Oracle Cloud Infrastructure-Dokumentation

Integration zwischen Oracle Access Governance und SAP Ariba konfigurieren

Sie können eine Verbindung zwischen Oracle Access Governance und der SAP Ariba SaaS-Anwendung als verwaltetes System herstellen. Verwenden Sie zur Konfiguration Orchestrierte Systeme in der Oracle Access Governance-Konsole.

Voraussetzungen

Bevor Sie das SAP Ariba Orchestrated System installieren und konfigurieren, sollten Sie die folgenden Voraussetzungen und Aufgaben berücksichtigen.

Setup zum Verwalten von SAP Ariba-Konten - Konfigurieren eines neuen eingehenden Integrationsendpunkts in SAP Ariba

Konfigurieren Sie einen eingehenden Endpunkt in der SAP Ariba-Lösung, um das Provisioning- und Zugriffsmanagement von Oracle Access Governance zu ermöglichen.

Erforderliche Rollen:
  • Mitglied der Gruppe "Kundenadministrator" oder "Integrationsadministrator"
  • Gruppe mit Administrator- oder Integrationsadministratorrolle
Ein Endpunkt besteht aus der URL und den Authentifizierungsinformationen, die den Zugriff auf den Endpunkt steuern. Konfigurieren Sie einen eingehenden Endpunkt zum Initiieren von Provisioning- und Zugriffsverwaltungsvorgängen aus Oracle Access Governance.
Neuen eingehenden Integrationsendpunkt in SAP Ariba konfigurieren
  1. Melden Sie sich mit Administratorzugangsdaten bei der SAP Ariba-Instanz an.
  2. Klicken Sie im SAP Ariba-Administrator-Dashboard auf Verwalten > Administration.
  3. Blenden Sie die Option Integrationsmanager ein, und wählen Sie Endpunktkonfiguration aus.
  4. Um einen neuen Endpunkt zu erstellen, klicken Sie auf Neu erstellen.
    Die Seite Endpunktkonfiguration - Endpunkt erstellen wird geöffnet.
  5. Geben Sie im Feld Name einen Namen für den Endpunkt ein.
  6. Wählen Sie den Typ Eingehend aus.
  7. Navigieren Sie zum Abschnitt "HTTP-Authentifizierung", um die HTTP-Basisauthentifizierung zu verwenden.
    1. Geben Sie die Benutzer-ID in das Feld Anmelden ein.
    2. Geben Sie das Kennwort in das Feld Kennwort ein.
    Sie müssen diese Informationen angeben, um das orchestrierte System in der Oracle Access Governance-Konsole zu konfigurieren.
  8. Klicken Sie auf Speichern.

Setup für Dataload - API über das SAP Ariba API Developer Portal aktivieren

Sie können Daten aus Ihrer SAP Ariba-Anwendung mit Oracle Access Governance abstimmen, indem Sie die Anwendungs-API aktivieren.

Erforderliche Rolle: Ein Benutzer mit der Rolle Organisationsadministrator fordert die Genehmigung für den API-Zugriff an.
Eine einzelne Anwendung kann nur auf eine API zugreifen. Pro Realm/API-Kombination darf nur eine Anwendung vorhanden sein.

Anwendung im SAP Developer API Portal erstellen

Sie können die Aufgabe überspringen, wenn Sie bereits eine SAP Ariba-Anwendung haben.

  1. Melden Sie sich beim SAP Ariba Entwicklerportal an.
  2. Navigieren Sie zu Anwendungen verwalten, und klicken Sie auf das Pluszeichen +.
  3. Geben Sie den Anwendungsnamen und die Beschreibung ein.
  4. Klicken Sie auf Übergeben.

    Die Anwendung wird erstellt und wird in der Liste Anwendungen angezeigt. Eine eindeutige ID für Ihre Anwendung, Anwendungsschlüssel, wird ebenfalls generiert. Dies ist für die Konfiguration mit Oracle Access Governance erforderlich

API-Zugriff für Ihre Anwendung anfordern

  1. Melden Sie sich beim SAP Ariba-Entwicklerportal als Benutzer mit der Rolle Organisationsadministrator an.
  2. Klicken Sie im SAP Ariba-Administrator-Dashboard auf Verwalten > Administration.
  3. Suchen Sie die gewünschte Anwendung in der Anwendungsliste, die Sie aktivieren möchten.
  4. Klicken Sie auf der Seite "Anwendungseinstellung" auf Aktionen > API-Zugriff anfordern.
  5. Geben Sie die folgenden Anwendungsdetails ein:
    1. Wählen Sie in der Dropdown-Liste API-Namen den API-Namen aus, auf den Sie zugreifen möchten.
    2. Wählen Sie unter Realm-Name die Lösung aus, für die Sie die Anwendung aktivieren möchten.
    3. Geben Sie im Feld AN-ID Ihre Ariba Network Identification Number (ANID) ein.
    4. Wählen Sie im Realm-Typ Produktion oder Typ aus.
    5. Klicken Sie auf Übergeben.

    Der Antrag wird zur Genehmigung weitergeleitet. SAP Ariba-Benutzer mit der Rolle Organisationsadministrator können die API-Zugriffsanforderung für Ihre Anwendung genehmigen.

OAuth Secret und Base64-codierte Client-ID und Secret für die Anwendung generieren

Nachdem die Anwendung vom Administrator genehmigt wurde, können Sie OAuth-Secret-Zugangsdaten generieren, um die API zu authentifizieren. Befolgen Sie die angegebenen Anweisungen:

  1. Melden Sie sich beim SAP Ariba-Entwicklerportal als Benutzer mit der Rolle Organisationsadministrator an.
  2. Klicken Sie im SAP Ariba-Administrator-Dashboard auf Verwalten > Administration.
  3. Suchen Sie die gewünschte Anwendung in der Anwendungsliste, die Sie aktivieren möchten.
  4. Klicken Sie auf der Seite "Anwendungseinstellung" auf Aktionen > Secret für OAuth generieren.
  5. Klicken Sie im Bestätigungsfeld auf Weiterleiten. Das OAuth Secret und Base64-codierter Client und Secret werden angezeigt.
  6. Kopieren Sie das OAuth Secret und das Base64-codierte Client und Secret, und speichern Sie es an einem sicheren Speicherort.

Sie benötigen diese Option, um das orchestrierte System in der Oracle Access Governance-Konsole zu konfigurieren.

URL des OAuth-Authentifizierungsservers abrufen

Sie müssen die OAuth-Server-URL für Ihre API-Anwendung abrufen, um die Verbindung herzustellen.

Erforderliche Rolle: Ein Benutzer mit der Rolle Organisationsadministrator im SAP Ariba Developer Portal.

Sie benötigen die API-Server-URL der Masterdatenabruf-API für Sourcing, um das orchestrierte System in der Oracle Access Governance-Konsole zu konfigurieren.

  1. Melden Sie sich beim SAP Ariba-Entwicklerportal als Benutzer mit der Rolle Organisationsadministrator an.
  2. Gehen Sie zum Abschnitt Discover, und navigieren Sie zu STRATEGISCHE SOURCING.
  3. Suchen Sie nach der Masterdatenabruf-API für Sourcing.
  4. Kopieren Sie den Wert des Server-URL-Präfixes OAuth, und hängen Sie v2 an.

    Beispiel: https://< OAuth Server-URL >/v2

Partitions-ID- und Variantenwerte aus WSDL abrufen

Sie müssen die Varianten- und Partitions-ID der Realm abrufen, um den Parameter für das Master-Dataset beizubehalten.

  1. Melden Sie sich bei der Ariba-Anwendung mit Admin-Zugangsdaten an.
  2. Klicken Sie im Ariba-Administrator-Dashboard auf Verwalten, und wählen Sie in der Dropdown-Liste die Option Administration aus.
  3. Blenden Sie Integrationsmanager ein, und wählen Sie Integrationskonfiguration aus.
  4. Suchen Sie nach dem Webservice Benutzer importieren, Aufgabenname=Benutzer importieren.
  5. Klicken Sie auf den Webservice Benutzer importieren, und öffnen Sie ihn.
  6. Klicken Sie auf WSDL anzeigen, und suchen Sie in WSDL nach vrealm.
  7. Wenn Sie vrealm_1234 in WSDL finden, können Sie vrealm_1234 als Variante und prealm_1234 als Partition verwenden.

Konfigurieren

Sie können eine Verbindung zwischen SAP Ariba und Oracle Access Governance herstellen, indem Sie Verbindungsdetails eingeben. Verwenden Sie dazu die in der Oracle Access Governance-Konsole verfügbare orchestrierte Systemfunktionalität.

Zur Seite "Orchestrierte Systeme" navigieren

Identitätsorchestrierungen werden über die Oracle Access Governance-Konsole eingerichtet. Gehen Sie zur Seite "Orchestrierte Systeme", um SAP Ariba in Oracle Access Governance zu integrieren.

Navigieren Sie zur Seite "Orchestrierte Systeme" der Oracle Access Governance-Konsole, indem Sie die folgenden Schritte ausführen:
  1. Wählen Sie im Oracle Access Governance-Navigationsmenü symbol Navigationsmenü die Option Serviceadministration → Orchestrierte Systeme aus.
  2. Wählen Sie die Schaltfläche Orchestriertes System hinzufügen, um den Workflow zu starten.

System auswählen

Im Schritt System auswählen des Workflows können Sie den Systemtyp angeben, den Sie integrieren möchten.

Mit dem Feld Suchen können Sie das erforderliche System nach Namen suchen.

  1. Wählen Sie SAP Ariba aus.
  2. Klicken Sie auf Weiter.

Geben Sie Details ein

Geben Sie im Schritt Details eingeben Ihrem orchestrierten System einen aussagekräftigen Namen, fügen Sie eine unterstützende Beschreibung hinzu, und legen Sie fest, ob Sie dieses System als zuverlässige Quelle oder zur Verwaltung von Berechtigungen verwenden können. Für SAP Ariba können Sie mit Oracle Access Governance Berechtigungen für Identitätsaccounts verwalten.

Geben Sie im Schritt Details eingeben des Workflows die Details für das orchestrierte System ein:
  1. Geben Sie einen Namen für das System ein, mit dem Sie eine Verbindung herstellen möchten, in das Feld Was möchten Sie dieses System nennen?.
  2. Geben Sie eine Beschreibung für das System in das Feld Wie soll dieses System beschrieben werden? ein.
    Hinweis

    Auf der Seite wird eine Meldung angezeigt, die angibt, dass Oracle Access Governance Berechtigungen für dieses System verwalten und das Provisioning von Accounts aktivieren kann.
  3. Klicken Sie auf Weiter.

Eigentümer hinzufügen

Fügen Sie in diesem Schritt primäre und zusätzliche Verantwortliche für das orchestrierte System hinzu.

Sie können Ressourcenverantwortung zuordnen, indem Sie primäre und zusätzliche Verantwortliche hinzufügen. Dies steuert Self-Service, da diese Eigentümer dann die Ressourcen verwalten (lesen, aktualisieren oder löschen) können, deren Eigentümer sie sind. Standardmäßig wird der Ressourcenersteller als Ressourceneigentümer angegeben. Sie können einen primären Verantwortlichen und bis zu 20 zusätzliche Verantwortliche für die Ressourcen zuweisen.
Hinweis

Wenn Sie das erste orchestrierte System für Ihre Serviceinstanz einrichten, können Sie Eigentümer erst zuweisen, nachdem Sie die Identitäten im Abschnitt Identitäten verwalten aktiviert haben.
So fügen Sie Eigentümer hinzu:
  1. Wählen Sie im Feld Wer ist der primäre Eigentümer? einen aktiven Oracle Access Governance-Benutzer als primären Eigentümer aus.
  2. Wählen Sie einen oder mehrere zusätzliche Eigentümer in der Liste Wer ist Eigentümer? aus. Sie können bis zu 20 zusätzliche Eigentümer für die Ressource hinzufügen.
Sie können den primären Eigentümer in der Liste anzeigen. Alle Verantwortlichen können die Ressourcen anzeigen und verwalten, für die sie verantwortlich sind.

Accounteinstellungen

Geben Sie im Schritt Accounteinstellungen des Workflows ein, wie Oracle Access Governance Accounts verwalten soll, wenn das System als verwaltetes System konfiguriert ist:
  1. Wenn eine Berechtigung angefordert wird und das Konto noch nicht vorhanden ist, wählen Sie diese Option aus, um neue Konten zu erstellen. Diese Option ist standardmäßig aktiviert. Wenn diese Option ausgewählt ist, erstellt Oracle Access Governance einen Account, wenn kein Account vorhanden ist, wenn eine Berechtigung angefordert wird. Wenn Sie diese Option deaktivieren, werden Berechtigungen nur für vorhandene Konten im orchestrierten System bereitgestellt. Wenn kein Account vorhanden ist, verläuft der Provisioning-Vorgang nicht erfolgreich.
  2. Wählen Sie die Empfänger für Benachrichtigungs-E-Mails aus, wenn ein Account erstellt wird. Der Standardempfänger ist Benutzer. Wenn keine Empfänger ausgewählt sind, werden keine Benachrichtigungen gesendet, wenn Accounts erstellt werden.
    • Benutzer
    • Benutzermanager
  3. Vorhandene Accounts konfigurieren
    Hinweis

    Sie können diese Konfigurationen nur festlegen, wenn dies vom Systemadministrator zulässig ist. Wenn die Einstellungen für die globale Accountbeendigung aktiviert sind, können Anwendungsadministratoren die Einstellungen für die Accountbeendigung nicht auf der orchestrierten Systemebene verwalten.
    1. Wählen Sie aus, was mit Konten zu tun ist, wenn die vorzeitige Beendigung beginnt: Wählen Sie die Aktion aus, die ausgeführt werden soll, wenn eine vorzeitige Beendigung beginnt. Dies geschieht, wenn Sie Identitätszugriffe vor dem offiziellen Austrittsdatum widerrufen müssen.
      • Löschen: Löscht alle Accounts und Berechtigungen, die von Oracle Access Governance verwaltet werden.
        Hinweis

        Wenn ein bestimmtes orchestriertes System die Aktion nicht unterstützt, wird keine Aktion ausgeführt.
      • Deaktivieren: Deaktiviert alle Konten und deaktiviert Berechtigungen, die von Oracle Access Governance verwaltet werden.
        • Berechtigungen für deaktivierte Konten löschen: Um einen Restzugriff von Null sicherzustellen, wählen Sie diese Option aus, um direkt zugewiesene Berechtigungen und Policy-berechtigte Berechtigungen bei der Kontodeaktivierung zu löschen.
      • Keine Aktion: Wenn eine Identität von Oracle Access Governance zur vorzeitigen Beendigung gekennzeichnet wird, wird keine Aktion ausgeführt.
    2. Wählen Sie aus, was mit Konten am Austrittsdatum zu tun ist: Wählen Sie die Aktion aus, die während des offiziellen Austritts ausgeführt werden soll. Dies geschieht, wenn Sie Identitätszugriffe am offiziellen Austrittsdatum widerrufen müssen.
      • Löschen: Löscht alle Accounts und Berechtigungen, die von Oracle Access Governance verwaltet werden.
        Hinweis

        Wenn ein bestimmtes orchestriertes System die Aktion Löschen nicht unterstützt, wird keine Aktion ausgeführt.
      • Deaktivieren: Deaktiviert alle Konten und deaktiviert Berechtigungen, die von Oracle Access Governance verwaltet werden.
        • Berechtigungen für deaktivierte Konten löschen: Um einen Restzugriff von Null sicherzustellen, wählen Sie diese Option aus, um direkt zugewiesene Berechtigungen und Policy-berechtigte Berechtigungen bei der Kontodeaktivierung zu löschen.
        Hinweis

        Wenn ein bestimmtes orchestriertes System die Aktion Deaktivieren nicht unterstützt, wird der Account gelöscht.
      • Keine Aktion: Für Accounts und Berechtigungen von Oracle Access Governance wird keine Aktion ausgeführt.
  4. Wenn eine Identität Ihr Unternehmen verlässt, müssen Sie den Zugriff auf ihre Accounts entfernen.
    Hinweis

    Sie können diese Konfigurationen nur festlegen, wenn dies von Ihrem Systemadministrator zulässig ist. Wenn die globalen Einstellungen für die Kontobeendigung aktiviert sind, können Anwendungsadministratoren die Einstellungen für die Kontobeendigung nicht auf der orchestrierten Systemebene verwalten.

    Wählen Sie eine der folgenden Aktionen für den Account aus:

    • Löschen: Löschen Sie alle Accounts und Berechtigungen, die von Oracle Access Governance verwaltet werden.
    • Deaktivieren: Deaktivieren Sie alle Accounts, und markieren Sie Berechtigungen als inaktiv.
      • Berechtigungen für deaktivierte Konten löschen: Löschen Sie direkt zugewiesene und durch Richtlinien erteilte Berechtigungen bei der Kontodeaktivierung, um einen verbleibenden Zugriff zu verhindern.
    • Keine Aktion: Keine Aktion ausführen, wenn eine Identität die Organisation verlässt.
    Hinweis

    Diese Aktionen sind nur verfügbar, wenn sie vom orchestrierten Systemtyp unterstützt werden. Beispiel: Wenn Löschen nicht unterstützt wird, werden nur die Optionen Deaktivieren und Keine Aktion angezeigt.
  5. Wenn alle Berechtigungen für einen Account entfernt werden, z.B. wenn eine Identität zwischen Abteilungen verschoben wird, müssen Sie möglicherweise entscheiden, was mit dem Account zu tun ist. Wählen Sie eine der folgenden Aktionen aus, sofern dies vom orchestrierten Systemtyp unterstützt wird:
    • Löschen
    • Deaktivieren
    • Keine Aktion
  6. Accounts verwalten, die nicht von Access Governance erstellt wurden: Wählen Sie diese Option aus, um Accounts zu verwalten, die direkt im orchestrierten System erstellt werden. Damit können Sie vorhandene Accounts abstimmen und über Oracle Access Governance verwalten.
Hinweis

Wenn Sie das System nicht als verwaltetes System konfigurieren, wird dieser Schritt im Workflow angezeigt, ist jedoch nicht aktiviert. In diesem Fall fahren Sie direkt mit dem Schritt Integrationseinstellungen des Workflows fort.
Hinweis

Wenn Ihr orchestriertes System eine dynamische Schema-Discovery erfordert, wie bei den generischen Integrationen für REST- und Datenbankanwendungstabellen, kann beim Erstellen des orchestrierten Systems nur das Benachrichtigungs-E-Mail-Ziel (Benutzer, Benutzer) festgelegt werden. Sie können die Deaktivierungs-/Löschregeln für Mover und Abgänger nicht festlegen. Dazu müssen Sie das orchestrierte System erstellen und dann die Accounteinstellungen aktualisieren, wie unter Einstellungen für orchestrierte Systemaccounts konfigurieren beschrieben.

Bei diesem orchestrierten System können die Identitätsaccounts nur deaktiviert und nicht gelöscht werden. Daher werden die Auswahlmöglichkeiten für Mover- und Leaver-Fall ausgegraut.

Integrationseinstellungen

Geben Sie im Schritt Integrationseinstellungen des Workflows die Konfigurationsdetails ein, die erforderlich sind, damit Oracle Access Governance eine Verbindung zu SAP Ariba herstellen kann.

Geben Sie die Konfigurationsinformationen wie in der folgenden Tabelle beschrieben ein, und klicken Sie auf Hinzufügen.

Integrationsdetails
Feld Beschreibung Beispiel Referenz
Wie heißt die Realm, die SAP Ariba hostet? Geben Sie den eindeutigen Realm-Namen für Ihre Lösung ein. Normalerweise finden Sie dies in der URL im Format s1.ariba.com/sourcing/Main/xxxxxrealm=MyRealm-T MyRealm-T Wie finde ich meinen Realm-Namen heraus?
Welcher API-Schlüssel soll zum Laden von Daten verwendet werden? Geben Sie den eindeutigen API-Anwendungsschlüssel für die von Ihnen erstellte Anwendung ein 123abc12345ABXX
Was ist die OAuth-Client-ID? Geben Sie die Client-ID für Ihre API-Anwendung ein. Diese Informationen werden angezeigt, wenn Sie OAuth-Zugangsdaten für Ihre Anwendung generieren. 123ABC12345acxx OAuth-Zugangsdaten generieren
Was ist OAuth Client Secret? Geben Sie das Client Secret für Ihre API-Anwendung ein. Diese Informationen werden angezeigt, wenn Sie OAuth-Zugangsdaten für Ihre Anwendung generieren. 123ABC12345aTT OAuth-Zugangsdaten generieren
Wie lautet die Authentifizierungsserver-URL zum Validieren des Clients? Geben Sie die Server-URL für OAuth ein, und hängen Sie v2 an https://< OAuth Server URL >/v2 URL des OAuth-Authentifizierungsservers abrufen
Was ist der Benutzername? Geben Sie die Benutzer-ID für die HTTP-Basisauthentifizierung ein ag24sapariba Setup zum Verwalten von SAP Ariba-Konten - Konfigurieren eines neuen eingehenden Integrationsendpunkts in SAP Ariba
Was ist ein Passwort? Kennwort für HTTP-Basisauthentifizierung eingeben ag24sapariba Setup zum Verwalten von SAP Ariba-Konten - Konfigurieren eines neuen eingehenden Integrationsendpunkts in SAP Ariba
Kennwort bestätigen Geben Sie das Kennwort zur Bestätigung erneut ein. ag24sapariba Setup zum Verwalten von SAP Ariba-Konten - Konfigurieren eines neuen eingehenden Integrationsendpunkts in SAP Ariba
Wie lautet der eindeutige Partitionsname des Mandanten? Geben Sie den eindeutigen Partitionsnamen für die Realm ein prealm_1234 Partitions-ID- und Variantenwerte aus WSDL abrufen
Wie lautet der eindeutige Variantenname des Mandanten? Geben Sie den eindeutigen Variantennamen für Ihre Realm ein. vrealm_1234 Partitions-ID- und Variantenwerte aus WSDL abrufen

Beenden

Prüfen und konfigurieren Sie das Konfigurationssetup. Sie können wählen, ob Sie das orchestrierte System weiter konfigurieren möchten, bevor Sie einen Dataload ausführen, oder ob Sie die Standardkonfiguration akzeptieren und einen Dataload initiieren möchten.

Wählen Sie eine aus:
  • Anpassen und dann das System für Dataloads aktivieren
  • Aktivieren und die Dataload mit den bereitgestellten Standardwerten vorbereiten

Nach Konfiguration

Mit dem SAP Ariba-System sind keine Schritte nach der Konfiguration verbunden.