gestire le risorse di cui sono proprietari.

Impostazioni account

Descrivere i dettagli su come gestire le impostazioni dell'account durante l'impostazione del sistema orchestrato, incluse le impostazioni di notifica e le azioni predefinite quando un'identità si sposta o esce dall'organizzazione.

Nel passo Impostazioni account del workflow, immettere la modalità di gestione degli account da parte di Oracle Access Governance quando il sistema è configurato come sistema gestito.
  1. Quando viene richiesta un'autorizzazione e l'account non esiste già, selezionare questa opzione per creare nuovi account. Questa opzione è selezionata per impostazione predefinita. Quando questa opzione è selezionata, Oracle Access Governance crea un account se non ne esiste uno quando viene richiesta un'autorizzazione. Se si deseleziona questa opzione, viene eseguito il provisioning delle autorizzazioni solo per gli account esistenti nel sistema orchestrato. Se non esiste alcun account, l'operazione di provisioning non riesce.
  2. Selezionare i destinatari dei messaggi di posta elettronica di notifica quando viene creato un account. Il destinatario predefinito è Utente. Se non viene selezionato alcun destinatario, le notifiche non vengono inviate quando vengono creati gli account.
    • Utente
    • Responsabile utenti
  3. Configura account esistenti
    Nota

    È possibile impostare queste configurazioni solo se consentito dall'amministratore di sistema. Quando le impostazioni di cessazione dell'account globale sono abilitate, gli amministratori dell'applicazione non possono gestire le impostazioni di cessazione dell'account a livello di sistema orchestrato.
    1. Selezionare le azioni da eseguire con i conti all'inizio della cessazione anticipata: scegliere l'azione da eseguire all'inizio di una cessazione anticipata. Ciò si verifica quando è necessario revocare gli accessi di identità prima della data di cessazione ufficiale.
      • Elimina: elimina tutti gli account e le autorizzazioni gestiti da Oracle Access Governance.
        Nota

        Se un sistema orchestrato specifico non supporta l'azione, non viene eseguita alcuna azione.
      • Disabilita: disabilita tutti gli account e disabilita le autorizzazioni gestite da Oracle Access Governance.
        • Eliminare le autorizzazioni per gli account disabilitati: per garantire zero accessi residui, selezionare questa opzione per eliminare le autorizzazioni assegnate direttamente e le autorizzazioni concesse dai criteri durante la disabilitazione dell'account.
      • Nessuna azione: non viene eseguita alcuna azione quando un'identità viene contrassegnata per l'interruzione anticipata da Oracle Access Governance.
    2. Selezionare le azioni da eseguire con i conti alla data di cessazione: selezionare l'azione da eseguire durante la cessazione ufficiale. Ciò si verifica quando è necessario revocare gli accessi di identità alla data di cessazione ufficiale.
      • Elimina: elimina tutti gli account e le autorizzazioni gestiti da Oracle Access Governance.
        Nota

        Se un sistema orchestrato specifico non supporta l'azione Elimina, non viene eseguita alcuna azione.
      • Disabilita: disabilita tutti gli account e disabilita le autorizzazioni gestite da Oracle Access Governance.
        • Eliminare le autorizzazioni per gli account disabilitati: per garantire zero accessi residui, selezionare questa opzione per eliminare le autorizzazioni assegnate direttamente e le autorizzazioni concesse dai criteri durante la disabilitazione dell'account.
        Nota

        Se un sistema orchestrato specifico non supporta l'azione Disabilita, l'account viene eliminato.
      • Nessuna azione: Oracle Access Governance non esegue alcuna azione sugli account e sulle autorizzazioni.
  4. Quando un'identità lascia l'azienda, è necessario rimuovere l'accesso ai propri account.
    Nota

    È possibile impostare queste configurazioni solo se consentito dall'amministratore di sistema. Quando le impostazioni di cessazione dell'account globale sono abilitate, gli amministratori dell'applicazione non possono gestire le impostazioni di cessazione dell'account a livello di sistema orchestrato.

    Selezionare una delle azioni seguenti per l'account:

    • Elimina: consente di eliminare tutti gli account e le autorizzazioni gestiti da Oracle Access Governance.
    • Disabilita: disabilita tutti gli account e contrassegna le autorizzazioni come inattive.
      • Eliminare le autorizzazioni per gli account disabilitati: eliminare le autorizzazioni assegnate direttamente e concesse dai criteri durante la disabilitazione dell'account per garantire zero accessi residui.
    • Nessuna azione: non eseguire alcuna azione quando un'identità lascia l'organizzazione.
    Nota

    Queste azioni sono disponibili solo se supportate dal tipo di sistema orchestrato. Ad esempio, se Elimina non è supportato, verranno visualizzate solo le opzioni Disabilita e Nessuna azione.
  5. Quando vengono rimosse tutte le autorizzazioni per un account, ad esempio quando un'identità si sposta tra i reparti, potrebbe essere necessario decidere cosa fare con l'account. Selezionare una delle seguenti azioni, se supportata dal tipo di sistema orchestrato:
    • Elimina
    • Disabilita
    • Nessuna azione
  6. Gestisci account non creati da Access Governance: selezionare questa opzione per gestire gli account creati direttamente nel sistema orchestrato. Ciò consente di riconciliare i conti esistenti e di gestirli da Oracle Access Governance.
Nota

Se non si configura il sistema come sistema gestito, questo passo del workflow verrà visualizzato ma non è abilitato. In questo caso si passa direttamente al passo Impostazioni di integrazione del workflow.
Nota

Se il sistema orchestrato richiede la ricerca automatica dinamica degli schemi, come per le integrazioni delle tabelle applicazioni REST e di database generiche, è possibile impostare solo la destinazione e-mail di notifica (Utente, Usermanager) durante la creazione del sistema orchestrato. Impossibile impostare le regole di disabilitazione/eliminazione per movers e leavers. A tale scopo, è necessario creare il sistema orchestrato, quindi aggiornare le impostazioni dell'account come descritto in Configura impostazioni account di sistema orchestrato.

Impostazioni di integrazione

Immettere i dettagli della connessione al sistema Oracle APEX.

  1. Nel passo Impostazioni di integrazione del workflow, immettere i dettagli necessari per consentire a Oracle Access Governance di connettersi al sistema Oracle APEX.

    Impostazioni di integrazione
    Nome di parametro Obbligatorio? Descrizione
    Che cos'è l'host Immettere il nome host dall'URL di Oracle APEX. Per l'URL 
    https://apex.example.com/ords/[base_path]/[context_path]
    Immettere apex.example.com/ords/[base_path]/[context_path]
    Che cos'è il numero di porta? N Immettere il nome della porta
    Che cos'è l'URL del server di autenticazione? Immettere l'URL OAuth in {{host}}/ords/{{base_path}}/oauth/token. Ad esempio https://apex.example.com/ords/admin/oauth/token
    Qual è l'ID client? Immettere l'ID client dall'applicazione ORDS. Seguire i passi indicati:

    Andare all'applicazione ORDS > Menu di navigazione > REST > Sicurezza > OAuth Client

    Che cos'è il segreto client? Immettere il segreto client dall'applicazione ORDS.
    Cos'è l'area di lavoro APEX? N Immettere il nome dell'area di lavoro in lettere maiuscole. Se specificato, Oracle Access Governance gestisce gli account e le autorizzazioni all'interno di questa area di lavoro. Ad esempio, APEXWORK1
  2. Fare clic su Aggiungi per creare il sistema orchestrato.

Termina

Completare la configurazione del sistema orchestrato specificando se eseguire ulteriori personalizzazioni o attivare ed eseguire un caricamento dati.

Il passo finale del workflow è Fine.

È possibile scegliere se configurare ulteriormente il sistema orchestrato prima di eseguire un caricamento dati oppure accettare la configurazione predefinita e avviare un caricamento dati. Selezioni una sola opzione tra:
  • Personalizzare prima di abilitare il sistema per i caricamenti dati
  • Attivare e preparare il caricamento dati con le impostazioni predefinite fornite

Postconfigurazione

Non sono presenti passi successivi alla configurazione associati a un sistema Oracle APEX.