La gestion des autorisations est probablement un des concepts les moins naturels à appréhender lorsque vous travaillez avec Oracle Enterprise Manager. Les informations associées sont fragmentées :
- dans le référentiel OMS pour les autorisations liées à Enterprise Manager,
- dans les cibles pour les autorisations qui les concernent,
- dans Oracle Platform Security Services (OPSS) pour les rôles associés à BI Publisher
Mais, à moins que vous utilisiez des méthodes comme Enterprise User Security ou Kerberos qui permettent de centraliser l’authentification et, dans une certaine mesure les autorisations, cette fragmentation est une fatalité…
Oracle Enterprise Manager 12c améliore cette situation en stockant les informations d’accès aux cibles dans l’OMS et en permettant de les partager sans les révéler. Cet article illustre cette fonctionnalité.
L’idée est finalement très simple, elle consiste à permettre de créer et de nommer des informations de connexion aux cibles à l’aide du menu « Setup > Security > Named Credentials » comme ci-dessous :
Vous pouvez ainsi, non seulement créer ces informations de connexion nommées, mais aussi les partager avec d’autres utilisateurs de l’OMS.
D’autre part, Enterprise Manager 12c permet plusieurs type de connexions. Vous pouvez évidemment enregistrer un nom d’utilisateur et mot de passe. Vous pouvez également utiliser d’autres méthodes comme, l’utilisation d’un compte d’accès puis d’un sudo, la connexion à une base de données via Kerberos ou l’utilisation d’une paire de clé SSH :
En partageant ces informations avec d’autres utilisateurs, vous leur permettez d’hériter des autorisations associées sans pourtant que ceux-ci aient accès aux informations sous-jascentes ; les fonctions d’audit d’Enterprise Manager 12c complètent alors le tableau pour vous aider à retrouver qui est derrière une connexion à une instance de base de données, de serveurs d’applications ou simplement à un serveur :
Autrement dit, vous pouvez, avec Oracle Enterprise Manager 12c :
- remonter un jeu d’autorisations à une cible dans l’OMS en enregistrant les accès à un utilisateur technique que vous nommerez
- partager ces autorisations en donnant l’accès « View », le mal venu, aux informations de connexion enregistrées à d’autres utilisateurs
- auditer les accès à ces connexions enregistrées
- avoir la garantie que l’utilisateur final n’a pas accès aux informations de l’utilisateur technique ; il ne peux pas les voir 😉 !
Vous avez cela dans les fonctionnalités de base d’Enterprise Manager. Evidemment, ça ne permet pas de gérer les connexions depuis n’importe quel client. Mais si on on pense, c’est déjà énorme…