Documentation Oracle Cloud Infrastructure

Configurer l'intégration entre Oracle Access Governance et Oracle Fusion Cloud Applications

Prérequis

Avant d'installer et de configurer un système orchestré Oracle Fusion Cloud Applications, vous devez tenir compte des tâches et prérequis suivants.

Certification

Vous devez certifier le système Oracle Fusion Cloud Applications pour accéder à Oracle Access Governance. Pour plus d'informations sur les versions prises en charge, voir Composants certifiés.

Activer HCM AtomFeeds pour le chargement partiel des données

Pour activer la modification du chargement incrémentiel des données pour votre système orchestré, activez User Requests HCM Atom Feed dans Oracle Fusion Cloud Applications. Ceci n'est valide que lorsque votre système orchestré est configuré en tant que HCM ou Les deux.

  1. Activez l'option Flux Atom HCM des demandes utilisateur. Reportez-vous à Gestion des flux Atom HCM. La collection de flux atomique suivante est utilisée par Oracle Access Governance
    • newhire
    • empupdate
    • empassignment
    • termination
    • cancelworkrelship
    • workrelshipupdate
    Pour plus de détails, reportez-vous à la rubrique Flux d'employés.
  2. Configurez les paramètres de chargement partiel des données à partir de la console Oracle Access Governance. Reportez-vous à Configuration des paramètres de chargement partiel des données.

Créer des rôles de Données et des Profils de Sécurité FA HCM

Avant de configurer le système orchestré, vous devez configurer un compte de service HCM ou ERP et accorder les autorisations requises pour l'intégration à Oracle Access Governance.

Pour afficher la liste des rôles ou autorisations par défaut, reportez-vous à Octroi de rôles ou d'autorisations par défaut.

Rôles requis :
  • Rôle opérationnel Gestionnaire de la sécurité informatique (ORA_FND_IT_SECURITY_MANAGER_JOB)
  • Spécialiste de l'intégration des systèmes de gestion des ressources humaines (ORA_HRC_HUMAN_CAPITAL_MANAGEMENT_INTEGRATION_SPECIALIST_JOB))
  1. Connectez-vous à Oracle Fusion Cloud Applications.
  2. Accédez à My Enterprise > Configuration et maintenance.
  3. Sélectionnez l'icône Tâches dans la partie droite de la page.
  4. Sélectionnez Rechercher et Gérer les profils de sécurité et de rôle de données.
  5. Recherchez le rôle fonctionnel Human Capital Management Integration Specialist qui n'a aucun profil de sécurité.
  6. Sélectionnez +Create.
    • Entrez le nom du rôle de données. Par exemple, <ServiceAccountName>-DataRole.
    • Sélectionnez le travail Human Capital Management Integration Specialist à hériter.
    • Sélectionnez OK.
  7. Sélectionnez Suivant.
  8. Sur la page Contexte de sécurité, sélectionnez Tout afficher dans la liste des configurations de profil de sécurité.
  9. Sélectionnez Suivant pour vérifier et Soumettre.
  10. Recherchez le rôle de données créé. La colonne Security Profile Assigned (Profil de sécurité affecté) est maintenant sélectionnée.
  11. Sélectionnez Terminé.

Vous devez créer un compte de service et affecter ce rôle de données au compte de service.

Créer un compte de service et accorder des rôles par défaut

Le compte de service doit être utilisé lors de la configuration de la connexion dans le système orchestré. Vous pouvez configurer cet utilisateur de service à l'aide des rôles et autorisations Oracle Fusion Cloud Applications par défaut, ou à l'aide d'un rôle personnalisé.

Créer un compte de service dans Oracle Fusion Cloud Applications

Vous devez disposer du rôle fonctionnel Responsable de la sécurité informatique (ORA_FND_IT_SECURITY_MANAGER_JOB).

  1. Connectez-vous à Oracle Fusion Cloud Applications.
  2. Dans le navigateur, accédez à Outils > Console de sécurité.
  3. Sélectionnez Utilisateurs > Ajouter un compte utilisateur.
  4. Entrez les champs obligatoires pour les informations sur l'utilisateur.
  5. Sélectionnez Sauvegarder et fermer. Assurez-vous que le statut est Actif.
  6. Sélectionnez l'utilisateur, puis Modifier.

Ajouter des rôles au compte de service

  1. Cliquez sur le bouton Ajouter un rôle.
  2. Pour HCM, affectez les rôles par défaut un par un au compte. Reportez-vous à Attribution de rôles ou d'autorisations par défaut
  3. Pour l'ERP, affectez un par un les rôles par défaut au compte. Reportez-vous à Attribution de rôles ou d'autorisations par défaut
    Remarque

    Si vous configurez à la fois HCM et ERP, vous devez affecter tous les rôles par défaut pour HCM et ERP.
    Remarque

    Vous devez ajouter les types de code express requis pour l'administrateur de la sécurité des demandes d'accès. Reportez-vous à Ajouter des types de code express.
  4. Affectez le rôle de données créé dans la tâche précédente. Reportez-vous à Création de rôles de données et de profils de sécurité FA HCM.
  5. Sélectionnez Sauvegarder et fermer.
  6. Rechercher un compte et vérifier que les rôles requis sont affectés.
  7. Connectez-vous pour vérifier la création du nouveau compte de service.

Octroi de droits d'accès à l'aide d'un rôle personnalisé - Principe du moindre privilège

Utilisez des privilèges au lieu des rôles et autorisations Oracle Fusion Cloud Applications par défaut pour configurer un rôle personnalisé pour l'utilisateur de service. Cela est conforme au principe du moindre privilège en configurant uniquement les privilèges détaillés requis par l'utilisateur de service.

Pour créer le rôle personnalisé :
  1. Créez un rôle Oracle Fusion Cloud Applications de catégorie Common - Job Roles.
  2. Ajoutez les privilèges à l'étape des stratégies de sécurité des fonctions. Reportez-vous à la liste Accorder des privilèges.
  3. Ajoutez les privilèges agrégés en tant que rôle à l'étape de hiérarchie des rôles. Reportez-vous à la liste Octroi de privilèges Octroi de privilèges agrégés.
  4. Accordez des stratégies de sécurité des données pour le bon ensemble de données au rôle personnalisé. Si vous n'accordez pas les stratégies de sécurité des données appropriées, certaines données risquent de ne pas être renvoyées. Les appels d'API n'échoueraient pas (200 OK), mais le nombre serait de 0 si les stratégies de sécurité des données étaient omises.
  5. Affectez le rôle personnalisé au compte de service. Voir Ajouter un rôle à un compte de service.

Exécuter le travail Actualiser les données de contrôle d'accès

Vous devez exécuter le travail de données de contrôle d'accès après avoir configuré le compte de service. Ce travail est exécuté toutes les heures, par défaut ou vous pouvez le sélectionner pour l'exécuter manuellement. Pour exécuter le travail, procédez comme suit :
  1. Accédez à OutilsTraitements planifiés.
  2. Recherchez Actualiser les données de contrôle d'accès.
  3. Sélectionnez Planifier un nouveau traitement.
  4. Sélectionnez Actualiser les données de contrôle d'accès comme nom de travail et entrez une description explicite.
  5. Sélectionnez Actualisation complète ou Actualisation incrémentielle, selon les besoins, pour exécuter le travail.
  6. Sélectionnez OK.
  7. Sélectionnez Soumettre. Copiez le numéro de traitement.
  8. Exécutez le processus de synchronisation des utilisateurs et des rôles pour extraire les dernières définitions d'utilisateur et de rôle. Pour plus d'informations, voir Exécuter le processus de synchronisation des utilisateurs et des rôles.

Ajouter des types de code express pour l'administrateur de la sécurité des demandes d'accès

L'autorisation de type de code express suivante doit être accordée pour le type de rôle Administrateur de la sécurité des demandes d'accès

  1. Connectez-vous à Oracle Fusion Cloud Applications.
  2. Accédez à My Enterprise > Configuration et maintenance.
  3. Sélectionnez l'icône Tâches dans la partie droite de la page.
  4. Sélectionnez Rechercher et Gérer les codes express standard.
  5. Ajoutez le nouveau type de recherche FUN_DS_OPTIN_OPTIONS à l'aide de la recherche CodeFUN_DS_GET_BOOKCODE suivante.
  6. Dans la liste Module, sélectionnez Application Core.
  7. Dans la liste Accès REST sécurisé, sélectionnez Authentifié.
  8. Sélectionnez Sauvegarder et fermer.

Vérification de la séparation des tâches de Risk Management Cloud (RMC) (SoD)

Vous pouvez évaluer les autorisations ou les rôles des utilisateurs dans Oracle Fusion Cloud Applications pour vous assurer que l'affectation d'autorisations est valide et n'enfreint pas les vérifications de séparation des tâches.

Effectuez les prérequis et exécutez régulièrement les travaux obligatoires.

Création et liaison de comptes utilisateur

Un compte utilisateur doit être associé à des informations sur le salarié. Vérifiez que, sur la page Console de sécuritéUtilisateurs, un compte lié affiche les informations sur les salariés associés.

Travaux en arrière-plan obligatoires

Dans Oracle Fusion Cloud Applications, après avoir créé ou mis à jour le compte utilisateur, veillez à exécuter les travaux suivants dans l'ordre indiqué :

Vérification de la visibilité des utilisateurs dans Risk Management

Après avoir exécuté les travaux, vérifiez les résultats suivants :

  1. Accédez à Risk Management → Setup and Administration → Global User Configuration.
  2. Recherchez l'utilisateur pour lequel vous souhaitez exécuter la vérification des violations de séparation des tâches.

Configuration de workflow

Vous devez joindre un workflow d'approbation avec un lot d'accès pour traiter les vérifications de violation. Si aucun workflow d'approbation n'est affecté à un groupe d'accès, Oracle Access Governance déclenche la vérification des violations SoD, mais le provisionnement se poursuit immédiatement même s'il existe des violations potentielles. Lorsqu'un workflow d'approbation est joint, Oracle Access Governance met la demande en pause jusqu'à ce que l'analyse SoD soit terminée.

Pour plus d'informations, voir Ségrégation préventive des responsabilités.

Authentifier et autoriser avec OCI OAuth

Utilisez OAuth pour authentifier et autoriser les applications Oracle Fusion Cloud avec Oracle Access Governance.

Prérequis

Les prérequis suivants doivent être respectés pour autoriser Oracle Fusion Cloud Applications à l'aide d'OAuth.
  • Créez un compte de service et accordez les droits d'accès requis pour l'intégration à Oracle Access Governance.
  • Assurez-vous que la configuration est effectuée dans le domaine d'identité où les applications Oracle Fusion Cloud Applications sont hébergées.

Certificats d'accès et clés

Utilisez un certificat émis par une autorité de certification sécurisée au format PEM pour une authentification et une compatibilité sécurisées, ou utilisez le service de certificats OCI pour générer et gérer efficacement les certificats.

  1. Utilisez une autorité de certification sécurisée au format PEM.
  2. Pour extraire un certificat public, assurez-vous que le domaine d'identité est configuré pour émettre et signer des jetons.
    1. Dans Identité et sécurité, sélectionnez Domaines.
    2. Dans l'onglet Paramètres, activez Accéder au certificat de signature.

Importer le certificat en tant que certificat de partenaire sécurisé dans le domaine OCI IAM de l'instance FA

  1. Accédez à Identité et sécurité et sélectionnez Domaines.
  2. Recherchez et sélectionnez le compartiment de l'instance de services Oracle Fusion Cloud Applications, puis sélectionnez le domaine.
  3. Sélectionnez l'onglet Securité.
  4. Accédez à la section Certificats de partenaire de confiance, puis sélectionnez Importer un certificat.
  5. Entrez le même nom d'alias que celui que vous avez fourni lors de la génération de l'alias de certificat du fichier de clés
  6. Importez le fichier .cer.
  7. Sélectionnez Importer.

Résultats : assurez-vous que les détails appropriés sont affichés avec l'empreinte SHA-1, l'empreinte SHA-256, la date de début du certificat et la date de fin du certificat.

Créer une application de type confidentiel intégrée

  1. Accédez à Identité et sécurité et sélectionnez Domaines.
  2. Sélectionnez le domaine requis.
  3. Sélectionnez l'onglet Applications intégrées.
  4. Sélectionnez Ajouter une application.
  5. Sélectionnez la mosaïque Application confidentielle, puis Lancer le workflow.
  6. Sur la page Détails, entrez les informations suivantes :
    1. Entrez le nom et la description de l'application confidentielle.
    2. Sélectionnez Soumettre.

Modifier les configurations OAuth

  1. Sélectionnez l'onglet Configuration OAuth.
  2. Sélectionnez Modifier la configuration OAuth.
  3. Configuration du client : sélectionnez Configurer cette application comme client maintenant.
  4. Activer les types d'octroi : sélectionnez les types d'octroi Informations d'identification client, assertion JWT et Actualiser le jeton.
  5. Sélectionnez Trusted comme option Client type.
  6. Importez le certificat utilisé précédemment.
  7. Sélectionnez Au nom de comme opérations autorisées.
  8. Sélectionnez périmètre réseau pour limiter les tentatives de connexion à des adresses IP ou des plages spécifiques. Sinon, sélectionnez N'importe où.
  9. Sous Stratégie d'émission de jeton, sélectionnez Tout.
  10. Configuration de portée
    1. Activation de l'option Ajouter des ressources
    2. Sélectionnez Ajouter des portées.
    3. Sélectionnez les références d'application Oracle Fusion Cloud Applications.
      Remarque

      Si les portées ne sont pas répertoriées, vérifiez dans l'onglet Services Oracle Cloud si l'instance Oracle Fusion Cloud Applications est inscrite dans ce domaine.
  11. Sélectionnez Soumettre.
  12. Activez l'application : sélectionnez l'icône Actions, puis Activer. Le statut doit passer de Inactif à Actif.

Extraire les détails de l'application OAuth confidentielle pour autorisation

  1. Ouvrez l'application intégrée Confidential OAuth que vous avez créée.
  2. Sélectionnez l'onglet Configuration OAuth.
  3. Sous la section Informations générales, copiez et enregistrez l'ID client et la clé secrète client.
  4. Sous la section Ressources, copiez et enregistrez la portée de l'application.

Création d'un coffre OCI pour stocker les informations d'identification

Oracle Access Governance utilise OCI Vault et le service de gestion des clés secrètes pour stocker des valeurs confidentielles telles que des mots de passe, des clés secrètes client et des clés privées.

Créez un coffre Oracle Cloud Infrastructure (OCI), une clé de cryptage et des clés secrètes pour l'authentification de base ou les informations d'identification OAuth dans lesquelles l'instance Oracle Access Governance est configurée.

Assurez-vous que vous disposez de l'accès requis :
  • Droit d'accès permettant de créer des coffres, des clés et des clés secrètes dans le compartiment cible.
  • Autorisation d'utiliser des clés pour crypter les clés secrètes.
  1. Créer un coffre.
  2. Créez une clé de cryptage lorsque le coffre est actif. Reportez-vous à Création d'une clé de cryptage maîtres.
  3. Dans le menu de navigation , sélectionnez Identité et sécurité, puis Gestion des secrets.
  4. Sélectionnez Créer une clé secrète.
  5. Sélectionnez le compartiment dans lequel créer la clé secrète.
  6. Entrez un nom de clé secrète explicite. Par exemple, agcs-fa-oauth.
  7. Sélectionnez le compartiment Vault et le nom du coffre.
  8. Sélectionnez le compartiment de clé de cryptage.
  9. Dans le champ Clé de cryptage, sélectionnez la clé que vous avez créée.
  10. Sélectionnez Génération manuelle de clés secrètes.
  11. Dans le contenu secret :
    • Si vous devez utiliser l'authentification de base, saisissez :
      {
  "adminUser": "<your-admin-username>",
  "adminPassword": "<your-admin-password>"
}
    • Pour OAuth, effectuez les prérequis OAuth et entrez les détails suivants : 
      {
  "adminUser": "admin@example.com",
  "domainURL": "https://idcs-<tenant>.example.com",
  "clientId": "xxxxxxxxxxxxxxxxxxxxxxxx",
  "clientSecret": "xxxxxxxxxxxxxxxxxxxxxxxx",
  "privateKey": "-----BEGIN PRIVATE KEY-----\nMIIEv...\n-----END PRIVATE KEY-----\n",
  "alias": "my-signing-key",
  "scope": "urn:opc:idm:__myscopes__"
}
      Détails des paramètres
  12. Sélectionnez Créer une clé secrète.
  13. Entrez l'OCID de location et l'OCID de clé secrète dans les paramètres d'intégration. La stratégie IAM requise est ainsi générée sur la console. Pour obtenir des détails sur la clé secrète, reportez-vous à Affichage des détails de la clé secrète.
  14. Copiez les instructions exactes dans le compartiment racine de la location Oracle Access Governance dans laquelle vous avez créé le coffre.

Configurer la connexion entre Oracle Fusion Cloud Applications et Oracle Access Governance

Vous pouvez établir une connexion entre Oracle Fusion Cloud Applications et Oracle Access Governance en saisissant les détails de connexion. Pour ce faire, utilisez la fonctionnalité des systèmes orchestrés disponible dans la console Oracle Access Governance.

Accéder à la page Systèmes orchestrés

La page Systèmes orchestrés de la console Oracle Access Governance permet de démarrer la configuration du système orchestré.

Accédez à la page Systèmes orchestrés de la console Oracle Access Governance en procédant comme suit :
  1. Dans l'icône Menu de navigation du menu de navigation d'Oracle Access Governance, sélectionnez Administration des services → Systèmes orchestrés.
  2. Cliquez sur le bouton Ajouter un système orchestré pour démarrer le workflow.

Sélectionner un système

A l'étape Sélectionner un système du workflow, vous pouvez indiquer le type de système à intégrer à Oracle Access Governance.

Vous pouvez rechercher le système requis par nom à l'aide du champ Rechercher.

  1. Sélectionnez Oracle Fusion Cloud Applications .
  2. Sélectionnez Suivant.

Ajouter des détails

Ajoutez des détails tels que le nom, la description et le mode de configuration.

A l'étape Ajouter des détails du workflow, entrez les détails du système orchestré :
  1. Entrez le nom du système auquel vous souhaitez vous connecter dans le champ Nom.
  2. Entrez une description du système dans le champ Description.
  3. Décidez si ce système orchestré est une source faisant autorité et si Oracle Access Governance peut gérer les droits d'accès en cochant les cases suivantes.
    • Il s'agit de la source faisant autorité pour mes identités

      Sélectionnez l'une des options suivantes :

      • Source d'identités et de leurs attributs : le système agit comme une source d'identités et des attributs associés. De nouvelles identités sont créées via cette option .
      • Source des attributs d'identité uniquement : le système ingère des détails d'attributs d'identité supplémentaires et les applique aux identités existantes. Cette option n'ingère ni ne crée d'enregistrements d'identité.
    • Je veux gérer les droits d'accès pour ce système
    Dans chaque cas, la valeur par défaut est Non sélectionné.
  4. Sélectionnez Suivant.
En outre :
  1. Si vous gérez les droits d'accès avec cette option, une case à cocher supplémentaire apparaît pour les vérifications de ségrégation des responsabilités :
    1. Dans Oracle Fusion Cloud Applications, assurez-vous qu'un compte utilisateur est créé et lié à l'enregistrement de personne du salarié. Un compte lié affiche les informations sur la personne associée dans la console de sécurité sous la page Utilisateurs.
    2. Afin d'activer cette option pour la vérification de la séparation des tâches, sélectionnez Activer l'intégration RMC (Risk Management and Compliance).

Ajouter des propriétaires

Ajoutez des propriétaires principaux et supplémentaires à votre système orchestré pour leur permettre de gérer les ressources.

Vous pouvez associer la propriété des ressources en ajoutant des propriétaires principaux et supplémentaires. Cela entraîne le libre-service car ces propriétaires peuvent ensuite gérer (lire, mettre à jour ou supprimer) les ressources qu'ils possèdent. Par défaut, le créateur de la ressource est désigné comme propriétaire de la ressource. Vous pouvez affecter un propriétaire principal et jusqu'à 20 propriétaires supplémentaires pour les ressources.
Remarque

Lorsque vous configurez le premier système orchestré pour votre instance de service, vous ne pouvez affecter des propriétaires qu'après avoir activé les identités à partir de la section Gérer les identités.
Pour ajouter des propriétaires :
  1. Sélectionnez un utilisateur actif Oracle Access Governance en tant que propriétaire principal dans le champ Qui est le propriétaire principal ?.
  2. Sélectionnez un ou plusieurs propriétaires supplémentaires dans la liste Qui d'autre en est propriétaire ?. Vous pouvez ajouter jusqu'à 20 propriétaires supplémentaires pour la ressource.
Vous pouvez afficher le propriétaire principal dans la liste. Tous les propriétaires peuvent afficher et gérer les ressources qu'ils possèdent.

Paramètres de compte

Décrire les détails de la gestion des paramètres de compte lors de la configuration de votre système orchestré, y compris les paramètres de notification et les actions par défaut lorsqu'une identité déménage ou quitte votre organisation.

A l'étape Paramètres de compte du workflow, indiquez comment Oracle Access Governance doit gérer les comptes lorsque le système est configuré en tant que système géré :
  1. Lorsqu'une autorisation est demandée et que le compte n'existe pas encore, sélectionnez cette option pour créer de nouveaux comptes. Cette option est sélectionnée par défaut. Lorsque cette option est sélectionnée, Oracle Access Governance crée un compte s'il n'en existe pas lorsqu'une autorisation est demandée. Si vous désélectionnez cette option, les droits d'accès ne sont provisionnés que pour les comptes existants dans le système orchestré. Si aucun compte n'existe, l'opération de provisionnement échoue.
  2. Sélectionnez les destinataires des courriels de notification lorsqu'un compte est créé. Le destinataire par défaut est Utilisateur. Si aucun destinataire n'est sélectionné, aucune notification n'est envoyée lors de la création des comptes.
    • Utilisateur
    • Gestionnaire d'utilisateurs
  3. Configurer des comptes existants
    Remarque

    Vous ne pouvez définir ces configurations que si l'administrateur système l'autorise. Lorsque les paramètres globaux de résiliation de compte sont activés, les administrateurs de l'application ne peuvent pas gérer les paramètres de résiliation de compte au niveau du système orchestré.
    1. Sélectionner ce qu'il faut faire avec les comptes lorsqu'une résiliation anticipée commence : choisissez l'action à effectuer lorsqu'une résiliation anticipée commence. Cela se produit lorsque vous devez révoquer les accès à l'identité avant la date de fin officielle.
      • Supprimer : supprime tous les comptes et droits d'accès gérés par Oracle Access Governance.
        Remarque

        Si un système orchestré spécifique ne prend pas en charge l'action, aucune action n'est entreprise.
      • Désactiver : désactive tous les comptes et tous les droits d'accès gérés par Oracle Access Governance.
        • Supprimer les droits d'accès pour les comptes désactivés : pour garantir un accès résiduel nul, sélectionnez cette option pour supprimer les droits d'accès affectés directement et les droits d'accès accordés par une stratégie lors de la désactivation du compte.
      • Aucune action : aucune action n'est entreprise lorsqu'une identité est marquée pour une résiliation anticipée par Oracle Access Governance.
    2. Sélectionner ce qu'il faut faire avec les comptes à la date de fin de contrat : sélectionnez l'action à effectuer lors de la fin de contrat officielle. Cela se produit lorsque vous devez révoquer les accès d'identité à la date de fin de contrat officielle.
      • Supprimer : supprime tous les comptes et droits d'accès gérés par Oracle Access Governance.
        Remarque

        Si un système orchestré spécifique ne prend pas en charge l'action Supprimer, aucune action n'est effectuée.
      • Désactiver : désactive tous les comptes et tous les droits d'accès gérés par Oracle Access Governance.
        • Supprimer les droits d'accès pour les comptes désactivés : pour garantir un accès résiduel nul, sélectionnez cette option pour supprimer les droits d'accès affectés directement et les droits d'accès accordés par une stratégie lors de la désactivation du compte.
        Remarque

        Si un système orchestré spécifique ne prend pas en charge l'action Désactiver, le compte est supprimé.
      • Aucune action : aucune action n'est effectuée sur les comptes et les droits d'accès par Oracle Access Governance.
  4. Lorsqu'une identité quitte votre entreprise, vous devez supprimer l'accès à ses comptes.
    Remarque

    Vous ne pouvez définir ces configurations que si l'administrateur système l'autorise. Lorsque les paramètres globaux de résiliation de compte sont activés, les administrateurs de l'application ne peuvent pas gérer les paramètres de résiliation de compte au niveau du système orchestré.

    Sélectionnez l'une des actions suivantes pour le compte :

    • Supprimer : supprimez tous les comptes et droits d'accès gérés par Oracle Access Governance.
    • Désactiver : désactivez tous les comptes et marquez les autorisations comme inactives.
      • Supprimer les droits d'accès pour les comptes désactivés : supprimer les droits d'accès directement affectés et accordés par une stratégie lors de la désactivation du compte afin de garantir un accès résiduel nul.
    • Aucune action : n'effectuez aucune action lorsqu'une identité quitte l'organisation.
    Remarque

    Ces actions ne sont disponibles que si elles sont prises en charge par le type de système orchestré. Par exemple, si l'option Supprimer n'est pas prise en charge, vous verrez uniquement les options Désactiver et Aucune action.
  5. Lorsque tous les droits d'accès d'un compte sont supprimés, par exemple lorsqu'une identité se déplace d'un service à l'autre, vous devrez peut-être décider quoi faire avec le compte. Sélectionnez l'une des actions suivantes, si elle est prise en charge par le type de système orchestré :
    • Supprimer
    • Désactiver
    • Aucune intervention
  6. Gérer les comptes qui ne sont pas créés par Access Governance : sélectionnez cette option pour gérer les comptes qui sont créés directement dans le système orchestré. Vous pouvez ainsi rapprocher les comptes existants et les gérer à partir d'Oracle Access Governance.
Remarque

Si vous ne configurez pas le système en tant que système géré, cette étape du workflow s'affiche mais n'est pas activée. Dans ce cas, vous passez directement à l'étape Paramètres d'intégration du workflow.
Remarque

Si votre système orchestré nécessite un repérage de schéma dynamique, comme pour les intégrations Generic REST et Database Application Tables, seule la destination de courriel de notification peut être définie (Utilisateur, Usermanager) lors de la création du système orchestré. Vous ne pouvez pas définir les règles de désactivation/suppression pour les déménageurs et les sortants. Pour ce faire, vous devez créer le système orchestré, puis mettre à jour les paramètres de compte comme décrit dans Configurer les paramètres de compte système orchestré.

Paramètres d'intégration

Entrez les détails de la connexion au système Oracle Fusion Cloud Applications.

  1. A l'étape Paramètres d'intégration du workflow, entrez les détails requis pour permettre à Oracle Access Governance de se connecter à votre système Oracle Fusion Cloud Applications.
    Paramètres d'intégration
    Condition préalable Nom du paramètre Description
    Type d'application
    • Les deux : si vous souhaitez intégrer HCM et ERP au sein du même système orchestré
    • Oracle Human Capital Management (HCM)
    • Oracle Enterprise Resource Planning (ERP)
    Mode : source faisant autorité
    • Compte utilisateur
    • Person
    • Sélectionnez Compte utilisateur pour inclure les identités représentant une identité de sécurité et disposant d'un accès système aux applications Oracle Fusion Cloud.
    • Sélectionnez Acteur pour inclure les identités contenant les détails de l'emploi, tels que le numéro d'employé, les relations de travail, le code emploi et l'enregistrement de personne.
    Nom d'hôte des applications Oracle Fusion Cloud Nom d'hôte permettant d'accéder au système Oracle Fusion Cloud Applications. Par exemple, dans votre URL, le nom d'hôte est fa-test.example.com
    https://fa-test.example.com:443/fcsUI/faces/FuseWelcome
    Port Oracle Fusion Cloud Applications Entrez le numéro de port d'écoute du système Oracle Fusion Cloud Applications source. Par exemple, dans l'URL, entrez le port 443
    https://fa-test.example.com:443/fcsUI/faces/FuseWelcome
    Type d'application : Les deux, ERP OAuth : OCI IAM pour l'authentification Cochez la case permettant d'utiliser OCI IAM pour authentifier votre instance Oracle Fusion Cloud Applications. Effectuez les prérequis pour OAuth. Reportez-vous à Authentification avec OCI OAuth.
    Comment voulez-vous donner accès aux informations d'identification ?
      • A partir d'une clé secrète de coffre OCI : (recommandé) sélectionnez cette option pour utiliser OCI Vault afin de gérer et de stocker les informations d'identification.
      • Informations d'identification reçues et stockées dans Access Governance : sélectionnez cette option pour stocker les informations d'identification dans Oracle Access Governance.
    Coffre OCI Quel est l'OCID de location OCI hébergeant la clé secrète de coffre ? Entrez l'OCID de location dans lequel vous avez créé le coffre. Reportez-vous à Configuration d'OCI Vault pour les informations d'identification.
    Coffre OCI Quel est l'OCID de clé secrète pour les informations d'identification d'accès ? Entrez l'OCID de clé secrète OCI dans lequel vous disposez d'informations d'identification stockées. Reportez-vous à Configuration d'OCI Vault pour les informations d'identification.

    Remarque : vous devez ajouter les stratégies IAM affichées dans le compartiment racine de la location dans laquelle le coffre est créé.
    • Type d'application : Both and HCM
    • Mode : système géré
    		 Domaines de responsabilités Sélectionnez ces domaines de responsabilité pour inclure AOR en tant qu'attribut de compte lorsqu'un compte utilisateur est lié à une personne. AOR dans Oracle Fusion Cloud Applications définit la portée de l'accès fonctionnel d'un utilisateur.
    Type d'application : Les deux, ERP Voulez-vous gérer l'agent d'achat à partir d'Access Governance ? Sélectionnez cette option pour gérer le provisionnement des agents d'achat à l'aide des packages d'accès. Dans le champ Groupe d'accès, sélectionnez un agent d'achat dont le type d'autorisation accordé est Unité opérationnelle d'achat, puis sélectionnez les attributs de cette unité opérationnelle d'achat. Reportez-vous à Intégration à Fusion Cloud Applications.

    Remarque : l'utilisateur doit être enregistré en tant qu'employé et doit être associé à des informations sur le salarié. L'utilisateur doit disposer d'un rôle de sécurité prédéfini actif pour créer l'agent PO. Voir Rôles prédéfinis pour Procurement.
    • Type d'application : Both and HCM
    • Mode : source faisant autorité
    		 Voulez-vous charger des objets de recherche supplémentaires ? Entrez le nom de l'objet de recherche pour charger des attributs supplémentaires. Par exemple, entrez job.

    Actuellement, vous pouvez charger des attributs supplémentaires pour les objets de recherche job et location. Utilisez la transformation en entrée pour utiliser ces attributs système. Reportez-vous à Prise en charge des objets de consultation.
  2. Sélectionnez Tester l'intégration pour valider votre configuration.
  3. Sélectionnez Ajouter pour créer le système orchestré.

Terminer

Terminez la configuration de votre système orchestré en fournissant des détails sur l'opportunité d'effectuer une personnalisation supplémentaire ou d'activer et d'exécuter un chargement de données.

La dernière étape du workflow est Terminer.

Vous pouvez choisir de configurer davantage votre système orchestré avant d'exécuter un chargement de données, ou d'accepter la configuration par défaut et de lancer un chargement de données. Sélectionnez l'une des options suivantes :
  • Effectuer une personnalisation avant d'activer le système pour les chargements de données
  • Activer et préparer le chargement de données avec les valeurs par défaut fournies

Migrer les informations d'identification des applications Oracle Fusion Cloud vers OCI Vault

Si vous disposez d'un système orchestré existant, nous vous recommandons d'utiliser OCI Vault et Secret Management pour stocker et gérer les informations d'identification Oracle Fusion Cloud Applications.

  1. Accédez à la page Paramètres d'intégration en suivant les instructions fournies dans Configurer les paramètres d'intégration du système orchestré.
  2. Sur la page Paramètres d'intégration, un avertissement d'abandon apparaît. Sélectionnez le bouton En savoir plus sur la migration.
  3. Renseignez les prérequis nécessaires. Reportez-vous à Configuration OCI Vault.
  4. Une fois vos stratégies appliquées, cliquez sur le bouton Tester l'intégration pour vérifier la connexion. Si vous avez des erreurs ou des messages, vérifiez votre configuration. Vous ne pourrez pas terminer la migration tant que le test n'aura pas abouti.
  5. Si votre connexion est confirmée, cliquez sur le bouton Migrer pour démarrer la migration.
  6. Une fois la migration terminée, un message vous confirme que l'intégration utilise désormais la méthode de stockage OCI Vault.

Post-configuration

Aucune étape de postinstallation n'est associée à un système Oracle Fusion Cloud Applications.