Oracle Cloud Infrastructure-Dokumentation

Oracle CX-(Sales-)Integration - Voraussetzungen

Bevor Sie ein orchestriertes System integrieren und konfigurieren, müssen Sie die folgenden Voraussetzungen erfüllen.

Schritt 1: Datenrollen und Sicherheitsprofile erstellen

Erstellen Sie vor der Konfiguration des orchestrierten Systems einen Serviceaccount, und erteilen Sie die Berechtigungen, die für die Integration mit Oracle Access Governance erforderlich sind.

Erforderliche Rollen:
  • IT-Sicherheitsmanager - Tätigkeitsrolle (ORA_FND_IT_SECURITY_MANAGER_JOB)
  • Human Capital Management - Integrationsspezialist (ORA_HRC_HUMAN_CAPITAL_MANAGEMENT_INTEGRATION_SPECIALIST_JOB))
  1. Bei Oracle Fusion Cloud Applications anmelden.
  2. Gehen Sie zu Mein Unternehmen > Setup und Wartung.
  3. Wählen Sie das Symbol Aufgaben rechts auf der Seite.
  4. Wählen Sie Suchen und Datenrolle und Sicherheitsprofile verwalten aus.
  5. Suchen Sie nach der Tätigkeitsrolle Human Capital Management Integration Specialist, die keine Sicherheitsprofile enthält.
  6. Wählen Sie +Erstellen aus
    • Geben Sie den Namen der Datenrolle ein. Beispiel: <ServiceAccountName>-DataRole.
    • Wählen Sie den Job Human Capital Management Integration Specialist aus, den Sie übernehmen möchten.
    • Wählen Sie OK.
  7. Wählen Sie Weiter.
  8. Wählen Sie auf der Seite "Sicherheitskontext" in der Liste über Sicherheitsprofilkonfigurationen hinweg die Option Alle anzeigen aus.
  9. Wählen Sie Weiter zum Prüfen und Weiterleiten aus.
  10. Suchen Sie nach der von Ihnen erstellten Datenrolle. Beachten Sie, dass jetzt die Spalte Zugewiesenes Sicherheitsprofil ausgewählt ist.
  11. Wählen Sie Fertig.

Erstellen Sie als Nächstes ein Servicekonto, und weisen Sie diese Datenrolle dem Servicekonto zu.

Schritt 2. Serviceaccount erstellen und Standardrollen erteilen

Verwenden Sie den Serviceaccount, wenn Sie die Verbindung im orchestrierten System konfigurieren. Sie können diesen Serviceaccount mit Oracle Fusion Cloud Applications-Standardrollen und -Berechtigungen oder mit einer benutzerdefinierten Rolle festlegen.

Schritt 2.1 Serviceaccount in Oracle Fusion Cloud Applications erstellen

Sie benötigen die Jobrolle "IT-Sicherheitsmanager" (ORA_FND_IT_SECURITY_MANAGER_JOB).

  1. Bei Oracle Fusion Cloud Applications anmelden.
  2. Gehen Sie im Navigator zu Tools > Security Console.
  3. Wählen Sie Benutzer > Benutzeraccount hinzufügen aus.
  4. Geben Sie die erforderlichen Felder für Benutzerinformationen ein.
  5. Wählen Sie Speichern und schließen. Stellen Sie sicher, dass der Status Aktiv ist.
  6. Wählen Sie den Benutzer, und wählen Sie Bearbeiten aus.

Schritt 2.2 Rollen zu Serviceaccount hinzufügen

  1. Klicken Sie auf die Schaltfläche Rolle hinzufügen.
  2. Weisen Sie dem Account jeweils die Standardrollen zu.
    • Integrationsspezialist (ORA_FND_INTEGRATION_SPECIALIST_JOB)
    • Berater für die Anwendungsimplementierung (ORA_ASM_APPLICATION_IMPLEMENTATION_CONSULTANT_JOB)
    • Vertriebsadministrator (ORA_ZBS_SALES_ADMINISTRATOR_JOB)
  3. Weisen Sie die in Schritt 1 erstellte Datenrolle zu. Siehe Schritt 1: Datenrollen und Sicherheitsprofile erstellen.
  4. Wählen Sie Speichern und schließen.
  5. Account suchen und prüfen, ob erforderliche Rollen zugewiesen sind.
  6. Melden Sie sich an, um die Erstellung des neuen Serviceaccounts zu prüfen.

Schritt 2.3 Berechtigungen mit einer benutzerdefinierten Rolle erteilen - Prinzip der geringsten Berechtigungen

Verwenden Sie Berechtigungen anstelle der Oracle Fusion Cloud Applications-Standardrollen und -Berechtigungen, um eine benutzerdefinierte Rolle für den Serviceaccount einzurichten. Dies entspricht dem Prinzip der geringsten Berechtigung, indem nur die feingranulierten Berechtigungen konfiguriert werden, die für den Serviceaccount erforderlich sind.

So erstellen Sie die benutzerdefinierte Rolle:
  1. Erstellen Sie eine Oracle Fusion Cloud Applications-Rolle der Kategorie Allgemein - Tätigkeitsrollen.
  2. Fügen Sie die Berechtigungen zum Train-Stopp für Funktionssicherheits-Policys hinzu. Weitere Informationen finden Sie in der Liste Berechtigungen erteilen.
  3. Erteilen Sie der benutzerdefinierten Rolle Datensicherheits-Policys für das richtige Dataset. Wenn Sie nicht die richtigen Datensicherheits-Policys erteilen, werden einige Daten möglicherweise nicht zurückgegeben. Die API-Aufrufe würden nicht fehlschlagen (200 OK), aber die Anzahl wäre 0, wenn die Datensicherheits-Policys ausgelassen werden.
  4. Weisen Sie die in Schritt 1 erstellte Datenrolle (ORA_HRC_HUMAN_CAPITAL_MANAGEMENT_INTEGRATION_SPECIALIST_JOB) zu. Siehe Schritt 1: Datenrollen und Sicherheitsprofile erstellen.

Schritt 2.4 Berechtigungen für einen benutzerdefinierten Benutzer erteilen

Erstellen Sie eine benutzerdefinierte Rolle, anstatt die Standardrollen zu verwenden, um die geringste Berechtigung sicherzustellen, indem Sie nur die erforderlichen feingranulierten Berechtigungen erteilen. Weisen Sie die Datenrolle ORA_HRC_HUMAN_CAPITAL_MANAGEMENT_INTEGRATION_SPECIALIST_JOB zusammen mit den Berechtigungen zu.

Hinweis

Sie müssen die erforderlichen Datensicherheits-Policys erteilen und mit den relevanten Rollen verknüpfen, um den Zugriff auf das entsprechende Dataset zu ermöglichen (z.B. /workers). Wenn die richtigen Datensicherheits-Policys nicht konfiguriert sind, schlagen API-Aufrufe nicht fehl (200 OK), die Antwort enthält jedoch keine Daten (Anzahl wäre 0). Weitere Details finden Sie unter Datensicherheits-Policys.
Endpunkt/Funktionalität Berechtigungen in Funktionssicherheits-Policys
/userAccounts

Berechtigungsname: REST-Service verwenden - Benutzeraccounts

Berechtigungscode: PER_REST_SERVICE_ACCESS_USER_ACCOUNTS_PRIV
/workers

Berechtigungsname: REST-Service verwenden - Worker

Berechtigungscode: PER_REST_SERVICE_ACCESS_WORKERS_PRIV
/userAccounts Wertelisten

REST-Service verwenden - Wertelisten für Benutzer und Rollen

PER_REST_SERVICE_ACCESS_USERS_AND_ROLES_LOVS_PRIV

Schritt 2.5: Job "Zugriffskontrolldaten aktualisieren" ausführen

Sie müssen den Job "Zugriffskontrolldaten" ausführen, nachdem Sie den Serviceaccount konfiguriert haben. Dieser Job wird standardmäßig stündlich ausgeführt, oder Sie können ihn zur manuellen Ausführung auswählen. So führen Sie den Job aus:
  1. Navigieren Sie zu ExtrasGeplante Prozesse.
  2. Suchen Sie nach Zugriffskontrolldaten aktualisieren.
  3. Wählen Sie Neuen Prozess planen aus.
  4. Wählen Sie Zugriffskontrolldaten aktualisieren als Jobnamen, und geben Sie eine aussagekräftige Beschreibung ein.
  5. Wählen Sie bei Bedarf Vollständige Aktualisierung oder Inkrementelle Aktualisierung aus, um den Job auszuführen.
  6. OK auswählen.
  7. Klicken Sie auf Weiterleiten. Auf dieser Seite kopieren Sie die Prozessnummer.
  8. Führen Sie den Synchronisierungsprozess für Benutzer und Rollen aus, um die neuesten Benutzer und Rollendefinitionen abzurufen. Weitere Informationen finden Sie unter Synchronisierungsprozess für Benutzer und Rollen ausführen.

Authentifizierung und Autorisierung mit OCI IAM

Mit OCI IAM können Sie Oracle CX (Sales) mit Oracle Access Governance authentifizieren und autorisieren.

Voraussetzungen

Die folgenden Voraussetzungen müssen erfüllt sein, um Oracle CX (Sales) mit OAuth zu autorisieren.
  • Erstellen Sie einen Serviceaccount, und erteilen Sie Berechtigungen, die für die Integration mit Oracle Access Governance erforderlich sind.
  • Stellen Sie sicher, dass die Konfiguration in derselben Identitätsdomain ausgeführt wird, in der Oracle Fusion Cloud Applications-Anwendungen gehostet werden.

Zugriffszertifikate und Schlüssel

Verwenden Sie ein Zertifikat, das von einer vertrauenswürdigen Certificate Authority (CA) im PEM-Format ausgestellt wurde, um eine sichere Authentifizierung und Kompatibilität zu gewährleisten, oder nutzen Sie OCI Certificate Service, um Zertifikate effizient zu generieren und zu verwalten.

  1. Verwenden Sie eine vertrauenswürdige Certificate Authority im PEM-Format.
  2. Um ein öffentliches Zertifikat abzurufen, stellen Sie sicher, dass die Identitätsdomain so konfiguriert ist, dass Token ausgegeben und signiert werden.
    1. Wählen Sie unter Identität und Sicherheit die Option Domains aus.
    2. Aktivieren Sie in der Registerkarte Einstellungen die Option Auf Signaturzertifikat zugreifen.

Zertifikat als vertrauenswürdiges Partnerzertifikat in die OCI-IAM-Domain der FA-Instanz importieren

  1. Navigieren Sie zu Identität und Sicherheit, und wählen Sie Domains aus.
  2. Suchen Sie das Compartment für die Oracle Fusion Cloud Applications-Serviceinstanz, und wählen Sie die Domain aus.
  3. Wählen Sie die Registerkarte Sicherheit.
  4. Gehen Sie zu dem Abschnitt Vertrauenswürdige Partnerzertifikate, und wählen Sie Zertifikat importieren aus.
  5. Geben Sie denselben Aliasnamen ein, den Sie beim Generieren des Zertifikatsalias für die Keystore-Datei angegeben haben
  6. Importieren Sie die Datei .cer.
  7. Wählen Sie Importieren aus.

Ergebnisse: Stellen Sie sicher, dass die korrekten Details zusammen mit SHA-1 Thumbprint, SHA-256 Thumbprint, Zertifikatstartdatum und Zertifikatenddatum angezeigt werden.

Integrierte vertrauliche Anwendung erstellen

  1. Navigieren Sie zu Identität und Sicherheit, und wählen Sie Domains aus.
  2. Wählen Sie die gewünschte Domäne aus.
  3. Wählen Sie die Registerkarte Integrierte Anwendungen aus.
  4. Wählen Sie Anwendung hinzufügen aus.
  5. Wählen Sie die Kachel Vertrauliche Anwendung, Workflow starten aus.
  6. Geben Sie auf der Seite Details Folgendes ein:
    1. Geben Sie Name und Beschreibung für die vertrauliche Anwendung an.
    2. Klicken Sie auf Weiterleiten.

OAuth-Konfigurationen bearbeiten

  1. Wählen Sie die Registerkarte OAuth-Konfiguration aus.
  2. Wählen Sie OAuth-Konfiguration bearbeiten aus.
  3. Clientkonfiguration: Wählen Sie Diese Anwendung jetzt als Client konfigurieren aus.
  4. Berechtigungstypen aktivieren: Wählen Sie die Berechtigungstypen Clientzugangsdaten, JWT-Assertion und Aktualisierungstoken aus.
  5. Wählen Sie Vertrauenswürdig als Option Clienttyp.
  6. Importieren Sie das zuvor verwendete Zertifikat.
  7. Wählen Sie Im Namen als Zulässige Vorgänge aus.
  8. Wählen Sie Netzwerkperimeter aus, um Anmeldeversuche auf bestimmte IPs oder Bereiche zu beschränken. Wählen Sie andernfalls Überall aus.
  9. Wählen Sie unter Tokenausgabe-Policy die Option Alle aus.
  10. Geltungsbereichskonfiguration
    1. Umschalter "Ressourcen hinzufügen" aktivieren
    2. Wählen Sie Bereiche hinzufügen aus
    3. Wählen Sie die Oracle Fusion Cloud Applications-Anwendungsreferenzen aus.
      Hinweis

      Wenn keine Geltungsbereiche aufgelistet sind, prüfen Sie auf der Registerkarte Oracle Cloud Services, ob die Oracle Fusion Cloud Applications-Instanz in dieser Domain registriert ist.
  11. Klicken Sie auf Weiterleiten.
  12. Aktivieren Sie die Anwendung: Wählen Sie das Symbol Aktionen, Aktivieren aus. Der Status muss von Inaktiv in Aktiv geändert werden.

Vertrauliche OAuth-Anwendungsdetails für Autorisierung abrufen

  1. Öffnen Sie die von Ihnen erstellte integrierte vertrauliche OAuth-Anwendung.
  2. Wählen Sie die Registerkarte OAuth-Konfiguration aus.
  3. Kopieren Sie im Abschnitt Allgemeine Informationen Client-ID und Client Secret, und speichern Sie sie.
  4. Kopieren und speichern Sie den Anwendungsgeltungsbereich im Abschnitt Ressourcen.

OCI Vault zum Speichern von Zugangsdaten erstellen

Führen Sie diesen Schritt nur aus, wenn Sie OCI Vault während der Integrationseinstellungen verwenden. Oracle Access Governance verwendet den OCI Vault and Secret Management-Service, um sensible Werte wie Kennwörter, Client Secrets und Private Keys zu speichern.

Erstellen Sie einen Oracle Cloud Infrastructure-(OCI-)Vault, einen Verschlüsselungsschlüssel und Secrets für Zugangsdaten für die Basisauthentifizierung, in denen die Oracle Access Governance-Instanz konfiguriert ist.

Diese Methode wird für die sichere Zugangsdatenverwaltung empfohlen. Stellen Sie sicher, dass Sie über den erforderlichen Zugriff verfügen:
  • Berechtigung zum Erstellen von Vaults, Schlüsseln und Secrets im Ziel-Compartment.
  • Berechtigung zum Verschlüsseln von Secrets durch Schlüssel.
  1. Melden Sie sich bei der Oracle Cloud Infrastructure-Konsole als Mandantenadministrator an.
  2. Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit → Key Management und Secret Management aus.
  3. Vault erstellen.
  4. Erstellen Sie einen Verschlüsselungsschlüssel, wenn der Vault den Status "Aktiv" aufweist. Siehe Masterverschlüsselungsschlüssel erstellen.
  5. Wählen Sie im Navigationsmenü die Optionen Identität und Sicherheit, Secret Management aus.
  6. Wählen Sie Secret erstellen aus.
  7. Wählen Sie das Compartment aus, das das Secret erstellen soll.
  8. Geben Sie einen aussagekräftigen Secret-Namen ein. Beispiel: agcs-cx-vault.
  9. Wählen Sie das Vault Compartment und den Vault-Namen aus.
  10. Wählen Sie das Verschlüsselungsschlüssel-Compartment aus.
  11. Wählen Sie im Feld Verschlüsselungsschlüssel den von Ihnen erstellten Schlüssel aus.
  12. Wählen Sie Manuelle Secret-Generierung aus.
  13. Im geheimen Inhalt:
    • Wenn Sie die Basisauthentifizierung verwenden müssen, geben Sie Folgendes ein:
      {
  "adminUser": "<your-admin-username>",
  "adminPassword": "<your-admin-password>"
}
    • Führen Sie für OAuth die OAuth-Voraussetzungen aus, und geben Sie die folgenden Details ein: 
      {
  "adminUser": "admin@example.com",
  "domainURL": "https://idcs-<tenant>.example.com",
  "clientId": "xxxxxxxxxxxxxxxxxxxxxxxx",
  "clientSecret": "xxxxxxxxxxxxxxxxxxxxxxxx",
  "privateKey": "-----BEGIN PRIVATE KEY-----\n<your-key>\n-----END PRIVATE KEY-----\n",
  "alias": "my-signing-key",
  "scope": "urn:opc:idm:__myscopes__"
}
      Parameterdetails
  14. Wählen Sie Secret erstellen aus.
  15. Geben Sie die Mandanten-OCID und die Secret-OCID in das ein. Dadurch wird die erforderliche IAM-Policy in der Konsole generiert. Informationen zum Suchen von Secret-Details finden Sie unter Secret-Details anzeigen.
  16. Kopieren Sie die genauen Anweisungen im Root Compartment des Oracle Access Governance-Mandanten, in dem Sie den Vault erstellt haben.