Oracle Cloud Infrastructure-Dokumentation

Integration von Oracle Access Governance mit SAP Ariba

Oracle Access Governance ermöglicht eine API-basierte nahtlose Integration mit SAP Ariba, um die Identitätsorchestrierung zu ermöglichen, das Onboarding von Konten und Gruppen zu automatisieren, das Provisioning und die Abstimmung von Konten zu ermöglichen. Oracle Access Governance unterstützt die Accountverwaltung und Gruppenverwaltung für SAP Ariba-Konten als Managed System.

SAP Ariba ist ein umfassender cloudbasierter Beschaffungs- und Ausgabenmanagementservice, mit dem Unternehmen ihre Beschaffungsprozesse vom Sourcing bis zur Zahlung optimieren und optimieren können. Mit dieser Integration können Sie Identitätsaccounts erstellen, aktualisieren, aktivieren und deaktivieren. Sie können Gruppen für Accounts in Oracle Access Governance zuweisen oder entziehen.

Überblick: SAP Ariba Orchestrated System

Sie können eine Verbindung zwischen SAP Ariba und Oracle Access Governance herstellen, indem Sie Verbindungsdetails eingeben und das orchestrierte System konfigurieren. Verwenden Sie dazu die Funktion Orchestrierte Systeme, die in der Oracle Access Governance-Konsole verfügbar ist.

Überblick über die SAP Ariba-Integrationsarchitektur

Sie können vollständige Daten- und inkrementelle Dataloads für Identitäten in SAP Ariba durchführen. Nachdem eine Verbindung hergestellt wurde, können Sie Provisioning- und Korrekturaufgaben für Benutzeraccounts und -gruppen ausführen.

Die SAP Ariba-Integration nutzt zwei SAP Ariba-APIs für das Provisioning und den vollständigen und/oder inkrementellen Dataload.
  • Mit der SOAP-API für SAP Ariba Benutzer importieren können Sie Konten für vorhandene Lieferanten- oder Kundenorganisationen für SAP Ariba Strategic Sourcing-Lösungen erstellen, aktualisieren, aktivieren und deaktivieren. Sie können den SAP Ariba-Gruppen Identitäten wie in Oracle Access Governance zuweisen und/oder entziehen.
  • Mit der REST-API für SAP Ariba Master Data Retrieval API for Sourcing können Sie Daten lesen und vollständigen oder inkrementellen Dataload in Oracle Access Governance ausführen.

Funktionsübersicht: Unterstützte Anwendungsfälle für SAP Ariba-Integration

Die SAP Ariba-Integration unterstützt die Kontenverwaltung und Gruppenverwaltung für SAP Ariba-Konten. Das orchestrierte SAP Ariba-System unterstützt die Verwaltung von Konten für Cloud Identity-, Synchronized Identity- und Federated Identity-Modelle von SAP Ariba.

SAP Ariba Orchestrated System konfigurieren

Richten Sie zunächst das SAP Ariba Orchestrated System ein, und konfigurieren Sie es. Weitere Informationen finden Sie unter Integration zwischen Oracle Access Governance und SAP Ariba konfigurieren. Diese Konfiguration bietet Oracle Access Governance die Verbindungsdetails zum Laden von Daten und Verwalten von Berechtigungen für dieses orchestrierte System.

Optional können Sie weitere Elemente des orchestrierten Systems konfigurieren, bevor Sie den ersten Dataload ausführen, einschließlich:

Daten laden

Nachdem Sie Ihr Orchestriertes System eingerichtet und überprüft haben, können Sie Kontodetails aus SAP Ariba im Konfigurationsmodus Verwaltetes System aufnehmen. Dies zeigt an, dass SAP Ariba-Konten und -Gruppen in Oracle Access Governance aufgenommen und von Oracle Access Governance verwaltet werden können.

Benutzer in SAP Ariba werden aufgenommen, da Konten und SAP Ariba-Gruppen als Berechtigungen in Oracle Access Governance aufgenommen werden.

Account Management für SAP Ariba - Konto erstellen, aktualisieren, aktivieren und deaktivieren

Mit den folgenden Möglichkeiten können Sie einen Account in Oracle Access Governance erstellen:
  • Aufnahme von Konto und Berechtigungen im Rahmen des Dataload-Vorgangs von SAP Ariba.
  • Wenn eine Rolle, Policy oder ein Zugriffs-Bundle, das SAP Ariba-Gruppen enthält, einer Identität zugewiesen wird. Jede aktive Identität in Oracle Access Governance kann Berechtigungen anfordern, indem Sie die Selfservicefunktion Neuen Zugriff anfordern in der Oracle Access Governance-Konsole verwenden. Wenn Sie eine Zugriffsanforderung für ein Zugriffs-Bundle oder eine Rolle erstellen, wird nach der Genehmigung ein Provisioning-Vorgang initiiert.

So können Sie Accountvorgänge mit Oracle Access Governance verwalten

  • Konto erstellen: Neue Konten in SAP Ariba werden als Teil der Gruppenzuweisung erstellt. Wenn Sie SAP Ariba-Gruppen für eine Identität anfordern, die kein entsprechendes Konto in SAP Ariba hat, wird ein neues Konto erstellt und die angeforderten Gruppen basierend auf den Zugriffs-Bundle-Werten werden ihm zugewiesen. Um neue Konten und Gruppen zuzuordnen, löst das orchestrierte System die Vorgänge Account erstellen und Untergeordnete Daten hinzufügen aus.
  • Konto aktualisieren: Wenn ein SAP Ariba-Konto von Oracle Access Governance verwaltet wird und ein entsprechendes Konto bereits in SAP Ariba vorhanden ist, werden SAP Ariba-Gruppen für dieses Konto basierend auf den Werten im Zugriffs-Bundle aktualisiert. Die Provisioning-Aufgabe Account aktualisieren wird zusammen mit Untergeordnete Daten entfernen und Untergeordnete Daten hinzufügen ausgelöst.
  • Account aktivieren: Wenn nur Berechtigungen unterschiedlich sind, bleibt der Account aktiviert, aber die Vorgänge Untergeordnete Daten hinzufügen und/oder Untergeordnete Daten entfernen werden im orchestrierten System ausgelöst, um die Berechtigungen für diesen Account zu aktualisieren.
  • Konto deaktivieren: Wenn alle Berechtigungen gelöscht werden, werden SAP Ariba-Konten mit den Vorgängen Konto aktualisieren und Untergeordnete Daten entfernen deaktiviert.

Weitere Informationen finden Sie unter Aktivitätslog anzeigen.

Gruppen als Berechtigungen zuweisen

Mit der Funktion Neuen Zugriff anfordern von Oracle Access Governance können Sie Gruppen als Berechtigungen für einen SAP Ariba-Account zuweisen. Auf diese Weise können Sie ein Zugriffs-Bundle anfordern, das Berechtigungen enthält, die Gruppen auf dem SAP Ariba-System entsprechen.

Wenn Sie ein Zugriffs-Bundle direkt oder über eine Oracle Access Governance-Rolle oder -Policy anfordern, wird ein Provisioning-Vorgang Untergeordnete Daten hinzufügen initiiert, der die Gruppen in Ihrer SAP Ariba-Instanz mit den Berechtigungen aktualisiert, die im referenzierten Zugriffs-Bundle enthalten sind.

Wenn Sie SAP Ariba-Gruppen für eine Identität anfordern, die keinen entsprechenden Account in der SAP Ariba-Instanz hat, wird auch ein neuer Account in der SAP Ariba-Instanz mit dem Vorgang Account erstellen erstellt.

Weitere Informationen zur Berechtigungszuweisung finden Sie unter Zugriff anfordern. Weitere Informationen zu Rollen und Policys finden Sie unter Rollen verwalten und Policys verwalten.

Gruppen als Berechtigungen entziehen

Sie können Gruppenberechtigungen für ein Konto entziehen, indem Sie die Berechtigung aus der Rolle, der Policy oder dem Zugriffs-Bundle entfernen, der es zugewiesen ist. In diesem Fall wird die Berechtigungszuweisung allen Benutzern entzogen, auf die die Rolle, die Policy oder das Zugriffs-Bundle angewendet wird.

Eine weitere Möglichkeit, eine Berechtigung zu entfernen, besteht darin, die Zuweisung von Rollen, Policys oder Zugriffs-Bundles für ein bestimmtes Konto zu entziehen. Dies würde mit dem Entzugsvorgang in Zugriffsprüfungen geschehen.

Wenn nur Berechtigungen unterschiedlich sind, bleibt der Account aktiviert, aber die Vorgänge Untergeordnete Daten hinzufügen und/oder Untergeordnete Daten entfernen werden ausgelöst, um die Berechtigungen für diesen Account zu aktualisieren. Wenn alle Berechtigungen gelöscht werden, werden die SAP Ariba-Konten deaktiviert.

Weitere Informationen zur Berechtigungszuweisung finden Sie unter Rolle löschen, Policy löschen oder Zugriffs-Bundles verwalten -> Zugriffs-Bundle löschen.

Beispiel: Joiner-Anwendungsfall für SAP Ariba

Das SAP Ariba Orchestrated System wird für die Verwaltung von Konten und Gruppen im gesamten SAP Ariba Cloud-Service mit Oracle Access Governance verwendet.

Szenario: Ein neuer Mitarbeiter tritt als Sourcing-Manager in Ihrem Team bei, und der Zugriff auf SAP Ariba muss automatisch mit der entsprechenden Gruppenmitgliedschaft bereitgestellt werden. Angenommen, Sie haben eine Integration mit Authoritative Source-, Oracle HCM- und Oracle Access Governance-Daten eingerichtet, die mit diesen neuen Mitarbeiterinformationen synchronisiert werden. Mit Oracle Access Governance können Sie Accounts und Gruppenmitgliedschaften nahtlos in SAP Ariba verwalten.
  1. Konfigurieren Sie Ihre SAP Ariba-Instanz mit Oracle Access Governance, indem Sie die unter Integration zwischen Oracle Access Governance und SAP Ariba konfigurieren definierten Schritte verwenden.
  2. Dataload ausführen, um vorhandene Konten abzustimmen. Vollständiges Laden von Daten für die Aktivitäten "Tag 0" und "Laden von Suchdaten für Tag N" würde die Aufnahme von Daten aus SAP Ariba in Oracle Access Governance auslösen.
  3. Konfigurieren Sie die orchestrierten Systemeinstellungen, um Übereinstimmungsregeln, Transformationen, Benachrichtigungseinstellungen usw. hinzuzufügen. Weitere Informationen finden Sie unter Einstellungen für orchestrierte Systeme konfigurieren.
  4. Führen Sie im Abschnitt Zugriffskontrollen für Oracle Access Governance die folgenden Schritte aus:
    1. Erstellen Sie ein Access Bundle für Ihr SAP Ariba Orchestrated System. Wählen Sie die entsprechenden Gruppen aus. Weitere Informationen finden Sie unter Zugriffs-Bundle erstellen.
    2. Erstellen Sie eine Policy in Oracle Access Governance, und verknüpfen Sie das Zugriffs-Bundle mit einer Identitätserfassung, z.B. Sourcing_Managers. Eine weitere Möglichkeit besteht darin, den Zugriff für dieses Zugriffs-Bundle mit der Self-Service-Funktion anzufordern. Weitere Informationen finden Sie unter Policys verwalten und Zugriff auf eine Ressource anfordern.
  5. Wenn der Zugriff angefordert wird, wird nach der Genehmigung ein neues Konto mit zugewiesener Gruppenmitgliedschaft erstellt. Die Aktivitäten Account erstellen und Untergeordnete Daten hinzufügen werden ausgelöst, um das Account-Provisioning für Ihre SAP Ariba-Instanz zu unterstützen. Wenn der Provisioning-Vorgang erfolgreich ist, wird der neue Account in Ihrer SAP Ariba-Instanz erstellt.