Oracle Cloud Infrastructureドキュメント

Oracle Access GovernanceとSAP Aribaの統合

Oracle Access Governanceにより、APIベースのSAP Aribaとのシームレスな統合が可能になり、アイデンティティ・オーケストレーション、アカウントとグループのオンボーディングの自動化、アカウントのプロビジョニングと照合が可能になります。Oracle Access Governanceは、マネージド・システムとしてのSAP Aribaアカウントのアカウント管理およびグループ管理をサポートしています。

SAP Aribaは、クラウドベースの包括的な調達および支出管理サービスであり、調達から支払いまで、企業が調達プロセスを合理化および最適化するのに役立ちます。この統合により、アイデンティティ・アカウントを作成、更新、有効化および無効化できます。アカウントのグループを割り当てるか、Oracle Access Governanceから取り消すことができます。

概要: SAP Ariba Orchestrated System

接続の詳細を入力し、オーケストレート済システムを構成することで、SAP AribaとOracle Access Governanceの間の接続を確立できます。これを実現するには、Oracle Access Governanceコンソールで使用可能なオーケストレート済システム機能を使用します。

SAP Ariba統合アーキテクチャの概要

SAP Aribaでは、アイデンティティのフル・データおよび増分データ・ロードを実行できます。接続が確立されると、ユーザー・アカウントおよびグループに対してプロビジョニングおよび修正タスクを実行できます。

SAP Ariba統合では、2つのSAP Ariba APIを使用して、プロビジョニングと完全または増分データ・ロード(あるいはその両方)を行います。
  • SAP Ariba Import Users SOAP APIを使用して、SAP Ariba Strategic Sourcingソリューションの既存のサプライヤまたは顧客組織に対する勘定科目を作成、更新、有効化、無効化します。Oracle Access Governanceと同様に、SAP Aribaグループからアイデンティティを割り当てたり、取り消すことができます。
  • SAP Ariba Master Data Retrieval API for Sourcing REST APIを使用して、データを読み込み、Oracle Access Governanceでフルまたは増分データ・ロードを実行します。

機能の概要: SAP Ariba統合でサポートされているユース・ケース

SAP Ariba統合は、SAP Aribaアカウントのアカウント管理およびグループ管理をサポートしています。SAP Aribaオーケストレート済システムは、SAP Aribaのクラウド・アイデンティティ・モデル、同期アイデンティティ・モデルおよびフェデレーテッド・アイデンティティ・モデルのアカウントの管理をサポートします。

SAP Aribaオーケストレート済システムの構成

まず、SAP Ariba Orchestrated Systemを設定および構成します。詳細は、Oracle Access GovernanceとSAP Ariba間の統合の構成を参照してください。この構成は、Oracle Access Governanceに、データのロード方法およびこのオーケストレート済システムの権限の管理方法に関する接続詳細を提供します。

オプションで、次のような初期データ・ロードを実行する前に、オーケストレート済システムのさらに要素を構成できます。

データのロード

Orchestrated Systemを設定および検証した後、構成モード(管理対象システム)を使用して、SAP Aribaからアカウント詳細を取り込むことができます。これは、SAP AribaのアカウントおよびグループがOracle Access Governanceに取り込まれ、Oracle Access Governanceで管理できることを示しています。

SAP Aribaのユーザーはアカウントとして取り込まれ、SAP AribaグループはOracle Access Governanceの権限として取り込まれます。

Account Management for SAP Ariba - アカウントの作成、更新、有効化および無効化

次の方法で、Oracle Access Governanceでアカウントを作成できます。
  • SAP Aribaからのデータ・ロード操作の一部としてアカウントおよび権限を取り込みます。
  • SAP Aribaグループを含むロール、ポリシーまたはアクセス・バンドルがアイデンティティに割り当てられる場合。Oracle Access Governanceのアクティブなアイデンティティは、Oracle Access Governanceコンソールでセルフサービスの「新しいアクセスをリクエスト」機能を使用して、権限をリクエストできます。アクセス・バンドルまたはロールに対してアクセス・リクエストを作成すると、承認後にプロビジョニング操作が開始されます。

Oracle Access Governanceを使用してアカウント操作を管理する方法を次に示します

  • アカウントの作成: SAP Aribaの新規アカウントがグループ割当の一部として作成されます。SAP Aribaに対応するアカウントを持たないアイデンティティについてSAP Aribaグループをリクエストすると、新しいアカウントが作成され、アクセス・バンドル値に基づいてリクエストされたグループが割り当てられます。新しいアカウントおよびグループを関連付けるために、調整されたシステムによって「アカウントの作成」および「子データの追加」操作がトリガーされます。
  • アカウントの更新: SAP AribaアカウントがOracle Access Governanceによって管理され、対応するアカウントがSAP Aribaにすでに存在する場合、そのアカウントのSAP Aribaグループはアクセス・バンドルの値に基づいて更新されます。「アカウントの更新」プロビジョニング・タスクは、「子データの削除」および「子データの追加」とともにトリガーされます
  • アカウントの有効化: 権限のみが異なる場合、アカウントは有効なままになりますが、オーケストレート済システムで「子データの追加」または「子データの削除」操作(あるいはその両方)がトリガーされ、そのアカウントの権限が更新されます。
  • アカウントの無効化: すべての権限が削除された場合、SAP Aribaアカウントはアカウントの更新および子データの削除操作で無効化されます。

詳細は、アクティビティ・ログの表示を参照してください。

グループを権限として割当

Oracle Access Governanceの「新規アクセスのリクエスト」機能を使用して、グループをSAP Aribaアカウントに権限として割り当てることができます。これにより、SAP Aribaシステム上のグループと同等の権限を含むアクセス・バンドルをリクエストできます。

直接またはOracle Access Governanceのロールまたはポリシーを介してアクセス・バンドルをリクエストすると、プロビジョニング操作「子データの追加」が開始され、参照されるアクセス・バンドルに含まれる権限でSAP Aribaインスタンスのグループが更新されます。

SAP Aribaインスタンスに対応するアカウントがないアイデンティティに対してSAP Aribaグループをリクエストすると、アカウントの作成操作を使用してSAP Aribaインスタンスにも新しいアカウントが作成されます。

権限割当ての詳細は、「アクセスのリクエスト」を参照してください。ロールおよびポリシーの詳細は、「ロールの管理」および「ポリシーの管理」を参照してください。

権限としてのグループの取消し

アカウントに割り当てられているロール、ポリシーまたはアクセス・バンドルから権限を削除することで、アカウントからグループ権限を取り消すことができます。この場合、権限割当ては、ロール、ポリシーまたはアクセス・バンドルが適用されるすべてのユーザーから取り消されます。

権限を削除する別の方法は、特定のアカウントからロール、ポリシーまたはアクセス・バンドルの割当てを取り消すことです。これは、アクセス・レビューで取消し操作を使用して行われます。

権限のみが異なる場合、アカウントは有効なままですが、「子データの追加」または「子データの削除」操作(あるいはその両方)がトリガーされ、そのアカウントの権限が更新されます。すべての権限が削除されると、SAP Aribaアカウントが無効になります。

権限割当ての詳細は、「ロールの削除」「ポリシーの削除」または「アクセス・バンドルの管理」→「アクセス・バンドルの削除」を参照してください。

例: SAP Aribaのジョイナ・ユースケース

SAP Ariba Orchestrated Systemは、Oracle Access Governanceを使用して、SAP Aribaクラウド・サービス全体のアカウントおよびグループを管理するために使用されます。

シナリオ: 新しい従業員がチーム内のソーシング・マネージャとして参加し、SAP Aribaへのアクセスを適切なグループ・メンバーシップで自動的にプロビジョニングする必要があります。この例では、権限ソース、Oracle HCMおよびOracle Access Governanceデータとの統合が、この新しい従業員情報と同期されているとします。Oracle Access Governanceを使用して、SAP Aribaへのアカウントおよびグループ・メンバーシップをシームレスに管理します。
  1. 「Oracle Access GovernanceとSAP Ariba間の統合の構成」で定義されたステップを使用して、Oracle Access GovernanceでSAP Aribaインスタンスを構成します。
  2. データ・ロードを実行して、既存の勘定科目を突き合せます。Day 0の場合は「Full Data Load」、Day Nアクティビティの場合は「Lookup Data Load」によって、SAP AribaからOracle Access Governanceへのデータの取込みがトリガーされます。
  3. 照合ルール、変換、通知設定などをさらに追加するように、調整されたシステム設定を構成します。詳細は、オーケストレート済システムの設定の構成を参照してください。
  4. Oracle Access Governanceの「アクセス制御」セクションで、次を実行します
    1. SAP Ariba Orchestrated Systemのアクセス・バンドルを作成します。適切な「グループ」を選択します。詳細は、アクセス・バンドルの作成を参照してください。
    2. Oracle Access Governance内でポリシーを作成し、アクセス・バンドルをアイデンティティ・コレクション(Sourcing_Managersなど)に関連付けます。もう1つの方法は、セルフサービス機能を使用して、このアクセス・バンドルのアクセスをリクエストすることです。詳細は、ポリシーの管理およびリソースへのアクセスのリクエストを参照してください。
  5. アクセスが要求され、承認されると、グループメンバーシップが割り当てられた新しいアカウントが作成されます。「アカウントの作成」および「子データの追加」アクティビティがトリガーされ、SAP Aribaインスタンスへのアカウント・プロビジョニングがサポートされます。プロビジョニング操作が成功すると、新しいアカウントがSAP Aribaインスタンス内に作成されます。