Integrazione di Microsoft Entra ID con Oracle HCM
L'API del provisioning in ingresso è una funzionalità che consente di creare, aggiornare ed eliminare utenti in Microsoft Entra ID e Active Directory locale da un'origine esterna, ad esempio Human Capital Management (HCM) di Oracle. Questa funzionalità consente alle organizzazioni di migliorare la produttività, rafforzare la sicurezza e soddisfare più facilmente i requisiti normativi e di conformità.
È possibile usare Microsoft Entra ID Governance per garantire automaticamente agli utenti corretti l'accesso corretto alle risorse corrette. Questo accesso include l'automazione dei processi di identità e accessi, la delega ai gruppi aziendali e l’aumento della visibilità.
In questo articolo vengono illustrati i passaggi e le procedure consigliate per l'integrazione di Oracle HCM con Microsoft Entra ID tramite provisioning basato sulle API. Si apprenderà come:
- Preparare l'ambiente e configurare le impostazioni API
- Esporta i dati dei lavoratori da Oracle HCM in formato CSV e trasformali in formato SCIM (System for Cross-domain Identity Management) usando script Microsoft.
- Inviare i dati dei lavoratori alle API di provisioning in entrata usando PowerShell o Logic Apps
- Eseguire sincronizzazioni Delta per mantenere aggiornati i dati dei lavoratori usando le API del feed ATOM di Oracle o HCM Extracts
- Configurare il writeback (se necessario) da Microsoft Entra ID a Oracle HCM usando le API SCIM di HCM di Oracle
Terminologia
Oracle HCM Fusion Cloud (oracle.com): questa guida è incentrata in particolare su come eseguire l'integrazione da Oracle HCM Fusion Cloud a Microsoft Entra ID. Altre offerte Oracle, ad esempio PeopleSoft e Taleo, non rientrano nell'ambito di questo articolo.
Licenze:
Microsoft Entra ID P1 / EMS E3 / Microsoft 365 E3: queste licenze consentono di usare la nuova funzionalità di provisioning basata sulle API.
Licenza Microsoft Entra ID Governance: questa licenza aggiuntiva è necessaria per configurare i flussi di lavoro del ciclo di vita.
Sottoscrizione ad Azure: questa sottoscrizione è necessaria se si prevede di usare App per la logica di Azure.
Prerequisiti
Prima di iniziare a integrare Oracle HCM con Microsoft Entra ID usando l'API del provisioning in ingresso, è necessario assicurarsi di disporre dei prerequisiti seguenti:
Un account Oracle HCM (oracle.com) con privilegi per:
- Visualizzare ed esportare i dati HCM.
- Accedere alle API REST di Oracle HCM. Per questo articolo, abbiamo fatto riferimento a Risorse Umane 24A (oracle.com). e Applicazioni comuni 24A (oracle.com).
Un tenant di Microsoft Entra ID con almeno la licenza P1 (o EMS E3/Microsoft 365 E3):
Per installare l'agente di provisioning (solo utenti ibridi), è necessario accedere al server Microsoft Windows connesso al dominio AD.
Per creare un'app di galleria e un lavoro di provisioning, sono necessari i ruoli con Microsoft Entra Amministratore di applicazioni e Amministratore di identità ibride.
Informazioni generali sull'integrazione
Esistono tre scenari di sincronizzazione principali che è possibile usare per configurare un'integrazione HR. Il diagramma di questa sezione illustra questi scenari di sincronizzazione. Questa guida è suddivisa e organizzata in tre sezioni. Per ogni flusso di lavoro viene fornito un consiglio su come configurare il flusso di lavoro.
La sincronizzazione iniziale/completa è il processo di sincronizzazione di tutti i dati relativi ai lavoratori tra due sistemi, in questo caso: Oracle HCM e Microsoft Entra ID, direttamente o verso Active Directory locale (AD locale). Questo processo include tutte le identità e gli attributi del ruolo di lavoro, ad esempio informazioni personali, informazioni sul contatto, informazioni sull'impiego e altro ancora. In genere, viene eseguita una sincronizzazione completa durante la configurazione iniziale dell'integrazione per garantire che tutti i dati dei lavoratori siano coerenti e aggiornati in entrambi i sistemi.
La sincronizzazione delta è il processo che prevede la sincronizzazione solo delle modifiche o degli aggiornamenti che si sono verificati dopo l'ultima sincronizzazione con Oracle HCM. Di solito le sincronizzazioni delta vengono eseguite dopo la sincronizzazione completa iniziale, per mantenere aggiornati i dati dei lavoratori con le modifiche che avvengono nel sistema di origine. Questo processo include nuovi dipendenti, dati aggiornati dei dipendenti o dipendenti eliminati. Le sincronizzazioni delta sono aggiornamenti incrementali più veloci ed efficienti rispetto all'esecuzione di una sincronizzazione completa ogni volta che i dati del ruolo di lavoro cambiano.
Il writeback è il processo facoltativo che consiste nell’invio di modifiche dell'attributo utente che si verificano in Microsoft Entra ID (ad esempio nome utente, email e numeri di telefono) a Oracle HCM.
Passaggi di integrazione
# | Passaggio | Cosa fare | Chi coinvolgere |
---|---|---|---|
1. | Determinare la serie di attributi di cui si vuole eseguire il provisioning da HCM | • Fare riferimento a questo elenco di attributi HCM e determinare quali attributi si vuole esportare in Microsoft Entra ID • Eseguire il mapping degli attributi Oracle HCM per gli attributi SCIM • Definire regole di generazione e trasformazione di ID univoci |
Amministratore Oracle HCM e Amministratore IT |
2. | Concedere autorizzazioni all'API del provisioning in ingresso | Creare un'applicazione per rappresentare il client API e concedergli le autorizzazioni per inviare dati all'endpoint del provisioning in ingresso | Amministratore IT - Amministratore del ruolo privilegiato |
3. | Determinare la destinazione del provisioning: si stanno effettuando il provisioning di identità solo cloud in Microsoft Entra ID o di identità ibride in AD locale? | Se il tuo obiettivo è Microsoft Entra ID (provisioning delle identità solo per il cloud): • Configurare l'app galleria • Mappare gli attributi SCIM in Microsoft Entra Se la destinazione è AD locale (provisioning di identità ibride): • Scaricare e configurare l'agente di provisioning • Configurare l'app galleria • Eseguire il mapping degli attributi SCIM in Active Directory locale • Aggiornare i mapping di Microsoft Entra Connect Sync e della sincronizzazione cloud per far confluire i nuovi attributi HR nell'Entra ID |
Per l'installazione dell'agente di provisioning, coinvolgere l’amministratore Windows Per la configurazione dell'app galleria, contattare l'amministratore con privilegi di amministratore di applicazioni. |
4. | Eseguire la sincronizzazione iniziale per inviare l'ambito completo dei dati all'endpoint di provisioning | • Preparare la sincronizzazione iniziale • Eseguire l'esportazione CSV e inviare dati all'API • Verificare che i lavoratori corretti siano stati abbinati e siano presenti in Microsoft Entra/AD |
Amministratore IT |
5. | Eseguire sincronizzazioni delta per mantenere aggiornati i dati in Microsoft Entra ID | Usare uno di questi metodi: • Usare estratti CSV • Usare le API del feed Atom |
Amministratore IT |
6. | Riscrittura dei dati su Oracle HCM | • Configurare ed eseguire il lavoro di provisioning writeback | Amministratore IT |
7. | Consigliato: configurare i flussi di lavoro del ciclo di vita di Microsoft Entra | • Automatizzare i processi di inserimento, trasferimento e uscita usando Microsoft Entra • Licenza di governance richiesta |
Amministratore IT |
Configurare l'applicazione galleria
Prima di poter configurare il processo di provisioning in Microsoft Entra, è necessario determinare se la destinazione del provisioning è Active Directory locale o Microsoft Entra ID. Se si vuole avere utenti ibridi con una dipendenza locale, AD diventa la destinazione. Se gli utenti sono solo cloud, è possibile effettuarne il provisioning direttamente in Microsoft Entra ID.
Solo per utenti cloud
Creare e configurare l'applicazione della galleria per l'implementazione basata su API in Microsoft Entra ID seguendo questi passaggi:
Creare l'applicazione galleria, quindi denominare l'applicazione Oracle HCM Cloud per il provisioning di Entra ID.
Per gli utenti ibridi
Collaborare con l'amministratore di Windows per installare l'agente di provisioning in un server Windows aggiunto a un dominio, quindi seguire questi passaggi:
Crea l'applicazione galleria, quindi denominare l'applicazione Oracle HCM Cloud per Active Directory locale.
Preparare la sincronizzazione iniziale
Prima di inviare il payload della sincronizzazione iniziale, assicurarsi che i dati siano pronti per la sincronizzazione corretta con Microsoft Entra. I passaggi seguenti consentono di garantire un'integrazione uniforme.
Presenza e univocità degli identificatori corrispondenti: il servizio di provisioning usa un attributo corrispondente per identificare e collegare in modo univoco i record dei ruoli di lavoro nel sistema Oracle con gli account utente corrispondenti in AD/Microsoft Entra ID. La coppia di attributi di corrispondenza predefinita è Person Number in Oracle HCM, associata all'attributo ID dipendente in Microsoft Entra ID / AD locale. Assicurarsi che il valore dell'ID dipendente sia popolato in Microsoft Entra ID (per utenti solo del cloud) e in AD locale (per utenti ibridi) e che identifichi gli utenti in modo univoco prima di avviare la sincronizzazione completa.
Usare i filtri dell'ambito per ignorare i record delle risorse umane non più rilevanti: i sistemi delle risorse umane contengono diversi anni di dati sull'occupazione, probabilmente risalenti fino agli anni '70. D'altra parte, il team IT potrebbe essere interessato solo all'elenco dei dipendenti attualmente attivi e alle pratiche di cessazione che arriveranno dopo la messa in esercizio. Per filtrare i record delle risorse umane non più rilevanti dal punto di vista del team IT, identificare le regole di filtro dell'ambito che è possibile configurare in Microsoft Entra.
Esportazione di CSV per la sincronizzazione iniziale
In questo passaggio, i dati dei dipendenti vengono esportati da Oracle HCM in formato CSV e trasformati in formato SCIM utilizzando gli script Microsoft CSV to SCIM. Questo passaggio consente di inviare i dati dei lavoratori all'API di provisioning in entrata in un payload basato su standard che può comprendere ed elaborare.
Condividi l'elenco degli attributi dei lavoratori di HCM di Oracle che desideri esportare con l'amministratore di Oracle HCM. Oracle offre più opzioni per esportare i dati del ruolo di lavoro da Oracle HCM in formato CSV.
Strumento HCM Extracts: il modo principale per recuperare i dati in blocco da Oracle HCM Cloud è usare HCM Extracts, uno strumento per la generazione di file di dati e report. HCM Extracts ha un'interfaccia dedicata per specificare le registrazioni e gli attributi da estrarre. Questo strumento consente di:
- Identificare i record per l'estrazione usando criteri di selezione complessi
- Definire gli elementi di dati in un estratto HCM usando regole ed elementi del database delle formule veloci
Nota
Per iniziare a creare estratti HCM, vedere Definire gli estratti (oracle.com).
Oracle BI Publisher: supporta la creazione di report pianificati e non pianificati, in base a strutture di analisi di Business Intelligence transazionali predefinite di Oracle o ai modelli di dati dell’utente. È possibile generare report in diversi formati. Per usare Oracle BI Publisher per le integrazioni in uscita, l’utente genera report in un formato adatto per l'elaborazione downstream automatica, ad esempio XML o CSV. Per iniziare a creare il report di BI Publisher, vedere Definire il modello BI Publisher su HCM Extracts (oracle.com).
Oracle Integration Cloud (OIC) Service: in caso di sottoscrizione a OIC, è possibile configurare l'integrazione con Oracle HCM Adapter (oracle.com) per estrarre i dati necessari da Oracle HCM. Oracle fornisce una guida (oracle.com) che è possibile usare per iniziare.
Nota
Collaborare con l'amministratore di Oracle HCM per esportare gli attributi necessari in un file CSV.
Dopo aver esportato i dati del ruolo di lavoro in un file CSV, è necessario trasformare il file CSV in formato SCIM, in modo che il payload sia in un formato che è possibile accettare. Vengono forniti la documentazione e il codice di esempio che indicano come trasformare il file CSV in un payload SCIM tramite due metodi: PowerShell e App per la logica di Azure.
Ecco i collegamenti per eseguire questa trasformazione con ogni metodo:
PowerShell: provisioning in ingresso basato su API con uno script di PowerShell
App per la logica di Azure: provisioning in ingresso basato su API con App per la logica di Azure
Il processo di provisioning in ingresso include l'invio del payload di provisioning. Prima di inviare il payload, assicurarsi di selezionare Avvia provisioning per garantire che l'attività di provisioning sia pronta a ricevere le nuove richieste nell'interfaccia di amministrazione di Microsoft Entra. Prima di inviare il file completo per l'elaborazione, inviare 5-10 record per convalidare la corrispondenza corretta dei ruoli di lavoro e degli attributi. Dopo l'invio del payload, gli utenti compariranno brevemente nel tenant di Microsoft Entra/AD locale.
Sincronizzazioni delta
Dopo aver inviato i dati dei dipendenti all'API di approvvigionamento in ingresso per la sincronizzazione iniziale, è necessario eseguire sincronizzazioni delta per mantenere aggiornati i dati dei dipendenti. Le sincronizzazioni delta sono aggiornamenti incrementali che inviano solo le modifiche apportate dall'ultima sincronizzazione, ad esempio i nuovi ruoli di lavoro, i ruoli di lavoro aggiornati o i ruoli di lavoro eliminati.
Sono disponibili tre opzioni per eseguire le sincronizzazioni delta:
Opzione 1: usare le API del feed ATOM di Oracle per ricevere notifiche in tempo reale sulle modifiche del ruolo di lavoro in Oracle HCM e inviarle all'API del provisioning in ingresso.
Opzione 2: usare estratti CSV per generare report periodici sulle modifiche del ruolo di lavoro in Oracle HCM e inviare gli estratti all'API del provisioning in ingresso usando il proprio strumento di automazione o l’App per la logica.
Opzione 3: usare Oracle Integration Cloud Service (oracle.com). In caso di sottoscrizione a OIC, è possibile configurare l'integrazione con Oracle HCM Adapter (oracle.com) per estrarre i dati necessari da Oracle HCM. Oracle fornisce una guida (oracle.com) che è possibile usare per iniziare.
Opzione 1: usare le API del feed ATOM di Oracle
Le API del feed ATOM di Oracle forniscono notifiche in tempo reale sulle modifiche del ruolo di lavoro in Oracle HCM. È possibile sottoscrivere le API del feed ATOM e ricevere una rappresentazione JSON degli attributi che contengono i dati del ruolo di lavoro modificati. È quindi possibile trasformare il codice JSON in formato SCIM e inviarlo all'API del provisioning in ingresso usando lo script PowerShell di esempio o l'integrazione di Logic Apps.
Se si intende usare l'integrazione dei feed ATOM, assicurarsi di abilitare i feed ATOM subito dopo la sincronizzazione iniziale. Un ritardo in questo passaggio può causare la perdita delle modifiche.
Per iniziare a usare i feed ATOM di Oracle, fare riferimento alla documentazione Oracle (oracle.com) e all'articolo (oracle.com). È consigliabile iscriversi all’area di lavoro per dipendenti (oracle.com) e applicare queste raccolte di feed Atom: newhire, empassignment, empupdate, termination, cancelworkrelship e workrelshipupdate.
Dopo aver configurato i feed ATOM nel tenant HCM, è necessario creare un modulo personalizzato che legge l'output dell'API del feed ATOM e invia i dati a Microsoft Entra ID in un formato di payload SCIM usando l'API del provisioning in ingresso.
La logica nel modulo personalizzato è responsabile della gestione degli scenari seguenti:
- Convalida dei dati
- Generazione ID univoco
- Sequenziazione dei feed ATOM
- Conversione dei feed ATOM in payload SCIM
- Gestione degli errori
Per creare questo modulo personalizzato, è consigliabile usare un partner Oracle HCM o un integratore di sistemi Microsoft. È possibile ospitare questo modulo personalizzato in un middleware Oracle come Oracle Integration Cloud o nel cloud di Azure come funzione di Azure, App per la logica di Azure o pipeline di Azure Data Factory.
Implementare lo scenario di inserimento
Gli scenari di inserimento si concentrano in modo specifico sul processo di integrazione dei nuovi assunti. I feed ATOM di Oracle HCM restituiscono dati relativi ai nuovi assunti, come documentato qui: Integrazione Fusion Cloud HCM con i sistemi esterni di gestione entitlement (oracle.com).
Leggere i dati dal feed ATOM della nuova assunzione e implementare la logica nel modulo personalizzato per assicurarsi che gli elementi di dati seguenti siano presenti nel payload SCIM: dati personali, dati di contatto, informazioni sull'impiego e informazioni sul lavoro.
Se necessario, dopo aver ottenuto il feed ATOM per gli scenari di inserimento, eseguire una query sugli endpoint Lavoratori o Dipendenti per recuperare ulteriori attributi dei lavoratori.
Per attivare i flussi di lavoro del ciclo di vita di Microsoft Entra per i nuovi assunti, assicurarsi di includere l'attributo SCIM personalizzato per la data di assunzione del dipendente: urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate
.
Usare il campo EffectiveStartDate di Oracle HCM per impostare il valore per la data di assunzione. Fare riferimento all'esempio payload SCIM.
Implementare lo scenario di trasferimento
Gli scenari di trasferimento vengono attivati in Oracle HCM quando un ruolo di lavoro passa da tempo pieno a terzista o viceversa, quando si verifica una modifica all’assegnazione, quando si verifica una modifica della relazione di lavoro, quando si verifica un trasferimento o in caso di una promozione. I flussi ATOM di Oracle HCM restituiscono dati per i movimenti, come documentato qui: Integrazione di Fusion Cloud HCM con i sistemi esterni di gestione dei diritti (oracle.com).
Assicurarsi di recuperare i nuovi valori degli attributi modificati in Oracle HCM. Spesso questi valori possono essere recuperati dalla sezione Attributi modificati della risposta del feed ATOM. Se necessario, eseguire una query direttamente sugli endpoint Ruoli di lavoro o Dipendenti per recuperare attributi aggiuntivi dei ruoli di lavoro.
Usare i dati recuperati per costruire un payload SCIM. Fare riferimento all'esempio payload SCIM.
Implementare lo scenario di uscita
Gli scenari di uscita si verificano quando l'impiego di un lavoratore con l'organizzazione termina, volontariamente o involontariamente. I feed ATOM di Oracle HCM restituiscono dati per i dipendenti in uscita, come documentato qui: Integrazione di Fusion Cloud HCM con i sistemi esterni di gestione delle autorizzazioni (oracle.com). Legge i dati dal feed ATOM e costruire il payload SCIM.
Per attivare i flussi di lavoro del ciclo di vita per i dipendenti che lasciano, è necessario assicurarsi di includere l'attributo SCIM personalizzato per la data di uscita del dipendente: urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate
Usare il campo EffectiveDate di Oracle HCM per impostare il valore per la data della risoluzione. Fare riferimento al esempio payload SCIM.
Esempio di payload SCIM
Trasformare i payload JSON associati agli scenari di inserimento, trasferimento e uscita per creare un payload SCIM da inviare all'endpoint di provisioning basato sulle API di Microsoft.
Di seguito è riportato un esempio generico del mapping degli attributi Oracle HCM agli attributi nel payload SCIM basato sul foglio di lavoro da Oracle HCM a SCIM:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:BulkRequest"],
"Operations": [
{
"method": "POST",
"bulkId": "897401c2-2de4-4b87-a97f-c02de3bcfc61",
"path": "/Users",
"data": {
"schemas": ["urn:ietf:params:scim:schemas:core:2.0:User",
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"],
"externalId": "<Oracle HCM workers.PersonNumber>",
"userName": "<Oracle HCM employee.UserName>",
"name": {
"familyName": "<Oracle HCM workers.names.LastName>",
"givenName": "<Oracle HCM workers.names.FirstName> ",
"middleName": "<Oracle HCM workers.names.MiddleName>",
},
"displayName": "<Oracle HCM workers.DisplayName>",
"emails": [
{
"value": "<Oracle HCM workers.emails.EmailAddress> ",
"type": "work",
"primary": true
}
],
"addresses": [
{
"type": "work",
"streetAddress": "<Oracle HCM workers.addresses.AddressLine1>",
"locality": "<Oracle HCM workers.addresses.TownorCity>",
"region": "<Oracle HCM workers.addresses.Region1>",
"postalCode": "<Oracle HCM workers addresses.PostalCode> ",
"country": "<Oracle HCM workers addresses.Country> ",
"primary": true
}
],
"phoneNumbers": [
{
"value": "<Oracle HCM workers. phones.PhoneNumber ",
"type": "work"
}
],
"userType": "<Oracle HCM workers.workRelationships.WorkerType ",
"title": " <Oracle HCM worker.workRelationships.assignments.JobName",
"active":true,
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
"employeeNumber": "<Oracle HCM workers.PersonNumber> ",
"division": "<Oracle HCM worker.workRelationships.assignments.BusinessUnitId> ",
"department": "<Oracle HCM worker.workRelationships.assignments.DepartmentId >",
"manager": {
"value": "<Oracle HCM worker.workRelationships.assignments.allReports.ManagerPersonNumber> ",
"displayName": "<Oracle HCM worker.workRelationships.assignments.allReports.ManagerDisplayName"
}
}
}
}
],
"failOnErrors": null
}
Dopo aver formattato la richiesta di SCIM in blocco, è possibile inviare i dati all'endpoint API bulkUpload tramite il provisioning basato su API.
Prima di abilitare l'integrazione, eseguire test e verifiche manuali per convalidare la struttura del payload della richiesta di SCIM in blocco. È possibile usare strumenti come cURL o Graph Explorer per confermare che i payload delle richieste in blocco vengano elaborati come previsto.
Nota
Se non si vuole coinvolgere un partner o creare un modulo personalizzato, è consigliabile usare lo strumento HCM Extract descritto nella sezione successiva.
Opzione 2: usare estratti CSV
Analogamente al metodo usato nella sincronizzazione iniziale, per gestire le sincronizzazioni delta è anche possibile usare estratti CSV. È possibile configurare l’estratto per eseguire solo nuove modifiche dalla sincronizzazione precedente. In alternativa, è possibile inviare l'ambito completo dei dati del ruolo di lavoro e il servizio di provisioning di Microsoft Entra ID gestisce e aggiorna eventuali modifiche, ad esempio nuove assunzioni, modifiche agli attributi e risoluzioni.
Analogamente alla sincronizzazione iniziale, per ottenere l’estratto CSV è anche possibile usare più opzioni:
Strumento HCM Extracts: il modo principale per recuperare i dati in blocco da Oracle HCM Cloud è usare HCM Extracts, uno strumento per la generazione di file di dati e report. HCM Extracts ha un'interfaccia dedicata per specificare le registrazioni e gli attributi da estrarre. Questo strumento consente di:
Identificare i record per l'estrazione usando criteri di selezione complessi.
Definire gli elementi di dati in un estratto HCM usando elementi del database e regole di formule rapide.
Nota
Per iniziare a creare estratti HCM, vedere Definire gli estratti (oracle.com).
Oracle BI Publisher: supporta la creazione di report pianificati e non pianificati, in base a strutture di analisi di Business Intelligence transazionali predefinite di Oracle o ai modelli di dati dell’utente. È possibile generare report in diversi formati. Per usare Oracle BI Publisher per le integrazioni in uscita, l’utente genera report in un formato adatto per l'elaborazione downstream automatica, ad esempio XML o CSV. Per iniziare a creare il report di BI Publisher, vedere Definire il modello BI Publisher su HCM Extracts (oracle.com).
Oracle Integration Cloud (OIC) service: in caso di sottoscrizione a OIC, è possibile configurare l'integrazione con Oracle HCM Adapter (oracle.com) per estrarre i dati necessari da Oracle HCM. Oracle fornisce una guida (oracle.com) che è possibile usare per iniziare.
Dopo aver ottenuto i dati dei lavoratori in formato CSV, usare uno dei due metodi seguenti per convertirli in un payload SCIM e inviare i dati al nostro servizio di provisioning.
PowerShell: provisioning in ingresso basato su API con uno script di PowerShell
App per la logica: provisioning in ingresso basato su API con App per la logica di Azure
Ripristino da Microsoft Entra ID a Oracle HCM
Dopo aver sincronizzato i dati utente da Oracle HCM a Microsoft Entra ID/Active Directory locale utilizzando l'API di provisioning in ingresso, è possibile configurare la funzionalità di writeback dal servizio di provisioning di Microsoft Entra a Oracle HCM. Il writeback è il processo di invio delle modifiche apportate dagli utenti che si verificano in Entra ID verso Oracle HCM, come ad esempio nome utente, email e password. Ciò garantisce che i dati utente siano coerenti e accurati in entrambi i sistemi.
Per configurare il writeback, è necessario usare le API SCIM di Oracle HCM. Le API SCIM di Oracle HCM (oracle.com) sono servizi Web RESTful che consentono di creare, aggiornare ed eliminare utenti in Oracle HCM da un'origine esterna, ad esempio Entra. È possibile usare il connettore di provisioning Oracle Fusion ERP già esistente nella raccolta di app di Microsoft Entra per connettersi alle API SCIM di Oracle HCM e mappare gli attributi utente che si desidera riportare.
Per configurare il writeback, è necessario configurare un lavoro di provisioning in uscita per il tenant Oracle HCM. Per configurare il writeback, sono necessarie le informazioni seguenti:
- Nome utente e password amministratore: sono necessari i dettagli dell'account amministratore che ha accesso a Oracle HCM e può richiamare l'API di aggiornamento utente di HCM.
Seguire questi passaggi per impostare il lavoro di scrittura inversa in Oracle HCM usando il connettore Oracle Fusion ERP:
Nella raccolta di app di Microsoft Entra Enterprise, cercare l'app Oracle Fusion ERP.
Fare riferimento a Oracle Fusion ERP per configurare il writeback usando l'app Oracle Fusion ERP.
Quando viene richiesto di immettere un URL, un nome utente e una password amministratore, usare l'URL specificato nelle istruzioni e immettere il nome utente amministratore e la password dell'account che ha accesso a Oracle HCM e può richiamare l'API di aggiornamento utente di HCM.
Seguire le indicazioni riportate nell'articolo Oracle Fusion ERP per modificare il mapping degli attributi e distribuire utenti specifici in Oracle HCM.
Nella sezione di modifica del mapping attributi, selezionare solo l'operazione Aggiorna in Azioni oggetto di destinazione.
Vedrai che gli attributi HCM vengono popolati automaticamente nella sezione attributi di mapping. Rimuovere gli attributi di cui non si desidera effettuare il writeback.
Salvare le impostazioni e attivare lo stato di provisioning.
Usare la funzionalità Provision on Demand di Entra per testare e convalidare l'integrazione del writeback.
Dopo aver convalidato il flusso di lavoro, avvia il processo e lascialo in esecuzione affinché Entra possa sincronizzare continuamente i dati su Oracle HCM.
Appendice
Foglio di lavoro 1: attributi Oracle HCM
La tabella in questa sezione rappresenta gli attributi che è possibile esportare da Oracle HCM. I nomi di questi attributi possono differire nel sistema HCM, ma questo elenco rappresenta un elenco comune di attributi in un'integrazione HR. Determinare quali attributi esportare per l'integrazione.
Attributo Oracle HCM (da file CSV) | Richiesto od obbligatorio |
---|---|
Numero di persona | Obbligatorio |
Stato dell'account | Obbligatorio: > impostare il valore su True per lavoratori non terminati |
Indirizzo | |
Città | |
Stato | |
CAP | |
Paese | |
Nome reparto | |
Divisione | |
Società | |
Username | |
Nome | Obbligatorio |
Cognome | Obbligatorio |
Codice lavoro | |
Nome lavoro | |
Indirizzo email | |
Responsabile | |
Numero di telefono cellulare | |
Numero di telefono | |
Indirizzo di lavoro | |
Numero di telefono | |
Data di assunzione | Richiesto dai flussi di lavoro del ciclo di vita |
Data di cessazione | Richiesto dai flussi di lavoro del ciclo di vita |
Nota
Nel foglio di lavoro precedente sono state incluse righe vuote, così che tu possa aggiungere altri attributi che non si trovano in questo elenco per includerli nel lavoro di provisioning.
Foglio di lavoro 2: mapping degli attributi da Oracle HCM a SCIM
La tabella in questa sezione mostra un mapping di esempio degli attributi da Oracle HCM agli attributi SCIM generici supportati dall'API.
Attributo Oracle HCM (da file CSV) | Attributo SCIM |
---|---|
Numero identificativo personale | IdentificatoreEsterno |
Stato dell'account | Attivo |
Indirizzo | addresses[type eq "work"].indirizzoStradale |
Città | addresses[type eq "lavoro"].locality |
Stato | indirizzi[tipo eq "lavoro"].regione |
CAP | addresses[type eq "work"].postalCode |
Paese | addresses[type eq "work"].country |
Nome reparto | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department |
Divisione | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division |
Società | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization |
Username | nome visualizzato |
Nome | nome.nomeDato |
Cognome | nome.cognome |
Codice lavoro | urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:JobCode |
Nome lavoro | titolo |
Indirizzo email | emails[type eq "work"].value |
Responsabile | urn:ietf:params:scim:schemas:extension: enterprise:2.0:User:manager |
Numero di telefono cellulare | phoneNumbers[type eq "mobile"].value |
Numero di telefono | phoneNumbers[type eq "work"].value |
Indirizzo di lavoro | indirizzi[tipo eq "lavoro"].formattato |
Data di assunzione | urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate |
Data di terminazione | urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate |
Foglio di lavoro 3: definire regole univoche di generazione e trasformazione di ID
La tabella in questa sezione descrive determinati attributi che richiedono regole univoche di trasformazione specifiche o di generazione. Questi includono tre attributi di uso comune che dispongono di regole aggiuntive per impostare il valore. Fare riferimento ai collegamenti per popolare correttamente questi attributi.
Attributo | Come impostare il valore dell'attributo |
---|---|
userPrincipalName (obbligatorio) | Pianificare il provisioning utenti di un'applicazione HR cloud in Microsoft Entra |
SamAccountName (solo AD in sede) | Pianificare il provisioning degli utenti di un'applicazione cloud HR su Microsoft Entra |
parentDistinguishedName (solo AD in sede) | Pianificare l'applicazione HR cloud per il provisioning di utenti in Microsoft Entra |
Foglio di lavoro 4: mappatura degli attributi SCIM sugli attributi locali di AD
La tabella in questa sezione rappresenta il set di attributi locali supportati da Active Directory. Effettua il mapping degli attributi SCIM agli attributi di questa tabella se il target di provisioning è Active Directory.
Attributo SCIM | Attributo AD in sede |
---|---|
Identificatore Esterno | employeeID |
Attivo | accountDisabled |
addresses[type eq "work"].indirizzoStradale | indirizzo stradale |
indirizzi[tipo eq "lavoro"].località | l |
addresses[type eq "lavoro"].regione | Senza contesto, "st" non può essere tradotto correttamente. |
addresses[type eq "work"].postalCode | codice postale |
indirizzi[type eq "work"].paese | co |
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | dipartimento |
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division | divisione |
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | azienda |
nome visualizzato | cn |
nome | givenName |
nome.cognome | sn |
urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:JobCode | extensionAttribute1 |
titolo | titolo |
emails[type eq "work"].value | <Generato da AD> |
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager | responsabile |
phoneNumbers[type eq "mobile"].value | per dispositivi mobili |
phoneNumbers[type eq "work"].value | numero di telefono |
addresses[type eq "lavoro"].formatted | Nome dell'Ufficio di Consegna Fisica |
urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate | extensionAttribute2 |
urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:TermDate | extensionAttribute3 |
Nota
Se si definiscono attributi dell'estensione dello schema SCIM che non hanno un attributo AD locale corrispondente, è possibile eseguirne il mapping a extensionAttributes 1-15 o estendere lo schema AD per aggiungere una nuova classe di oggetti ausiliaria con gli attributi richiesti.
Foglio di lavoro 5: mappatura di AD locale a Microsoft Entra ID
Dopo aver sincronizzato le identità con AD locale, è possibile inviarle a Microsoft Entra ID tramite sincronizzazione cloud o Microsoft Entra ID Connect. Fare riferimento alla documentazione nel collegamento relativa a come usare questi strumenti.
La tabella in questa sezione è un mapping di attributi di esempio dagli attributi di AD inclusi negli attributi del foglio di lavoro 4 agli attributi di Microsoft Entra.
Nota
L'attributo personalizzato extensionAttribute1 è il codice del lavoro del dipendente. Nella tabella precedente è stato eseguito il mapping di extensionAttribute1 ad AD. Ma qui viene eseguito il mapping a Microsoft Entra extensionAttribute1, perché non esiste alcun attributo corrispondente in Microsoft Entra. Il mappaggio di extensionAttribute2 e extensionAttribute3 (data di assunzione e data di risoluzione) è impostato di conseguenza.
Attributo AD locale | Attributo di Microsoft Entra |
---|---|
indirizzo stradale | indirizzo stradale |
l | città |
st | stato |
codice postale | codice postale |
co | paese |
dipartimento | dipartimento |
divisione | EmployeeOrgData.divisione |
azienda | companyName |
cn | nome visualizzato |
givenName | givenName |
sn | cognome |
extensionAttribute1 | extensionAttribute1 |
titolo | titolo di lavoro |
<Generato da AD> | posta |
responsabile | responsabile |
per dispositivi mobili | per dispositivi mobili |
numero di telefono | numero di telefono |
physicalDeliveryOfficeName | NomeUfficioDiConsegnaFisica |
extensionAttribute2 | dataAssunzioneDipendente |
extensionAttribute3 | DataOraPartenzaDipendente |
Foglio di lavoro 6: mappatura degli attributi SCIM con gli attributi di Microsoft Entra
La tabella in questa sezione rappresenta il set di attributi supportati da Microsoft Entra ID. Mappa gli attributi SCIM agli attributi di questa tabella se il target di provisioning è Microsoft Entra ID. Per aggiungere attributi SCIM personalizzati all'applicazione di raccolta, vedere Estendere il provisioning basato su API per sincronizzare gli attributi personalizzati.
Attributo SCIM | Attributo di Microsoft Entra |
---|---|
ExternalId | ID dipendente |
Attivo | account abilitato |
indirizzi[type eq "work"].indirizzoStradale | indirizzo stradale |
indirizzi[tipologia eq "lavoro"].località | città |
addresses[type eq "lavoro"].regione | stato |
addresses[type eq "work"].postalCode | codice postale |
addresses[type eq "work"].country | paese |
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:dipartimento | dipartimento |
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division | DatiOrganizzativiDipendenti.divisione |
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | companyName |
nome visualizzato | nome visualizzato |
nome.primoNome | givenName |
name.familyName | cognome |
urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:JobCode | extensionAttribute1 |
titolo | titolo di lavoro |
emails[type eq "work"].value | posta elettronica |
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager | responsabile |
phoneNumbers[type eq "cellulare"].value | per dispositivi mobili |
phoneNumbers[type eq "work"].value | numero di telefono |
indirizzi[tipologia eq "lavoro"].formattato | Nome dell'ufficio di consegna fisica |
urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate | dataAssunzioneDipendente |
urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate | DataOraUscitaDipendente |
Ringraziamenti
Microsoft ringrazia i partner seguenti per aver contribuito alla revisione e al contributo di questo articolo:
- Michael Starkweather, Direttore presso PwC
- Rob Allen, Director of Architecture and Technology presso ActiveIdM
- Ray Nalette, Technical Delivery Manager presso ActiveIdM
- Randy Robb, Principal Consultant presso Oxford Computer Group
- Frank Urena, Principal Architect presso Oxford Computer Group
- Nick Herbert, Vice presidente delle vendite presso Oxford Computer Group
- Steve Brugger, CEO di Oxford Computer Group