教程:Microsoft Entra ID 与 Oracle HCM 的集成
入站预配 API 是一项功能,可用于从外部源(如 Oracle Human Capital Management (HCM))创建、更新和删除 Microsoft Entra ID 和本地 Active Directory 中的用户。 此功能使组织能够提高工作效率,增强安全性,并且更轻松地满足合规性和法规要求。
可以使用 Microsoft Entra ID 治理来自动确保适当的人员有权访问正确的资源。 此权限包括身份验证和访问控制过程自动化、委派到业务组,以及提高可见性。
本教程将介绍通过 API 驱动的预配将 Oracle HCM 与 Microsoft Entra ID 集成的步骤和最佳做法。可了解到以下内容:
- 准备环境并配置 API 设置
- 以 CSV 格式从 Oracle HCM 导出工作人员数据,并使用 Microsoft 脚本将其转换为跨域身份管理系统 (SCIM) 格式
- 使用 PowerShell 或逻辑应用将工作人员数据发送到入站预配 API
- 使用 Oracle ATOM 馈送 API 或 HCM 提取执行增量同步以使工作人员数据保持最新版本
- 使用 Oracle HCM SCIM API 配置从 Microsoft Entra ID 到 Oracle HCM 的写回(如有必要)
术语
Oracle HCM Fusion Cloud (oracle.com):本指南重点介绍如何从 Oracle HCM Fusion Cloud 集成到 Microsoft Entra ID。 本教程不涉及其他 Oracle 产品/服务,如 PeopleSoft 和 Taleo。
许可:
Microsoft Entra ID P1 / EMS E3 / Microsoft 365 E3:这些许可证允许使用新的 API 驱动的预配功能。
Microsoft Entra ID 治理许可证:配置生命周期工作流需要此附加许可证。
Azure 订阅:如果计划使用 Azure 逻辑应用,则需要此订阅。
先决条件
在开始使用入站预配 API 将 Oracle HCM 与 Microsoft Entra ID 集成之前,需要确保满足以下先决条件:
Oracle HCM (oracle.com) 帐户,具有以下权限:
- 查看和导出 HCM 数据。
- 访问 Oracle HCM REST API。 在本教程中,我们引用了人力资源 24A (oracle.com) 和应用程序通用 24A (oracle.com)。
具有最低 P1 许可证(或 EMS E3/Microsoft 365 E3)的 Microsoft Entra ID 租户:
集成概述
有三种主要同步方案可用于设置 HR 集成。 本部分中的示意图演示了这些同步方案。 本指南分为三个部分。 对于每个工作流,我们提供有关如何配置该工作流的建议。
初始同步/完全同步是在两个系统之间同步所有工作人员数据的过程,在本例中为:Oracle HCM 和 Microsoft Entra ID 直接同步或同步到本地 Active Directory(本地 AD)。 此过程包括所有工作人员标识和属性,例如个人信息、联系人信息、雇佣信息等。 通常在初始集成设置期间执行完全同步,以确保所有工作人员数据在两个系统中一致且为最新版本。
增量同步是仅同步自上次与 Oracle HCM 同步以来发生的更改或更新的过程。 增量同步通常在初始完全同步后执行,以使工作人员数据与源系统中发生的任何更改保持同步。 此过程包括新员工、更新的员工数据或删除的员工。 增量同步是增量更新,比每次更改工作人员数据时执行完全同步更快、更高效。
写回是将 Microsoft Entra ID 中发生的用户属性更改(如用户名、电子邮件和电话号码)发送回 Oracle HCM 的可选过程。
集成步骤
| # | 步骤 | 如何操作 | 谁参与 |
|---|---|---|---|
| 1. | 确定要从 HCM 预配的属性集 | • 引用此 HCM 属性列表,并确定要导出到 Microsoft Entra ID 的属性 • 将 Oracle HCM 属性映射到 SCIM 属性 • 定义唯一 ID 生成和转换规则 |
Oracle HCM 管理员和 IT 管理员 |
| 2. | 向入站预配 API 授予权限 | 创建一个应用程序来代表 API 客户端,并向其授予将数据发送到入站预配终结点的权限 | IT 管理员 - 特权角色管理员 |
| 3. | 确定预配目标:是否将仅限云标识预配到 Microsoft Entra ID 或将混合标识预配到本地 AD? | 如果目标是 Microsoft Entra ID(仅限云标识预配): • 配置库应用 • 将 SCIM 映射到 Microsoft Entra 属性 如果目标是本地 AD(混合标识预配): • 下载和配置预配代理 • 配置库应用 • 将 SCIM 属性映射到本地 Active Directory • 更新 Microsoft Entra Connect 同步和云同步映射,以将新的 HR 属性传输到 Entra ID |
若要预配代理安装,请让 Windows 管理员参与 对于库应用配置,请让具有应用程序管理权限的管理员参与 |
| 4. | 执行初始同步以将完整数据范围发送到预配终结点 | • 准备初始同步 • 执行 CSV 导出并将数据发送到 API • 验证正确的工作人员是否已匹配并存在于 Microsoft Entra/AD 中 |
IT 管理员 |
| 5. | 执行增量同步,使 Microsoft Entra ID 中的数据保持最新版本 | 使用以下方法之一: • 使用 CSV 提取 • 使用 Atom 馈送 API |
IT 管理员 |
| 6. | 将数据写回 Oracle HCM | • 配置和运行写回预配作业 | IT 管理员 |
| 7. | 建议:配置 Microsoft Entra 生命周期工作流 | • 使用 Microsoft Entra 自动执行入职者、调动者、离职者过程 • 需要治理许可证 |
IT 管理员 |
配置库应用程序
在 Microsoft Entra 中配置预配作业之前,需要确定预配的目标是本地 AD 还是 Microsoft Entra ID。 如果希望拥有具有本地依赖项的混合用户,那么目标将是 AD。 如果用户是仅限云用户,则可以将其直接预配到 Microsoft Entra ID。
对于仅限云用户
按照以下步骤创建和配置库应用程序“向 Microsoft Entra ID 进行 API 驱动的预配”:
对于混合用户
请与 Windows 管理员协作,在已加入域的 Windows 服务器上安装预配代理,然后执行以下步骤:
准备初始同步
在发送初始同步有效负载之前,需要确保数据已准备好与 Microsoft Entra 正确同步。 以下步骤有助于确保顺利集成。
匹配标识符状态和唯一性:预配服务使用匹配属性唯一标识 Oracle 系统中的工作人员记录并将其链接到 AD/Microsoft Entra ID 中的相应用户帐户。 默认匹配属性对是 Oracle HCM 中的人员编号,映射到 Microsoft Entra ID/本地 AD 中的员工 ID 属性。 在启动完全同步之前,请确保在 Microsoft Entra ID(对于仅限云用户)和本地 AD(对于混合用户)中填充员工 ID 的值,因为它唯一标识用户。
使用范围筛选器跳过不再相关的 HR 记录:HR 系统拥有数年的雇佣数据,可能可以追溯到 20 世纪 70 年代。 另一方面,IT 团队可能只对当前在职员工列表以及上线后将出现的离职记录感兴趣。 若要从 IT 团队的角度筛选出不再相关的 HR 记录,请确定可在 Microsoft Entra 中配置的筛选器规则的范围。
初始同步的 CSV 导出
在此步骤中,以 CSV 格式从 Oracle HCM 导出工作人员数据,并使用 Microsoft CSV 到 SCIM 脚本将其转换为 SCIM 格式。 通过此步骤,可将工作人员数据以可以理解和处理的基于标准的有效负载发送到入站预配 API。
与 Oracle HCM 管理员共享要导出的 Oracle HCM 工作人员属性列表。 若要以 CSV 格式从 Oracle HCM 导出工作人员数据,Oracle 提供了多个选项。
HCM 提取工具:从 Oracle HCM Cloud 批量检索数据的主要方法是使用 HCM Extracts,此工具用于生成数据文件和报表。 HCM Extracts 具有一个专用界面,用于指定要提取的记录和属性。 使用此工具,可以:
- 识别使用复杂选择条件进行提取的记录
- 使用快速公式数据库项和规则在 HCM 提取中定义数据元素
注意
若要开始创建 HCM Extracts,请参阅定义提取 (oracle.com)。
Oracle BI 发布服务器:根据预定义的 Oracle 事务商业智能分析结构或你自己的数据模型,支持计划和计划外报告。 可以生成各种格式的报表。 若要使用 Oracle BI 发布服务器进行出站集成,请以适合自动下游处理的格式(如 XML 或 CSV)生成报表。 若要开始创建 BI 发布服务器报表,请参阅在 HCM Extracts (oracle.com) 中定义 BI 发布服务器模板。
Oracle 集成云 (OIC) 服务:如果你有 OIC 订阅,则可以配置与 Oracle HCM 适配器 (oracle.com) 的集成,以便从 Oracle HCM 中提取所需的数据。 Oracle 提供了可用于入门的指南 (oracle.com)。
注意
请与 Oracle HCM 管理员协作,将所需属性导出到 CSV 文件中。
将工作人员数据导出到 CSV 文件后,需要将 CSV 转换为 SCIM 格式,以便有效负载采用我们可以接受的格式。 我们提供了有关如何通过以下两种方法将 CSV 转换为 SCIM 有效负载的文档和示例代码:PowerShell 和 Azure 逻辑应用。
下面是使用每种方法执行此转换的链接:
PowerShell:使用 PowerShell 脚本进行 API 驱动的入站预配
Azure 逻辑应用:使用 Azure 逻辑应用进行 API 驱动的入站预配
入站预配过程包括发送预配有效负载。 在发送有效负载之前,请确保在 Microsoft Entra 管理中心选择“开始预配”,以确保预配作业侦听新请求。 在发送完整文件进行处理之前,发送 5-10 条记录以验证工作人员和属性是否正确匹配。 发送有效负载后,用户将在 Microsoft Entra 租户/本地 AD 中短暂显示。
增量同步
将工作人员数据发送到入站预配 API 进行初始同步后,需要执行增量同步以使工作人员数据保持最新版本。 增量同步是增量更新,仅发送自上次同步以来发生的更改,例如新工作人员、更新的工作人员或删除的工作人员。
若要执行增量同步,有三个选项:
选项 1:使用 Oracle ATOM 馈送 API 获取 Oracle HCM 中工作人员更改的实时通知,并将其发送到入站预配 API。
选项 2:使用 CSV Extracts 生成 Oracle HCM 中工作人员更改的定期报告,并使用自己的自动化工具或逻辑应用将提取内容发送到入站预配 API。
选项 3:使用 Oracle 集成云服务 (oracle.com)。 如果你有 OIC 订阅,则可以配置与 Oracle HCM 适配器 (oracle.com) 的集成,以便从 Oracle HCM 中提取所需的数据。 Oracle 提供了可用于入门的指南 (oracle.com)。
选项 1:使用 Oracle ATOM 馈送 API
Oracle ATOM 馈送 API 在 Oracle HCM 中提供工作人员更改的实时通知。 你可以订阅 ATOM 馈送 API,并接收包含已更改的工作人员数据的属性的 JSON 表示形式。 然后,可以使用示例 PowerShell 脚本或逻辑应用集成将 JSON 转换为 SCIM 格式并将其发送到入站预配 API。
如果打算使用 ATOM 馈送集成,请确保在初始同步后立即打开 ATOM 馈送。此步骤中的延迟可能会导致更改丢失。
若要开始使用 Oracle 的 ATOM 馈送,请参阅 Oracle 文档 (oracle.com) 和教程 (oracle.com)。 建议订阅员工工作区 (oracle.com) 并应用以下 Atom 馈送集合:newhire、empassignment、empupdate、termination、cancelworkrelship 和 workrelshipupdate。
在 HCM 租户中配置 ATOM 馈送后,需要创建一个自定义模块,该模块读取 ATOM 馈送 API 的输出,并使用入站预配 API 以 SCIM 有效负载格式将数据发送到 Microsoft Entra ID。
自定义模块中的逻辑负责处理以下应用场景:
- 数据验证
- 生成唯一 ID
- ATOM 馈送的排序
- 将 ATOM 馈送转换为 SCIM 有效负载
- 错误处理
建议利用 Oracle HCM 合作伙伴或 Microsoft 系统集成商来构建此自定义模块。 可以将此自定义模块托管在 Oracle 集成云等 Oracle 中间件中,也可以作为 Azure 函数、Azure 逻辑应用或 Azure 数据工厂管道托管在 Azure 云中。
实现入职者方案
入职者方案专门解决新员工入职过程。 Oracle HCM ATOM 馈送返回入职者的数据,如下所示:Fusion Cloud HCM 与外部权利管理系统集成 (oracle.com)。
从新员工 ATOM 馈送读取数据并在自定义模块中实现逻辑,以确保 SCIM 有效负载中存在以下数据元素:个人数据、联系人数据、雇佣信息和工作信息。
如果在获取入职者方案的 ATOM 馈送后需要,请查询工作人员或员工终结点以检索其他工作人员属性。
若要触发新员工的 Microsoft Entra 生命周期工作流,请务必包含员工雇佣日期的自定义 SCIM 属性:urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate。
使用 Oracle HCM 字段 EffectiveStartDate 设置雇佣日期的值。 请参阅 SCIM 有效负载示例。
实现调动者方案
当工作人员从全职转换为合同工(反之亦然)、工作分配发生变化、工作关系发生变化、调动或晋升时,Oracle HCM 中会触发调动者场景。 Oracle HCM ATOM 馈送返回调动者的数据,如下所示:Fusion Cloud HCM 与外部权利管理系统集成 (oracle.com)。
请确保提取 Oracle HCM 中更改的属性的新值。 这些值通常可以从 ATOM 馈送响应的“已更改属性”部分提取。 如果需要,请直接查询工作人员或员工终结点以检索其他工作人员属性。
使用检索到的数据构造 SCIM 有效负载。 请参阅 SCIM 有效负载示例。
实现离职者方案
当工作人员自愿或非自愿地终止与组织的雇佣关系时,就会发生离职场景。 Oracle HCM ATOM 馈送返回离职者的数据,如下所示:Fusion Cloud HCM 与外部权利管理系统集成 (oracle.com)。 从 ATOM 馈送读取数据并构造 SCIM 有效负载。
若要触发离职者的生命周期工作流,请务必包含员工离职日期的自定义 SCIM 属性:urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate
使用 Oracle HCM 字段 EffectiveDate 设置离职日期的值。 请参阅 SCIM 有效负载示例。
SCIM 有效负载示例
转换与入职者、调动者和离职者方案关联的 JSON 有效负载,以创建 SCIM 有效负载,从而发送到 Microsoft API 驱动的预配终结点。
下面是一个通用示例,说明 Oracle HCM 属性如何根据 Oracle HCM 到 SCIM 工作表映射到 SCIM 有效负载中的属性:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:BulkRequest"],
"Operations": [
{
"method": "POST",
"bulkId": "897401c2-2de4-4b87-a97f-c02de3bcfc61",
"path": "/Users",
"data": {
"schemas": ["urn:ietf:params:scim:schemas:core:2.0:User",
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"],
"externalId": "<Oracle HCM workers.PersonNumber>",
"userName": "<Oracle HCM employee.UserName>",
"name": {
"familyName": "<Oracle HCM workers.names.LastName>",
"givenName": "<Oracle HCM workers.names.FirstName> ",
"middleName": "<Oracle HCM workers.names.MiddleName>",
},
"displayName": "<Oracle HCM workers.DisplayName>",
"emails": [
{
"value": "<Oracle HCM workers.emails.EmailAddress> ",
"type": "work",
"primary": true
}
],
"addresses": [
{
"type": "work",
"streetAddress": "<Oracle HCM workers.addresses.AddressLine1>",
"locality": "<Oracle HCM workers.addresses.TownorCity>",
"region": "<Oracle HCM workers.addresses.Region1>",
"postalCode": "<Oracle HCM workers addresses.PostalCode> ",
"country": "<Oracle HCM workers addresses.Country> ",
"primary": true
}
],
"phoneNumbers": [
{
"value": "<Oracle HCM workers. phones.PhoneNumber ",
"type": "work"
}
],
"userType": "<Oracle HCM workers.workRelationships.WorkerType ",
"title": " <Oracle HCM worker.workRelationships.assignments.JobName",
"active":true,
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
"employeeNumber": "<Oracle HCM workers.PersonNumber> ",
"division": "<Oracle HCM worker.workRelationships.assignments.BusinessUnitId> ",
"department": "<Oracle HCM worker.workRelationships.assignments.DepartmentId >",
"manager": {
"value": "<Oracle HCM worker.workRelationships.assignments.allReports.ManagerPersonNumber> ",
"displayName": "<Oracle HCM worker.workRelationships.assignments.allReports.ManagerDisplayName"
}
}
}
}
],
"failOnErrors": null
}
格式化 SCIM 批量请求后,即可通过 API 驱动的预配将数据发送到 bulkUpload API 终结点。
在启用集成之前,请运行手动测试和验证来验证 SCIM 批量请求有效负载结构。 可以使用 cURL 或 Graph 浏览器等工具来确认批量请求有效负载是否按预期得到处理。
注意
如果不想联系合作伙伴或想构建自己的自定义模块,建议使用下一部分所述的 HCM 提取工具。
选项 2:使用 CSV 提取
与初始同步中使用的方法类似,还可以使用 CSV 提取来处理增量同步。 可以将提取配置为仅运行上一次同步的新更改。或者,可以发送完整的工作人员数据,Microsoft Entra ID 预配服务将管理和更新任何更改,例如新员工、属性更改和离职。
与初始同步类似,还可以使用多个选项获取 CSV 提取:
HCM 提取工具:从 Oracle HCM Cloud 批量检索数据的主要方法是使用 HCM Extracts,此工具用于生成数据文件和报表。 HCM Extracts 具有一个专用界面,用于指定要提取的记录和属性。 使用此工具,可以:
识别使用复杂选择条件进行提取的记录。
使用快速公式数据库项和规则在 HCM 提取中定义数据元素。
注意
若要开始创建 HCM Extracts,请参阅定义提取 (oracle.com)。
Oracle BI 发布服务器:根据预定义的 Oracle 事务商业智能分析结构或你自己的数据模型,Oracle BI 发布服务器支持计划和计划外报告。 可以生成各种格式的报表。 若要使用 Oracle BI 发布服务器进行出站集成,请以适合自动下游处理的格式(如 XML 或 CSV)生成报表。 若要开始创建 BI 发布服务器报表,请参阅在 HCM Extracts (oracle.com) 中定义 BI 发布服务器模板。
Oracle 集成云 (OIC) 服务:如果你有 OIC 订阅,则可以配置与 Oracle HCM 适配器 (oracle.com) 的集成,以便从 Oracle HCM 中提取所需的数据。 Oracle 提供了可用于入门的指南 (oracle.com)。
将工作人员数据设置为 CSV 格式后,请使用以下两种方法之一将其转换为 SCIM 有效负载,并将数据发送到预配服务。
PowerShell:使用 PowerShell 脚本进行 API 驱动的入站预配
从 Microsoft Entra ID 写回 Oracle HCM
使用入站预配 API 将用户数据从 Oracle HCM 同步到 Microsoft Entra ID /本地 Active Directory 后,可能需要配置从 Microsoft Entra 预配服务到 Oracle HCM 的写回。 写回是将 Entra ID 中发生的用户更改(如用户名、电子邮件和密码)发送回 Oracle HCM 的过程。 此过程可确保用户数据在两个系统中保持一致且准确。
若要配置写回,需要使用 Oracle HCM SCIM API。 Oracle HCM SCIM API (oracle.com) 是 RESTful Web 服务,可用于从外部源(如 Entra)创建、更新和删除 Oracle HCM 中的用户。 可以使用 Microsoft Entra 应用库中的现有 Oracle Fusion ERP 预配连接器来连接到 Oracle HCM SCIM API,并映射要写回的用户属性。
若要设置写回,需要配置到 Oracle HCM 租户的出站预配作业。 若要配置写回,需要以下信息:
- 管理员用户名和密码:需要有权访问 Oracle HCM 且可以调用 HCM 用户更新 API 的管理员帐户的详细信息。
按照以下步骤,使用 Oracle Fusion ERP 连接器将写回作业配置到 Oracle HCM:
在 Microsoft Entra Enterprise 应用库中,搜索 Oracle Fusion ERP 应用。
请参阅Oracle Fusion ERP,使用 Oracle Fusion ERP 应用来配置写回。
当系统提示输入 URL 以及管理员用户名和密码时,请使用说明中指定的 URL,并输入有权访问 Oracle HCM 且可以调用 HCM 用户更新 API 的帐户的管理员用户名和密码。
按照 Oracle Fusion ERP 教程中的指导,编辑属性映射并将特定用户预配回 Oracle HCM。
在编辑“属性映射”部分中,仅选择“目标对象操作”下的“更新”操作。
可注意到“属性映射”部分会自动填充 HCM 属性。 删除不想写回的属性。
保存设置,然后启用预配状态。
使用 Entra 的按需预配功能测试和验证写回集成。
验证工作流后,启动作业并使其保持运行状态,以便 Entra 持续将数据同步回 Oracle HCM。
附录
工作表 1:Oracle HCM 属性
本部分中的表代表可从 Oracle HCM 导出的属性。 这些属性的名称在 HCM 系统中可能有所不同,但此列表代表 HR 集成中的常见属性列表。 确定要为集成导出的属性。
| Oracle HCM 属性(来自 CSV 文件) | 需要或必需 |
|---|---|
| 人员编号 | 必需 |
| 帐户状态 | 必需 -> 对于未离职的工作人员将值设置为 True |
| 街道地址 | |
| 城市 | |
| 状态 | |
| 邮政编码 | |
| 国家/地区 | |
| Department Name | |
| 分部 | |
| 公司 | |
| 用户名 | |
| 名字 | 必需 |
| 姓氏 | 必需 |
| 工作代码 | |
| 作业名称 | |
| 电子邮件地址 | |
| 经理 | |
| 移动电话号码 | |
| Phone Number | |
| 工作地址 | |
| Phone Number | |
| 雇佣日期 | 生命周期工作流要求 |
| 离职日期 | 生命周期工作流要求 |
注意
我们已在上面的工作表中包含空白行,因此可以添加此列表中未包含的其他属性以包含在预配作业中。
工作表 2:Oracle HCM 到 SCIM 属性映射
本部分中的表显示从 Oracle HCM 属性到 API 支持的通用 SCIM 属性的示例映射。
| Oracle HCM 属性(来自 CSV 文件) | SCIM 属性 |
|---|---|
| 人员编号 | ExternalId |
| 帐户状态 | 活动 |
| 街道地址 | addresses[type eq "work"].streetAddress |
| City | addresses[type eq "work"].locality |
| State | addresses[type eq "work"].region |
| 邮政编码 | addresses[type eq "work"].postalCode |
| 国家/地区 | addresses[type eq "work"].country |
| Department Name | urn:ietf:params:scim:schemas: extension:enterprise:2.0:User:department |
| 分部 | urn:ietf:params:scim:schemas: extension:enterprise:2.0:User:division |
| 公司 | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization |
| 用户名 | displayName |
| 名字 | name.givenName |
| 姓氏 | name.familyName |
| 工作代码 | urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:JobCode |
| 作业名称 | title |
| 电子邮件地址 | emails[type eq "work"].value |
| 经理 | urn:ietf:params:scim:schemas:extension: enterprise:2.0:User:manager |
| 移动电话号码 | phoneNumbers[type eq "mobile"].value |
| Phone Number | phoneNumbers[type eq "work"].value |
| 工作地址 | addresses[type eq "work"].formatted |
| 雇佣日期 | urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate |
| 离职日期 | urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate |
工作表 3:定义唯一 ID 生成和转换规则
本部分中的表介绍了需要唯一生成或特定转换规则的某些属性。 其中包括三个常用属性,这些属性通过其他规则设置其值。 引用链接以正确填充这些属性。
| 属性 | 如何设置属性值 |
|---|---|
| userPrincipalName(必需) | 规划云 HR 应用程序到 Microsoft Entra 用户预配 |
| SamAccountName(仅限本地 AD) | 规划云 HR 应用程序到 Microsoft Entra 用户预配 |
| parentDistinguishedName(仅限本地 AD) | 规划云 HR 应用程序到 Microsoft Entra 用户预配 |
工作表 4:SCIM 属性本地 AD 属性映射
本部分中的表代表 Active Directory 支持的本地属性集。 如果预配目标为 Active Directory,请将 SCIM 属性映射到此表中的属性。
| SCIM 属性 | 本地 AD 属性 |
|---|---|
| ExternalId | employeeID |
| 活动 | accountDisabled |
| addresses[type eq "work"].streetAddress | streetAddress |
| addresses[type eq "work"].locality | l |
| addresses[type eq "work"].region | st |
| addresses[type eq "work"].postalCode | postalCode |
| addresses[type eq "work"].country | co |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | department |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division | division |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | company |
| displayName | cn |
| name.givenName | givenName |
| name.familyName | sn |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:JobCode | extensionAttribute1 |
| title | title |
| emails[type eq "work"].value | <由 AD 生成> |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager | manager |
| phoneNumbers[type eq "mobile"].value | mobile |
| phoneNumbers[type eq "work"].value | telephoneNumber |
| addresses[type eq "work"].formatted | physicalDeliveryOfficeName |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate | extensionAttribute2 |
| urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate | extensionAttribute3 |
注意
如果要定义的 SCIM 架构扩展属性没有相应的本地 AD 属性,则可以将它们映射到 extensionAttributes 1-15 或扩展 AD 架构以添加具有所需属性的新辅助对象类。
工作表 5:本地 AD 到 Microsoft Entra ID 映射
将标识同步到本地 AD 后,可以通过云同步或 Microsoft Entra ID 连接将它们发送到 Microsoft Entra ID。 参考链接的文档,了解如何使用这些工具。
本部分中的表是从工作表 4 中包含的 AD 属性到 Microsoft Entra 属性的示例属性映射。
注意
自定义属性 extensionAttribute1 是工作人员的工作代码。 在上表中,它映射到 AD extensionAttribute1。 但在这里,我们将它映射到 Microsoft Entra extensionAttribute1,因为 Microsoft Entra 中没有相应的属性。 extensionAttribute2 和 extensionAttribute3(雇佣日期和离职日期)相应地映射。
| 本地 AD 属性 | Microsoft Entra 属性 |
|---|---|
| streetAddress | streetAddress |
| l | city |
| st | state |
| postalCode | postalCode |
| co | country |
| department | department |
| division | EmployeeOrgData.division |
| company | companyName |
| cn | displayName |
| givenName | givenName |
| sn | surname |
| extensionAttribute1 | extensionAttribute1 |
| title | jobTitle |
| <由 AD 生成> | |
| manager | manager |
| mobile | mobile |
| telephoneNumber | telephoneNumber |
| physicalDeliveryOfficeName | physicalDeliveryOfficeName |
| extensionAttribute2 | employeeHireDate |
| extensionAttribute3 | employeeLeaveDateTime |
工作表 6:SCIM 属性到 Microsoft Entra 属性映射
本部分中的表代表 Microsoft Entra ID 支持的属性集。 如果预配目标为 Microsoft Entra ID,请将 SCIM 属性映射到此表中的属性。 若要将自定义 SCIM 属性添加到库应用程序,请参阅扩展 API 驱动的预配以同步自定义属性。
| SCIM 属性 | Microsoft Entra 属性 |
|---|---|
| ExternalId | employeeId |
| 活动 | accountEnabled |
| addresses[type eq "work"].streetAddress | streetAddress |
| addresses[type eq "work"].locality | city |
| addresses[type eq "work"].region | state |
| addresses[type eq "work"].postalCode | postalCode |
| addresses[type eq "work"].country | country |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | department |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division | EmployeeOrgData.division |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | companyName |
| displayName | displayName |
| name.givenName | givenName |
| name.familyName | surname |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:JobCode | extensionAttribute1 |
| title | jobTitle |
| emails[type eq "work"].value | |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager | manager |
| phoneNumbers[type eq "mobile"].value | mobile |
| phoneNumbers[type eq "work"].value | telephoneNumber |
| addresses[type eq "work"].formatted | physicalDeliveryOfficeName |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate | employeeHireDate |
| urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate | employeeLeaveDateTime |
致谢
我们感谢以下合作伙伴帮助审阅和为本教程做出贡献:
- PwC 董事 Michael Starkweather
- ActiveIdM 体系结构和技术总监 Rob Allen
- ActiveIdM 技术交付经理 Ray Nalette
- Oxford Computer Group 首席顾问 Randy Robb
- Oxford Computer Group 首席架构师 Frank Urena
- Oxford Computer Group 销售副总裁 Nick Herbert
- Oxford Computer Group 首席执行官 Steve Brugger