Documentação do Oracle Cloud Infrastructure

Integrar com Tabelas de Aplicativos de Banco de Dados

Visão Geral: Integrar o Oracle Access Governance às Tabelas de Aplicativos de Banco de Dados

O Oracle Access Governance pode ser integrado às Tabelas de Aplicativos de Banco de Dados, permitindo a orquestração de identidades, incluindo a integração de dados de identidade (usuário) e o provisionamento de contas.

As Tabelas de Aplicativos de Banco de Dados podem ser definidas como aplicativos personalizados orientados a banco de dados. Em termos de administração de identidade, esses aplicativos são caracterizados pelo seguinte:
  • Os aplicativos não têm APIs para administração de identidades
  • Cada aplicativo pode ter um conjunto diferente de esquemas para dados de identidade, conta e permissão
  • O esquema do aplicativo não é conhecido pelo Oracle Access Governance antes de configurar e executar a integração
  • Não há mapeamento direto entre as tabelas do banco de dados do aplicativo e quaisquer entidades do Oracle Access Governance
  • Não há um padrão comum de como os dados de identidade são organizados no esquema do aplicativo. Os dados de identidade podem estar em uma única tabela ou distribuídos em muitas tabelas

A integração de Tabelas do Aplicativo de Banco de Dados permite a troca de dados do usuário entre um banco de dados do cliente e o Oracle Access Governance.

A integração das Tabelas do Aplicativo de Banco de Dados suporta os seguintes elementos:
  • Tabelas de Aplicativos de Banco de Dados como uma fonte autorizada (confiável) de informações de identidade que permite a reconciliação de identidades criadas ou modificadas em tabelas de banco de dados.
  • Tabelas de Aplicativos de Banco de Dados como um Sistema Gerenciado que permite o provisionamento de contas de aplicativos em tabelas de banco de dados.

Visão Geral da Arquitetura de Integração de Tabelas de Aplicativos de Banco de Dados

A integração com Tabelas de Aplicativos de Banco de Dados permite recuperar dados de identidade de um sistema, transportá-los para o Oracle Access Governance e ingeri-los. Depois que um sistema é conectado, você pode executar tarefas e operações de provisionamento e correção, como criar, reconciliar, atualizar, excluir, desativar/ativar, adicionar/excluir permissão e adicionar/excluir grupo, que são refletidos no sistema gerenciado.


Arquitetura DBAT

Figura 1. Arquitetura DBAT
A integração das Tabelas de Aplicativos de Banco de Dados é implementada usando um tipo de conexão baseado em Agente. Isso significa que uma conexão direta não está disponível, portanto, uma conexão indireta é feita entre o Oracle Access Governance e a instância de banco de dados necessária usando o Agente do Access Governance. A integração das Tabelas de Aplicativos de Banco de Dados suporta os seguintes modos:
  • Se você selecionar o modo de configuração Origem Autorizada ao configurar um Sistema Orquestrado de Tabelas do Aplicativo de Banco de Dados, o Oracle Access Governance recuperará dados de identidade da instância do banco de dados e os tratará como uma origem autorizada (confiável) de informações de identidade.
  • Se você selecionar o modo de configuração Sistemas Gerenciados, o Oracle Access Governance permitirá que você gerencie contas de usuário no banco de dados de destino. Isso permite o provisionamento de novas contas em instâncias de banco de dados do cliente no Oracle Access Governance.

Para identificar o esquema relevante para sua integração, a integração Tabelas do Aplicativo de Banco de Dados oferece descoberta automática de esquema. Este é o processo de identificação do esquema de banco de dados subjacente que contém os dados do usuário. O suporte é fornecido para o esquema limitado do Dia 0, e as modificações subsequentes no esquema do usuário são acomodadas pelo suporte do Dia-N, que permite atualizar o esquema com quaisquer alterações feitas nas tabelas do banco de dados e aplicá-las ao seu esquema descoberto

Os detalhes das tabelas relevantes do banco de dados do usuário são fornecidos durante a criação do agente. Os detalhes do esquema são armazenados em um arquivo de esquema, que está localizado com o agente. Os detalhes do esquema podem ser atualizados editando diretamente este arquivo, conforme necessário.

A conexão com o banco de dados que contém suas tabelas de usuário é feita por meio de uma conexão de banco de dados JDBC. Isso permite que o agente:
  • Descubra o esquema do seu aplicativo orientado a banco de dados
  • Executar carregamentos de dados
  • Provisionar contas

Um carregamento completo de dados relevantes de identidade e conta é feito no Oracle Access Governance toda vez que o carregamento é executado. Se esta for a primeira vez que o carregamento for feito, as estruturas relevantes de identidade e conta serão criadas no Oracle Access Governance conforme apropriado. Em execuções subsequentes de carregamento de dados, todos os dados são carregados no Oracle Access Governance e o processo de ingestão atualiza todas as alterações desde o último carregamento de dados nos artefatos apropriados de identidade e conta.

Depois que seu sistema orquestrado for configurado, você poderá provisionar contas usando o mecanismo de provisionamento do Oracle Access Governance, que obterá qualquer solicitação de contas ou permissões e as transmitirá pelo agente e para o banco de dados de destino. O provisionamento suporta operações de criação, atualização e revogação.

No caso de seu arquivo de esquema ser perdido ou corrompido de qualquer forma, a integração das Tabelas de Aplicativos de Banco de Dados fornece a recuperação do arquivo de esquema. Isso é útil em cenários como uma falha do agente ou perda do arquivo de esquema.

Visão Geral Funcional da Integração de Tabelas do Aplicativo de Banco de Dados

A integração das Tabelas de Aplicativos de Banco de Dados suporta casos de uso, incluindo configuração do Sistema Orquestrado, carga de dados, criação e revogação de contas, alteração de senha e designação e remoção de atribuições.

Funções de Integração Suportadas

A integração das Tabelas de Aplicativos de Banco de Dados com o Oracle Access Governance suporta as seguintes funções:
  • Configurar Sistema Orquestrado
  • Carregar Dados
  • Criar Conta
  • Designar Permissões
  • Remover Permissões
  • Alterar Senha
  • Revogar Conta

Para obter detalhes completos das funções suportadas, consulte Visão Geral Funcional do Oracle Access Governance Integration

Um Exemplo de Ciclo de Vida da Conta

Vejamos um exemplo. Você criou um novo sistema orquestrado que está conectado à instância do banco de dados MyDBAT que contém dados do usuário da sua organização. O sistema orquestrado está configurado para os modos Origem Autorizada e Sistema Gerenciado. Na primeira carga de dados, os dados de identidade e conta são carregados no Oracle Access Governance. No momento, os seguintes detalhes são criados no Oracle Access Governance:
  • Uma identidade do Oracle Access Governance é criada, digamosMyAGIdentity, compreendendo dados autorizados, como nome, e-mail e local.
  • Uma conta é criada no Oracle Access Governance para atribuições de Tabelas do Aplicativo de Banco de Dados existentes, digamos DBATRole_Composer.
Agora temos o seguinte:
  • MyAGIdentity
    • MyDBATAccount
      • DBATRole_Composer

Após algum tempo, MyAGIdentity passa para uma nova posição dentro da organização que exige a função de desenvolvedor. Um pacote de acesso DBATBundle_Developer é criado no Oracle Access Governance que contém as permissões de desenvolvimento necessárias. Este pacote de acesso pode ser atribuído como resultado de uma política, atribuição ou solicitação. Digamos que o usuário solicite o pacote de acesso usando a opção Solicitar um novo acesso. Na aprovação, a solicitação aciona uma operação de provisionamento que aplica as alterações a MyDBAT, designando as atribuições das Tabelas do Aplicativo de Banco de Dados correspondentes às permissões contidas no pacote de acesso DBATBundle_Developer.

Agora temos o seguinte:
  • MyAGIdentity
    • MyDBATAccount
      • DBATRole_Composer
      • DBATBundle_Developer
Contas adicionais podem ser mapeadas para a identidade MyAGIdentity ao longo do tempo de outros sistemas gerenciados, fornecendo um perfil como este:
  • MyAGIdentity
    • MyDBATAccount
    • MyOracleDBAccount
    • MyMSTeamsAccount

MyAGIdentity será obrigado a alterar sua senha. Usando a funcionalidade Meu Acesso na Console do Oracle Access Governance, eles alteram sua senha, o que propaga a alteração para MyDBAT usando o provisionamento do Oracle Access Governance.

Em seguida, MyAGIdentity é movido para uma atribuição, o que significa que ela não precisa mais de uma conta em MyDBAT. Nesse caso, uma tarefa de provisionamento de conta de revogação pode ser gerada revogando a conta da identidade como parte de uma revisão de acesso. Como alternativa, sua associação com atribuições de banco de dados do cliente pode ser removida removendo a identidade da atribuição ou política relevante do Oracle Access Governance. Em ambos os casos, isso resultará em uma tarefa de provisionamento que revogará a conta do banco de dados do cliente, juntamente com quaisquer atribuições relacionadas. O perfil agora seria semelhante a:
  • MyAGIdentity
    • MyOracleDBAccount
    • MyMSTeamsAccount

Se o Sistema Orquestrado de Tabelas do Aplicativo de Banco de Dados estiver configurado no modo Origem Autorizada e você tornar uma identidade inativa, a identidade MyAGIdentity será efetivamente desativada. Nesse caso, uma tarefa de provisionamento será gerada e aplicada ao Sistema Gerenciado.

Agora temos o seguinte:
  • MyAGIdentity (Desativado)