Documentazione dell'infrastruttura Oracle Cloud

Integra Oracle Access Governance con SAP Ariba

Oracle Access Governance consente un'integrazione perfetta basata su API con SAP Ariba per abilitare l'orchestrazione delle identità, automatizzare l'onboarding di account e gruppi, il provisioning e la riconciliazione degli account. Oracle Access Governance supporta la gestione degli account e dei gruppi per gli account SAP Ariba come Managed System.

SAP Ariba è un servizio completo di procurement e gestione delle spese basato su cloud che aiuta le aziende a semplificare e ottimizzare i loro processi di procurement, dal sourcing al pagamento. Questa integrazione consente di creare, aggiornare, abilitare e disabilitare gli account di identità. È possibile assegnare o revocare gruppi per gli account da Oracle Access Governance.

Panoramica: sistema orchestrato SAP Ariba

È possibile stabilire una connessione tra SAP Ariba e Oracle Access Governance immettendo i dettagli di connessione e configurando il sistema orchestrato. A tale scopo, utilizzare la funzionalità Sistemi orchestrati disponibile nella console di Oracle Access Governance.

Panoramica dell'architettura di integrazione SAP Ariba

È possibile eseguire il caricamento dati completo e incrementale per le identità in SAP Ariba. Una volta stabilita una connessione, è possibile eseguire i task di provisioning e correzione per gli account utente e i gruppi.

L'integrazione di SAP Ariba sfrutta due API SAP Ariba per il provisioning e il caricamento completo e/o incrementale dei dati.
  • Utilizzare l'API SOAP Importa utenti di SAP Ariba per creare, aggiornare, abilitare e disabilitare i conti per le organizzazioni fornitore o cliente esistenti per le soluzioni Strategic Sourcing di SAP Ariba. È possibile assegnare e/o revocare identità dai gruppi SAP Ariba come da Oracle Access Governance.
  • Utilizzare l'API REST Master Data Retrieval API for Sourcing SAP Ariba per leggere i dati ed eseguire il caricamento dati completo o incrementale in Oracle Access Governance.

Panoramica funzionale: casi d'uso supportati per l'integrazione di SAP Ariba

L'integrazione con SAP Ariba supporta la gestione degli account e dei gruppi per gli account SAP Ariba. Il sistema orchestrato SAP Ariba supporta la gestione degli account per i modelli di identità cloud, identità sincronizzata e identità federata di SAP Ariba.

Configurare il sistema orchestrato SAP Ariba

In primo luogo, impostare e configurare il sistema orchestrato SAP Ariba. Per i dettagli, vedere Configura integrazione tra Oracle Access Governance e SAP Ariba. Questa configurazione fornisce a Oracle Access Governance i dettagli di connessione su come caricare i dati e gestire le autorizzazioni per questo sistema orchestrato.

Facoltativamente, è possibile configurare ulteriori elementi del sistema orchestrato prima di eseguire il caricamento iniziale dei dati, tra cui:

Carica dati

Dopo aver impostato e verificato il sistema orchestrato, è possibile includere i dettagli dell'account da SAP Ariba, utilizzando la modalità di configurazione - Sistema gestito. Ciò indica che gli account e i gruppi SAP Ariba vengono inclusi in Oracle Access Governance e possono essere gestiti da Oracle Access Governance.

Gli utenti in SAP Ariba vengono inclusi come account e i gruppi SAP Ariba vengono inclusi come autorizzazioni in Oracle Access Governance.

Gestione account per SAP Ariba - Creazione, aggiornamento, abilitazione e disabilitazione account

Di seguito sono riportati i modi per creare un account in Oracle Access Governance.
  • Inclusione dell'account e delle autorizzazioni come parte dell'operazione di caricamento dati da SAP Ariba.
  • Quando a un'identità sono assegnati un ruolo, un criterio o un bundle di accesso contenente gruppi SAP Ariba. Qualsiasi identità attiva in Oracle Access Governance può richiedere le autorizzazioni utilizzando la funzionalità self-service Richiedi un nuovo accesso nella console di Oracle Access Governance. Se si effettua una richiesta di accesso per un bundle di accesso o un ruolo, dopo l'approvazione viene avviata un'operazione di provisioning.

Di seguito viene descritto come gestire le operazioni degli account mediante Oracle Access Governance

  • Crea account: i nuovi account in SAP Ariba vengono creati come parte dell'assegnazione di gruppo. Se si richiedono gruppi SAP Ariba per un'identità che non dispone di un account corrispondente in SAP Ariba, viene creato un nuovo account e vengono assegnati i gruppi richiesti in base ai valori del bundle di accesso. Per associare nuovi account e gruppi, il sistema orchestrato attiva le operazioni Crea account e Aggiungi dati figlio.
  • Aggiorna account: se un account SAP Ariba è gestito da Oracle Access Governance e l'account corrispondente esiste già in SAP Ariba, i gruppi SAP Ariba per tale account vengono aggiornati in base ai valori nel bundle accessi. Il task di provisioning Aggiorna account viene attivato insieme a Rimuovi dati figlio e Aggiungi dati figlio.
  • Abilita account: se solo le autorizzazioni sono diverse, l'account rimane abilitato, ma le operazioni Aggiungi dati figlio e/o Rimuovi dati figlio vengono attivate nel sistema orchestrato per aggiornare le autorizzazioni per tale account.
  • Disabilita account: se tutte le autorizzazioni vengono eliminate, gli account SAP Ariba vengono disabilitati con le operazioni Aggiorna account e Rimuovi dati figlio.

Per ulteriori dettagli, vedere Visualizza log attività.

Assegna gruppi come autorizzazioni

È possibile assegnare i gruppi come autorizzazioni a un account SAP Ariba utilizzando la funzionalità Richiedi un nuovo accesso di Oracle Access Governance. Ciò consente di richiedere un bundle di accesso contenente autorizzazioni equivalenti ai gruppi nel sistema SAP Ariba.

Quando si richiede un bundle accessi, direttamente o tramite un ruolo o un criterio di Oracle Access Governance, viene avviata un'operazione di provisioning, Aggiungi dati figlio, che aggiorna i gruppi nell'istanza SAP Ariba con le autorizzazioni incluse nel bundle accessi di riferimento.

Se si richiedono gruppi SAP Ariba per un'identità che non dispone di un account corrispondente nell'istanza SAP Ariba, viene creato anche un nuovo account nell'istanza SAP Ariba con l'operazione Crea account.

Per ulteriori dettagli sull'assegnazione delle autorizzazioni, consulta la sezione Richiedi accesso. Per ulteriori informazioni sui ruoli e sui criteri, vedere Gestire i ruoli e Gestire i criteri.

Revoca gruppi come autorizzazioni

È possibile revocare le autorizzazioni di gruppo a un account rimuovendo l'autorizzazione dal ruolo, dal criterio o dal bundle di accesso a cui è assegnato. In questo caso, l'assegnazione dell'autorizzazione viene revocata a tutti gli utenti a cui viene applicato il ruolo, il criterio o il bundle accessi.

Un altro modo per rimuovere un'autorizzazione consiste nel revocare l'assegnazione di ruoli, criteri o bundle accessi da un account specifico. Questa operazione verrà eseguita utilizzando l'operazione di revoca nelle revisioni degli accessi.

Se solo le autorizzazioni sono diverse, l'account rimane abilitato, ma le operazioni Aggiungi dati figlio e/o Rimuovi dati figlio vengono attivate per aggiornare le autorizzazioni per l'account. Se tutte le autorizzazioni vengono eliminate, gli account SAP Ariba vengono disabilitati.

Per ulteriori dettagli sull'assegnazione delle autorizzazioni, vedere Elimina un ruolo, Elimina un criterio o Gestisci bundle accessi -> Elimina un bundle accessi.

Esempio: caso d'uso di Joiner per SAP Ariba

Il sistema orchestrato SAP Ariba viene utilizzato per la gestione di account e gruppi nel servizio cloud SAP Ariba mediante Oracle Access Governance.

Scenario: un nuovo dipendente entra a far parte del team come Manager determinazione origine e l'accesso a SAP Ariba deve essere fornito automaticamente con l'appartenenza al gruppo appropriata. In questo esempio, si supponga di aver stabilito un'integrazione con i dati Origine affidabile, Oracle HCM e Oracle Access Governance con le informazioni sui nuovi dipendenti. Utilizza Oracle Access Governance per gestire in modo trasparente gli account e l'appartenenza ai gruppi a SAP Ariba.
  1. Configurare l'istanza SAP Ariba con Oracle Access Governance utilizzando i passi definiti in Configure Integration Between Oracle Access Governance and SAP Ariba.
  2. Eseguire il caricamento dei dati per riconciliare i conti esistenti. Il caricamento dati completo per il giorno 0 e il caricamento dati di ricerca per le attività del giorno N comporterebbe l'inclusione dei dati da SAP Ariba in Oracle Access Governance.
  3. Configurare le impostazioni del sistema orchestrato per aggiungere ulteriormente regole di corrispondenza, trasformazioni, impostazioni di notifica e così via. Per informazioni dettagliate, vedere Configura impostazioni per sistemi orchestrati.
  4. Nella sezione Controlli di accesso di Oracle Access Governance eseguire le operazioni riportate di seguito.
    1. Creare un bundle accessi per il sistema orchestrato SAP Ariba. Selezionare i gruppi appropriati. Per informazioni dettagliate, vedere Crea bundle accessi.
    2. Creare un criterio all'interno di Oracle Access Governance e associare il bundle accessi a una raccolta di identità, dire Sourcing_Managers. Un altro modo è richiedere l'accesso per questo bundle accessi utilizzando la funzionalità self-service. Per i dettagli, vedere Gestisci criteri e Richiedi accesso a una risorsa.
  5. Se l'accesso viene richiesto, una volta approvato, viene creato un nuovo account con l'appartenenza al gruppo assegnata. Le attività Crea account e Aggiungi dati figlio verranno attivate per supportare il provisioning dell'account nell'istanza SAP Ariba. Se l'operazione di provisioning riesce, il nuovo account viene creato all'interno dell'istanza SAP Ariba.