Documentação do Oracle Cloud Infrastructure

Integrar com o Database User Management (Oracle)

O conector do Database User Management integra o Oracle Access Governance às tabelas de gerenciamento de usuários do banco de dados no Oracle Database. Você pode estabelecer uma conexão entre o Oracle Database e o Oracle Access Governance informando os detalhes da conexão e configurando o conector. Para isso, use a funcionalidade Sistemas Orquestrados disponível na Console do Oracle Access Governance.

Pré-requisitos

Antes de instalar e configurar um sistema orquestrado do Database User Management (Oracle), você deve considerar os pré-requisitos e tarefas a seguir.

Componentes Certificados

Você pode integrar qualquer um dos seguintes tipos do Oracle Database ao Oracle Access Governance:

  • Exadata V2.
  • Oracle Database 12c como banco de dados único, PDB (banco de dados plugável) ou implementação do Oracle RAC.
  • Oracle Database 18c como banco de dados único, PDB (banco de dados plugável) ou implementação do Oracle RAC.
  • Oracle Database 19c como banco de dados único, PDB (banco de dados plugável) ou implementação do Oracle RAC.
  • Oracle Database 23ai como banco de dados único, banco de dados plugável (PDB) ou implementação do Oracle RAC.
  • Oracle Autonomous Database

Operações Suportadas

O sistema orquestrado do Database User Management (Oracle) suporta as seguintes operações:

  • Criar usuário
  • Redefinir senha
  • Adicionar atribuições
  • Revogar Atribuições
  • Adicionar privilégios
  • Revogar privilégios

Atributos Suportados Padrão

O sistema orquestrado do Database User Management (Oracle) suporta os atributos padrão a seguir.

Atributos Padrão - Gerenciar Modo de Permissão
Entidade do Usuário DBUM Atributo da Conta de Destino Atributo da Conta do Oracle Access Governance
Id da Devolução uid
Nome de Usuário nome
Tipo de Autenticação authenticationType
DN Global globalDN
Tablespace Padrão defaultTablespace
Cota do Tablespace Padrão (em MB) defaultTablespaceQuotaInMB
Tablespace Temporário temporaryTablespace
Nome do Perfil profileName
Status daConta accountStatus
Status status
Senha senha

Atribuição

As atribuições DBUM (Oracle) são mapeadas para direitos do Oracle Access Governance
adminOption roleAdminOption

Privilégio

Os privilégios DBUM (Oracle) são mapeados para direitos do Oracle Access Governance
adminOption privilegeAdminOption

Regra de Correspondência Padrão

A regra de correspondência padrão para o sistema orquestrado do Database User Management (Oracle)

contém:
Regras de Correspondência Padrão
Modo Regra de Correspondência Padrão
Gerenciar Permissões userNameOracle = userLogin

Criar uma Conta de Usuário do Sistema de Destino para Operações do Sistema Orquestrado do Database User Management (Oracle)

O Oracle Access Governance requer uma conta de usuário para acessar o sistema durante as operações de serviço. Dependendo do sistema que você está usando, você pode criar o usuário e atribuir permissões e funções específicas a ele.

Para banco de dados Oracle:

  1. Crie um usuário de serviço usando a seguinte instrução SQL:
    CREATE USER agserviceuser IDENTIFIED BY password
DEFAULT TABLESPACE users
TEMPORARY TABLESPACE temp QUOTA UNLIMITED ON users;
  2. Atribua as seguintes permissões e atribuições ao usuário do serviço criado:
    GRANT SELECT on dba_role_privs TO agserviceuser;
GRANT SELECT on dba_sys_privs TO agserviceuser;
GRANT SELECT on dba_ts_quotas TO agserviceuser;
GRANT SELECT on dba_tablespaces TO agserviceuser;
GRANT SELECT on dba_users TO agserviceuser;
GRANT CREATE USER TO agserviceuser;
GRANT ALTER ANY TABLE TO agserviceuser;
GRANT GRANT ANY PRIVILEGE TO agserviceuser;
GRANT GRANT ANY ROLE TO agserviceuser;
GRANT DROP USER TO agserviceuser;
GRANT SELECT on dba_roles TO agserviceuser;
GRANT SELECT ON dba_profiles TO agserviceuser;
GRANT ALTER USER TO agserviceuser;
GRANT CREATE ANY TABLE TO agserviceuser;
GRANT DROP ANY TABLE TO agserviceuser;
GRANT CREATE ANY PROCEDURE TO agserviceuser;
GRANT DROP ANY PROCEDURE TO agserviceuser;

Configurar

Você pode estabelecer uma conexão entre o Oracle Database e o Oracle Access Governance informando detalhes da conexão e configurando seu ambiente de banco de dados. Para isso, use a funcionalidade Sistemas Orquestrados disponível na Console do Oracle Access Governance.

Navegar até a Página Sistemas Orquestrados

Navegue até a página Sistemas Orquestrados da Console do Oracle Access Governance, seguindo estas etapas:
  1. No ícone Menu de navegação do menu de navegação do Oracle Access Governance, selecione Administração de Serviço → Sistemas Orquestrados.
  2. Selecione o botão Adicionar um sistema orquestrado para iniciar o workflow.

Selecionar sistema

Na etapa Selecionar sistema do workflow, especifique qual tipo de sistema você gostaria de integrar. Você pode procurar o sistema necessário por nome usando o campo Pesquisar.

  1. Selecione o mosaico Gerenciamento de Usuários de Banco de dados (Oracle DB). Uma vez selecionado, um valor de Database User Management (Oracle DB) é exibido no lado direito em O que eu selecionei.
  2. Clique em Avançar.

Informar detalhes

Na etapa Adicionar Detalhes do workflow, informe os detalhes do sistema orquestrado:
  1. Informe um nome para o sistema ao qual você deseja se conectar no campo Nome.
  2. Informe uma descrição para o sistema no campo Descrição.
  3. Decida se esse sistema orquestrado é uma origem autorizada e se o Oracle Access Governance pode gerenciar permissões definindo as caixas de seleção a seguir.
    • Esta é a origem autoritativa das minhas Identidades

      Selecione uma das opções:

      • Origem de identidades e seus atributos: O sistema atua como identidades de origem e atributos associados. Novas identidades são criadas através desta opção.
      • Somente origem de atributos de identidade: O sistema ingere detalhes adicionais de atributos de identidade e se aplica a identidades existentes. Esta opção não ingere nem cria novos registros de identidade.
    • Desejo gerenciar permissões para este sistema
    O valor padrão em cada caso é Desmarcado.
  4. Selecione Próximo.

Adicionar proprietários

Você pode associar a propriedade do recurso adicionando proprietários principais e adicionais. Isso impulsiona o autoatendimento, pois esses proprietários podem gerenciar (ler, atualizar ou excluir) os recursos de sua propriedade. Por padrão, o criador do recurso é designado como o proprietário do recurso. Você pode atribuir um proprietário principal e até 20 proprietários adicionais para os recursos.
Observação

Ao configurar o primeiro Sistema Orquestrado para sua instância de serviço, você só poderá designar proprietários depois de ativar as identidades na seção Gerenciar Identidades.
Para adicionar proprietários:
  1. Selecione um usuário ativo do Oracle Access Governance como o proprietário principal no campo Quem é o proprietário principal?.
  2. Selecione um ou mais proprietários adicionais na lista Quem mais possui?. Você pode adicionar até 20 proprietários adicionais para o recurso.
Você pode exibir o Proprietário Principal na lista. Todos os proprietários podem visualizar e gerenciar os recursos que possuem.

Definições da conta

Na etapa Configurações da conta do workflow, informe como você deseja que o Oracle Access Governance gerencie contas quando o sistema for configurado como um sistema gerenciado:
  1. Quando uma permissão for solicitada e a conta ainda não existir, selecione esta opção para criar novas contas. Esta opção é selecionada por padrão. Quando selecionada, o Oracle Access Governance criará uma conta se uma não existir quando uma permissão for solicitada. Se você desmarcar essa opção, as permissões serão provisionadas somente para contas existentes no sistema orquestrado. Se não existir uma conta, a operação de provisionamento falhará.
  2. Selecione os destinatários dos e-mails de notificação quando uma conta for criada. O destinatário padrão é Usuário. Se nenhum destinatário for selecionado, as notificações não serão enviadas quando as contas forem criadas.
    • Usuário
    • Gerente de usuários
  3. Configurar Contas Existentes
    Observação

    Você só poderá definir essas configurações se permitido pelo administrador do sistema. Quando as configurações globais de encerramento de conta estão ativadas, os administradores de aplicativos não podem gerenciar as configurações de encerramento de conta no nível do sistema orquestrado.
    1. Selecionar o que fazer com contas quando o desligamento antecipado começar: Escolha a ação a ser executada quando um desligamento antecipado começar. Isso acontece quando você precisa revogar os acessos de identidade antes da data de desligamento oficial.
      • Excluir: Exclui todas as contas e permissões gerenciadas pelo Oracle Access Governance.
        Observação

        Se um sistema orquestrado específico não suportar a ação, nenhuma ação será executada.
      • Desativar: Desativa todas as contas e desativa as permissões gerenciadas pelo Oracle Access Governance.
        • Excluir as permissões para contas desativadas: para garantir zero acesso residual, selecione esta opção para excluir permissões designadas diretamente e permissões concedidas pela política durante a desativação da conta.
      • Nenhuma ação: Nenhuma ação é tomada quando uma identidade é sinalizada para encerramento antecipado pelo Oracle Access Governance.
    2. Selecionar o que fazer com contas na data de desligamento: Selecione a ação a ser executada durante o desligamento oficial. Isso acontece quando você precisa revogar os acessos de identidade na data de desligamento oficial.
      • Excluir: Exclui todas as contas e permissões gerenciadas pelo Oracle Access Governance.
        Observação

        Se um sistema orquestrado específico não suportar a ação Excluir, nenhuma ação será executada.
      • Desativar: Desativa todas as contas e desativa as permissões gerenciadas pelo Oracle Access Governance.
        • Excluir as permissões para contas desativadas: para garantir zero acesso residual, selecione esta opção para excluir permissões designadas diretamente e permissões concedidas pela política durante a desativação da conta.
        Observação

        Se um sistema orquestrado específico não suportar a ação Desativar, a conta será excluída.
      • Nenhuma ação: Nenhuma ação é tomada sobre contas e permissões pelo Oracle Access Governance.
  4. Quando uma identidade sai da sua empresa, você deve remover o acesso às suas contas.
    Observação

    Você só poderá definir essas configurações se permitido pelo administrador do sistema. Quando as configurações globais de encerramento de conta estão ativadas, os administradores de aplicativos não podem gerenciar as configurações de encerramento de conta no nível do sistema orquestrado.

    Selecione uma das seguintes ações para a conta:

    • Excluir: Exclui todas as contas e permissões gerenciadas pelo Oracle Access Governance.
    • Desativar: Desative todas as contas e marque as permissões como inativas.
      • Excluir as permissões para contas desativadas: Exclua permissões atribuídas diretamente e concedidas por política durante a desativação da conta para garantir zero acesso residual.
    • Nenhuma ação: Não execute nenhuma ação quando uma identidade sair da organização.
    Observação

    Essas ações só estarão disponíveis se forem suportadas pelo tipo de sistema orquestrado. Por exemplo, se Excluir não for suportado, você verá apenas as opções Desativar e Nenhuma ação.
  5. Quando todas as permissões de uma conta são removidas, por exemplo, quando uma identidade se move entre departamentos, você pode precisar decidir o que fazer com a conta. Selecione uma das seguintes ações, se for suportada pelo tipo de sistema orquestrado:
    • Excluir
    • Desativar
    • Nenhuma ação
  6. Gerenciar contas que não foram criadas pelo Access Governance: Selecione para gerenciar contas que são criadas diretamente no sistema orquestrado. Com isso, você pode reconciliar contas existentes e gerenciá-las no Oracle Access Governance.
Observação

Se você não configurar o sistema como um sistema gerenciado, essa etapa do workflow será exibida, mas não será ativada. Nesse caso, você vai diretamente para a etapa Configurações de integração do workflow.
Observação

Se seu sistema orquestrado exigir descoberta dinâmica de esquema, como nas integrações REST Genérico e Tabelas de Aplicativos de Banco de Dados, somente o destino do e-mail de notificação poderá ser definido (Usuário, Usermanager) ao criar o sistema orquestrado. Não é possível definir as regras de desativação/exclusão para movers e leavers. Para fazer isso, você precisa criar o sistema orquestrado e, em seguida, atualizar as definições da conta conforme descrito em Configurar Definições da Conta do Sistema Orquestrado.

Definições de integração

Na etapa Definições de integração do workflow, informe os detalhes de configuração necessários para permitir que o Oracle Access Governance estabeleça conexão com o banco de dados especificado.

  1. No campo URL de Conexão Fácil para o Banco de Dados, informe a string de conexão do banco de dados que você deseja integrar ao Oracle Access Governance. Para o Oracle Database, use o formato host/porta/serviço de banco de dados/sid. Para o Oracle Autonomous Database, use o formato jdbc:oracle:thin:@<SERVICE_NAME>? TNS_ADMIN=<WALLET-DIR> conforme descrito em Configurar WALLET para Integração do Autonomous Database.
  2. No campo Nome do Usuário, informe o usuário do banco de dados que você usará para estabelecer conexão com o banco de dados. Este é o usuário criado em Criar uma Conta de Usuário do Sistema de Destino para Operações do Sistema Orquestrado do Oracle (Database User Management).
  3. Informe a senha do usuário do banco de dados de destino no campo Senha. Confirme a senha no campo Confirmar senha.
  4. Em Propriedades da Conexão, informe qualquer propriedade de conexão no formato prop1=val1#prop2=val2
  5. Marque o painel direito para exibir O que selecionei. Se você estiver satisfeito com os detalhes informados, selecione Adicionar para criar o sistema orquestrado.

Finalizar

Na etapa Finalizar do workflow, você deverá fazer download do agente que usará para fazer interface entre o Oracle Access Governance e o Oracle Database. Selecione o link Fazer Download para fazer download do arquivo zip de agente para o ambiente no qual o agente será executado.

Após fazer download do agente, siga as instruções explicadas no artigo Administração do Agente.

Por fim, você tem a opção de configurar ainda mais seu sistema orquestrado antes de executar um carregamento de dados ou aceitar a configuração padrão e iniciar um carregamento de dados. Selecione uma opção:
  • Personalizar antes de ativar o sistema para cargas de dados
  • Ativar e preparar a carga de dados com os padrões fornecidos

Pós-Configuração

Configurar Wallet para Integração do Autonomous Database

Para ativar esse recurso, faça download da wallet do banco de dados autônomo para o host do agente e atualize o campo URL de Conexão Fácil para o Banco de Dados na configuração do sistema orquestrado. Conclua as seguintes etapas para configurar este recurso:

Execute as seguintes etapas para configurar a Wallet para o Autonomous Database:

  1. Crie um sistema orquestrado do Database User Management (Oracle) e configure o agente.
  2. Faça download da wallet do banco de dados autônomo usando as instruções em Fazer Download das Credenciais do Cliente (Wallets).
  3. Crie um diretório de wallet dentro da pasta do agente instalado, <PERSISTENT_VOLUME_LOCATION><WALLET-DIR>. Por exemplo:
    mkdir /myagent/install/db-wallet
  4. Copie o arquivo zip que contém a wallet baixada na Etapa 2 para <PERSISTENT_VOLUME_LOCATION><WALLET-DIR> e descompacte-o usando o comando: 
    cp -rf Wallet_<DATABASENAME>.zip <PERSISTENT_VOLUME_LOCATION><WALLET-DIR>
cd /myagent/install/db-wallet
unzip Wallet_<DATABASENAME>.zip
  5. O arquivo da wallet descompactado contém o arquivo tnsnames.ora, que contém os nomes de serviço disponíveis para o Oracle Autonomous Database. Escolha o nome TNS correto com base na sua carga de trabalho:
    • nome do banco de dados_tpurgent
    • nome do banco de dados_tp
    • nome do banco de dados_alta
    • nome do banco de dados_médio
    • nome do banco de dados_low
    Para obter mais detalhes sobre os nomes de serviço do Oracle Autonomous Database, consulte Nomes de Serviço de Banco de Dados para Autonomous Transaction Processing e Autonomous JSON Database.
  6. Edite as definições de integração do seu sistema orquestrado seguindo as instruções em Configurar definições para um Sistema Orquestrado.
  7. Abra o arquivo tnsnames.ora no diretório da wallet e localize o label TNS antes do = que corresponde a esse bloco de descrição.
    Por exemplo, se a string de conexão for:
    myhost_db_high =
  (description= (retry_count=20)(retry_delay=3)
  (address=(protocol=tcps)(port=1522)(host=<myhost>.adb.<region>.example.com))
  (connect_data=(service_name=myhost_db_high.adb.example.com))
  (security=(ssl_server_dn_match=no)))
  8. Atualize o campo URL de Conexão Fácil para o Banco de Dados com a string de conexão do seu banco de dados, com base no nome do serviço selecionado na etapa anterior. A string de conexão deve ter o seguinte formato:
    
jdbc:oracle:thin:@<TNS_NAME>?TNS_ADMIN=<full-path-to-WALLET-DIR>
    Por exemplo:
    jdbc:oracle:thin:@myhost_db_high?TNS_ADMIN=/agent/install