Documentation sur Oracle Cloud Infrastructure

Intégrer Oracle Access Governance à SAP Ariba

Oracle Access Governance permet une intégration transparente basée sur des API avec SAP Ariba pour activer l'orchestration des identités, automatiser l'intégration des comptes et des groupes, le provisionnement et le rapprochement des comptes. Oracle Access Governance prend en charge la gestion de comptes et la gestion de groupes pour les comptes SAP Ariba en tant que système géré.

SAP Ariba est un service en nuage complet de gestion de l'approvisionnement et des dépenses qui aide les entreprises à simplifier et à optimiser leurs processus d'approvisionnement, de l'approvisionnement au paiement. Grâce à cette intégration, vous pouvez créer, mettre à jour, activer et désactiver des comptes d'identité. Vous pouvez affecter ou révoquer des groupes pour des comptes à partir d'Oracle Access Governance.

Aperçu : Système orchestré SAP Ariba

Vous pouvez établir une connexion entre SAP Ariba et Oracle Access Governance en entrant les détails de connexion et en configurant le système orchestré. Pour ce faire, utilisez la fonctionnalité Systèmes orchestrés disponible dans la console Oracle Access Governance.

Présentation de l'architecture d'intégration SAP Ariba

Vous pouvez effectuer un chargement de données complet et incrémentiel pour les identités dans SAP Ariba. Une fois la connexion établie, vous pouvez effectuer des tâches de provisionnement et de correction pour les comptes et les groupes d'utilisateurs.

L'intégration de SAP Ariba tire parti de deux API SAP Ariba pour le provisionnement et le chargement de données complet ou incrémentiel.
  • Utilisez l'API SOAP Importer des utilisateurs SAP Ariba pour créer, mettre à jour, activer, désactiver des comptes dans des organisations de fournisseur ou de client existantes pour les solutions SAP Ariba Strategic Sourcing. Vous pouvez affecter ou révoquer des identités des groupes SAP Ariba à partir d'Oracle Access Governance.
  • Utilisez l'API REST Master Data Retrieval API for Sourcing SAP Ariba pour lire les données et effectuer un chargement de données complet ou incrémentiel dans Oracle Access Governance.

Aperçu fonctionnel : Cas d'utilisation pris en charge pour l'intégration à SAP Ariba

L'intégration SAP Ariba prend en charge la gestion des comptes et des groupes pour les comptes SAP Ariba. Le système orchestré par SAP Ariba prend en charge la gestion des comptes pour les modèles Identité en nuage, Identité synchronisée et Identité fédérée de SAP Ariba.

Configurer le système orchestré SAP Ariba

Tout d'abord, configurez et configurez SAP Ariba Orchestrated System. Pour plus de détails, voir Configurer l'intégration entre Oracle Access Governance et SAP Ariba. Cette configuration fournit à Oracle Access Governance les détails de connexion sur le chargement des données et la gestion des autorisations pour ce système orchestré.

Vous pouvez éventuellement configurer d'autres éléments du système orchestré avant d'exécuter le chargement de données initial, notamment :

Charger des données

Après avoir configuré et vérifié votre système orchestré, vous pouvez ingérer les détails du compte à partir de SAP Ariba, à l'aide du mode de configuration Système géré. Cela indique que les comptes et les groupes SAP Ariba sont ingérés dans Oracle Access Governance et peuvent être gérés par Oracle Access Governance.

Les utilisateurs de SAP Ariba sont ingérés en tant que comptes et les groupes SAP Ariba sont ingérés en tant qu'autorisations dans Oracle Access Governance.

Account Management for SAP Ariba - Créer, mettre à jour, activer et désactiver un compte

Les moyens suivants vous permettent de créer un compte dans Oracle Access Governance :
  • Ingestion du compte et des autorisations dans le cadre de l'opération de chargement de données à partir de SAP Ariba.
  • Lorsqu'un rôle, une politique ou un ensemble d'accès contenant des groupes SAP Ariba est affecté à une identité. Toute identité active dans Oracle Access Governance peut demander des autorisations à l'aide de la fonctionnalité Demander un nouvel accès en libre-service dans la console Oracle Access Governance. Si vous effectuez une demande d'accès pour un ensemble d'accès ou un rôle, une opération de provisionnement est lancée après approbation.

Voici comment gérer les opérations de compte à l'aide d'Oracle Access Governance

  • Créer un compte : Les nouveaux comptes dans SAP Ariba sont créés dans le cadre de l'affectation de groupe. Si vous demandez des groupes SAP Ariba pour une identité qui n'a pas de compte correspondant dans SAP Ariba, un nouveau compte est créé et les groupes demandés en fonction des valeurs d'ensemble d'accès lui sont affectés. Pour associer de nouveaux comptes et groupes, le système orchestré déclenche les opérations Créer un compte et Ajouter des données enfants.
  • Mettre à jour le compte : Si un compte SAP Ariba est géré par Oracle Access Governance et que le compte correspondant existe déjà dans SAP Ariba, les groupes SAP Ariba pour ce compte sont mis à jour en fonction des valeurs de l'ensemble d'accès. La tâche de provisionnement Mettre à jour le compte est déclenchée avec les actions Supprimer les données enfants et Ajouter des données enfants
  • Activer le compte : Si seules les autorisations sont différentes, le compte reste activé, mais les opérations Ajouter des données enfants ou Supprimer les données enfants sont déclenchées dans le système orchestré pour mettre à jour les autorisations de ce compte.
  • Désactiver le compte : Si toutes les autorisations sont supprimées, les comptes SAP Ariba sont désactivés avec les opérations Mettre à jour le compte et Supprimer les données enfants.

Pour plus de détails, voir Voir le journal d'activité.

Affecter des groupes en tant qu'autorisations

Vous pouvez affecter des groupes en tant qu'autorisations à un compte SAP Ariba à l'aide de la fonctionnalité Demander un nouvel accès d'Oracle Access Governance. Cela vous permet de demander un ensemble d'accès contenant des autorisations équivalentes à des groupes sur le système SAP Ariba.

Lorsque vous demandez un ensemble d'accès, directement ou au moyen d'un rôle ou d'une politique Oracle Access Governance, une opération de provisionnement Ajouter des données enfants est lancée, qui met à jour les groupes de votre instance SAP Ariba avec les autorisations incluses dans l'ensemble d'accès référencé.

Si vous demandez aux groupes SAP Ariba une identité qui n'a pas de compte correspondant dans l'instance SAP Ariba, un nouveau compte est également créé sur l'instance SAP Ariba avec l'opération Créer un compte.

Pour plus de détails sur l'affectation d'autorisations, consultez Demander l'accès. Pour en savoir plus sur les rôles et les politiques, voir Gérer les rôles et Gérer les politiques.

Révoquer des groupes en tant qu'autorisations

Vous pouvez révoquer les autorisations de groupe d'un compte en supprimant l'autorisation du rôle, de la politique ou de l'ensemble d'accès auquel elle est affectée. Dans ce cas, l'affectation d'autorisation est révoquée pour tous les utilisateurs auxquels le rôle, la politique ou l'ensemble d'accès est appliqué.

Une autre façon de supprimer une autorisation consiste à révoquer l'affectation de rôle, de politique ou d'ensemble d'accès à partir d'un compte spécifique. Cette opération serait effectuée à l'aide de l'opération de révocation dans les révisions d'accès.

Si seules les autorisations sont différentes, le compte reste activé, mais les opérations Ajouter des données enfants et/ou Supprimer les données enfants sont déclenchées pour mettre à jour les autorisations pour ce compte. Si toutes les autorisations sont supprimées, les comptes SAP Ariba sont désactivés.

Pour plus de détails sur l'affectation d'autorisations, voir Supprimer un rôle, Supprimer une politique ou Gérer les offres groupées d'accès -> Supprimer une offre groupée d'accès.

Exemple : Cas d'utilisation de jointure pour SAP Ariba

Le système orchestré SAP Ariba est utilisé pour gérer les comptes et les groupes dans l'ensemble du service en nuage SAP Ariba à l'aide d'Oracle Access Governance.

Scénario : Un nouvel employé se joint à votre équipe en tant que gestionnaire de recherche de candidats et l'accès à SAP Ariba doit être provisionné automatiquement avec l'appartenance au groupe appropriée. Dans cet exemple, supposons que vous ayez établi une intégration avec la source faisant autorité, que les données Oracle HCM et Oracle Access Governance soient synchronisées avec ces nouvelles informations sur l'employé. Utilisez Oracle Access Governance pour gérer de façon transparente les comptes et l'appartenance à des groupes à SAP Ariba.
  1. Configurez votre instance SAP Ariba avec Oracle Access Governance à l'aide des étapes définies dans Configurer l'intégration entre Oracle Access Governance et SAP Ariba.
  2. Effectuez un chargement de données pour rapprocher des comptes existants. Le chargement de données complet pour les activités Jour 0 et Chargement de données de consultation pour le Jour N déclencherait l'ingestion de données à partir de SAP Ariba dans Oracle Access Governance.
  3. Configurez les paramètres de votre système orchestré pour ajouter des règles de correspondance, des transformations, des paramètres d'avis, etc. Pour plus de détails, voir Configurer les paramètres des systèmes orchestrés.
  4. Dans la section Contrôles d'accès d'Oracle Access Governance, effectuez les opérations suivantes
    1. Créez un ensemble d'accès pour votre système orchestré SAP Ariba. Sélectionnez les groupes appropriés. Pour plus de détails, voir Créer un ensemble d'accès.
    2. Créez une politique dans Oracle Access Governance et associez l'ensemble d'accès à une collection d'identités, par exemple Sourcing_Managers. Une autre façon consiste à demander l'accès à cet ensemble d'accès à l'aide de la fonctionnalité en libre-service. Pour plus de détails, voir Gérer les politiques et Demander l'accès à une ressource.
  5. Si l'accès est demandé, une fois approuvé, un nouveau compte est créé avec l'appartenance au groupe affectée. Les activités Créer un compte et Ajouter des données enfants seront déclenchées pour prendre en charge le provisionnement de compte dans votre instance SAP Ariba. Si l'opération de provisionnement réussit, le nouveau compte est créé dans votre instance SAP Ariba.