Automatizando o Gerenciamento do Ciclo de Vida de Usuários em Aplicações On-Premises

TL;DR: Este artigo analisa o Oracle Identity Cloud Service (IDCS) Provisioning Bridge, que automatiza o gerenciamento do ciclo de vida de usuários em aplicações on-premises e legadas sem exigir replataformação ou reescrita de conectores. Para empresas brasileiras com investimentos em Oracle Identity Governance (OIG), a solução permite uma transição gradual para a nuvem, mantendo segurança (comunicação unidirecional HTTPS, sem regras de firewall) e compatibilidade com conectores ICF. A conclusão principal: é possível unificar a governança de identidades on-premises e cloud com um único painel, desde que a organização esteja disposta a adotar o ecossistema Oracle.

---

Por que automatizar o ciclo de vida de usuários em aplicações on-premises?

A demanda por automação e governança de identidades não se limita mais a aplicações SaaS. Empresas brasileiras que ainda mantêm aplicações on-premises — ERPs, diretórios LDAP, sistemas legados — enfrentam o desafio de gerenciar manualmente a criação, atualização e desativação de contas. A Oracle, ciente desse cenário, expandiu o catálogo de aplicações do IDCS com o Provisioning Bridge, uma camada que estende o lifecycle management para ambientes on-premises sem forçar replataformação.

O design do Bridge foi pensado para atender quatro requisitos críticos que ecoam as dores reais de CIOs e times de segurança no Brasil:

• Não obrigar o cliente a replataformar ou redeployar aplicações.
• Não forçar a reescrita de conectores existentes (aproveitando o investimento em Oracle Identity Governance).
• Não comprometer a segurança de rede (sem abrir firewalls adicionais).
• Manter o controle sobre quais aplicações são gerenciadas pelo Enterprise IDM on-premises e quais passam para o IDCS, com visão unificada.

Como o Provisioning Bridge se comunica com o IDCS?

A arquitetura segue princípios rigorosos de segurança e escalabilidade:

• Implantação flexível: pode ser instalado on-premises (atrás do firewall ou em DMZ) ou na nuvem.
• Sem regras de firewall: a comunicação é sempre unidirecional e via HTTPS, do Bridge para o IDCS.
• Autenticação segura: uso de certificado de sign-in embutido e SSL.
• IP Whitelisting: é possível restringir a comunicação apenas aos datacenters autorizados do IDCS.

Isso significa que, na prática, uma empresa brasileira pode conectar seu Active Directory on-premises ou Oracle Internet Directory ao IDCS sem precisar abrir portas de entrada, mantendo a postura de segurança existente.

Quais conectores são suportados?

O Bridge foi construído sobre o Identity Connector Framework (ICF), o mesmo backbone usado pelo Oracle Identity Governance (OIG). Com isso, suporta:

• Todos os conectores oficiais do OIG (LDAP, Oracle E-Business Suite, PeopleSoft, Database, Unix, etc.).
• Conectores customizados desenvolvidos por clientes ou parceiros.
• Deployments conteinerizados (cloud-native) e compatibilidade com Windows, Linux e macOS.

Passo a passo: download e instalação

O binário do Provisioning Bridge pode ser baixado diretamente da página de Downloads no Admin Console do IDCS.

A instalação exige conectividade com a internet (para alcançar o IDCS) e com as aplicações on-premises que serão gerenciadas.

Após instalar, adicione uma instância do Provisioning Bridge pela interface do IDCS: IDCS console → Settings → Provisioning Bridge → Add. O sistema gerará credenciais OAuth (client ID e secret) para configurar a comunicação segura.

Execute o script de instalação fornecendo o client ID e secret. Após a conclusão, rode o script de start. O status do Bridge aparecerá no console do IDCS.

Quais aplicações on-premises já estão pré-integradas?

O catálogo de aplicações do IDCS já inclui templates prontos para uso com o Provisioning Bridge, incluindo:

• Oracle Internet Directory (OID)
• Oracle Unified Directory (OUD)
• Oracle Virtual Directory (OVD)
• Oracle Sun Directory (ODSEE)
• Generic LDAP
• Oracle E-Business Suite User Management
• Oracle PeopleSoft User Management
• Oracle Database User Management
• Generic Unix
• Generic Scripting
• Oracle Database Application Table
• Custom ICF User and Group Management

Todos os templates LDAP oferecem dois modos: sync autoritativo (todos os usuários LDAP são considerados usuários IDCS) e provisioning (criação de conta no target e sincronização reversa).

Perguntas Frequentes

• O Provisioning Bridge exige abertura de portas no firewall para se comunicar com o IDCS?

  • Não. A comunicação entre o Bridge e o IDCS é sempre unidirecional (do Bridge para o IDCS) e ocorre exclusivamente por HTTPS. Isso elimina a necessidade de criar novas regras de firewall, mantendo a segurança de rede existente.

• Quais conectores de aplicações são suportados pelo Bridge?

  • O Bridge suporta todos os conectores baseados no Identity Connector Framework (ICF) do Oracle Identity Governance (OIG), incluindo conectores oficiais (LDAP, OID, OUD, EBS, PeopleSoft, Database, Unix, etc.) e conectores customizados desenvolvidos por clientes ou parceiros.

• É preciso reescrever os conectores existentes do OIG para usar o Bridge?

  • Não. O Bridge foi projetado para reaproveitar o ecossistema de conectores ICF já existentes, evitando retrabalho. Isso permite uma migração gradual do OIG on-premises para o IDCS sem replataformação ou reescrita.

• O Bridge funciona apenas em servidores Windows?

  • Não. O Provisioning Bridge pode ser instalado em Windows, Linux ou macOS, além de suportar deployments conteinerizados. Basta que o host tenha conectividade de rede com o IDCS (internet) e com as aplicações on-premises a serem gerenciadas.

• Posso usar o Bridge para sincronizar usuários de um LDAP on-premises com o IDCS?

  • Sim. O catálogo de aplicações do IDCS inclui templates específicos para Oracle Internet Directory (OID), Oracle Unified Directory (OUD) e outros diretórios LDAP, com suporte tanto a sync autoritativo quanto a provisioning de contas.

---

Artigo originalmente publicado por Atul Goyal e Ritesh Kumari em cloud-infrastructure.