Documentazione dell'infrastruttura Oracle Cloud

Configurare l'integrazione tra Oracle Access Governance e SAP Ariba

È possibile stabilire una connessione tra Oracle Access Governance e l'applicazione SaaS SAP Ariba come sistema gestito. Per eseguire la configurazione, utilizzare Sistemi orchestrati in Oracle Access Governance Console.

Requisiti indispensabili

Prima di installare e configurare il sistema orchestrato SAP Ariba, è necessario considerare i prerequisiti e i task riportati di seguito.

Impostazione per la gestione degli account SAP Ariba - Configurazione di un nuovo endpoint in entrata di integrazione in SAP Ariba

Configurare un endpoint in entrata nella soluzione SAP Ariba per abilitare la gestione del provisioning e degli accessi da Oracle Access Governance.

Ruoli richiesti:
  • Membro del gruppo Amministratore clienti o Amministratore integrazione
  • Raggruppa con ruolo Amministratore o Amministratore integrazione
Un endpoint è costituito dall'URL e dalle informazioni di autenticazione che controllano l'accesso all'endpoint. Configurare un endpoint in entrata per l'avvio dell'operazione di provisioning e gestione degli accessi da Oracle Access Governance.
Configurare un nuovo endpoint in entrata di integrazione in SAP Ariba
  1. Connettersi all'istanza SAP Ariba con le credenziali di amministratore.
  2. Nel dashboard Amministratore SAP Ariba, fare clic su Gestisci > Amministrazione.
  3. Espandere l'opzione Integration Manager e selezionare Configurazione endpoint.
  4. Per creare un nuovo endpoint, fare clic su Crea nuovo.
    Viene visualizzata la pagina Configurazione endpoint - Crea endpoint.
  5. Nel campo Nome, immettere un nome per l'endpoint.
  6. Selezionare il tipo In entrata.
  7. Andare alla sezione Autenticazione HTTP per utilizzare l'autenticazione Basic HTTP.
    1. Immettere l'ID utente nel campo Accedi.
    2. Immettere la password nel campo Password.
    È necessario fornire queste informazioni per configurare il sistema orchestrato nella console di Oracle Access Governance.
  8. Fare clic su Salva.

Impostazione per caricamento dati - Abilita un'API dal portale sviluppatori API SAP Ariba

È possibile riconciliare i dati dall'applicazione SAP Ariba a Oracle Access Governance abilitando l'API dell'applicazione.

Ruolo obbligatorio: un utente con il ruolo Amministratore organizzazione richiede l'approvazione per l'accesso all'API.
Una singola applicazione non può accedere a più API. È possibile disporre di una sola applicazione per combinazione di realm/API.

Crea applicazione su SAP Developer API Portal

È possibile saltare l'attività se si dispone già di un'applicazione SAP Ariba.

  1. Accedi al portale per sviluppatori SAP Ariba.
  2. Andare a Gestisci applicazioni, quindi fare clic sul segno più +.
  3. Immettere il nome e la descrizione dell'applicazione.
  4. Fare clic su Sottometti.

    L'applicazione viene creata ed è visibile nella lista Applicazioni. Viene generato anche un identificativo univoco per l'applicazione, Chiave applicazione. È necessario eseguire questa configurazione con Oracle Access Governance

Richiedi accesso API per la tua applicazione

  1. Accedere al portale per sviluppatori SAP Ariba come utente con il ruolo Amministratore organizzazione.
  2. Nel dashboard Amministratore SAP Ariba fare clic su Gestisci > Amministrazione.
  3. Cercare l'applicazione desiderata nell'elenco di applicazioni che si desidera abilitare.
  4. Nella pagina di impostazione dell'applicazione, fare clic su Azioni > Richiedi accesso API.
  5. Completare i seguenti dettagli della candidatura:
    1. Nell'elenco a discesa Nomi API, scegliere il nome API a cui si desidera accedere.
    2. Nel campo Nome realm scegliere la soluzione per la quale si desidera abilitare l'applicazione.
    3. Nel campo AN-ID immettere il numero ANID (Network Identification Number) di Ariba.
    4. Nel tipo di realm selezionare Produzione o Tipo.
    5. Fare clic su Sottometti.

    L'applicazione viene inviata per l'approvazione. L'utente SAP Ariba con il ruolo Amministratore organizzazione può approvare la richiesta di accesso API per l'applicazione.

Generare il segreto OAuth e l'ID e il segreto client codificati Base64 per l'applicazione

Una volta approvata l'applicazione dall'amministratore, è possibile generare le credenziali segrete OAuth per autenticare l'API. Seguire le istruzioni fornite:

  1. Accedere al portale per sviluppatori SAP Ariba come utente con il ruolo Amministratore organizzazione.
  2. Nel dashboard Amministratore SAP Ariba fare clic su Gestisci > Amministrazione.
  3. Cercare l'applicazione desiderata nell'elenco di applicazioni che si desidera abilitare.
  4. Nella pagina di impostazione dell'applicazione, fare clic su Azioni > Genera segreto OAuth.
  5. Nella finestra di conferma, fare clic su Sottometti. Vengono visualizzati il segreto OAuth e il segreto e il client codificati Base64.
  6. Copiare il segreto OAuth e il client e segreto con codifica Base64 e salvarlo in un luogo sicuro.

Sarà necessario eseguire questa operazione per configurare il sistema orchestrato nella console di Oracle Access Governance.

Recupera URL server di autenticazione OAuth

Per stabilire la connessione, è necessario recuperare l'URL del server OAuth per l'applicazione API.

Ruolo obbligatorio: utente con il ruolo Amministratore organizzazione in SAP Ariba Developer Portal.

Per configurare il sistema orchestrato in Oracle Access Governance Console, sarà necessario l'URL del server API API di recupero dati master per sourcing.

  1. Accedere al portale per sviluppatori SAP Ariba come utente con il ruolo Amministratore organizzazione.
  2. Andare alla sezione Scopri e andare a STRATEGIC SOURCING.
  3. Cercare l'API di recupero dati master per sourcing.
  4. Copiare il valore del prefisso URL del server OAuth e aggiungere v2.

    Esempio: https://< URL server OAuth >/v2

Recupera i valori di ID partizione e variante da WSDL

È necessario recuperare la variante e l'ID partizione del realm per gestire il parametro per il data set principale.

  1. Accedere all'applicazione Ariba con le credenziali di amministratore.
  2. Nel dashboard Amministratore Ariba, fare clic su Gestisci e selezionare Amministrazione dall'elenco a discesa.
  3. Espandere Integration Manager e selezionare Configurazione integrazione.
  4. Cercare il servizio Web Importa utenti, Nome task=Importa utente.
  5. Fare clic e aprire il servizio Web Importa utenti.
  6. Fare clic su Visualizza WSDL e cercare vrealm in WSDL.
  7. Se si trova vrealm_1234 in WSDL, è possibile utilizzare vrealm_1234 come Variant e prealm_1234 come partizione.

Configura

Immettere i dettagli di connessione per stabilire una connessione tra SAP Ariba e Oracle Access Governance. A tale scopo, utilizzare la funzionalità dei sistemi orchestrati disponibile in Oracle Access Governance Console.

Passa alla pagina Sistemi orchestrati

Le orchestrazioni delle identità vengono impostate dalla console di Oracle Access Governance. Andare alla pagina Sistemi orchestrati per integrare SAP Ariba con Oracle Access Governance.

Passare alla pagina Sistemi orchestrati di Oracle Access Governance Console, effettuando le operazioni riportate di seguito.
  1. Dall'icona Menu di navigazione del menu di navigazione di Oracle Access Governance selezionare Amministrazione servizi → Sistemi orchestrati.
  2. Selezionare il pulsante Aggiungi un sistema orchestrato per avviare il workflow.

Seleziona il sistema

Nel passo Seleziona sistema del workflow è possibile specificare il tipo di sistema che si desidera integrare.

È possibile cercare il sistema richiesto in base al nome utilizzando il campo Cerca.

  1. Selezionare SAP Ariba.
  2. Fare clic su Avanti.

Inserisci dettagli

Nel passo Immetti dettagli, assegnare un nome significativo al sistema orchestrato, aggiungere una descrizione di supporto e determinare se è possibile utilizzare questo sistema come origine affidabile o per la gestione delle autorizzazioni. Per SAP Ariba, è possibile utilizzare Oracle Access Governance per gestire le autorizzazioni per gli account di identità.

Nel passo Inserisci dettagli del flusso di lavoro, immettere i dettagli per il sistema orchestrato:
  1. Inserire il nome del sistema a cui si desidera eseguire la connessione nel campo Chiamare il sistema.
  2. Inserire una descrizione per il sistema nel campo Come si desidera descrivere il sistema?.
    Nota

    Nella pagina viene visualizzato un messaggio che indica che Oracle Access Governance è in grado di gestire le autorizzazioni per questo sistema, abilitando il provisioning degli account.
  3. Fare clic su Avanti.

Aggiungi proprietari

In questo passo aggiungere proprietari principali e aggiuntivi per il sistema orchestrato.

È possibile associare la proprietà delle risorse aggiungendo proprietari principali e aggiuntivi. Il servizio self-service consente ai proprietari di gestire (leggere, aggiornare o eliminare) le risorse di cui sono proprietari. Per impostazione predefinita, l'autore della risorsa viene designato come proprietario della risorsa. È possibile assegnare un proprietario principale e fino a 20 proprietari aggiuntivi per le risorse.
Nota

Quando si imposta il primo sistema orchestrato per l'istanza del servizio, è possibile assegnare i proprietari solo dopo aver abilitato le identità dalla sezione Gestisci identità.
Per aggiungere proprietari:
  1. Selezionare un utente attivo di Oracle Access Governance come proprietario principale nel campo Chi è il proprietario principale?.
  2. Selezionare uno o più proprietari aggiuntivi nell'elenco Chi altro lo possiede?. È possibile aggiungere fino a 20 proprietari aggiuntivi per la risorsa.
È possibile visualizzare il proprietario principale nell'elenco. Tutti i proprietari possono visualizzare e gestire le risorse di cui sono proprietari.

Impostazioni account

Nel passo Impostazioni account del workflow, immettere la modalità di gestione degli account da parte di Oracle Access Governance quando il sistema è configurato come sistema gestito.
  1. Quando viene richiesta un'autorizzazione e l'account non esiste già, selezionare questa opzione per creare nuovi account. Questa opzione è selezionata per impostazione predefinita. Quando questa opzione è selezionata, Oracle Access Governance crea un account se non ne esiste uno quando viene richiesta un'autorizzazione. Se si deseleziona questa opzione, viene eseguito il provisioning delle autorizzazioni solo per gli account esistenti nel sistema orchestrato. Se non esiste alcun account, l'operazione di provisioning non riesce.
  2. Selezionare i destinatari dei messaggi di posta elettronica di notifica quando viene creato un account. Il destinatario predefinito è Utente. Se non viene selezionato alcun destinatario, le notifiche non vengono inviate quando vengono creati gli account.
    • Utente
    • Responsabile utenti
  3. Configura account esistenti
    Nota

    È possibile impostare queste configurazioni solo se consentito dall'amministratore di sistema. Quando le impostazioni di cessazione dell'account globale sono abilitate, gli amministratori dell'applicazione non possono gestire le impostazioni di cessazione dell'account a livello di sistema orchestrato.
    1. Selezionare le azioni da eseguire con i conti all'inizio della cessazione anticipata: scegliere l'azione da eseguire all'inizio di una cessazione anticipata. Ciò si verifica quando è necessario revocare gli accessi di identità prima della data di cessazione ufficiale.
      • Elimina: elimina tutti gli account e le autorizzazioni gestiti da Oracle Access Governance.
        Nota

        Se un sistema orchestrato specifico non supporta l'azione, non viene eseguita alcuna azione.
      • Disabilita: disabilita tutti gli account e disabilita le autorizzazioni gestite da Oracle Access Governance.
        • Eliminare le autorizzazioni per gli account disabilitati: per garantire zero accessi residui, selezionare questa opzione per eliminare le autorizzazioni assegnate direttamente e le autorizzazioni concesse dai criteri durante la disabilitazione dell'account.
      • Nessuna azione: non viene eseguita alcuna azione quando un'identità viene contrassegnata per l'interruzione anticipata da Oracle Access Governance.
    2. Selezionare le azioni da eseguire con i conti alla data di cessazione: selezionare l'azione da eseguire durante la cessazione ufficiale. Ciò si verifica quando è necessario revocare gli accessi di identità alla data di cessazione ufficiale.
      • Elimina: elimina tutti gli account e le autorizzazioni gestiti da Oracle Access Governance.
        Nota

        Se un sistema orchestrato specifico non supporta l'azione Elimina, non viene eseguita alcuna azione.
      • Disabilita: disabilita tutti gli account e disabilita le autorizzazioni gestite da Oracle Access Governance.
        • Eliminare le autorizzazioni per gli account disabilitati: per garantire zero accessi residui, selezionare questa opzione per eliminare le autorizzazioni assegnate direttamente e le autorizzazioni concesse dai criteri durante la disabilitazione dell'account.
        Nota

        Se un sistema orchestrato specifico non supporta l'azione Disabilita, l'account viene eliminato.
      • Nessuna azione: Oracle Access Governance non esegue alcuna azione sugli account e sulle autorizzazioni.
  4. Quando un'identità lascia l'azienda, è necessario rimuovere l'accesso ai propri account.
    Nota

    È possibile impostare queste configurazioni solo se consentito dall'amministratore di sistema. Quando le impostazioni di cessazione dell'account globale sono abilitate, gli amministratori dell'applicazione non possono gestire le impostazioni di cessazione dell'account a livello di sistema orchestrato.

    Selezionare una delle azioni seguenti per l'account:

    • Elimina: consente di eliminare tutti gli account e le autorizzazioni gestiti da Oracle Access Governance.
    • Disabilita: disabilita tutti gli account e contrassegna le autorizzazioni come inattive.
      • Eliminare le autorizzazioni per gli account disabilitati: eliminare le autorizzazioni assegnate direttamente e concesse dai criteri durante la disabilitazione dell'account per garantire zero accessi residui.
    • Nessuna azione: non eseguire alcuna azione quando un'identità lascia l'organizzazione.
    Nota

    Queste azioni sono disponibili solo se supportate dal tipo di sistema orchestrato. Ad esempio, se Elimina non è supportato, verranno visualizzate solo le opzioni Disabilita e Nessuna azione.
  5. Quando vengono rimosse tutte le autorizzazioni per un account, ad esempio quando un'identità si sposta tra i reparti, potrebbe essere necessario decidere cosa fare con l'account. Selezionare una delle seguenti azioni, se supportata dal tipo di sistema orchestrato:
    • Elimina
    • Disabilita
    • Nessuna azione
  6. Gestisci account non creati da Access Governance: selezionare questa opzione per gestire gli account creati direttamente nel sistema orchestrato. Ciò consente di riconciliare i conti esistenti e di gestirli da Oracle Access Governance.
Nota

Se non si configura il sistema come sistema gestito, questo passo del workflow verrà visualizzato ma non è abilitato. In questo caso si passa direttamente al passo Impostazioni di integrazione del workflow.
Nota

Se il sistema orchestrato richiede la ricerca automatica dinamica degli schemi, come per le integrazioni delle tabelle applicazioni REST e di database generiche, è possibile impostare solo la destinazione e-mail di notifica (Utente, Usermanager) durante la creazione del sistema orchestrato. Impossibile impostare le regole di disabilitazione/eliminazione per movers e leavers. A tale scopo, è necessario creare il sistema orchestrato, quindi aggiornare le impostazioni dell'account come descritto in Configura impostazioni account di sistema orchestrato.

Per questo sistema orchestrato, gli account di identità possono essere disabilitati solo e non eliminati. Quindi, le scelte da selezionare per mover e leaver case saranno disattivate.

Impostazioni di integrazione

Nel passo Impostazioni di integrazione del workflow, immettere i dettagli di configurazione necessari per consentire a Oracle Access Governance di connettersi a SAP Ariba.

Compilare le informazioni di configurazione come descritto nella tabella riportata di seguito, quindi fare clic su Aggiungi.

Dettagli integrazione
Campo Descrizione Esempio Di riferimento
Qual è il nome del realm che ospita SAP Ariba? Immettere il nome univoco del realm per la soluzione. In genere, è possibile trovarlo nell'URL nel formato s1.ariba.com/sourcing/Main/xxxxxrealm=MyRealm-T MyRealm-T Come determinare il nome del realm
Qual è la Chiave API da utilizzare per il caricamento dati? Immettere la chiave applicazione API univoca per l'applicazione creata 123abc12345ABXX
Descrizione dell'ID client OAuth Immettere l'ID client per l'applicazione API. Queste informazioni sono visibili quando si generano le credenziali OAuth per l'applicazione. 123ABC12345acxx Genera credenziali OAuth
Cos'è il segreto client OAuth? Immettere il segreto client per l'applicazione API. Queste informazioni sono visibili quando si generano le credenziali OAuth per l'applicazione. 123ABC12345aTT Genera credenziali OAuth
Qual è l'URL del server di autenticazione per convalidare il client? Immettere l'URL del server OAuth e aggiungere v2 https://< OAuth Server URL >/v2 Recupera URL server di autenticazione OAuth
Descrizione del nome utente Immettere l'ID utente per l'autenticazione Basic HTTP ag24sapariba Impostazione per la gestione degli account SAP Ariba - Configurazione di un nuovo endpoint in entrata di integrazione in SAP Ariba
Cos'è la password? Immettere la password per l'autenticazione di base HTTP ag24sapariba Impostazione per la gestione degli account SAP Ariba - Configurazione di un nuovo endpoint in entrata di integrazione in SAP Ariba
Conferma password Immettere nuovamente la password per confermarla. ag24sapariba Impostazione per la gestione degli account SAP Ariba - Configurazione di un nuovo endpoint in entrata di integrazione in SAP Ariba
Qual è il nome univoco della partizione della tenancy? Immettere il nome di partizione univoco per il realm prealm_1234 Recupera i valori di ID partizione e variante da WSDL
Qual è il nome univoco della variante della tenancy? Immettere il nome variante univoco per il realm. vrealm_1234 Recupera i valori di ID partizione e variante da WSDL

Termina

Rivedere e configurare l'impostazione della configurazione. È possibile scegliere se configurare ulteriormente il sistema orchestrato prima di eseguire un caricamento dati oppure accettare la configurazione predefinita e avviare un caricamento dati.

Selezioni una sola opzione tra:
  • Personalizzare prima di abilitare il sistema per i caricamenti dati
  • Attivare e preparare il caricamento dati con le impostazioni predefinite fornite

Postconfigurazione

Non sono presenti passi successivi alla configurazione associati al sistema SAP Ariba.