Esercitazione: Integrazione di Microsoft Entra ID con Oracle HCM
L'API del provisioning in ingresso è una funzionalità che consente di creare, aggiornare ed eliminare utenti in Microsoft Entra ID e Active Directory locale da un'origine esterna, ad esempio Human Capital Management (HCM) di Oracle. Questa funzionalità consente alle organizzazioni di migliorare la produttività, rafforzare la sicurezza e soddisfare più facilmente i requisiti normativi e di conformità.
È possibile usare Microsoft Entra ID Governance per garantire automaticamente agli utenti corretti l'accesso corretto alle risorse corrette. Questo accesso include l'automazione dei processi di identità e accessi, la delega ai gruppi aziendali e l’aumento della visibilità.
In questa esercitazione vengono illustrati i passaggi e le procedure consigliate per l'integrazione di Oracle HCM con Microsoft Entra ID tramite provisioning basato sulle API. Si apprenderà come:
- Preparare l'ambiente e configurare le impostazioni API
- Esportare i dati del ruolo di lavoro da Oracle HCM in formato CSV e trasformarli nel formato System for Cross-domain Identity Management (SCIM) usando script Microsoft
- Inviare i dati del ruolo di lavoro alle APi del provisioning in ingresso usando PowerShell o App per la logica
- Eseguire sincronizzazioni delta per mantenere aggiornati i dati del ruolo di lavoro usando le API del feed ATOM di Oracle o HCM Extracts
- Configurare il writeback (se necessario) da Microsoft Entra ID a Oracle HCM usando le API SCIM di HCM di Oracle
Terminologia
Oracle HCM Fusion Cloud (oracle.com): questa guida è incentrata in particolare su come eseguire l'integrazione da Oracle HCM Fusion Cloud a Microsoft Entra ID. Altre offerte Oracle, ad esempio PeopleSoft e Taleo, non rientrano nell'ambito di questa esercitazione.
Licenze:
Microsoft Entra ID P1 / EMS E3 / Microsoft 365 E3: queste licenze consentono di usare la nuova funzionalità di provisioning basata sulle API.
Licenza microsoft Entra ID Governance: questa licenza del componente aggiuntivo è necessaria per configurare i flussi di lavoro del ciclo di vita.
Sottoscrizione ad Azure: questa sottoscrizione è necessaria se si prevede di usare App per la logica di Azure.
Prerequisiti
Prima di iniziare a integrare Oracle HCM con Microsoft Entra ID usando l'API del provisioning in ingresso, è necessario assicurarsi di disporre dei prerequisiti seguenti:
Un account Oracle HCM (oracle.com) con privilegi per:
- Visualizzare ed esportare i dati HCM.
- Accedere alle API REST di Oracle HCM. Per questa esercitazione si è fatto riferimento a Risorse umane 24A (oracle.com). e Applicazioni comuni 24A (oracle.com).
Un tenant di Microsoft Entra ID con almeno la licenza P1 (o EMS E3/Microsoft 365 E3):
Per installare l'agente di provisioning (solo utenti ibridi), è necessario accedere al server Microsoft Windows connesso al dominio AD.
Per creare un'app di raccolta e un lavoro di provisioning, sono necessari i ruoli Amministratore di applicazioni e Amministratore di identità ibride di Microsoft Entra.
Informazioni generali sull'integrazione
Esistono tre scenari di sincronizzazione principali che è possibile usare per configurare un'integrazione HR. Il diagramma di questa sezione illustra questi scenari di sincronizzazione. Questa guida è suddivisa e organizzata in tre sezioni. Per ogni flusso di lavoro viene fornito un consiglio su come configurare il flusso di lavoro.
La sincronizzazione iniziale/completa è il processo di sincronizzazione di tutti i dati del ruolo di lavoro tra due sistemi, in questo caso: Oracle HCM e Microsoft Entra ID direttamente o per Active Directory locale (AD locale). Questo processo include tutte le identità e gli attributi del ruolo di lavoro, ad esempio informazioni personali, informazioni sul contatto, informazioni sull'impiego e altro ancora. In genere, durante la configurazione iniziale dell'integrazione eseguita una sincronizzazione completa per garantire che tutti i dati del ruolo di lavoro siano coerenti e aggiornati in entrambi i sistemi.
La sincronizzazione delta è il processo che prevede la sincronizzazione solo delle modifiche o degli aggiornamenti che si sono verificati dopo l'ultima sincronizzazione con Oracle HCM. Di solito le sincronizzazioni delta vengono eseguite dopo la sincronizzazione completa iniziale, per mantenere aggiornati i dati del ruolo di lavoro con eventuali modifiche apportate nel sistema di origine. Questo processo include nuovi dipendenti, dati aggiornati dei dipendenti o dipendenti eliminati. Le sincronizzazioni delta sono aggiornamenti incrementali più veloci ed efficienti rispetto all'esecuzione di una sincronizzazione completa ogni volta che i dati del ruolo di lavoro cambiano.
Il writeback è il processo facoltativo che consiste nell’invio di modifiche dell'attributo utente che si verificano in Microsoft Entra ID (ad esempio nome utente, email e numeri di telefono) a Oracle HCM.
Passaggi di integrazione
| # | Passaggio | Cosa fare | Chi coinvolgere |
|---|---|---|---|
| 1. | Determinare la serie di attributi di cui si vuole eseguire il provisioning da HCM | • Fare riferimento a questo elenco di attributi HCM e determinare quali attributi si vuole esportare in Microsoft Entra ID • Eseguire il mapping degli attributi Oracle HCM per gli attributi SCIM • Definire regole di generazione e trasformazione di ID univoci |
Amministratore Oracle HCM e Amministratore IT |
| 2. | Concedere autorizzazioni all'API del provisioning in ingresso | Creare un'applicazione per rappresentare il client API e concedergli le autorizzazioni per inviare dati all'endpoint del provisioning in ingresso | Amministratore IT - Amministratore ruolo con privilegi |
| 3. | Determinare la destinazione del provisioning: si effettua il provisioning di identità solo cloud in Microsoft Entra ID identità ibride in AD locale? | Se la destinazione è Microsoft Entra ID (provisioning delle identità solo cloud): • Configurare l'app di raccolta • Eseguire il mapping degli attributi SCIM in Microsoft Entra Se la destinazione è AD locale (provisioning di identità ibride): • Scaricare e configurare l'agente di provisioning • Configurare l'app di raccolta • Eseguire il mapping degli attributi SCIM in Active Directory locale • Aggiornare i mapping Microsoft Entra Connect Sync e della sincronizzazione cloud per eseguire il flusso di nuovi attributi HR in Entra ID |
Per l'installazione dell'agente di provisioning, coinvolgere l’amministratore Windows Per la configurazione dell'app di raccolta, contattare l'amministratore con i privilegi di amministratore di applicazioni |
| 4. | Eseguire la sincronizzazione iniziale per inviare l'ambito completo dei dati all'endpoint di provisioning | • Preparare la sincronizzazione iniziale • Eseguire l'esportazione CSV e inviare dati all'API • Verificare che i ruoli di lavoro corretti corrispondano e siano presenti in Microsoft Entra/AD |
Amministratore IT |
| 5. | Eseguire sincronizzazioni delta per mantenere aggiornati i dati in Microsoft Entra ID | Usare uno di questi metodi: • Usare estratti CSV • Usare le API del feed Atom |
Amministratore IT |
| 6. | Writeback dei dati in Oracle HCM | • Configurare ed eseguire il lavoro di provisioning writeback | Amministratore IT |
| 7. | Consigliato: configurare i flussi di lavoro del ciclo di vita di Microsoft Entra | • Automatizzare i processi di inserimento, trasferimento e uscita usando Microsoft Entra • Licenza di governance richiesta |
Amministratore IT |
Configurare l'applicazione di raccolta
Prima di poter configurare il lavoro di provisioning in Microsoft Entra, è necessario determinare se la destinazione per il provisioning è AD locale o Microsoft Entra ID. Se si vuole avere utenti ibridi con una dipendenza locale, AD diventa la destinazione. Se gli utenti sono solo cloud, è possibile effettuarne il provisioning direttamente in Microsoft Entra ID.
Solo per utenti cloud
Creare e configurare il provisioning basato sull'API in Microsoft Entra ID dell'applicazione di raccolta seguendo questi passaggi:
Creare l'applicazione di raccolta, quindi denominare l'applicazione Oracle HCM Cloud per provisioning Entra ID.
Per gli utenti ibridi
Collaborare con l'amministratore di Windows per installare l'agente di provisioning in un server Windows aggiunto a un dominio, quindi seguire questi passaggi:
Creare l'applicazione di raccolta, quindi denominare l'applicazione Oracle HCM Cloud per Active Directory locale.
Preparare la sincronizzazione iniziale
Prima di inviare il payload della sincronizzazione iniziale, assicurarsi che i dati siano pronti per la sincronizzazione corretta con Microsoft Entra. I passaggi seguenti consentono di garantire un'integrazione uniforme.
Presenza e univocità degli identificatori corrispondenti: il servizio di provisioning usa un attributo corrispondente per identificare e collegare in modo univoco i record dei ruoli di lavoro nel sistema Oracle con gli account utente corrispondenti in AD/Microsoft Entra ID. La coppia di attributi corrispondente predefinita è Person Number in Oracle HCM mappata all'attributo ID dipendente in Microsoft Entra ID /AD locale. Assicurarsi che il valore dell'ID dipendente sia popolato in Microsoft Entra ID (per utenti solo del cloud) e in AD locale (per utenti ibridi) e che identifichi gli utenti in modo univoco prima di avviare la sincronizzazione completa.
Usare i filtri dell'ambito per ignorare i record HR non più rilevanti: i sistemi HR contengono diversi anni di dati sull'occupazione e probabilmente arrivano fino agli anni '70. D'altra parte, il team IT potrebbe essere interessato solo all'elenco di dipendenti attualmente attivi e dei record di risoluzione che arriveranno dopo la messa online. Per filtrare i record HR che non sono più rilevanti in base alla prospettiva del team IT, identificare le regole dei filtri dell’ambito che è possibile configurare in Microsoft Entra.
Esportazione di CSV per la sincronizzazione iniziale
In questo passaggio i dati del ruolo di lavoro vengono esportati da Oracle HCM in formato CSV e trasformati in formato SCIM usando il file Microsoft di Microsoft negli script SCIM. Questo passaggio consente di inviare i dati del ruolo di lavoro all'API del provisioning in ingresso in un payload basato su standard che può comprendere ed elaborare.
Condividere l'elenco degli attributi del ruolo di lavoro di HCM di Oracloe da esportare con l'amministratore di Oracle HCM. Oracle offre più opzioni per esportare i dati del ruolo di lavoro da Oracle HCM in formato CSV.
Strumento HCM Extracts: il modo principale per recuperare i dati in blocco da Oracle HCM Cloud è usare HCM Extracts, uno strumento per la generazione di file di dati e report. HCM Extracts ha un'interfaccia dedicata per specificare le registrazioni e gli attributi da estrarre. Questo strumento consente di:
- Identificare i record per l'estrazione usando criteri di selezione complessi
- Definire gli elementi di dati in un estratto HCM usando regole ed elementi del database delle formule veloci
Nota
Per iniziare a creare estratti HCM, vedere Definire gli estratti (oracle.com).
Oracle BI Publisher: supporta la creazione di report pianificati e non pianificati, in base a strutture di analisi di Business Intelligence transazionali predefinite di Oracle o ai modelli di dati dell’utente. È possibile generare report in diversi formati. Per usare Oracle BI Publisher per le integrazioni in uscita, l’utente genera report in un formato adatto per l'elaborazione downstream automatica, ad esempio XML o CSV. Per iniziare a creare il report di BI Publisher, vedere Definire il modello BI Publisher su HCM Extracts (oracle.com).
Oracle Integration Cloud (OIC) Service: in caso di sottoscrizione a OIC, è possibile configurare l'integrazione con Oracle HCM Adapter (oracle.com) per estrarre i dati necessari da Oracle HCM. Oracle fornisce una guida (oracle.com) che è possibile usare per iniziare.
Nota
Collaborare con l'amministratore di Oracle HCM per esportare gli attributi necessari in un file CSV.
Dopo aver esportato i dati del ruolo di lavoro in un file CSV, è necessario trasformare il file CSV in formato SCIM, in modo che il payload sia in un formato che è possibile accettare. Vengono forniti la documentazione e il codice di esempio che indicano come trasformare il file CSV in un payload SCIM tramite due metodi: PowerShell e App per la logica di Azure.
Ecco i collegamenti per eseguire questa trasformazione con ogni metodo:
PowerShell: provisioning in ingresso basato su API con uno script di PowerShell
App per la logica di Azure: provisioning in ingresso basato su API con App per la logica di Azure
Il processo di provisioning in ingresso include l'invio del payload di provisioning. Prima di inviare il payload, assicurarsi di selezionare Avvia provisioning nell'interfaccia di amministrazione di Microsoft Entra, per garantire che il lavoro di provisioning sia in ascolto per le nuove richieste. Prima di inviare il file completo per l'elaborazione, inviare 5-10 record per convalidare la corrispondenza corretta dei ruoli di lavoro e degli attributi. Dopo l'invio del payload, gli utenti verranno mostrati brevemente nel tenant di Microsoft Entra/AD locale.
Sincronizzazioni delta
Dopo aver inviato i dati del ruolo di lavoro all'API del provisioning in ingresso per la sincronizzazione iniziale, è necessario eseguire sincronizzazioni delta per mantenere aggiornati i dati del ruolo di lavoro. Le sincronizzazioni delta sono aggiornamenti incrementali che inviano solo le modifiche apportate dall'ultima sincronizzazione, ad esempio i nuovi ruoli di lavoro, i ruoli di lavoro aggiornati o i ruoli di lavoro eliminati.
Sono disponibili tre opzioni per eseguire le sincronizzazioni delta:
Opzione 1: usare le API del feed ATOM di Oracle per ricevere notifiche in tempo reale sulle modifiche del ruolo di lavoro in Oracle HCM e inviarle all'API del provisioning in ingresso.
Opzione 2: usare estratti CSV per generare report periodici sulle modifiche del ruolo di lavoro in Oracle HCM e inviare gli estratti all'API del provisioning in ingresso usando il proprio strumento di automazione o l’App per la logica.
Opzione 3: usare Oracle Integration Cloud Service (oracle.com). In caso di sottoscrizione a OIC, è possibile configurare l'integrazione con Oracle HCM Adapter (oracle.com) per estrarre i dati necessari da Oracle HCM. Oracle fornisce una guida (oracle.com) che è possibile usare per iniziare.
Opzione 1: usare le API del feed ATOM di Oracle
Le API del feed ATOM di Oracle forniscono notifiche in tempo reale sulle modifiche del ruolo di lavoro in Oracle HCM. È possibile sottoscrivere le API del feed ATOM e ricevere una rappresentazione JSON degli attributi che contengono i dati del ruolo di lavoro modificati. È quindi possibile trasformare il codice JSON in formato SCIM e inviarlo all'API del provisioning in ingresso usando lo script powerShell di esempio o l'integrazione di App per la logica.
Se si intende usare l'integrazione dei feed ATOM, assicurarsi di abilitare i feed ATOM subito dopo la sincronizzazione iniziale. Un ritardo in questo passaggio può causare la perdita delle modifiche.
Per iniziare a usare i feed ATOM di Oracle, fare riferimento alla documentazione di Oracle (oracle.com) e all'esercitazione (oracle.com). È consigliabile iscriversi all’area di lavoro per dipendenti (oracle.com) e applicare queste raccolte di feed Atom: newhire, empassignment, empupdate, termination, cancelworkrelship e workrelshipupdate.
Dopo aver configurato i feed ATOM nel tenant HCM, è necessario creare un modulo personalizzato che legge l'output dell'API del feed ATOM e invia i dati a Microsoft Entra ID in un formato di payload SCIM usando l'API del provisioning in ingresso.
La logica nel modulo personalizzato è responsabile della gestione degli scenari seguenti:
- Convalida dei dati
- Generazione ID univoco
- Sequenziazione dei feed ATOM
- Conversione dei feed ATOM in payload SCIM
- Gestione degli errori
Per creare questo modulo personalizzato, è consigliabile usare un partner Oracle HCM o un integratore di sistemi Microsoft. È possibile ospitare questo modulo personalizzato in un middleware Oracle come Oracle Integration Cloud o nel cloud di Azure come funzione di Azure, App per la logica di Azure o pipeline di Azure Data Factory.
Implementare lo scenario di inserimento
Gli scenari di inserimento riguardano in modo specifico il processo di onboarding per i nuovi assunti. I feed ATOM di Oracle restituiscono dati per gli inserimenti, come documentato qui: Integrazione Fusion Cloud HCM con i sistemi esterni di gestione entitlement (oracle.com).
Leggere i dati dal feed ATOM della nuova assunzione e implementare la logica nel modulo personalizzato per assicurarsi che gli elementi di dati seguenti siano presenti nel payload SCIM: dati personali, dati di contatto, informazioni sull'impiego e informazioni sul lavoro.
Se necessario, dopo aver ottenuto il feed ATOM per gli scenari di inserimento, eseguire una query sugli Ruoli di lavoro o Dipendenti per recuperare attributi aggiuntivi dei ruoli di lavoro.
Per attivare i flussi di lavoro del ciclo di vita di Microsoft Entra per i nuovi assunti, assicurarsi di includere l'attributo SCIM personalizzato per la data di assunzione del dipendente: urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate.
Usare il campo EffectiveStartDate di Oracle HCM per impostare il valore per la data di assunzione. Fare riferimento all'esempio playload SCIM.
Implementare lo scenario di trasferimento
Gli scenari di trasferimento vengono attivati in Oracle HCM quando un ruolo di lavoro passa da tempo pieno a terzista o viceversa, quando si verifica una modifica all’assegnazione, quando si verifica una modifica della relazione di lavoro, quando si verifica un trasferimento o in caso di una promozione. I feed ATOM di Oracle HCM restituiscono dati per i trasferimenti, come documentato qui: Integrazione di Fusion Cloud HCM con i sistemi esterni di gestione entitlement (oracle.com).
Assicurarsi di recuperare i nuovi valori degli attributi modificati in Oracle HCM. Spesso questi valori possono essere recuperati dalla sezione Attributi modificati della risposta del feed ATOM. Se necessario, eseguire una query direttamente sugli endpoint Ruoli di lavoro o Dipendenti per recuperare attributi aggiuntivi dei ruoli di lavoro.
Usare i dati recuperati per costruire un payload SCIM. Fare riferimento all'esempio playload SCIM.
Implementare lo scenario di uscita
Gli scenari di uscita si verificano quando l'impiego di un lavoratore con l'organizzazione termina, volontariamente o involontariamente. I feed ATOM di Oracle HCM restituiscono dati per le uscite, come documentato qui: Integrazione Fusion Cloud HCM con i sistemi esterni di gestione entitlement (oracle.com). Legge i dati dal feed ATOM e costruire il payload SCIM.
Per attivare i flussi di lavoro del ciclo di vita per le uscite, assicurarsi di includere l'attributo SCIM personalizzato per la data di uscita del dipendente: urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate
Usare il campo EffectiveDate di Oracle HCM per impostare il valore per la data della risoluzione. Fare riferimento all'esempio playload SCIM.
Esempio di payload SCIM
Trasformare i payload JSON associati agli scenari di inserimento, trasferimento e uscita per creare un payload SCIM da inviare all'endpoint di provisioning basato sulle API di Microsoft.
Di seguito è riportato un esempio generico del mapping degli attributi Oracle HCM agli attributi nel payload SCIM basato sul foglio di lavoro da Oracle HCM a SCIM:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:BulkRequest"],
"Operations": [
{
"method": "POST",
"bulkId": "897401c2-2de4-4b87-a97f-c02de3bcfc61",
"path": "/Users",
"data": {
"schemas": ["urn:ietf:params:scim:schemas:core:2.0:User",
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"],
"externalId": "<Oracle HCM workers.PersonNumber>",
"userName": "<Oracle HCM employee.UserName>",
"name": {
"familyName": "<Oracle HCM workers.names.LastName>",
"givenName": "<Oracle HCM workers.names.FirstName> ",
"middleName": "<Oracle HCM workers.names.MiddleName>",
},
"displayName": "<Oracle HCM workers.DisplayName>",
"emails": [
{
"value": "<Oracle HCM workers.emails.EmailAddress> ",
"type": "work",
"primary": true
}
],
"addresses": [
{
"type": "work",
"streetAddress": "<Oracle HCM workers.addresses.AddressLine1>",
"locality": "<Oracle HCM workers.addresses.TownorCity>",
"region": "<Oracle HCM workers.addresses.Region1>",
"postalCode": "<Oracle HCM workers addresses.PostalCode> ",
"country": "<Oracle HCM workers addresses.Country> ",
"primary": true
}
],
"phoneNumbers": [
{
"value": "<Oracle HCM workers. phones.PhoneNumber ",
"type": "work"
}
],
"userType": "<Oracle HCM workers.workRelationships.WorkerType ",
"title": " <Oracle HCM worker.workRelationships.assignments.JobName",
"active":true,
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
"employeeNumber": "<Oracle HCM workers.PersonNumber> ",
"division": "<Oracle HCM worker.workRelationships.assignments.BusinessUnitId> ",
"department": "<Oracle HCM worker.workRelationships.assignments.DepartmentId >",
"manager": {
"value": "<Oracle HCM worker.workRelationships.assignments.allReports.ManagerPersonNumber> ",
"displayName": "<Oracle HCM worker.workRelationships.assignments.allReports.ManagerDisplayName"
}
}
}
}
],
"failOnErrors": null
}
Dopo aver formattato la richiesta di SCIM in blocco, è possibile inviare i dati all'endpoint API bulkUpload tramite il provisioning basato su API.
Prima di abilitare l'integrazione, eseguire test e verifiche manuali per convalidare la struttura del payload della richiesta di SCIM in blocco. È possibile usare strumenti come cURL o Graph Explorer per confermare che i payload delle richieste in blocco vengano elaborati come previsto.
Nota
Se non si vuole coinvolgere un partner o creare un modulo personalizzato, è consigliabile usare lo strumento HCM Extract descritto nella sezione successiva.
Opzione 2: usare estratti CSV
Analogamente al metodo usato nella sincronizzazione iniziale, per gestire le sincronizzazioni delta è anche possibile usare estratti CSV. È possibile configurare l’estratto per eseguire solo nuove modifiche dalla sincronizzazione precedente. In alternativa, è possibile inviare l'ambito completo dei dati del ruolo di lavoro e il servizio di provisioning di Microsoft Entra ID gestisce e aggiorna eventuali modifiche, ad esempio nuove assunzioni, modifiche agli attributi e risoluzioni.
Analogamente alla sincronizzazione iniziale, per ottenere l’estratto CSV è anche possibile usare più opzioni:
Strumento HCM Extracts: il modo principale per recuperare i dati in blocco da Oracle HCM Cloud è usare HCM Extracts, uno strumento per la generazione di file di dati e report. HCM Extracts ha un'interfaccia dedicata per specificare le registrazioni e gli attributi da estrarre. Questo strumento consente di:
Identificare i record per l'estrazione usando criteri di selezione complessi.
Definire gli elementi dati in un estratto HCM usando regole ed elementi del database delle formule veloci.
Nota
Per iniziare a creare estratti HCM, vedere Definire gli estratti (oracle.com).
Oracle BI Publisher: supporta la creazione di report pianificati e non pianificati, in base a strutture di analisi di Business Intelligence transazionali predefinite di Oracle o ai modelli di dati dell’utente. È possibile generare report in diversi formati. Per usare Oracle BI Publisher per le integrazioni in uscita, l’utente genera report in un formato adatto per l'elaborazione downstream automatica, ad esempio XML o CSV. Per iniziare a creare il report di BI Publisher, vedere Definire il modello BI Publisher su HCM Extracts (oracle.com).
Oracle Integration Cloud (OIC) service: in caso di sottoscrizione a OIC, è possibile configurare l'integrazione con Oracle HCM Adapter (oracle.com) per estrarre i dati necessari da Oracle HCM. Oracle fornisce una guida (oracle.com) che è possibile usare per iniziare.
Dopo aver ottenuto i dati del ruolo di lavoro in formato CSV, usare uno dei due metodi seguenti per convertirlo in un payload SCIM e inviare i dati al servizio di provisioning.
PowerShell: provisioning in ingresso basato su API con uno script di PowerShell
App per la logica: provisioning in ingresso basato su API con App per la logica di Azure
Writeback da Microsoft Entra ID a Oracle HCM
Dopo aver sincronizzato i dati utente da Oracle HCM a Microsoft Entra ID/Active Directory locale usando l'API del provisioning in ingresso, è possibile configurare il writeback dal servizio di provisioning di Microsoft Entra a Oracle HCM. Il writeback è il processo di invio di modifiche utente che si verificano in Entra ID e di nuovi in Oracle HCM, ad esempio nome utente, email e password. Ciò garantisce che i dati utente siano coerenti e accurati in entrambi i sistemi.
Per configurare il writeback, è necessario usare le API SCIM di Oracle HCM. Le API SCIM di Oracle HCM (oracle.com) sono servizi Web RESTful che consentono di creare, aggiornare ed eliminare utenti in Oracle HCM da un'origine esterna, ad esempio Entra. È possibile usare il connettore di provisioning Oracle Fusion ERP esistente nella raccolta di app di Microsoft Entra per connettersi alle API SCIM di Oracl HCM ed eseguire il mapping degli attributi utente di cui si desidera effettuare il writeback.
Per configurare il writeback, è necessario configurare un lavoro di provisioning in uscita nel tenant di Oracle HCM. Per configurare il writeback, sono necessarie le informazioni seguenti:
- Nome utente e password amministratore: sono necessari i dettagli dell'account amministratore che ha accesso a Oracle HCM e può richiamare l'API di aggiornamento utente di HCM.
Seguire questi passaggi per configurare il lavoro di writeback in Oracle HCM usando il connettore Oracle Fusion ERP:
Nella raccolta di app di Microsoft Entra Enterprise, cercare l'app Oracle Fusion ERP.
Fare riferimento a Oracle Fusion ERP per configurare il writeback usando l'app Oracle Fusion ERP.
Quando viene richiesto di immettere un URL, un nome utente e una password amministratore, usare l'URL specificato nelle istruzioni e immettere il nome utente amministratore e la password dell'account che ha accesso a Oracle HCM e può richiamare l'API di aggiornamento utente di HCM.
Seguire le indicazioni riportate nell'esercitazione di Oracle Fusion ERP per modificare i mapping degli attributi ed effettuare il provisioning di utenti specifici in Oracle HCM.
Nella sezione di modifica del mapping attributi, selezionare solo l'operazione Aggiorna in Azioni oggetto di destinazione.
Si noterà che gli attributi HCM vengono popolati automaticamente nella sezione mapping attributi. Rimuovere gli attributi di cui non si desidera effettuare il writeback.
Salvare le impostazioni e abilitare lo stato del provisioning.
Usare la funzionalità Provision on Demand di Entra per testare e convalidare l'integrazione del writeback.
Dopo aver convalidato il flusso di lavoro, avviare il lavoro e mantenerlo in esecuzione per Entra per sincronizzare continuamente i dati in Oracle HCM.
Appendice
Foglio di lavoro 1: attributi Oracle HCM
La tabella in questa sezione rappresenta gli attributi che è possibile esportare da Oracle HCM. I nomi di questi attributi possono differire nel sistema HCM, ma questo elenco rappresenta un elenco comune di attributi in un'integrazione HR. Determinare quali attributi esportare per l'integrazione.
| Attributo Oracle HCM (da file CSV) | Richiesto od obbligatorio |
|---|---|
| Numero persona | Obbligatorio |
| Stato account | Obbligatorio: > impostare il valore su True per i ruoli di lavoro non terminati |
| Indirizzo | |
| City | |
| Provincia | |
| CAP | |
| Country | |
| Nome reparto | |
| Divisione | |
| Società | |
| Username | |
| Nome | Obbligatorio |
| Cognome | Obbligatorio |
| Codice lavoro | |
| Nome lavoro | |
| Indirizzo email | |
| Responsabile | |
| Numero di telefono cellulare | |
| Numero di telefono | |
| Indirizzo di lavoro | |
| Numero di telefono | |
| Data di assunzione | Richiesto dai flussi di lavoro del ciclo di vita |
| Data della risoluzione | Richiesto dai flussi di lavoro del ciclo di vita |
Nota
Nel foglio di lavoro precedente sono state incluse righe vuote, quindi è possibile aggiungere altri attributi che non si trovano questo elenco per includerli nel lavoro di provisioning.
Foglio di lavoro 2: mapping degli attributi da Oracle HCM a SCIM
La tabella in questa sezione mostra un mapping di esempio degli attributi da Oracle HCM agli attributi SCIM generici supportati dall'API.
| Attributo Oracle HCM (da file CSV) | Attributo SCIM |
|---|---|
| Numero persona | ExternalId |
| Stato account | Attivo |
| Indirizzo | addresses[type eq "work"].streetAddress |
| Città | addresses[type eq "work"].locality |
| Provincia | addresses[type eq "work"].region |
| CAP | addresses[type eq "work"].postalCode |
| Paese | addresses[type eq "work"].country |
| Nome reparto | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department |
| Divisione | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division |
| Company | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization |
| Nome utente | displayName |
| Nome | name.givenName |
| Cognome | name.familyName |
| Codice lavoro | urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:JobCode |
| Nome lavoro | title |
| Indirizzo email | emails[type eq "work"].value |
| Manager | urn:ietf:params:scim:schemas:extension: enterprise:2.0:User:manager |
| Numero di telefono cellulare | phoneNumbers[type eq "mobile"].value |
| Numero di telefono | phoneNumbers[type eq "work"].value |
| Indirizzo di lavoro | addresses[type eq "work"].formatted |
| Data di assunzione | urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate |
| Data della risoluzione | urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate |
Foglio di lavoro 3: definire regole univoche di generazione e trasformazione di ID
La tabella in questa sezione descrive determinati attributi che richiedono regole univoche di trasformazione specifiche o di generazione. Questi includono tre attributi di uso comune che dispongono di regole aggiuntive per impostare il valore. Fare riferimento ai collegamenti per popolare correttamente questi attributi.
| Attributo | Come impostare il valore dell'attributo |
|---|---|
| userPrincipalName (obbligatorio) | Pianificare il provisioning utenti di un'applicazione HR cloud in Microsoft Entra |
| SamAccountName (solo AD locale) | Pianificare il provisioning utenti di un'applicazione HR cloud in Microsoft Entra |
| parentDistinguishedName (solo AD locale) | Pianificare il provisioning utenti di un'applicazione HR cloud in Microsoft Entra |
Foglio di lavoro 4: mapping degli attributi locali SCIM di AD
La tabella in questa sezione rappresenta il set di attributi locali supportati da Active Directory. Eseguire il mapping degli attributi SCIM agli attributi di questa tabella se la destinazione del provisioning è Active Directory.
| Attributo SCIM | Attributo AD locale |
|---|---|
| ExternalId | employeeID |
| Attive | accountDisabled |
| addresses[type eq "work"].streetAddress | streetAddress |
| addresses[type eq "work"].locality | l |
| addresses[type eq "work"].region | st |
| addresses[type eq "work"].postalCode | postalCode |
| addresses[type eq "work"].country | co |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | department |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division | divisione |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | company |
| displayName | cn |
| name.givenName | givenName |
| name.familyName | sn |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:JobCode | extensionAttribute1 |
| title | title |
| emails[type eq "work"].value | <Generato da AD> |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager | manager |
| phoneNumbers[type eq "mobile"].value | per dispositivi mobili |
| phoneNumbers[type eq "work"].value | telephoneNumber |
| addresses[type eq "work"].formatted | physicalDeliveryOfficeName |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate | extensionAttribute2 |
| urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate | extensionAttribute3 |
Nota
Se si definiscono gli attributi dell'estensione dello schema SCIM che non hanno un attributo AD locale corrispondente, è possibile eseguirne il mapping a extensi ADonAttributes 1-15 o estendere lo schema per aggiungere una nuova classe di oggetti ausiliaria con gli attributi necessari.
Foglio di lavoro 5: mapping di AD locale a Microsoft Entra ID
Dopo aver sincronizzato le identità con AD locale, è possibile inviarle a Microsoft Entra ID tramite sincronizzazione cloud o Microsoft Entra ID Connect. Fare riferimento alla documentazione nel collegamento relativa a come usare questi strumenti.
La tabella in questa sezione è un mapping di attributi di esempio dagli attributi di AD inclusi negli attributi del foglio di lavoro 4 agli attributi di Microsoft Entra.
Nota
L’attributo personalizzato extensionAttribute1 è il codice del lavoro del ruolo di lavoro. Nella tabella precedente è stato eseguito il mapping di extensionAttribute1 ad AD. Ma qui viene eseguito il mapping a Microsoft Entra extensionAttribute1, perché non esiste alcun attributo corrispondente in Microsoft Entra. Il mapping di extensionAttribute2 e extensionAttribute3 (data di assunzione e data della risoluzione) viene eseguito di conseguenza.
| Attributo AD locale | Attributo di Microsoft Entra |
|---|---|
| streetAddress | streetAddress |
| l | city |
| st | stato |
| postalCode | postalCode |
| co | paese |
| reparto | department |
| divisione | EmployeeOrgData.division |
| società | companyName |
| cn | displayName |
| givenName | givenName |
| sn | cognome |
| extensionAttribute1 | extensionAttribute1 |
| title | jobTitle |
| <Generato da AD> | |
| manager | manager |
| per dispositivi mobili | per dispositivi mobili |
| telephoneNumber | telephoneNumber |
| physicalDeliveryOfficeName | physicalDeliveryOfficeName |
| extensionAttribute2 | employeeHireDate |
| extensionAttribute3 | employeeLeaveDateTime |
Foglio di lavoro 6: mapping degli attributi SCIM agli attributi di Microsoft Entra
La tabella in questa sezione rappresenta il set di attributi supportati da Microsoft Entra ID. Eseguire il mapping degli attributi SCIM agli attributi di questa tabella se la destinazione del provisioning è Microsoft Entra ID. Per aggiungere attributi SCIM personalizzati all'applicazione di raccolta, vedere Estendere il provisioning basato su API per sincronizzare gli attributi personalizzati.
| Attributo SCIM | Attributo di Microsoft Entra |
|---|---|
| ExternalId | employeeId |
| Attive | accountEnabled |
| addresses[type eq "work"].streetAddress | streetAddress |
| addresses[type eq "work"].locality | città |
| addresses[type eq "work"].region | state |
| addresses[type eq "work"].postalCode | postalCode |
| addresses[type eq "work"].country | country |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | department |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division | EmployeeOrgData.division |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | companyName |
| displayName | displayName |
| name.givenName | givenName |
| name.familyName | cognome |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:JobCode | extensionAttribute1 |
| title | jobTitle |
| emails[type eq "work"].value | |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager | manager |
| phoneNumbers[type eq "mobile"].value | per dispositivi mobili |
| phoneNumbers[type eq "work"].value | telephoneNumber |
| addresses[type eq "work"].formatted | physicalDeliveryOfficeName |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate | employeeHireDate |
| urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate | employeeLeaveDateTime |
Ringraziamenti
Microsoft ringrazia i partner seguenti per il loro contributo a questa esercitazione, nonché alla sua revisione:
- Michael Starkweather, Direttore presso PwC
- Rob Allen, Director of Architecture and Technology presso ActiveIdM
- Ray Nalette, Technical Delivery Manager presso ActiveIdM
- Randy Robb, Principal Consultant presso Oxford Computer Group
- Frank Urena, Principal Architect presso Oxford Computer Group
- Nick Herbert, Vice presidente delle vendite presso Oxford Computer Group
- Steve Brugger, CEO di Oxford Computer Group