Documentação do Oracle Cloud Infrastructure

Integrar com o ID do Microsoft Entra

Pré-requisitos

Antes de instalar e configurar um sistema orquestrado do Microsoft Entra ID, você deve considerar os pré-requisitos e as tarefas a seguir.

Componentes Certificados

O sistema de ID do Microsoft Entra pode ser qualquer um dos seguintes:

Componentes Certificados
Tipo de Componente Componente
Sistema
  • ID do Microsoft Entra
  • ID do Microsoft Entra com tenant ativado Business-to-Consumer (B2C)
Versão da API do Sistema
  • ID do Microsoft Entra
  • API do Gráfico Microsoft v1.0
  • Versão 2.0 da API de Autenticação da Microsoft (OAuth 2.0)

Modos Suportados

O sistema orquestrado do ID do Microsoft Entra suporta os seguintes modos:

  • Origem Autorizada
  • Sistema Gerenciado

Operações Suportadas

O sistema orquestrado do ID do Microsoft Entra suporta as seguintes operações no ID do Microsoft Entra:
  • Criar usuário
  • Excluir usuário
  • Redefinir Senha
  • Atribuir Funções a um usuário
  • Revogar Atribuições de um usuário
  • Atribuir Licenças a um usuário
  • Remover licenças de um usuário
  • Designe SecurityGroup a um usuário
  • Remover SecurityGroup de um usuário
  • Designe OfficeGroup a um usuário
  • Remover OfficeGroup de um usuário

Atributos Suportados Padrão

O sistema orquestrado do ID do Microsoft Entra suporta os atributos padrão a seguir. Esses atributos são mapeados dependendo da direção da conexão, por exemplo:
  • Os dados que estão sendo ingeridos pelo Oracle Access Governance do ID do Microsoft Entra: User.givenName serão mapeados para Identity.firstName
  • Dados que estão sendo provisionados no ID do Microsoft Entra do Oracle Access Governance: account.lastName será mapeado para User.surname
Atributos Padrão - Origem Autorizada
Entidade do Tenant Ativada para Microsoft Entra ID/Microsoft Entra ID B2C Nome do Atributo no Sistema Gerenciado Nome do Atributo de Identidade do Oracle Access Governance Nome para Exibição do Atributo de Identidade do Oracle Access Governance
Usuário id uid Id Exclusivo
mailNickname nome Nome de usuário do funcionário
userPrincipalName e-mail E-mail
givenName firstName Nome
sobrenome lastName Sobrenome
displayName displayName Nome
usageLocation usageLocation Nome de localidade
gerente managerLogin Gestor
preferredLanguage preferredLanguage Idioma preferencial
accountEnabled status Status
Atributos Adicionais para Tenant ativado para B2C identidades identities.issuerAssignedId identidades
identidades identities.signInType Tipo de acesso
identidades identities.issuer Emissor
passwordPolicies passwordPolicy Política de senha
Atributos Padrão - Sistema Gerenciado
Entidade do Tenant Ativada para Microsoft Entra ID/Microsoft Entra ID B2C Nome do Atributo no Sistema Gerenciado Nome do Atributo da Conta do Oracle Access Governance Nome para Exibição do Atributo da Conta do Oracle Access Governance
Usuário id uid Id Exclusivo
userPrincipalName nome Log-in do usuário
givenName firstName Nome
sobrenome lastName Sobrenome
displayName displayName Nome
mailNickname mailNickname Apelido do e-mail
e-mail e-mail E-mail
usageLocation usageLocation Local de uso
cidade cidade Cidade
país país País
gerente managerLogin Gestor
passwordProfile.forceChangePasswordNextSignIn forceChangePasswordNextSignIn Alterar senha no próximo log-on
preferredLanguage preferredLanguage Idioma preferencial
userType userType Tipo de funcionário
accountEnabled status Status
senha senha Senha
Atributos Adicionais para Tenant ativado para B2C
identities.issuerAssignedId issuerAssignedId Id designado do Emissor
identities.signInType signInType Tipo de conexão
identities.issuer emissor Emissor
passwordPolicies passwordPolicy Política de Senha
Licenças licenças como direito

Configuração e Definições do Aplicativo Microsoft Enterprise

Antes de estabelecer uma conexão, você precisa executar as seguintes tarefas na Central de Administração de ID do Microsoft Entra para o aplicativo Enterprise:
  1. Crie e registre um aplicativo empresarial que você deseja integrar ao Oracle Access Governance. Para obter mais informações, consulte documentação da Microsoft.
  2. Gerar um segredo do cliente para o aplicativo
  3. Conceda as seguintes permissões delegadas e de aplicativo para a API do Microsoft Graph:

    Permissão Delegada

    • Directory.ReadWrite.All
    • Group.ReadWrite.All
    • GroupMember.ReadWrite.All
    • User.Read
    • User.ReadWrite

    Permissão do Aplicativo

    • Directory.ReadWrite.All
    • Group.ReadWrite.All
    • GroupMember.ReadWrite.All
    • User.ReadWrite.All
    • RoleManagement.ReadWrite.Directory
  4. Selecione o botão Conceder Consentimento Admin para fornecer permissões completas em todo o diretório para executar as tarefas de API relacionadas a um sistema integrado

Para obter mais informações, consulte a documentação da Microsoft.

Regras de Correspondência Padrão

Para mapear contas para identidades no Oracle Access Governance, você precisa ter uma regra de correspondência para cada regra de correspondência padrão system.The orquestrada para o sistema orquestrado do ID do Microsoft Entra:

Regras de Correspondência Padrão
Modo Regra de Correspondência Padrão
Origem Autorizada

A correspondência de identidade verifica se as identidades de entrada correspondem a uma identidade existente ou são novas.

Para o Tenant Ativado para Microsoft Entra ID/Para Microsoft Entra ID B2C:

Valor da tela:

User login = Email

Nome do atributo:

Account.userPrincipalName = Identity.name

Sistema Gerenciado

A correspondência de conta verifica se as contas de entrada correspondem às identidades existentes.

Para o ID do Microsoft Entra:

Valor da tela:

User login = Email

Nome do atributo:

Account.userPrincipalName = Identity.name

Para Tenant Ativado para B2C o ID do Microsoft Entra:

Valor da tela:

Email = Email

Nome do atributo:

Account.mail = Identity.email

Configurar

Você pode estabelecer uma conexão entre o ID do Microsoft Entra (anteriormente Azure Active Directory) e o Oracle Access Governance informando os detalhes da conexão. Para isso, use a funcionalidade de sistemas orquestrados disponível na Console do Oracle Access Governance.

Navegar até a Página Sistemas Orquestrados

Navegue até a página Sistemas Orquestrados da Console do Oracle Access Governance, seguindo estas etapas:
  1. No ícone Menu de navegação do menu de navegação do Oracle Access Governance, selecione Administração de Serviço → Sistemas Orquestrados.
  2. Selecione o botão Adicionar um sistema orquestrado para iniciar o workflow.

Selecionar sistema

Na etapa Selecionar sistema do workflow, você pode especificar qual tipo de sistema gostaria de integrar. Você pode procurar o sistema necessário por nome usando o campo Pesquisar.

  1. Selecione ID do Microsoft Entra.
  2. Clique em Avançar.

Informar detalhes

Na etapa Adicionar Detalhes do workflow, informe os detalhes do sistema orquestrado:
  1. Informe um nome para o sistema ao qual você deseja se conectar no campo Nome.
  2. Informe uma descrição para o sistema no campo Descrição.
  3. Decida se esse sistema orquestrado é uma origem autorizada e se o Oracle Access Governance pode gerenciar permissões definindo as caixas de seleção a seguir.
    • Esta é a origem autoritativa das minhas Identidades

      Selecione uma das opções:

      • Origem de identidades e seus atributos: O sistema atua como uma identidade de origem e atributos associados. Novas identidades são criadas através desta opção.
      • Somente origem de atributos de identidade: O sistema ingere detalhes adicionais de atributos de identidade e se aplica a identidades existentes. Esta opção não ingere nem cria novos registros de identidade.
    • Desejo gerenciar permissões para este sistema
    O valor padrão em cada caso é Desmarcado.
  4. Selecione Próximo.
Observação

O sistema orquestrado do ID do Microsoft Entra permite que você gerencie grupos no ID do Microsoft Entra usando a opção Desejo gerenciar coleções de identidades para esse sistema orquestrado. Se marcada, esta caixa de seleção permite gerenciar grupos de ID do Microsoft Entra no Oracle Access Governance. Todas as alterações feitas nos grupos de ID do Microsoft Entra serão reconciliadas entre o Oracle Access Governance e o sistema orquestrado. Da mesma forma, quaisquer alterações feitas no ID do Microsoft Entra serão refletidas no Oracle Access Governance

Adicionar Proprietários

Você pode associar a propriedade do recurso adicionando proprietários principais e adicionais. Isso impulsiona o autoatendimento, pois esses proprietários podem gerenciar (ler, atualizar ou excluir) os recursos de sua propriedade. Por padrão, o criador do recurso é designado como o proprietário do recurso. Você pode atribuir um proprietário principal e até 20 proprietários adicionais para os recursos.
Observação

Ao configurar o primeiro Sistema Orquestrado para sua instância de serviço, você só poderá designar proprietários depois de ativar as identidades na seção Gerenciar Identidades.
Para adicionar proprietários:
  1. Selecione um usuário ativo do Oracle Access Governance como o proprietário principal no campo Quem é o proprietário principal?.
  2. Selecione um ou mais proprietários adicionais na lista Quem mais possui?. Você pode adicionar até 20 proprietários adicionais para o recurso.
Você pode exibir o Proprietário Principal na lista. Todos os proprietários podem visualizar e gerenciar os recursos que possuem.

Definições da conta

Na etapa Configurações da conta do workflow, informe como você deseja que o Oracle Access Governance gerencie contas quando o sistema for configurado como um sistema gerenciado:
  1. Quando uma permissão for solicitada e a conta ainda não existir, selecione esta opção para criar novas contas. Esta opção é selecionada por padrão. Quando selecionada, o Oracle Access Governance criará uma conta se uma não existir quando uma permissão for solicitada. Se você desmarcar essa opção, as permissões serão provisionadas somente para contas existentes no sistema orquestrado. Se não existir uma conta, a operação de provisionamento falhará.
  2. Selecione os destinatários dos e-mails de notificação quando uma conta for criada. O destinatário padrão é Usuário. Se nenhum destinatário for selecionado, as notificações não serão enviadas quando as contas forem criadas.
    • Usuário
    • Gerente de usuários
  3. Configurar Contas Existentes
    Observação

    Você só poderá definir essas configurações se permitido pelo administrador do sistema. Quando as configurações globais de encerramento de conta estão ativadas, os administradores de aplicativos não podem gerenciar as configurações de encerramento de conta no nível do sistema orquestrado.
    1. Selecionar o que fazer com contas quando o desligamento antecipado começar: Escolha a ação a ser executada quando um desligamento antecipado começar. Isso acontece quando você precisa revogar os acessos de identidade antes da data de desligamento oficial.
      • Excluir: Exclui todas as contas e permissões gerenciadas pelo Oracle Access Governance.
        Observação

        Se um sistema orquestrado específico não suportar a ação, nenhuma ação será executada.
      • Desativar: Desativa todas as contas e desativa as permissões gerenciadas pelo Oracle Access Governance.
        • Excluir as permissões para contas desativadas: para garantir zero acesso residual, selecione esta opção para excluir permissões designadas diretamente e permissões concedidas pela política durante a desativação da conta.
      • Nenhuma ação: Nenhuma ação é tomada quando uma identidade é sinalizada para encerramento antecipado pelo Oracle Access Governance.
    2. Selecionar o que fazer com contas na data de desligamento: Selecione a ação a ser executada durante o desligamento oficial. Isso acontece quando você precisa revogar os acessos de identidade na data de desligamento oficial.
      • Excluir: Exclui todas as contas e permissões gerenciadas pelo Oracle Access Governance.
        Observação

        Se um sistema orquestrado específico não suportar a ação Excluir, nenhuma ação será executada.
      • Desativar: Desativa todas as contas e desativa as permissões gerenciadas pelo Oracle Access Governance.
        • Excluir as permissões para contas desativadas: para garantir zero acesso residual, selecione esta opção para excluir permissões designadas diretamente e permissões concedidas pela política durante a desativação da conta.
        Observação

        Se um sistema orquestrado específico não suportar a ação Desativar, a conta será excluída.
      • Nenhuma ação: Nenhuma ação é tomada sobre contas e permissões pelo Oracle Access Governance.
  4. Quando uma identidade sai da sua empresa, você deve remover o acesso às suas contas.
    Observação

    Você só poderá definir essas configurações se permitido pelo administrador do sistema. Quando as configurações globais de encerramento de conta estão ativadas, os administradores de aplicativos não podem gerenciar as configurações de encerramento de conta no nível do sistema orquestrado.

    Selecione uma das seguintes ações para a conta:

    • Excluir: Exclui todas as contas e permissões gerenciadas pelo Oracle Access Governance.
    • Desativar: Desative todas as contas e marque as permissões como inativas.
      • Excluir as permissões para contas desativadas: Exclua permissões atribuídas diretamente e concedidas por política durante a desativação da conta para garantir zero acesso residual.
    • Nenhuma ação: Não execute nenhuma ação quando uma identidade sair da organização.
    Observação

    Essas ações só estarão disponíveis se forem suportadas pelo tipo de sistema orquestrado. Por exemplo, se Excluir não for suportado, você verá apenas as opções Desativar e Nenhuma ação.
  5. Quando todas as permissões de uma conta são removidas, por exemplo, quando uma identidade se move entre departamentos, você pode precisar decidir o que fazer com a conta. Selecione uma das seguintes ações, se for suportada pelo tipo de sistema orquestrado:
    • Excluir
    • Desativar
    • Nenhuma ação
  6. Gerenciar contas que não foram criadas pelo Access Governance: Selecione para gerenciar contas que são criadas diretamente no sistema orquestrado. Com isso, você pode reconciliar contas existentes e gerenciá-las no Oracle Access Governance.
Observação

Se você não configurar o sistema como um sistema gerenciado, essa etapa do workflow será exibida, mas não será ativada. Nesse caso, você vai diretamente para a etapa Configurações de integração do workflow.
Observação

Se seu sistema orquestrado exigir descoberta dinâmica de esquema, como nas integrações REST Genérico e Tabelas de Aplicativos de Banco de Dados, somente o destino do e-mail de notificação poderá ser definido (Usuário, Usermanager) ao criar o sistema orquestrado. Não é possível definir as regras de desativação/exclusão para movers e leavers. Para fazer isso, você precisa criar o sistema orquestrado e, em seguida, atualizar as definições da conta conforme descrito em Configurar Definições da Conta do Sistema Orquestrado.

Configurações de integração

Na etapa Definições de Integração do workflow, informe os detalhes de configuração necessários para permitir que o Oracle Access Governance se conecte ao ID do Microsoft Entra.

  1. No campo Host, informe o nome do host da máquina que hospeda seu Sistema Gerenciado. Por exemplo, para a API do Microsoft Graph, você pode digitar graph.microsoft.com
  2. No campo Porta, informe o número da porta em que o sistema estará acessível. Por padrão, o ID do Microsoft Entra usa a porta 443.
  3. Informe o URL do servidor da autenticação que valida o ID e segredo de cliente do seu Sistema Gerenciado no campo URL do Servidor de Autenticação. Por exemplo, para autenticar o aplicativo usando a API OAuth 2.0, digite a seguinte sintaxe 
    https://login.microsoftonline.com/<Primary Domain or Directory(tenant ID)>/oauth2/v2.0/token
    Para saber como extrair seu ID de domínio ou tenant Principal, consulte a documentação da Microsoft.
  4. Digite o identificador do cliente (uma string exclusiva) emitido pelo servidor de autorização para o sistema do cliente durante o processo de registro no campo ID do cliente. O ID do cliente, também conhecido como ID do Aplicativo, é obtido ao registrar um aplicativo no ID do Microsoft Entra. Esse valor identifica seu aplicativo na plataforma de identidade da Microsoft. Para obter mais detalhes, consulte documentação da Microsoft.
  5. No campo Segredo do cliente, informe o valor do ID do segredo para autenticar a identidade do seu sistema. É necessário criar um novo segredo de cliente para o sistema e inserir o valor nesse campo. Só use esse valor quando não estiver usando a chave privada para autenticação.
    Observação

    Você deve anotar ou copiar esse valor secreto do cliente, pois não poderá acessá-lo nem exibi-lo depois de sair da página.
    Para obter mais detalhes, consulte documentação da Microsoft.
  6. Informe a chave privada PEM no campo Chave privada, somente quando você não estiver usando o segredo do Cliente para autenticação.

    Somente para fins de teste, você pode gerar um certificado autoassinado usando as seguintes etapas:

    1. Crie uma chave privada criptografada que você carregará na instância do Entra ID.
      openssl req -x509 -newkey rsa:2048 -keyout encrypted_key.pem -out cert.cer -sha256 -days 365
    2. Decriptografe a chave privada para criar um arquivo .pem (decrypted_key.pem no exemplo) que você pode informar como o valor da Chave privada ao configurar o Oracle Access Governance.
      openssl rsa -in encrypted_key.pem -out decrypted_key.pem
    3. Opcionalmente, se a sua chave privada estiver no formato PKCS1, converta a chave decriptografada para o formato PKCS8 que é suportado no Oracle Access Governance.
      openssl pkcs8 -topk8 -inform PEM -outform PEM -nocrypt -in decrypted_key.pem -out pkcs8.key
  7. Informe o valor da impressão digital do certificado (X509) na Impressão digital do certificado, somente quando você não estiver usando o segredo do Cliente para autenticação.

    Para obter a impressão digital do certificado, use as seguintes etapas:

    1. Converta o valor hexadecimal da impressão digital do certificado em binário.
      echo -n "***353DB6DF03567473E299DB5E7F4C***" | xxd -r -p > thumbprint.bin
    2. Converta a impressão digital binária em base64, que pode ser usada no campo Impressão digital do certificado.
      openssl base64 -in thumbprint.bin -out thumbprint_base64.txt
  8. Marque a caixa de seleção Este ambiente habilitado para tenant B2C? para ingerir atributos de identidade (Emissor, Tipo de conexão, ID do emissor) para cada usuário. Se qualquer um dos atributos de identidade for retornado nulo ou vazio, o Oracle Access Governance ignorará o carregamento de dados desse usuário e não ingerirá o usuário.
  9. No campo Qual é o timeout da solicitação?, informe o tempo máximo de espera para que um servidor responda a uma solicitação.
  10. Clique em Adicionar para criar o sistema orquestrado.

Finalizar

Por fim, você tem a opção de configurar ainda mais seu sistema orquestrado antes de executar um carregamento de dados ou aceitar a configuração padrão e iniciar um carregamento de dados. Selecione uma opção:
  • Personalizar antes de ativar o sistema para cargas de dados
  • Ativar e preparar a carga de dados com os padrões fornecidos

Pós-Configuração

Não há etapas de pós-instalação associadas a um sistema de ID do Microsoft Entra.