Condividi tramite


Integrazione di Microsoft Entra ID con Oracle HCM

L'API del provisioning in ingresso è una funzionalità che consente di creare, aggiornare ed eliminare utenti in Microsoft Entra ID e Active Directory locale da un'origine esterna, ad esempio Human Capital Management (HCM) di Oracle. Questa funzionalità consente alle organizzazioni di migliorare la produttività, rafforzare la sicurezza e soddisfare più facilmente i requisiti normativi e di conformità.

È possibile usare Microsoft Entra ID Governance per garantire automaticamente agli utenti corretti l'accesso corretto alle risorse corrette. Questo accesso include l'automazione dei processi di identità e accessi, la delega ai gruppi aziendali e l’aumento della visibilità.

In questo articolo vengono illustrati i passaggi e le procedure consigliate per l'integrazione di Oracle HCM con Microsoft Entra ID tramite provisioning basato sulle API. Si apprenderà come:

  • Preparare l'ambiente e configurare le impostazioni API
  • Esporta i dati dei lavoratori da Oracle HCM in formato CSV e trasformali in formato SCIM (System for Cross-domain Identity Management) usando script Microsoft.
  • Inviare i dati dei lavoratori alle API di provisioning in entrata usando PowerShell o Logic Apps
  • Eseguire sincronizzazioni Delta per mantenere aggiornati i dati dei lavoratori usando le API del feed ATOM di Oracle o HCM Extracts
  • Configurare il writeback (se necessario) da Microsoft Entra ID a Oracle HCM usando le API SCIM di HCM di Oracle

Terminologia

Prerequisiti

Prima di iniziare a integrare Oracle HCM con Microsoft Entra ID usando l'API del provisioning in ingresso, è necessario assicurarsi di disporre dei prerequisiti seguenti:

Informazioni generali sull'integrazione

Esistono tre scenari di sincronizzazione principali che è possibile usare per configurare un'integrazione HR. Il diagramma di questa sezione illustra questi scenari di sincronizzazione. Questa guida è suddivisa e organizzata in tre sezioni. Per ogni flusso di lavoro viene fornito un consiglio su come configurare il flusso di lavoro.

  • La sincronizzazione iniziale/completa è il processo di sincronizzazione di tutti i dati relativi ai lavoratori tra due sistemi, in questo caso: Oracle HCM e Microsoft Entra ID, direttamente o verso Active Directory locale (AD locale). Questo processo include tutte le identità e gli attributi del ruolo di lavoro, ad esempio informazioni personali, informazioni sul contatto, informazioni sull'impiego e altro ancora. In genere, viene eseguita una sincronizzazione completa durante la configurazione iniziale dell'integrazione per garantire che tutti i dati dei lavoratori siano coerenti e aggiornati in entrambi i sistemi.

  • La sincronizzazione delta è il processo che prevede la sincronizzazione solo delle modifiche o degli aggiornamenti che si sono verificati dopo l'ultima sincronizzazione con Oracle HCM. Di solito le sincronizzazioni delta vengono eseguite dopo la sincronizzazione completa iniziale, per mantenere aggiornati i dati dei lavoratori con le modifiche che avvengono nel sistema di origine. Questo processo include nuovi dipendenti, dati aggiornati dei dipendenti o dipendenti eliminati. Le sincronizzazioni delta sono aggiornamenti incrementali più veloci ed efficienti rispetto all'esecuzione di una sincronizzazione completa ogni volta che i dati del ruolo di lavoro cambiano.

  • Il writeback è il processo facoltativo che consiste nell’invio di modifiche dell'attributo utente che si verificano in Microsoft Entra ID (ad esempio nome utente, email e numeri di telefono) a Oracle HCM.

Diagramma del provisioning basato su Oracle HCM e del writeback.

Passaggi di integrazione

# Passaggio Cosa fare Chi coinvolgere
1. Determinare la serie di attributi di cui si vuole eseguire il provisioning da HCM Fare riferimento a questo elenco di attributi HCM e determinare quali attributi si vuole esportare in Microsoft Entra ID
Eseguire il mapping degli attributi Oracle HCM per gli attributi SCIM
Definire regole di generazione e trasformazione di ID univoci
Amministratore Oracle HCM e Amministratore IT
2. Concedere autorizzazioni all'API del provisioning in ingresso Creare un'applicazione per rappresentare il client API e concedergli le autorizzazioni per inviare dati all'endpoint del provisioning in ingresso Amministratore IT - Amministratore del ruolo privilegiato
3. Determinare la destinazione del provisioning: si stanno effettuando il provisioning di identità solo cloud in Microsoft Entra ID o di identità ibride in AD locale? Se il tuo obiettivo è Microsoft Entra ID (provisioning delle identità solo per il cloud):
Configurare l'app galleria
Mappare gli attributi SCIM in Microsoft Entra
Se la destinazione è AD locale (provisioning di identità ibride):
Scaricare e configurare l'agente di provisioning
Configurare l'app galleria
Eseguire il mapping degli attributi SCIM in Active Directory locale
Aggiornare i mapping di Microsoft Entra Connect Sync e della sincronizzazione cloud per far confluire i nuovi attributi HR nell'Entra ID
Per l'installazione dell'agente di provisioning, coinvolgere l’amministratore Windows

Per la configurazione dell'app galleria, contattare l'amministratore con privilegi di amministratore di applicazioni.
4. Eseguire la sincronizzazione iniziale per inviare l'ambito completo dei dati all'endpoint di provisioning Preparare la sincronizzazione iniziale
Eseguire l'esportazione CSV e inviare dati all'API
• Verificare che i lavoratori corretti siano stati abbinati e siano presenti in Microsoft Entra/AD
Amministratore IT
5. Eseguire sincronizzazioni delta per mantenere aggiornati i dati in Microsoft Entra ID Usare uno di questi metodi:
Usare estratti CSV
Usare le API del feed Atom
Amministratore IT
6. Riscrittura dei dati su Oracle HCM Configurare ed eseguire il lavoro di provisioning writeback Amministratore IT
7. Consigliato: configurare i flussi di lavoro del ciclo di vita di Microsoft Entra Automatizzare i processi di inserimento, trasferimento e uscita usando Microsoft Entra
Licenza di governance richiesta
Amministratore IT

Prima di poter configurare il processo di provisioning in Microsoft Entra, è necessario determinare se la destinazione del provisioning è Active Directory locale o Microsoft Entra ID. Se si vuole avere utenti ibridi con una dipendenza locale, AD diventa la destinazione. Se gli utenti sono solo cloud, è possibile effettuarne il provisioning direttamente in Microsoft Entra ID.

Solo per utenti cloud

Creare e configurare l'applicazione della galleria per l'implementazione basata su API in Microsoft Entra ID seguendo questi passaggi:

  1. Creare l'applicazione galleria, quindi denominare l'applicazione Oracle HCM Cloud per il provisioning di Entra ID.

    Diagramma del provisioning basato su API su Microsoft Entra ID.

  2. Configurazione dell'applicazione.

Per gli utenti ibridi

Collaborare con l'amministratore di Windows per installare l'agente di provisioning in un server Windows aggiunto a un dominio, quindi seguire questi passaggi:

  1. Installare l’agente di provisioning.

  2. Crea l'applicazione galleria, quindi denominare l'applicazione Oracle HCM Cloud per Active Directory locale.

    Diagramma del provisioning basato su API a Active Directory locale.

  3. Configurazione dell'applicazione.

Preparare la sincronizzazione iniziale

Prima di inviare il payload della sincronizzazione iniziale, assicurarsi che i dati siano pronti per la sincronizzazione corretta con Microsoft Entra. I passaggi seguenti consentono di garantire un'integrazione uniforme.

  1. Presenza e univocità degli identificatori corrispondenti: il servizio di provisioning usa un attributo corrispondente per identificare e collegare in modo univoco i record dei ruoli di lavoro nel sistema Oracle con gli account utente corrispondenti in AD/Microsoft Entra ID. La coppia di attributi di corrispondenza predefinita è Person Number in Oracle HCM, associata all'attributo ID dipendente in Microsoft Entra ID / AD locale. Assicurarsi che il valore dell'ID dipendente sia popolato in Microsoft Entra ID (per utenti solo del cloud) e in AD locale (per utenti ibridi) e che identifichi gli utenti in modo univoco prima di avviare la sincronizzazione completa.

  2. Usare i filtri dell'ambito per ignorare i record delle risorse umane non più rilevanti: i sistemi delle risorse umane contengono diversi anni di dati sull'occupazione, probabilmente risalenti fino agli anni '70. D'altra parte, il team IT potrebbe essere interessato solo all'elenco dei dipendenti attualmente attivi e alle pratiche di cessazione che arriveranno dopo la messa in esercizio. Per filtrare i record delle risorse umane non più rilevanti dal punto di vista del team IT, identificare le regole di filtro dell'ambito che è possibile configurare in Microsoft Entra.

Esportazione di CSV per la sincronizzazione iniziale

In questo passaggio, i dati dei dipendenti vengono esportati da Oracle HCM in formato CSV e trasformati in formato SCIM utilizzando gli script Microsoft CSV to SCIM. Questo passaggio consente di inviare i dati dei lavoratori all'API di provisioning in entrata in un payload basato su standard che può comprendere ed elaborare.

Condividi l'elenco degli attributi dei lavoratori di HCM di Oracle che desideri esportare con l'amministratore di Oracle HCM. Oracle offre più opzioni per esportare i dati del ruolo di lavoro da Oracle HCM in formato CSV.

  • Strumento HCM Extracts: il modo principale per recuperare i dati in blocco da Oracle HCM Cloud è usare HCM Extracts, uno strumento per la generazione di file di dati e report. HCM Extracts ha un'interfaccia dedicata per specificare le registrazioni e gli attributi da estrarre. Questo strumento consente di:

    • Identificare i record per l'estrazione usando criteri di selezione complessi
    • Definire gli elementi di dati in un estratto HCM usando regole ed elementi del database delle formule veloci

Nota

Per iniziare a creare estratti HCM, vedere Definire gli estratti (oracle.com).

  • Oracle BI Publisher: supporta la creazione di report pianificati e non pianificati, in base a strutture di analisi di Business Intelligence transazionali predefinite di Oracle o ai modelli di dati dell’utente. È possibile generare report in diversi formati. Per usare Oracle BI Publisher per le integrazioni in uscita, l’utente genera report in un formato adatto per l'elaborazione downstream automatica, ad esempio XML o CSV. Per iniziare a creare il report di BI Publisher, vedere Definire il modello BI Publisher su HCM Extracts (oracle.com).

  • Oracle Integration Cloud (OIC) Service: in caso di sottoscrizione a OIC, è possibile configurare l'integrazione con Oracle HCM Adapter (oracle.com) per estrarre i dati necessari da Oracle HCM. Oracle fornisce una guida (oracle.com) che è possibile usare per iniziare.

Nota

Collaborare con l'amministratore di Oracle HCM per esportare gli attributi necessari in un file CSV.

Dopo aver esportato i dati del ruolo di lavoro in un file CSV, è necessario trasformare il file CSV in formato SCIM, in modo che il payload sia in un formato che è possibile accettare. Vengono forniti la documentazione e il codice di esempio che indicano come trasformare il file CSV in un payload SCIM tramite due metodi: PowerShell e App per la logica di Azure.

Ecco i collegamenti per eseguire questa trasformazione con ogni metodo:

Il processo di provisioning in ingresso include l'invio del payload di provisioning. Prima di inviare il payload, assicurarsi di selezionare Avvia provisioning per garantire che l'attività di provisioning sia pronta a ricevere le nuove richieste nell'interfaccia di amministrazione di Microsoft Entra. Prima di inviare il file completo per l'elaborazione, inviare 5-10 record per convalidare la corrispondenza corretta dei ruoli di lavoro e degli attributi. Dopo l'invio del payload, gli utenti compariranno brevemente nel tenant di Microsoft Entra/AD locale.

Sincronizzazioni delta

Dopo aver inviato i dati dei dipendenti all'API di approvvigionamento in ingresso per la sincronizzazione iniziale, è necessario eseguire sincronizzazioni delta per mantenere aggiornati i dati dei dipendenti. Le sincronizzazioni delta sono aggiornamenti incrementali che inviano solo le modifiche apportate dall'ultima sincronizzazione, ad esempio i nuovi ruoli di lavoro, i ruoli di lavoro aggiornati o i ruoli di lavoro eliminati.

Sono disponibili tre opzioni per eseguire le sincronizzazioni delta:

Opzione 1: usare le API del feed ATOM di Oracle per ricevere notifiche in tempo reale sulle modifiche del ruolo di lavoro in Oracle HCM e inviarle all'API del provisioning in ingresso.

Opzione 2: usare estratti CSV per generare report periodici sulle modifiche del ruolo di lavoro in Oracle HCM e inviare gli estratti all'API del provisioning in ingresso usando il proprio strumento di automazione o l’App per la logica.

Opzione 3: usare Oracle Integration Cloud Service (oracle.com). In caso di sottoscrizione a OIC, è possibile configurare l'integrazione con Oracle HCM Adapter (oracle.com) per estrarre i dati necessari da Oracle HCM. Oracle fornisce una guida (oracle.com) che è possibile usare per iniziare.

Opzione 1: usare le API del feed ATOM di Oracle

Le API del feed ATOM di Oracle forniscono notifiche in tempo reale sulle modifiche del ruolo di lavoro in Oracle HCM. È possibile sottoscrivere le API del feed ATOM e ricevere una rappresentazione JSON degli attributi che contengono i dati del ruolo di lavoro modificati. È quindi possibile trasformare il codice JSON in formato SCIM e inviarlo all'API del provisioning in ingresso usando lo script PowerShell di esempio o l'integrazione di Logic Apps.

Se si intende usare l'integrazione dei feed ATOM, assicurarsi di abilitare i feed ATOM subito dopo la sincronizzazione iniziale. Un ritardo in questo passaggio può causare la perdita delle modifiche.

Per iniziare a usare i feed ATOM di Oracle, fare riferimento alla documentazione Oracle (oracle.com) e all'articolo (oracle.com). È consigliabile iscriversi all’area di lavoro per dipendenti (oracle.com) e applicare queste raccolte di feed Atom: newhire, empassignment, empupdate, termination, cancelworkrelship e workrelshipupdate.

Dopo aver configurato i feed ATOM nel tenant HCM, è necessario creare un modulo personalizzato che legge l'output dell'API del feed ATOM e invia i dati a Microsoft Entra ID in un formato di payload SCIM usando l'API del provisioning in ingresso.

La logica nel modulo personalizzato è responsabile della gestione degli scenari seguenti:

  • Convalida dei dati
  • Generazione ID univoco
  • Sequenziazione dei feed ATOM
  • Conversione dei feed ATOM in payload SCIM
  • Gestione degli errori

Per creare questo modulo personalizzato, è consigliabile usare un partner Oracle HCM o un integratore di sistemi Microsoft. È possibile ospitare questo modulo personalizzato in un middleware Oracle come Oracle Integration Cloud o nel cloud di Azure come funzione di Azure, App per la logica di Azure o pipeline di Azure Data Factory.

Implementare lo scenario di inserimento

Gli scenari di inserimento si concentrano in modo specifico sul processo di integrazione dei nuovi assunti. I feed ATOM di Oracle HCM restituiscono dati relativi ai nuovi assunti, come documentato qui: Integrazione Fusion Cloud HCM con i sistemi esterni di gestione entitlement (oracle.com).

Leggere i dati dal feed ATOM della nuova assunzione e implementare la logica nel modulo personalizzato per assicurarsi che gli elementi di dati seguenti siano presenti nel payload SCIM: dati personali, dati di contatto, informazioni sull'impiego e informazioni sul lavoro.

Se necessario, dopo aver ottenuto il feed ATOM per gli scenari di inserimento, eseguire una query sugli endpoint Lavoratori o Dipendenti per recuperare ulteriori attributi dei lavoratori.

Per attivare i flussi di lavoro del ciclo di vita di Microsoft Entra per i nuovi assunti, assicurarsi di includere l'attributo SCIM personalizzato per la data di assunzione del dipendente: urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate.

Usare il campo EffectiveStartDate di Oracle HCM per impostare il valore per la data di assunzione. Fare riferimento all'esempio payload SCIM.

Implementare lo scenario di trasferimento

Gli scenari di trasferimento vengono attivati in Oracle HCM quando un ruolo di lavoro passa da tempo pieno a terzista o viceversa, quando si verifica una modifica all’assegnazione, quando si verifica una modifica della relazione di lavoro, quando si verifica un trasferimento o in caso di una promozione. I flussi ATOM di Oracle HCM restituiscono dati per i movimenti, come documentato qui: Integrazione di Fusion Cloud HCM con i sistemi esterni di gestione dei diritti (oracle.com).

Assicurarsi di recuperare i nuovi valori degli attributi modificati in Oracle HCM. Spesso questi valori possono essere recuperati dalla sezione Attributi modificati della risposta del feed ATOM. Se necessario, eseguire una query direttamente sugli endpoint Ruoli di lavoro o Dipendenti per recuperare attributi aggiuntivi dei ruoli di lavoro.

Usare i dati recuperati per costruire un payload SCIM. Fare riferimento all'esempio payload SCIM.

Implementare lo scenario di uscita

Gli scenari di uscita si verificano quando l'impiego di un lavoratore con l'organizzazione termina, volontariamente o involontariamente. I feed ATOM di Oracle HCM restituiscono dati per i dipendenti in uscita, come documentato qui: Integrazione di Fusion Cloud HCM con i sistemi esterni di gestione delle autorizzazioni (oracle.com). Legge i dati dal feed ATOM e costruire il payload SCIM.

Per attivare i flussi di lavoro del ciclo di vita per i dipendenti che lasciano, è necessario assicurarsi di includere l'attributo SCIM personalizzato per la data di uscita del dipendente: urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate

Usare il campo EffectiveDate di Oracle HCM per impostare il valore per la data della risoluzione. Fare riferimento al esempio payload SCIM.

Esempio di payload SCIM

Trasformare i payload JSON associati agli scenari di inserimento, trasferimento e uscita per creare un payload SCIM da inviare all'endpoint di provisioning basato sulle API di Microsoft.

Di seguito è riportato un esempio generico del mapping degli attributi Oracle HCM agli attributi nel payload SCIM basato sul foglio di lavoro da Oracle HCM a SCIM:

{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:BulkRequest"],  
"Operations": [  

{  

    "method": "POST",  
    "bulkId": "897401c2-2de4-4b87-a97f-c02de3bcfc61",  
    "path": "/Users",  
    "data": {  
        "schemas": ["urn:ietf:params:scim:schemas:core:2.0:User",  
        "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"],  
        "externalId": "<Oracle HCM workers.PersonNumber>",  
        "userName": "<Oracle HCM employee.UserName>",  
        "name": {  
            "familyName": "<Oracle HCM workers.names.LastName>",  
            "givenName": "<Oracle HCM workers.names.FirstName> ",  
            "middleName": "<Oracle HCM workers.names.MiddleName>",  
               },  
        "displayName": "<Oracle HCM workers.DisplayName>",  
        "emails": [  
        {  
          "value": "<Oracle HCM workers.emails.EmailAddress> ",  
          "type": "work",  
          "primary": true  
        }  
        ],  
        "addresses": [  
        {  
          "type": "work",  
          "streetAddress": "<Oracle HCM workers.addresses.AddressLine1>",  
          "locality": "<Oracle HCM workers.addresses.TownorCity>",  
          "region": "<Oracle HCM workers.addresses.Region1>",  
          "postalCode": "<Oracle HCM workers addresses.PostalCode> ",  
          "country": "<Oracle HCM workers addresses.Country> ",  
          "primary": true  
        }  
        ],  
        "phoneNumbers": [  
        {  
          "value": "<Oracle HCM workers. phones.PhoneNumber ",  
          "type": "work"  
        }  
        ],  
        "userType": "<Oracle HCM workers.workRelationships.WorkerType ",  
        "title": " <Oracle HCM worker.workRelationships.assignments.JobName",  
         "active":true,  
        "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {  
             "employeeNumber": "<Oracle HCM workers.PersonNumber> ",  
             "division": "<Oracle HCM worker.workRelationships.assignments.BusinessUnitId> ",  
             "department": "<Oracle HCM worker.workRelationships.assignments.DepartmentId >",  
             "manager": {  
               "value": "<Oracle HCM worker.workRelationships.assignments.allReports.ManagerPersonNumber> ",  
                 "displayName": "<Oracle HCM worker.workRelationships.assignments.allReports.ManagerDisplayName"  
             }  
        }  
    }  
} 


],
"failOnErrors": null
}

Dopo aver formattato la richiesta di SCIM in blocco, è possibile inviare i dati all'endpoint API bulkUpload tramite il provisioning basato su API.

Prima di abilitare l'integrazione, eseguire test e verifiche manuali per convalidare la struttura del payload della richiesta di SCIM in blocco. È possibile usare strumenti come cURL o Graph Explorer per confermare che i payload delle richieste in blocco vengano elaborati come previsto.

Nota

Se non si vuole coinvolgere un partner o creare un modulo personalizzato, è consigliabile usare lo strumento HCM Extract descritto nella sezione successiva.

Opzione 2: usare estratti CSV

Analogamente al metodo usato nella sincronizzazione iniziale, per gestire le sincronizzazioni delta è anche possibile usare estratti CSV. È possibile configurare l’estratto per eseguire solo nuove modifiche dalla sincronizzazione precedente. In alternativa, è possibile inviare l'ambito completo dei dati del ruolo di lavoro e il servizio di provisioning di Microsoft Entra ID gestisce e aggiorna eventuali modifiche, ad esempio nuove assunzioni, modifiche agli attributi e risoluzioni.

Analogamente alla sincronizzazione iniziale, per ottenere l’estratto CSV è anche possibile usare più opzioni:

  • Strumento HCM Extracts: il modo principale per recuperare i dati in blocco da Oracle HCM Cloud è usare HCM Extracts, uno strumento per la generazione di file di dati e report. HCM Extracts ha un'interfaccia dedicata per specificare le registrazioni e gli attributi da estrarre. Questo strumento consente di:

    • Identificare i record per l'estrazione usando criteri di selezione complessi.

    • Definire gli elementi di dati in un estratto HCM usando elementi del database e regole di formule rapide.

      Nota

      Per iniziare a creare estratti HCM, vedere Definire gli estratti (oracle.com).

  • Oracle BI Publisher: supporta la creazione di report pianificati e non pianificati, in base a strutture di analisi di Business Intelligence transazionali predefinite di Oracle o ai modelli di dati dell’utente. È possibile generare report in diversi formati. Per usare Oracle BI Publisher per le integrazioni in uscita, l’utente genera report in un formato adatto per l'elaborazione downstream automatica, ad esempio XML o CSV. Per iniziare a creare il report di BI Publisher, vedere Definire il modello BI Publisher su HCM Extracts (oracle.com).

  • Oracle Integration Cloud (OIC) service: in caso di sottoscrizione a OIC, è possibile configurare l'integrazione con Oracle HCM Adapter (oracle.com) per estrarre i dati necessari da Oracle HCM. Oracle fornisce una guida (oracle.com) che è possibile usare per iniziare.

    Dopo aver ottenuto i dati dei lavoratori in formato CSV, usare uno dei due metodi seguenti per convertirli in un payload SCIM e inviare i dati al nostro servizio di provisioning.

  • PowerShell: provisioning in ingresso basato su API con uno script di PowerShell

  • App per la logica: provisioning in ingresso basato su API con App per la logica di Azure

Ripristino da Microsoft Entra ID a Oracle HCM

Dopo aver sincronizzato i dati utente da Oracle HCM a Microsoft Entra ID/Active Directory locale utilizzando l'API di provisioning in ingresso, è possibile configurare la funzionalità di writeback dal servizio di provisioning di Microsoft Entra a Oracle HCM. Il writeback è il processo di invio delle modifiche apportate dagli utenti che si verificano in Entra ID verso Oracle HCM, come ad esempio nome utente, email e password. Ciò garantisce che i dati utente siano coerenti e accurati in entrambi i sistemi.

Per configurare il writeback, è necessario usare le API SCIM di Oracle HCM. Le API SCIM di Oracle HCM (oracle.com) sono servizi Web RESTful che consentono di creare, aggiornare ed eliminare utenti in Oracle HCM da un'origine esterna, ad esempio Entra. È possibile usare il connettore di provisioning Oracle Fusion ERP già esistente nella raccolta di app di Microsoft Entra per connettersi alle API SCIM di Oracle HCM e mappare gli attributi utente che si desidera riportare.

Per configurare il writeback, è necessario configurare un lavoro di provisioning in uscita per il tenant Oracle HCM. Per configurare il writeback, sono necessarie le informazioni seguenti:

  • Nome utente e password amministratore: sono necessari i dettagli dell'account amministratore che ha accesso a Oracle HCM e può richiamare l'API di aggiornamento utente di HCM.

Seguire questi passaggi per impostare il lavoro di scrittura inversa in Oracle HCM usando il connettore Oracle Fusion ERP:

  1. Nella raccolta di app di Microsoft Entra Enterprise, cercare l'app Oracle Fusion ERP.

  2. Fare riferimento a Oracle Fusion ERP per configurare il writeback usando l'app Oracle Fusion ERP.

  3. Quando viene richiesto di immettere un URL, un nome utente e una password amministratore, usare l'URL specificato nelle istruzioni e immettere il nome utente amministratore e la password dell'account che ha accesso a Oracle HCM e può richiamare l'API di aggiornamento utente di HCM.

  4. Seguire le indicazioni riportate nell'articolo Oracle Fusion ERP per modificare il mapping degli attributi e distribuire utenti specifici in Oracle HCM.

  5. Nella sezione di modifica del mapping attributi, selezionare solo l'operazione Aggiorna in Azioni oggetto di destinazione.

  6. Vedrai che gli attributi HCM vengono popolati automaticamente nella sezione attributi di mapping. Rimuovere gli attributi di cui non si desidera effettuare il writeback.

  7. Salvare le impostazioni e attivare lo stato di provisioning.

  8. Usare la funzionalità Provision on Demand di Entra per testare e convalidare l'integrazione del writeback.

  9. Dopo aver convalidato il flusso di lavoro, avvia il processo e lascialo in esecuzione affinché Entra possa sincronizzare continuamente i dati su Oracle HCM.

Appendice

Foglio di lavoro 1: attributi Oracle HCM

La tabella in questa sezione rappresenta gli attributi che è possibile esportare da Oracle HCM. I nomi di questi attributi possono differire nel sistema HCM, ma questo elenco rappresenta un elenco comune di attributi in un'integrazione HR. Determinare quali attributi esportare per l'integrazione.

Attributo Oracle HCM (da file CSV) Richiesto od obbligatorio
Numero di persona Obbligatorio
Stato dell'account Obbligatorio: > impostare il valore su True per lavoratori non terminati
Indirizzo
Città
Stato
CAP
Paese
Nome reparto
Divisione
Società
Username
Nome Obbligatorio
Cognome Obbligatorio
Codice lavoro
Nome lavoro
Indirizzo email
Responsabile
Numero di telefono cellulare
Numero di telefono
Indirizzo di lavoro
Numero di telefono
Data di assunzione Richiesto dai flussi di lavoro del ciclo di vita
Data di cessazione Richiesto dai flussi di lavoro del ciclo di vita



Nota

Nel foglio di lavoro precedente sono state incluse righe vuote, così che tu possa aggiungere altri attributi che non si trovano in questo elenco per includerli nel lavoro di provisioning.

Foglio di lavoro 2: mapping degli attributi da Oracle HCM a SCIM

La tabella in questa sezione mostra un mapping di esempio degli attributi da Oracle HCM agli attributi SCIM generici supportati dall'API.

Attributo Oracle HCM (da file CSV) Attributo SCIM
Numero identificativo personale IdentificatoreEsterno
Stato dell'account Attivo
Indirizzo addresses[type eq "work"].indirizzoStradale
Città addresses[type eq "lavoro"].locality
Stato indirizzi[tipo eq "lavoro"].regione
CAP addresses[type eq "work"].postalCode
Paese addresses[type eq "work"].country
Nome reparto urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department
Divisione urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division
Società urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization
Username nome visualizzato
Nome nome.nomeDato
Cognome nome.cognome
Codice lavoro urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:JobCode
Nome lavoro titolo
Indirizzo email emails[type eq "work"].value
Responsabile urn:ietf:params:scim:schemas:extension: enterprise:2.0:User:manager
Numero di telefono cellulare phoneNumbers[type eq "mobile"].value
Numero di telefono phoneNumbers[type eq "work"].value
Indirizzo di lavoro indirizzi[tipo eq "lavoro"].formattato
Data di assunzione urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate
Data di terminazione urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate

Foglio di lavoro 3: definire regole univoche di generazione e trasformazione di ID

La tabella in questa sezione descrive determinati attributi che richiedono regole univoche di trasformazione specifiche o di generazione. Questi includono tre attributi di uso comune che dispongono di regole aggiuntive per impostare il valore. Fare riferimento ai collegamenti per popolare correttamente questi attributi.

Attributo Come impostare il valore dell'attributo
userPrincipalName (obbligatorio) Pianificare il provisioning utenti di un'applicazione HR cloud in Microsoft Entra
SamAccountName (solo AD in sede) Pianificare il provisioning degli utenti di un'applicazione cloud HR su Microsoft Entra
parentDistinguishedName (solo AD in sede) Pianificare l'applicazione HR cloud per il provisioning di utenti in Microsoft Entra

Foglio di lavoro 4: mappatura degli attributi SCIM sugli attributi locali di AD

La tabella in questa sezione rappresenta il set di attributi locali supportati da Active Directory. Effettua il mapping degli attributi SCIM agli attributi di questa tabella se il target di provisioning è Active Directory.

Attributo SCIM Attributo AD in sede
Identificatore Esterno employeeID
Attivo accountDisabled
addresses[type eq "work"].indirizzoStradale indirizzo stradale
indirizzi[tipo eq "lavoro"].località l
addresses[type eq "lavoro"].regione Senza contesto, "st" non può essere tradotto correttamente.
addresses[type eq "work"].postalCode codice postale
indirizzi[type eq "work"].paese co
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department dipartimento
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division divisione
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization azienda
nome visualizzato cn
nome givenName
nome.cognome sn
urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:JobCode extensionAttribute1
titolo titolo
emails[type eq "work"].value <Generato da AD>
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager responsabile
phoneNumbers[type eq "mobile"].value per dispositivi mobili
phoneNumbers[type eq "work"].value numero di telefono
addresses[type eq "lavoro"].formatted Nome dell'Ufficio di Consegna Fisica
urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate extensionAttribute2
urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:TermDate extensionAttribute3

Nota

Se si definiscono attributi dell'estensione dello schema SCIM che non hanno un attributo AD locale corrispondente, è possibile eseguirne il mapping a extensionAttributes 1-15 o estendere lo schema AD per aggiungere una nuova classe di oggetti ausiliaria con gli attributi richiesti.

Foglio di lavoro 5: mappatura di AD locale a Microsoft Entra ID

Dopo aver sincronizzato le identità con AD locale, è possibile inviarle a Microsoft Entra ID tramite sincronizzazione cloud o Microsoft Entra ID Connect. Fare riferimento alla documentazione nel collegamento relativa a come usare questi strumenti.

La tabella in questa sezione è un mapping di attributi di esempio dagli attributi di AD inclusi negli attributi del foglio di lavoro 4 agli attributi di Microsoft Entra.

Nota

L'attributo personalizzato extensionAttribute1 è il codice del lavoro del dipendente. Nella tabella precedente è stato eseguito il mapping di extensionAttribute1 ad AD. Ma qui viene eseguito il mapping a Microsoft Entra extensionAttribute1, perché non esiste alcun attributo corrispondente in Microsoft Entra. Il mappaggio di extensionAttribute2 e extensionAttribute3 (data di assunzione e data di risoluzione) è impostato di conseguenza.

Attributo AD locale Attributo di Microsoft Entra
indirizzo stradale indirizzo stradale
l città
st stato
codice postale codice postale
co paese
dipartimento dipartimento
divisione EmployeeOrgData.divisione
azienda companyName
cn nome visualizzato
givenName givenName
sn cognome
extensionAttribute1 extensionAttribute1
titolo titolo di lavoro
<Generato da AD> posta
responsabile responsabile
per dispositivi mobili per dispositivi mobili
numero di telefono numero di telefono
physicalDeliveryOfficeName NomeUfficioDiConsegnaFisica
extensionAttribute2 dataAssunzioneDipendente
extensionAttribute3 DataOraPartenzaDipendente

Foglio di lavoro 6: mappatura degli attributi SCIM con gli attributi di Microsoft Entra

La tabella in questa sezione rappresenta il set di attributi supportati da Microsoft Entra ID. Mappa gli attributi SCIM agli attributi di questa tabella se il target di provisioning è Microsoft Entra ID. Per aggiungere attributi SCIM personalizzati all'applicazione di raccolta, vedere Estendere il provisioning basato su API per sincronizzare gli attributi personalizzati.

Attributo SCIM Attributo di Microsoft Entra
ExternalId ID dipendente
Attivo account abilitato
indirizzi[type eq "work"].indirizzoStradale indirizzo stradale
indirizzi[tipologia eq "lavoro"].località città
addresses[type eq "lavoro"].regione stato
addresses[type eq "work"].postalCode codice postale
addresses[type eq "work"].country paese
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:dipartimento dipartimento
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division DatiOrganizzativiDipendenti.divisione
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization companyName
nome visualizzato nome visualizzato
nome.primoNome givenName
name.familyName cognome
urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:JobCode extensionAttribute1
titolo titolo di lavoro
emails[type eq "work"].value posta elettronica
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager responsabile
phoneNumbers[type eq "cellulare"].value per dispositivi mobili
phoneNumbers[type eq "work"].value numero di telefono
indirizzi[tipologia eq "lavoro"].formattato Nome dell'ufficio di consegna fisica
urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate dataAssunzioneDipendente
urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate DataOraUscitaDipendente

Ringraziamenti

Microsoft ringrazia i partner seguenti per aver contribuito alla revisione e al contributo di questo articolo:

  • Michael Starkweather, Direttore presso PwC
  • Rob Allen, Director of Architecture and Technology presso ActiveIdM
  • Ray Nalette, Technical Delivery Manager presso ActiveIdM
  • Randy Robb, Principal Consultant presso Oxford Computer Group
  • Frank Urena, Principal Architect presso Oxford Computer Group
  • Nick Herbert, Vice presidente delle vendite presso Oxford Computer Group
  • Steve Brugger, CEO di Oxford Computer Group