1. リスク管理の実装
  2. データ・ソースの設定

データ・ソースの設定

アクセス・モデルとコントロールは、Oracle CloudとEPM-ARCSの2つのデータ・ソースからのデータを分析できます。

  • Oracle Cloudデータ・ソースは、Oracle Fusion Cloudアプリケーションの機能へのアクセス権を付与するロールまたは権限の割当に関する情報を提供します。

  • EPM-ARCSデータ・ソースは、Oracle Enterprise Performance Management Account Reconciliationの機能へのアクセス権を付与するロールの割当に関する情報を提供します。

Oracle Cloudデータ・ソースを設定する作業は必要ありません。デフォルトで使用できます。ただし、EPM-ARCSデータ・ソースを使用するには、設定が必要です。これには、EPM-ARCSサーバーへの接続を確立し、EPM Account Reconciliationのユーザー・ロールの割当に関する情報を取り込む「外部アクセス同期化」ジョブを実行することが含まれます。

EPM-ARCSサーバーへの接続の1つのステップとして、認証の詳細を指定しますが、これらの詳細は、使用する2つの認証プロトコルのうちどれを使用するかによって異なります:

  • すべてのEPMデプロイメントに対して基本認証プロトコルを使用できます。

  • OAuth2プロトコルは、EPMをOracle Cloud Infrastructure (OCI)にデプロイし、EPMインスタンスをOracle Identity Cloud Service (IDCS)インスタンスとペアにした場合にのみ使用できます。本番には、このプロトコルを使用することをお薦めします。

いずれの場合も、自分の実装に固有の値を指定します。設定手順を開始する前に、これらの値を決定する必要があります。EPM-ARCSシステム管理者に相談する必要がある場合があります。

基本プロトコルを使用する場合、認証の詳細には次の3つの値が含まれます:

  • ユーザー名: EPMシステムに設定されたユーザー・アカウントの名前。このユーザーにはサービス管理者ロールが必要です。リスク管理は、このアカウントを使用してEPM-ARCSに接続し、分析用のデータをフェッチします。

  • 秘密キー: このパスワードがユーザー名とペアになります。このパスワードは失効する可能性があります。その場合は、失効たら更新し、設定手順を再実行して、新しいパスワード値を入力してください。

  • ホスト: EPM-ARCSサーバーのhttps URL。

OAuth2プロトコルを使用する場合は、次の値を指定します:(これらの値の最初の4つは、IDCS管理者と協力して決定することをお薦めします。)

  • APIキー: IDCSシステムに登録されているRESTクライアント・アプリケーションのAPIキー。

  • パブリック認証書: OAuth2アサーションを検証するためのパブリック認証書の値。

  • キー別名: IDCSにインポートされたパブリック認証書のキー別名。

  • 秘密キー: OAuth2アサーションを生成するための秘密キーの値。

  • 承認スコープ: EPMインスタンスの承認スコープ。

  • トークンURL: EPMインスタンスとペアになったIDCSインスタンスのトークンURL。

  • ホスト: EPM-ARCSサーバーのhttps URL。

  • ユーザー名: EPMシステムに設定されたユーザー・アカウントの名前。このユーザーにはサービス管理者ロールが必要です。リスク管理は、このアカウントを使用してEPM-ARCSに接続し、分析用のデータをフェッチします。

  • オーディエンス・リスト: OAuth2アサーションを生成するためのオーディエンス・リスト値。

次に、OAuth2プロトコルの要件に関するその他の考慮事項を示します:

  • クライアント・アサーションとユーザー・アサーションの2つの値が存在する必要があります。これらが、OAuth2アクセス・トークンをフェッチします。これらのアサーション値は直接指定できますが、通常は指定しないでください。しないと、アプリケーションがアサーションを生成します。これを行うために、「ユーザー名」、「キー別名」、オーディエンス・リスト、「パブリック認証書」および「秘密キー」フィールドに指定した値が使用されます。

  • アプリケーションは、2つのアサーション値をFusion資格証明ストアに保存しますが、他の値は保存しません。アサーション値は最終的に失効します。デフォルトでは、1年間有効です。新しいアサーションを作成するには、設定プロシージャを再実行し、必要な値をすべて再入力してください。これらは機密データとみなされるため、アプリケーションでは保存されません。

  • アサーションの値を(クライアント・アサーションおよびユーザー・アサーションのフィールドに)直接指定するのは、たとえば、失効までの期間を短く指定する場合のように、アサーションのデフォルト動作を変更する場合のみです。しかし、これらを作成する必要があります。これを行うには、OpenSSLというツールを使用できます。ただし、これにはOpenSSLとアサーションに関する深い理解が必要です。

EPM-ARCSデータ・ソースを設定するには、次のステップを完了します:

  1. 「リスク管理」 > 「設定および管理」 > 「拡張コントロール構成」にナビゲートします。

  2. 「その他のデータ・ソースの管理」パネルで、EPM-ARCSデータ・ソースの行に「未設定」ステータス・バッジが表示されます。この行の「設定」ボタンをクリックします。

  3. 「EPM-ARCS」ページが開きます。ここの「プロトコル・タイプ」フィールド値はOpen authorization 2.0にデフォルト設定されます。OAuth2プロトコルを使用する場合はその値を受け入れ、使用しない場合は「基本認証」を選択します。「プロトコル・タイプ」フィールドでの選択に応じて、プロトコルに適したフィールドがページに表示されます。いずれの場合も、EPM-ARCSデータ・ソースに対して正しいと判断した認証詳細を入力します。

  4. 「テスト」ボタンをクリックします。認証詳細が有効であることを確認するメッセージが表示されたら、「更新」ボタンをクリックします。

  5. フォーカスが「拡張コントロール構成」ページに戻ります。「その他のデータ・ソースの管理」パネルで、EPM-ARCS行のバッジに「未開始」と表示されるようになります。「同期の実行」ボタンをクリックします。(これにより、「外部アクセス同期化」ジョブが実行されます。)

  6. メッセージにジョブ番号が表示されます。この番号をノートにとり、メッセージを閉じます。「ジョブのモニター」タブをクリックし、自分のジョブ番号の行を見つけてジョブの進捗を追跡します。

  7. ジョブの実行が終了したら、「拡張コントロール構成」タブを再度クリックします。「その他のデータ・ソースの管理」パネルで、EPM-ARCS行のバッジに「完了」と表示されていることを確認します。

同期化が完了すると、EPM-ARCS行のフィールドに、最新の成功および試行された同期の日付と時刻が表示されます。(これらの日時は最初は同じですが、後のジョブ実行でエラーが発生した場合は異なる場合があります。)最終試行日フィールドには、ジョブ詳細へのリンクも表示されます。

設定が完了したら、「外部アクセス同期化」ジョブを定期的に実行する必要があります。推奨される頻度は1日に1回です。時間が経過するにつれて、新規ユーザーへのロール割当および既存のユーザーへのロール割当の変更に関する情報が取得されます。ジョブが自動的に実行されるスケジュールを作成できます。

  1. 「その他のデータ・ソースの管理」パネルで、EPM-ARCS行を選択します。

  2. 「スケジュール」ボタンをクリックします。

  3. スケジュールの名前、開始日時、ジョブを実行する間隔、および終了日がある場合は終了日を設定する値を入力します。