Oracle Cloud Infrastructure-Dokumentation

Integration zwischen Oracle Access Governance und Oracle Fusion Cloud Applications konfigurieren

Voraussetzungen

Bevor Sie ein orchestriertes Oracle Fusion Cloud Applications-System installieren und konfigurieren, müssen Sie die folgenden Voraussetzungen und Aufgaben berücksichtigen.

Bescheinigung

Sie müssen das Oracle Fusion Cloud Applications-System zertifizieren, um auf Oracle Access Governance zugreifen zu können. Einzelheiten zu den unterstützten Versionen finden Sie unter Zertifizierte Komponenten.

HCM AtomFeeds für partielles Laden von Daten aktivieren

Um die Änderung des inkrementellen Dataloads für das orchestrierte System zu aktivieren, aktivieren Sie User Requests HCM Atom Feed in Oracle Fusion Cloud Applications. Dies ist nur gültig, wenn Ihr orchestriertes System als HCM oder beides eingerichtet ist.

  1. Aktivieren Sie HCM-Atom-Feed für Benutzeranforderungen. Siehe HCM-Atom-Feeds verwalten. Die folgende Atomfeed-Collection wird von Oracle Access Governance verwendet
    • newhire
    • empupdate
    • empassignment
    • termination
    • cancelworkrelship
    • workrelshipupdate
    Weitere Informationen finden Sie unter Mitarbeiter-Feeds.
  2. Teilweise Dataload-Einstellungen in der Oracle Access Governance-Konsole konfigurieren. Siehe Einstellungen für partielles Laden von Daten konfigurieren.

HCM-Datenrollen und -Sicherheitsprofile für FA erstellen

Bevor Sie das orchestrierte System konfigurieren, müssen Sie entweder einen HCM- oder einen ERP-Serviceaccount einrichten und Berechtigungen erteilen, die für die Integration mit Oracle Access Governance erforderlich sind.

Eine Liste der Standardrollen oder -berechtigungen finden Sie unter Standardrollen oder -berechtigungen erteilen.

Erforderliche Rollen:
  • IT-Sicherheitsmanager - Tätigkeitsrolle (ORA_FND_IT_SECURITY_MANAGER_JOB)
  • Human Capital Management - Integrationsspezialist (ORA_HRC_HUMAN_CAPITAL_MANAGEMENT_INTEGRATION_SPECIALIST_JOB))
  1. Bei Oracle Fusion Cloud Applications anmelden.
  2. Gehen Sie zu Mein Unternehmen > Setup und Wartung.
  3. Wählen Sie das Symbol Aufgaben rechts auf der Seite.
  4. Wählen Sie Suchen und Datenrolle und Sicherheitsprofile verwalten aus.
  5. Suchen Sie nach der Tätigkeitsrolle Human Capital Management Integration Specialist, die keine Sicherheitsprofile enthält.
  6. Wählen Sie +Create aus
    • Geben Sie den Datenrollennamen ein. Beispiel: <ServiceAccountName>-DataRole.
    • Wählen Sie den Job Human Capital Management Integration Specialist aus, den Sie übernehmen möchten.
    • Wählen Sie OK.
  7. Wählen Sie Weiter.
  8. Wählen Sie auf der Seite "Sicherheitskontext" in der Liste über Sicherheitsprofilkonfigurationen hinweg die Option Alle anzeigen aus.
  9. Wählen Sie Weiter zum Prüfen und Weiterleiten aus.
  10. Suchen Sie nach der erstellten Datenrolle. Beachten Sie, dass jetzt die Spalte Zugewiesenes Sicherheitsprofil ausgewählt ist.
  11. Wählen Sie Fertig.

Sie müssen einen Serviceaccount erstellen und diese Datenrolle dem Serviceaccount zuweisen.

Serviceaccount erstellen und Standardrollen erteilen

Der Serviceaccount muss beim Konfigurieren der Verbindung im orchestrierten System verwendet werden. Sie können diesen Servicebenutzer mit Oracle Fusion Cloud Applications-Standardrollen und -Berechtigungen oder mit einer benutzerdefinierten Rolle einrichten.

Serviceaccount in Oracle Fusion Cloud Applications erstellen

Sie benötigen die Jobrolle "IT-Sicherheitsmanager" (ORA_FND_IT_SECURITY_MANAGER_JOB).

  1. Bei Oracle Fusion Cloud Applications anmelden.
  2. Gehen Sie im Navigator zu Tools > Security Console.
  3. Wählen Sie Benutzer > Benutzeraccount hinzufügen aus.
  4. Geben Sie die erforderlichen Felder für Benutzerinformationen ein.
  5. Wählen Sie Speichern und schließen. Stellen Sie sicher, dass der Status Aktiv ist.
  6. Wählen Sie den Benutzer, und wählen Sie Bearbeiten aus.

Rollen zu Serviceaccount hinzufügen

  1. Klicken Sie auf die Schaltfläche Rolle hinzufügen.
  2. Weisen Sie für HCM der Firma die Standardrollen nacheinander zu. Siehe Standardrollen oder -berechtigungen erteilen
  3. Weisen Sie bei ERP dem Konto die Standardrollen nacheinander zu. Siehe Standardrollen oder -berechtigungen erteilen
    Hinweis

    Wenn Sie sowohl HCM als auch ERP konfigurieren, müssen Sie alle Standardrollen für HCM und ERP zuweisen.
    Hinweis

    Sie müssen die erforderlichen Lookup-Typen für den Sicherheitsadministrator der Zugriffsanforderung hinzufügen. Siehe Lookup-Typen hinzufügen.
  4. Weisen Sie die in der vorherigen Aufgabe erstellte Datenrolle zu. Siehe HCM-Datenrollen und Sicherheitsprofile für FA erstellen.
  5. Wählen Sie Speichern und schließen.
  6. Account suchen und prüfen, ob erforderliche Rollen zugewiesen sind.
  7. Melden Sie sich an, um die Erstellung des neuen Serviceaccounts zu prüfen.

Berechtigungen mit einer benutzerdefinierten Rolle erteilen - Prinzip der geringsten Berechtigungen

Verwenden Sie Berechtigungen anstelle der Oracle Fusion Cloud Applications-Standardrollen und -Berechtigungen, um eine benutzerdefinierte Rolle für den Servicebenutzer einzurichten. Dies entspricht dem Least-Privilege-Prinzip, indem nur die feingranulierten Berechtigungen konfiguriert werden, die der Servicebenutzer benötigt.

So erstellen Sie die benutzerdefinierte Rolle:
  1. Erstellen Sie eine Oracle Fusion Cloud Applications-Rolle der Kategorie Allgemein - Tätigkeitsrollen.
  2. Fügen Sie die Berechtigungen zum Train-Stopp für Funktionssicherheits-Policys hinzu. Weitere Informationen finden Sie in der Liste Berechtigungen erteilen.
  3. Fügen Sie die aggregierten Berechtigungen als Rolle zum Train-Stopp der Rollenhierarchie hinzu. Weitere Informationen finden Sie in der Liste Berechtigungen erteilen Aggregierte Berechtigungen erteilen.
  4. Erteilen Sie der benutzerdefinierten Rolle Datensicherheits-Policys für das richtige Dataset. Wenn Sie nicht die richtigen Datensicherheits-Policys erteilen, werden einige Daten möglicherweise nicht zurückgegeben. Die API-Aufrufe würden nicht fehlschlagen (200 OK), aber die Anzahl wäre 0, wenn die Datensicherheits-Policys ausgelassen werden.
  5. Weisen Sie die benutzerdefinierte Rolle dem Serviceaccount zu. Siehe Rolle zu Serviceaccount hinzufügen.

Job "Zugriffskontrolldaten aktualisieren" ausführen

Sie müssen den Job "Zugriffskontrolldaten" ausführen, nachdem Sie den Serviceaccount konfiguriert haben. Dieser Job wird standardmäßig stündlich ausgeführt, oder Sie können ihn zur manuellen Ausführung auswählen. So führen Sie den Job aus:
  1. Navigieren Sie zu ExtrasGeplante Prozesse.
  2. Suchen Sie nach Zugriffskontrolldaten aktualisieren.
  3. Wählen Sie Neuen Prozess planen aus.
  4. Wählen Sie Zugriffskontrolldaten aktualisieren als Jobnamen, und geben Sie eine aussagekräftige Beschreibung ein.
  5. Wählen Sie bei Bedarf Vollständige Aktualisierung oder Inkrementelle Aktualisierung aus, um den Job auszuführen.
  6. Wählen Sie OK.
  7. Klicken Sie auf Weiterleiten. Auf dieser Seite kopieren Sie die Prozessnummer.
  8. Führen Sie den Synchronisierungsprozess für Benutzer und Rollen aus, um die neuesten Benutzer und Rollendefinitionen abzurufen. Weitere Informationen finden Sie unter Synchronisierungsprozess für Benutzer und Rollen ausführen.

Lookup-Typen für Sicherheitsadministrator für Zugriffsanforderungen hinzufügen

Die folgende Lookup-Typberechtigung muss für den Rollentyp Zugriffsanforderung - Sicherheitsadministrator erteilt werden

  1. Bei Oracle Fusion Cloud Applications anmelden.
  2. Gehen Sie zu Mein Unternehmen > Setup und Wartung.
  3. Wählen Sie das Symbol Aufgaben rechts auf der Seite.
  4. Wählen Sie Suchen und Standard-Lookups verwalten aus.
  5. Fügen Sie den neuen Lookup-Typ FUN_DS_OPTIN_OPTIONS mit dem folgenden Lookup-CodeFUN_DS_GET_BOOKCODE hinzu.
  6. Wählen Sie in der Liste Modul die Option Application Core.
  7. Wählen Sie in der Liste REST-Zugriff gesichert die Option Authentifiziert aus.
  8. Wählen Sie Speichern und schließen.

Prüfung der Risk Management Cloud-(RMC-)Aufgabentrennung (SoD)

Sie können Berechtigungen oder Rollen von Benutzern in Oracle Fusion Cloud Applications auswerten, um sicherzustellen, dass die Berechtigungszuweisung gültig ist und keine SOD-Prüfungen verletzt.

Schließen Sie die Voraussetzungen ab, und führen Sie erforderliche Jobs regelmäßig aus.

Benutzeraccount erstellen und verknüpfen

Einem Benutzeraccount müssen Mitarbeiterinformationen zugeordnet sein. Prüfen Sie dies auf der Seite SicherheitskonsoleBenutzer. In einem verknüpften Account werden Zugeordnete Mitarbeiterinformationen angezeigt.

Erforderliche Hintergrundjobs

Stellen Sie nach dem Erstellen oder Aktualisieren des Benutzeraccounts in Oracle Fusion Cloud Applications sicher, dass die folgenden Jobs in der angegebenen Reihenfolge ausgeführt werden:

Benutzersichtbarkeit in Risk Management prüfen

Prüfen Sie nach der Ausführung der Jobs die Ergebnisse:

  1. Navigieren Sie zu Risk Management → Setup and Administration → Global User Configuration.
  2. Suchen Sie nach dem Benutzer, für den Sie die SOD-Verletzungsprüfung ausführen möchten.

Workflowkonfiguration

Sie müssen einen Genehmigungsworkflow mit einem Zugriffs-Bundle anhängen, um Verstoßprüfungen zu verarbeiten. Wenn einem Zugriffs-Bundle kein Genehmigungsworkflow zugewiesen ist, löst Oracle Access Governance die Prüfung der SoD-Verletzungen aus. Das Provisioning wird jedoch sofort fortgesetzt, selbst wenn potenzielle Verletzungen vorhanden sind. Wenn ein Genehmigungsworkflow angehängt ist, pausiert Oracle Access Governance die Anforderung, bis die SoD-Analyse abgeschlossen ist.

Weitere Informationen finden Sie unter Präventive SoD.

Authentifizierung und Autorisierung mit OCI OAuth

Mit OAuth können Sie Oracle Fusion Cloud-Anwendungen mit Oracle Access Governance authentifizieren und autorisieren.

Voraussetzungen

Die folgenden Voraussetzungen müssen erfüllt sein, um Oracle Fusion Cloud Applications mit OAuth zu autorisieren.
  • Erstellen Sie einen Serviceaccount, und erteilen Sie Berechtigungen, die für die Integration mit Oracle Access Governance erforderlich sind.
  • Stellen Sie sicher, dass die Konfiguration in derselben Identitätsdomain ausgeführt wird, in der Oracle Fusion Cloud Applications-Anwendungen gehostet werden.

Zugriffszertifikate und Schlüssel

Verwenden Sie ein Zertifikat, das von einer vertrauenswürdigen Certificate Authority (CA) im PEM-Format ausgestellt wurde, um eine sichere Authentifizierung und Kompatibilität zu gewährleisten, oder nutzen Sie OCI Certificate Service, um Zertifikate effizient zu generieren und zu verwalten.

  1. Verwenden Sie eine vertrauenswürdige Certificate Authority im PEM-Format.
  2. Um ein öffentliches Zertifikat abzurufen, stellen Sie sicher, dass die Identitätsdomain so konfiguriert ist, dass Token ausgegeben und signiert werden.
    1. Wählen Sie unter Identität und Sicherheit die Option Domains aus.
    2. Aktivieren Sie in der Registerkarte Einstellungen die Option Auf Signaturzertifikat zugreifen.

Zertifikat als vertrauenswürdiges Partnerzertifikat in die OCI-IAM-Domain der FA-Instanz importieren

  1. Navigieren Sie zu Identität und Sicherheit, und wählen Sie Domains aus.
  2. Suchen Sie das Compartment für die Serviceinstanz von Oracle Fusion Cloud Applications, und wählen Sie es aus. Wählen Sie anschließend die Domain aus.
  3. Wählen Sie die Registerkarte Sicherheit.
  4. Gehen Sie zu dem Abschnitt Vertrauenswürdige Partnerzertifikate, und wählen Sie Zertifikat importieren aus.
  5. Geben Sie denselben Aliasnamen ein, den Sie beim Generieren des Zertifikatsalias für die Keystore-Datei angegeben haben
  6. Importieren Sie die Datei .cer.
  7. Wählen Sie Importieren aus.

Ergebnisse: Stellen Sie sicher, dass die korrekten Details zusammen mit SHA-1 Thumbprint, SHA-256 Thumbprint, Zertifikatstartdatum und Zertifikatenddatum angezeigt werden.

Integrierte vertrauliche Anwendung erstellen

  1. Navigieren Sie zu Identität und Sicherheit, und wählen Sie Domains aus.
  2. Wählen Sie die gewünschte Domäne aus.
  3. Wählen Sie die Registerkarte Integrierte Anwendungen aus.
  4. Wählen Sie Anwendung hinzufügen aus.
  5. Wählen Sie die Kachel Vertrauliche Anwendung, Workflow starten aus.
  6. Geben Sie auf der Seite Details Folgendes ein:
    1. Geben Sie Name und Beschreibung für die vertrauliche Anwendung an.
    2. Klicken Sie auf Weiterleiten.

OAuth-Konfigurationen bearbeiten

  1. Wählen Sie die Registerkarte OAuth-Konfiguration aus.
  2. Wählen Sie OAuth-Konfiguration bearbeiten aus.
  3. Clientkonfiguration: Wählen Sie Diese Anwendung jetzt als Client konfigurieren aus.
  4. Berechtigungstypen aktivieren: Wählen Sie die Berechtigungstypen Clientzugangsdaten, JWT-Assertion und Aktualisierungstoken aus.
  5. Wählen Sie Vertrauenswürdig als Option Clienttyp.
  6. Importieren Sie das zuvor verwendete Zertifikat.
  7. Wählen Sie Im Namen als Zulässige Vorgänge aus.
  8. Wählen Sie Netzwerkperimeter aus, um Anmeldeversuche auf bestimmte IPs oder Bereiche zu beschränken. Wählen Sie andernfalls Überall aus.
  9. Wählen Sie unter Tokenausgabe-Policy die Option Alle aus.
  10. Geltungsbereichskonfiguration
    1. Umschalter "Ressourcen hinzufügen" aktivieren
    2. Wählen Sie Bereiche hinzufügen aus
    3. Wählen Sie die Oracle Fusion Cloud Applications-Anwendungsreferenzen aus.
      Hinweis

      Wenn keine Geltungsbereiche aufgelistet sind, prüfen Sie auf der Registerkarte Oracle Cloud Services, ob die Oracle Fusion Cloud Applications-Instanz in dieser Domain registriert ist.
  11. Klicken Sie auf Weiterleiten.
  12. Aktivieren Sie die Anwendung: Wählen Sie das Symbol Aktionen, Aktivieren aus. Der Status muss von Inaktiv in Aktiv geändert werden.

Vertrauliche OAuth-Anwendungsdetails für Autorisierung abrufen

  1. Öffnen Sie die von Ihnen erstellte integrierte vertrauliche OAuth-Anwendung.
  2. Wählen Sie die Registerkarte OAuth-Konfiguration aus.
  3. Kopieren Sie im Abschnitt Allgemeine Informationen Client-ID und Client Secret, und speichern Sie sie.
  4. Kopieren und speichern Sie den Anwendungsgeltungsbereich im Abschnitt Ressourcen.

OCI Vault zum Speichern von Zugangsdaten erstellen

Oracle Access Governance verwendet den OCI Vault and Secret Management-Service, um sensible Werte wie Kennwörter, Client Secrets und Private Keys zu speichern.

Erstellen Sie einen Oracle Cloud Infrastructure-(OCI-)Vault, einen Verschlüsselungsschlüssel und Secrets für die Basisauthentifizierung oder OAuth-Zugangsdaten, in denen die Oracle Access Governance-Instanz konfiguriert ist.

Stellen Sie sicher, dass Sie über die erforderlichen Zugriffsrechte verfügen:
  • Berechtigung zum Erstellen von Vaults, Schlüsseln und Secrets im Ziel-Compartment.
  • Berechtigung zum Verschlüsseln von Secrets durch Schlüssel.
  1. Vault erstellen.
  2. Erstellen Sie einen Verschlüsselungsschlüssel, wenn der Vault den Status "Aktiv" aufweist. Siehe Masterverschlüsselungsschlüssel erstellen.
  3. Wählen Sie im Navigationsmenü die Optionen Identität und Sicherheit, Secret Management aus.
  4. Wählen Sie Secret erstellen aus.
  5. Wählen Sie das Compartment aus, das das Secret erstellen soll.
  6. Geben Sie einen aussagekräftigen Secret-Namen ein. Beispiel: agcs-fa-oauth.
  7. Wählen Sie das Vault Compartment und den Vault-Namen aus.
  8. Wählen Sie das Verschlüsselungsschlüssel-Compartment aus.
  9. Wählen Sie im Feld Verschlüsselungsschlüssel den von Ihnen erstellten Schlüssel aus.
  10. Wählen Sie Manuelle Secret-Generierung aus.
  11. Im geheimen Inhalt:
    • Wenn Sie die Basisauthentifizierung verwenden müssen, geben Sie Folgendes ein:
      {
  "adminUser": "<your-admin-username>",
  "adminPassword": "<your-admin-password>"
}
    • Führen Sie für OAuth die OAuth-Voraussetzungen aus, und geben Sie die folgenden Details ein: 
      {
  "adminUser": "admin@example.com",
  "domainURL": "https://idcs-<tenant>.example.com",
  "clientId": "xxxxxxxxxxxxxxxxxxxxxxxx",
  "clientSecret": "xxxxxxxxxxxxxxxxxxxxxxxx",
  "privateKey": "-----BEGIN PRIVATE KEY-----\nMIIEv...\n-----END PRIVATE KEY-----\n",
  "alias": "my-signing-key",
  "scope": "urn:opc:idm:__myscopes__"
}
      Parameterdetails
  12. Wählen Sie Secret erstellen aus.
  13. Geben Sie die Mandanten-OCID und die Secret-OCID in die Integrationseinstellungen ein. Dadurch wird die erforderliche IAM-Policy in der Konsole generiert. Informationen zum Suchen von Secret-Details finden Sie unter Secret-Details anzeigen.
  14. Kopieren Sie die genauen Anweisungen im Root Compartment des Oracle Access Governance-Mandanten, in dem Sie den Vault erstellt haben.

Verbindung zwischen Oracle Fusion Cloud-Anwendungen und Oracle Access Governance konfigurieren

Sie können eine Verbindung zwischen Oracle Fusion Cloud Applications und Oracle Access Governance herstellen, indem Sie Verbindungsdetails eingeben. Verwenden Sie dazu die in der Oracle Access Governance-Konsole verfügbare orchestrierte Systemfunktionalität.

Zur Seite "Orchestrierte Systeme" navigieren

Auf der Seite "Orchestrierte Systeme" der Oracle Access Governance-Konsole starten Sie die Konfiguration des orchestrierten Systems.

Navigieren Sie zur Seite "Orchestrierte Systeme" der Oracle Access Governance-Konsole, indem Sie die folgenden Schritte ausführen:
  1. Wählen Sie im Oracle Access Governance-Navigationsmenü symbol Navigationsmenü die Option Serviceadministration → Orchestrierte Systeme aus.
  2. Wählen Sie die Schaltfläche Orchestriertes System hinzufügen, um den Workflow zu starten.

System auswählen

Im Schritt System auswählen des Workflows können Sie angeben, welchen Systemtyp Sie in Oracle Access Governance integrieren möchten.

Mit dem Feld Suchen können Sie das erforderliche System nach Namen suchen.

  1. Wählen Sie Oracle Fusion Cloud Applications aus.
  2. Wählen Sie Weiter.

Details hinzufügen

Fügen Sie Details wie Name, Beschreibung und Konfigurationsmodus hinzu.

Geben Sie im Schritt Details hinzufügen des Workflows die Details für das orchestrierte System ein:
  1. Geben Sie im Feld Name einen Namen für das System ein, mit dem Sie eine Verbindung herstellen möchten.
  2. Geben Sie eine Beschreibung für das System in das Feld Beschreibung ein.
  3. Entscheiden Sie, ob dieses orchestrierte System eine zuverlässige Quelle ist und ob Oracle Access Governance Berechtigungen verwalten kann, indem Sie die folgenden Kontrollkästchen aktivieren.
    • Das ist die autoritative Quelle für meine Identitäten

      Wählen Sie unter folgenden Optionen:

      • Quelle der Identitäten und ihrer Attribute: Das System fungiert als Quellidentitäten und zugehörige Attribute. Mit dieser Option werden neue Identitäten erstellt.
      • Nur Quelle von Identitätsattributen: Das System nimmt zusätzliche Details zu Identitätsattributen auf und gilt für vorhandene Identitäten. Mit dieser Option werden keine neuen Identitätsdatensätze aufgenommen oder erstellt.
    • Ich möchte Berechtigungen für dieses System verwalten
    Der Standardwert in jedem Fall ist Nicht ausgewählt.
  4. Wählen Sie Weiter.
Zusätzlich:
  1. Wenn Sie Berechtigungen damit verwalten, wird ein zusätzliches Kontrollkästchen für die Prüfung Aufgabentrennung angezeigt:
    1. Stellen Sie in Oracle Fusion Cloud Applications sicher, dass ein Benutzeraccount erstellt und mit dem Personendatensatz des Mitarbeiters verknüpft wird. Bei einem erfolgreich verknüpften Account werden die zugehörigen Personeninformationen in der Sicherheitskonsole auf der Seite "Benutzer" angezeigt.
    2. Um diese Option für die ausgewählte Option zu aktivieren, aktivieren Sie die Prüfung "Risk Management and Compliance (RMC)" für die Aufgabentrennung

Eigentümer hinzufügen

Fügen Sie primäre und zusätzliche Verantwortliche zu Ihrem orchestrierten System hinzu, damit diese Ressourcen verwalten können.

Sie können Ressourcenverantwortung zuordnen, indem Sie primäre und zusätzliche Verantwortliche hinzufügen. Dies steuert Self-Service, da diese Eigentümer dann die Ressourcen verwalten (lesen, aktualisieren oder löschen) können, deren Eigentümer sie sind. Standardmäßig wird der Ressourcenersteller als Ressourceneigentümer angegeben. Sie können einen primären Verantwortlichen und bis zu 20 zusätzliche Verantwortliche für die Ressourcen zuweisen.
Hinweis

Wenn Sie das erste orchestrierte System für Ihre Serviceinstanz einrichten, können Sie Eigentümer erst zuweisen, nachdem Sie die Identitäten im Abschnitt Identitäten verwalten aktiviert haben.
So fügen Sie Eigentümer hinzu:
  1. Wählen Sie im Feld Wer ist der primäre Eigentümer? einen aktiven Oracle Access Governance-Benutzer als primären Eigentümer aus.
  2. Wählen Sie einen oder mehrere zusätzliche Eigentümer in der Liste Wer ist Eigentümer? aus. Sie können bis zu 20 zusätzliche Eigentümer für die Ressource hinzufügen.
Sie können den primären Eigentümer in der Liste anzeigen. Alle Verantwortlichen können die Ressourcen anzeigen und verwalten, für die sie verantwortlich sind.

Accounteinstellungen

Gliederungsdetails zur Verwaltung von Accounteinstellungen beim Einrichten des orchestrierten Systems, einschließlich Benachrichtigungseinstellungen und Standardaktionen, wenn eine Identität in Ihre Organisation verschoben oder verlässt.

Geben Sie im Schritt Accounteinstellungen des Workflows ein, wie Oracle Access Governance Accounts verwalten soll, wenn das System als verwaltetes System konfiguriert ist:
  1. Wenn eine Berechtigung angefordert wird und das Konto noch nicht vorhanden ist, wählen Sie diese Option aus, um neue Konten zu erstellen. Diese Option ist standardmäßig aktiviert. Wenn diese Option ausgewählt ist, erstellt Oracle Access Governance einen Account, wenn kein Account vorhanden ist, wenn eine Berechtigung angefordert wird. Wenn Sie diese Option deaktivieren, werden Berechtigungen nur für vorhandene Konten im orchestrierten System bereitgestellt. Wenn kein Account vorhanden ist, verläuft der Provisioning-Vorgang nicht erfolgreich.
  2. Wählen Sie die Empfänger für Benachrichtigungs-E-Mails aus, wenn ein Account erstellt wird. Der Standardempfänger ist Benutzer. Wenn keine Empfänger ausgewählt sind, werden keine Benachrichtigungen gesendet, wenn Accounts erstellt werden.
    • Benutzer
    • Benutzermanager
  3. Vorhandene Accounts konfigurieren
    Hinweis

    Sie können diese Konfigurationen nur festlegen, wenn dies vom Systemadministrator zulässig ist. Wenn die Einstellungen für die globale Accountbeendigung aktiviert sind, können Anwendungsadministratoren die Einstellungen für die Accountbeendigung nicht auf der orchestrierten Systemebene verwalten.
    1. Wählen Sie aus, was mit Konten zu tun ist, wenn die vorzeitige Beendigung beginnt: Wählen Sie die Aktion aus, die ausgeführt werden soll, wenn eine vorzeitige Beendigung beginnt. Dies geschieht, wenn Sie Identitätszugriffe vor dem offiziellen Austrittsdatum widerrufen müssen.
      • Löschen: Löscht alle Accounts und Berechtigungen, die von Oracle Access Governance verwaltet werden.
        Hinweis

        Wenn ein bestimmtes orchestriertes System die Aktion nicht unterstützt, wird keine Aktion ausgeführt.
      • Deaktivieren: Deaktiviert alle Konten und deaktiviert Berechtigungen, die von Oracle Access Governance verwaltet werden.
        • Berechtigungen für deaktivierte Konten löschen: Um einen Restzugriff von Null sicherzustellen, wählen Sie diese Option aus, um direkt zugewiesene Berechtigungen und Policy-berechtigte Berechtigungen bei der Kontodeaktivierung zu löschen.
      • Keine Aktion: Wenn eine Identität von Oracle Access Governance zur vorzeitigen Beendigung gekennzeichnet wird, wird keine Aktion ausgeführt.
    2. Wählen Sie aus, was mit Konten am Austrittsdatum zu tun ist: Wählen Sie die Aktion aus, die während des offiziellen Austritts ausgeführt werden soll. Dies geschieht, wenn Sie Identitätszugriffe am offiziellen Austrittsdatum widerrufen müssen.
      • Löschen: Löscht alle Accounts und Berechtigungen, die von Oracle Access Governance verwaltet werden.
        Hinweis

        Wenn ein bestimmtes orchestriertes System die Aktion Löschen nicht unterstützt, wird keine Aktion ausgeführt.
      • Deaktivieren: Deaktiviert alle Konten und deaktiviert Berechtigungen, die von Oracle Access Governance verwaltet werden.
        • Berechtigungen für deaktivierte Konten löschen: Um einen Restzugriff von Null sicherzustellen, wählen Sie diese Option aus, um direkt zugewiesene Berechtigungen und Policy-berechtigte Berechtigungen bei der Kontodeaktivierung zu löschen.
        Hinweis

        Wenn ein bestimmtes orchestriertes System die Aktion Deaktivieren nicht unterstützt, wird der Account gelöscht.
      • Keine Aktion: Für Accounts und Berechtigungen von Oracle Access Governance wird keine Aktion ausgeführt.
  4. Wenn eine Identität Ihr Unternehmen verlässt, müssen Sie den Zugriff auf ihre Accounts entfernen.
    Hinweis

    Sie können diese Konfigurationen nur festlegen, wenn dies von Ihrem Systemadministrator zulässig ist. Wenn die globalen Einstellungen für die Kontobeendigung aktiviert sind, können Anwendungsadministratoren die Einstellungen für die Kontobeendigung nicht auf der orchestrierten Systemebene verwalten.

    Wählen Sie eine der folgenden Aktionen für den Account aus:

    • Löschen: Löschen Sie alle Accounts und Berechtigungen, die von Oracle Access Governance verwaltet werden.
    • Deaktivieren: Deaktivieren Sie alle Accounts, und markieren Sie Berechtigungen als inaktiv.
      • Berechtigungen für deaktivierte Konten löschen: Löschen Sie direkt zugewiesene und durch Richtlinien erteilte Berechtigungen bei der Kontodeaktivierung, um einen verbleibenden Zugriff zu verhindern.
    • Keine Aktion: Keine Aktion ausführen, wenn eine Identität die Organisation verlässt.
    Hinweis

    Diese Aktionen sind nur verfügbar, wenn sie vom orchestrierten Systemtyp unterstützt werden. Beispiel: Wenn Löschen nicht unterstützt wird, werden nur die Optionen Deaktivieren und Keine Aktion angezeigt.
  5. Wenn alle Berechtigungen für einen Account entfernt werden, z.B. wenn eine Identität zwischen Abteilungen verschoben wird, müssen Sie möglicherweise entscheiden, was mit dem Account zu tun ist. Wählen Sie eine der folgenden Aktionen aus, sofern dies vom orchestrierten Systemtyp unterstützt wird:
    • Löschen
    • Deaktivieren
    • Keine Aktion
  6. Accounts verwalten, die nicht von Access Governance erstellt wurden: Wählen Sie diese Option aus, um Accounts zu verwalten, die direkt im orchestrierten System erstellt werden. Damit können Sie vorhandene Accounts abstimmen und über Oracle Access Governance verwalten.
Hinweis

Wenn Sie das System nicht als verwaltetes System konfigurieren, wird dieser Schritt im Workflow angezeigt, ist jedoch nicht aktiviert. In diesem Fall fahren Sie direkt mit dem Schritt Integrationseinstellungen des Workflows fort.
Hinweis

Wenn Ihr orchestriertes System eine dynamische Schema-Discovery erfordert, wie bei den generischen Integrationen für REST- und Datenbankanwendungstabellen, kann beim Erstellen des orchestrierten Systems nur das Benachrichtigungs-E-Mail-Ziel (Benutzer, Benutzer) festgelegt werden. Sie können die Deaktivierungs-/Löschregeln für Mover und Abgänger nicht festlegen. Dazu müssen Sie das orchestrierte System erstellen und dann die Accounteinstellungen aktualisieren, wie unter Einstellungen für orchestrierte Systemaccounts konfigurieren beschrieben.

Integrationseinstellungen

Geben Sie Details zur Verbindung mit dem Oracle Fusion Cloud Applications-System ein.

  1. Geben Sie im Schritt Integrationseinstellungen des Workflows die erforderlichen Details ein, damit Oracle Access Governance eine Verbindung zu Ihrem Oracle Fusion Cloud Applications-System herstellen kann.
    Integrationseinstellungen
    Vorbedingungen Parametername Beschreibung
    Anwendungstyp
    • Beide: Wenn Sie sowohl HCM als auch ERP in dasselbe orchestrierte System integrieren möchten
    • Oracle Human Capital Management (HCM)
    • Oracle Enterprise Resource Planning (ERP)
    Modus: Autoritative Quelle
    • Benutzeraccount
    • Person
    • Wählen Sie Benutzeraccount aus, um Identitäten aufzunehmen, die für die Sicherheitsidentität stehen und Systemzugriff auf Oracle Fusion Cloud Applications haben.
    • Wählen Sie Person aus, um Identitäten mit Beschäftigungsdetails aufzunehmen, z.B. Personalnummer, Arbeitsbeziehungen, Tätigkeitsschlüssel, Personendaten.
    Oracle Fusion Cloud Applications-Hostname Hostname für den Zugriff auf Ihr Oracle Fusion Cloud Applications-System. Beispiel: In Ihrer URL lautet der Hostname fa-test.example.com.
    https://fa-test.example.com:443/fcsUI/faces/FuseWelcome
    Oracle Fusion Cloud Applications Port Geben Sie die Portnummer ein, an der das Quellsystem von Oracle Fusion Cloud Applications horcht. Beispiel: Geben Sie in der URL Port 443 ein.
    https://fa-test.example.com:443/fcsUI/faces/FuseWelcome
    Anwendungstyp: Beides, ERP OAuth: OCI IAM für die Authentifizierung Aktivieren Sie das Kontrollkästchen, um OCI IAM zur Authentifizierung Ihrer Oracle Fusion Cloud Applications-Instanz zu verwenden. Voraussetzungen für OAuth ausführen Siehe Authentifizierung mit OCI OAuth.
    Wie soll der Zugriff auf die Zugangsdaten gewährt werden?
      • Von einem OCI Vault Secret: (Empfohlen) Wählen Sie diese Option aus, um OCI Vault zum Verwalten und Speichern von Zugangsdaten zu verwenden.
      • In Access Governance erhaltene und gespeicherte Zugangsdaten: Wählen Sie diese Option aus, um Zugangsdaten in Oracle Access Governance zu speichern.
    OCI-Vault Wie lautet die OCI-Mandanten-OCID, die das Vault Secret hostet? Geben Sie die Mandanten-OCID ein, in der Sie den Vault erstellt haben. Siehe OCI Vault für Zugangsdaten konfigurieren.
    OCI-Vault Wie lautet die Secret-OCID für Zugriffszugangsdaten? Geben Sie die OCI-Secret-OCID ein, in der Sie Zugangsdaten gespeichert haben. Siehe OCI Vault für Zugangsdaten konfigurieren.

    Hinweis: Sie müssen die angezeigten IAM-Policys im Root Compartment des Mandanten hinzufügen, in dem der Vault erstellt wird.
    • Anwendungstyp: Beides und HCM
    • Modus: Verwaltetes System
    		 Zuständigkeitsbereiche Wählen Sie diesen Zuständigkeitsbereich aus, um AOR als Accountattribut aufzunehmen, wenn ein Benutzeraccount mit einer Person verknüpft ist. AOR in Oracle Fusion Cloud Applications definiert den Umfang des Funktionszugriffs eines Benutzers.
    Anwendungstyp: Beides, ERP Möchten Sie den Beschaffungsagent (Bestellung) in Access Governance verwalten? Wählen Sie diese Option aus, um das Provisioning von Beschaffungsagenten mit Zugriffs-Bundles zu verwalten. Wählen Sie im Zugriffs-Bundle einen Beschaffungsagenten mit dem Berechtigungstyp "Erteilt" als Beschaffungsgeschäftseinheit aus, und wählen Sie Attribute für diese Beschaffungsgeschäftseinheit aus. Siehe Mit Fusion Cloud Applications integrieren.

    Hinweis: Der Benutzer muss als Mitarbeiter registriert sein und über zugehörige Mitarbeiterinformationen verfügen. Der Benutzer muss über eine aktive vordefinierte Sicherheitsrolle verfügen, um den Bestellagenten zu erstellen. Siehe Vordefinierte Rollen für Beschaffung.
    • Anwendungstyp: Beides und HCM
    • Modus: Autoritative Quelle
    		 Möchten Sie weitere Lookup-Objekte laden? Geben Sie den Lookup-Objektnamen ein, um zusätzliche Attribute zu laden. Beispiel: Geben Sie job ein.

    Derzeit können Sie zusätzliche Attribute für Job- und Location-Lookup-Objekte laden. Verwenden Sie die eingehende Transformation, um diese Systemattribute zu verwenden. Siehe Unterstützung für Lookup-Objekte.
  2. Wählen Sie Integration testen aus, um Ihre Konfiguration zu validieren.
  3. Wählen Sie Hinzufügen aus, um das orchestrierte System zu erstellen.

Beenden

Beenden Sie die Konfiguration des orchestrierten Systems, indem Sie Details darüber angeben, ob weitere Anpassungen vorgenommen werden sollen, oder einen Dataload aktivieren und ausführen.

Der letzte Schritt des Workflows ist Fertigstellen.

Sie können wählen, ob Sie das orchestrierte System weiter konfigurieren möchten, bevor Sie einen Dataload ausführen, oder ob Sie die Standardkonfiguration akzeptieren und einen Dataload initiieren möchten. Wählen Sie eine aus:
  • Anpassen und dann das System für Dataloads aktivieren
  • Aktivieren und die Dataload mit den bereitgestellten Standardwerten vorbereiten

Zugangsdaten für Oracle Fusion Cloud-Anwendungen in OCI Vault migrieren

Wenn bereits orchestrierte Systeme vorhanden sind, wird empfohlen, OCI Vault and Secret Management zum Speichern und Verwalten der Oracle Fusion Cloud Applications-Zugangsdaten zu verwenden.

  1. Navigieren Sie zur Seite Integrationseinstellungen, und befolgen Sie die Anweisungen unter Orchestrierte Systemintegrationseinstellungen konfigurieren.
  2. Auf der Seite Integrationseinstellungen wird eine Warnung zur Einstellung angezeigt. Wählen Sie die Schaltfläche Weitere Informationen zur Migration.
  3. Erforderliche Voraussetzungen erfüllen Siehe OCI Vault-Konfiguration.
  4. Nachdem Sie Ihre Policys angewendet haben, wählen Sie die Schaltfläche Integration testen aus, um die Verbindung zu prüfen. Wenn Sie Fehler oder Meldungen haben, prüfen Sie Ihre Konfiguration. Sie können die Migration erst abschließen, wenn der Test erfolgreich war.
  5. Wenn die Verbindung bestätigt wurde, wählen Sie die Schaltfläche Migrieren aus, um die Migration zu starten.
  6. Nach Abschluss der Migration wird eine Meldung angezeigt, in der bestätigt wird, dass die Integration jetzt die OCI Vault-Speichermethode verwendet.

Nach Konfiguration

Einem Oracle Fusion Cloud Applications-System sind keine Postinstall-Schritte zugeordnet.