データ・ソースの設定
アクセス・モデルとコントロールは、Oracle CloudとEPM-ARCSの2つのデータ・ソースからのデータを分析できます。
-
Oracle Cloudデータ・ソースは、Oracle Fusion Cloudアプリケーションの機能へのアクセス権を付与するロールまたは権限の割当に関する情報を提供します。
-
EPM-ARCSデータ・ソースは、Oracle Enterprise Performance Management Account Reconciliationの機能へのアクセス権を付与するロールの割当に関する情報を提供します。
Oracle Cloudデータ・ソースを設定する作業は必要ありません。デフォルトで使用できます。ただし、EPM-ARCSデータ・ソースを使用するには、設定が必要です。これには、EPM-ARCSサーバーへの接続を確立し、EPM Account Reconciliationのユーザー・ロールの割当に関する情報を取り込む「外部アクセス同期化」ジョブを実行することが含まれます。
EPM-ARCSサーバーへの接続の1つのステップとして、認証の詳細を指定しますが、これらの詳細は、使用する2つの認証プロトコルのうちどれを使用するかによって異なります:
-
すべてのEPMデプロイメントに対して基本認証プロトコルを使用できます。
-
OAuth2プロトコルは、EPMをOracle Cloud Infrastructure (OCI)にデプロイし、EPMインスタンスをOracle Identity Cloud Service (IDCS)インスタンスとペアにした場合にのみ使用できます。本番には、このプロトコルを使用することをお薦めします。
いずれの場合も、自分の実装に固有の値を指定します。設定手順を開始する前に、これらの値を決定する必要があります。EPM-ARCSシステム管理者に相談する必要がある場合があります。
基本プロトコルを使用する場合、認証の詳細には次の3つの値が含まれます:
-
ユーザー名: EPMシステムに設定されたユーザー・アカウントの名前。このユーザーにはサービス管理者ロールが必要です。リスク管理は、このアカウントを使用してEPM-ARCSに接続し、分析用のデータをフェッチします。
-
秘密キー: このパスワードがユーザー名とペアになります。このパスワードは失効する可能性があります。その場合は、失効たら更新し、設定手順を再実行して、新しいパスワード値を入力してください。
-
ホスト: EPM-ARCSサーバーのhttps URL。
OAuth2プロトコルを使用する場合は、次の値を指定します:(これらの値の最初の4つは、IDCS管理者と協力して決定することをお薦めします。)
-
APIキー: IDCSシステムに登録されているRESTクライアント・アプリケーションのAPIキー。
-
パブリック認証書: OAuth2アサーションを検証するためのパブリック認証書の値。
-
キー別名: IDCSにインポートされたパブリック認証書のキー別名。
-
秘密キー: OAuth2アサーションを生成するための秘密キーの値。
-
承認スコープ: EPMインスタンスの承認スコープ。
-
トークンURL: EPMインスタンスとペアになったIDCSインスタンスのトークンURL。
-
ホスト: EPM-ARCSサーバーのhttps URL。
-
ユーザー名: EPMシステムに設定されたユーザー・アカウントの名前。このユーザーにはサービス管理者ロールが必要です。リスク管理は、このアカウントを使用してEPM-ARCSに接続し、分析用のデータをフェッチします。
-
オーディエンス・リスト: OAuth2アサーションを生成するためのオーディエンス・リスト値。
次に、OAuth2プロトコルの要件に関するその他の考慮事項を示します:
-
クライアント・アサーションとユーザー・アサーションの2つの値が存在する必要があります。これらが、OAuth2アクセス・トークンをフェッチします。これらのアサーション値は直接指定できますが、通常は指定しないでください。しないと、アプリケーションがアサーションを生成します。これを行うために、「ユーザー名」、「キー別名」、オーディエンス・リスト、「パブリック認証書」および「秘密キー」フィールドに指定した値が使用されます。
-
アプリケーションは、2つのアサーション値をFusion資格証明ストアに保存しますが、他の値は保存しません。アサーション値は最終的に失効します。デフォルトでは、1年間有効です。新しいアサーションを作成するには、設定プロシージャを再実行し、必要な値をすべて再入力してください。これらは機密データとみなされるため、アプリケーションでは保存されません。
-
アサーションの値を(クライアント・アサーションおよびユーザー・アサーションのフィールドに)直接指定するのは、たとえば、失効までの期間を短く指定する場合のように、アサーションのデフォルト動作を変更する場合のみです。しかし、これらを作成する必要があります。これを行うには、OpenSSLというツールを使用できます。ただし、これにはOpenSSLとアサーションに関する深い理解が必要です。
EPM-ARCSデータ・ソースを設定するには、次のステップを完了します:
-
「リスク管理」 > 「設定および管理」 > 「拡張コントロール構成」にナビゲートします。
-
「その他のデータ・ソースの管理」パネルで、EPM-ARCSデータ・ソースの行に「未設定」ステータス・バッジが表示されます。この行の「設定」ボタンをクリックします。
-
「EPM-ARCS」ページが開きます。ここの「プロトコル・タイプ」フィールド値はOpen authorization 2.0にデフォルト設定されます。OAuth2プロトコルを使用する場合はその値を受け入れ、使用しない場合は「基本認証」を選択します。「プロトコル・タイプ」フィールドでの選択に応じて、プロトコルに適したフィールドがページに表示されます。いずれの場合も、EPM-ARCSデータ・ソースに対して正しいと判断した認証詳細を入力します。
-
「テスト」ボタンをクリックします。認証詳細が有効であることを確認するメッセージが表示されたら、「更新」ボタンをクリックします。
-
フォーカスが「拡張コントロール構成」ページに戻ります。「その他のデータ・ソースの管理」パネルで、EPM-ARCS行のバッジに「未開始」と表示されるようになります。「同期の実行」ボタンをクリックします。(これにより、「外部アクセス同期化」ジョブが実行されます。)
-
メッセージにジョブ番号が表示されます。この番号をノートにとり、メッセージを閉じます。「ジョブのモニター」タブをクリックし、自分のジョブ番号の行を見つけてジョブの進捗を追跡します。
-
ジョブの実行が終了したら、「拡張コントロール構成」タブを再度クリックします。「その他のデータ・ソースの管理」パネルで、EPM-ARCS行のバッジに「完了」と表示されていることを確認します。
同期化が完了すると、EPM-ARCS行のフィールドに、最新の成功および試行された同期の日付と時刻が表示されます。(これらの日時は最初は同じですが、後のジョブ実行でエラーが発生した場合は異なる場合があります。)最終試行日フィールドには、ジョブ詳細へのリンクも表示されます。
設定が完了したら、「外部アクセス同期化」ジョブを定期的に実行する必要があります。推奨される頻度は1日に1回です。時間が経過するにつれて、新規ユーザーへのロール割当および既存のユーザーへのロール割当の変更に関する情報が取得されます。ジョブが自動的に実行されるスケジュールを作成できます。
-
「その他のデータ・ソースの管理」パネルで、EPM-ARCS行を選択します。
-
「スケジュール」ボタンをクリックします。
-
スケジュールの名前、開始日時、ジョブを実行する間隔、および終了日がある場合は終了日を設定する値を入力します。