Oracle Cloud Infrastructureドキュメント

Oracle Access GovernanceとOracle Fusion Cloud Applications間の統合の構成

前提条件

Oracle Fusion Cloud Applicationsオーケストレート済システムをインストールおよび構成する前に、次の前提条件およびタスクを考慮する必要があります。

認定

Oracle Access Governanceにアクセスするには、Oracle Fusion Cloud Applicationsシステムを認証する必要があります。サポートされているバージョンの詳細は、「動作保証されているコンポーネント」を参照してください。

部分データ・ロードに対するHCM AtomFeedsの有効化

オーケストレート済システムの増分データ・ロード変更を有効にするには、Oracle Fusion Cloud ApplicationsでUser Requests HCM Atom Feedを有効にします。これは、オーケストレート済システムがHCMまたは両方として設定されている場合にのみ有効です。

  1. ユーザー リクエスト HCM Atomフィードを有効にします。HCM ATOMフィードの管理を参照してください。Oracle Access Governanceでは、次のatomフィード・コレクションが使用されます。
    • newhire
    • empupdate
    • empassignment
    • termination
    • cancelworkrelship
    • workrelshipupdate
    詳細については、「従業員フィード」を参照してください。
  2. Oracle Access Governanceコンソールから部分データ・ロード設定を構成します。部分データ・ロード設定の構成を参照してください。

FA HCMデータ・ロールとセキュリティ・プロファイルの作成

オーケストレート済システムを構成する前に、HCMまたはERPサービス・アカウントを設定し、Oracle Access Governanceとの統合に必要な権限を付与する必要があります。

デフォルト・ロールまたは権限のリストを表示するには、デフォルト・ロールまたは権限の付与を参照してください。

必須ロール:
  • ITセキュリティ・マネージャ・ジョブ・ロール(ORA_FND_IT_SECURITY_MANAGER_JOB)
  • 人材管理統合スペシャリスト(ORA_HRC_HUMAN_CAPITAL_MANAGEMENT_INTEGRATION_SPECIALIST_JOB))
  1. Oracle Fusion Cloud Applicationsへのサインイン。
  2. 「自分の企業」→「設定および保守」に移動します。
  3. ページの右側にある「タスク」アイコンを選択します。
  4. 「検索」を選択し、「データ・ロールおよびセキュリティ・プロファイルの管理」を選択します。
  5. セキュリティ・プロファイルがないHuman Capital Management Integration Specialistジョブ・ロールを検索します。
  6. +Createを選択します。
    • データ・ロールの名前を入力します。たとえば、<ServiceAccountName>-DataRoleです。
    • 継承するHuman Capital Management Integration Specialistジョブを選択します。
    • 「OK」を選択します。
  7. 「次へ」を選択します。
  8. セキュリティ・コンテキスト・ページで、セキュリティ・プロファイル構成全体のリストで「すべて表示」を選択します。
  9. 「次へ」を選択して確認し、「送信」を選択します。
  10. 作成されたデータ・ロールを検索します。これで、「Security Profile Assigned」列が選択されています。
  11. 「完了」を選択します。

サービス・アカウントを作成し、このデータ・ロールをサービス・アカウントに割り当てる必要があります。

サービス・アカウントの作成およびデフォルト・ロールの付与

サービス・アカウントは、オーケストレート済システムで接続を構成するときに使用する必要があります。このサービス・ユーザーは、デフォルトのOracle Fusion Cloud Applicationsロールおよび権限を使用するか、カスタム・ロールを使用して設定できます。

Oracle Fusion Cloud Applicationsでのサービス・アカウントの作成

ITセキュリティ・マネージャ・ジョブ・ロール(ORA_FND_IT_SECURITY_MANAGER_JOB)が必要です。

  1. Oracle Fusion Cloud Applicationsへのサインイン。
  2. 「ナビゲータ」から、「ツール」→「セキュリティ・コンソール」に移動します。
  3. 「ユーザー」「ユーザー・アカウントの追加」を選択します。
  4. ユーザー情報の必須フィールドに入力します。
  5. 「保存してクローズ」を選択します。ステータスが「アクティブ」であることを確認します。
  6. ユーザーを選択し、「編集」を選択します。

サービス・アカウントへのロールの追加

  1. 「ロールの追加」ボタンを選択します。
  2. HCMの場合は、アカウントにデフォルト・ロールを1つずつ割り当てます。デフォルト・ロールまたは権限の付与を参照してください
  3. ERPの場合は、アカウントにデフォルトのロールを1つずつ割り当てます。デフォルト・ロールまたは権限の付与を参照してください
    ノート

    HCMとERPの両方を構成する場合は、HCMとERPのすべてのデフォルト・ロールを割り当てる必要があります。
    ノート

    アクセス・リクエスト・セキュリティ管理者に必要な参照タイプを追加する必要があります。参照タイプの追加を参照してください。
  4. 前のタスクで作成したデータ・ロールを割り当てます。「FA HCMデータ・ロールとセキュリティ・プロファイルの作成」を参照してください。
  5. 「保存してクローズ」を選択します。
  6. アカウントを検索し、必要なロールが割り当てられていることを確認します。
  7. サインインして、新しいサービス・アカウントの作成を確認します。

カスタム・ロールを使用した権限の付与- 最小権限の原則

デフォルトのOracle Fusion Cloud Applicationsロールおよび権限のかわりに権限を使用して、サービス・ユーザーのカスタム・ロールを設定します。これは、サービス・ユーザーが必要とするファイングレイン権限のみを構成することによって、最小権限の原則に準拠します。

カスタム・ロールを作成する手順は、次のとおりです。
  1. 「共通- ジョブ・ロール」カテゴリのOracle Fusion Cloud Applicationsロールを作成します。
  2. 機能セキュリティ・ポリシーのトレイン・ストップに権限を追加します。「権限の付与」のリストを参照してください。
  3. ロール階層トレイン・ストップにロールとして集計された権限を追加します。「権限の付与」「集計権限の付与」のリストを参照してください。
  4. 適切なデータ・セットのデータ・セキュリティ・ポリシーをカスタム・ロールに付与します。正しいデータ・セキュリティ・ポリシーを付与しない場合、一部のデータが返されない可能性があります。APIコールは失敗しません(200 OK)。ただし、データ・セキュリティ・ポリシーが省略されている場合、カウントは0になります。
  5. カスタム・ロールをサービス・アカウントに割り当てます。サービス・アカウントへのロールの追加を参照してください。

アクセス・コントロール・データのリフレッシュ・ジョブの実行

サービス・アカウントを構成した後、アクセス制御データ・ジョブを実行する必要があります。このジョブは、デフォルトで1時間ごとに実行されるか、手動で実行するように選択できます。ジョブを実行するには:
  1. 「ツール」「スケジュール済プロセス」に移動します。
  2. アクセス・コントロール・データのリフレッシュを検索します。
  3. 「新規プロセスのスケジュール」を選択します。
  4. ジョブ名として「アクセス制御データのリフレッシュ」を選択し、わかりやすい説明を入力します。
  5. 必要に応じて、[完全リフレッシュ]または [増分リフレッシュ]を選択します。
  6. 「OK」を選択します。
  7. 「送信」を選択します。プロセスID番号をコピーします。
  8. 「ユーザーおよびロールの同期プロセス」を実行して、最新のユーザーおよびロール定義を取得します。詳細は、Run User and Roles Synchronization Processを参照してください。

アクセス・リクエスト・セキュリティ管理者の参照タイプの追加

アクセス要求セキュリティ管理者ロール・タイプには、次の参照タイプ権限が付与されている必要があります

  1. Oracle Fusion Cloud Applicationsへのサインイン。
  2. 「自分の企業」>「設定および保守」に移動します。
  3. ページの右側にある「タスク」アイコンを選択します。
  4. 「検索」を選択し、「標準参照の管理」を選択します。
  5. 次の参照コードFUN_DS_GET_BOOKCODEを使用して、新しい参照タイプFUN_DS_OPTIN_OPTIONSを追加します。
  6. 「モジュール」リストから「アプリケーション・コア」を選択します。
  7. 「REST Access Secured」リストで、「Authenticated」を選択します。
  8. 「保存してクローズ」を選択します。

Risk Management Cloud (RMC)職務分掌(SoD)チェック

Oracle Fusion Cloud Applications内のユーザーの権限またはロールを評価して、権限割当てが有効であり、SODチェックに違反していないことを確認できます。

前提条件を満たし、必須ジョブを定期的に実行します。

ユーザー・アカウントの作成とリンク

ユーザー・アカウントには、関連する就業者情報が必要です。「セキュリティ・コンソール」「ユーザー」ページから、リンクされたアカウントに「関連付けられた就業者情報」が表示されていることを確認します。

必須バックグラウンド・ジョブ

Oracle Fusion Cloud Applicationsでは、ユーザー・アカウントを作成または更新した後、次のジョブを特定の順序で実行してください。

Risk Managementでのユーザー表示の確認

ジョブを実行した後、結果を確認します。

  1. Risk Management→Setup and Administration→Global User Configurationに移動します。
  2. SOD違反チェックを実行するユーザーを検索します。

ワークフロー構成

違反チェックを処理するには、アクセス・バンドルを含む承認ワークフローを添付する必要があります。アクセス・バンドルに承認ワークフローが割り当てられていない場合、Oracle Access GovernanceはSoD違反チェックをトリガーしますが、潜在的な違反が存在する場合でもプロビジョニングはすぐに続行されます。承認ワークフローがアタッチされると、Oracle Access GovernanceはSoD分析が完了するまでリクエストを一時停止します。

詳細は、Preventive Segregation of Dutiesを参照してください

OCI OAuthによる認証および認可

OAuthを使用して、Oracle Access GovernanceでOracle Fusion Cloud Applicationsを認証および認可します。

前提条件

OAuthを使用してOracle Fusion Cloud Applicationsを認可するには、次の前提条件を満たす必要があります。
  • Oracle Access Governanceとの統合に必要なサービス・アカウントを作成し、権限を付与します。
  • Oracle Fusion Cloud Applicationsアプリケーションがホストされているのと同じアイデンティティ・ドメインで構成が実行されていることを確認します。

アクセス証明書とキー

セキュアな認証と互換性を確保するために、信頼できる認証局(CA)によって発行された証明書をPEM形式で使用するか、OCI証明書サービスを利用して証明書を効率的に生成および管理します。

  1. 信頼できる認証局をPEM形式で使用します。
  2. パブリック証明書を取得するには、トークンを発行して署名するようにアイデンティティ・ドメインが構成されていることを確認します。
    1. 「アイデンティティとセキュリティ」で、「ドメイン」を選択します。
    2. 「設定」タブで、署名証明書へのアクセスを有効にします。

FAインスタンスのOCI IAMドメインへの信頼できるパートナ証明書としての証明書のインポート

  1. 「アイデンティティとセキュリティ」に移動し、「ドメイン」を選択します。
  2. Oracle Fusion Cloud Applicationsサービス・インスタンスのコンパートメントを検索して選択し、ドメインを選択します。
  3. 「セキュリティ」タブを選択します。
  4. 「信頼できるパートナ証明書」セクションに移動し、「証明書のインポート」を選択します。
  5. キーストア・ファイル証明書別名の生成時に指定した別名を入力します
  6. .cerファイルをインポートします。
  7. 「インポート」を選択します。

結果: 正しい詳細がSHA-1サムプリント、SHA-256サムプリント、証明書開始日および証明書終了日とともに表示されることを確認します。

統合機密タイプ・アプリケーションの作成

  1. 「アイデンティティとセキュリティ」に移動し、「ドメイン」を選択します。
  2. 必要なドメインを選択します。
  3. 「統合アプリケーション」タブを選択します。
  4. 「アプリケーションの追加」を選択します。
  5. 「機密アプリケーション」タイルを選択し、「ワークフローの起動」を選択します。
  6. 「詳細」ページで、次を入力します:
    1. 機密アプリケーションの名前と説明を入力します。
    2. 「送信」を選択します。

OAuthの構成の編集

  1. 「OAuth構成」タブを選択します。
  2. 「OAuth構成の編集」を選択します。
  3. クライアント構成: 「このアプリケーションをクライアントとして今すぐ設定します」を選択します。
  4. 権限付与タイプの有効化: 「クライアント資格証明」「JWTアサーション」および「リフレッシュ・トークン」権限付与タイプを選択します。
  5. 「クライアント・タイプ」オプションとして「信頼済」を選択します。
  6. 以前に使用した証明書をインポートします。
  7. 「許可された操作」として「代理」を選択します。
  8. 「ネットワーク・ペリメータ」を選択して、特定のIPまたは範囲へのサインイン試行を制限するか、「任意の場所」を選択します。
  9. 「トークン発行ポリシー」で、「すべて」を選択します。
  10. スコープ構成
    1. 「リソースの追加」トグルを有効化
    2. 「スコープの追加」を選択します
    3. Oracle Fusion Cloud Applicationsアプリケーション参照を選択します。
      ノート

      スコープがリストされていない場合は、「Oracle Cloud Services」タブから、Oracle Fusion Cloud Applicationsインスタンスがこのドメインに登録されているかどうかを確認します。
  11. 「送信」を選択します。
  12. アプリケーションをアクティブ化します。「アクション」アイコンを選択して、「アクティブ化」を選択します。ステータスは、[非アクティブ]から [アクティブ]に変更する必要があります。

認可の機密OAuthアプリケーション詳細のフェッチ

  1. 作成した機密OAuth統合アプリケーションを開きます。
  2. 「OAuth構成」タブを選択します。
  3. 「一般情報」セクションで、「クライアントID」および「クライアント・シークレット」をコピーして保存します。
  4. 「リソース」セクションで、アプリケーション・スコープをコピーして保存します。

資格証明を格納するOCI Vaultの作成

Oracle Access Governanceでは、OCI Vault and Secret Managementサービスを使用して、パスワード、クライアント・シークレット、秘密キーなどの機密値を格納します。

Oracle Access Governanceインスタンスが構成されているBasic認証またはOAuth資格証明のOracle Cloud Infrastructure (OCI)ボールト、暗号化キーおよびシークレットを作成します。

必要なアクセス権があることを確認します。
  • ターゲット・コンパートメントにボールト、キーおよびシークレットを作成する権限。
  • シークレットの暗号化にキーを使用する権限。
  1. Create a vault.
  2. ボールトがアクティブ状態の場合は、暗号化キーを作成します。「マスター暗号化キーの作成」を参照してください。
  3. ナビゲーション・メニューから、「アイデンティティとセキュリティ」「シークレット管理」の順に選択します。
  4. 「シークレットの作成」を選択します。
  5. シークレットを作成するコンパートメントを選択します。
  6. わかりやすいシークレット名を入力します。たとえば、agcs-fa-oauthです。
  7. VaultコンパートメントとVault名を選択します。
  8. 暗号化キー・コンパートメントを選択します。
  9. 「暗号化キー」フィールドで、作成したキーを選択します。
  10. 「手動シークレット生成」を選択します。
  11. シークレットの内容:
    • Basic認証を使用する必要がある場合は、次のように入力します。
      {
  "adminUser": "<your-admin-username>",
  "adminPassword": "<your-admin-password>"
}
    • OAuthの場合は、OAuth前提条件を実行し、詳細を入力します: 
      {
  "adminUser": "admin@example.com",
  "domainURL": "https://idcs-<tenant>.example.com",
  "clientId": "xxxxxxxxxxxxxxxxxxxxxxxx",
  "clientSecret": "xxxxxxxxxxxxxxxxxxxxxxxx",
  "privateKey": "-----BEGIN PRIVATE KEY-----\nMIIEv...\n-----END PRIVATE KEY-----\n",
  "alias": "my-signing-key",
  "scope": "urn:opc:idm:__myscopes__"
}
      パラメータ詳細
  12. 「シークレットの作成」を選択します。
  13. テナンシのOCIDおよびシークレットOCIDを「統合設定」に入力します。これにより、コンソールで必要なIAMポリシーが生成されます。シークレットの詳細を確認するには、シークレット詳細の表示を参照してください。
  14. ボールトを作成したOracle Access Governanceテナンシのルート・コンパートメントの正確な文をコピーします。

Oracle Fusion Cloud ApplicationsとOracle Access Governanceの間の接続の構成

接続の詳細を入力することで、Oracle Fusion Cloud ApplicationsとOracle Access Governanceの間の接続を確立できます。これを実現するには、Oracle Access Governanceコンソールで使用可能な調整されたシステム機能を使用します。

「Orchestrated Systems」ページに移動します。

Oracle Access Governanceコンソールの「Orchestrated Systems」ページでは、オーケストレート済システムの構成を開始します。

次のステップに従って、Oracle Access Governanceコンソールの「Orchestrated Systems」ページにナビゲートします。
  1. Oracle Access Governanceのナビゲーション・メニュー・アイコンナビゲーション・メニューから、「Service Administration」→「Orchestrated Systems」を選択します。
  2. ワークフローを開始するには、「オーケストレート済システムの追加」ボタンを選択します。

システムの選択

ワークフローの「システムの選択」ステップで、Oracle Access Governanceと統合するシステムのタイプを指定できます。

「検索」フィールドを使用して、名前で必要なシステムを検索できます。

  1. 「Oracle Fusion Cloud Applications」を選択します。
  2. 「次へ」を選択します。

詳細の追加

名前、説明、構成モードなどの詳細を追加します。

ワークフローの「詳細の追加」ステップで、オーケストレート済システムの詳細を入力します:
  1. 「名前」フィールドに、接続先のシステムの名前を入力します。
  2. 「説明」フィールドに、システムの説明を入力します。
  3. このオーケストレート済システムが信頼できるソースかどうか、および次のチェック・ボックスを設定してOracle Access Governanceが権限を管理できるかどうかを決定します。
    • これは私のアイデンティティの認証ソースです

      次の項目から選択します。

      • アイデンティティとその属性のソース: システムは、ソース・アイデンティティおよび関連する属性として機能します。新しいアイデンティティは、このオプションを使用して作成されます。
      • アイデンティティ属性のソースのみ: 追加のアイデンティティ属性の詳細が取り込まれ、既存のアイデンティティに適用されます。このオプションは、新規アイデンティティ・レコードを取込みまたは作成しません。
    • このシステムの権限を管理します
    各ケースのデフォルト値は「未選択」です。
  4. 「次へ」を選択します。
さらに:
  1. これを使用して権限を管理している場合は、職務の分離チェックの追加チェック・ボックスが表示されます:
    1. Oracle Fusion Cloud Applicationsでは、ユーザー・アカウントが作成され、就業者の個人レコードにリンクされていることを確認します。正常にリンクされたアカウントでは、関連付けられた個人情報が「ユーザー」ページのセキュリティ・コンソールに表示されます。
    2. このオプションを有効にするには、「職務分離のためのRisk Management and Compliance (RMC)統合の有効化」チェックを選択します

所有者の追加

プライマリ所有者と追加の所有者を編成済システムに追加して、リソースを管理できるようにします。

リソース所有権を関連付けるには、プライマリ所有者と追加所有者を追加します。これにより、これらの所有者は所有するリソースを管理(読取り、更新または削除)できるため、セルフサービスが促進されます。デフォルトでは、リソース作成者はリソース所有者として指定されます。1人のプライマリ所有者と最大20人の追加所有者をリソースに割り当てることができます。
ノート

サービス・インスタンスに対して最初のオーケストレート済システムを設定する場合、「アイデンティティの管理」セクションからアイデンティティを有効にした後にのみ所有者を割り当てることができます。
所有者を追加するには:
  1. 「プライマリ所有者は誰ですか。」フィールドで、Oracle Access Governanceのアクティブ・ユーザーをプライマリ所有者として選択します。
  2. 「他の所有者は誰ですか。」リストで1つ以上の追加所有者を選択します。リソースに最大20人の追加所有者を追加できます。
リストの「プライマリ所有者」を表示できます。すべての所有者は、所有するリソースを表示および管理できます。

アカウント設定

通知設定を含むオーケストレート済システムを設定する際のアカウント設定の管理方法の詳細と、アイデンティティが組織を移動または離れた場合のデフォルト・アクションの概要を示します。

ワークフローの「アカウント設定」ステップで、システムが管理対象システムとして構成されている場合、Oracle Access Governanceでアカウントを管理する方法を入力します:
  1. 権限が要求され、アカウントがまだ存在しない場合は、このオプションを選択して新しいアカウントを作成します。このオプションはデフォルトで選択されています。選択すると、権限が要求されたときにアカウントが存在しない場合、Oracle Access Governanceによってアカウントが作成されます。このオプションをクリアすると、権限はオーケストレート済システム内の既存のアカウントに対してのみプロビジョニングされます。アカウントが存在しない場合、プロビジョニング操作は失敗します。
  2. アカウント作成時の通知電子メールの受信者を選択します。デフォルトの受信者は「ユーザー」です。受信者が選択されていない場合、アカウントの作成時に通知は送信されません。
    • ユーザー
    • ユーザー・マネージャ
  3. 既存のアカウントの構成
    ノート

    これらの構成を設定できるのは、システム管理者によって許可されている場合のみです。グローバル・アカウント終了設定が有効になっている場合、アプリケーション管理者は、調整されたシステム・レベルでアカウント終了設定を管理できません。
    1. 早期終了開始時のアカウントの処理の選択: 早期終了の開始時に実行する処理を選択します。これは、正式な退職日より前にアイデンティティ・アクセスを取り消す必要がある場合に発生します。
      • 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。
        ノート

        特定のオーケストレート済システムでアクションがサポートされていない場合、アクションは実行されません。
      • 無効化: すべてのアカウントを無効化し、Oracle Access Governanceで管理される権限を無効化します。
        • 無効化されたアカウントの権限の削除: 残存アクセス権がゼロであることを確認するには、これを選択して、アカウントの無効化時に直接割り当てられた権限およびポリシーで付与された権限を削除します。
      • アクションなし: アイデンティティにOracle Access Governanceによる早期終了のフラグが付けられている場合、アクションは実行されません。
    2. 退職日のアカウントの処理の選択: 正式な退職時に実行する処理を選択します。これは、正式な退職日にIDアクセスを取り消す必要がある場合に発生します。
      • 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。
        ノート

        特定のオーケストレート済システムで「削除」アクションがサポートされていない場合、アクションは実行されません。
      • 無効化: すべてのアカウントを無効化し、Oracle Access Governanceで管理される権限を無効化します。
        • 無効化されたアカウントの権限の削除: 残存アクセス権がゼロであることを確認するには、これを選択して、アカウントの無効化時に直接割り当てられた権限およびポリシーで付与された権限を削除します。
        ノート

        特定のオーケストレート済システムで「無効化」アクションがサポートされていない場合は、アカウントが削除されます。
      • アクションなし: Oracle Access Governanceでは、アカウントおよび権限に対するアクションは実行されません。
  4. アイデンティティが企業を離れたときは、そのアカウントへのアクセス権を削除する必要があります。
    ノート

    これらの構成を設定できるのは、システム管理者によって許可されている場合のみです。グローバル・アカウント終了設定が有効になっている場合、アプリケーション管理者は、調整されたシステム・レベルでアカウント終了設定を管理できません。

    アカウントに対する次のアクションのいずれかを選択します。

    • 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。
    • 無効化: すべてのアカウントを無効化し、権限を非アクティブとしてマークします。
      • 無効化されたアカウントの権限の削除: アカウントの無効化時に直接割り当てられ、ポリシーで付与された権限を削除して、残存アクセスをゼロにします。
    • アクションなし: アイデンティティが組織を離れるときにアクションを実行しません。
    ノート

    これらのアクションは、オーケストレートされたシステム・タイプでサポートされている場合にのみ使用できます。たとえば、「削除」がサポートされていない場合、「無効化」および「アクションなし」オプションのみが表示されます。
  5. アカウントのすべての権限が削除された場合(アイデンティティが部門間を移動する場合など)、アカウントの処理を決定する必要がある場合があります。オーケストレート済システム・タイプでサポートされている場合、次のいずれかのアクションを選択します。
    • 削除
    • 使用不可
    • 処理なし
  6. アクセス・ガバナンスで作成されていないアカウントの管理: オーケストレート済システムで直接作成されるアカウントを管理する場合に選択します。これにより、既存のアカウントを調整し、Oracle Access Governanceから管理できます。
ノート

システムを管理対象システムとして構成しない場合、ワークフローのこのステップは表示されますが、有効になりません。この場合、ワークフローの「統合設定」ステップに直接進みます。
ノート

オーケストレート済システムで、汎用RESTおよびデータベース・アプリケーション表の統合と同様に動的スキーマ検出が必要な場合は、オーケストレート済システムの作成時に通知電子メールの宛先(ユーザー、Usermanager)のみを設定できます。モーバーおよびリーバの無効化/削除ルールは設定できません。これを行うには、オーケストレート済システムを作成してから、「オーケストレート済システム・アカウント設定の構成」の説明に従ってアカウント設定を更新する必要があります。

統合設定

Oracle Fusion Cloud Applicationsシステムへの接続の詳細を入力します。

  1. ワークフローの「統合設定」ステップで、Oracle Access GovernanceがOracle Fusion Cloud Applicationsシステムに接続できるようにするために必要な詳細を入力します。
    統合設定
    事前条件 パラメータ名 説明
    アプリケーション・タイプ
    • 両方: HCMとERPの両方を同じオーケストレート済システム内に統合する場合
    • Oracle Human Capital Management(HCM)
    • Oracle Enterprise Resource Planning(ERP)
    モード: 認可ソース
    • ユーザーアカウント
    • 個人
    • 「ユーザー・アカウント」を選択して、セキュリティ・アイデンティティを表し、Oracle Fusion Cloud Applicationsへのシステム・アクセス権を持つアイデンティティを取り込みます。
    • [個人]を選択すると、従業員番号、雇用関係、職務コード、個人レコードなどの雇用詳細を含むIDが取得されます。
    Oracle Fusion Cloud Applicationsホスト名 Oracle Fusion Cloud Applicationsシステムにアクセスするためのホスト名。たとえば、URLのホスト名はfa-test.example.comです。
    https://fa-test.example.com:443/fcsUI/faces/FuseWelcome
    Oracle Fusion Cloud Applicationsポート ソースのOracle Fusion Cloud Applicationsシステムがリスニングしているポート番号を入力します。たとえば、URLにポート443と入力します。
    https://fa-test.example.com:443/fcsUI/faces/FuseWelcome
    アプリケーション・タイプ: 両方、ERP OAuth: 認証用のOCI IAM Oracle Fusion Cloud Applicationsインスタンスの認証にOCI IAMを使用するには、このチェックボックスを選択します。OAuthの前提条件を実行します。OCI OAuthを使用した認証を参照してください。
    資格証明へのアクセス権をどのように付与しますか。
      • OCIボールト・シークレットから: (推奨)資格証明の管理および格納にOCI Vaultを使用するには、これを選択します。
      • アクセス・ガバナンスで受信および格納される資格証明: Oracle Access Governance内に資格証明を格納する場合に選択します。
    OCIボールト ボールト・シークレットをホストしているOCIテナンシOCIDは何ですか。 ボールトを作成したテナンシのOCIDを入力します。OCI Vaultの資格証明の構成を参照してください。
    OCIボールト アクセス資格証明のシークレットOCIDは何ですか。 資格証明が格納されているOCIシークレットOCIDを入力します。OCI Vaultの資格証明の構成を参照してください。

    ノート: ボールトが作成されるテナンシのルート・コンパートメントに表示されているIAMポリシーを追加する必要があります。
    • アプリケーション タイプ: 両方および HCM
    • モード: 管理対象システム
    		 責任範囲 ユーザー・アカウントが個人にリンクされているときにAORをアカウント属性として取り込むには、この「職責範囲」を選択します。Oracle Fusion Cloud ApplicationsのAORは、ユーザーの機能アクセスの範囲を定義します。
    アプリケーション・タイプ: 両方、ERP Access Governanceから調達エージェント(PO)を管理しますか? アクセス・バンドルを使用して調達エージェントのプロビジョニングを管理するには、これを選択します。「アクセス・バンドル」で、「付与された権限タイプ」「調達ビジネス・ユニット」の調達エージェントを選択し、その調達ビジネス・ユニットの属性を選択します。Fusion Cloud Applicationsとの統合を参照してください。

    ノート: ユーザーは従業員として登録され、関連する就業者情報を持っている必要があります。購買オーダー・エージェントを作成するには、ユーザーにアクティブな事前定義済セキュリティ・ロールが必要です。調達の事前定義済ロールを参照してください。
    • アプリケーション タイプ: 両方および HCM
    • モード: 認可ソース
    		 追加の参照オブジェクトをロードしますか。 追加属性をロードするための参照オブジェクト名を入力します。たとえば、jobと入力します。

    現在、jobおよびlocation参照オブジェクトの追加属性をロードできます。インバウンド変換を使用して、これらのシステム属性を使用します。「参照オブジェクトのサポート」を参照してください。
  2. 「統合のテスト」を選択して、構成を検証します。
  3. 「追加」を選択して、オーケストレート済システムを作成します。

完了

さらにカスタマイズを実行するか、データ・ロードをアクティブ化して実行するかの詳細を指定して、オーケストレート済システムの構成を終了します。

ワークフローの最後のステップは、「終了」です。

データ・ロードを実行する前にオーケストレート済システムをさらに構成するか、デフォルト構成を受け入れてデータ・ロードを開始するかを選択できます。次の中から1つ選択します。
  • システムでデータ・ロードを有効化する前にカスタマイズします
  • 指定されたデフォルトで、データ・ロードのアクティブ化と準備を行います

OCI VaultへのOracle Fusion Cloud Applications資格証明の移行

既存のオーケストレート済システムがある場合は、OCI Vaultおよびシークレット管理を使用して、Oracle Fusion Cloud Applications資格証明を格納および管理することをお薦めします。

  1. 「オーケストレート済システム統合設定の構成」の手順に従って、「統合設定」ページにナビゲートします。
  2. 「統合設定」ページに非推奨の警告が表示されます。「移行の詳細」ボタンを選択します。
  3. 必要な前提条件を完了します。OCI Vault構成を参照してください。
  4. ポリシーを適用した後、「統合のテスト」ボタンを選択して接続をチェックします。エラーまたはメッセージがある場合は、構成を確認してください。テストが成功するまで、移行を完了できません。
  5. 接続が確認されたら、「移行」ボタンを選択して移行を開始します。
  6. 移行が完了すると、統合でOCI Vaultストレージ方法が使用されていることを確認するメッセージが表示されます。

構成後処理

Oracle Fusion Cloud Applicationsシステムに関連付けられたインストール後のステップはありません。