Documentación de Oracle Cloud Infrastructure

Integración con Fusion Cloud Applications

Visión general: integración de Oracle Access Governance con Oracle Fusion Cloud Applications

Oracle Access Governance se puede integrar con Oracle Fusion Cloud Applications, lo que permite la orquestación de identidades, incluida la incorporación de datos de identidad (usuario), información de trabajadores y el aprovisionamiento de cuentas de Oracle Human Capital (HCM) y Oracle Enterprise Resource Planning (ERP).

Oracle Fusion Cloud Applications proporciona funcionalidad empresarial de gestión de capital humano (HCM) y planificación de recursos empresariales (ERP). Oracle Access Governance soporta los siguientes elementos en Oracle Fusion Cloud Applications:
  • Oracle Fusion Cloud Applications HCM y Oracle Fusion Cloud Applications ERP como fuente autorizada (de confianza) de información de identidad que permite la conciliación de empleados creados o modificados en Oracle Fusion Cloud Applications.
  • Oracle Fusion Cloud Applications como sistema gestionado que permite el aprovisionamiento de cuentas de aplicaciones de HCM y ERP.

Visión general de la arquitectura de integración de Oracle Fusion Cloud Applications

La integración de Oracle Fusion Cloud Applications permite recuperar datos de identidad y transferirlos a Oracle Access Governance. Una vez que se establece una conexión, puede realizar tareas de aprovisionamiento y solución visibles en el sistema gestionado.

Oracle Fusion Cloud Applications funciona con la API de Fusion Apps para obtener acceso a Oracle Fusion Cloud Applications a través de los puntos finales de la API de REST. Esto permite a las aplicaciones de Oracle Fusion Cloud realizar operaciones de creación, lectura, actualización y supresión en Oracle Access Governance.
  • Si selecciona el modo Origen autorizado, puede configurar un sistema orquestado de Oracle Fusion Cloud Applications, que, a continuación, permite a Oracle Access Governance recuperar datos de identidad de Oracle Fusion Cloud Applications como origen autorizado (de confianza) de información de identidad.
  • Si selecciona el modo de configuración Sistemas gestionados, Oracle Access Governance le permitirá gestionar registros de perfil de usuario de HCM y ERP en Oracle Fusion Cloud Applications. Esto permite el aprovisionamiento de nuevas cuentas en Oracle Fusion Cloud Applications desde Oracle Access Governance.

Visión general funcional de Oracle Fusion Cloud Applications Integration

La integración de Oracle Fusion Cloud Applications admite módulos tanto de Oracle Human Capital (HCM) como de Oracle Enterprise Resource Planning (ERP), incluida la configuración del sistema orquestado, la creación de cuentas de usuario, la revocación, el cambio de contraseña y la asignación y eliminación de roles.

  • Configurar el sistema orquestado de Oracle Fusion Cloud Applications

    Consulte Configuración de la integración entre Oracle Access Governance y Oracle Fusion Cloud Applications

  • Coincidencia de atributos de identidad y cuenta con reglas de correlación

    Revise o configure reglas de coincidencia para que coincidan con los datos de cuenta e identidad y cree un perfil de identidad compuesto. Para ver la regla de coincidencia predeterminada para este sistema orquestado, consulte Atributos admitidos por defecto.

  • Cargar datos

    Ingiera cuentas y grupos que Oracle Access Governance pueda gestionar. También puede configurar cargas de datos parciales para Oracle Fusion Cloud Applications. Para obtener más información, consulte Configuración de Valores Parciales de Carga de Datos.

  • Crear Cuenta

    Ingiera datos de cuenta del sistema orquestado, según el modo de configuración que haya seleccionado, Origen autorizado o Sistema gestionado, o bien solicite un acceso para una identidad. Ingestión de registros de usuario como datos de Oracle Fusion Cloud Applications.

    Oracle Access Governance soporta la ingesta desde un registro de persona/trabajador o una cuenta de usuario. La persona representa la entidad principal de HCM que contiene detalles de empleo, como el número de empleado, las relaciones laborales, el código de puesto y el registro de persona. La cuenta de usuario representa la identidad de seguridad que otorga acceso al sistema a Oracle Fusion Cloud Applications. La persona está enlazada a una cuenta de usuario.

  • Actualizar cuenta

    Actualice los detalles de la cuenta asignando o eliminando permisos. Esto le permite actualizar roles predefinidos, roles de aplicación de Oracle Fusion Cloud Applications, grupos de OCI y grupos de Oracle Fusion Cloud Applications.

  • Revocar Cuenta

    Desactive una cuenta (usuarios) asociada a una identidad. Esto eliminará los accesos para la cuenta de usuario de Oracle Fusion Cloud Applications.

Asignación de permisos usando Contexto de seguridad

Los usuarios de Oracle Access Governance pueden solicitar acceso a los recursos y roles proporcionados en Solicitar acceso. Puede asignar permisos a una cuenta de Oracle Fusion Cloud Applications mediante la funcionalidad Solicitar un nuevo acceso de Oracle Access Governance. Esto le permite solicitar un grupo de acceso que contenga permisos con detalles de seguridad para roles en el sistema de Oracle Fusion Cloud Applications. Para obtener más información sobre la gestión de roles y políticas, consulte Gestión de roles y Gestión de políticas.

Oracle Access Governance soporta los siguientes contextos de seguridad cuando se integran con Oracle Fusion Cloud Applications ERP:
  • Unidades de negocio
  • Valor contable de activo
  • Libros mayores o juegos de libros mayores
  • Juegos de Datos de Referencia
  • Juegos de acceso a datos
  • Organización de inventario.
  • Organización intercompañía
  • Organización de Costes
  • Planta de fabricación

Cuando solicita un grupo de acceso en Oracle Access Governance para un rol, se inicia una operación de aprovisionamiento que actualiza los roles de las aplicaciones de Oracle Fusion Cloud para los siguientes tipos de escenarios:

Creación de permisos mediante el contexto de seguridad durante la creación de políticas

Al crear una política con Oracle Access Governance para los siguientes casos de uso:
  • Cree un nuevo grupo de acceso que tenga permiso con contexto de seguridad y que ya esté asociado a la recopilación de identidades para la política.
  • Cree un nuevo grupo de acceso que tenga permiso con contexto de seguridad y que ya esté asociado a la recopilación de identidades para la política. Esto se aplica en situaciones en las que el usuario ya tiene el grupo de acceso asignado con el mismo permiso, pero con un contexto de seguridad diferente.

Edición de permisos para eliminar el contexto de seguridad

Puede editar los derechos de permisos mediante Oracle Access Governance para los siguientes casos:
  • Edite el grupo de acceso que tiene permiso con contexto de seguridad para cambiar el contexto de seguridad desde el derecho de permiso que ya está asociado con una recopilación de identidades para la política asociada.
  • Edite el grupo de acceso que tiene permiso con contexto de seguridad para eliminar el contexto de seguridad del derecho de permiso que ya está asociado a la recopilación de identidades mediante una política.

Área de Responsabilidad (AOR)

Oracle Access Governance soporta el área de responsabilidad (AOR). Puede definir roles de seguridad en Oracle Fusion Cloud Human Capital Management (Fusion HCM) alineando los permisos de acceso con las tareas específicas de una persona o equipo. Oracle Fusion Cloud Applications permite asignar responsabilidades a las identidades para controlar la visibilidad en la lista Contactos de trabajo. Oracle Access Governance ingiere AOR como atributo de cuenta cuando una cuenta de usuario está enlazada a una persona. No puede aprovisionar AOR mediante Oracle Access Governance; la asignación/reasignación se gestiona en Oracle Fusion Cloud Applications.

Agente de compras (OC)

Oracle Access Governance soporta el aprovisionamiento de agentes de compras (agentes de órdenes de compra) para Oracle Cloud ERP, cuando la cuenta de usuario de destino está enlazada a información de trabajador/persona asociada. Puede incluir el acceso de agente de compras en un paquete de acceso y aprovisionarlo otorgando el permiso adecuado de unidad de negocio de Procurement al usuario. Durante la creación del paquete de acceso, seleccione el permiso con Tipo de permiso otorgado = unidad de negocio de Procurement (no rol) para garantizar que Oracle Access Governance aprovisione el derecho de agente de Procurement deseado.

Cuando actualiza una cuenta de usuario o sus atributos directamente en Oracle Access Governance, la carga de datos incremental captura los agentes de compras asociados y muestra esos cambios en Oracle Access Governance, sin embargo, las actualizaciones directas de los agentes de compras en Oracle Fusion Cloud Applications no las selecciona Oracle Access Governance.

Análisis de separación de funciones preventiva (SOD)

Oracle Access Governance le permite realizar análisis preventivos de separación de funciones (SOD) para los sistemas orquestados de Oracle Fusion Cloud Applications durante el proceso de aprovisionamiento mediante la integración con Oracle Fusion Cloud Risk Management and Compliance (RMC). La separación de funciones (SOD) separa actividades como la aprobación, el registro y el procesamiento de tareas para que una empresa pueda prevenir o detectar más fácilmente errores involuntarios y fraudes intencionales. SOD restringe las tareas entre roles para que las actividades no éticas, ilegales o perjudiciales sean menos probables.

Análisis y aprovisionamiento de separación de funciones en Oracle Access Governance

Cuando configura un sistema orquestado de Oracle Fusion Cloud Applications, puede activar la integración de Oracle Fusion Cloud Risk Management and Compliance (RMC). Oracle Fusion Cloud Risk Management and Compliance (RMC) es una solución de seguridad y auditoría que controla el acceso de los usuarios a los datos financieros de Oracle Cloud ERP, controla la actividad de los usuarios y facilita el cumplimiento de las normativas de conformidad mediante la automatización. Una de las funciones de RCMS es el uso de controles para analizar el análisis de SOD en el sistema orquestado de Oracle Fusion Cloud Applications.

Para activar Oracle Fusion Cloud Risk Management and Compliance (RMC) en Oracle Access Governance, debe cumplir los siguientes requisitos:
  1. Permite configurar un sistema orquestado de Oracle Fusion Cloud Applications para gestionar permisos. Consulte Integración con Fusion Cloud Applications e Integración con Fusion Cloud Applications.
  2. La instancia de Oracle Fusion Cloud Applications con la que está integrando debe tener controles configurados que definan sus políticas de separación de funciones. Oracle Fusion Cloud Risk Management and Compliance (RMC) proporciona una biblioteca de controles listos para usar para procesos de negocio de alto riesgo, como AP, AR, GL, Payroll y Compensation. Estos controles se pueden actualizar para reflejar la empresa mediante el área de trabajo gráfica proporcionada con RMC. Para obtener más información, consulte la documentación de Oracle Fusion Cloud Risk Management and Compliance (RMC).

Una vez configurado, Oracle Access Governance utiliza Oracle Fusion Cloud Risk Management and Compliance (RMC) para comprobar las infracciones de SOD cuando un usuario realiza una solicitud de acceso para un grupo de acceso. Al realizar la solicitud, se inicia una actividad de análisis preventivo de separación de funciones, que se puede supervisar en el log de actividad. Esta actividad realizará una comprobación en Oracle Fusion Cloud Risk Management and Compliance (RMC) de cualquier control que indique que se ha producido una infracción de separación de funciones para el usuario y el acceso solicitado. El proceso Análisis preventivo de separación de funciones se ejecuta de forma asíncrona y devuelve los resultados a la solicitud de acceso. Si se aprueba con infracciones, Oracle Access Governance maneja el aprovisionamiento de infracciones marcadas con SoD mediante la aprobación de decisiones —incluyendo justificaciones y reconocimientos condicionales— directamente a Risk Management Cloud (RMC).

Las siguientes reglas se aplican a este proceso:
  • El análisis preventivo de SOD solo se puede ejecutar en un usuario que ya se haya creado en Oracle Fusion Cloud Applications y esté disponible para el motor de Oracle Fusion Cloud Risk Management and Compliance (RMC). Una vez aprovisionado este usuario, RMC analizará las solicitudes de acceso realizadas por el usuario si esta opción está activada. Consulte Requisitos para la comprobación de separación de funciones (SoD).
  • Solo se puede ejecutar una tarea de análisis de separación de funciones preventiva para un usuario concreto a la vez. Si el usuario crea una segunda solicitud de acceso mientras la tarea Preventive SOD Analysis de una solicitud de acceso anterior aún se está ejecutando, la segunda solicitud de RMC fallará. Otros motivos por los que puede fallar la tarea de análisis preventivo de separación de funciones incluyen RMC no disponible y ninguna cuenta de usuario en Oracle Fusion Cloud Applications.
  • El análisis de SOD preventivo se admite para solicitudes de paquetes de acceso. Las solicitudes de acceso para roles de Oracle Access Governance no están soportadas para el análisis de separación de funciones.

Ejemplo: Separación preventiva de funciones en Oracle Access Governance

Veamos un ejemplo de separación preventiva de funciones en Oracle Access Governance en acción. Considere el ejemplo en el que un usuario de la organización pasa de analista de AR a mánager de AR. Para llevar a cabo sus nuevas tareas, el usuario solicita acceso al grupo de acceso AR Manager en Oracle Access Governance.

Cuando se realiza la solicitud de acceso, se ejecuta una tarea Preventive SOD Analysis para ese usuario y RMC identifica algunas infracciones de SOD que se marcan en la solicitud de acceso. Un ejemplo de tal violación podría ser:
  • Los permisos actuales del usuario les permiten Crear usuario en Oracle Fusion Cloud Applications ERP, mientras que el grupo de acceso solicitado incluye Gestionar compensación.

Esta combinación de permisos tiene un potencial de fraude en las nóminas al crear empleados fantasma y establecer compensaciones. Este conflicto se marca en la solicitud de acceso, de modo que el aprobador pueda revisar la información de la solicitud y conectarse a RMC para obtener más información si es necesario. Sobre esta base, el aprobador puede tomar una decisión informada sobre si aprobar o rechazar la solicitud, o solicitar más información a la persona que solicita el acceso.

Acceso a Bithright y cese anticipado para usuarios de HCM

Oracle Access Governance otorga acceso por derecho de nacimiento a las contrataciones previas y las contrataciones automáticamente, en función de la fecha de inicio o la fecha de unión.

Para configurar el acceso a derechos de nacimiento en Oracle Access Governance, consulte Concesión de acceso a derechos de nacimiento.

Para configurar el cese anticipado, consulte Revocar acceso para un cese anticipado.

  • Oracle Access Governance define el atributo de identidad del sistema startDate en función de los atributos de HCM que indican el primer día de empleo.
  • Si en el futuro se ingieren los detalles de un empleado en Oracle Access Governance con startDate, Oracle Access Governance define el estado del empleado como Desactivado.
  • Cuando el valor startDate de un empleado coincide con la fecha actual, Oracle Access Governance define el estado del empleado como activo.
  • Cuando el valor terminationDate de un empleado coincide con la fecha actual, el estado del empleado se define como Desactivado.

    Para la validación, consulte Validate Configuration.