COMPAREX wird SoftwareONE. Ab dem 1. April wird die COMPAREX AG ihren Markenauftritt in SoftwareONE ändern. Die Markenkonsolidierung ist Teil eines laufenden Integrationsprozesses im Zuge des Erwerbs der COMPAREX AG durch SoftwareONE.
oracle-fusion-cloud-setting-up-individual-users

Oracle Fusion Cloud

Wie richtet man einzelne User ein?

Oracle Fusion Cloud – Wie richtet man einzelne User ein?

Im Laufe der letzten Jahre hat sich Oracle ziemlich erfolgreich darin gezeigt, seine ERP-On-Premises-Kunden zum firmeneigenen Oracle Fusion Cloud Service zu migrieren. Auf seinem Weg, User hin zur Cloud zu bewegen, steht Oracle dabei in einem harten Wettbewerb. Und dass sich der Tech-Riese dabei mehr als formidabel schlägt, zeigt sich auch darin, dass er es geschafft hat, zahlreiche SAP-ERP-Kunden zum Wechsel zur eigenen Oracle Fusion Cloud zu bringen. Wohl auch einer der Gründe, warum Oracle zum fünften Jahr in Folge von Gartner als Leader ausgerufen wurde

Allerdings wurden auch bereits erste User der Oracle Fusion Cloud Services mit etwaigen Compliance-Claims konfrontiert. Viele von ihnen dachten sich wohl, dass es in der Cloud keine Probleme mehr mit der Compliance geben würde… leider falsch gedacht.

In diesem Artikel konzentrieren wir uns darauf, klarzustellen, wie die Lizenzmetriken der Fusion Cloud Services von Oracle die Bedeutung einer vollständigen wie genauen Einrichtung sowie Monitorings Ihrer User bestimmen. In den folgenden Artikeln widmen wir uns den häufigsten Compliance-Problemen bei Oracle Fusion Cloud-Kunden und den verschiedenen nicht-standardmäßigen Bedingungen, die Sie bei Ihren nächsten Verhandlungen mit Oracle erwirken können.

Oracle Fusion Cloud Services – Verschiedene Metriken

Oracle ist bekannt für die große Vielfalt an unterschiedlichen Definitionen von Lizenzmetriken. Dies verhält sich bei den Fusion Cloud Services von Oracle nicht anders. Die neueste von Oracle veröffentlichte Preisliste enthält bereits 36 verschiedene Metriken und zugehörige Metrik-Definitionen, unter denen Oracle seinen Fusion Cloud Service verkauft.

Die am häufigsten genutzten Metriken sind:

Hosted Named User

Hosted Named User ist definiert als eine Person, die von Ihnen autorisiert wurde, auf den gehosteten Dienst zuzugreifen, unabhängig davon, ob die Person zu einem bestimmten Zeitpunkt aktiv auf den gehosteten Dienst zugreift.

Hosted Employee

Hosted Employee ist definiert als (i) alle Ihre Vollzeit-, Teilzeit-, Zeitarbeitskräfte und (ii) alle Ihre Agenten, Auftragnehmer und Berater, die Zugang zu den Programmen haben, diese nutzen oder von ihnen getrackt werden. Die Anzahl der benötigten Lizenzen richtet sich nach der Anzahl der Mitarbeiter und nicht nach der tatsächlichen Anzahl der Benutzer. Wenn Sie sich dazu entschließen, eine oder mehrere Geschäftsfunktionen an ein anderes Unternehmen auszulagern, muss für die Ermittlung der Mitarbeiterzahl außerdem Folgendes berücksichtigt werden: alle Vollzeitmitarbeiter, Teilzeitmitarbeiter, Zeitarbeitskräfte, Agenten , Auftragnehmer und Berater,

  • die Outsourcing-Dienste bereitstellen und 
  • Zugang zu den Programmen haben, diese nutzen oder von ihnen verfolgt werden.


Basierend auf diesen Lizenzmetrik Definitionen ist es entscheidend, wie einzelne Benutzer „Zugriff“ auf die verschiedenen Rollen, Berechtigungen und zugehörigen Cloud-Services innerhalb eines Oracle Cloud-Abonnements erhalten, um die Compliance einhalten und Ihre Kosten kontrollieren zu können. Schauen wir uns also genauer an, wie die Bereitstellung des „Zugriffs“ tatsächlich funktioniert.

Rollenbasierte Zugriffskontrolle

Sobald Sie Ihre Oracle Cloud-Anwendung erhalten, erfolgt der Zugriff auf die verschiedenen Funktionen und Daten mithilfe des branchenüblichen Autorisierungs-Frameworks: Role-Based Access Control. Als End-User implementieren Sie diese von Oracle bereitgestellte rollenbasierte Zugriffskontrolle, damit einzelne User angemessenen Zugriff auf Daten und Funktionen haben. Das klingt auf den ersten Blick ziemlich einfach, oder?

Wenn Sie jedoch etwas genauer hinschauen, sollte Ihnen auffallen, dass dieses rollenbasierte Zugriffskontrollmodell auch seine Tücken hat, auf die Sie achten sollten:

  • Einem einzelnen USER werden eine oder mehrere ROLLEN zugewiesen
  • Eine einzelne ROLLE wird einer oder mehreren ZUGRIFFSBERECHTIGUNGEN zugewiesen (eine Rolle kann entweder Standard („seeded“) oder „custom“ sein)
  • Eine BERECHTIGUNG gehört einer oder mehreren CLOUD SERVICES an
  • Ein CLOUD SERVICE gehört einer oder mehreren CLOUD SUBSCRIPTIONS an 

Um Zugriff auf einen bestimmten Cloud-Dienst zu erhalten, erhalten einzelne User Zugriff auf Anwendungsdaten und -funktionen, indem Sie ihnen unterschiedliche Rollen zuweisen. Diese Rollen lassen sich in vier verschiedene Kategorien unterteilen:

  • Abstrakte Rolle: Diese Rolle definiert die Funktionen der Benutzer in der Organisation, die unabhängig von der tatsächlichen Tätigkeit der Person sind. Sie übernimmt die Pflichtrolle, enthält jedoch keine Sicherheitsrichtlinien. (z. B. Angestellter)
  • Jobrolle: Diese Rolle definiert einen bestimmten Job, für den ein Mitarbeiter verantwortlich ist. Ein Mitarbeiter kann viele Jobrollen haben. Es kann erforderlich sein, dass die Datenrolle die Aktionen der jeweiligen Objekte steuert. (z. B. Sachbearbeiterin Debitorenbuchhaltung).
  • Datenrolle: Diese Rolle definiert den Zugriff auf die Daten innerhalb einer bestimmten Aufgabe. Wer kann was mit welchem Datensatz tun? Die möglichen Aktionen sind „lesen“, „aktualisieren“. „löschen“ und „verwalten“. Nur Pflichtrollen haben explizite Berechtigungen zum Zugriff auf die Daten. Diese Berechtigungen steuern die Berechtigungen, z. B. in einer Benutzeroberfläche, die bestimmte Bildschirme, Schaltflächen, Datenspalten usw. anzeigen kann.
  • Pflichtrolle: Diese Rolle definiert eine Reihe von Aufgaben. Es ist die granularste Form einer Rolle. Die Job- und Abstract-Rollen erben die Duty-Rollen. Die Datensicherheitsrichtlinien werden an Pflichtrollen festgelegt, um Aktionen an allen entsprechenden Objekten zu steuern.

Das folgende Diagramm gibt einen Überblick über die Beziehung zwischen den verschiedenen Rollen:

oracle-fusion-cloud-setting-up-individual-users
Abbildung 1: Oracle’s Program Documentation (Quelle: https://docs.oracle.com)

Wenn Sie dieses Konzept verstanden haben, erkennen Sie, dass ein einzelner User gleichzeitig beliebig viele verschiedene Rollen haben kann. Die Kombination von Rollen bestimmt den Zugriff des Benutzers auf einen bestimmten Cloud-Dienst.

Einem einzelnen User können bspw. folgende Rollen zugewiesen werden:

  • Sales-Manager-Rolle,
  • Sales-Analyst-Rolle-,
  • Mitarbeiter-Rolle

In diesem Beispiel erhält der User Zugriff auf Folgendes:

  • Als Mitarbeiter, damit der Benutzer auf Mitarbeiterfunktionen und Daten zugreifen kann.
  • Als Sales Manager, damit der User auf Sales-Manager-Funktionen und -Daten zugreifen kann.
  • Als Sales Analyst kann der User auf Sales-Analyst-Funktionen und -Daten zugreifen.

Falls sich der User bei der Anwendung anmeldet (und erfolgreich authentifiziert wird), wird die User-Sitzung eingerichtet und alle dem bestimmten User zugewiesenen Rollen werden in das Sitzungsrepository geladen. Die Fusion-Cloud-Anwendung bestimmt den Satz von Berechtigungen für Anwendungsressourcen, die von den Rollen bereitgestellt werden, und gewährt dem User dann die höchstmögliche Zugriffsebene.

Beispiel

Um zu verstehen, wie sich der einzelne User und die damit verbundenen Rollen und Berechtigungen zu den Lizenzanforderungen für die verschiedenen Cloud-Dienste und die dazugehörigen Cloud-Abonnements ergeben, wurde das folgende reale Beispiel erstellt

User und seine RollenDer User „Max Mustermann“ hat die Rollen „Manager“ und „Mitarbeiter“.

Rollen und ihre Berechtigungen: Ein einzelner User kann eine oder mehrere Rollen haben.

Die Rolle “Mitarbeiter” beinhaltet u.a. folgende Berechtigungen:

  • Zugriff auf Time Work Area
  • Erstellung von Performance-Dokumenten nach Mitarbeitenden
  • Verwaltung der Spesenabrechnung

Die Rolle “Line Manager” beinhaltet u.a. folgende Berechtigungen:

  • Erstellung von Performance-Dokumenten nach Manager
  • Verwaltung von Team-Reputation-Tasks
  • Zugriff auf Learning Common Components

Berechtigungen und ihre Cloud Services: Eine Berechtigung kann zu einem oder mehreren Cloud-Diensten gehören. Beginnt man mit dem „Mapping“ der unterschiedlichen Privilegien auf Cloud-Dienste, lassen sich folgende Schlussfolgerungen ziehen: 

Die Berechtigung “Access Time Work Area” bezieht sich auf 

  • “Time and Labor Cloud Service” UND 
  • “Enterprise Resource Planning for Self Service Cloud Service”

Die Berechtigung “Create Performance Document by Worker” bezieht sich auf 

  • “Performance Management Cloud Service”

Die Berechtigung “Manage Expense Reports” bezieht sich auf

  • Enterprise Resource Planning for Self Service Cloud Service

Die Berechtigung “Create Performance Document by Manager” bezieht sich auf

  • “Performance Management Cloud Service”

Die Berechtigung “Manage Team Reputation Tasks” bezieht sich auf

  • “Workforce Reputation Management Cloud Service”

Die Berechtigung “Access Learning Common Components” bezieht sich auf

  • “Oracle Learning Cloud Service”

Cloud Services vs Cloud Subscriptions: Ein funktionsfähiger Cloud-Service kann zu einer oder mehreren Cloud-Subscriptions gehören, die von Oracle erworben werden können. Wenn Sie beginnen, die verschiedenen Cloud-Dienste auf jeweilige Cloud-Subscriptionen zu „mappen“, können folgende Schlussfolgerungen gezogen werden:

  • Der Cloud-Service „Time and Labor Cloud Service“ bezieht sich auf die Cloud-Subscription „Oracle Fusion Time and Labor Cloud Service“
  • Der Cloud-Service „Enterprise Resource Planning for Self Service Cloud Service“ bezieht sich auf die Cloud-Subscription „Oracle Fusion Enterprise Resource Planning for Self Service Cloud Service“
  • Der Cloud-Service “Performance Management Cloud Service” bezieht sich auf die Cloud-Subscription “Oracle Fusion Talent Management and Workforce Compensation Cloud Service” oder “Oracle Fusion Talent Management for Coexistence Cloud Service”
  • Der Cloud-Service “Workforce Reputation Management Cloud Service” bezieht sich auf die Cloud-Subscription “Oracle Human Capital Management Base Cloud Service”
  • Der Cloud-Service ” Oracle Learning Cloud Service” bezieht sich auf die Cloud-Subscription “Oracle Fusion Learning Cloud Service”

Zusammengefasst: Nach all diesen “Mappings” ist klar, dass der einzelne User Max Musternmann u.a. eine Hosted-Named-User-Subscription hält für:

  • Oracle Fusion Time and Labor Cloud Service
  • Oracle Fusion Enterprise Resource Planning for Self Service
  • Oracle Fusion Talent Management and Workforce Compensation Cloud Service oder Oracle Fusion Talent Management for
  • Coexistence Cloud Service
  • Oracle Human Capital Management Base Cloud Service
  • Oracle Fusion Learning Cloud Service

Standard-Rollen (Seeded Roles)

Im standardmäßig bereitgestellten Oracle Fusion Cloud Service werden mehrere Standard-Jobrollen – sogenannte Seeded Roles – bereitgestellt. Diese Standard-Rollen können sofort verwendet werden und ermöglichen Ihnen als Endbenutzer:

  • die sofortige Nutzung vordefinierter Rollen (schnelleres „Time-to-Value“)
  • die Reduktion von Kosten für das Betriebssicherheitsmanagement (durch standardisierte Rollen)
  • ein schnelles Scale-up (da diese Rollen in allen Oracle Fusion-Lösungen vorhanden sind, ist die Einführung eines neuen Moduls theoretisch einfach)

Es gibt jedoch auch mehrere Nachteile. Abgesehen von der Tatsache, dass viele Endbenutzer keinen Überblick darüber haben, wie die Nutzung des Fusion Cloud Service ihren Sicherheitsanforderungen entspricht (da er auf den nicht öffentlich verfügbaren Cloud SoD-Richtlinien von Oracle basiert), wird jedes Quartal ein neues Update der Oracle Fusion Cloud-Software veröffentlicht.

Die Updates der Oracle Fusion Cloud-Software können neue Funktionen und den Zugriff auf diese vorkonfigurierten „seeded roles“ einführen. Mit anderen Worten, die einzelnen User, die "seeded roles" verwenden, können Einzelpersonen unangemeldet Zugriff auf Funktionen oder Cloud-Services gewähren, für die Sie als Endbenutzerorganisation keine Oracle Cloud-Subscription besitzen, was zu einem Compliance-Problem führt. Denn jede Person, die zur Nutzung des Cloud-Dienstes „berechtigt“ ist, unabhängig davon, ob sie den Cloud-Dienst aktiv nutzt, benötigt eine eigene Subscription!

Obwohl standardmäßige „seeded roles“ als Zukunftsmodell angesehen werden (und obwohl Oracle Support-Mitarbeiter manchmal angeben, dass Sie keinen Support erhalten könnten, wenn sie benutzerdefinierte Rollen verwenden), wird Ihnen jederzeit empfohlen – sowohl aus Sicherheits-, Compliance- sowie aus Kostenkontrollperspektive – benutzerdefinierte Rollen zu nutzen. Benutzerdefinierte Rollen werden von neueren Versionen des Cloud-Services nicht betroffen sein.

Obwohl viele End User anfangs dachten, dass mit der „Cloud“ alle alten Compliance-Probleme verschwinden würden, sieht die Realität ganz anders aus. Ein präzises wie aktuelles Verständnis der erhaltenen Rechte aus Ihren Cloud-Subscriptions und der regelmäßige Abgleich dieser mit Ihrem tatsächlichen Verbrauch ist weiterhin erforderlich, um Kosten zu vermeiden und zu sparen. Die Oracle Advisory Services von SoftwareONE wurden speziell entwickelt, um Ihnen als End User dabei zu helfen, diese Ziele zu erreichen. Wenden Sie sich an Ihren SoftwareONE-Ansprechpartner, um einen Anruf mit einem unserer Lösungsspezialisten zu vereinbaren.

Übernehmen Sie die Kontrolle über Ihre Cloud-Reise

Compliance-Probleme sind auch in der Cloud nicht völlig verschwunden, daher sollten Sie Ihre Rechte genau kennen. Wir unterstützen Sie dabei das Compliance-Risiko zu minimieren und Kosten in der Cloud zu sparen.

Mehr erfahren

Kommentieren Sie diesen Artikel

Hinterlassen Sie einen Kommentar, um uns mitzuteilen, was Sie von diesem Thema halten!

Kommentar hinterlassen

Autor

Richard Spithoven

Richard Spithoven

EMEA Solution Advisor für Oracle, SAP, IBM

Software Lifecycle Management Specialist

Verwandte Artikel

schritte-zur-hybrid-multi-cloud

In 8 Schritten zur Hybrid & Multi Cloud

Mit diesen 8 wichtigen Schritten stellen Sie sicher, dass Ihr Umstieg auf eine Hybrid- oder Multi-Cloud-Strategie zum Erfolg wird.

workspace-one-azure-ad-conditional-access-mac-os

VMware Azure AD Conditional Access für macOS

Seit Ende 2021 können Sie Richtlinien für einen bedingten Zugriff nun auch auf macOS-Geräten anwenden, die von Workspace ONE verwaltet werden.

vmware-tanzu-kubernetes-leicht-gemacht

Kubernetes leicht gemacht.

Mit VMware und Tanzu ist Kubernetes in Unternehmen so leicht wie nie zuvor. Unser Experte verrät, wie einfach es geht.