Oracle Cloud Infrastructure-Dokumentation

Integration mit Fusion Cloud Applications

Überblick: Oracle Access Governance mit Oracle Fusion Cloud Applications integrieren

Oracle Access Governance kann in Oracle Fusion Cloud Applications integriert werden, um die Identitätsorchestrierung zu ermöglichen. Dazu gehören das Onboarding von Identitäts-(Benutzer-)Daten, Mitarbeiterinformationen und die Bereitstellung von Oracle Human Capital-(HCM-) und Oracle Enterprise Resource Planning-(ERP-)Konten.

Oracle Fusion Cloud Applications bietet Enterprise Human Capital Management-(HCM-) und Enterprise Resource Planning-(ERP-)Funktionen. Oracle Access Governance unterstützt die folgenden Elemente in Oracle Fusion Cloud Applications:
  • Oracle Fusion Cloud Applications HCM und Oracle Fusion Cloud Applications ERP als zuverlässige (vertrauenswürdige) Quelle für Identitätsinformationen für die Abstimmung von Mitarbeitern, die in Oracle Fusion Cloud Applications erstellt oder geändert wurden.
  • Oracle Fusion Cloud Applications als verwaltetes System für die Bereitstellung von HCM- und ERP-Anwendungskonten.

Oracle Fusion Cloud Applications - Integrationsarchitektur - Überblick

Die Integration von Oracle Fusion Cloud Applications ermöglicht das Abrufen von Identitätsdaten und das Übertragen der Daten in Oracle Access Governance. Nachdem eine Verbindung hergestellt wurde, können Sie Provisioning- und Remediation-Aufgaben ausführen, die im verwalteten System sichtbar sind.

Oracle Fusion Cloud Applications verwendet die Fusion Apps-API, um über die REST-API-Endpunkte Zugriff auf Oracle Fusion Cloud Applications zu erhalten. Auf diese Weise können Oracle Fusion Cloud Applications Vorgänge zum Erstellen, Lesen, Aktualisieren und Löschen in Oracle Access Governance ausführen.
  • Wenn Sie den Modus Autoritative Quelle auswählen, können Sie ein Oracle Fusion Cloud Applications Orchestrated System einrichten. Dadurch kann Oracle Access Governance Identitätsdaten aus Oracle Fusion Cloud Applications als zuverlässige (vertrauenswürdige) Quelle von Identitätsinformationen abrufen.
  • Wenn Sie den Konfigurationsmodus Verwaltete Systeme auswählen, können Sie mit Oracle Access Governance HCM- und ERP-Benutzerprofildatensätze in Oracle Fusion Cloud Applications verwalten. Dadurch können neue Accounts in Oracle Fusion Cloud Applications über Oracle Access Governance bereitgestellt werden.

Funktionsüberblick über die Integration von Oracle Fusion Cloud Applications

Die Integration von Oracle Fusion Cloud Applications unterstützt sowohl Oracle Human Capital-(HCM-) als auch Oracle Enterprise Resource Planning-(ERP-)Module, einschließlich der Konfiguration des orchestrierten Systems, der Erstellung von Benutzeraccounts, des Widerrufs, der Kennwortänderung sowie der Zuweisung und Entfernung von Rollen.

  • Orchestriertes Oracle Fusion Cloud Applications-System konfigurieren

    Siehe Integration zwischen Oracle Access Governance und Oracle Fusion Cloud-Anwendungen konfigurieren

  • Identitäts- und Kontenattribute mit Korrelationsregeln abgleichen

    Prüfen oder konfigurieren Sie Abgleichsregeln, um die Identitäts- und Accountdaten abzugleichen, und erstellen Sie ein zusammengesetztes Identitätsprofil. Informationen zum Anzeigen der Standardabgleichsregel für dieses orchestrierte System finden Sie unter Standardunterstützte Attribute.

  • Daten laden

    Nehmen Sie Accounts und Gruppen auf, die von Oracle Access Governance verwaltet werden können. Sie können auch Teildatenladevorgänge für Oracle Fusion Cloud Applications konfigurieren. Weitere Informationen finden Sie unter Teilweise Dataload-Einstellungen konfigurieren.

  • Account erstellen

    Erfassen Sie Accountdaten aus dem orchestrierten System, je nachdem, welchen Konfigurationsmodus Sie ausgewählt haben, Autoritative Quelle oder Verwaltetes System, oder fordern Sie einen Zugriff für eine Identität an. Aufnahme von Benutzerdatensätzen als Daten aus Oracle Fusion Cloud Applications.

    Oracle Access Governance unterstützt die Aufnahme aus dem Datensatz für Person/Mitarbeiter oder Benutzerkonto. Person stellt die HCM-Kernentität dar, die Beschäftigungsdetails enthält, wie Personalnummer, Arbeitsbeziehungen, Tätigkeitscode und Personendatensatz. Der Benutzeraccount stellt die Sicherheitsidentität dar, die dem System Zugriff auf Oracle Fusion Cloud Applications gewährt. Person ist mit einem Benutzerkonto verknüpft.

  • Konto aktualisieren

    Aktualisieren Sie die Accountdetails, indem Sie Berechtigungen zuweisen oder entfernen. Auf diese Weise können Sie vordefinierte Rollen, Oracle Fusion Cloud Applications-Anwendungsrollen, OCI-Gruppen und Oracle Fusion Cloud Applications-Gruppen aktualisieren.

  • Account widerrufen

    Deaktivieren Sie einen Account (Benutzer), der mit einer Identität verknüpft ist. Dadurch werden Zugriffsberechtigungen für den Oracle Fusion Cloud Applications-Benutzeraccount entfernt.

Berechtigungen mit Sicherheitskontext zuweisen

Oracle Access Governance-Benutzer können Zugriff auf Ressourcen und Rollen anfordern, die unter Zugriff anfordern bereitgestellt werden. Mit der Funktion Neuen Zugriff anfordern von Oracle Access Governance können Sie einem Oracle Fusion Cloud Applications-Account Berechtigungen zuweisen. Auf diese Weise können Sie ein Zugriffs-Bundle mit Berechtigungen mit Sicherheitsdetails für Rollen im Oracle Fusion Cloud Applications-System anfordern. Weitere Informationen zum Verwalten von Rollen und Policys finden Sie unter Rollen verwalten und Policys verwalten.

Oracle Access Governance unterstützt die folgenden Sicherheitskontexte bei der Integration mit Oracle Fusion Cloud Applications ERP:
  • Geschäftseinheiten
  • Anlagenbuchwert
  • Bücher oder Buchsets
  • Referenz-Dataset
  • Datenzugriffssets
  • Lagerorganisation
  • Intercompany-Organisation
  • Kostenorganisation
  • Produktionswerk

Wenn Sie ein Zugriffs-Bundle in Oracle Access Governance für eine Rolle anfordern, wird ein Provisioning-Vorgang initiiert, der die Rollen in Ihren Oracle Fusion Cloud-Anwendungen für die folgenden Szenariotypen aktualisiert:

Berechtigung mit Sicherheitskontext während der Policy-Erstellung erstellen

Beim Erstellen einer Policy mit Oracle Access Governance für die folgenden Anwendungsfälle:
  • Erstellen Sie ein neues Zugriffs-Bundle, das Berechtigungen mit Sicherheitskontext hat und bereits mit der Identitätserfassung für die Policy verknüpft ist.
  • Erstellen Sie ein neues Zugriffs-Bundle, das Berechtigungen mit Sicherheitskontext hat und bereits mit der Identitätserfassung für die Policy verknüpft ist. Dies gilt in Situationen, in denen dem Benutzer bereits das Zugriffs-Bundle mit derselben Berechtigung, jedoch mit einem anderen Sicherheitskontext zugewiesen wurde.

Berechtigung zum Entfernen von Sicherheitskontext bearbeiten

Sie können die Berechtigungsberechtigung mit Oracle Access Governance für die folgenden Fälle bearbeiten:
  • Bearbeiten Sie das Zugriffs-Bundle mit der Berechtigung für den Sicherheitskontext, um den Sicherheitskontext von der Berechtigungsberechtigung zu ändern, die bereits mit einer Identitätserfassung für die verknüpfte Policy verknüpft ist.
  • Bearbeiten Sie das Zugriffs-Bundle mit der Berechtigung für den Sicherheitskontext, um den Sicherheitskontext aus der Berechtigungsberechtigung zu entfernen, die bereits über eine Policy mit der Identitätserfassung verknüpft ist.

Zuständigkeitsbereich (AOR)

Oracle Access Governance unterstützt den Zuständigkeitsbereich (AOR). Sie können Sicherheitsrollen in Oracle Fusion Cloud Human Capital Management (Fusion HCM) festlegen, indem Sie Zugriffsberechtigungen an den spezifischen Aufgaben einer Person oder eines Teams ausrichten. Mit Oracle Fusion Cloud Applications können Sie Identitäten Zuständigkeiten zuweisen, um die Sichtbarkeit in der Liste "Arbeitskontakte" zu steuern. Oracle Access Governance nimmt AOR als Accountattribut auf, wenn ein Benutzeraccount mit einer Person verknüpft ist. Sie können AOR nicht über Oracle Access Governance bereitstellen. Die Zuweisung/Neuzuweisung erfolgt in Oracle Fusion Cloud Applications.

Beschaffungsagent (Bestellung)

Oracle Access Governance unterstützt die Bereitstellung von Beschaffungsagenten (PO Agents) für Oracle Cloud ERP, wenn der Zielbenutzeraccount mit zugehörigen Mitarbeiter-/Personeninformationen verknüpft ist. Sie können den Procurement Agent-Zugriff in ein Zugriffs-Bundle aufnehmen und es bereitstellen, indem Sie dem Benutzer die entsprechende Berechtigung für die Beschaffungsgeschäftseinheit erteilen. Wählen Sie bei der Erstellung des Zugriffs-Bundles die Berechtigung mit Berechtigungstyp "Erteilt" = Beschaffungsgeschäftseinheit (nicht Rolle), um sicherzustellen, dass Oracle Access Governance die beabsichtigte Berechtigung des Beschaffungsagenten bereitstellt.

Wenn Sie einen Benutzeraccount oder seine Attribute direkt in Oracle Access Governance aktualisieren, erfasst der inkrementelle Dataload die zugehörigen Beschaffungs-Agents und zeigt diese Änderungen in Oracle Access Governance an. Direkte Aktualisierungen von Beschaffungs-Agents in Oracle Fusion Cloud-Anwendungen werden jedoch nicht von Oracle Access Governance abgerufen.

SOD-Analyse (Preventive Segregation of Duties)

Mit Oracle Access Governance können Sie präventive SOD-Analysen (Segregation of Duties) für orchestrierte Oracle Fusion Cloud Applications-Systeme während des Provisioning-Prozesses durch Integration mit Oracle Fusion Cloud Risk Management and Compliance (RMC) ausführen. SOD (Segregation of Duties) trennt Aktivitäten wie das Genehmigen, Aufzeichnen und Verarbeiten von Aufgaben, sodass ein Unternehmen unbeabsichtigte Fehler und vorsätzlichen Betrug leichter verhindern oder erkennen kann. SOD beschränkt Aufgaben über Rollen hinweg, sodass unethische, illegale oder schädliche Aktivitäten weniger wahrscheinlich sind.

SoD-Analyse und -Provisioning in Oracle Access Governance

Wenn Sie ein orchestriertes Oracle Fusion Cloud Applications-System konfigurieren, können Sie die Oracle Fusion Cloud Risk Management and Compliance-(RMC-)Integration aktivieren. Oracle Fusion Cloud Risk Management and Compliance (RMC) ist eine Sicherheits- und Auditlösung, mit der der Benutzerzugriff auf Ihre Oracle Cloud ERP-Finanzdaten kontrolliert, Benutzeraktivitäten überwacht und Compliance-Vorschriften durch Automatisierung einfacher erfüllt werden können. Eines der Features von RCMS ist die Verwendung von Steuerelementen zur Analyse der SOD-Analyse im orchestrierten Oracle Fusion Cloud Applications-System.

Um Oracle Fusion Cloud Risk Management and Compliance (RMC) in Oracle Access Governance zu aktivieren, müssen Sie die folgenden Anforderungen erfüllen:
  1. Konfigurieren Sie ein orchestriertes Oracle Fusion Cloud Applications-System, um Berechtigungen zu verwalten. Siehe In Fusion Cloud Applications integrieren und In Fusion Cloud Applications integrieren.
  2. Für die Oracle Fusion Cloud Applications-Instanz, mit der Sie eine Integration durchführen, müssen Steuerelemente konfiguriert sein, die Ihre SOD-Policys definieren. Oracle Fusion Cloud Risk Management and Compliance (RMC) stellt eine Bibliothek einsatzbereiter Kontrollen für Geschäftsprozesse mit hohem Risiko bereit, wie z.B. Kreditoren, Debitoren, HB, Entgeltabrechnung und Vergütung. Diese Steuerelemente können mit der in RMC bereitgestellten grafischen Workbench entsprechend Ihrem Unternehmen aktualisiert werden. Weitere Informationen finden Sie in der Dokumentation zu Oracle Fusion Cloud Risk Management and Compliance (RMC).

Nach der Konfiguration verwendet Oracle Access Governance Oracle Fusion Cloud Risk Management and Compliance (RMC), um SOD-Verstöße zu prüfen, wenn ein Benutzer eine Zugriffsanforderung für ein Zugriffs-Bundle stellt. Wenn Sie die Anforderung erstellen, wird eine präventive SOD-Analyse gestartet, die im Aktivitätslog überwacht werden kann. Diese Aktivität prüft Oracle Fusion Cloud Risk Management and Compliance (RMC) auf alle Kontrollen, die darauf hinweisen, dass eine SOD-Verletzung für den Benutzer und den angeforderten Zugriff stattgefunden hat. Der Prozess Preventive SOD Analysis wird asynchron ausgeführt und gibt Ergebnisse an die Zugriffsanforderung zurück. Wenn sie mit Verstößen genehmigt werden, übernimmt Oracle Access Governance die Bereitstellung von Verstößen mit SoD-Kennzeichnung, indem Genehmigungsentscheidungen – einschließlich Begründungen und bedingten Bestätigungen – direkt an Risk Management Cloud (RMC) übergeben werden.

Für diesen Prozess gelten die folgenden Regeln:
  • Die vorbeugende SOD-Analyse kann nur für einen Benutzer ausgeführt werden, der bereits in Oracle Fusion Cloud Applications erstellt wurde und für die Oracle Fusion Cloud Risk Management and Compliance-(RMC-)Engine verfügbar ist. Sobald dieser Benutzer bereitgestellt ist, werden alle Zugriffsanforderungen des Benutzers von RMC analysiert, wenn diese Option aktiviert ist. Siehe Voraussetzungen für die SoD-Prüfung.
  • Nur eine Aufgabe zur vorbeugenden SOD-Analyse kann für einen bestimmten Benutzer gleichzeitig ausgeführt werden. Wenn Ihr Benutzer eine zweite Zugriffsanforderung erstellt, während die Aufgabe "Vorbeugende SOD-Analyse" aus einer vorherigen Zugriffsanforderung noch ausgeführt wird, verläuft die zweite RMC-Anforderung nicht erfolgreich. Weitere Gründe, warum die Aufgabe "Präventive SOD-Analyse" möglicherweise nicht erfolgreich ist, sind RMC nicht verfügbar und kein Benutzeraccount in Oracle Fusion Cloud Applications.
  • Präventive SOD-Analysen werden für Anforderungen für Zugriffs-Bundles unterstützt. Zugriffsanforderungen für Oracle Access Governance-Rollen werden für SOD-Analysen nicht unterstützt.

Beispiel: Präventive SoD in Oracle Access Governance

Sehen wir uns ein Beispiel für die präventive SoD in Oracle Access Governance in Aktion an. Beispiel: Ein Benutzer in Ihrer Organisation wird vom Debitorenbuchhalter zum Debitorenbuchhalter hochgestuft. Um ihre neuen Aufgaben auszuführen, fordert der Benutzer Zugriff auf das AR Manager-Zugriffs-Bundle in Oracle Access Governance an.

Wenn die Zugriffsanforderung erstellt wird, wird eine Aufgabe zur vorbeugenden SOD-Analyse für diesen Benutzer ausgeführt, und RMC identifiziert einige SOD-Verletzungen, die in der Zugriffsanforderung gekennzeichnet sind. Ein Beispiel für einen solchen Verstoß könnte sein:
  • Mit den aktuellen Berechtigungen des Benutzers kann er Benutzer erstellen in Oracle Fusion Cloud Applications ERP, während das angeforderte Zugriffs-Bundle Vergütung verwalten enthält.

Diese Kombination aus Berechtigungen hat das Potenzial für Betrug bei der Entgeltabrechnung, indem Geistermitarbeiter erstellt und die Vergütung festgelegt werden. Dieser Konflikt ist in der Zugriffsanforderung gekennzeichnet, sodass der Genehmiger die Informationen in der Anforderung prüfen und sich bei RMC anmelden kann, um bei Bedarf weitere Informationen zu erhalten. Auf dieser Grundlage kann der Genehmiger eine fundierte Entscheidung darüber treffen, ob er die Anforderung genehmigen oder ablehnen oder weitere Informationen von der Person anfordern kann, die den Zugriff beantragt.

Bithright-Zugriff und vorzeitige Beendigung für HCM-Benutzer

Oracle Access Governance gewährt den frühzeitigen Zugriff auf Voreinstellungen und Einstellungen automatisch basierend auf dem Startdatum oder dem Beitrittsdatum.

Informationen zum Konfigurieren des Birthright-Zugriffs in Oracle Access Governance finden Sie unter Birthright-Zugriff erteilen.

Informationen zum Konfigurieren eines vorzeitigen Austritts finden Sie unter Zugriff für vorzeitige Austritte widerrufen.

  • Oracle Access Governance legt das Systemidentitätsattribut startDate basierend auf den HCM-Attributen fest, die den ersten Tag der Beschäftigung angeben.
  • Wenn Mitarbeiterdetails künftig in Oracle Access Governance mit einem startDate aufgenommen werden, setzt Oracle Access Governance den Status des Mitarbeiters auf Deaktiviert.
  • Wenn die startDate eines Mitarbeiters mit dem aktuellen Datum übereinstimmt, setzt Oracle Access Governance den Status des Mitarbeiters auf Aktiv.
  • Wenn die terminationDate eines Mitarbeiters mit dem aktuellen Datum übereinstimmt, wird der Status des Mitarbeiters auf Deaktiviert gesetzt.

    Informationen zur Validierung finden Sie unter Konfiguration validieren.