Oracle Cloud Infrastructureドキュメント

Oracle e-Business User Management (UM)との統合

Oracle e-Business Suite User Management (UM)とOracle Access Governanceの間の接続を確立するには、接続の詳細を入力し、コネクタを構成します。これを実現するには、Oracle Access Governanceコンソールで使用可能なオーケストレート済システム機能を使用します。

事前インストール

Oracle e-Business User Management (UM)オーケストレート済システムをインストールおよび構成する前に、次の前提条件およびタスクを考慮する必要があります。

動作保証されたコンポーネント

システムは次のいずれかです。

  • Oracle E-Business Suite 12.1.1から12.1.3
  • Oracle E-Business Suite 12.2.x
これらのアプリケーションは、単一データベースまたはOracle RAC実装として、Oracle Database 10g、11g、12cまたは19cで実行できます。
ノート

ターゲット・システムがOracle Databaseリリース19.xで実行されている場合は、My Oracle SupportからOracle Databaseパッチ31142749をダウンロードして適用します. このパッチを適用すると、プロビジョニング操作の正常な動作が保証されます。

サポートされている操作

Oracle e-Business User Management (UM)オーケストレート済システムは、次の操作をサポートします。
  • ユーザーの作成
  • ロールの追加
  • ロールの更新
  • ロールの削除
  • 職責の追加
  • 職責の更新
  • 職責の削除
Oracle E-Businessでは、FND_USERレコードはユーザー管理アカウントを表します。このレコードは、Oracle E-Business User Management (UM)オーケストレート済システムによって管理が有効化されるアカウント・データの主要なコンポーネントです。このオーケストレート済システムは、TCAレコードのFND_USERレコードまたはFND_USERレコードのいずれかを管理するために使用できます。つまり、このコネクタを使用して、プレーンなユーザー・アカウントまたはパーティを持つユーザー・アカウントを管理します。Oracle e-Business User Management (UM)オーケストレート済システムを使用して、OIGユーザー用のOracle E-Business Suiteユーザー・アカウント(FND_USERレコード)を作成したり、これらのアカウントにユーザー・ロールと職責を付与したりできます。新たに作成されたユーザーおよび変更されたユーザー・アカウント(FND_USERレコード)を管理対象システムからリコンサイルすることもできます。これらのリコンサイルされたレコードは、OIGユーザーに割り当てられたOracle E-Business User Managementアカウントの作成および更新に使用されます。このオーケストレート済システムを使用すると、Oracle E-Business User Managementアカウントの作成に加えて、管理対象システムにパーティまたはベンダー(サプライヤ)を作成できます。パーティまたはベンダーは、HZ_PARTIES表のTrading Community Architecture (TCA)レコードを表します。Oracle E-Business SuiteのiStoreやiProcurementなどの一部のアプリケーションでは、ユーザーが組織内のパーティおよびベンダーの担当者または従業員であるTCAレコードを保持する必要があります。このコネクタがサポートしているTCAレコードのタイプは、次のとおりです。
  • パーティ
  • ベンダー(サプライヤ)

TCAパーティを持つOracle E-Business User Management (UM)オーケストレート済システムに使用されるオブジェクト・クラスは、ACCOUNTです。ロールおよび職責は、子データとして処理されます。このオーケストレート済システムを使用すると、既存のロールと職責を削除することもできます。ユーザーのプロビジョニング時に、Oracle E-Businessユーザー情報とともにパーティまたはサプライヤの情報を入力すると、コネクタではまずE-Businessユーザー・アカウントが作成され、次にパーティまたはベンダーが作成されてからユーザー・レコードとTCAレコード間のリンクが設定します。パーティまたはサプライヤ・レコードとリンクされているターゲット・システムのユーザーの場合、FND_USER表のPERSON_PARTY_ID列の値は、ユーザー・プロビジョニングの作成または更新操作のHZ_PARTIES table.DuringのPARTY_ID列の値と同じで、個人IDを指定して、管理対象システム・ユーザー・アカウントと既存のHRMS従業員レコードをリンクできます。

Oracle e-Business User Management (UM)オーケストレート済システム操作のシステム・ユーザー・アカウントの作成

Oracle Access Governanceでは、システムにアクセスするためのユーザー・アカウントが必要です。これは、コネクタがコネクタ操作を実行するために使用できます。使用しているシステムに応じて、システム内でユーザーを作成し、そのユーザーに特定の権限とロールを割り当てることができます。

Oracle e-Business User Management (UM)の場合:

  1. https://github.com/oracle/docker-images/tree/main/OracleIdentityGovernance/samples/scripts/Oracle_EBS_UM/1.0の場所にあるすべてのファイルをダウンロードし、システム・ホスト・コンピュータまたはOracle Database Clientがインストールされているコンピュータの一時ディレクトリにコピーします。

    または、次のステップを実行してスクリプトを取得することもできます。

    1. wget https://github.com/oracle/docker-images/archive/refs/heads/main.zip

    2. unzip main.zip

    3. cp docker-images-main/OracleIdentityGovernance/samples/scripts/Oracle_EBS_UM/1.0/* TEMP_DIR

      TEMP_DIRは、システム・ホスト・コンピュータまたはOracle Database Clientがインストールされているコンピュータの一時ディレクトリです。

  2. On the computer where you copy the scripts directory, verify that there is a TNS entry in the tnsnames.ora file for the system database.

  3. scriptsディレクトリが含まれ、ホスト・プラットフォーム依存しているディレクトリに変更し、Run_UM_DBScripts.shまたはRun_UM_DBScripts.batファイルを実行します。これらのファイルは、https://github.com/oracle/docker-images/tree/main/OracleIdentityGovernance/samples/scripts/Oracle_EBS_UM/1.0の場所にあります。

  4. スクリプトを実行すると、次の情報を求められます。

    • Enter the ORACLE_HOME

      ORACLE_HOME環境変数の値を設定します。このプロンプトは、スクリプトを実行するコンピュータにORACLE_HOME環境変数が設定されていない場合にのみ表示されます。

    • Enter the System User Name

      権限を持つDBAアカウントのログイン(ユーザー名)を入力して新しいシステム・ユーザーを構成します。

    • Enter the name of the database

      tnsnames.oraファイルで提供される接続文字列またはサービス名を入力して、システム・データベースに接続します。

      これにより、SQL*Plusクライアントに接続できます。

    • Enter password

      システムのAPPSユーザーの パスワードを入力します。タイプおよびパッケージが作成され、データベースとの接続が切断されます。

    • Enter password

      dbaユーザーのパスワードを入力します。

    • Enter New database Username to be created

      作成するデータベース・アカウントのユーザー名を入力します。

    • Enter the New user password

      作成するデータベース・アカウントのパスワードを入力します。

      これにより、APPSスキーマの下ですべてのラッパー・パッケージがインストールされ、新しいデータベース・アカウントが生成され、その後、表およびパッケージにすべての必要な権限を付与されます。

    • Connecting with newly created database user

      以前に指定した接続文字またはサービス名を入力します。

    コネクタ操作用のユーザー・アカウントが作成されます。

インストール

Oracle e-Business User Management (UM)とOracle Access Governanceの間の接続を確立するには、接続の詳細を入力し、環境を構成します。これを実現するには、Oracle Access Governanceコンソールで使用可能なOrchestrated Systems機能を使用します。

「Orchestrated Systems」ページに移動します。

次のステップに従って、Oracle Access Governanceコンソールの「Orchestrated Systems」ページにナビゲートします。
  1. Oracle Access Governanceのナビゲーション・メニュー・アイコンナビゲーション・メニューから、「Service Administration」→「Orchestrated Systems」を選択します。
  2. ワークフローを開始するには、「オーケストレート済システムの追加」ボタンを選択します。

システムの選択

ワークフローの「システムの選択」ステップで、オンボーディングするアプリケーションのタイプを指定できます。

  1. 「Oracle E-Business User Management」を選択します。
  2. 「次へ」をクリックします。

詳細の追加

ワークフローの「詳細の追加」ステップで、オーケストレート済システムの詳細を入力します:
  1. 「名前」フィールドに、接続先のシステムの名前を入力します。
  2. 「説明」フィールドに、システムの説明を入力します。
  3. 「次へ」を選択します。

所有者の追加

リソース所有権を関連付けるには、プライマリ所有者と追加所有者を追加します。これにより、これらの所有者は所有するリソースを管理(読取り、更新または削除)できるため、セルフサービスが促進されます。デフォルトでは、リソース作成者はリソース所有者として指定されます。1人のプライマリ所有者と最大20人の追加所有者をリソースに割り当てることができます。
ノート

サービス・インスタンスに対して最初のオーケストレート済システムを設定する場合、「アイデンティティの管理」セクションからアイデンティティを有効にした後にのみ所有者を割り当てることができます。
所有者を追加するには:
  1. 「プライマリ所有者は誰ですか。」フィールドで、Oracle Access Governanceのアクティブ・ユーザーをプライマリ所有者として選択します。
  2. 「他の所有者は誰ですか。」リストで1つ以上の追加所有者を選択します。リソースに最大20人の追加所有者を追加できます。
リストの「プライマリ所有者」を表示できます。すべての所有者は、所有するリソースを表示および管理できます。

アカウント設定

ワークフローの「アカウント設定」ステップで、システムが管理対象システムとして構成されている場合、Oracle Access Governanceでアカウントを管理する方法を入力します:
  1. 権限が要求され、アカウントがまだ存在しない場合は、このオプションを選択して新しいアカウントを作成します。このオプションはデフォルトで選択されています。選択すると、権限が要求されたときにアカウントが存在しない場合、Oracle Access Governanceによってアカウントが作成されます。このオプションをクリアすると、権限はオーケストレート済システム内の既存のアカウントに対してのみプロビジョニングされます。アカウントが存在しない場合、プロビジョニング操作は失敗します。
  2. アカウント作成時の通知電子メールの受信者を選択します。デフォルトの受信者は「ユーザー」です。受信者が選択されていない場合、アカウントの作成時に通知は送信されません。
    • ユーザー
    • ユーザー・マネージャ
  3. 既存のアカウントの構成
    ノート

    これらの構成を設定できるのは、システム管理者によって許可されている場合のみです。グローバル・アカウント終了設定が有効になっている場合、アプリケーション管理者は、調整されたシステム・レベルでアカウント終了設定を管理できません。
    1. 早期終了開始時のアカウントの処理の選択: 早期終了の開始時に実行する処理を選択します。これは、正式な退職日より前にアイデンティティ・アクセスを取り消す必要がある場合に発生します。
      • 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。
        ノート

        特定のオーケストレート済システムでアクションがサポートされていない場合、アクションは実行されません。
      • 無効化: すべてのアカウントを無効化し、Oracle Access Governanceで管理される権限を無効化します。
        • 無効化されたアカウントの権限の削除: 残存アクセス権がゼロであることを確認するには、これを選択して、アカウントの無効化時に直接割り当てられた権限およびポリシーで付与された権限を削除します。
      • アクションなし: アイデンティティにOracle Access Governanceによる早期終了のフラグが付けられている場合、アクションは実行されません。
    2. 退職日のアカウントの処理の選択: 正式な退職時に実行する処理を選択します。これは、正式な退職日にIDアクセスを取り消す必要がある場合に発生します。
      • 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。
        ノート

        特定のオーケストレート済システムで「削除」アクションがサポートされていない場合、アクションは実行されません。
      • 無効化: すべてのアカウントを無効化し、Oracle Access Governanceで管理される権限を無効化します。
        • 無効化されたアカウントの権限の削除: 残存アクセス権がゼロであることを確認するには、これを選択して、アカウントの無効化時に直接割り当てられた権限およびポリシーで付与された権限を削除します。
        ノート

        特定のオーケストレート済システムで「無効化」アクションがサポートされていない場合は、アカウントが削除されます。
      • アクションなし: Oracle Access Governanceでは、アカウントおよび権限に対するアクションは実行されません。
  4. アイデンティティが企業を離れたときは、そのアカウントへのアクセス権を削除する必要があります。
    ノート

    これらの構成を設定できるのは、システム管理者によって許可されている場合のみです。グローバル・アカウント終了設定が有効になっている場合、アプリケーション管理者は、調整されたシステム・レベルでアカウント終了設定を管理できません。

    アカウントに対する次のアクションのいずれかを選択します。

    • 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。
    • 無効化: すべてのアカウントを無効化し、権限を非アクティブとしてマークします。
      • 無効化されたアカウントの権限の削除: アカウントの無効化時に直接割り当てられ、ポリシーで付与された権限を削除して、残存アクセスをゼロにします。
    • アクションなし: アイデンティティが組織を離れるときにアクションを実行しません。
    ノート

    これらのアクションは、オーケストレートされたシステム・タイプでサポートされている場合にのみ使用できます。たとえば、「削除」がサポートされていない場合、「無効化」および「アクションなし」オプションのみが表示されます。
  5. アカウントのすべての権限が削除された場合(アイデンティティが部門間を移動する場合など)、アカウントの処理を決定する必要がある場合があります。オーケストレート済システム・タイプでサポートされている場合、次のいずれかのアクションを選択します。
    • 削除
    • 使用不可
    • 処理なし
  6. アクセス・ガバナンスで作成されていないアカウントの管理: オーケストレート済システムで直接作成されるアカウントを管理する場合に選択します。これにより、既存のアカウントを調整し、Oracle Access Governanceから管理できます。
ノート

システムを管理対象システムとして構成しない場合、ワークフローのこのステップは表示されますが、有効になりません。この場合、ワークフローの「統合設定」ステップに直接進みます。
ノート

オーケストレート済システムで、汎用RESTおよびデータベース・アプリケーション表の統合と同様に動的スキーマ検出が必要な場合は、オーケストレート済システムの作成時に通知電子メールの宛先(ユーザー、Usermanager)のみを設定できます。モーバーおよびリーバの無効化/削除ルールは設定できません。これを行うには、オーケストレート済システムを作成してから、「オーケストレート済システム・アカウント設定の構成」の説明に従ってアカウント設定を更新する必要があります。

統合設定

ワークフローの「統合設定」ステップで、Oracle Access Governanceがシステムに接続できるようにするために必要な構成の詳細を入力します。

  1. 「JDBC URLテンプレート」フィールドで、データベース接続文字列をhost:post:sid構文形式で指定します。たとえば、jdbc:oracle:thin:@%host:%port:%sidです。JDBC URLフォーマットの詳細は、JDBC URLおよび接続プロパティ・パラメータの値の判別を参照してください。
  2. 「ユーザー」フィールドに、Oracle Access GovernanceがOracle E-Business Suite User Managementシステムへの接続に使用するDBユーザー・アカウントのユーザーIDを入力してください。たとえば、syssysdbaとして指定します。
  3. 「パスワード」フィールドにターゲット・データベース・ユーザーのパスワードを入力します。「パスワードの確認」フィールドで、パスワードを確認します。
  4. 「追加」をクリックします。

完了

ワークフローの最後のステップは「終了」で、オーケストレート済システムのエージェントをダウンロードするように求められます。エージェントをダウンロードしたら、Oracle Access Governance Agentのインストールの手順を使用して、環境にエージェントをインストールおよび構成できます。

データ・ロードを実行する前にオーケストレート済システムをさらに構成するか、デフォルト構成を受け入れてデータ・ロードを開始するかを選択できます。次の中から1つ選択します。
  • システムでデータ・ロードを有効化する前にカスタマイズします
  • 指定されたデフォルトで、データ・ロードのアクティブ化と準備を行います

インストール後の作業

Oracle E-Business User Managementシステムに関連付けられたインストール後のステップはありません。