Documentation Oracle Cloud Infrastructure

Intégration aux applications Fusion Cloud

Présentation : Intégrer Oracle Access Governance à Oracle Fusion Cloud Applications

Oracle Access Governance peut être intégré à Oracle Fusion Cloud Applications, ce qui permet l'orchestration des identités, y compris l'intégration des données d'identité (utilisateur), des informations sur les collaborateurs et le provisionnement des comptes Oracle Human Capital (HCM) et Oracle Enterprise Resource Planning (ERP).

Oracle Fusion Cloud Applications fournit des fonctionnalités d'entreprise de gestion du capital humain (HCM) et de planification des ressources de l'entreprise (ERP). Oracle Access Governance prend en charge les éléments suivants dans Oracle Fusion Cloud Applications :
  • Oracle Fusion Cloud Applications HCM et Oracle Fusion Cloud Applications ERP en tant que source d'informations d'identité faisant autorité (de confiance) permettant le rapprochement des employés créés ou modifiés dans Oracle Fusion Cloud Applications.
  • Applications Oracle Fusion Cloud en tant que système géré permettant le provisionnement des comptes d'application HCM et ERP.

Présentation de l'architecture d'intégration d'Oracle Fusion Cloud Applications

L'intégration d'Oracle Fusion Cloud Applications permet d'extraire les données d'identité et de les transférer vers Oracle Access Governance. Une fois la connexion établie, vous pouvez effectuer des tâches de provisionnement et de résolution qui sont visibles dans le système géré.

Oracle Fusion Cloud Applications fonctionne avec l'API Fusion Apps pour accéder à Oracle Fusion Cloud Applications via les adresses d'API REST. Cela permet à Oracle Fusion Cloud Applications d'effectuer des opérations de création, de lecture, de mise à jour et de suppression sur Oracle Access Governance.
  • Si vous sélectionnez le mode Source faisant autorité, vous pouvez configurer un système orchestré Oracle Fusion Cloud Applications, qui permet ensuite à Oracle Access Governance d'extraire les données d'identité d'Oracle Fusion Cloud Applications en tant que source d'informations d'identité faisant autorité (de confiance).
  • Si vous sélectionnez le mode de configuration Systèmes gérés, Oracle Access Governance vous permet de gérer les enregistrements de profil utilisateur HCM et ERP dans Oracle Fusion Cloud Applications. Cela permet de provisionner de nouveaux comptes dans Oracle Fusion Cloud Applications à partir d'Oracle Access Governance.

Présentation fonctionnelle de l'intégration d'Oracle Fusion Cloud Applications

L'intégration d'Oracle Fusion Cloud Applications prend en charge à la fois les modules Oracle Human Capital (HCM) et Oracle Enterprise Resource Planning (ERP), notamment la configuration du système orchestré, la création de comptes utilisateur, la révocation, la modification de mot de passe, ainsi que l'affectation et la suppression de rôles.

  • Configurer le système orchestré Oracle Fusion Cloud Applications

    Voir Configuration de l'intégration entre Oracle Access Governance et Oracle Fusion Cloud Applications

  • Mettre en correspondance les attributs d'identité et de compte à l'aide de règles de corrélation

    Vérifiez ou configurez des règles de mise en correspondance pour qu'elles correspondent aux données d'identité et de compte, et créez un profil d'identité composite. Pour afficher la règle de correspondance par défaut pour ce système orchestré, reportez-vous à la section Default Supported Attributes.

  • Charger des données

    Assimilez les comptes et les groupes pouvant être gérés par Oracle Access Governance. Vous pouvez également configurer des chargements de données partiels pour Oracle Fusion Cloud Applications. Pour plus d'informations, reportez-vous à Configuration des paramètres de chargement partiel des données.

  • Créer compte

    Assimilez les données de compte à partir de votre système orchestré, selon le mode de configuration que vous avez sélectionné, Source faisant autorité ou Système géré, ou demandez un accès pour une identité. Assimilation des enregistrements utilisateur en tant que données à partir d'Oracle Fusion Cloud Applications.

    Oracle Access Governance prend en charge l'ingestion à partir d'un enregistrement d'acteur/de salarié ou d'un compte utilisateur. La personne représente l'entité HCM principale contenant les détails de l'emploi, tels que le matricule de l'employé, les relations de travail, le code emploi et l'enregistrement de la personne. Le compte utilisateur représente l'identité de sécurité qui accorde l'accès système aux applications Oracle Fusion Cloud. L'acteur est lié à un compte utilisateur.

  • Mettre à jour un compte

    Mettez à jour les détails du compte en affectant ou en supprimant les autorisations. Vous pouvez ainsi mettre à jour les rôles prédéfinis, les rôles d'application Oracle Fusion Cloud Applications, les groupes OCI et les groupes Oracle Fusion Cloud Applications.

  • Révoquer un compte

    Désactiver un compte (utilisateurs) associé à une identité. Les accès au compte utilisateur Oracle Fusion Cloud Applications seront supprimés.

Affecter des autorisations à l'aide du contexte de sécurité

Les utilisateurs Oracle Access Governance peuvent demander l'accès aux ressources et aux rôles fournis dans Demande d'accès. Vous pouvez affecter des droits d'accès à un compte Oracle Fusion Cloud Applications à l'aide de la fonctionnalité Demander un nouvel accès d'Oracle Access Governance. Vous pouvez ainsi demander un groupe d'accès contenant des droits d'accès avec des détails de sécurité pour les rôles du système Oracle Fusion Cloud Applications. Pour plus de détails sur la gestion des rôles et des stratégies, reportez-vous à Gestion des rôles et à Gestion des stratégies.

Oracle Access Governance prend en charge les contextes de sécurité suivants lorsqu'il est intégré à Oracle Fusion Cloud Applications ERP :
  • Unités opérationnelles
  • Valeur du journal des immobilisations
  • Livres ou jeux de livres
  • Ensembles de données de référence
  • Jeux d'accès aux données
  • Organisation logistique
  • Organisation intersociété
  • Organisation de coûts
  • Usine de fabrication

Lorsque vous demandez un groupe d'accès dans Oracle Access Governance pour un rôle, une opération de provisionnement est lancée qui met à jour les rôles dans vos applications Oracle Fusion Cloud pour les types de scénario suivants :

Créer un droit d'accès à l'aide du contexte de sécurité lors de la création d'une stratégie

Lors de la création d'une stratégie avec Oracle Access Governance pour les cas d'emploi suivants :
  • Créez un groupe d'accès disposant de droits d'accès avec un contexte de sécurité et déjà associé à la collecte d'identités pour la stratégie.
  • Créez un groupe d'accès disposant de droits d'accès avec un contexte de sécurité et déjà associé à la collecte d'identités pour la stratégie. Cela s'applique lorsque le groupe d'accès est déjà affecté à l'utilisateur avec les mêmes droits d'accès, mais avec un contexte de sécurité différent.

Modifier l'autorisation de suppression du contexte de sécurité

Vous pouvez modifier les droits d'accès à l'aide d'Oracle Access Governance dans les cas suivants :
  • Modifiez le groupe d'accès disposant d'autorisations avec un contexte de sécurité pour modifier le contexte de sécurité à partir de l'habilitation d'autorisation qui est déjà associée à une collection d'identités pour la stratégie associée.
  • Modifiez le groupe d'accès disposant d'autorisations avec le contexte de sécurité pour enlever le contexte de sécurité de l'habilitation d'autorisation déjà associée à la collecte d'identités via la stratégie.

Domaine de responsabilités (AOR)

Oracle Access Governance prend en charge le domaine de responsabilité (AOR). Vous pouvez définir des rôles de sécurité dans Oracle Fusion Cloud Human Capital Management (Fusion HCM) en alignant les autorisations d'accès sur les responsabilités spécifiques d'une personne ou d'une équipe. Oracle Fusion Cloud Applications permet d'affecter des responsabilités aux identités afin de contrôler la visibilité dans la liste des contacts professionnels. Oracle Access Governance ingère AOR en tant qu'attribut de compte lorsqu'un compte utilisateur est lié à une personne. Vous ne pouvez pas provisionner AOR via Oracle Access Governance, l'affectation/la réaffectation est gérée dans Oracle Fusion Cloud Applications.

Agent d'achat

Oracle Access Governance prend en charge le provisionnement des agents d'achat (agents PO) pour Oracle Cloud ERP, lorsque le compte utilisateur cible est lié aux informations sur les salariés/personnes associées. Vous pouvez inclure l'accès de l'agent d'achat dans un groupe d'accès et le provisionner en accordant à l'utilisateur l'autorisation Unité opérationnelle d'achat appropriée. Lors de la création d'un groupe d'accès, sélectionnez l'autorisation avec Type d'autorisation accordé = Unité opérationnelle d'achat (et non Rôle) pour vous assurer qu'Oracle Access Governance provisionne l'habilitation d'agent d'achat prévue.

Lorsque vous mettez à jour un compte utilisateur ou ses attributs directement dans Oracle Access Governance, le chargement incrémentiel des données capture les agents d'achat associés et affiche ces modifications dans Oracle Access Governance. Toutefois, les mises à jour directes des agents d'achat dans Oracle Fusion Cloud Applications ne sont pas récupérées par Oracle Access Governance.

Analyse de séparation préventive des tâches (SOD)

Oracle Access Governance vous permet d'effectuer une analyse préventive de séparation des tâches (SOD) pour les systèmes orchestrés Oracle Fusion Cloud Applications pendant le processus de provisionnement grâce à l'intégration à Oracle Fusion Cloud Risk Management and Compliance (RMC). La séparation des tâches (SOD) sépare les activités telles que l'approbation, l'enregistrement et le traitement des tâches afin qu'une entreprise puisse plus facilement prévenir ou détecter les erreurs involontaires et la fraude volontaire. La SOD limite les tâches entre les rôles de sorte que les activités contraires à l'éthique, illégales ou dommageables soient moins probables.

Analyse et provisionnement de la séparation des tâches dans Oracle Access Governance

Lorsque vous configurez un système orchestré Oracle Fusion Cloud Applications, vous pouvez activer l'intégration Oracle Fusion Cloud Risk Management and Compliance (RMC). Oracle Fusion Cloud Risk Management and Compliance (RMC) est une solution de sécurité et d'audit qui contrôle l'accès des utilisateurs à vos données financières Oracle Cloud ERP, surveille l'activité des utilisateurs et facilite le respect des réglementations de conformité grâce à l'automatisation. L'une des fonctionnalités de RCMS est l'utilisation de contrôles pour analyser l'analyse SOD dans le système orchestré Oracle Fusion Cloud Applications.

Pour activer Oracle Fusion Cloud Risk Management and Compliance (RMC) dans Oracle Access Governance, vous devez répondre aux exigences suivantes :
  1. Configurer un système orchestré Oracle Fusion Cloud Applications pour gérer les autorisations. Reportez-vous à Intégration à Fusion Cloud Applications et à Intégration à Fusion Cloud Applications.
  2. L'instance Oracle Fusion Cloud Applications avec laquelle vous effectuez l'intégration doit comporter des contrôles configurés qui définissent vos stratégies SOD. Oracle Fusion Cloud Risk Management and Compliance (RMC) fournit une bibliothèque de contrôles prêts à l'emploi pour les processus métier à haut risque, tels que les comptes fournisseurs, les comptes clients, le grand livre, la paie et la rémunération. Ces contrôles peuvent être mis à jour pour refléter votre entreprise à l'aide du pupitre graphique fourni avec RMC. Pour plus d'informations, reportez-vous à la documentation Oracle Fusion Cloud Risk Management and Compliance (RMC).

Une fois configuré, Oracle Access Governance utilise Oracle Fusion Cloud Risk Management and Compliance (RMC) pour vérifier les violations de séparation des tâches lorsqu'un utilisateur effectue une demande d'accès pour un groupe d'accès. Lorsque vous effectuez la demande, une activité d'analyse SOD préventive est démarrée, qui peut être surveillée dans le journal des activités. Cette activité effectue une vérification par rapport à Oracle Fusion Cloud Risk Management and Compliance (RMC) des contrôles indiquant qu'une violation de séparation des tâches a eu lieu pour l'utilisateur et que l'accès a été demandé. Le processus d'analyse SOD préventive s'exécute de manière asynchrone et renvoie les résultats à la demande d'accès. S'il est approuvé avec des violations, Oracle Access Governance gère le provisionnement des violations signalées par SoD en transmettant les décisions d'approbation, y compris les justifications et les accusés de réception conditionnels, directement à Risk Management Cloud (RMC).

Les règles suivantes s'appliquent à ce traitement :
  • L'analyse SOD préventive peut uniquement être exécutée sur un utilisateur qui a déjà été créé dans Oracle Fusion Cloud Applications et qui est disponible pour le moteur Oracle Fusion Cloud Risk Management and Compliance (RMC). Une fois cet utilisateur provisionné, toutes les demandes d'accès effectuées par l'utilisateur seront analysées par RMC si cette option est activée. Reportez-vous à Vérification des conditions préalables à la séparation des tâches (SoD).
  • Une seule tâche d'analyse SOD préventive peut être exécutée pour un utilisateur particulier à la fois. Si votre utilisateur crée une seconde demande d'accès alors que la tâche d'analyse SOD préventive d'une demande d'accès précédente est toujours en cours d'exécution, la seconde demande RMC échouera. Les autres raisons pour lesquelles la tâche d'analyse SOD préventive peut échouer incluent l'indisponibilité de RMC et l'absence de compte utilisateur dans Oracle Fusion Cloud Applications.
  • L'analyse SOD préventive est prise en charge pour les demandes de lots d'accès. Les demandes d'accès pour les rôles Oracle Access Governance ne sont pas prises en charge pour l'analyse SOD.

Exemple : séparation préventive des tâches dans Oracle Access Governance

Examinons un exemple de séparation préventive des tâches dans Oracle Access Governance en action. Prenons l'exemple où un utilisateur de votre organisation est promu de Analyste comptes clients à Responsable comptes clients. Pour effectuer ses nouvelles tâches, l'utilisateur demande l'accès au groupe d'accès AR Manager dans Oracle Access Governance.

Lorsque la demande d'accès est effectuée, une tâche d'analyse SOD préventive est exécutée pour cet utilisateur et RMC identifie certaines violations SOD signalées dans la demande d'accès. Un exemple d'une telle violation peut être :
  • Les droits d'accès actuels de l'utilisateur lui permettent de créer un utilisateur sur Oracle Fusion Cloud Applications ERP, tandis que le groupe d'accès demandé inclut Gérer la rémunération.

Cette combinaison d'autorisations a un potentiel de fraude à la paie en créant des employés fantômes et en définissant la rémunération. Ce conflit est marqué dans la demande d'accès, de sorte que l'approbateur peut vérifier les informations de la demande et se connecter à RMC pour plus d'informations si nécessaire. Sur cette base, l'approbateur peut prendre une décision éclairée sur l'approbation ou le rejet de la demande, ou demander des informations supplémentaires à la personne qui demande l'accès.

Accès Bithright et résiliation anticipée pour les utilisateurs HCM

Oracle Access Governance accorde automatiquement le droit d'aînesse aux pré-embauches et aux embauches, en fonction de la date de début ou de la date d'adhésion.

Pour configurer l'accès droit d'aînesse dans Oracle Access Governance, reportez-vous à Octroi de l'accès droit d'aînesse.

Pour configurer la résiliation anticipée, voir Révoquer l'accès pour une résiliation anticipée.

  • Oracle Access Governance définit l'attribut d'identité système startDate en fonction des attributs HCM qui indiquent le premier jour d'emploi.
  • Si les détails d'un employé sont inclus dans Oracle Access Governance avec un startDate à l'avenir, Oracle Access Governance définit le statut de l'employé sur Désactivé.
  • Lorsque la valeur startDate d'un employé correspond à la date actuelle, Oracle Access Governance définit le statut de l'employé comme Actif.
  • Lorsque la valeur terminationDate d'un employé correspond à la date du jour, le statut de l'employé est défini sur Désactivé.

    Pour plus d'informations sur la validation, reportez-vous à Validation de la configuration.