Documentação do Oracle Cloud Infrastructure

Integrar com REST Genérico

O Sistema Orquestrado REST Genérico fornece uma solução para integrar o Oracle Access Governance a sistemas com identidade baseada em REST. Um sistema com reconhecimento de identidade baseado em REST é qualquer sistema que expõe suas APIs REST ou interfaces para gerenciamento de identidades.

Visão Geral do Sistema Orquestrado REST Genérico

O Sistema Orquestrado REST Genérico fornece recursos que incluem o seguinte:
  • Carregamento de dados completo/incremental para Fontes Autorizadas ou Sistemas Gerenciados
  • Provisionamento em tempo real
  • Integração de função serverless nativa da nuvem para definir modelos de teste, solicitação, resposta e esquema de sistema com reconhecimento de identidade baseados em REST

O Sistema Orquestrado REST Genérico difere dos outros, pois as definições de esquema, solicitação e resposta não são corrigidas. Outros Sistemas Orquestrados têm modelos de esquema, solicitação, resposta e teste pré-carregados para a Origem Autorizada ou o Sistema Gerenciado ao qual se aplicam. Você pode aplicar Sistemas Orquestrados REST Genéricos a qualquer sistema com reconhecimento de identidade baseado em REST, os modelos de esquema, solicitação, resposta e teste são carregados no runtime, em vez de quando o Sistema Orquestrado é criado.

Para cada Origem Autorizada ou Sistema Gerenciado, você precisará criar os seguintes modelos:
  • grc-schema-template: Este modelo define o esquema para a Origem Autorizada ou o Sistema Gerenciado que você deseja integrar.
  • grc-request-template: Este modelo define o formato de solicitação (cabeçalhos, url, parâmetros de solicitação, corpo da solicitação) necessário para chamar a API de Origem Autorizada ou do Sistema Gerenciado para solicitar dados de identidade.
  • grc-response-template: Este modelo define o formato de resposta para dados de identidade e conta.
  • grc-test-template: Este modelo define uma API para testar a conectividade entre o Oracle Access Governance e o Authoritative Source ou Managed System.
Quando uma operação é chamada, os parâmetros a seguir são passados para o OCI Functions.
  • Nome do sistema orquestrado
  • Nome da entidade (identidade ou conta)
  • Nome da operação

A Função do OCI é chamada e retorna um arquivo JSON com os modelos relevantes para o Sistema Orquestrado.

Pré-requisitos

Antes de instalar e configurar um Sistema Orquestrado REST Genérico, você deve considerar os seguintes pré-requisitos e tarefas.

Componentes Certificados

O Sistema Gerenciado pode ser qualquer um dos seguintes:

  • Qualquer sistema com reconhecimento de identidade que suporte serviços REST

Modos Suportados

O Sistema Orquestrado REST Genérico suporta os seguintes modos de configuração:

  • Origem Autorizada
  • Sistema Gerenciado

Casos de Uso Suportados pelo Sistema Orquestrado REST Genérico

Um Sistema Orquestrado REST Genérico pode ser usado para integrar dados de identidade no Oracle Access Governance por meio de um serviço REST e, em seguida, gerenciar identidades de forma eficiente em um ciclo integrado com o restante dos sistemas com reconhecimento de identidade em sua empresa.

Como exemplo de caso de uso de negócios, considere uma empresa líder em logística com mais de 20 aplicativos em nuvem. A maioria desses aplicativos em nuvem agora é ineficiente porque os dados nesses aplicativos são inseridos manualmente e gerenciados usando planilhas ou fluxos de processos codificados de forma personalizada. Portanto, essa empresa deseja integrar seus aplicativos em nuvem ao Oracle Access Governance para agilizar suas operações, aumentar sua eficiência organizacional e, ao mesmo tempo, reduzir seus custos operacionais. Há duas abordagens para integrar esses aplicativos em nuvem com o Oracle Access Governance. Uma abordagem seria implantar um conector ponto a ponto para cada um desses aplicativos. As desvantagens dessa abordagem são as seguintes:

  • Maior tempo e esforço para identificar e implantar um conector ponto a ponto para cada aplicativo.

  • Maior sobrecarga de administração e manutenção para gerenciar conectores para cada aplicativo.

  • Indisponibilidade de conectores ponto a ponto para todos os aplicativos. Nesse cenário, é necessário desenvolver conectores personalizados, o que aumenta o tempo e o esforço para desenvolver, implantar e testar o conector personalizado.

Uma alternativa a essa abordagem é usar o Sistema Orquestrado REST Genérico para integrar todos os aplicativos em nuvem ao Oracle Access Governance. O Sistema Orquestrado REST Genérico oferece a capacidade de gerenciar contas em todos os aplicativos em nuvem sem gastar recursos adicionais e tempo na criação de conectores personalizados para cada aplicativo em nuvem.

O Sistema Orquestrado REST Genérico ajuda as empresas a aproveitar o Oracle Access Governance para integração com Sistemas Gerenciados para governança de identidade. Esses Sistemas Gerenciados incluem qualquer aplicativo que exponha APIs REST como SaaS, PaaS, aplicativos desenvolvidos internamente etc.

Veja a seguir alguns exemplos de cenários nos quais o Sistema Orquestrado REST Genérico é usado:

  • Gerenciamento de Usuários

    O Sistema Orquestrado REST Genérico permite gerenciar indivíduos que podem acessar recursos definindo-os como identidades no Oracle Access Governance e designando-os a coleções de identidades e atribuições. As identidades são criadas com base em qualquer Sistema Orquestrado autorizado, como REST Genérico, no carregamento de dados.

  • Controle de Acesso

    O Sistema Orquestrado REST Genérico gerencia o controle de acesso por meio de coleções de identidades, atribuições, pacotes de acesso e políticas. Dependendo do sistema orquestrado que está sendo usado, você pode gerenciar o acesso usando os recursos de autoatendimento do Oracle Access Governance, especificamente Solicitar Acesso. Por exemplo, você pode usar o Sistema Orquestrado REST Genérico para designar ou revogar automaticamente o acesso a um sistema com base em políticas de acesso predefinidas no Oracle Access Governance. À medida que novos usuários são adicionados a uma função específica, eles obtêm automaticamente o acesso correspondente nos sistemas cobertos pela política de acesso.

Configurar

Você pode estabelecer uma integração entre sistemas com reconhecimento de identidade baseados em REST e o Oracle Access Governance informando detalhes das Funções e modelos do OCI para integrar o sistema com base em REST. Para isso, use a funcionalidade Sistema Orquestrado disponível na Console do Oracle Access Governance.

Estabelecer uma integração entre sistemas com reconhecimento de identidade baseados em REST e o Oracle Access Governance inserindo detalhes das Funções e modelos do OCI para integrar o sistema com base em REST. Use a funcionalidade Sistema Orquestrado na Console do Oracle Access Governance.

O Oracle Access Governance usa o controlador de recursos para acessar e chamar as funções do OCI. Se você tiver um sistema orquestrado existente e precisar migrar, consulte Migrar Acesso à Chave de API para Acesso ao Controlador de Recursos.

Navegar até a Página Sistemas Orquestrados

Navegue até a página Sistemas Orquestrados da Console do Oracle Access Governance, seguindo estas etapas:
  1. No ícone Menu de navegação do menu de navegação do Oracle Access Governance, selecione Administração de Serviço → Sistemas Orquestrados.
  2. Selecione o botão Adicionar um sistema orquestrado para iniciar o workflow.

Selecionar sistema

Na etapa Selecionar sistema do workflow, você pode especificar qual tipo de sistema gostaria de integrar. Você pode procurar o sistema necessário por nome usando o campo Pesquisar. Selecione o bloco Conector REST Genérico. Quando você seleciona esse bloco, uma página de diálogo é mostrada descrevendo as etapas para configurar o Sistema Orquestrado. Isso inclui um link para uma implementação de amostra do OCI Functions necessária para estabelecer conexão com sistemas com reconhecimento de identidade baseados em REST. Se você não tiver feito isso, faça download do arquivo idm-agcs-generic-rest-reference-implementation.zip e desenvolva suas próprias Funções do OCI com base neste exemplo. Para obter mais detalhes sobre a implementação de amostra, consulte Configurar Implementação de Amostra. Para obter mais detalhes sobre como desenvolver as Funções do OCI necessárias, consulte Configurar a Função sem Servidor do OCI para Estabelecer Conexão com o Identity Aware System baseado em REST e Descoberta de Esquema Rest Genérico.

Depois de selecionado, um valor de Conector REST Genérico é exibido no lado direito em O que selecionei. Selecione Próximo.

Informar detalhes

Na etapa Adicionar Detalhes do workflow, informe os detalhes do sistema orquestrado:
  1. Informe um nome para o sistema ao qual você deseja se conectar no campo Nome.
  2. Informe uma descrição para o sistema no campo Descrição.
  3. Decida se esse sistema orquestrado é uma origem autorizada e se o Oracle Access Governance pode gerenciar permissões definindo as caixas de seleção a seguir.
    • Esta é a origem autoritativa das minhas Identidades

      Selecione uma das opções:

      • Origem de identidades e seus atributos: O sistema atua como uma identidade de origem e atributos associados. Novas identidades são criadas através desta opção.
      • Somente origem de atributos de identidade: O sistema ingere detalhes adicionais de atributos de identidade e se aplica a identidades existentes. Esta opção não ingere nem cria novos registros de identidade.
    • Desejo gerenciar permissões para este sistema
    O valor padrão em cada caso é Desmarcado.
  4. Selecione Próximo.

Adicionar proprietários

Você pode associar a propriedade do recurso adicionando proprietários principais e adicionais. Isso impulsiona o autoatendimento, pois esses proprietários podem gerenciar (ler, atualizar ou excluir) os recursos de sua propriedade. Por padrão, o criador do recurso é designado como o proprietário do recurso. Você pode atribuir um proprietário principal e até 20 proprietários adicionais para os recursos.
Observação

Ao configurar o primeiro Sistema Orquestrado para sua instância de serviço, você só poderá designar proprietários depois de ativar as identidades na seção Gerenciar Identidades.
Para adicionar proprietários:
  1. Selecione um usuário ativo do Oracle Access Governance como o proprietário principal no campo Quem é o proprietário principal?.
  2. Selecione um ou mais proprietários adicionais na lista Quem mais possui?. Você pode adicionar até 20 proprietários adicionais para o recurso.
Você pode exibir o Proprietário Principal na lista. Todos os proprietários podem visualizar e gerenciar os recursos que possuem.

Definições da conta

Na etapa Configurações da conta do workflow, informe como você deseja que o Oracle Access Governance gerencie contas quando o sistema for configurado como um sistema gerenciado:
  1. Quando uma permissão for solicitada e a conta ainda não existir, selecione esta opção para criar novas contas. Esta opção é selecionada por padrão. Quando selecionada, o Oracle Access Governance criará uma conta se uma não existir quando uma permissão for solicitada. Se você desmarcar essa opção, as permissões serão provisionadas somente para contas existentes no sistema orquestrado. Se não existir uma conta, a operação de provisionamento falhará.
  2. Selecione os destinatários dos e-mails de notificação quando uma conta for criada. O destinatário padrão é Usuário. Se nenhum destinatário for selecionado, as notificações não serão enviadas quando as contas forem criadas.
    • Usuário
    • Gerente de usuários
  3. Configurar Contas Existentes
    Observação

    Você só poderá definir essas configurações se permitido pelo administrador do sistema. Quando as configurações globais de encerramento de conta estão ativadas, os administradores de aplicativos não podem gerenciar as configurações de encerramento de conta no nível do sistema orquestrado.
    1. Selecionar o que fazer com contas quando o desligamento antecipado começar: Escolha a ação a ser executada quando um desligamento antecipado começar. Isso acontece quando você precisa revogar os acessos de identidade antes da data de desligamento oficial.
      • Excluir: Exclui todas as contas e permissões gerenciadas pelo Oracle Access Governance.
        Observação

        Se um sistema orquestrado específico não suportar a ação, nenhuma ação será executada.
      • Desativar: Desativa todas as contas e desativa as permissões gerenciadas pelo Oracle Access Governance.
        • Excluir as permissões para contas desativadas: para garantir zero acesso residual, selecione esta opção para excluir permissões designadas diretamente e permissões concedidas pela política durante a desativação da conta.
      • Nenhuma ação: Nenhuma ação é tomada quando uma identidade é sinalizada para encerramento antecipado pelo Oracle Access Governance.
    2. Selecionar o que fazer com contas na data de desligamento: Selecione a ação a ser executada durante o desligamento oficial. Isso acontece quando você precisa revogar os acessos de identidade na data de desligamento oficial.
      • Excluir: Exclui todas as contas e permissões gerenciadas pelo Oracle Access Governance.
        Observação

        Se um sistema orquestrado específico não suportar a ação Excluir, nenhuma ação será executada.
      • Desativar: Desativa todas as contas e desativa as permissões gerenciadas pelo Oracle Access Governance.
        • Excluir as permissões para contas desativadas: para garantir zero acesso residual, selecione esta opção para excluir permissões designadas diretamente e permissões concedidas pela política durante a desativação da conta.
        Observação

        Se um sistema orquestrado específico não suportar a ação Desativar, a conta será excluída.
      • Nenhuma ação: Nenhuma ação é tomada sobre contas e permissões pelo Oracle Access Governance.
  4. Quando uma identidade sai da sua empresa, você deve remover o acesso às suas contas.
    Observação

    Você só poderá definir essas configurações se permitido pelo administrador do sistema. Quando as configurações globais de encerramento de conta estão ativadas, os administradores de aplicativos não podem gerenciar as configurações de encerramento de conta no nível do sistema orquestrado.

    Selecione uma das seguintes ações para a conta:

    • Excluir: Exclui todas as contas e permissões gerenciadas pelo Oracle Access Governance.
    • Desativar: Desative todas as contas e marque as permissões como inativas.
      • Excluir as permissões para contas desativadas: Exclua permissões atribuídas diretamente e concedidas por política durante a desativação da conta para garantir zero acesso residual.
    • Nenhuma ação: Não execute nenhuma ação quando uma identidade sair da organização.
    Observação

    Essas ações só estarão disponíveis se forem suportadas pelo tipo de sistema orquestrado. Por exemplo, se Excluir não for suportado, você verá apenas as opções Desativar e Nenhuma ação.
  5. Quando todas as permissões de uma conta são removidas, por exemplo, quando uma identidade se move entre departamentos, você pode precisar decidir o que fazer com a conta. Selecione uma das seguintes ações, se for suportada pelo tipo de sistema orquestrado:
    • Excluir
    • Desativar
    • Nenhuma ação
  6. Gerenciar contas que não foram criadas pelo Access Governance: Selecione para gerenciar contas que são criadas diretamente no sistema orquestrado. Com isso, você pode reconciliar contas existentes e gerenciá-las no Oracle Access Governance.
Observação

Se você não configurar o sistema como um sistema gerenciado, essa etapa do workflow será exibida, mas não será ativada. Nesse caso, você vai diretamente para a etapa Configurações de integração do workflow.
Observação

Se seu sistema orquestrado exigir descoberta dinâmica de esquema, como nas integrações REST Genérico e Tabelas de Aplicativos de Banco de Dados, somente o destino do e-mail de notificação poderá ser definido (Usuário, Usermanager) ao criar o sistema orquestrado. Não é possível definir as regras de desativação/exclusão para movers e leavers. Para fazer isso, você precisa criar o sistema orquestrado e, em seguida, atualizar as definições da conta conforme descrito em Configurar Definições da Conta do Sistema Orquestrado.

Configurar

Na etapa Configurar do workflow, informe os detalhes da configuração necessários para permitir que o Oracle Access Governance se conecte ao sistema usando o Conector REST Genérico.

  1. Qual é o OCID da tenancy do OCI da função do OCI?: Digite o OCID (Oracle Cloud Identifier) para sua função do OCI. Consulte Onde Obter o OCID da Tenancy e o OCID do Usuário. Por exemplo, ocid1.oc1..aabdgsegsccawmw2o6qraopae7egmlochlopclhnwxq6pctu6oocgn.
  2. Qual é o código da região da função do OCI?: Digite a região home da tenancy do OCI de destino usando o identificador da região. Por exemplo, para o Leste dos EUA (Ashburn), o identificador da região é us-ashburn-1. Consulte A Região Home e Como eu localizo minha região home da tenancy?.
  3. Qual é o ID do compartimento da função do OCI?: Digite o ID do compartimento da função que você deseja integrar.
  4. Qual é o nome do aplicativo da função do OCI?: Informe o nome do aplicativo da função que você deseja integrar.
  5. Versão da Função: Informe a versão da função que você deseja integrar.
  6. TTL do cache do modelo da solicitação de duração (em minutos): Duração para a qual o modelo da solicitação será armazenado no cache. Se o tempo for definido como 0, nenhum armazenamento em cache será feito. Quando o cache expirar, a função do OCI será chamada para obter o novo modelo. O tempo de cache deve ser menor que o tempo de expiração do token para evitar conexões eliminadas devido ao token expirado.
  7. Duração do cache do modelo da resposta (em minutos): Duração da qual o modelo da resposta será armazenado no cache. Se o tempo for definido como 0, nenhum armazenamento em cache será feito. Quando o cache expirar, a função do OCI será chamada para obter o novo modelo. O tempo de cache deve ser menor que o tempo de expiração do token para evitar conexões eliminadas devido ao token expirado.
  8. Duração do cache do modelo do teste (em minutos): Duração da qual o modelo do teste será armazenado em cache. Se o tempo for definido como 0, nenhum armazenamento em cache será feito. Quando o cache expirar, a função do OCI será chamada para obter o novo modelo. O tempo de cache deve ser menor que o tempo de expiração do token para evitar conexões eliminadas devido ao token expirado.
  9. Duração do modelo do esquema (em minutos): Duração da qual o modelo do esquema será armazenado em cache. Se o tempo for definido como 0, nenhum armazenamento em cache será feito. Quando o cache expirar, a função do OCI será chamada para obter o novo modelo. O tempo de cache deve ser menor que o tempo de expiração do token para evitar conexões eliminadas devido ao token expirado.
  10. Timeout de Resposta de Leitura (em segundos): informe um valor inteiro que especifique o número de segundos nos quais a resposta deve ser recebida do
  11. Timeout de Conexão (em segundos): um valor inteiro que especifica o número de segundos após os quais uma tentativa de estabelecer a conexão entre o timeout e o timeout.
  12. Selecione Adicionar.
  13. Políticas Obrigatórias do OCI?: Copie as instruções exatas no compartimento root da tenancy relevante. Consulte Gerenciando Políticas para aplicar as políticas à tenancy.

Finalizar

Na etapa final, Finalizar, você tem a opção de configurar ainda mais seu Sistema Orquestrado antes de executar um carregamento de dados, ou aceitar a configuração padrão e iniciar um carregamento de dados. Selecione uma opção:
  • Personalizar antes de ativar o sistema para cargas de dados
  • Ativar e preparar a carga de dados com os padrões fornecidos

Migrar Acesso de Chave de API para Acesso do Controlador de Recursos

Se você tiver sistemas orquestrados existentes que usem o método de acesso de Chave de API para estabelecer conexão, deverá migrar o mais rápido possível para o método de acesso de Controlador de Recursos.

Para migrar o acesso à Chave de API para o Controlador de Recursos:

  1. Navegue até a página Definições de integração seguindo as instruções fornecidas em Configurar Definições de Integração do Sistema Orquestrado.
  2. Na página Configurações de integração, você verá uma advertência de descontinuação. Selecione o botão Saiba mais sobre migração.
  3. Copie as políticas exatas no compartimento raiz conforme exibido na Console. Consulte Criando uma Política para obter detalhes sobre como aplicar as políticas.
    Observação

    As políticas necessárias variam de acordo com o local em que suas Funções do OCI e sua instância do Oracle Access Governance estão hospedadas (por exemplo, na mesma tenancy em relação a diferentes tenancies).

  4. Depois de aplicar políticas, selecione Testar integração para verificar a conexão. Se você tiver erros ou mensagens, revise sua configuração. Você não poderá concluir a migração até que o teste seja bem-sucedido.
  5. Se a sua conexão for confirmada, clique no botão Migrar para iniciar a migração.
  6. Quando a migração é concluída, uma mensagem de confirmação é exibida
Observação

Depois de concluir a migração para o método do Controlador de Recursos, você não poderá reverter o procedimento e restabelecer o método de Chaves de API no sistema orquestrado.

Pós-Configuração

Depois de configurar seu Sistema Orquestrado REST Genérico, você poderá navegar até a página Sistema Orquestrado e verificar as operações no log de atividades. Algumas das operações que você pode ver incluem:
  • Descoberta de Esquema: O Sistema Orquestrado REST Genérico é sem esquema no momento do design e da implantação. Como parte do ciclo de vida da orquestração, a descoberta do esquema deve ocorrer para atualizar o Sistema Orquestrado com detalhes do esquema e das classes de objeto para a Origem Autorizada ou o Sistema Gerenciado necessário. Para obter detalhes sobre a Descoberta do Esquema, consulte Descoberta do Esquema Rest Genérico.
  • Validar: Esta operação executa as seguintes tarefas:
    • Chama o modelo de teste, que por sua vez chama o ponto final especificado no modelo e verifica a conectividade com o Sistema Gerenciado.
    • Chama o modelo de esquema e recupera todas as informações do esquema para o Sistema Gerenciado, incluindo entidades e atributos.
  • Carregamento de Dados de Pesquisa: Se alguma pesquisa for definida, os dados correspondentes às pesquisas serão carregados.
  • Carregamento Completo de Dados: Esta operação carregará os dados de quaisquer entidades especificadas e ingeridas.