Documentação do Oracle Cloud Infrastructure

Integrar com o Oracle Identity Governance

Você pode fazer a integração com o Oracle Identity Governance (OIG) para permitir a orquestração de identidade, automatizando a integração de contas e direitos, funções e reconciliação de contas. É possível integrar apenas um aplicativo OIG ativo por vez.

Componentes Certificados

O sistema de destino pode ser qualquer um dos seguintes:

  • Oracle Identity Governance 12.2.1.4 Número da Correção do Pacote 11 (12.2.1.4.220703) ou posterior. Se a versão atual do Oracle Identity Governance não for compatível, entre em contato com o Serviço Oracle Support, que pode organizar um patch para o sistema Oracle Identity Governance
  • Oracle Identity Governance 14.1.2.1.0 ou posterior.

Pré-requisitos

Os dados de origem do Oracle Identity Governance devem atender aos seguintes requisitos no Oracle Access Governance

Etapa 1: Ativar Indicador Certificável para Aplicação, Direitos e Atribuições

O flag Certificável deve ser selecionado para aplicativos, direitos e funções da seguinte forma:

  1. Indicador Selecionar Certificável para Aplicativos e Direitos
    1. Acesse o aplicativo de autoatendimento do Oracle Identity Governance.
    2. Vá para Gerenciar e, em seguida, Solicitação Própria
    3. Procure o aplicativo e selecione o ícone de informações.
    4. Selecione o indicador Certificável.
  2. Para Funções,
    1. Acesse o aplicativo de autoatendimento do Oracle Identity Governance.
    2. Vá para Gerenciar e Funções
    3. Procure a função e selecione o ícone de informações.
    4. Em Atributos de Catálogo, marque a caixa de seleção Certificável.

Etapa 2: Conceder Tipos no Oracle Identity Governance

Como usuário no Oracle Identity Governance, você deve ter os seguintes tipos de concessão:

  • Contas e Direitos de Provisão Direta
  • Solicitar Contas e Direitos de Provisão
  • Contas e Direitos Reconciliados dos alvos
  • Contas e Direitos Carregados em Massa
  • Atribuição de Provisão Direta ou de Solicitação associada à política de acesso

Etapa 3: Obter URL JDBC

Você precisa do URL JDBC do OIG nas definições de conexão.

  1. Acesse a Console de Administração doOracle WebLogic Server associada à instância do Oracle Identity Governance.
  2. Navegue até Serviços → Origens de Dados.
  3. Selecione oimOperationsDB na guia Configurações.
  4. Selecione Pool de Conectões e copie o valor no campo URL: para usar como o URL JDBC do Oracle Identity Governance.

Referência: URL OIG JDBC

Etapa 4: Obter o URL do Servidor do Oracle Identity Governance

  1. Faça logon no Oracle Enterprise Manager Fusion Middleware Control.
  2. Navegue até o Browser do MBean do Sistema e localize o MBean XMLConfig.DiscoveryConfig.
  3. Copie o valor do atributo OimExternalFrontEndURL e use esse valor como o valor do URL do Servidor do Oracle Identity Governance.

URL do OIG

Configurar Integração para o Oracle Identity Governance

Você pode configurar o agente do Oracle Identity Governance para estabelecer conexão com o Oracle Access Governance, informe os detalhes e as credenciais da conexão para o sistema do alvo e crie um agente específico para o ambiente.

Navegar até a Página Sistemas Orquestrados

A página Sistemas Orquestrados da Console do Oracle Access Governance é onde você inicia a configuração do seu sistema orquestrado.

Navegue até a página Sistemas Orquestrados da Console do Oracle Access Governance, seguindo estas etapas:
  1. No ícone Menu de navegação do menu de navegação do Oracle Access Governance, selecione Administração de Serviço → Sistemas Orquestrados.
  2. Selecione o botão Adicionar um sistema orquestrado para iniciar o workflow.

Selecionar sistema

Na etapa Selecionar sistema do workflow, você pode especificar qual tipo de sistema deseja integrar ao Oracle Access Governance.

Você pode procurar o sistema necessário por nome usando o campo Pesquisar.

  1. Selecione o Oracle Identity Governance.
  2. Selecione Próximo.

Adicionar detalhes

Adicione detalhes como nome, descrição e modos suportados. Não é possível editar o modo depois de criar o sistema orquestrado.

Com a integração, você pode configurar o Oracle Identity Governance para operar como uma origem de identidade completa, como uma origem de atributos de identidade para identidades existentes ou como um sistema gerenciado.

  1. Informe um nome para o sistema ao qual você deseja se conectar no campo Nome.
  2. Informe uma descrição para o sistema no campo Descrição.
  3. Decida se esse sistema orquestrado é uma origem autorizada, o Oracle Access Governance sempre gerencia permissões para esse sistema orquestrado.
    • Esta é a origem autoritativa das minhas Identidades

      Selecione uma das opções:

      • Origem de identidades e seus atributos: O sistema atua como identidades de origem e atributos associados. Novas identidades são criadas por meio dessa opção.
      • Somente origem de atributos de identidade: O sistema ingere detalhes adicionais de atributos de identidade e se aplica a identidades existentes. Esta opção não ingere nem cria novos registros de identidade.
  4. Selecione Próximo.

Adicionar Proprietários

Adicione proprietários principais e adicionais ao sistema orquestrado para gerenciar recursos.

Você pode associar a propriedade do recurso adicionando proprietários principais e adicionais. Isso impulsiona o autoatendimento, pois esses proprietários podem gerenciar (ler, atualizar ou excluir) os recursos de sua propriedade. Por padrão, o criador do recurso é designado como o proprietário do recurso. Você pode atribuir um proprietário principal e até 20 proprietários adicionais para os recursos.
Observação

Ao configurar o primeiro Sistema Orquestrado para sua instância de serviço, você só poderá designar proprietários depois de ativar as identidades na seção Gerenciar Identidades.
Para adicionar proprietários:
  1. Selecione um usuário ativo do Oracle Access Governance como o proprietário principal no campo Quem é o proprietário principal?.
  2. Selecione um ou mais proprietários adicionais na lista Quem mais possui?. Você pode adicionar até 20 proprietários adicionais para o recurso.
Você pode exibir o Proprietário Principal na lista. Todos os proprietários podem visualizar e gerenciar os recursos que possuem.

Configurações de integração

Informe os detalhes da conexão para o sistema Oracle Identity Governance.

  1. No campo Qual é o URL JDBC do seu servidor de banco de dados OIG?, informe o URL JDBC do banco de dados OIG com o qual você deseja se conectar. Para obter o URL JDBC, consulte a Etapa 3: Obter URL JDBC.
  2. No campo O que é o nome de usuário do banco de dados do OIG?, informe o usuário do banco de dados, com acesso de leitura, para estabelecer conexão com o banco de dados do OIG. Para obter detalhes, consulte a Etapa 4: Obter o URL do Servidor do Oracle Identity Governance
  3. No campo Senha, informe a senha do usuário do banco de dados do OIG especificado.
  4. No campo Qual é o URL do servidor do OIG?, informe o URL do servidor do OIG com o qual deseja integrar-se.
  5. No campo O que é o nome de usuário do servidor do OIG?, informe o usuário do OIG usado para remediação e descoberta de esquema. O usuário do Oracle Identity Governance Server deve pertencer à atribuição Administrador do Sistema para suportar remediação e descoberta de esquema para atributos personalizados. Se apenas a correção for necessária, o usuário poderá pertencer à atribuição OrclOAGIntegrationAdmin, mas a descoberta de esquema não funcionaria para esse usuário.
  6. No campo Senha do servidor do OIG, digite para autenticar o usuário do servidor do OIG ao chamar APIs do OIG para executar a correção.
  7. Deseja ativar o carregamento de dados incrementais do banco de dados do OIG?: Selecione para executar o carregamento de dados incremental. Se a opção Dia-N for selecionada, os carregamentos de dados usarão um modo orientado a eventos que aplica alterações ao Oracle Access Governance à medida que elas acontecem, em vez de um snapshot periódico. Se você selecionar essa opção, certifique-se de ter concluído as tarefas de pré-requisito no banco de dados do OIG definidas nas Etapas de Configuração do Banco de Dados para Carregamento de Dados Orientado por Evento.
    Observação

    Use esta opção para ver eventos do OIG em tempo real, em vez de periodicamente. Por exemplo, se a organização criar uma identidade para um usuário que precise ser refletida no Oracle Access Governance imediatamente, você deverá usar essa opção. Quando a identidade é adicionada, o evento não é observado pela integração e reconciliado com o Oracle Access Governance. O carregamento de dados de snapshot padrão não reconciliaria a nova identidade até sua próxima execução programada. Com o carregamento de dados orientado a eventos, as alterações são identificadas em tempo real e carregadas no Oracle Access Governance à medida que cada evento ocorre.
  8. Verifique se os detalhes inseridos estão corretos e selecione o botão Adicionar.
  9. Na etapa Fazer Download do Agente, selecione o link Fazer Download e faça download do arquivo compactado do agente para o ambiente no qual o agente seria executado.

Finalizar

Conclua a configuração do sistema orquestrado fornecendo detalhes sobre se deseja realizar personalização adicional ou ativar e executar um carregamento de dados.

A etapa final do workflow é Concluir.

Na etapa Finalizar do workflow, você será solicitado a fazer download do agente que usaria para fazer interface entre o Oracle Access Governance e o Oracle Identity Governance. Selecione o link Fazer Download para fazer download do arquivo zip de agente para o ambiente no qual o agente seria executado.

Após fazer download do agente, siga as instruções explicadas no artigo Administração do Agente.

Por fim, você pode decidir se deseja configurar ainda mais o sistema orquestrado antes de executar um carregamento de dados ou aceitar a configuração padrão e iniciar um carregamento de dados. Selecione uma opção:
  • Personalizar antes de ativar o sistema para cargas de dados
  • Ativar e preparar a carga de dados com os padrões fornecidos

Configurar Etapas do Banco de Dados para Carregamento de Dados Orientado a Eventos

Ao criar ou atualizar um sistema orquestrado do Oracle Access Governance, você pode ativar a opção de carregamento de dados orientado a eventos. Essa opção alterna o carregamento de dados Day-N do modelo baseado em instantâneo padrão para um orientado por evento. Um pré-requisito para essa opção exige que você crie um usuário somente para leitura no banco de dados do OIG e conceda as atribuições e os privilégios de sistema necessários.

Para adicionar um usuário somente leitura no banco de dados do OIG para a opção de carregamento de dados orientado a eventos, execute as seguintes etapas:
  1. Estabeleça conexão com o banco de dados do OIG como SYS e crie um usuário somente leitura no banco de dados do OIG que seria usado pelo Oracle Access Governance para estabelecer conexão com eventos de alteração de acesso: 
    create user <username> identified by <password>;
    Por exemplo:
    create user ag2oigro identified by mypassword;
  2. Estabeleça conexão com o banco de dados OIG como SYS e conceda as atribuições e os privilégios de sistema necessários ao usuário somente leitura criado na etapa anterior: 
    GRANT CREATE SESSION TO <read-only user>;
                                GRANT SELECT ANY TABLE TO <read-only user>;
                                GRANT CREATE ANY TRIGGER TO <read-only user>;
                                GRANT ADMINISTER DATABASE TRIGGER TO <read-only user>;
                                GRANT CREATE TABLE TO <read-only user>;
                                GRANT CREATE SYNONYM TO <read-only user>;
                                GRANT UNLIMITED TABLESPACE TO <read-only user>;
                                
                                GRANT CONNECT TO <read-only user>;
                                GRANT RESOURCE TO <read-only user>;
    Por exemplo:
    GRANT CREATE SESSION TO ag2oigro;
                                    GRANT SELECT ANY TABLE TO ag2oigro;
                                    GRANT CREATE ANY TRIGGER TO ag2oigro;
                                    GRANT ADMINISTER DATABASE TRIGGER TO ag2oigro;
                                    GRANT CREATE TABLE TO ag2oigro;
                                    GRANT CREATE SYNONYM TO ag2oigro;
                                    GRANT UNLIMITED TABLESPACE TO ag2oigro;
                                    
                                    GRANT CONNECT TO ag2oigro;
                                    GRANT RESOURCE TO ag2oigro;
  3. Estabeleça conexão com o banco de dados do OIG como o Proprietário do Esquema do BD do OIG e execute o seguinte comando para criar um script que criará sinônimos para tabelas do OIG para o usuário somente leitura: 
    setheading on
                                setlinesize 1500
                                setnumformat 99999999999999999999
                                setpagesize 25000
                                spool synon.out
                                SELECT 'create synonym <read-only user>.'||TNAME||' for <OIG_SCHEMA_USER_NAME>.'||TNAME||';'
                                FROM TAB
                                WHERE tabtype = 'TABLE';
                                spool off
    Por exemplo:
    setheading on
                                    setlinesize 1500
                                    setnumformat 99999999999999999999
                                    setpagesize 25000
                                    spool synon.sql
                                    SELECT 'create synonym ag2oigro.'||TNAME||' for <OIG_SCHEMA_USER_NAME>.'||TNAME||';'
                                    FROM TAB
                                    WHERE tabtype = 'TABLE';
                                    spool off
  4. Conecte-se ao banco de dados do OIG como o usuário somente leitura e crie os sinônimos usando o script criado na etapa anterior: 
    @<scriptname>

    Por exemplo:

    @synon.sql

Atributos Suportados para Filtragem de Carga de Dados do Usuário

Ao configurar um Sistema Orquestrado para integrar dados do Oracle Identity Governance, é possível filtrar os dados do usuário que você deseja ingerir no Oracle Access Governance. Você pode restringir quais usuários estão integrados definindo filtros em atributos de identidade, como departamento, tipo de funcionário, local e outros.

Características de Filtragem da Carga de Dados do Usuário

Você deve estar ciente das seguintes características do befire de filtragem de carga de dados do usuário configurando filtros no Sistema Orquestrado.

  • A correspondência de filtros de pesquisa do usuário e filtragem de valores de dados do usuário faz distinção entre maiúsculas e minúsculas. Por exemplo, um filtro de department = Human Resources não retornaria usuários com o valor department = HUMAN RESOURCES ou Department = Human Resources.
  • Se nenhum usuário ou conta corresponder ao filtro de carregamento de dados do usuário, nenhum dado será ingerido do Oracle Identity Governance pelo Oracle Access Governance. Nesse caso, no entanto, o carregamento de dados em si seria rotulado como bem-sucedido no log de atividades, mesmo que nenhuma identidade ou conta seja integrada.
  • Os valores de filtro de carregamento de dados do usuário não podem exceder 1000 para nenhum atributo de filtro específico.
  • Se um agente já estiver instalado, será necessário um upgrade de agente para ativar os filtros de carregamento de dados do usuário. Consulte Uso de Exemplo do Agente para obter detalhes sobre como fazer upgrade do agente.

Lista de Atributos Suportados para Filtragem de Carga de Dados do Usuário

Você pode filtrar usuários ingeridos do Oracle Identity Governance com base nos atributos a seguir.

Lista de Atributos Suportados para Filtragem de Carga de Dados do Usuário
Nome do Atributo do Oracle Access Governance Nome do Atributo do Oracle Identity Governance
employeeType usr_emp_type
jobCode usr_job_code
departamento usr_dept_no
localização usr_location
estado usr_state
postalCode usr_postal_code
país usr_country
managerUid usr_manager_key
managerLogin usr_login

(usr_login do gerente)
organizationUid act_key
organizationName act_name

act_name da tabela act
território usr_territory

Exemplo de Filtros de Carregamento de Dados do Usuário

Veja a seguir alguns exemplos que você pode configurar usando a funcionalidade Filtro de Carregamento de Dados do Usuário:
Exemplo de Filtros de Carregamento de Dados do Usuário
Caso de Uso Parâmetros de Configuração

Usuário com department=Product Development

e

jobCode=IC004 ou M0003

  • userFilter1Name=departamento
  • userFilter1Value=Desenvolvimento de Produtos
  • userFilter2Name=jobCode
  • userFilter2Value=IC004~M0003
  • userFilter3Name=
  • userFilter3Value=
  • filterValueDelimiter=~

Usuário com state =Kent

e

organizationUid=1 ou 4

  • userFilter1Name=estado
  • userFilter1Value=Kent
  • userFilter2Name=organizationUid
  • userFilter2Value=1~4
  • userFilter3Name=
  • userFilter3Value=
  • filterValueDelimiter=~

Usuário com postalCode = 78045 ou 12204

com nº de delimitador personalizado

  • userFilter1Name=postalCode
  • userFilter1Value=78045##12204
  • userFilter2Name=
  • userFilter2Value=
  • userFilter3Name=
  • userFilter3Value=
  • filterValueDelimiter=##

Usuário com managerUid=17981 ou 17854

e managerLogin = DINORAH.PREWITT ou JOELLA.SHANNON

  • userFilter1Name=managerUid
  • userFilter1Value=17981~17854
  • userFilter2Name=managerLogin
  • userFilter2Value=DINORAH.PREWITT~SHIRLEY.THOMAS
  • userFilter3Name=
  • userFilter3Value=
  • filterValueDelimiter=~
Observação

O nome do valor do filtro e o valor do filtro fazem distinção entre maiúsculas e minúsculas. Usando os exemplos, qualquer um dos seguintes seria um filtro inválido e não retornaria resultados:
  • Exemplo 1:
    • userFilter1Name=MANAGERUID
    • userFilter1Value=17981~17854
    • userFilter2Name=managerLogin
    • userFilter2Value=DINORAH.PREWITT~SHIRLEY.THOMAS
  • Exemplo 2:
    • userFilter1Name=managerUid
    • userFilter1Value=17981~17854
    • userFilter2Name=managerLogin
    • userFilter2Value=Dinorah.Prewitt~SHIRLEY.THOMAS
    • Exemplo 3:
      • USERFilter1Name=managerUid
      • userFilter1Value=17981~17854
      • userFilter2Name=managerLogin
      • userFilter2Value=DINORAH.PREWITT~SHIRLEY.THOMAS
  • Exemplo 4:
    • userFilter1Name=managerUid
    • userFilter1Value=17981~17854
    • userFilter2Name=managerLogin
    • USERFILTER2VALUE=DINORAH.PREWITT~SHIRLEY.THOMAS

Modos de Configuração Suportados para o Sistema Orquestrado do Oracle Identity Governance

Você pode configurar diferentes modos de configuração, dependendo do requisito de identidades de admissão, atributos de identidade e contas de provisionamento.

O Oracle Identity Governance suporta o seguinte

  • Tanto (Autoritário - Origem da Identidade) quanto Sistema Gerenciado
  • Ambos (Autoritário - Origem do Atributo de Identidade) e sistema Gerenciado
  • Somente sistema gerenciado