Documentation sur Oracle Cloud Infrastructure

Intégrer à des applications Fusion Cloud

Aperçu : Intégrer Oracle Access Governance aux applications Oracle Fusion Cloud

Oracle Access Governance peut être intégré aux applications Oracle Fusion Cloud permettant l'orchestration d'identité, y compris l'intégration des données d'identité (utilisateur), des informations sur les travailleurs et le provisionnement des comptes Oracle Human Capital (HCM) et Oracle Enterprise Resource Planning (ERP).

Les applications Oracle Fusion Cloud fournissent les fonctionnalités de gestion du capital humain (HCM) et de planification des ressources d'entreprise (ERP) d'entreprise. Oracle Access Governance prend en charge les éléments suivants dans les applications Oracle Fusion Cloud :
  • Oracle Fusion Cloud Applications HCM et Oracle Fusion Cloud Applications ERP en tant que source fiable d'informations d'identité permettant le rapprochement des employés créés ou modifiés dans les applications Oracle Fusion Cloud.
  • Applications Oracle Fusion Cloud en tant que système géré permettant le provisionnement des comptes d'application HCM et ERP.

Aperçu de l'architecture d'intégration des applications Oracle Fusion Cloud

L'intégration des applications Oracle Fusion Cloud permet d'extraire les données d'identité et de les transférer vers Oracle Access Governance. Une fois la connexion établie, vous pouvez effectuer des tâches de provisionnement et de correction visibles dans le système géré.

Les applications Oracle Fusion Cloud fonctionnent avec l'API Fusion Apps pour accéder aux applications Oracle Fusion Cloud au moyen des points d'extrémité d'API REST. Les applications Oracle Fusion Cloud peuvent ainsi effectuer des opérations de création, de lecture, de mise à jour et de suppression sur Oracle Access Governance.
  • Si vous sélectionnez le mode Source faisant autorité, vous pouvez configurer un système orchestré d'applications Oracle Fusion Cloud, qui permet ensuite à Oracle Access Governance d'extraire les données d'identité des applications Oracle Fusion Cloud en tant que source d'informations d'identité faisant autorité (de confiance).
  • Si vous sélectionnez le mode de configuration Systèmes gérés, Oracle Access Governance vous permettra de gérer les enregistrements de profil d'utilisateur HCM et ERP dans les applications Oracle Fusion Cloud. Cela permet de provisionner de nouveaux comptes dans les applications Oracle Fusion Cloud à partir d'Oracle Access Governance.

Aperçu fonctionnel de l'intégration des applications Oracle Fusion Cloud

L'intégration des applications Oracle Fusion Cloud prend en charge les modules Oracle Human Capital (HCM) et Oracle Enterprise Resource Planning (ERP), notamment la configuration du système orchestré, la création de compte d'utilisateur, la révocation, la modification du mot de passe et l'affectation et la suppression de rôles.

  • Configurer le système orchestré des applications Oracle Fusion Cloud

    Voir Configurer l'intégration entre Oracle Access Governance et les applications Oracle Fusion Cloud

  • Mettre en correspondance les attributs d'identité et de compte à l'aide des règles de corrélation

    Réviser ou configurer les règles de correspondance pour qu'elles correspondent aux données d'identité et de compte et créer un profil d'identité composite. Pour voir la règle de correspondance par défaut pour ce système orchestré, voir Attributs pris en charge par défaut.

  • Charger des données

    Ingérer des comptes et des groupes qui peuvent être gérés par Oracle Access Governance. Vous pouvez également configurer des chargements de données partiels pour les applications Oracle Fusion Cloud. Pour plus d'informations, voir Configurer les paramètres de chargement de données partiel.

  • Créer un compte

    Ingérez les données de compte à partir de votre système orchestré, selon le mode de configuration que vous avez sélectionné, Source faisant autorité ou Système géré ou demandez un accès pour une identité. Ingestion des enregistrements d'utilisateur en tant que données à partir des applications Oracle Fusion Cloud.

    Oracle Access Governance prend en charge l'ingestion à partir de l'enregistrement de personne/travailleur ou de compte d'utilisateur. Personne représente l'entité HCM de base contenant les détails de l'emploi, tels que le numéro d'employé, les relations de travail, le code d'emploi et le dossier de personne. Le compte d'utilisateur représente l'identité de sécurité qui accorde l'accès du système aux applications Oracle Fusion Cloud. La personne est liée à un compte d'utilisateur.

  • Mettre à jour compte

    Mettez à jour les détails du compte en affectant ou en supprimant des autorisations. Vous pouvez ainsi mettre à jour des rôles prédéfinis, des rôles d'application Oracle Fusion Cloud, des groupes OCI et des groupes d'applications Oracle Fusion Cloud.

  • Révoquer le compte

    Désactivez un compte (utilisateurs) associé à une identité. Les accès au compte d'utilisateur des applications Oracle Fusion Cloud seront supprimés.

Affecter des autorisations à l'aide du contexte de sécurité

Les utilisateurs d'Oracle Access Governance peuvent demander l'accès aux ressources et aux rôles fournis dans Demander l'accès. Vous pouvez affecter des autorisations à un compte Oracle Fusion Cloud Applications à l'aide de la fonctionnalité Demander un nouvel accès d'Oracle Access Governance. Cela vous permet de demander un ensemble d'accès contenant des autorisations avec des détails de sécurité pour les rôles dans le système d'applications Oracle Fusion Cloud. Pour plus de détails sur la gestion des rôles et des politiques, voir Gérer les rôles et Gérer les politiques.

Oracle Access Governance prend en charge les contextes de sécurité suivants lorsqu'il est intégré à Oracle Fusion Cloud Applications ERP :
  • Unités d'affaires
  • Valeur du registre des immobilisations
  • Livres ou jeux de livres
  • Jeux de données de référence
  • Jeux d'accès aux données
  • Organisation de stocks
  • Organisation intersociété
  • Organisation de coûts
  • Usine de fabrication

Lorsque vous demandez un ensemble d'accès dans Oracle Access Governance pour un rôle, une opération de provisionnement est lancée qui met à jour les rôles dans vos applications Oracle Fusion Cloud pour les types de scénario suivants :

Création d'une autorisation à l'aide du contexte de sécurité lors de la création d'une politique

Lors de la création d'une politique avec Oracle Access Governance pour les cas d'utilisation suivants :
  • Créez un ensemble d'accès qui dispose d'une autorisation avec un contexte de sécurité et qui est déjà associé à une collection d'identités pour la politique.
  • Créez un ensemble d'accès qui dispose d'une autorisation avec un contexte de sécurité et qui est déjà associé à une collection d'identités pour la politique. Cela s'applique lorsque l'utilisateur dispose déjà de l'ensemble d'accès affecté avec la même autorisation, mais avec un contexte de sécurité différent.

Modification de l'autorisation de suppression du contexte de sécurité

Vous pouvez modifier les droits d'autorisation à l'aide d'Oracle Access Governance pour les cas suivants :
  • Modifiez l'ensemble d'accès disposant d'une autorisation avec contexte de sécurité pour remplacer le contexte de sécurité par un droit d'autorisation qui est déjà associé à une collection d'identités pour la politique associée.
  • Modifiez l'ensemble d'accès disposant d'une autorisation avec contexte de sécurité pour supprimer le contexte de sécurité des droits d'autorisation qui sont déjà associés à la collecte d'identités au moyen d'une politique.

Zone de responsabilité (AOR)

Oracle Access Governance prend en charge la zone de responsabilité (AOR). Vous pouvez définir des rôles de sécurité dans Oracle Fusion Cloud Human Capital Management (Fusion HCM) en alignant les autorisations d'accès sur les tâches spécifiques d'une personne ou d'une équipe. Les applications Oracle Fusion Cloud permettent d'affecter des responsabilités aux identités afin de contrôler la visibilité dans la liste des contacts professionnels. Oracle Access Governance ingère AOR comme attribut de compte lorsqu'un compte d'utilisateur est lié à une personne. Vous ne pouvez pas provisionner AOR au moyen d'Oracle Access Governance, l'affectation/la réaffectation est traitée dans les applications Oracle Fusion Cloud.

Agent approvisionnement (BC)

Oracle Access Governance prend en charge le provisionnement des agents d'approvisionnement (agents de BC) pour Oracle Cloud ERP, lorsque le compte d'utilisateur cible est lié aux informations sur les travailleurs/personnes associés. Vous pouvez inclure l'accès d'agent d'approvisionnement dans une offre groupée d'accès et la provisionner en accordant à l'utilisateur l'autorisation appropriée pour l'unité d'affaires d'approvisionnement. Lors de la création de l'ensemble d'accès, sélectionnez l'autorisation avec Type d'autorisation accordée = Unité d'affaires d'approvisionnement (et non Rôle) pour vous assurer qu'Oracle Access Governance provisionne les droits de l'agent d'approvisionnement prévus.

Lorsque vous mettez à jour un compte d'utilisateur ou ses attributs directement dans Oracle Access Governance, le chargement incrémentiel de données capture les agents d'approvisionnement associés et affiche ces modifications dans Oracle Access Governance. Toutefois, les mises à jour directes des agents d'approvisionnement dans les applications Oracle Fusion Cloud ne sont pas récupérées par Oracle Access Governance.

Analyse de la séparation préventive des tâches

Oracle Access Governance vous permet d'effectuer une analyse préventive de la séparation des tâches (SOD) pour les systèmes orchestrés des applications Oracle Fusion Cloud pendant le processus de provisionnement grâce à l'intégration avec Oracle Fusion Cloud Risk Management and Compliance (RMC). La séparation des tâches (SOD) sépare les activités telles que l'approbation, l'enregistrement et le traitement des tâches afin qu'une entreprise puisse plus facilement prévenir ou détecter les erreurs non intentionnelles et la fraude intentionnelle. La séparation des tâches limite les tâches entre les rôles de sorte que les activités non éthiques, illégales ou dommageables sont moins probables.

Analyse et provisionnement de la séparation des tâches dans Oracle Access Governance

Lorsque vous configurez un système orchestré pour les applications Oracle Fusion Cloud, vous pouvez activer l'intégration RMC (Oracle Fusion Cloud Risk Management and Compliance). Oracle Fusion Cloud Risk Management and Compliance (RMC) est une solution de sécurité et de vérification qui contrôle l'accès des utilisateurs à vos données financières Oracle Cloud ERP, surveille l'activité des utilisateurs et facilite le respect des réglementations de conformité grâce à l'automatisation. L'une des caractéristiques de RCMS est l'utilisation de contrôles pour analyser l'analyse SOD au sein du système orchestré des applications Oracle Fusion Cloud.

Pour activer Oracle Fusion Cloud Risk Management and Compliance (RMC) dans Oracle Access Governance, vous devez répondre aux exigences suivantes :
  1. Configurer un système orchestré pour les applications Oracle Fusion Cloud pour gérer les autorisations. Voir Intégrer à Fusion Cloud Applications et Intégrer à Fusion Cloud Applications.
  2. L'instance des applications Oracle Fusion Cloud avec laquelle vous intégrez doit avoir des contrôles configurés qui définissent vos politiques de séparation des tâches. Oracle Fusion Cloud Risk Management and Compliance (RMC) fournit une bibliothèque de contrôles prêts à l'emploi pour les processus d'affaires à risque élevé, tels que les comptes fournisseurs, les comptes clients, le grand livre, la paie et la rémunération. Ces contrôles peuvent être mis à jour pour refléter votre entreprise à l'aide de l'atelier graphique fourni avec RMC. Pour plus d'informations, consultez la documentation sur Oracle Fusion Cloud Risk Management and Compliance.

Une fois configurée, Oracle Access Governance utilise Oracle Fusion Cloud Risk Management and Compliance (RMC) pour vérifier les violations de séparation des tâches lorsqu'un utilisateur effectue une demande d'accès à un ensemble d'accès. Lorsque vous effectuez la demande, une activité Analyse SOD préventive est démarrée, qui peut être surveillée dans le journal d'activité. Cette activité vérifiera dans Oracle Fusion Cloud Risk Management and Compliance (RMC) tout contrôle indiquant qu'une violation de la séparation des tâches a eu lieu pour l'utilisateur et l'accès demandé. Le processus Analyse SOD préventive s'exécute de manière asynchrone et retourne les résultats à la demande d'accès. S'il est approuvé avec des violations, Oracle Access Governance gère le provisionnement des violations marquées SoD en transmettant les décisions d'approbation, y compris les justifications et les accusés de réception conditionnels, directement à Risk Management Cloud (RMC).

Les règles suivantes s'appliquent à ce traitement :
  • L'analyse SOD préventive ne peut être exécutée que sur un utilisateur qui a déjà été créé dans les applications Oracle Fusion Cloud et qui est disponible pour le moteur Oracle Fusion Cloud Risk Management and Compliance. Une fois cet utilisateur provisionné, toutes les demandes d'accès effectuées par l'utilisateur seront analysées par RMC si cette option est activée. Voir Préalables à la vérification de la séparation des tâches.
  • Une seule tâche d'analyse SOD préventive peut être exécutée pour un utilisateur particulier à la fois. Si votre utilisateur crée une deuxième demande d'accès alors que la tâche d'analyse SOD préventive d'une demande d'accès précédente est toujours en cours d'exécution, la deuxième demande RMC échouera. D'autres raisons pour lesquelles la tâche d'analyse SOD préventive peut échouer incluent l'indisponibilité de RMC et l'absence de compte d'utilisateur dans les applications Oracle Fusion Cloud.
  • L'analyse SOD préventive est prise en charge pour les demandes d'ensembles d'accès. Les demandes d'accès pour les rôles Oracle Access Governance ne sont pas prises en charge pour l'analyse SOD.

Exemple : Séparation préventive des tâches dans Oracle Access Governance

Examinons un exemple de séparation préventive des tâches dans Oracle Access Governance en action. Prenons l'exemple où un utilisateur de votre organisation est promu de AR Analyst à AR Manager. Pour s'acquitter de ses nouvelles fonctions, l'utilisateur demande l'accès au groupe d'accès Gestionnaire AR dans Oracle Access Governance.

Lorsque la demande d'accès est effectuée, une tâche d'analyse SOD préventive est exécutée pour cet utilisateur et RMC identifie certaines violations SOD qui sont marquées dans la demande d'accès. Un exemple d'une telle violation peut être :
  • Les autorisations courantes de l'utilisateur lui permettent de créer un utilisateur dans ERP Applications Oracle Fusion Cloud, tandis que l'ensemble d'accès demandé comprend Gérer la rémunération.

Cette combinaison d'autorisations peut entraîner une fraude à la paie en créant des employés fantômes et en définissant la rémunération. Ce conflit est signalé dans la demande d'accès, de sorte que l'approbateur puisse vérifier les informations de la demande et se connecter à RMC pour obtenir des informations supplémentaires, si nécessaire. Sur cette base, l'approbateur peut prendre une décision éclairée sur l'approbation ou le rejet de la demande, ou demander des informations supplémentaires à la personne qui demande l'accès.

Accès à Bithright et résiliation anticipée pour les utilisateurs de HCM

Oracle Access Governance accorde automatiquement un droit de naissance aux pré-embauches et aux embauches, en fonction de la date de début ou de la date d'adhésion.

Pour configurer l'accès aux droits de naissance dans Oracle Access Governance, voir Octroi de l'accès aux droits de naissance.

Pour configurer une résiliation anticipée, voir Révoquer l'accès pour une résiliation anticipée.

  • Oracle Access Governance définit l'attribut d'identité de système startDate en fonction des attributs HCM qui indiquent le premier jour d'emploi.
  • Si les détails d'un employé sont ingérés dans Oracle Access Governance avec startDate à l'avenir, Oracle Access Governance définit le statut de l'employé comme Désactivé.
  • Lorsque startDate d'un employé correspond à la date courante, Oracle Access Governance définit le statut de l'employé comme Actif.
  • Lorsque la valeur terminationDate d'un employé correspond à la date courante, le statut de l'employé est réglé à Désactivé.

    Pour la validation, voir Valider la configuration.