Oracle Cloud Infrastructure-Dokumentation

Integration mit Peoplesoft

Überblick: Oracle Access Governance mit PeopleSoft integrieren

Oracle Access Governance kann in PeopleSoft integriert werden, um die Identitätsorchestrierung zu ermöglichen, einschließlich Onboarding von Identitäts-(Benutzer-)Daten und Provisioning von PeopleSoft-Accounts.

PeopleSoft bietet Enterprise Human Capital Management-(HCM-) und Enterprise Resource Planning-(ERP-)Funktionen. Oracle Access Governance unterstützt die folgenden Elemente in PeopleSoft:
  • PeopleSoft HRMS als zuverlässige (vertrauenswürdige) Quelle für Identitätsinformationen, die den Abgleich von Mitarbeitern ermöglicht, die in PeopleSoft HRMS erstellt oder geändert wurden.
  • PeopleSoft Benutzerverwaltung als verwaltetes System, das das Provisioning von PeopleSoft-Anwendungsaccounts ermöglicht.

Überblick über die Integrationsarchitektur von Peoplesoft

Durch die Integration mit PeopleSoft können Sie Identitätsdaten aus einem System abrufen, in Oracle Access Governance übertragen und aufnehmen. Sobald ein System verbunden ist, können Sie Provisioning- und Remediation-Aufgaben ausführen, die dann im verwalteten System wiedergegeben werden.

Die PeopleSoft-Integration wird mit einem Agent-basierten Verbindungstyp implementiert. Das bedeutet, dass keine direkte Verbindung verfügbar ist. Daher wird mit dem Access Governance Agent eine indirekte Verbindung zwischen Oracle Access Governance und der erforderlichen PeopleSoft-Instanz hergestellt. Die Integration PeopleSoft unterstützt die folgenden Abläufe:
  • Wenn Sie den Konfigurationsmodus Autoritative Quelle auswählen, wenn Sie ein orchestriertes PeopleSoft-System einrichten, ruft Oracle Access Governance Identitätsdaten aus der Instanz PeopleSoft ab und behandelt sie als zuverlässige (vertrauenswürdige) Quelle von Identitätsinformationen.
  • Wenn Sie den Konfigurationsmodus Verwaltete Systeme auswählen, können Sie in Oracle Access Governance PeopleTools-basierte PSOPRDEFN-Benutzerprofildatensätze in PeopleSoft-Anwendungen verwalten. Dadurch können neue Accounts in PeopleSoft über Oracle Access Governance bereitgestellt werden.

Die Verbindung erfolgt über die Komponentenschnittstelle von PeopleSoft und über Datenbank-Views, die vom Datenbankservicebenutzer PeopleSoft erstellt wurden. Dadurch werden bei jeder Ausführung des Ladevorgangs relevante Identitäts- und Accountdaten vollständig in Oracle Access Governance geladen. Wenn der Ladevorgang zum ersten Mal erfolgt, werden relevante Identitäts- und Accountstrukturen in Oracle Access Governance entsprechend erstellt. Bei nachfolgenden Dataload-Ausführungen werden alle Daten in Oracle Access Governance geladen, und der Aufnahmeprozess aktualisiert alle Änderungen seit dem letzten Dataload in den entsprechenden Identitäts- und Accountartefakten.

Nachdem die Verbindung und der Dataload Day0 abgeschlossen sind, können Sie Accounts mit der Provisioning-Engine von Oracle Access Governance bereitstellen. Diese nimmt jede Provisioning-Anforderung entgegen und leitet sie an den Agent weiter und an PeopleSoft. Das Provisioning unterstützt Vorgänge zum Erstellen, Aktualisieren und Entziehen.

PeopleSoft Integration – Funktionsüberblick

Die PeopleSoft-Integration unterstützt Anwendungsfälle für HRMS und ERP, einschließlich Konfiguration des orchestrierten Systems, Dataload, Kontoerstellung und -widerruf, Kennwort ändern sowie Rollen zuweisen und entfernen.

PeopleSoft Orchestriertes System konfigurieren

Die erste Aufgabe, die Sie ausführen müssen, ist das Setup und die Konfiguration des orchestrierten PeopleSoft-Systems. Dadurch erhält Oracle Access Governance die Details zum Herstellen einer Verbindung zum PeopleSoft-System, aus dem Sie Daten laden oder Berechtigungen verwalten möchten. Optional können Sie weitere Elemente des orchestrierten Systems konfigurieren, bevor Sie den ersten Dataload ausführen, einschließlich:

Daten laden

Nachdem Sie das orchestrierte System eingerichtet und verifiziert haben, können Sie Dataloads ausführen, um Identitäts- und Accountdetails aus PeopleSoft aufzunehmen, je nach ausgewähltem Konfigurationsmodus Autoritative Quelle oder Verwaltetes System.

Im Modus "Autoritative Quelle" geladene Daten bestehen aus Benutzerdaten aus dem System PeopleSoft. Wenn der Benutzer neu ist, wird in Oracle Access Governance eine neue Identität erstellt. Wenn die Identität bereits in Oracle Access Governance vorhanden ist, werden alle im PeopleSoft-System initiierten Updates eingespielt.

Im Modus "Verwaltetes System" geladene Daten umfassen Accountdaten und Rollen aus PeopleSoft. Wenn der Account neu ist, wird ein neuer Account in Oracle Access Governance zusammen mit den zugehörigen Rollen erstellt. Diese Rollen werden in Oracle Access Governance als Berechtigungen erstellt. Accounts und Berechtigungen, die aus PeopleSoft geladen werden, können von Oracle Access Governance verwaltet werden. Sie können Berechtigungen korrigieren, die mit einem verwalteten Systemaccount verknüpft sind. Wenn dem Konto nur eine Berechtigung zugewiesen ist, führt die Korrektur dieser Berechtigung auch zum Widerruf des Kontos.

Account erstellen

Es gibt zwei Möglichkeiten, einen Account in Oracle Access Governance zu erstellen:
  • Aufgenommene Accountdaten aus PeopleSoft.
  • Wenn eine Rolle, Policy oder ein Zugriffs-Bundle mit PeopleSoft-Rollen einer Identität zugewiesen wird. Wenn Sie eine Identität in Oracle Access Governance haben, können Sie einen Account anfordern, indem Sie die Funktionalität Neuen Zugriff anfordern in der Oracle Access Governance-Konsole verwenden. Wenn Sie nach der Genehmigung eine Zugriffsanforderung für ein Zugriffs-Bundle oder eine Rolle erstellen, wird ein Provisioning-Vorgang initiiert. Wenn kein von Oracle Access Governance verwalteter Account vorhanden ist, erstellt der Provisioning-Prozess einen Account für die Instanz PeopleSoft. Wenn bereits ein von Oracle Access Governance verwalteter Account vorhanden ist, werden die PeopleSoft-Rollen für diesen Account basierend auf den Werten im Zugriffs-Bundle aktualisiert.
Das in PeopleSoft erstellte Konto entspricht einem PeopleTools-basierten PSOPRDEFN-Benutzerprofildatensatz.

Weitere Informationen zur Kontoerstellung finden Sie unter Zugriff anfordern.

Berechtigungen zuordnen

Mit der Funktion Neuen Zugriff anfordern von Oracle Access Governance können Sie einem PeopleSoft-Account Berechtigungen zuweisen. Auf diese Weise können Sie ein Zugriffs-Bundle anfordern, das Berechtigungen enthält, die Rollen im System PeopleSoft entsprechen. Wenn Sie ein Zugriffs-Bundle direkt oder über eine Oracle Access Governance-Rolle oder -Policy anfordern, wird ein Provisioning-Vorgang initiiert, der die Rollen in Ihrer PeopleSoft-Instanz mit den Berechtigungen aktualisiert, die im referenzierten Zugriffs-Bundle enthalten sind.

Weitere Informationen zur Berechtigungszuweisung finden Sie unter Zugriff anfordern. Weitere Informationen zu Rollen und Policys finden Sie unter Rollen verwalten und Policys verwalten.

Berechtigungen entfernen

Sie können Berechtigungen aus einem Konto entfernen, indem Sie die Berechtigungen der Rolle, Policy oder dem Zugriffs-Bundle entziehen, der es zugewiesen ist. In diesem Fall wird die Berechtigungszuweisung allen Benutzern entzogen, auf die die Rolle, die Policy oder das Zugriffs-Bundle angewendet wird. Angenommen, Sie hatten ein Zugriffs-Bundle mit zwei Berechtigungen, PSFT_Admin und PSFT_Developer, das zuvor für PeopleSoft bereitgestellt wurde. Sie können das Zugriffs-Bundle mit diesen Berechtigungen aktualisieren, um PSFT_Developer zu entfernen und PSFT_Composer hinzuzufügen. Dies führt dazu, dass das Zugriffs-Bundle PSFT_admin und PSFT_Composer enthält. Diese Änderung würde sich nach dem nächsten Provisioning-Vorgang widerspiegeln, indem die Rolle PSFT_Developer entfernt und die Rolle PSFT_Composer zugewiesen wird. PSFT_Admin bleibt zugewiesen.

Eine weitere Möglichkeit, eine Berechtigung zu entfernen, besteht darin, die Zuweisung von Rollen, Policys oder Zugriffs-Bundles für ein bestimmtes Konto zu entziehen. Dies würde mit dem Entzugsvorgang in Zugriffsprüfungen geschehen.

Weitere Informationen zur Berechtigungszuweisung finden Sie unter Rolle löschen, Policy löschen oder Zugriffs-Bundles verwalten -> Zugriffs-Bundle löschen.

Kennwort ändern

Die Möglichkeit, ein Accountkennwort zu ändern, wird von der Funktionalität Mein Zugriff in der Oracle Access Governance-Konsole bereitgestellt. Wenn Sie das Accountkennwort auf dieser Seite ändern, werden die Details im nächsten Provisioning-Vorgang an die Instanz PeopleSoft gesendet, und die Kennwortänderung wird mit Ihrem PeopleSoft-Account angewendet.

Weitere Informationen zum Ändern von Kennwörtern finden Sie unter Change Account Password.

Account widerrufen

Wenn Sie einen Account in einer Zugriffsprüfung entziehen, werden Provisioning-Aufgaben erstellt, um den Account in PeopleSoft zu entziehen. Weitere Informationen zum Entziehen von Accounts finden Sie unter Rolle löschen oder Policy löschen.

Beispiel für einen Accountlebenszyklus

Sehen wir uns ein Beispiel an. Sie haben ein neues orchestriertes System erstellt, das mit der Instanz MyPSFT verbunden ist, die HRMS- und ERP-Daten für Ihre Organisation enthält. Das orchestrierte System ist für die Modi "Autoritative Quelle" und "Verwaltetes System" konfiguriert. Beim ersten Dataload werden Identitäts- und Accountdaten in Oracle Access Governance geladen. Zu diesem Zeitpunkt werden die folgenden Details in Oracle Access Governance erstellt:
  • Eine Oracle Access Governance-Identität wird erstellt, z.B. MyAGIdentity, die autoritative Daten wie Name, E-Mail-Adresse und Standort enthält.
  • Ein Account wird in Oracle Access Governance für vorhandene PeopleSoft-Rollen erstellt. Beispiel: PSFTRole_Composer.
Wir haben jetzt Folgendes:
  • MyAGIdentity
    • MyPSFTAccount
      • PSFTRole_Composer

Nach einiger Zeit wird MyAGIdentity in eine Entwicklungsrolle verschoben, für die die Entwicklerrolle PeopleSoft erforderlich ist. In Oracle Access Governance wird ein Zugriffs-Bundle PSFTBundle_Developer erstellt, das die erforderlichen Entwicklungsberechtigungen enthält. Dieses Zugriffs-Bundle kann als Ergebnis einer Policy, Rolle oder Anforderung zugewiesen werden. Angenommen, der Benutzer fordert das Zugriffs-Bundle mit der Option Neuen Zugriff anfordern an. Bei der Genehmigung löst die Anforderung einen Provisioning-Vorgang aus, bei dem die Änderungen auf MyPSFT angewendet werden. Dabei werden die PeopleSoft-Rollen zugewiesen, die den Berechtigungen im Zugriffs-Bundle PSFTBundle_Developer entsprechen.

Wir haben jetzt Folgendes:
  • MyAGIdentity
    • MyPSFTAccount
      • PSFTRole_Composer
      • PSFTBundle_Developer
Zusätzliche Accounts können der MyAGIdentity-Identityover-Zeit von anderen verwalteten Systemen zugeordnet werden, sodass wir ein Profil wie das Folgende erhalten:
  • MyAGIdentity
    • MyPSFTAccount
    • MyOracleDBAccount
    • MyMSTeamsAccount

beschließt MyAGIdentity, das Kennwort zu ändern. Mit der Funktion Mein Zugriff in der Oracle Access Governance-Konsole ändert er sein Kennwort. Dadurch wird die Änderung mit dem Oracle Access Governance-Provisioning an MyPSFT propagiert.

MyAGIdentity wechselt dann zu einer Rolle, was bedeutet, dass sie kein Konto mehr auf PeopleSoft benötigen. In diesem Fall kann eine Aufgabe zum Entziehen des Account-Provisionings generiert werden, indem der Account der Identity im Rahmen einer Zugriffsprüfung entzogen wird. Alternativ kann ihre Verknüpfung mit PeopleSoft-Rollen entfernt werden, indem die Identität aus der relevanten Oracle Access Governance-Rolle oder -Policy entfernt wird. In beiden Fällen führt dies zu einer Provisioning-Aufgabe, die den Account zusammen mit allen zugehörigen Rollen von PeopleSoft entzieht. Das Profil würde nun wie folgt aussehen:
  • MyAGIdentity
    • MyOracleDBAccount
    • MyMSTeamsAccount

Wenn das orchestrierte System PeopleSoft im Modus Autoritative Quelle konfiguriert ist und Sie eine Identität inaktiv machen, wird die Identität MyAGIdentity effektiv deaktiviert. In diesem Fall wird eine Provisioning-Aufgabe generiert und für das verwaltete System bereitgestellt.

Wir haben jetzt Folgendes:
  • MyAGIdentity (Deaktiviert)