Documentação do Oracle Cloud Infrastructure

Configurar a Integração entre o Oracle Access Governance e o Microsoft Active Directory

Pré-requisitos

Antes de instalar e configurar um sistema orquestrado do Microsoft Active Directory ou do Microsoft Active Directory Lightweight Directory Services (AD LDS), você deve considerar os seguintes pré-requisitos e tarefas.

Criar uma conta de usuário

O Oracle Access Governance requer uma conta de usuário para acessar os sistemas do Microsoft Active Directory ou do Microsoft Active Directory Lightweight Directory Services (AD LDS) durante as operações de serviço. Dependendo do sistema que você está usando, você pode criar o usuário no sistema gerenciado e atribuir permissões e funções específicas ao usuário.

Criar uma Conta de Usuário para Operações do Sistema Orquestrado no Microsoft Active Directory

Para o Microsoft Active Directory:

Você pode usar uma conta de administrador do Microsoft Windows 2008 Server (Controlador de Domínio) para operações. Como alternativa, você pode criar uma conta de usuário e atribuir os direitos mínimos necessários à conta de usuário.

Para criar a conta de usuário do Microsoft Active Directory para operações:

Consulte Também: documentação do Microsoft Active Directory para obter informações detalhadas sobre a execução deste procedimento.

  1. Crie um grupo (por exemplo, AGGroup) no sistema. Ao criar o grupo, selecione Grupo de Segurança como o tipo de grupo e Global ou Universal como o escopo do grupo.
    Observação

    Em uma configuração de domínio pai-filho, crie o grupo no domínio pai.
  2. Se você estiver definindo o sistema orquestrado no modo de sistema gerenciado, deverá tornar esse grupo um membro do grupo Operadores de Conta.
  3. Se você estiver definindo o sistema orquestrado no modo de sistema gerenciado, defina as seguintes permissões para o grupo Usuários Autenticados como Permitir.
    • Criar todos os objetos filhos
    • Excluir todos os abjetos filhos
  4. Designe todas as permissões de leitura a este grupo. Se houver vários domínios filhos na floresta, acesse cada domínio filho e adicione o grupo anterior ao grupo Operadores de Conta de cada domínio filho.
    Observação

    Você designa permissões de leitura na guia Segurança da caixa de diálogo Propriedades da conta do usuário. Esta guia é exibida apenas na visualização Recursos avançados. Para alternar para essa exibição, selecione Recursos Avançados no menu Exibir no Console do Microsoft Active Directory.
  5. Crie um usuário (por exemplo, AGUser) no sistema de destino. Em uma configuração de domínio pai-filho, crie o usuário no domínio pai.
  6. Torne o usuário um membro do grupo (por exemplo, AGGroup) criado na Etapa 1.

Criar uma Conta de Usuário para Operações de Sistema Orquestradas no Microsoft Active Directory Lightweight Directory Services (AD LDS)

Para o Microsoft Active Directory Lightweight Directory Services (AD LDS):

Crie e use uma conta de usuário que seja membro do grupo Administradores para executar operações.

Para criar a conta de usuário do Microsoft Active Directory Lightweight Directory Services (AD LDS) para operações:

Consulte Também: documentação do Microsoft Active Directory Lightweight Directory Services (AD LDS) para obter informações detalhadas sobre a execução deste procedimento.

  1. Crie uma conta de usuário no Microsoft Active Directory Lightweight Directory Services (AD LDS).
  2. Defina uma senha para a conta do usuário.
  3. Ative a conta do usuário definindo o campo msDS-UserAccountDisabled como false.
  4. Certifique-se de que os campos msDS-UserDontExpirePassword e ms-DS-UserPasswordNotRequired estejam disponíveis.
  5. Digite um valor no campo userPrincipalName.
    Observação

    O valor deve estar no formato username@domain_name, por exemplo: OAGuser@example.com.
  6. Adicione o nome distinto (DN) do usuário ao grupo Administradores.
Observação

Para criar uma conta de usuário para executar operações em uma instância stand-alone do Microsoft Active Directory Lightweight Directory Services (AD LDS), siga estas etapas:
  1. Crie uma conta de usuário no computador autônomo.
  2. Adicione o usuário recém-criado ao grupo Administradores do AD LDS: CN=Administrators,CN=Roles,DC=X.

Configurar

Você pode estabelecer uma conexão entre o Microsoft Active Directory e o Oracle Access Governance informando os detalhes da conexão. Para isso, use a funcionalidade de sistemas orquestrados disponível na Console do Oracle Access Governance.

Navegar até a Página Sistemas Orquestrados

A página Sistemas Orquestrados da Console do Oracle Access Governance é onde você inicia a configuração do seu sistema orquestrado.

Navegue até a página Sistemas Orquestrados da Console do Oracle Access Governance, seguindo estas etapas:
  1. No ícone Menu de navegação do menu de navegação do Oracle Access Governance, selecione Administração de Serviço → Sistemas Orquestrados.
  2. Selecione o botão Adicionar um sistema orquestrado para iniciar o workflow.

Selecionar sistema

Na etapa Selecionar sistema do workflow, você pode especificar qual tipo de sistema deseja integrar ao Oracle Access Governance.

Você pode procurar o sistema necessário por nome usando o campo Pesquisar.

  1. Selecione Microsoft Active Directory .
  2. Selecione Próximo.

Adicionar detalhes

Adicione detalhes como nome, descrição e modo de configuração.

Na etapa Adicionar Detalhes do workflow, informe os detalhes do sistema orquestrado:
  1. Informe um nome para o sistema ao qual você deseja se conectar no campo Nome.
  2. Informe uma descrição para o sistema no campo Descrição.
  3. Decida se esse sistema orquestrado é uma origem autorizada e se o Oracle Access Governance pode gerenciar permissões definindo as caixas de seleção a seguir.
    • Esta é a origem autoritativa das minhas Identidades

      Selecione uma das opções:

      • Origem de identidades e seus atributos: O sistema atua como uma identidade de origem e atributos associados. Novas identidades são criadas através desta opção.
      • Somente origem de atributos de identidade: O sistema ingere detalhes adicionais de atributos de identidade e se aplica a identidades existentes. Esta opção não ingere nem cria novos registros de identidade.
    • Desejo gerenciar permissões para este sistema
    O valor padrão em cada caso é Desmarcado.
  4. Selecione Próximo.
Observação

O sistema orquestrado do Microsoft Active Directory permite que você gerencie grupos no Microsoft Active Directory usando a opção Desejo gerenciar coleções de identidades para esse sistema orquestrado. Se marcada, esta caixa de seleção permite gerenciar grupos do Microsoft Active Directory no Oracle Access Governance. Todas as alterações feitas nos grupos do Microsoft Active Directory serão reconciliadas entre o Oracle Access Governance e o sistema orquestrado. Da mesma forma, quaisquer alterações feitas no Microsoft Active Directory serão refletidas no Oracle Access Governance

Adicionar Proprietários

Adicione proprietários principais e adicionais ao sistema orquestrado para permitir que eles gerenciem recursos.

Você pode associar a propriedade do recurso adicionando proprietários principais e adicionais. Isso impulsiona o autoatendimento, pois esses proprietários podem gerenciar (ler, atualizar ou excluir) os recursos de sua propriedade. Por padrão, o criador do recurso é designado como o proprietário do recurso. Você pode atribuir um proprietário principal e até 20 proprietários adicionais para os recursos.
Observação

Ao configurar o primeiro Sistema Orquestrado para sua instância de serviço, você só poderá designar proprietários depois de ativar as identidades na seção Gerenciar Identidades.
Para adicionar proprietários:
  1. Selecione um usuário ativo do Oracle Access Governance como o proprietário principal no campo Quem é o proprietário principal?.
  2. Selecione um ou mais proprietários adicionais na lista Quem mais possui?. Você pode adicionar até 20 proprietários adicionais para o recurso.
Você pode exibir o Proprietário Principal na lista. Todos os proprietários podem visualizar e gerenciar os recursos que possuem.

Definições da conta

Descreva detalhes de como gerenciar definições de conta ao configurar o sistema orquestrado, incluindo definições de notificação, e ações padrão quando uma identidade é movida ou sai da organização.

Na etapa Configurações da conta do workflow, informe como você deseja que o Oracle Access Governance gerencie contas quando o sistema for configurado como um sistema gerenciado:
  1. Quando uma permissão for solicitada e a conta ainda não existir, selecione esta opção para criar novas contas. Esta opção é selecionada por padrão. Quando selecionada, o Oracle Access Governance criará uma conta se uma não existir quando uma permissão for solicitada. Se você desmarcar essa opção, as permissões serão provisionadas somente para contas existentes no sistema orquestrado. Se não existir uma conta, a operação de provisionamento falhará.
  2. Selecione os destinatários dos e-mails de notificação quando uma conta for criada. O destinatário padrão é Usuário. Se nenhum destinatário for selecionado, as notificações não serão enviadas quando as contas forem criadas.
    • Usuário
    • Gerente de usuários
  3. Configurar Contas Existentes
    Observação

    Você só poderá definir essas configurações se permitido pelo administrador do sistema. Quando as configurações globais de encerramento de conta estão ativadas, os administradores de aplicativos não podem gerenciar as configurações de encerramento de conta no nível do sistema orquestrado.
    1. Selecionar o que fazer com contas quando o desligamento antecipado começar: Escolha a ação a ser executada quando um desligamento antecipado começar. Isso acontece quando você precisa revogar os acessos de identidade antes da data de desligamento oficial.
      • Excluir: Exclui todas as contas e permissões gerenciadas pelo Oracle Access Governance.
        Observação

        Se um sistema orquestrado específico não suportar a ação, nenhuma ação será executada.
      • Desativar: Desativa todas as contas e desativa as permissões gerenciadas pelo Oracle Access Governance.
        • Excluir as permissões para contas desativadas: para garantir zero acesso residual, selecione esta opção para excluir permissões designadas diretamente e permissões concedidas pela política durante a desativação da conta.
      • Nenhuma ação: Nenhuma ação é tomada quando uma identidade é sinalizada para encerramento antecipado pelo Oracle Access Governance.
    2. Selecionar o que fazer com contas na data de desligamento: Selecione a ação a ser executada durante o desligamento oficial. Isso acontece quando você precisa revogar os acessos de identidade na data de desligamento oficial.
      • Excluir: Exclui todas as contas e permissões gerenciadas pelo Oracle Access Governance.
        Observação

        Se um sistema orquestrado específico não suportar a ação Excluir, nenhuma ação será executada.
      • Desativar: Desativa todas as contas e desativa as permissões gerenciadas pelo Oracle Access Governance.
        • Excluir as permissões para contas desativadas: para garantir zero acesso residual, selecione esta opção para excluir permissões designadas diretamente e permissões concedidas pela política durante a desativação da conta.
        Observação

        Se um sistema orquestrado específico não suportar a ação Desativar, a conta será excluída.
      • Nenhuma ação: Nenhuma ação é tomada sobre contas e permissões pelo Oracle Access Governance.
  4. Quando uma identidade sai da sua empresa, você deve remover o acesso às suas contas.
    Observação

    Você só poderá definir essas configurações se permitido pelo administrador do sistema. Quando as configurações globais de encerramento de conta estão ativadas, os administradores de aplicativos não podem gerenciar as configurações de encerramento de conta no nível do sistema orquestrado.

    Selecione uma das seguintes ações para a conta:

    • Excluir: Exclui todas as contas e permissões gerenciadas pelo Oracle Access Governance.
    • Desativar: Desative todas as contas e marque as permissões como inativas.
      • Excluir as permissões para contas desativadas: Exclua permissões atribuídas diretamente e concedidas por política durante a desativação da conta para garantir zero acesso residual.
    • Nenhuma ação: Não execute nenhuma ação quando uma identidade sair da organização.
    Observação

    Essas ações só estarão disponíveis se forem suportadas pelo tipo de sistema orquestrado. Por exemplo, se Excluir não for suportado, você verá apenas as opções Desativar e Nenhuma ação.
  5. Quando todas as permissões de uma conta são removidas, por exemplo, quando uma identidade se move entre departamentos, você pode precisar decidir o que fazer com a conta. Selecione uma das seguintes ações, se for suportada pelo tipo de sistema orquestrado:
    • Excluir
    • Desativar
    • Nenhuma ação
  6. Gerenciar contas que não foram criadas pelo Access Governance: Selecione para gerenciar contas que são criadas diretamente no sistema orquestrado. Com isso, você pode reconciliar contas existentes e gerenciá-las no Oracle Access Governance.
Observação

Se você não configurar o sistema como um sistema gerenciado, essa etapa do workflow será exibida, mas não será ativada. Nesse caso, você vai diretamente para a etapa Configurações de integração do workflow.
Observação

Se seu sistema orquestrado exigir descoberta dinâmica de esquema, como nas integrações REST Genérico e Tabelas de Aplicativos de Banco de Dados, somente o destino do e-mail de notificação poderá ser definido (Usuário, Usermanager) ao criar o sistema orquestrado. Não é possível definir as regras de desativação/exclusão para movers e leavers. Para fazer isso, você precisa criar o sistema orquestrado e, em seguida, atualizar as definições da conta conforme descrito em Configurar Definições da Conta do Sistema Orquestrado.

Definições de integração

Informe detalhes da conexão com o sistema do Microsoft Active Directory.

  1. Na etapa Configurações de integração do workflow, informe os detalhes necessários para estabelecer conexão com o sistema Microsoft Active Directory.

    Definições de integração
    Nome do Parâmetro Obrigatório? Descrição
    Qual é o nome do host? Sim O nome do host ou o endereço IP do diretório que você deseja integrar ao Oracle Access Governance, por exemplo, example.com, 172.20.55.120.
    Qual é o número da porta? Sim O valor do número da porta TCP/IP usado para se comunicar com o servidor LDAP. O padrão é 636.
    Qual é o principal? Sim O nome exclusivo com o qual autenticar o servidor LDAP.

    Este é o usuário criado em Criar uma Conta de Usuário.
    Qual é a senha? Sim A senha do nome distinto do destino.
    Confirmar senha Sim Confirme a senha.
    Qual é o contexto base? Sim Insira um contexto base a partir do qual começar a pesquisar usuários e grupos. Por exemplo, OU=new,DC=test,DC=com.
    Filtro de pesquisa de contas? Não

    Informe o filtro de pesquisa LDAP que cada conta deve corresponder para ser incluída nos resultados da pesquisa. Alguns exemplos:

    1. Valor padrão: objectClass=*
    2. Retorna todas as contas pessoais em que o nome da conta termina com "a" no nome da conta e no tipo de funcionário "ADM", use 
      (&(objectCategory=person)(sAMAccountName=*a)(employeeType=ADM))
    3. Retorna todas as contas de usuário classificadas como "person" com um tipo de funcionário "EMP" ou "NON", use
      (&(objectCategory=person)(objectClass=user)(|(employeeType=EMP)(employeeType=NON)))
    Qual é o servidor de failover? Não Informe uma lista de servidores de failover no formato <servername>:<port>, <servername>:<port>, ..., por exemplo, ADExample1:636, ADExample1:636, ....
    SSL ativado Sim Certifique-se de que o valor true esteja selecionado.

    Veja a seguir as etapas para configurar SSL no agente:

    1. Use o JDK para instalar e executar um agente.
    2. Como parte do processo de instalação do agente, copie cacerts do JDK usado para o agente no diretório de Instalação do agente.
    3. Importe o AD cert para o arquivo cacerts anterior usando o comando
      <%JAVA_HOME%>/bin/keytool -import -alias OIGAD-cert -file <AD-cert-file> -keystore <agent-install-dir>/cacerts
    4. Config.properties deve incluir o seguinte:
      JAVA_OPTS=-Djavax.net.ssl.trustStore=/app/cacerts-Djavax.net.ssl.trustStorePassword=changeit
    Qual é o nome do domínio? Sim Nome do domínio do Windows, por exemplo, windowsdomain.mycompany.com.
    Deseja usar o Catálogo Global para executar uma pesquisa de objeto em toda a floresta? Sim

    Você pode procurar objetos (como usuários, grupos e recursos) em toda a floresta do Microsoft Active Directory, em vez de restringir consultas a um único domínio.

    • Não, não usar catálogo global: recupera somente objetos do domínio pai, excluindo quaisquer domínios filhos na floresta.

    • Sim, use o catálogo global em vez de ssl: Permite pesquisar nos domínios pai e filho (floresta inteira) usando uma conexão não segura. Isto só é aplicável durante a operação de carregamento de dados usando a porta Global 3268.

    • Sim, use o catálogo global sobre ssl: Permite pesquisar nos domínios pai e filho (floresta inteira) usando uma conexão segura. Isto só é aplicável durante a operação de carregamento de dados usando a porta Global 3269.
    Quais são as classes de objeto da conta? Sim A classe ou as classes de objeto que serão usadas para criar objetos de usuário na árvore LDAP.
    Quais são as classes de objeto da organização? Sim Especifique as classes de objeto para organização, unidade organizacional e contêiner no Microsoft Active Directory.
    Qual é o nível de escopo da pesquisa ldap? Sim

    • Pesquisar o objeto base (OBJECT): Limita a pesquisa apenas ao objeto base especificado. Use esta opção quando precisar recuperar ou verificar um único objeto de diretório.

    • Pesquisar filhos imediatos de um objeto base (ONE_LEVEL): Pesquisa apenas o contêiner especificado no contexto base, não incluindo seus contêineres filhos. Por exemplo, se a base de pesquisa for OU=abc,DC=corp,DC=com, somente a OU abc será pesquisada.

    • Pesquisar todos os objetos filhos e o objeto base (SUBTREE): Pesquisa o objeto base e todos os seus descendentes no diretório. Por exemplo, se o contexto base for definido como OU=abc,DC=corp,DC=com, a pesquisa abrangerá a OU abc e todas as OUs filhas.
    Qual é o tipo de referências? Sim

    Um encaminhamento permite que as consultas sejam encaminhadas em vários servidores LDAP. Isso é útil para operações de provisionamento e gerenciamento de contas.

    • Ignorar referências: As referências não seriam perseguidas e o provisionamento só é executado no domínio pai.

    • Siga referências automaticamente: Todas as referências são perseguidas pela integração do Oracle Access Governance, oferecendo suporte a operações de carregamento e provisionamento de dados em vários subdomínios em uma única floresta.

    • Lançar exceção quando uma referência for encontrada: Selecione esta opção se qualquer referência retornada pela consulta LDAP tiver que ser reportada como um erro.
    Quais são os nomes dos atributos de destino do tipo de data personalizado? Não

    Informe uma lista de nomes de atributo do sistema de destino personalizado que tenham um tipo de sintaxe Número Grande e exijam transformação em um formato numérico compatível com LDAP.
    Este Active Directory é um ambiente Lightweight Directory Services (AD LDS)? Não Marque esta caixa de seleção se você estiver configurando isso como uma instância do AD LDS (Active Directory Lightweight Directory Services).

    Por padrão, é false.

    Observação: Há pré-requisitos para atributos de esquema no AD LDS. Você deve verificar Atributos Suportados Padrão.
  2. Selecione Adicionar para criar o sistema orquestrado.

Finalizar

Conclua a configuração do sistema orquestrado fornecendo detalhes sobre se deseja realizar personalização adicional ou ativar e executar um carregamento de dados.

A etapa final do workflow é Concluir.

Na etapa Finalizar do workflow, você deverá fazer download do agente que usará para fazer a interface entre o Oracle Access Governance e o Microsoft Active Directory. Selecione o link Fazer Download para fazer download do arquivo zip de agente para o ambiente no qual o agente será executado.

Após fazer download do agente, siga as instruções explicadas no artigo Administração do Agente.

Por fim, você tem a opção de configurar ainda mais o sistema orquestrado antes de executar um carregamento de dados ou aceitar a configuração padrão e iniciar um carregamento de dados. Selecione uma opção:
  • Personalizar antes de ativar o sistema para cargas de dados
  • Ativar e preparar a carga de dados com os padrões fornecidos

Pós-Configuração

Não há etapas de pós-configuração associadas a um sistema Microsoft Active Directory.