データベース・アプリケーション表との統合(Oracle)

前提条件

Database Application Tables Orchestrated Systemをインストールおよび構成する前に、次の前提条件およびタスクを考慮する必要があります。

データベース・アプリケーション表システムは、Oracle Access Governanceで動作保証されています。サポートされているバージョンの詳細は、「Oracle Access Governanceとの統合に対して動作保証されているデータベース・アプリケーション表コンポーネント」を参照してください。

構成

接続の詳細を入力することで、顧客データベースとOracle Access Governance間の接続を確立できます。これを実現するには、Oracle Access Governanceコンソールで使用可能な調整されたシステム機能を使用します。

「Orchestrated Systems」ページに移動します。

次のステップに従って、Oracle Access Governanceコンソールの「Orchestrated Systems」ページにナビゲートします。

Oracle Access Governanceのナビゲーション・メニュー・アイコンから、「Service Administration」→「Orchestrated Systems」を選択します。
ワークフローを開始するには、「オーケストレート済システムの追加」ボタンを選択します。

システムの選択

ワークフローの「システムの選択」ステップで、オンボーディングするシステムのタイプを指定できます。「検索」フィールドを使用して、名前で必要なシステムを検索できます。

「データベース・アプリケーション表(Oracle DB)」を選択します。
「次へ」をクリックします。

詳細の入力

ワークフローの「詳細の追加」ステップで、オーケストレート済システムの詳細を入力します:

「名前」フィールドに、接続先のシステムの名前を入力します。
「説明」フィールドに、システムの説明を入力します。
このオーケストレート済システムが信頼できるソースかどうか、および次のチェック・ボックスを設定してOracle Access Governanceが権限を管理できるかどうかを決定します。
- これは私のアイデンティティの認証ソースです
  次の項目から選択します。
  - アイデンティティとその属性のソース: システムは、ソース・アイデンティティおよび関連する属性として機能します。新しいアイデンティティは、このオプションを使用して作成されます。
  - アイデンティティ属性のソースのみ: 追加のアイデンティティ属性の詳細が取り込まれ、既存のアイデンティティに適用されます。このオプションは、新規アイデンティティ・レコードを取込みまたは作成しません。
- このシステムの権限を管理します
各ケースのデフォルト値は「未選択」です。
「次へ」を選択します。

所有者の追加

リソース所有権を関連付けるには、プライマリ所有者と追加所有者を追加します。これにより、これらの所有者は所有するリソースを管理(読取り、更新または削除)できるため、セルフサービスが促進されます。デフォルトでは、リソース作成者はリソース所有者として指定されます。1人のプライマリ所有者と最大20人の追加所有者をリソースに割り当てることができます。

ノート

サービス・インスタンスに対して最初のオーケストレート済システムを設定する場合、「アイデンティティの管理」セクションからアイデンティティを有効にした後にのみ所有者を割り当てることができます。

所有者を追加するには:

「プライマリ所有者は誰ですか。」フィールドで、Oracle Access Governanceのアクティブ・ユーザーをプライマリ所有者として選択します。
「他の所有者は誰ですか。」リストで1つ以上の追加所有者を選択します。リソースに最大20人の追加所有者を追加できます。

リストの「プライマリ所有者」を表示できます。すべての所有者は、所有するリソースを表示および管理できます。

アカウント設定

ワークフローの「アカウント設定」ステップで、システムが管理対象システムとして構成されている場合、Oracle Access Governanceでアカウントを管理する方法を入力します:

権限が要求され、アカウントがまだ存在しない場合は、このオプションを選択して新しいアカウントを作成します。このオプションはデフォルトで選択されています。選択すると、権限が要求されたときにアカウントが存在しない場合、Oracle Access Governanceによってアカウントが作成されます。このオプションをクリアすると、権限はオーケストレート済システム内の既存のアカウントに対してのみプロビジョニングされます。アカウントが存在しない場合、プロビジョニング操作は失敗します。
アカウント作成時の通知電子メールの受信者を選択します。デフォルトの受信者は「ユーザー」です。受信者が選択されていない場合、アカウントの作成時に通知は送信されません。
- ユーザー
- ユーザー・マネージャ
既存のアカウントの構成
ノート

これらの構成を設定できるのは、システム管理者によって許可されている場合のみです。グローバル・アカウント終了設定が有効になっている場合、アプリケーション管理者は、調整されたシステム・レベルでアカウント終了設定を管理できません。
1. 早期終了開始時のアカウントの処理の選択: 早期終了の開始時に実行する処理を選択します。これは、正式な退職日より前にアイデンティティ・アクセスを取り消す必要がある場合に発生します。
  - 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。
    ノート
    
    特定のオーケストレート済システムでアクションがサポートされていない場合、アクションは実行されません。
  - 無効化: すべてのアカウントを無効化し、Oracle Access Governanceで管理される権限を無効化します。
    - 無効化されたアカウントの権限の削除: 残存アクセス権がゼロであることを確認するには、これを選択して、アカウントの無効化時に直接割り当てられた権限およびポリシーで付与された権限を削除します。
  - アクションなし: アイデンティティにOracle Access Governanceによる早期終了のフラグが付けられている場合、アクションは実行されません。
2. 退職日のアカウントの処理の選択: 正式な退職時に実行する処理を選択します。これは、正式な退職日にIDアクセスを取り消す必要がある場合に発生します。
  - 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。
    ノート
    
    特定のオーケストレート済システムで「削除」アクションがサポートされていない場合、アクションは実行されません。
  - 無効化: すべてのアカウントを無効化し、Oracle Access Governanceで管理される権限を無効化します。
    - 無効化されたアカウントの権限の削除: 残存アクセス権がゼロであることを確認するには、これを選択して、アカウントの無効化時に直接割り当てられた権限およびポリシーで付与された権限を削除します。
    ノート
    
    特定のオーケストレート済システムで「無効化」アクションがサポートされていない場合は、アカウントが削除されます。
  - アクションなし: Oracle Access Governanceでは、アカウントおよび権限に対するアクションは実行されません。
アイデンティティが企業を離れたときは、そのアカウントへのアクセス権を削除する必要があります。
ノート

これらの構成を設定できるのは、システム管理者によって許可されている場合のみです。グローバル・アカウント終了設定が有効になっている場合、アプリケーション管理者は、調整されたシステム・レベルでアカウント終了設定を管理できません。
アカウントに対する次のアクションのいずれかを選択します。
- 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。
- 無効化: すべてのアカウントを無効化し、権限を非アクティブとしてマークします。
  - 無効化されたアカウントの権限の削除: アカウントの無効化時に直接割り当てられ、ポリシーで付与された権限を削除して、残存アクセスをゼロにします。
- アクションなし: アイデンティティが組織を離れるときにアクションを実行しません。
ノート

これらのアクションは、オーケストレートされたシステム・タイプでサポートされている場合にのみ使用できます。たとえば、「削除」がサポートされていない場合、「無効化」および「アクションなし」オプションのみが表示されます。
アカウントのすべての権限が削除された場合(アイデンティティが部門間を移動する場合など)、アカウントの処理を決定する必要がある場合があります。オーケストレート済システム・タイプでサポートされている場合、次のいずれかのアクションを選択します。
- 削除
- 使用不可
- 処理なし
アクセス・ガバナンスで作成されていないアカウントの管理: オーケストレート済システムで直接作成されるアカウントを管理する場合に選択します。これにより、既存のアカウントを調整し、Oracle Access Governanceから管理できます。

ノート

システムを管理対象システムとして構成しない場合、ワークフローのこのステップは表示されますが、有効になりません。この場合、ワークフローの「統合設定」ステップに直接進みます。

ノート

オーケストレート済システムで、汎用RESTおよびデータベース・アプリケーション表の統合と同様に動的スキーマ検出が必要な場合は、オーケストレート済システムの作成時に通知電子メールの宛先(ユーザー、Usermanager)のみを設定できます。モーバーおよびリーバの無効化/削除ルールは設定できません。これを行うには、オーケストレート済システムを作成してから、「オーケストレート済システム・アカウント設定の構成」の説明に従ってアカウント設定を更新する必要があります。

統合設定

ワークフローの「統合設定」ステップで、Oracle Access Governanceが顧客データベースに接続できるようにするために必要な詳細を入力します。

統合設定
パラメータ名	必須?	説明
Oracleデータベースの簡易接続のURL	はい	統合する顧客データベースシステムをホストするサーバーのURL。 Oracle Databaseの場合は、host/port/database service/sidの形式を使用します。Oracle Autonomous Databaseの場合は、jdbc:oracle:thin:@<SERVICE_NAME>という形式を使用しますか。TNS_ADMIN=<WALLET-DIR>。Autonomous Database統合のためのWalletの構成を参照してください。
ユーザー名	はい	データ・リコンシリエーションおよびプロビジョニングを実行するためにユーザー・データベース・システムに接続するために必要なユーザー名。
パスワード/パスワードの確認	はい	ユーザー・データベース・システムに接続しているユーザーを認証するパスワード。
ユーザー・アカウント表名	はい	ユーザー・アカウントを含むデータベース表の名前。ノート表名に表所有者のユーザー名を含めないでください(例: MYUSER.MYDBAT_PERSON)。そうしないと、エラーが表示されます。ユーザー名は、この表で説明するように、別のパラメータとして渡されます。
権限表		権限表の名前をカンマ区切りリストに追加します。このパラメータは、オーケストレート済システムが管理対象システム・モードで構成されている場合にのみ適用されます。ノート表名に表所有者のユーザー名を含めないでください(例: MYUSER.MYDBAT_PERMISSION)。そうしないと、エラーが表示されます。ユーザー名は、この表で説明するように、別のパラメータとして渡されます。
アカウント権限表		親表と子表にアカウント・データが存在する場合は、子表名のカンマ区切りリストを指定します。ノート表名に表所有者のユーザー名を含めないでください(例: MYUSER.MYDBAT_ACCOUNTPERMISSION)。そうしないと、エラーが表示されます。ユーザー名は、この表で説明するように、別のパラメータとして渡されます。
ルックアップ表		国などの属性の参照表のカンマ区切りのリスト。ノート表名に表所有者のユーザー名を含めないでください(例: MYUSER.MYDBAT_LOOKUP)。そうしないと、エラーが表示されます。ユーザー名は、この表で説明するように、別のパラメータとして渡されます。
アフィリエーション表		作成されたアフィリエイト表のカンマ区切りリスト。詳細は、DBAT Affiliation Support for Custom Multivalued Identity Attributesを参照してください。
キー列マッピング	はい	キー列マッピングのカンマ区切りリスト。これらのマッピングは、`Table:KeyColumn`の形式で入力する必要があります。ノートこのパラメータは、ACCOUNT、ENTITLEMENTおよびLOOKUP表にのみ適用されます。
名前列マッピング	はい	名前列マッピングのカンマ区切りリスト。これらのマッピングは、`Table:NameColumn`の形式で入力する必要があります。ノートこのパラメータは、ACCOUNT、ENTITLEMENTおよびLOOKUP表にのみ適用されます。
ユーザー・アカウント表パスワード列マッピング		ユーザー・アカウント表の`Table:PasswordColumn`形式のパスワード列マッピング。
ユーザー・アカウント表ステータス列マッピング	はい	`Table:StatusColumn`形式のユーザー・アカウント表のステータス列マッピング。ステータス列には、ユーザー・レコードのステータスが保持されます。特殊な値の場合、有効/無効の値を構成してください。
ユーザー・アカウント対応ステータス値		この値は、ステータス列が構成され、文字列型である場合、enable値として使用されます。このパラメータに値が指定されない場合、このパラメータはデフォルトで'ACTIVE'になります。
ユーザー・アカウント無効ステータス値		この値は、ステータス列が構成され、文字列型である場合、disable値として使用されます。このパラメータに値が指定されない場合、デフォルト値は'INACTIVE'になります。
日付フォーマット		文字列に変換される日付データの書式。日付データを日付エディタとして処理する場合は、このパラメータの値を入力しないでください。日付データをテキストとして処理する場合、日付形式を入力する必要があります。このパラメータの値を指定するとallNativeパラメータが無効化されます。
タイムスタンプ・フォーマット		文字列に変換されるタイムスタンプ・データのフォーマット。このプロパティを指定するとnativeTimestampsおよびallNativeプロパティが無効になります。
ユーザー・アカウント・フィルタ条件		顧客データベースからOracle Access Governanceに取り込むユーザー・アカウント・レコードのサブセットを定義するWHERE句。
スクリプトの作成		プロビジョニング操作を実行するためにデフォルトのSQL文ではなく、カスタム・ストアド・プロシージャまたはSQL文を使用するカスタム・スクリプト。ユーザー・アカウントの作成プロビジョニング操作用に作成されたGroovyスクリプトのファイルのURLを入力します。ファイルURLは次の書式で入力する必要があります: `/directoryName/fileName`。サンプル値: `/app/scripts/create_user.groovy` データベース・アプリケーション表の統合によるスクリプトの詳細は、「Groovyを使用したデータベース・アプリケーション表(Oracle)のカスタム・スクリプトの開発」を参照してください
スクリプトの更新		プロビジョニング操作を実行するためにデフォルトのSQL文ではなく、カスタム・ストアド・プロシージャまたはSQL文を使用するカスタム・スクリプト。ユーザー・アカウントの更新プロビジョニング操作用に作成されたGroovyスクリプトのファイルのURLを入力します。このスクリプトは、アカウント属性フォームを更新した場合、ユーザー・アカウントを有効化/有効化した場合に呼び出されますファイルURLは次の書式で入力する必要があります: `/directoryName/fileName`。サンプル値: `/app/scripts/update_user.groovy` データベース・アプリケーション表の統合によるスクリプトの詳細は、「Groovyを使用したデータベース・アプリケーション表(Oracle)のカスタム・スクリプトの開発」を参照してください
スクリプトの削除		プロビジョニング操作を実行するためにデフォルトのSQL文ではなく、カスタム・ストアド・プロシージャまたはSQL文を使用するカスタム・スクリプト。ユーザー・アカウントの削除プロビジョニング操作用に作成されたGroovyスクリプトのファイルのURLを入力します。このスクリプトは、アカウントを取り消すまたは削除した場合にコールされます。ファイルURLは次の書式で入力する必要があります: `/directoryName/fileName`。サンプル値: `/app/scripts/delete_user.groovy` データベース・アプリケーション表の統合によるスクリプトの詳細は、「Groovyを使用したデータベース・アプリケーション表(Oracle)のカスタム・スクリプトの開発」を参照してください
データロード・スクリプト		プロビジョニング操作を実行するためにデフォルトのSQL文ではなく、カスタム・ストアド・プロシージャまたはSQL文を使用するカスタム・スクリプト。リコンシリエーション用に作成されたGroovyスクリプトのファイルのURLを入力します。コネクタによりデータ・ロード操作はGroovyスクリプトに委任され、情報(コネクタ・オブジェクト)をコールバック・ハンドラに渡す責任を負います。このスクリプトは、アカウント検索(完全データ・ロードなどの操作)を実行する場合に呼び出されますファイルURLは次の書式で入力する必要があります: `/directoryName/fileName`。サンプル値: `/app/scripts/full_data_load.groovy` データベース・アプリケーション表の統合によるスクリプトの詳細は、「Groovyを使用したデータベース・アプリケーション表(Oracle)のカスタム・スクリプトの開発」を参照してください
リレーションシップ・データ・スクリプトの追加		プロビジョニング操作を実行するためにデフォルトのSQL文ではなく、カスタム・ストアド・プロシージャまたはSQL文を使用するカスタム・スクリプト。複数値属性の追加プロビジョニング操作用に作成されたGroovyスクリプト(アカウントの権限を含む)のファイルのURLを入力します。このスクリプトは、複数値の子属性を追加した場合に呼び出されます。ファイルURLは次の書式で入力する必要があります: `/directoryName/fileName`。サンプル値: `/app/scripts/add_mulval_attr.groovy` データベース・アプリケーション表の統合によるスクリプトの詳細は、「Groovyを使用したデータベース・アプリケーション表(Oracle)のカスタム・スクリプトの開発」を参照してください
リレーションシップ・データ・スクリプトの削除		プロビジョニング操作を実行するためにデフォルトのSQL文ではなく、カスタム・ストアド・プロシージャまたはSQL文を使用するカスタム・スクリプト。複数値属性の削除(アカウントの権限を含む)プロビジョニング操作用に作成されたGroovyスクリプトのファイルURLを入力します。このスクリプトは、複数値の子属性を削除した場合に呼び出されます。ファイルURLは次の書式で入力する必要があります: `/directoryName/fileName`。サンプル値: `/app/scripts/remove_mulval_attr.groovy` データベース・アプリケーション表の統合によるスクリプトの詳細は、「Groovyを使用したデータベース・アプリケーション表(Oracle)のカスタム・スクリプトの開発」を参照してください

「追加」をクリックして、オーケストレート済システムを作成します。

完了

ワークフローの最後のステップは「終了」で、オーケストレート済システムのエージェントをダウンロードするように求められます。エージェントをダウンロードしたら、間接統合のためのOracle Access Governance Agentの管理の手順を使用して、環境にエージェントをインストールおよび構成できます。

データ・ロードを実行する前にオーケストレート済システムをさらに構成するか、デフォルト構成を受け入れてデータ・ロードを開始するかを選択できます。次の中から1つ選択します。

システムでデータ・ロードを有効化する前にカスタマイズします
指定されたデフォルトで、データ・ロードのアクティブ化と準備を行います

構成後処理

中間スキーマJSONファイルの更新

エージェントのインストールが完了すると、中間スキーマJSONファイルであるschema.jsonがエージェント・ホストに作成されます。このファイルは、統合データベース内の表を、Oracle Access Governanceで表現されるスキーマにマップします。初期スキーマJSONファイルは、データ・ロード、UID、NAME、STATUSおよびPASSWORD (ユーザーが構成した場合)に対して有効化された基本属性を使用して作成されます。完全データ・ロード操作は、この初期スキーマJSONファイルを使用して実行でき、これらの基本属性のみのデータをロードします。次に、スキーマJSONファイルをさらに変更して、次のデータ・ロード操作にさらに属性を含めることができます。

ノート

エージェントを実行するOSユーザーのスキーマJSONファイルに対する読取り/書込み権限が付与されていることを確認します。

Day0の後に、アウトバウンド変換を適用するには、Oracle Access Governanceコンソールから更新する必要があります。Schema.json内で適用される変換ルールは考慮されません。変換ルールを適用するには、アイデンティティ属性のアウトバウンド変換の適用を参照してください。ただし、Schema.jsonの属性を変更したり、属性を削除すると、その特定のアカウント属性に関連する変換ルールがスキーマ検出操作中に削除されます。

schema.jsonの編集時に使用可能な構造およびオプションの詳細は、スキーマJSONファイル・リファレンスを参照してください。

Oracle DatabaseでのSSL/TLS通信の構成

Oracle Access GovernanceエージェントとOracleデータベース間の通信を保護するために、Secure Sockets Layer/Transport Layer Security (SSL/TLS)を構成できます。これを行うには、次のステップが完了していることを確認します。

Oracle Databaseにおけるデータ暗号化および整合性の構成
データの暗号化および整合性の構成の詳細は、「Transport Layer Security認証の構成」を参照してください。
データベースとの通信時にSSL/TLSを使用するようにOracle Access Governanceエージェントを構成するには、次のステップを実行します。
1. Oracle Databaseのホスト・コンピュータに証明書をエクスポートします。
2. データベース証明書をOracle Access Governanceエージェント・ホストにコピーします。
3. 次のコマンドを使用して、エージェントのJavaトラストストアにデータベース証明書をインポートします。
```
<%JAVA_HOME%>/bin/keytool -import -alias database-cert -file <AD-cert-file> -keystore <agent-install-dir>/cacerts
```
4. エージェントのconfig.propertiesファイルを更新して、次を含めます。
```
JAVA_OPTS=-Djavax.net.ssl.trustStore=/app/cacerts-Djavax.net.ssl.trustStorePassword=changeit
```

Autonomous Database統合のためのWalletの構成

Oracle Autonomous Databaseへの接続には、エージェントとデータベース・サービス間のSSL通信をサポートするようにクライアント(この場合はOracle Access Governanceエージェント)を構成する必要があります。この機能を有効にするには、自律型データベース・ウォレットをエージェント・ホストにダウンロードし、オーケストレートされたシステム構成の「データベースの簡易接続URL」フィールドを更新する必要があります。この機能を構成するには、次のステップを実行します。

データベース・ユーザー管理(Oracle)オーケストレート済システムを作成し、エージェントを構成します。
クライアント資格証明(ウォレット)のダウンロードの手順を使用して、自律型データベース・ウォレットをダウンロードします。
エージェント・ホストの<agent-vol-location>/appディレクトリにウォレット・ディレクトリを作成します。例:
```
mkdir <agent-vol-location>/app/db-wallet
```
ステップ2でダウンロードしたウォレットを含むZipfileをウォレット・フォルダにコピーし、次のコマンドを使用して解凍します。
```
cp -rf Wallet_<DATABASENAME>.zip <agent-vol-location>/app/db-wallet
```
解凍されたウォレット・ファイルには、Oracle Autonomous Databaseで使用可能なサービス名を含むtnsnames.oraファイルが含まれます。ワークロードに応じて、次のいずれかを選択します。
- databasename緊急
- databasename_tp
- databasename_high
- databasename_medium
- databasename_low
Oracle Autonomous Databaseサービス名の詳細は、「Autonomous Transaction ProcessingとAutonomous JSONデータベースのデータベース・サービス名」を参照してください。
「オーケストレート済システムの設定の構成」の手順に従って、オーケストレート済システムの統合設定を編集します。前のステップで選択したサービス名に基づいて、「データベースの簡易接続URL」フィールドをデータベースの接続文字列で更新します。接続文字列の形式は次のとおりです。
```
jdbc:oracle:thin:@<SERVICE_NAME>?TNS_ADMIN=<WALLET-DIR>
```
例:
```
jdbc:oracle:thin:@MYAUTDB_TP?TNS_ADMIN=<agent-vol-location>/app/db-wallet
```

Oracle Cloud Infrastructureドキュメント