Oracle Cloud Infrastructureドキュメント

Oracle Access GovernanceとSAP Ariba間の統合の構成

Oracle Access GovernanceとSAP Ariba SaaSアプリケーション間の接続を管理対象システムとして確立できます。構成するには、Oracle Access GovernanceコンソールでOrchestrated Systemsを使用します。

前提条件

SAP Ariba Orchestrated Systemをインストールおよび構成する前に、次の前提条件およびタスクを考慮する必要があります。

SAP Aribaアカウントを管理するための設定- SAP Aribaでの新しい統合インバウンド・エンドポイントの構成

Oracle Access Governanceからのプロビジョニングおよびアクセス管理を有効にするために、SAP Aribaソリューションでインバウンド・エンドポイントを構成します。

必須ロール:
  • 顧客管理者または統合管理グループのメンバー
  • 管理者ロールまたは統合管理者ロールを持つグループ
エンド・ポイントは、エンド・ポイントへのアクセスを制御するURLおよび認証情報で構成されます。Oracle Access Governanceからのプロビジョニングおよびアクセス管理操作を開始するためのインバウンド・エンドポイントを構成します。
SAP Aribaでの新しい統合インバウンド・エンドポイントの構成
  1. 管理者資格証明を使用してSAP Aribaインスタンスにサインインします。
  2. SAP Ariba管理者ダッシュボードで、「管理」「管理」をクリックします。
  3. 「Integration Manager」オプションを展開し、「End Point Configuration」を選択します。
  4. 新しいエンドポイントを作成するには、「新規作成」をクリックします。
    「エンド・ポイント構成- エンド・ポイントの作成」ページが開きます。
  5. 「名前」フィールドに、エンド・ポイントの名前を入力します。
  6. タイプとして「インバウンド」を選択します。
  7. 「HTTP Authentication」セクションに移動して、HTTP Basic認証を使用します。
    1. 「サインイン」フィールドにユーザーIDを入力します。
    2. 「パスワード」フィールドにパスワードを入力します。
    Oracle Access Governanceコンソールでオーケストレート済システムを構成するには、この情報を指定する必要があります。
  8. 「保存」をクリックします。

データ・ロードの設定- SAP Ariba API開発者ポータルからのAPIの有効化

アプリケーションAPIを有効にすることで、SAP AribaアプリケーションからOracle Access Governanceにデータをリコンサイルできます。

必須ロール: 組織管理ロールを持つユーザーは、APIアクセスの承認を要求します。
1つのアプリケーションが複数のAPIにアクセスすることはできません。レルム/APIの組合せごとに設定できるアプリケーションは1つのみです。

SAP Developer API Portalでのアプリケーションの作成

すでにSAP Aribaアプリケーションがある場合は、タスクをスキップできます。

  1. SAP Ariba開発者ポータルにサインインします。
  2. 「アプリケーションの管理」にナビゲートし、+プラス記号をクリックします。
  3. アプリケーション名と説明を入力します。
  4. 「送信」をクリックします。

    アプリケーションが作成され、「アプリケーション」リストに表示されます。アプリケーションの一意の識別子「アプリケーション・キー」も生成されます。Oracle Access Governanceで構成するには、これが必要です

アプリケーションのAPIアクセスのリクエスト

  1. 組織管理ロールを持つユーザーとして、SAP Ariba開発者ポータルにサインインします。
  2. SAP Ariba管理者ダッシュボードで、「管理」「管理」をクリックします。
  3. 有効にするアプリケーション・リストで目的のアプリケーションを検索します。
  4. アプリケーション設定ページで、「処理」「APIアクセスの要求」をクリックします。
  5. 次のアプリケーションの詳細を入力します。
    1. 「API名」ドロップダウン・リストで、アクセスするAPI名を選択します。
    2. 「レルム名」で、アプリケーションを有効にするソリューションを選択します。
    3. 「AN-ID」フィールドに、Ariba Network Identification Number (ANID)を入力します。
    4. レルム・タイプで、「本番」または「タイプ」を選択します。
    5. 「送信」をクリックします。

    申請は承認のために送信されます。組織管理ロールを持つSAP Aribaユーザーは、アプリケーションのAPIアクセス・リクエストを承認できます。

アプリケーションのOAuthシークレットおよびBase64エンコードされたクライアントIDおよびシークレットの生成

アプリケーションが管理者によって承認されると、APIを認証するためのOAuthシークレット資格証明を生成できます。次の手順に従ってください。

  1. 組織管理ロールを持つユーザーとして、SAP Ariba開発者ポータルにサインインします。
  2. SAP Ariba管理者ダッシュボードで、「管理」「管理」をクリックします。
  3. 有効にするアプリケーション・リストで目的のアプリケーションを検索します。
  4. アプリケーション設定ページで、「アクション」「OAuthシークレットの生成」をクリックします。
  5. 確認ボックスで、「送信」をクリックします。OAuth SecretおよびBase64 Encoded Client and Secretが表示されます。
  6. OAuth SecretおよびBase64 Encoded Client and Secretをコピーし、セキュアな場所に保存します。

Oracle Access Governanceコンソールでオーケストレート済システムを構成するには、これが必要です。

OAuth認証サーバーURLのフェッチ

接続を確立するには、APIアプリケーションのOAuthサーバーURLをフェッチする必要があります。

必須ロール: SAP Ariba開発者ポータルで組織管理ロールを持つユーザー。

Oracle Access Governanceコンソールでオーケストレート済システムを構成するには、ソーシング用のマスター・データ取得API APIサーバーURLが必要です。

  1. 組織管理ロールを持つユーザーとして、SAP Ariba開発者ポータルにサインインします。
  2. 「Discover」セクションに移動し、「STRATEGIC SOURCING」にナビゲートします。
  3. 「Master Data Retrieval API for Sourcing」を検索します。
  4. OAuth「サーバーURL接頭辞」の値をコピーし、v2を追加します。

    : https://< OAuth Server URL >/v2

WSDLからパーティションIDおよびバリアント値をフェッチします

マスター・データ・セットのパラメータを保守するには、レルムのバリアントおよびパーティションIDをフェッチする必要があります。

  1. 管理者資格証明を使用してAribaアプリケーションにサインインします。
  2. Ariba管理者ダッシュボードで、「Manage」をクリックし、ドロップダウンから「Administration」を選択します。
  3. 「Integration Manager」を展開し、「Integration Configuration」を選択します。
  4. 「Import Users」 Webサービス、タスク名=「Import User」を検索します。
  5. 「Import Users」Webサービスをクリックし、開きます。
  6. 「View WSDL」をクリックし、WSDLでvrealmを検索します。
  7. WSDLでvrealm_1234が見つかった場合は、バリアントとしてvrealm_1234、パーティションとしてprealm_1234を使用できます。

構成

接続の詳細を入力することで、SAP AribaとOracle Access Governanceの間の接続を確立できます。これを実現するには、Oracle Access Governanceコンソールで使用可能な調整されたシステム機能を使用します。

「Orchestrated Systems」ページに移動します。

アイデンティティ・オーケストレーションは、Oracle Access Governanceコンソールから設定されます。「Orchestrated Systems」ページに移動して、SAP AribaをOracle Access Governanceと統合します。

次のステップに従って、Oracle Access Governanceコンソールの「Orchestrated Systems」ページにナビゲートします。
  1. Oracle Access Governanceのナビゲーション・メニュー・アイコンナビゲーション・メニューから、「Service Administration」→「Orchestrated Systems」を選択します。
  2. ワークフローを開始するには、「オーケストレート済システムの追加」ボタンを選択します。

システムの選択

ワークフローの「システムの選択」ステップで、統合するシステムのタイプを指定できます。

「検索」フィールドを使用して、名前で必要なシステムを検索できます。

  1. 「SAP Ariba」を選択します。
  2. 「次へ」をクリックします。

詳細を入力します

「詳細の入力」ステップで、オーケストレート済システムにわかりやすい名前を付け、サポート摘要を追加し、このシステムを認可ソースとして使用できるか、権限を管理できるかを判断します。SAP Aribaの場合、Oracle Access Governanceを使用してアイデンティティ・アカウントの権限を管理できます。

ワークフローの「詳細の入力」ステップで、オーケストレート済システムの詳細を入力します:
  1. 「このシステムを何と呼びますか。」フィールドに、接続するシステムの名前を入力します。
  2. 「このシステムをどのように説明しますか。」フィールドに、システムの説明を入力します。
    ノート

    Oracle Access Governanceがこのシステムの権限を管理し、アカウントのプロビジョニングを有効にできることを示すメッセージがページに表示されます。
  3. 「次へ」をクリックします。

所有者の追加

このステップでは、オーケストレート済システムのプライマリ所有者と追加所有者を追加します。

リソース所有権を関連付けるには、プライマリ所有者と追加所有者を追加します。これにより、これらの所有者は所有するリソースを管理(読取り、更新または削除)できるため、セルフサービスが促進されます。デフォルトでは、リソース作成者はリソース所有者として指定されます。1人のプライマリ所有者と最大20人の追加所有者をリソースに割り当てることができます。
ノート

サービス・インスタンスに対して最初のオーケストレート済システムを設定する場合、「アイデンティティの管理」セクションからアイデンティティを有効にした後にのみ所有者を割り当てることができます。
所有者を追加するには:
  1. 「プライマリ所有者は誰ですか。」フィールドで、Oracle Access Governanceのアクティブ・ユーザーをプライマリ所有者として選択します。
  2. 「他の所有者は誰ですか。」リストで1つ以上の追加所有者を選択します。リソースに最大20人の追加所有者を追加できます。
リストの「プライマリ所有者」を表示できます。すべての所有者は、所有するリソースを表示および管理できます。

アカウントの設定

ワークフローの「アカウント設定」ステップで、システムが管理対象システムとして構成されている場合、Oracle Access Governanceでアカウントを管理する方法を入力します:
  1. 権限が要求され、アカウントがまだ存在しない場合は、このオプションを選択して新しいアカウントを作成します。このオプションはデフォルトで選択されています。選択すると、権限が要求されたときにアカウントが存在しない場合、Oracle Access Governanceによってアカウントが作成されます。このオプションをクリアすると、権限はオーケストレート済システム内の既存のアカウントに対してのみプロビジョニングされます。アカウントが存在しない場合、プロビジョニング操作は失敗します。
  2. アカウント作成時の通知電子メールの受信者を選択します。デフォルトの受信者は「ユーザー」です。受信者が選択されていない場合、アカウントの作成時に通知は送信されません。
    • ユーザー
    • ユーザー・マネージャ
  3. 既存のアカウントの構成
    ノート

    これらの構成を設定できるのは、システム管理者によって許可されている場合のみです。グローバル・アカウント終了設定が有効になっている場合、アプリケーション管理者は、調整されたシステム・レベルでアカウント終了設定を管理できません。
    1. 早期終了開始時のアカウントの処理の選択: 早期終了の開始時に実行する処理を選択します。これは、正式な退職日より前にアイデンティティ・アクセスを取り消す必要がある場合に発生します。
      • 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。
        ノート

        特定のオーケストレート済システムでアクションがサポートされていない場合、アクションは実行されません。
      • 無効化: すべてのアカウントを無効化し、Oracle Access Governanceで管理される権限を無効化します。
        • 無効化されたアカウントの権限の削除: 残存アクセス権がゼロであることを確認するには、これを選択して、アカウントの無効化時に直接割り当てられた権限およびポリシーで付与された権限を削除します。
      • アクションなし: アイデンティティにOracle Access Governanceによる早期終了のフラグが付けられている場合、アクションは実行されません。
    2. 退職日のアカウントの処理の選択: 正式な退職時に実行する処理を選択します。これは、正式な退職日にIDアクセスを取り消す必要がある場合に発生します。
      • 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。
        ノート

        特定のオーケストレート済システムで「削除」アクションがサポートされていない場合、アクションは実行されません。
      • 無効化: すべてのアカウントを無効化し、Oracle Access Governanceで管理される権限を無効化します。
        • 無効化されたアカウントの権限の削除: 残存アクセス権がゼロであることを確認するには、これを選択して、アカウントの無効化時に直接割り当てられた権限およびポリシーで付与された権限を削除します。
        ノート

        特定のオーケストレート済システムで「無効化」アクションがサポートされていない場合は、アカウントが削除されます。
      • アクションなし: Oracle Access Governanceでは、アカウントおよび権限に対するアクションは実行されません。
  4. アイデンティティが企業を離れたときは、そのアカウントへのアクセス権を削除する必要があります。
    ノート

    これらの構成を設定できるのは、システム管理者によって許可されている場合のみです。グローバル・アカウント終了設定が有効になっている場合、アプリケーション管理者は、調整されたシステム・レベルでアカウント終了設定を管理できません。

    アカウントに対する次のアクションのいずれかを選択します。

    • 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。
    • 無効化: すべてのアカウントを無効化し、権限を非アクティブとしてマークします。
      • 無効化されたアカウントの権限の削除: アカウントの無効化時に直接割り当てられ、ポリシーで付与された権限を削除して、残存アクセスをゼロにします。
    • アクションなし: アイデンティティが組織を離れるときにアクションを実行しません。
    ノート

    これらのアクションは、オーケストレートされたシステム・タイプでサポートされている場合にのみ使用できます。たとえば、「削除」がサポートされていない場合、「無効化」および「アクションなし」オプションのみが表示されます。
  5. アカウントのすべての権限が削除された場合(アイデンティティが部門間を移動する場合など)、アカウントの処理を決定する必要がある場合があります。オーケストレート済システム・タイプでサポートされている場合、次のいずれかのアクションを選択します。
    • 削除
    • 使用不可
    • 処理なし
  6. アクセス・ガバナンスで作成されていないアカウントの管理: オーケストレート済システムで直接作成されるアカウントを管理する場合に選択します。これにより、既存のアカウントを調整し、Oracle Access Governanceから管理できます。
ノート

システムを管理対象システムとして構成しない場合、ワークフローのこのステップは表示されますが、有効になりません。この場合、ワークフローの「統合設定」ステップに直接進みます。
ノート

オーケストレート済システムで、汎用RESTおよびデータベース・アプリケーション表の統合と同様に動的スキーマ検出が必要な場合は、オーケストレート済システムの作成時に通知電子メールの宛先(ユーザー、Usermanager)のみを設定できます。モーバーおよびリーバの無効化/削除ルールは設定できません。これを行うには、オーケストレート済システムを作成してから、「オーケストレート済システム・アカウント設定の構成」の説明に従ってアカウント設定を更新する必要があります。

このオーケストレート済システムの場合、アイデンティティ・アカウントは無効化のみでき、削除はできません。したがって、ムーバーおよびリーバー・ケースに選択する選択肢はグレー表示されます。

統合設定

ワークフローの「統合設定」ステップで、Oracle Access GovernanceがSAP Aribaに接続できるようにするために必要な構成の詳細を入力します。

次の表の説明に従って構成情報を入力し、「追加」をクリックします。

統合の詳細
フィールド 説明 参照
SAP Aribaをホストしているレルム名は何ですか。 ソリューションの一意のレルム名を入力します。通常、これはs1.ariba.com/sourcing/Main/xxxxxrealm=MyRealm-Tという形式のURLで確認できます。 MyRealm-T レルム名を確認するにはどうすればよいですか。
データのロードに使用するAPI鍵は何ですか。 作成したアプリケーションの一意のAPIアプリケーション・キーを入力します 123abc12345ABXX
OAuthクライアントIDとは何ですか。 APIアプリケーションのクライアントIDを入力します。この情報は、アプリケーションのOAuth資格証明を生成したときに表示されます。 123ABC12345acxx OAuth資格証明の生成
OAuthクライアント・シークレットとは APIアプリケーションのクライアント・シークレットを入力します。この情報は、アプリケーションのOAuth資格証明を生成したときに表示されます。 123ABC12345aTT OAuth資格証明の生成
クライアントを検証する認証サーバーのURLは何ですか。 OAuthサーバーURLを入力し、v2を追加します。 https://< OAuth Server URL >/v2 OAuth認証サーバーURLのフェッチ
ユーザー名とは何ですか。 HTTP Basic認証のユーザーIDを入力します ag24sapariba SAP Aribaアカウントを管理するための設定- SAP Aribaでの新しい統合インバウンド・エンドポイントの構成
パスワードとは何ですか。 HTTP Basic認証のパスワードを入力してください ag24sapariba SAP Aribaアカウントを管理するための設定- SAP Aribaでの新しい統合インバウンド・エンドポイントの構成
パスワードの確認 確認のためにパスワードを再入力します ag24sapariba SAP Aribaアカウントを管理するための設定- SAP Aribaでの新しい統合インバウンド・エンドポイントの構成
テナンシの一意のパーティション名は何ですか。 レルムの一意のパーティション名を入力します prealm_1234 WSDLからパーティションIDおよびバリアント値をフェッチします
テナンシの一意のバリアント名は何ですか。 レルムの一意のバリアント名を入力します。 vrealm_1234 WSDLからパーティションIDおよびバリアント値をフェッチします

完了

構成設定をレビューおよび構成します。データ・ロードを実行する前にオーケストレート済システムをさらに構成するか、デフォルト構成を受け入れてデータ・ロードを開始するかを選択できます。

次の中から1つ選択します。
  • システムでデータ・ロードを有効化する前にカスタマイズします
  • 指定されたデフォルトで、データ・ロードのアクティブ化と準備を行います

構成後処理

SAP Aribaシステムに関連付けられた構成後ステップはありません。