Oracle Cloud Infrastructure-Dokumentation

Integration zwischen Oracle Access Governance und Oracle Cloud Enterprise Performance Management konfigurieren

Sie können eine Verbindung zwischen Oracle Access Governance und der Oracle Cloud Enterprise Performance Management-Anwendung als verwaltetes System herstellen. Verwenden Sie zur Konfiguration Orchestrierte Systeme in der Oracle Access Governance-Konsole.

Voraussetzungen

Bevor Sie das orchestrierte Oracle Cloud Enterprise Performance Management-System installieren und konfigurieren. Beachten Sie die folgenden Voraussetzungen und Aufgaben.

  • Für Ihre Oracle Access Governance-Serviceinstanz muss eine aktive Verbindung mit Oracle Cloud Infrastructure vorhanden sein.
  • Sie benötigen die Serviceadministrator-Servicerolle für Oracle Cloud Enterprise Performance Management, um eine Verbindung zu Oracle Access Governance herstellen zu können.

Servicebenutzer in OCI erstellen

Erstellen Sie einen neuen Servicebenutzer in OCI als Domainadministrator.

Erstellen Sie einen Servicebenutzeraccount in einer OCI-IAM-Identitätsdomain.
  1. Gehen Sie zu https://cloud.oracle.com.
  2. Navigieren Sie zu Identität und Sicherheit, und klicken Sie auf Domains.
  3. Wählen Sie ein Compartment aus, in dem sich die Oracle Cloud Enterprise Performance Management-Serviceinstanz befindet, und wählen Sie dann die Domain aus.
  4. Wählen Sie die Registerkarte Benutzerverwaltung.
  5. Klicken Sie auf Erstellen.
  6. Geben Sie in die Felder Vorname und Nachname den Benutzernamen ein.
  7. Um den Benutzer mit seiner E-Mail-Adresse anmelden zu lassen, aktivieren Sie das Kontrollkästchen E-Mail-Adresse als Benutzernamen verwenden, und geben Sie die E-Mail-Adresse für den Benutzeraccount ein.
  8. Damit sich der Benutzer mit seinem Benutzernamen anmelden kann, deaktivieren Sie das Kontrollkästchen E-Mail-Adresse als Benutzernamen verwenden, und geben Sie den Benutzernamen für den Benutzer ein.

Identity-Administrator dem Servicebenutzer zuweisen

Weisen Sie dem Servicebenutzer die Rolle "Identitätsdomainadministrator" zu.

  1. Wählen Sie auf der Seite "Domains" die Registerkarte Administratoren aus.
  2. Klicken Sie im Abschnitt Identitätsdomainadministrator auf Benutzer hinzufügen.
  3. Servicebenutzer suchen.
  4. Aktivieren Sie das Kontrollkästchen "Servicebenutzer", und klicken Sie auf Benutzer hinzufügen.

EPM-Rollen zuweisen

Weisen Sie dem Servicebenutzer die Anwendungsrolle Serviceadministrator von Oracle EPM zu.

  1. Gehen Sie zur Registerkarte Oracle-Cloud-Services.
  2. Wählen Sie die EPM Cloud Service-Instanz aus.
  3. Wählen Sie die Registerkarte Anwendungsrollen.
  4. Suchen Sie die Rolle Serviceadministrator, und wählen Sie sie aus.
  5. Wählen Sie für die Rolle "Serviceadministrator" das Symbol Aktionen und dann Benutzer verwalten aus.
  6. Wählen Sie Benutzer zuweisen aus.
  7. Wählen Sie den im vorherigen Schritt erstellten Servicebenutzer aus, und klicken Sie auf Zuweisen.

Signaturzertifikate und Schlüssel erstellen

Verwenden Sie ein von einer trusted Certificate Authority (CA) im PEM-Format ausgestellte Zertifikat zur sicheren Authentifizierung und Kompatibilität, oder nutzen Sie OCI Certificate Service, um Zertifikate effizient zu generieren und zu verwalten.

Um ein Zertifikat zu erstellen, befolgen Sie die Schritte unter Zertifikat in OCI IAM erstellen.

Zertifikat als vertrauenswürdiges Partnerzertifikat importieren

Importieren Sie ein Zertifikat als vertrauenswürdige Partnerzertifikate in Ihre OCI-IAM-Domain.

  1. Navigieren Sie zu Identität und Sicherheit, und klicken Sie auf Domains.
  2. Wählen Sie ein Compartment aus, in dem sich die Oracle Access Governance-Serviceinstanz befindet, und wählen Sie dann die Domain aus.
  3. Wählen Sie die Registerkarte Sicherheit.
  4. Klicken Sie auf Zertifikat importieren.
  5. Geben Sie denselben Aliasnamen ein, den Sie beim Generieren des Zertifikatsalias der Keystore-Datei angegeben haben, und importieren Sie die Datei .cer
  6. Klicken Sie auf Importieren.

Integrierte vertrauliche Anwendung erstellen

Um eine integrierte Anwendung vom Typ "Vertraulich" in OCI IAM zu erstellen, benötigen Sie die Rolle "Identitätsdomainadministrator".

  1. Navigieren Sie zu Identität und Sicherheit, und klicken Sie auf Domains.
  2. Wählen Sie Domains aus.
  3. Klicken Sie auf die Registerkarte Integrierte Anwendungen.
  4. Klicken Sie auf Anwendung hinzufügen.
  5. Wählen Sie die Kachel Vertrauliche Anwendung aus, und klicken Sie auf Workflow starten.
  6. Geben Sie auf der Seite Details Folgendes ein:
    1. Geben Sie Name und Beschreibung für die vertrauliche Anwendung an.
    2. Klicken Sie auf Weiterleiten.
OAuth-Konfigurationen bearbeiten
  1. Wählen Sie die Registerkarte OAuth configuration.
  2. Wählen Sie OAuth-Konfiguration bearbeiten aus.
  3. Wählen Sie Diese Anwendung jetzt als Client konfigurieren aus.
  4. Wählen Sie die Berechtigungstypen JWT-Assertion und Aktualisierungstoken:
  5. Wählen Sie Vertrauenswürdig als Option Clienttyp.
  6. Zertifikat importieren
  7. Wählen Sie Im Namen als Zulässige Vorgänge aus.
  8. Wählen Sie Netzwerkperimeter aus, um Anmeldeversuche auf bestimmte IPs oder Bereiche zu beschränken. Wählen Sie andernfalls Überall aus.
  9. Wählen Sie unter der Tokenausgabe-Policy die Option Alle aus.
  10. Klicken Sie auf Weiterleiten.
  11. Aktivieren Sie die Anwendung, klicken Sie auf das Symbol Aktionen, und wählen Sie Aktivieren aus. Der Status muss von Inaktiv in Aktiv geändert werden.

Konfigurieren

Sie können eine Verbindung zwischen Oracle Cloud Enterprise Performance Management und Oracle Access Governance herstellen, indem Sie Verbindungsdetails eingeben. Verwenden Sie dazu die in der Oracle Access Governance-Konsole verfügbare orchestrierte Systemfunktionalität.

Zur Seite "Orchestrierte Systeme" navigieren

Auf der Seite "Orchestrierte Systeme" der Oracle Access Governance-Konsole können Sie die Konfiguration des orchestrierten Systems starten.

Navigieren Sie zur Seite "Orchestrierte Systeme" der Oracle Access Governance-Konsole, indem Sie die folgenden Schritte ausführen:
  1. Wählen Sie im Oracle Access Governance-Navigationsmenü symbol Navigationsmenü die Option Serviceadministration → Orchestrierte Systeme aus.
  2. Wählen Sie die Schaltfläche Orchestriertes System hinzufügen, um den Workflow zu starten.

System auswählen

Im Schritt System auswählen des Workflows können Sie angeben, welchen Systemtyp Sie in Oracle Access Governance integrieren möchten.

Mit dem Feld Suchen können Sie das erforderliche System nach Namen suchen.

  1. Wählen Sie Oracle Cloud Enterprise Performance Management aus.
  2. Klicken Sie auf Weiter.

Details hinzufügen

Fügen Sie Details wie Name, Beschreibung und Konfigurationsmodus hinzu.

Geben Sie im Schritt Details hinzufügen des Workflows die Details für das orchestrierte System ein:
  1. Geben Sie im Feld Name einen Namen für das System ein, mit dem Sie eine Verbindung herstellen möchten.
  2. Geben Sie eine Beschreibung für das System in das Feld Beschreibung ein.
  3. Für dieses orchestrierte System kann Oracle Access Governance Berechtigungen verwalten
  4. Aktivieren Sie das Kontrollkästchen "Voraussetzung": Ich habe bereits ein aktives Oracle Cloud Infrastructure-Orchestrierungssystem, das angibt, dass eine aktive Verbindung mit Oracle Cloud Infrastructure für Ihre Serviceinstanz vorhanden sein muss.
  5. Klicken Sie auf Weiter.

Eigentümer hinzufügen

Fügen Sie primäre und zusätzliche Verantwortliche zu Ihrem orchestrierten System hinzu, damit diese Ressourcen verwalten können.

Sie können Ressourcenverantwortung zuordnen, indem Sie primäre und zusätzliche Verantwortliche hinzufügen. Dies steuert Self-Service, da diese Eigentümer dann die Ressourcen verwalten (lesen, aktualisieren oder löschen) können, deren Eigentümer sie sind. Standardmäßig wird der Ressourcenersteller als Ressourceneigentümer angegeben. Sie können einen primären Verantwortlichen und bis zu 20 zusätzliche Verantwortliche für die Ressourcen zuweisen.
Hinweis

Wenn Sie das erste orchestrierte System für Ihre Serviceinstanz einrichten, können Sie Eigentümer erst zuweisen, nachdem Sie die Identitäten im Abschnitt Identitäten verwalten aktiviert haben.
So fügen Sie Eigentümer hinzu:
  1. Wählen Sie im Feld Wer ist der primäre Eigentümer? einen aktiven Oracle Access Governance-Benutzer als primären Eigentümer aus.
  2. Wählen Sie einen oder mehrere zusätzliche Eigentümer in der Liste Wer ist Eigentümer? aus. Sie können bis zu 20 zusätzliche Eigentümer für die Ressource hinzufügen.
Sie können den primären Eigentümer in der Liste anzeigen. Alle Verantwortlichen können die Ressourcen anzeigen und verwalten, für die sie verantwortlich sind.

Accounteinstellungen

Gliederungsdetails zur Verwaltung von Accounteinstellungen beim Einrichten des orchestrierten Systems, einschließlich Benachrichtigungseinstellungen und Standardaktionen, wenn eine Identität in Ihre Organisation verschoben oder verlässt.

Geben Sie im Schritt Accounteinstellungen des Workflows ein, wie Oracle Access Governance Accounts verwalten soll, wenn das System als verwaltetes System konfiguriert ist:
  1. Wenn eine Berechtigung angefordert wird und das Konto noch nicht vorhanden ist, wählen Sie diese Option aus, um neue Konten zu erstellen. Diese Option ist standardmäßig aktiviert. Wenn diese Option ausgewählt ist, erstellt Oracle Access Governance einen Account, wenn kein Account vorhanden ist, wenn eine Berechtigung angefordert wird. Wenn Sie diese Option deaktivieren, werden Berechtigungen nur für vorhandene Konten im orchestrierten System bereitgestellt. Wenn kein Account vorhanden ist, verläuft der Provisioning-Vorgang nicht erfolgreich.
  2. Wählen Sie die Empfänger für Benachrichtigungs-E-Mails aus, wenn ein Account erstellt wird. Der Standardempfänger ist Benutzer. Wenn keine Empfänger ausgewählt sind, werden keine Benachrichtigungen gesendet, wenn Accounts erstellt werden.
    • Benutzer
    • Benutzermanager
  3. Vorhandene Accounts konfigurieren
    Hinweis

    Sie können diese Konfigurationen nur festlegen, wenn dies vom Systemadministrator zulässig ist. Wenn die Einstellungen für die globale Accountbeendigung aktiviert sind, können Anwendungsadministratoren die Einstellungen für die Accountbeendigung nicht auf der orchestrierten Systemebene verwalten.
    1. Wählen Sie aus, was mit Konten zu tun ist, wenn die vorzeitige Beendigung beginnt: Wählen Sie die Aktion aus, die ausgeführt werden soll, wenn eine vorzeitige Beendigung beginnt. Dies geschieht, wenn Sie Identitätszugriffe vor dem offiziellen Austrittsdatum widerrufen müssen.
      • Löschen: Löscht alle Accounts und Berechtigungen, die von Oracle Access Governance verwaltet werden.
        Hinweis

        Wenn ein bestimmtes orchestriertes System die Aktion nicht unterstützt, wird keine Aktion ausgeführt.
      • Deaktivieren: Deaktiviert alle Konten und deaktiviert Berechtigungen, die von Oracle Access Governance verwaltet werden.
        • Berechtigungen für deaktivierte Konten löschen: Um einen Restzugriff von Null sicherzustellen, wählen Sie diese Option aus, um direkt zugewiesene Berechtigungen und Policy-berechtigte Berechtigungen bei der Kontodeaktivierung zu löschen.
      • Keine Aktion: Wenn eine Identität von Oracle Access Governance zur vorzeitigen Beendigung gekennzeichnet wird, wird keine Aktion ausgeführt.
    2. Wählen Sie aus, was mit Konten am Austrittsdatum zu tun ist: Wählen Sie die Aktion aus, die während des offiziellen Austritts ausgeführt werden soll. Dies geschieht, wenn Sie Identitätszugriffe am offiziellen Austrittsdatum widerrufen müssen.
      • Löschen: Löscht alle Accounts und Berechtigungen, die von Oracle Access Governance verwaltet werden.
        Hinweis

        Wenn ein bestimmtes orchestriertes System die Aktion Löschen nicht unterstützt, wird keine Aktion ausgeführt.
      • Deaktivieren: Deaktiviert alle Konten und deaktiviert Berechtigungen, die von Oracle Access Governance verwaltet werden.
        • Berechtigungen für deaktivierte Konten löschen: Um einen Restzugriff von Null sicherzustellen, wählen Sie diese Option aus, um direkt zugewiesene Berechtigungen und Policy-berechtigte Berechtigungen bei der Kontodeaktivierung zu löschen.
        Hinweis

        Wenn ein bestimmtes orchestriertes System die Aktion Deaktivieren nicht unterstützt, wird der Account gelöscht.
      • Keine Aktion: Für Accounts und Berechtigungen von Oracle Access Governance wird keine Aktion ausgeführt.
  4. Wenn eine Identität Ihr Unternehmen verlässt, müssen Sie den Zugriff auf ihre Accounts entfernen.
    Hinweis

    Sie können diese Konfigurationen nur festlegen, wenn dies von Ihrem Systemadministrator zulässig ist. Wenn die globalen Einstellungen für die Kontobeendigung aktiviert sind, können Anwendungsadministratoren die Einstellungen für die Kontobeendigung nicht auf der orchestrierten Systemebene verwalten.

    Wählen Sie eine der folgenden Aktionen für den Account aus:

    • Löschen: Löschen Sie alle Accounts und Berechtigungen, die von Oracle Access Governance verwaltet werden.
    • Deaktivieren: Deaktivieren Sie alle Accounts, und markieren Sie Berechtigungen als inaktiv.
      • Berechtigungen für deaktivierte Konten löschen: Löschen Sie direkt zugewiesene und durch Richtlinien erteilte Berechtigungen bei der Kontodeaktivierung, um einen verbleibenden Zugriff zu verhindern.
    • Keine Aktion: Keine Aktion ausführen, wenn eine Identität die Organisation verlässt.
    Hinweis

    Diese Aktionen sind nur verfügbar, wenn sie vom orchestrierten Systemtyp unterstützt werden. Beispiel: Wenn Löschen nicht unterstützt wird, werden nur die Optionen Deaktivieren und Keine Aktion angezeigt.
  5. Wenn alle Berechtigungen für einen Account entfernt werden, z.B. wenn eine Identität zwischen Abteilungen verschoben wird, müssen Sie möglicherweise entscheiden, was mit dem Account zu tun ist. Wählen Sie eine der folgenden Aktionen aus, sofern dies vom orchestrierten Systemtyp unterstützt wird:
    • Löschen
    • Deaktivieren
    • Keine Aktion
  6. Accounts verwalten, die nicht von Access Governance erstellt wurden: Wählen Sie diese Option aus, um Accounts zu verwalten, die direkt im orchestrierten System erstellt werden. Damit können Sie vorhandene Accounts abstimmen und über Oracle Access Governance verwalten.
Hinweis

Wenn Sie das System nicht als verwaltetes System konfigurieren, wird dieser Schritt im Workflow angezeigt, ist jedoch nicht aktiviert. In diesem Fall fahren Sie direkt mit dem Schritt Integrationseinstellungen des Workflows fort.
Hinweis

Wenn Ihr orchestriertes System eine dynamische Schema-Discovery erfordert, wie bei den generischen Integrationen für REST- und Datenbankanwendungstabellen, kann beim Erstellen des orchestrierten Systems nur das Benachrichtigungs-E-Mail-Ziel (Benutzer, Benutzer) festgelegt werden. Sie können die Deaktivierungs-/Löschregeln für Mover und Abgänger nicht festlegen. Dazu müssen Sie das orchestrierte System erstellen und dann die Accounteinstellungen aktualisieren, wie unter Einstellungen für orchestrierte Systemaccounts konfigurieren beschrieben.

Integrationseinstellungen

Geben Sie Details zur Verbindung zu Ihrem Oracle Cloud Enterprise Performance Management-System ein.

  1. Geben Sie im Schritt Integrationseinstellungen des Workflows die erforderlichen Details ein, damit Oracle Access Governance eine Verbindung zu Ihrem Oracle Cloud Enterprise Performance Management-System herstellen kann.
    Integrationseinstellungen
    Parametername Beschreibung

    EPM-Hostname

    		URL für den Zugriff auf Ihr Oracle Cloud Enterprise Performance Management-System. Beispiel:
    <http|https://epm-test.example.com>
    OCI-Domänenname Geben Sie den OCI-IAM-Domainnamen ein, in dem die integrierte Anwendung erstellt wird.
    Domain-URL Geben Sie die OCI-IAM-Domain-URL ein. Informationen zum Suchen der Domain-URL finden Sie unter Identitätsdomain-URL suchen.

    Oracle Cloud Service-Name für EPM-Anwendung

    Oracle Cloud Enterprise Performance Management-Cloud-Servicename.

    Client-ID

    		Client-ID der vertraulichen OCI IAM-Anwendung.

    Client Secret

    		Client Secret der vertraulichen OCI IAM-Anwendung.

    Private Key

    		Geben Sie den verschlüsselten Private Key (.pem) ein.

    Zertifikatalias

    		Geben Sie den Zertifikatsalias ein, der beim Generieren eines Zertifikats konfiguriert wurde.

    Wie lautet der Benutzername?

    		EPM-Benutzername
    Welches OCI-Orchestrierungssystem sollte verwendet werden? Wählen Sie den abhängigen OCI Orchestrated-Systemnamen in der Liste aus.
  2. Klicken Sie auf Hinzufügen, um das orchestrierte System zu erstellen.

Beenden

Beenden Sie die Konfiguration des orchestrierten Systems, indem Sie Details darüber angeben, ob weitere Anpassungen vorgenommen werden sollen, oder einen Dataload aktivieren und ausführen.

Der letzte Schritt des Workflows ist Fertigstellen.

Sie können wählen, ob Sie das orchestrierte System weiter konfigurieren möchten, bevor Sie einen Dataload ausführen, oder ob Sie die Standardkonfiguration akzeptieren und einen Dataload initiieren möchten. Wählen Sie eine aus:
  • Anpassen und dann das System für Dataloads aktivieren
  • Aktivieren und die Dataload mit den bereitgestellten Standardwerten vorbereiten

Nach Konfiguration

Mit dem Oracle Cloud Enterprise Performance Management-System sind keine Schritte nach der Konfiguration verknüpft.