Documentazione dell'infrastruttura Oracle Cloud

Integrazione con Fusion Cloud Applications

Panoramica: integrazione di Oracle Access Governance con Oracle Fusion Cloud Applications

Oracle Access Governance può essere integrato con le applicazioni Oracle Fusion Cloud che consentono l'orchestrazione delle identità, tra cui l'onboarding dei dati delle identità (utenti), delle informazioni sui lavoratori e il provisioning degli account Oracle Human Capital (HCM) e Oracle Enterprise Resource Planning (ERP).

Oracle Fusion Cloud Applications offre funzionalità Enterprise Human Capital Management (HCM) ed Enterprise Resource Planning (ERP). Oracle Access Governance supporta gli elementi riportati di seguito all'interno delle applicazioni Oracle Fusion Cloud.
  • Oracle Fusion Cloud Applications HCM e Oracle Fusion Cloud Applications ERP come origine affidabile di informazioni sull'identità che consentono la riconciliazione dei dipendenti creati o modificati nelle Oracle Fusion Cloud Applications.
  • Oracle Fusion Cloud Applications come sistema gestito che consente il provisioning degli account delle applicazioni HCM ed ERP.

Panoramica di Oracle Fusion Cloud Applications Integration Architecture

L'integrazione di Oracle Fusion Cloud Applications consente di recuperare i dati di identità e di trasferire i dati a Oracle Access Governance. Una volta stabilita una connessione, è possibile eseguire i task di provisioning e correzione visibili nel sistema gestito.

Le applicazioni Oracle Fusion Cloud utilizzano l'API Fusion Apps per accedere alle applicazioni Oracle Fusion Cloud tramite gli endpoint dell'API REST. Ciò consente alle applicazioni Oracle Fusion Cloud di eseguire operazioni di creazione, lettura, aggiornamento ed eliminazione su Oracle Access Governance.
  • Se si seleziona la modalità Origine autorevole, è possibile impostare un sistema orchestrato di Oracle Fusion Cloud Applications, che quindi consente a Oracle Access Governance di recuperare i dati di identità da Oracle Fusion Cloud Applications come origine autorevole (fidata) di informazioni di identità.
  • Se si seleziona la modalità di configurazione dei sistemi gestiti, Oracle Access Governance consente di gestire i record dei profili utente HCM ed ERP in Oracle Fusion Cloud Applications. Ciò consente il provisioning di nuovi account in Oracle Fusion Cloud Applications da Oracle Access Governance.

Panoramica funzionale sull'integrazione di Oracle Fusion Cloud Applications

L'integrazione di Oracle Fusion Cloud Applications supporta sia i moduli Oracle Human Capital (HCM) che Oracle Enterprise Resource Planning (ERP), tra cui la configurazione del sistema orchestrato, la creazione degli account utente, la revoca, la modifica della password e l'assegnazione e la rimozione dei ruoli.

  • Configura sistema orchestrato applicazioni Oracle Fusion Cloud

    Vedere Configura integrazione tra Oracle Access Governance e Oracle Fusion Cloud Applications

  • Confronta attributi identità e account mediante regole di correlazione

    Rivedere o configurare le regole di corrispondenza in modo che corrispondano ai dati di identità e account e creare un profilo di identità composto. Per visualizzare la regola di corrispondenza predefinita per questo sistema orchestrato, vedere Attributi supportati predefiniti.

  • Carica dati

    Includi account e gruppi che possono essere gestiti da Oracle Access Governance. È inoltre possibile configurare caricamenti di dati parziali per le applicazioni Oracle Fusion Cloud. Per ulteriori informazioni, vedere Configura impostazioni di caricamento dati parziale.

  • Creare l'account

    Includere i dati dell'account dal sistema orchestrato, a seconda della modalità di configurazione selezionata, dell'origine autorevole o del sistema gestito oppure richiedere l'accesso per un'identità. Inclusione dei record utente come dati da Oracle Fusion Cloud Applications.

    Oracle Access Governance supporta l'inclusione dal record Persona/Lavoratore o Account utente. La persona rappresenta l'entità HCM di base contenente i dettagli relativi all'impiego, ad esempio numero dipendente, relazioni di lavoro, codice mansione, record persona. L'account utente rappresenta l'identità di sicurezza che concede l'accesso al sistema alle applicazioni Oracle Fusion Cloud. La persona è collegata a un account utente.

  • Aggiorna conto

    Aggiornare i dettagli dell'account mediante l'assegnazione o la rimozione delle autorizzazioni. In questo modo è possibile aggiornare ruoli predefiniti, ruoli applicazione Oracle Fusion Cloud Applications, gruppi OCI e gruppi Oracle Fusion Cloud Applications.

  • Revoca account

    Disabilitare un account (Utenti) associato a un'identità. In questo modo, gli accessi per l'account utente di Oracle Fusion Cloud Applications verranno rimossi.

Assegna autorizzazioni utilizzando il contesto di sicurezza

Gli utenti di Oracle Access Governance possono richiedere l'accesso alle risorse e ai ruoli forniti in Richiedi accesso . È possibile assegnare le autorizzazioni a un account Oracle Fusion Cloud Applications utilizzando la funzionalità Richiedi un nuovo accesso di Oracle Access Governance. Ciò consente di richiedere un bundle accessi contenente autorizzazioni con dettagli di sicurezza ai ruoli nel sistema Oracle Fusion Cloud Applications. Per informazioni dettagliate sulla gestione dei ruoli e dei criteri, vedere Gestisci ruoli e Gestisci criteri.

Oracle Access Governance supporta i seguenti contesti di sicurezza quando è integrata con Oracle Fusion Cloud Applications ERP:
  • Business unit
  • Valore registro cespiti
  • Libri contabili o set di libri contabili
  • Data set di riferimento
  • Set di accesso ai dati
  • Organizzazione inventario
  • Organizzazione interaziendale
  • Organizzazione di costo
  • Stabilimento produzione

Quando si richiede un bundle accessi in Oracle Access Governance per un ruolo, viene avviata un'operazione di provisioning che aggiorna i ruoli nelle applicazioni Oracle Fusion Cloud per i tipi di scenari riportati di seguito.

Creazione dell'autorizzazione mediante il contesto di sicurezza durante la creazione dei criteri

Durante la creazione di un criterio con Oracle Access Governance per i casi d'uso riportati di seguito.
  • Creare un nuovo bundle accessi che disponga dell'autorizzazione con il contesto di sicurezza e che sia già associato alla raccolta di identità per il criterio.
  • Creare un nuovo bundle accessi che disponga dell'autorizzazione con il contesto di sicurezza e che sia già associato alla raccolta di identità per il criterio. Ciò è applicabile in situazioni in cui all'utente è già assegnato il bundle accessi con la stessa autorizzazione, ma con un contesto di sicurezza diverso.

Modifica autorizzazione per la rimozione del contesto di sicurezza

È possibile modificare l'abilitazione delle autorizzazioni utilizzando Oracle Access Governance per i seguenti casi:
  • Modificare il bundle accessi che dispone dell'autorizzazione con contesto di sicurezza per modificare il contesto di sicurezza dall'abilitazione dell'autorizzazione già associata a una raccolta di identità per il criterio associato.
  • Modificare il bundle accessi che dispone dell'autorizzazione con contesto di sicurezza per rimuovere il contesto di sicurezza dall'abilitazione dell'autorizzazione già associata alla raccolta di identità tramite criterio.

Area responsabilità (AOR)

Oracle Access Governance supporta l'area di responsabilità (AOR). È possibile impostare ruoli di sicurezza in Oracle Fusion Cloud Human Capital Management (Fusion HCM) allineando le autorizzazioni di accesso alle responsabilità specifiche di una persona o di un team. Oracle Fusion Cloud Applications consente di assegnare responsabilità alle identità per controllare la visibilità nell'elenco Contatti di lavoro. Oracle Access Governance include AOR come attributo dell'account quando un account utente è collegato a una persona. Impossibile eseguire il provisioning di AOR tramite Oracle Access Governance. L'assegnazione o la riassegnazione viene gestita in Oracle Fusion Cloud Applications.

Agente approvvigionamento (OdA)

Oracle Access Governance supporta il provisioning degli agenti di approvvigionamento (PO Agents) per Oracle Cloud ERP, quando l'account utente di destinazione è collegato alle informazioni sul lavoratore o sulla persona associate. È possibile includere l'accesso dell'agente approvvigionamento in un bundle accessi ed eseguirne il provisioning concedendo all'utente l'autorizzazione business unit approvvigionamento appropriata. Durante la creazione del bundle accessi, selezionare l'autorizzazione con Tipo di autorizzazione concesso = business unit approvvigionamento (non ruolo) per garantire che Oracle Access Governance esegua il provisioning dell'abilitazione agente approvvigionamento prevista.

Quando si aggiorna un account utente o i relativi attributi direttamente in Oracle Access Governance, il caricamento incrementale dei dati acquisisce gli agenti di approvvigionamento associati e mostra tali modifiche in Oracle Access Governance, tuttavia gli aggiornamenti diretti agli agenti di approvvigionamento in Oracle Fusion Cloud Applications non vengono selezionati da Oracle Access Governance.

Analisi SOC (Preventive Segregation of Duties)

Oracle Access Governance ti consente di eseguire un'analisi preventiva della separazione dei compiti (SOD) per i sistemi orchestrati delle Oracle Fusion Cloud Applications durante il processo di provisioning attraverso l'integrazione con Oracle Fusion Cloud Risk Management and Compliance (RMC). La separazione delle mansioni (SOD, Segregation of duties) separa le attività come l'approvazione, la registrazione e l'elaborazione dei task in modo che un'azienda possa prevenire o rilevare più facilmente errori involontari e frodi intenzionali. SOD limita le responsabilità tra i ruoli in modo che le attività non etiche, illegali o dannose siano meno probabili.

Analisi e provisioning della separazione delle mansioni in Oracle Access Governance

Quando si configura un sistema orchestrato di Oracle Fusion Cloud Applications, è possibile abilitare l'integrazione di Oracle Fusion Cloud Risk Management and Compliance (RMC). Oracle Fusion Cloud Risk Management and Compliance (RMC) è una soluzione di sicurezza e audit che controlla l'accesso degli utenti ai dati finanziari di Oracle Cloud ERP, monitora l'attività degli utenti e semplifica il rispetto delle normative di compliance attraverso l'automazione. Una delle funzioni di RCMS è l'uso dei controlli per analizzare l'analisi SOD all'interno del sistema orchestrato di Oracle Fusion Cloud Applications.

Per abilitare Oracle Fusion Cloud Risk Management and Compliance (RMC) all'interno di Oracle Access Governance, è necessario soddisfare i seguenti requisiti:
  1. Configurare un sistema orchestrato di Oracle Fusion Cloud Applications per gestire le autorizzazioni. Vedere Integra con Fusion Cloud Applications e Integra con Fusion Cloud Applications.
  2. L'istanza di Oracle Fusion Cloud Applications con cui si sta eseguendo l'integrazione deve disporre di controlli configurati che definiscano i criteri SOD. Oracle Fusion Cloud Risk Management and Compliance (RMC) fornisce una libreria di controlli pronti all'uso per processi aziendali ad alto rischio, come AP, AR, GL, Payroll e Compensation. Questi controlli possono essere aggiornati per riflettere l'azienda utilizzando il workbench grafico fornito con RMC. Per ulteriori informazioni, consultare la documentazione di Oracle Fusion Cloud Risk Management and Compliance (RMC).

Una volta configurato, Oracle Access Governance utilizza Oracle Fusion Cloud Risk Management and Compliance (RMC) per verificare la presenza di violazioni SOD quando un utente effettua una richiesta di accesso per un bundle accessi. Quando si effettua la richiesta, viene avviata un'attività di analisi SOD preventiva, che può essere monitorata nel log attività. Questa attività eseguirà un controllo su Oracle Fusion Cloud Risk Management and Compliance (RMC) per tutti i controlli che indicano che si è verificata una violazione SOD per l'utente e l'accesso richiesto. Il processo di analisi SOD preventiva viene eseguito in modo asincrono e restituisce i risultati alla richiesta di accesso. Se approvato con violazioni, Oracle Access Governance gestisce il provisioning delle violazioni contrassegnate da SoD passando direttamente a Risk Management Cloud (RMC) decisioni di approvazione, incluse giustificazioni e conferme condizionali.

A questo processo si applicano le regole elencate di seguito.
  • L'analisi SOD preventiva può essere eseguita solo per un utente già creato in Oracle Fusion Cloud Applications ed è disponibile per il motore Oracle Fusion Cloud Risk Management and Compliance (RMC). Una volta eseguito il provisioning di questo utente, tutte le richieste di accesso effettuate dall'utente verranno analizzate da RMC se questa opzione è abilitata. Vedere Controllo dei prerequisiti per la separazione delle mansioni (SoD).
  • È possibile eseguire un solo task Analisi separazione mansioni preventiva per un determinato utente alla volta. Se l'utente crea una seconda richiesta di accesso mentre il task Analisi separazione mansioni preventiva da una richiesta di accesso precedente è ancora in esecuzione, la seconda richiesta RMC non riuscirà. Altri motivi per cui il task Analisi separazione mansioni preventiva potrebbe non riuscire includono RMC non disponibile e nessun account utente in Oracle Fusion Cloud Applications.
  • L'analisi SOD preventiva è supportata per le richieste di bundle accessi. Le richieste di accesso per i ruoli di Oracle Access Governance non sono supportate per l'analisi SOD.

Esempio: separazione preventiva delle mansioni in Oracle Access Governance

Vediamo un esempio di separazione preventiva delle mansioni in Oracle Access Governance in azione. Si consideri l'esempio in cui un utente dell'organizzazione viene promosso da Analista AR a Manager AR. Per eseguire le nuove mansioni, l'utente richiede l'accesso al bundle accessi di AR Manager in Oracle Access Governance.

Quando viene effettuata la richiesta di accesso, viene eseguito un task Analisi separazione mansioni preventiva per tale utente e RMC identifica alcune violazioni separazione mansioni contrassegnate nella richiesta di accesso. Un esempio di tale violazione potrebbe essere:
  • Le autorizzazioni correnti dell'utente consentono di creare un utente su Oracle Fusion Cloud Applications ERP, mentre il bundle accessi richiesto include Gestisci retribuzione.

Questa combinazione di autorizzazioni ha un potenziale per la frode del ciclo paghe creando dipendenti fantasma e impostando la retribuzione. Questo conflitto è contrassegnato nella richiesta di accesso, in modo che l'approvatore possa rivedere le informazioni nella richiesta ed eseguire il login a RMC per ulteriori informazioni, se necessario. Su questa base, l'approvatore può decidere in modo informato se approvare o rifiutare la richiesta o richiedere ulteriori informazioni alla persona che richiede l'accesso.

Accesso immediato e cessazione anticipata per gli utenti HCM

Oracle Access Governance concede automaticamente il diritto di nascita ai pre-assunti e alle assunzioni, in base alla data di inizio o alla data di adesione.

Per configurare l'accesso con diritto di nascita in Oracle Access Governance, vedere Concessione dell'accesso con diritto di nascita.

Per configurare la cessazione anticipata, vedere Revoca accesso per una cessazione anticipata.

  • Oracle Access Governance imposta l'attributo identità di sistema startDate in base agli attributi HCM che indicano il primo giorno di impiego.
  • Se i dettagli di un dipendente vengono inclusi in Oracle Access Governance con un indirizzo startDate in futuro, Oracle Access Governance imposta lo stato del dipendente su Disabilitato.
  • Quando il valore startDate di un dipendente corrisponde alla data corrente, Oracle Access Governance imposta lo stato del dipendente su Attivo.
  • Quando il valore terminationDate di un dipendente corrisponde alla data corrente, lo stato del dipendente viene impostato su Disabilitato.

    Per la convalida, vedere Convalida configurazione.