注意：

• 此教程需要访问 Oracle Cloud。要注册免费账户，请参阅开始使用 Oracle Cloud Infrastructure Free Tier 。
• 它使用 Oracle Cloud Infrastructure 身份证明、租户和区间示例值。完成实验室时，请将这些值替换为特定于云环境的那些值。

将 Oracle Access Governance 与 Oracle Database 集成

简介

Oracle Access Governance 是一个云原生身份监管和管理 (IGA) 解决方案，可为企业提供基于洞察的访问审查、身份分析和智能功能。有关 Oracle Access Governance 的详细信息，请参阅：

• Oracle Access Governance 产品页
• Oracle Access Governance 服务指南
• Oracle Access Governance 产品文档
• Oracle Access Governance API
• Oracle Access Governance 常见问题解答

目标读者

访问监管管理员

目标

在本教程中，您将 Oracle Database 与 Oracle Access Governance 集成。此集成是开始管理数据库用户及其权限以及为数据库实现预配和监管要求的前提。

为此，您需要：

• 在访问监管控制台中配置数据库集成。
• 在数据库系统中部署代理。

先决条件

• 访问监管管理员权限。有关详细信息，请参阅了解应用程序角色。

• 访问具有管理权限和身份证明的 Oracle Database 实例。

• Oracle Database 实例必须可用并在计算实例上运行。

• 用于访问计算实例并安装 _agent_package_ 的 SSH 密钥。

• 通过以下教程之一，使用 Oracle Identity Governance (OIG) 或 Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) 作为授权系统为访问监管配置的身份同步：

  • 在 Oracle Access Governance 与 Oracle Identity Governance (OIG) 之间设置身份业务流程

  • 在 Oracle Access Governance 与 OCI IAM 之间设置身份编排

必须在计算实例上安装以下软件。按照给定的说明安装所需的软件。

• 对于 Windows 系统，OpenSSH 客户机。

  在 Windows 系统上安装 OpenSSH 客户机

  运行以下命令以在 Windows 系统上安装和验证 SSH：

  Add-WindowsCapability -Online -Name OpenSSH.Client~~~~0.0.1.0
  ssh
  

• 计算实例上安装了 JDK 11 和 Docker。

  安装 JDK 11 或更高版本并将其设置为 $JAVA_HOME

  在计算实例上运行以下命令：

  tar -xvf <jdk_zip>
  

  export JAVA_HOME=<jdk_bin>
  

  export PATH=$JAVA_HOME:$PATH
  echo $PATH
  

• Docker 服务必须在计算实例上运行。

  安装并启动 Docker 实例

  在计算实例上运行以下命令：

  sudo apt-get install docker-engine
  

  systemctl start docker
  

任务 1：在 Oracle Access Governance Console 中将 Oracle Database 配置为连接系统

注意：必须按列出的顺序完成以下任务。

任务 1.1：登录 Oracle Access Governance 控制台

1. 在浏览器中，转至访问监管控制台。
2. 在用户名字段中，输入 AG 管理员用户名。
3. 在口令字段中，输入口令，然后单击登录。

您将导航到 Oracle Access Governance Console 的主页。

任务 1.2：定义系统参数以引入 Oracle Database

1. 在 Oracle Access Governance 的登录页上，在服务管理选项卡下，单击管理连接的系统磁贴上的选择，或单击导航菜单、服务管理和连接的系统。

2. 单击添加连接的系统，选择数据库用户管理 (Oracle DB) 磁贴，然后单击下一步。

3. 在输入详细信息步骤中，输入以下信息：

   1. 在您要调用数据库的内容中输入系统名称。

      例如，输入 OracleDatabase_AG 。

   2. 在如何描述此数据库？字段中描述您的系统。

      例如，输入数据库系统以演示 AG 访问控制。

      

      有关更多信息，请参阅说明 - 数据库配置。

4. 单击下一步。

5. 在输入详细信息步骤中，输入数据库的连接详细信息，如下所示：

   1. 在 "Easy Connect URL for Database" 字段中，输入要与 Oracle Access Governance 集成的数据库的连接字符串，格式如下：

      jdbc:oracle:thin:@[host]:[port]/[sid]
      

      注：或者，您可以单击“问题标记”图标来了解有关获取 Java 数据库连接 (JDBC) URL 的更多详细信息。

   2. 输入具有管理员权限的数据库用户名。

      sys as sysdba
      

   3. 输入并确认口令。

      

      

      有关更多信息，请参阅说明 - 数据库配置。

6. 单击添加。

7. 在下载代理步骤中，选择下载链接并单击已完成。zip 文件将下载到默认的“下载”文件夹中。

   

任务 2：使用数据库系统部署身份编排代理

注意：必须按列出的顺序完成以下任务。

您必须有权访问基于 Linux 的环境才能使用安全 Shell (Secure Shell，SSH) 命令，并且必须满足“先决条件”部分中提到的所有要求。

任务 2.1：使用 SSH 密钥将下载的代理传输到计算实例

在此任务中，您将从 Oracle Access Governance 控制台下载的代理从本地系统移至计算实例。

1. 打开一个新的终端或 PowerShell 终端。

2. 按照以下语法运行以下命令：

   scp -i <private key file name> <database_agent_package.zip> <compute instance user-name>@<ipaddress>:<directory path where agent should be saved>
   

   例如： ：

   scp -i "home\user_name\accessgov_ssh_keyname.key" "home\username\Downloads\OracleDatabase_AG.zip" opc@152.1xx.1xx.1xx:/home/opc/
   

任务 2.2：登录到计算实例

通过运行以下命令登录到计算实例。

ssh -i <pvt_key_filename.key> <username>@<compute instance ipaddress>

例如：

ssh -i "\home\username\oag_agent\accessgov_ssh_keyname.key" <opc@152.1xx.1xx.xx>

您将成功登录计算实例。

注：或者，可以使用 PuTTY 和 PuTTYgen 生成 SSH 私有密钥并在 SSH 终端上运行。

Tas 2.3：创建代理软件包卷

您需要在计算实例上创建一个卷目录来保留代理数据，例如配置、Wallet 和日志。

1. 创建新目录。

   cd ~
   mkdir ~/agent_vol_db
   

2. 为目录分配读写和执行权限。

   chmod 775  agent_vol_db
   

任务 2.4：在计算实例上安装代理

注：必须在系统上安装 JDK 11 或更高版本，并且 Docker 已启动且正在运行。

1. 下载 ShellScript 以安装代理。

   curl https://raw.githubusercontent.com/oracle/docker-images/main/OracleIdentityGovernance/samples/scripts/agentManagement.sh -o agentManagement.sh
   

   或者

   wget https://raw.githubusercontent.com/oracle/docker-images/main/OracleIdentityGovernance/samples/scripts/agentManagement.sh
   

2. 安装代理。

   sh agentManagement.sh --volume <path to agent package volume directory> --agentpackage <path to agent package> --install
   

   例如：

   sh agentManagement.sh --volume /home/opc/agent_vol_db --agentpackage /home/opc/OracleDatabase_AG.zip --install
   

任务 2.5：启动并验证代理

1. 启动代理。

   sh agentManagement.sh --volume <path to agent package volume directory> --start
   

   例如：

   sh agentManagement.sh --volume /home/opc/agent_vol_db --start
   

   您将看到响应启动代理和启动新容器。

2. 验证代理。

   sh agentManagement.sh --volume <path to agent package volume directory> --status
   

   例如：

   sh agentManagement.sh --volume /home/opc/agent_vol_db --status
   

代理应该正在运行，并且验证、查找数据加载和完全数据加载操作的集成状态应显示成功。

您可以从访问监管控制台验证集成状态，请参阅 Oracle Access Governance 产品文档。

后续步骤

完成以上步骤后，可以使用访问监管在数据库中管理用户及其角色和权限。您可以在 AG 中定义策略，以自动执行用户预配以及创建手动请求并合并这些请求的审批工作流。您可以控制谁有权访问什么内容并定义访问审查市场活动，以定期查看用户访问权限，并在认为合适时采取补救措施。

确认

• 作者 - Anuj Tripathi（NA 云和技术平台专家 - 身份与访问）

更多学习资源

探索 docs.oracle.com/learn 上的其他实验室，或者访问 Oracle Learning YouTube 频道上的更多免费学习内容。此外，请访问 education.oracle.com/learning-explorer 成为 Oracle Learning Explorer。

有关产品文档，请访问 Oracle 帮助中心。

---

标题和版权信息

Integrate Oracle Access Governance with Oracle Database

F88124-01

October 2023

Copyright © 2023, Oracle and/or its affiliates.