Documentation Oracle Cloud Infrastructure

Intégrer Oracle Access Governance avec SAP Ariba

Oracle Access Governance permet une intégration transparente basée sur des API avec SAP Ariba pour l'orchestration des identités, l'automatisation de l'intégration des comptes et des groupes, le provisionnement et le rapprochement des comptes. Oracle Access Governance prend en charge la gestion des comptes et des groupes pour les comptes SAP Ariba en tant que système géré.

SAP Ariba est un service cloud complet de gestion des achats et des dépenses qui aide les entreprises à rationaliser et à optimiser leurs processus d'achat, de l'approvisionnement au paiement. Avec cette intégration, vous pouvez créer, mettre à jour, activer et désactiver des comptes d'identité. Vous pouvez affecter ou révoquer des groupes pour les comptes à partir d'Oracle Access Governance.

Présentation : Système orchestré SAP Ariba

Vous pouvez établir une connexion entre SAP Ariba et Oracle Access Governance en saisissant les détails de connexion et en configurant le système orchestré. Pour ce faire, utilisez la fonctionnalité Systèmes orchestrés disponible dans la console Oracle Access Governance.

Présentation de l'architecture d'intégration SAP Ariba

Vous pouvez effectuer un chargement complet et incrémentiel des données pour les identités dans SAP Ariba. Une fois la connexion établie, vous pouvez effectuer des tâches de provisionnement et de résolution pour les comptes utilisateur et les groupes.

L'intégration SAP Ariba s'appuie sur deux API SAP Ariba pour le provisionnement et le chargement complet et/ou incrémentiel des données.
  • Utilisez l'API SOAP Importer les utilisateurs SAP Ariba pour créer, mettre à jour, activer et désactiver des comptes dans des organisations fournisseur ou client existantes pour les solutions SAP Ariba Strategic Sourcing. Vous pouvez affecter et/ou révoquer des identités à partir des groupes SAP Ariba à partir d'Oracle Access Governance.
  • Utilisez l'API REST API d'extraction des données principales pour Sourcing SAP Ariba pour lire les données et effectuer un chargement complet ou incrémentiel des données dans Oracle Access Governance.

Présentation fonctionnelle : Cas d'utilisation pris en charge pour l'intégration SAP Ariba

L'intégration SAP Ariba prend en charge la gestion des comptes et des groupes pour les comptes SAP Ariba. Le système orchestré SAP Ariba prend en charge la gestion des comptes pour les modèles Identité cloud, Identité synchronisée et Identité fédérée de SAP Ariba.

Configuration du système orchestré SAP Ariba

Tout d'abord, configurez et configurez le système orchestré SAP Ariba. Pour plus de détails, reportez-vous à Configuration de l'intégration entre Oracle Access Governance et SAP Ariba. Cette configuration fournit à Oracle Access Governance les détails de connexion sur le chargement des données et la gestion des droits d'accès pour ce système orchestré.

Vous pouvez éventuellement configurer d'autres éléments du système orchestré avant d'exécuter le chargement initial des données, notamment :

Charger des données

Après avoir configuré et vérifié votre système orchestré, vous pouvez inclure les détails de compte à partir de SAP Ariba, en utilisant le mode de configuration Système géré. Cela indique que les comptes et groupes SAP Ariba sont inclus dans Oracle Access Governance et peuvent être gérés par Oracle Access Governance.

Les utilisateurs de SAP Ariba sont assimilés en tant que comptes et les groupes SAP Ariba en tant que droits d'accès dans Oracle Access Governance.

Gestion des comptes pour SAP Ariba - Créer, mettre à jour, activer et désactiver un compte

Les méthodes suivantes vous permettent de créer un compte dans Oracle Access Governance :
  • Assimilation du compte et des droits d'accès dans le cadre de l'opération de chargement de données à partir de SAP Ariba.
  • Lorsqu'un rôle, une stratégie ou un groupe d'accès contenant des groupes SAP Ariba est affecté à une identité. Toute identité active dans Oracle Access Governance peut demander des droits d'accès à l'aide de la fonctionnalité en libre-service Demander un nouvel accès dans la console Oracle Access Governance. Si vous effectuez une demande d'accès pour un groupe d'accès ou un rôle, une opération de provisionnement est lancée après approbation.

Voici comment gérer les opérations de compte à l'aide d'Oracle Access Governance

  • Créer un compte : de nouveaux comptes dans SAP Ariba sont créés dans le cadre de l'affectation de groupe. Si vous demandez des groupes SAP Ariba pour une identité qui n'a pas de compte correspondant dans SAP Ariba, un nouveau compte est créé et les groupes demandés en fonction des valeurs du groupe d'accès lui sont affectés. Pour associer de nouveaux comptes et groupes, le système orchestré déclenche les opérations Créer un compte et Ajouter des données enfant.
  • Mettre à jour le compte : si un compte SAP Ariba est géré par Oracle Access Governance et que le compte correspondant existe déjà dans SAP Ariba, les groupes SAP Ariba pour ce compte sont mis à jour en fonction des valeurs du groupe d'accès. La tâche de provisionnement Mettre à jour le compte est déclenchée avec Enlever les données enfant et Ajouter des données enfant
  • Activer le compte : si seuls les droits d'accès sont différents, le compte reste activé, mais les opérations Ajouter des données enfant et/ou Enlever des données enfant sont déclenchées dans le système orchestré pour mettre à jour les droits d'accès pour ce compte.
  • Désactiver le compte : si tous les droits d'accès sont supprimés, les comptes SAP Ariba sont désactivés avec les opérations Mettre à jour le compte et Enlever les données enfant.

Pour plus d'informations, voir Afficher le journal d'activité.

Affecter des groupes comme autorisations

Vous pouvez affecter des groupes en tant que droits d'accès à un compte SAP Ariba à l'aide de la fonctionnalité Demander un nouvel accès d'Oracle Access Governance. Cela vous permet de demander un groupe d'accès contenant des autorisations équivalant à des groupes sur le système SAP Ariba.

Lorsque vous demandez un groupe d'accès, directement ou via une stratégie ou un rôle Oracle Access Governance, une opération de provisionnement, Ajouter des données enfant, est lancée. Elle met à jour les groupes de votre instance SAP Ariba avec les droits d'accès inclus dans le groupe d'accès référencé.

Si vous demandez des groupes SAP Ariba pour une identité qui n'a pas de compte correspondant dans l'instance SAP Ariba, un compte est également créé sur l'instance SAP Ariba avec l'opération Créer un compte.

Pour plus d'informations sur l'affectation d'autorisations, reportez-vous à la section Request Access. Pour en savoir plus sur les rôles et les stratégies, reportez-vous à Gestion des rôles et à Gestion des stratégies.

Révoquer les groupes en tant qu'autorisations

Vous pouvez révoquer les droits d'accès de groupe d'un compte en supprimant le droit d'accès du rôle, de la stratégie ou du groupe d'accès auquel il est affecté. Dans ce cas, l'affectation d'autorisation est révoquée pour tous les utilisateurs auxquels le rôle, la stratégie ou le groupe d'accès est appliqué.

Une autre façon de supprimer une autorisation consiste à révoquer l'affectation d'un rôle, d'une stratégie ou d'un groupe d'accès à un compte spécifique. Pour ce faire, utilisez l'opération de révocation dans les révisions d'accès.

Si seuls les droits d'accès sont différents, le compte reste activé, mais les opérations Ajouter des données enfant et/ou Enlever des données enfant sont déclenchées pour mettre à jour les droits d'accès pour ce compte. Si toutes les autorisations sont supprimées, les comptes SAP Ariba sont désactivés.

Pour plus d'informations sur l'affectation d'autorisations, voir Supprimer un rôle, Supprimer une stratégie ou Gérer les groupes d'accès -> Supprimer un groupe d'accès.

Exemple : cas d'utilisation de l'opérateur de jointure pour SAP Ariba

Le système orchestré SAP Ariba est utilisé pour gérer les comptes et les groupes dans le service cloud SAP Ariba à l'aide d'Oracle Access Governance.

Scénario : un nouvel employé rejoint votre équipe en tant que responsable de l'approvisionnement et l'accès à SAP Ariba doit être provisionné automatiquement avec l'appartenance appropriée au groupe. Dans cet exemple, supposons que vous avez établi une intégration avec la source faisant autorité, qu'Oracle HCM et les données Oracle Access Governance sont synchronisées avec ces nouvelles informations sur les employés. Utilisez Oracle Access Governance pour gérer facilement les comptes et l'appartenance à un groupe à SAP Ariba.
  1. Configurez votre instance SAP Ariba avec Oracle Access Governance en suivant les étapes définies dans Configuration de l'intégration entre Oracle Access Governance et SAP Ariba.
  2. Effectuez le chargement des données pour rapprocher les comptes existants. Le chargement complet des données pour le jour 0 et le chargement des données de recherche pour les activités du jour N déclenchent l'inclusion de données de SAP Ariba dans Oracle Access Governance.
  3. Configurez les paramètres système orchestrés pour ajouter des règles de correspondance, des transformations, des paramètres de notification, etc. Pour plus d'informations, reportez-vous à Configuration des paramètres pour les systèmes orchestrés.
  4. Dans la section Contrôles d'accès d'Oracle Access Governance, effectuez les opérations suivantes :
    1. Créez un groupe d'accès pour votre système orchestré SAP Ariba. Sélectionnez les groupes appropriés. Pour plus d'informations, reportez-vous à Création d'un package d'accès.
    2. Créez une stratégie dans Oracle Access Governance et associez le groupe d'accès à une collection d'identités, par exemple Sourcing_Managers. Une autre méthode consiste à demander l'accès à ce lot d'accès à l'aide de la fonctionnalité en libre-service. Pour plus de détails, reportez-vous à Gestion des stratégies et à Demande d'accès à une ressource.
  5. Si l'accès est demandé, une fois approuvé, un nouveau compte est créé avec une appartenance au groupe affectée. Les activités Créer un compte et Ajouter des données enfant sont déclenchées pour prendre en charge le provisionnement de compte pour votre instance SAP Ariba. Si l'opération de provisionnement réussit, le compte est créé dans votre instance SAP Ariba.