Fusion Cloud Applicationsとの統合
概要: Oracle Access GovernanceとOracle Fusion Cloud Applicationsの統合
Oracle Access Governanceは、Oracle Fusion Cloud Applicationsと統合することで、アイデンティティ・オーケストレーションを実現できます。これには、アイデンティティ(ユーザー)データのオンボーディング、就業者情報、Oracle Human Capital (HCM)アカウントとOracle Enterprise Resource Planning (ERP)アカウントのプロビジョニングが含まれます。
- Oracle Fusion Cloud Applications HCMおよびOracle Fusion Cloud Applications ERPは、アイデンティティ情報の信頼できる(信頼できる)ソースであり、Oracle Fusion Cloud Applicationsで作成または変更された従業員の照合を可能にします。
- HCMおよびERPアプリケーション・アカウントのプロビジョニングを可能にするマネージド・システムとしてのOracle Fusion Cloud Applications。
Oracle Fusion Cloud Applications統合アーキテクチャの概要
Oracle Fusion Cloud Applicationsの統合により、アイデンティティ・データを取得し、そのデータをOracle Access Governanceに転送できます。接続が確立されると、管理対象システムに表示されるプロビジョニングおよび修正タスクを実行できます。
- 「認可ソース」モードを選択した場合、Oracle Fusion Cloud Applicationsオーケストレート済システムを設定できます。これにより、Oracle Access Governanceでは、Oracle Fusion Cloud Applicationsからアイデンティティ情報の信頼できる(信頼できる)ソースとしてアイデンティティ・データを取得できます。
- 「管理対象システム」構成モードを選択した場合、Oracle Access Governanceでは、Oracle Fusion Cloud ApplicationsでHCMおよびERPユーザー・プロファイル・レコードを管理できます。これにより、Oracle Access GovernanceからOracle Fusion Cloud Applicationsで新規アカウントのプロビジョニングが可能になります。
Oracle Fusion Cloud Applications統合の機能概要
Oracle Fusion Cloud Applications統合では、Oracle Human Capital (HCM)モジュールとOracle Enterprise Resource Planning (ERP)モジュールの両方がサポートされます。これには、オーケストレート済システムの構成、ユーザー・アカウントの作成、失効、パスワードの変更、ロールの割当てと削除が含まれます。
- Oracle Fusion Cloud Applicationsオーケストレート済システムの構成
Oracle Access GovernanceとOracle Fusion Cloud Applications間の統合の構成を参照してください
-
相関ルールを使用したアイデンティティ属性とアカウント属性の照合
アイデンティティ・データとアカウント・データを照合する照合ルールをレビューまたは構成し、コンポジット・アイデンティティ・プロファイルを作成します。このオーケストレート済システムのデフォルト照合ルールを表示するには、「デフォルトのサポートされている属性」を参照してください。
-
Oracle Access Governanceで管理できるアカウントおよびグループを取り込みます。Oracle Fusion Cloud Applicationsの部分データ・ロードを構成することもできます。詳細は、部分データ・ロード設定の構成を参照してください。
-
選択した構成モード(「認可ソース」または「管理対象システム」)に応じて、オーケストレートされたシステムからアカウント・データを取り込むか、アイデンティティに対するアクセスをリクエストします。Oracle Fusion Cloud Applicationsからのデータとしてのユーザー・レコードの取込み。
Oracle Access Governanceでは、個人/就業者レコードまたはユーザー・アカウントからの取込みがサポートされています。個人は、従業員番号、雇用関係、ジョブ・コード、個人レコードなどの雇用詳細を含むコアHCMエンティティを表します。ユーザー・アカウントは、Oracle Fusion Cloud Applicationsへのシステム・アクセス権を付与するセキュリティ・アイデンティティを表します。個人はユーザー・アカウントにリンクされています。
-
アカウントの更新
権限を割当てまたは削除して、アカウント詳細を更新します。これにより、事前定義済ロール、Oracle Fusion Cloud Applicationsアプリケーション・ロール、OCIグループおよびOracle Fusion Cloud Applicationsグループを更新できます。
-
アイデンティティに関連付けられているアカウント(ユーザー)を無効にします。これにより、Oracle Fusion Cloud Applicationsユーザー・アカウントのアクセス権が削除されます。
セキュリティ・コンテキストを使用した権限の割当て
Oracle Access Governanceユーザーは、「アクセスのリクエスト」で提供されるリソースおよびロールへのアクセスをリクエストできます。Oracle Access Governanceの「新規アクセスのリクエスト」機能を使用して、Oracle Fusion Cloud Applicationsアカウントに権限を割り当てることができます。これにより、Oracle Fusion Cloud Applicationsシステムのロールに対するセキュリティ詳細を持つ権限を含むアクセス・バンドルをリクエストできます。ロールおよびポリシーの管理の詳細は、ロールの管理およびポリシーの管理を参照してください。
- ビジネス・ユニット
- 資産台帳価額
- 元帳または元帳セット
- 参照データセット
- データ・アクセス・セット
- 在庫組織
- 会社間組織
- コスト組織
- 製造工場
Oracle Access Governanceでロールに対してアクセス・バンドルをリクエストすると、プロビジョニング操作が開始され、次のタイプのシナリオについてOracle Fusion Cloud Applicationsのロールが更新されます。
ポリシー作成時のセキュリティ・コンテキストを使用した権限の作成
- セキュリティ・コンテキストを持つ権限を持ち、ポリシーのアイデンティティ・コレクションにすでに関連付けられている新しいアクセス・バンドルを作成します。
- セキュリティ・コンテキストを持つ権限を持ち、ポリシーのアイデンティティ・コレクションにすでに関連付けられている新しいアクセス・バンドルを作成します。これは、ユーザーに同じ権限が割り当てられていて、セキュリティ・コンテキストが異なるアクセス・バンドルがすでに割り当てられている場合に適用されます。
セキュリティ・コンテキストの削除権限の編集
- セキュリティ・コンテキストを持つ権限があるアクセス・バンドルを編集して、関連付けられたポリシーのアイデンティティ・コレクションにすでに関連付けられている権限権限からセキュリティ・コンテキストを変更します。
- セキュリティ・コンテキストを持つ権限があるアクセス・バンドルを編集して、ポリシーを介してアイデンティティ・コレクションにすでに関連付けられている権限からセキュリティ・コンテキストを削除します。
職責範囲(AOR)
Oracle Access Governanceでは、職責範囲(AOR)がサポートされています。Oracle Fusion Cloud Human Capital Management (Fusion HCM)でセキュリティ・ロールを設定するには、アクセス権限を個人またはチームの特定の職務に連携させます。Oracle Fusion Cloud Applicationsでは、職責をアイデンティティに割り当てて、「勤務連絡先」リストの表示を制御できます。Oracle Access Governanceは、ユーザー・アカウントがパーソンにリンクされると、アカウント属性としてAORを取り込みます。Oracle Access GovernanceではAORをプロビジョニングできません。Oracle Fusion Cloud Applicationsで割当/再割当が処理されます。
調達エージェント(PO)
Oracle Access Governanceでは、Oracle Cloud ERPの調達エージェント(POエージェント)のプロビジョニングがサポートされており、ターゲット・ユーザー・アカウントが関連する就業者/個人情報にリンクされている場合です。調達エージェント・アクセスをアクセス・バンドルに含めて、適切な調達ビジネス・ユニット権限をユーザーに付与することでプロビジョニングできます。アクセス・バンドルの作成時に、「権限付与タイプ= 調達ビジネス・ユニット」(ロールではない)の権限を選択して、Oracle Access Governanceが意図した調達エージェント権限をプロビジョニングするようにします。
Oracle Access Governanceでユーザー・アカウントまたはその属性を直接更新すると、増分データ・ロードによって関連する調達エージェントが取得され、Oracle Access Governanceでそれらの変更が表示されますが、Oracle Fusion Cloud Applicationsの調達エージェントへの直接更新は、Oracle Access Governanceでは取得されません。
職務分掌(SOD)の予防分析
Oracle Access Governanceでは、Oracle Fusion Cloud Risk Management and Compliance (RMC)との統合を通じて、プロビジョニング・プロセス中にOracle Fusion Cloud Applicationsオーケストレート済システムの予防的職務分掌(SOD)分析を実行できます。職務分掌(SOD)は、意図しないエラーおよび故意な不正をより簡単に防止または検出できるように、承認、記録、処理および処理タスクなどのアクティビティを分離します。SODは、不正行為、不法行為、または悪な行為の発生を防止するために、複数のロール間にまたがって職務を制約します。
Oracle Access Governanceにおける職務分掌分析とプロビジョニング
Oracle Fusion Cloud Applicationsオーケストレート済システムを構成すると、Oracle Fusion Cloud Risk Management and Compliance (RMC)統合を有効にできます。Oracle Fusion Cloud Risk Management and Compliance(RMC)は、Oracle Cloud ERPの財務データへのユーザー・アクセスを制御し、ユーザー・アクティビティを監視し、自動化を通じてコンプライアンス規制への対応を容易にするセキュリティおよび監査ソリューションです。RCMSの機能の1つは、コントロールを使用してOracle Fusion Cloud Applicationsオーケストレート済システム内のSOD分析を分析することです。
- Oracle Fusion Cloud Applicationsオーケストレート済システムを構成して、権限を管理します。Fusion Cloud Applicationsとの統合およびFusion Cloud Applicationsとの統合を参照してください。
- 統合するOracle Fusion Cloud Applicationsインスタンスには、SODポリシーを定義するコントロールが構成されている必要があります。Oracle Fusion Cloud Risk Management and Compliance(RMC)は、AP、AR、GL、Payroll、Compensationなど、リスクの高いビジネス・プロセスに対してすぐに使用できるコントロールのライブラリを提供します。これらのコントロールは、RMCに付属のグラフィカル・ワークベンチを使用して、企業を反映するように更新できます。詳細は、Oracle Fusion Cloud Risk Management and Compliance (RMC)のドキュメンテーションを参照してください。
構成後、Oracle Access GovernanceはOracle Fusion Cloud Risk Management and Compliance (RMC)を使用して、ユーザーがアクセス・バンドルのアクセス・リクエストを行ったときにSOD違反をチェックします。リクエストを行うと、Preventive SOD Analysisアクティビティが開始され、アクティビティ・ログでモニターできます。このアクティビティでは、Oracle Fusion Cloud Risk Management and Compliance (RMC)に対して、ユーザーに対してSOD違反が発生し、要求されたアクセスが行われたことを示すコントロールがチェックされます。予防SOD分析プロセスは非同期に実行され、アクセス・リクエストに結果を返します。違反ありで承認された場合、Oracle Access Governanceは、正当性や条件付き確認を含む承認決定をRisk Management Cloud (RMC)に直接渡すことで、SoDフラグ付き違反のプロビジョニングを処理します。
- 予防SOD分析は、Oracle Fusion Cloud Applicationsですでに作成され、Oracle Fusion Cloud Risk Management and Compliance (RMC)エンジンで使用可能なユーザーに対してのみ実行できます。このユーザーがプロビジョニングされると、このオプションが有効な場合、ユーザーが行ったアクセス・リクエストはRMCによって分析されます。「職務分掌(SoD)チェックの前提条件」を参照してください。
- 特定のユーザーに対して一度に実行できる予防SOD分析タスクは1つのみです。前のアクセス要求からの予防SOD分析タスクの実行中にユーザーが2番目のアクセス要求を作成した場合、2番目のRMC要求は失敗します。予防SOD分析タスクが失敗するその他の理由には、RMCが使用不可であり、Oracle Fusion Cloud Applicationsにユーザー・アカウントがないことが挙げられます。
- アクセス・バンドルのリクエストでは、予防SOD分析がサポートされています。Oracle Access Governanceロールのアクセス・リクエストは、SOD分析ではサポートされていません。
例: Oracle Access Governanceでの職務分掌の予防
Oracle Access Governanceの動作における予防的な職務分掌の例を見てみましょう。組織内のユーザーがARアナリストからARマネージャに昇格された例を考えてみます。ユーザーは、新しい職務を実行するために、Oracle Access GovernanceのARマネージャ・アクセス・バンドルへのアクセスをリクエストします。
- ユーザーの現在の権限では、Oracle Fusion Cloud Applications ERPでユーザーの作成が許可され、リクエストされたアクセス・バンドルには報酬の管理が含まれます。
このパーミッションの組合せは、ゴースト従業員を作成し、報酬を設定することで給与不正が発生する可能性があります。この競合はアクセス・リクエストでフラグが付けられるため、承認者はリクエスト内の情報を確認し、必要に応じてRMCにログインして詳細情報を確認できます。この基準に基づいて、承認者は、リクエストを承認するか却下するか、またはアクセスを要求する個人に詳細情報を要求するかについて、情報に基づいた決定を行うことができます。
HCMユーザーのBithrightアクセスおよび早期終了
Oracle Access Governanceでは、開始日または参加日に基づいて、事前採用および採用への出生権のアクセス権が自動的に付与されます。
Oracle Access Governanceで出生権アクセスを構成するには、出生権アクセス権の付与を参照してください。
早期終了を構成するには、「早期終了のアクセス権の取消し」を参照してください。
- Oracle Access Governanceは、雇用の初日を示すHCM属性に基づいて、システムID属性
startDateを設定します。 - 将来、
startDateを使用してOracle Access Governanceに従業員の詳細が取り込まれると、Oracle Access Governanceによって従業員のステータスが「無効」に設定されます。 - 従業員の
startDateが現在の日付と一致すると、Oracle Access Governanceによって従業員のステータスが「アクティブ」に設定されます。 - 従業員の
terminationDateが現在の日付と一致する場合、従業員のステータスは「無効」に設定されます。検証については、Validate Configurationを参照してください。