教學課程:Microsoft Entra ID 與 Oracle HCM 整合
輸入佈建 API 是一項功能,可讓您從外部來源 (Oracle Human Capital Management (HCM)) 建立、更新和刪除 Microsoft Entra ID 和內部部署 Active Directory 中的使用者。 此功能可讓組織提升生產力、加強安全性,並更輕鬆地符合合規性和法規需求。
使用 Microsoft Entra ID 控管可以自動確保正確人員有正確資源的正確存取權。 這種存取包括身分識別與存取流程自動化、商務群組的委派及更高的可見度。
在本教學課程中,我們會引導您完成透過 API 驅動佈建將 Oracle HCM 與 Microsoft Entra ID 整合的步驟和最佳做法。您將了解如何執行以下動作:
- 準備環境並設定 API 設定
- 使用 Microsoft 指令碼,以 CSV 格式將工作人員資料從 Oracle HCM 匯出,然後以將其轉換成跨網域身分識別管理系統 (SCIM) 格式
- 使用 PowerShell 或 Logic Apps 將工作人員資料傳送至輸入佈建 API
- 使用 Oracle ATOM 摘要 API 或 HCM Extracts 執行差異同步,讓您的工作人員資料始終保持最新
- 使用 Oracle HCM SCIM API 設定從 Microsoft Entra ID 到 Oracle HCM 的回寫 (如有必要)
詞彙
Oracle HCM Fusion Cloud (oracle.com):本指南特別著重於如何從 Oracle HCM Fusion Cloud 整合至 Microsoft Entra ID。 其他 Oracle 供應專案 (例如 PeopleSoft 和 Taleo) 不屬於本教學課程的範圍。
授權:
Microsoft Entra ID P1 / EMS E3 / Microsoft 365 E3:這些授權可讓您使用我們的新 API 驅動佈建功能。
Microsoft Entra ID 控管授權:設定生命週期工作流程需要此附加元件授權。
Azure 訂用帳戶:如果您打算使用 Azure Logic Apps,則需要此訂用帳戶。
必要條件
在使用輸入佈建 API 開始整合 Oracle HCM 與 Microsoft Entra ID 之前,您必須確定您具備下列必要條件:
Oracle HCM (oracle.com) 帳戶,且具有如下權限:
- 檢視和匯出 HCM 資料。
- 存取 Oracle HCM REST API。 在本教學課程中,我們參考了 Human Resources 24A (oracle.com)。 與 Applications Common 24A (oracle.com)。
具有最低 P1 授權的 Microsoft Entra ID 租用戶 (或 EMS E3/Microsoft 365 E3):
若要安裝佈建代理程式 (僅限混合式使用者),需要存取連線至 AD 網域的 Microsoft Windows 伺服器。
若要建立資源庫應用程式和佈建工作,需要 Microsoft Entra 以及應用程式管理員和混合式身分識別管理員角色。
整合概觀
有三個主要的同步案例可用於設定 HR 整合。 本節中的圖表說明這些同步處理案例。 本指南分為三個章節。 針對每個工作流程,我們會提供如何設定工作流程的建議。
初始/完整同步處理是在兩個系統之間同步處理所有工作人員資料的程式,在此案例中為:Oracle HCM 和 Microsoft Entra ID 直接或內部部署 Active Directory (內部部署 AD)。 此程式包含所有工作人員身分識別和屬性,例如個人資訊、連絡人資訊、僱用資訊等等。 完整同步處理通常會在初始整合設定期間執行,以確保這兩個系統的所有工作人員資料都是一致且最新的。
差異同步處理表示只同步處理自上次與 Oracle HCM 同步處理後發生的變更或更新。 差異同步通常會在初始完整同步處理之後執行,無論來源系統中發生任何變更,都能讓工作人員資料保持最新狀態。 此程式包含新員工、更新的員工資料或刪除的員工。 差異同步是累加式更新,相比每次變更工作人員資料時執行完整同步處理,差異同步的速度更快且效率更高。
回寫是一種選擇性過程,可將 Microsoft Entra ID 中發生的使用者屬性變更 (例如使用者名稱、電子郵件和電話號碼) 傳送回 Oracle HCM。
整合步驟
| # | Step | 怎麼辦? | 誰參與 |
|---|---|---|---|
| 1. | 決定您想要從 HCM 佈建的屬性集 | • 參考此 HCM 屬性清單,並判斷您想要匯出至 Microsoft Entra ID 的屬性 • 將 Oracle HCM 屬性對應至 SCIM 屬性 • 定義唯一識別碼產生和轉換規則 |
Oracle HCM 系統管理員和 IT 系統管理員 |
| 2. | 授與對輸入佈建 API 的權限 | 建立應用程式來代表 API 用戶端,並向用戶端授予將資料傳送至輸入佈建端點的許可權 | IT 管理員 - 特殊權限角色管理員 |
| 3. | 判斷您的佈建目標:您是要將僅限雲端身分識別佈建至內部部署 AD Microsoft Entra ID 還是佈建至混合式身分識別? | 如果您的目標為 Microsoft Entra ID (僅限雲端身分識別佈建): • 設定資源庫應用程式 • 將 SCIM 對應至 Microsoft Entra 屬性 如果您的目標為內部部署 AD (混合式身分識別佈建): • 下載及設定佈建代理程式 • 設定資源庫應用程式 • 將 SCIM 屬性對應至內部部署 Active Directory • 更新您的 Microsoft Entra Connect Sync 和雲端同步對應,以將新的 HR 屬性流動至 Entra ID |
若要佈建代理程式安裝,請聯絡 Windows 管理員 對於資源庫應用程式組態,請接洽具備應用程式管理員權限的管理員 |
| 4. | 執行初始同步處理以將完整的資料傳送至佈建端點 | • 準備初始同步 • 執行 CSV 匯出並將資料傳送至 API • 驗證正確的工作人員已相符,且在 Microsoft Entra/AD 中存在 |
IT 系統管理員 |
| 5. | 執行差異同步處理,讓 Microsoft Entra ID 中的資料保持最新 | 使用下列其中一種方法: • 使用 CSV 擷取 • 使用 Atom 摘要 API |
IT 系統管理員 |
| 6. | 將資料回寫至 Oracle HCM | • 設定及執行回寫佈建作業 | IT 系統管理員 |
| 7. | 建議:設定 Microsoft Entra 生命週期工作流程 | • 使用 Microsoft Entra 將聯入職者、調崗者、離職者的過程自動化 • 需要控管授權 |
IT 系統管理員 |
設定資源庫應用程式
您必須先判斷佈建的目標是內部部署 AD 還是 Microsoft Entra ID,然後才能在 Microsoft Entra 中設定佈建作業。 如果您想要獲得具有內部部署相依性的混合式使用者,則應選擇 AD 作為目標。 如果您的使用者僅限雲端,您可以將他們直接佈建到 Microsoft Entra ID。
僅雲端使用者
遵循下列步驟,建立及設定資源庫應用程式 API 驅動佈建至 Microsoft Entra ID:
針對混合式使用者
請與您的 Windows 系統管理員合作,在已加入網域的 Windows 伺服器上安裝佈建代理程式,然後遵循下列步驟:
準備初始同步
傳送初始同步承載之前,您必須確定您的資料已準備好與 Microsoft Entra 正確同步。 下列步驟有助於確保順暢整合。
比對標識碼存在和唯一性:佈建服務會使用比對屬性來唯一識別並連結 Oracle 系統中的工作人員記錄,以及 AD/Microsoft Entra ID 中的對應使用者帳戶。 預設比對屬性組是 Oracle HCM 中的人員編號,對應至 Entra ID/內部部署 AD Microsoft 中的員工識別碼屬性。 請確定員工標識碼的值會填入 Microsoft Entra ID (僅限雲端使用者) 和內部部署 AD 中,然後再起始完整同步處理,因為員工識別碼可唯一識別使用者。
使用範圍篩選器可略過不再相關的 HR 記錄:HR 系統包含很多年的就業資料,甚至能夠回溯到上世紀 70 年代。 另一方面,您的 IT 小組可能只對目前在職的員工和終止記錄感興趣,這些記錄將在上線後通過。 若要從 IT 小組的角度篩選出不再相關的 HR 記錄,請找出您可以在 Microsoft Entra 中設定的篩選規則範圍。
匯出 CSV 來用於初始同步
在此步驟中,將以 CSV 格式從 Oracle HCM 匯出工作人員資料,並使用 Microsoft CSV 轉 SCIM 的指令碼,將工作人員資料轉換成 SCIM 格式。 此步驟將按照標準型酬載,將工作人員資料傳送至輸入佈建 API,以便後者理解和處理。
與 Oracle HCM 系統管理員分享您想要匯出的 Oracle HCM 工作人員屬性清單。 以 CSV 格式從 Oracle HCM 匯出工作人員資料時,Oracle 提供了多個選項。
HCM Extract 工具:從 Oracle HCM Cloud 大量擷取資料的主要方式是使用 HCM Extracts,這是用於產生資料檔案和報表的工具。 HCM Extracts 具有專用介面,可用於指定要擷取的記錄和屬性。 您可以利用這個工具來:
- 使用複雜選取準則識別擷取記錄
- 使用快速公式資料庫項目和規則在 HCM 擷取中定義資料元素
注意
若要開始建立 HCM Extracts,請參閱定義擷取 (oracle.com)。
Oracle BI Publisher:根據預先定義的 Oracle Transactional Business Intelligence 分析結構或您自己的資料模型,支援排程和非計劃性報告。 您可以使用各種格式產生報表。 若要使用 Oracle BI Publisher 進行輸出整合,您能以適合自動下游處理的格式 (例如 XML 或 CSV) 產生報表。 若要開始建立 BI Publisher 報表,請參閱在 HCM Extracts 中定義 BI Publisher 範本 (oracle.com)。
Oracle Integration Cloud (OIC) 服務:如果您有 OIC 的訂用帳戶,您可以設定與 Oracle HCM Adapter (oracle.com) 的整合,以從 Oracle HCM 擷取所需的資料。 Oracle 提供了一份指南 (oracle.com),可作為入門之用。
注意
請與您的 Oracle HCM 系統管理員合作,將所需的屬性匯出至 CSV 檔案。
將工作人員資料匯出至 CSV 檔案之後,您必須將 CSV 轉換為 SCIM 格式,進而讓承載採用我們可以接受的格式。 我們提供文件與範例程式碼,說明如何透過兩種方法 (分別是 PowerShell 和 Azure Logic Apps) 將 CSV 轉換成 SCIM 承載。
以下是使用每個方法執行此轉換的連結:
PowerShell:使用 PowerShell 腳本進行 API 驅動的輸入佈建
Azure Logic Apps:使用 Azure Logic Apps 進行 API 驅動的輸入佈建
輸入佈建程式包括傳送佈建承載。 在傳送承載之前,請務必在 Microsoft Entra 系統管理中心選取 [開始佈建],以確保佈建作業正在接聽新的要求。 傳送完整檔案進行處理之前,請先傳送 5-10 筆記錄,以驗證工作人員與屬性的比對正確。 傳送承載之後,使用者會在您的 Microsoft Entra 租用戶/內部部署 AD 中短暫顯示。
差異同步處理
將工作人員資料傳送至初始同步處理的輸入佈建 API 之後,您必須執行差異同步處理,讓您的工作人員資料保持最新。 差異同步是累加式更新,只會傳送上次同步處理後發生的變更,例如新工作人員、更新的工作人員或刪除的工作人員。
要執行差異同步處理,您有三個選項:
選項 1:使用 Oracle ATOM 摘要 API 來取得 Oracle HCM 中工作人員角色變更的即時通知,並將其傳送至輸入佈建 API。
選項 2:使用 CSV Extracts 來產生 Oracle HCM 中工作人員角色變更的定期報告,並使用您自己的自動化工具或 Logic Apps 將擷取傳送至輸入佈建 API。
選項 3:使用 Oracle Integration Cloud Service (oracle.com)。 如果您有 OIC 的訂用帳戶,您可以設定與 Oracle HCM Adapter (oracle.com) 的整合,以從 Oracle HCM 擷取所需的資料。 Oracle 提供了一份指南 (oracle.com),可作為入門之用。
選項 1:使用 Oracle ATOM 摘要 API
Oracle ATOM 摘要 API 提供 Oracle HCM 中工作人員角色變更的即時通知。 您可以訂閱 ATOM 摘要 API,並接收屬性的 JSON 表示法,其中包含已變更的工作人員資料。 然後,您可以使用我們的範例 PowerShell 指令碼或 Logic Apps 整合,將 JSON 轉換成 SCIM 格式,並將其傳送至輸入佈建 API。
如果您想要使用 ATOM 摘要整合,請務必在初始同步處理之後立即開啟 ATOM 摘要。此步驟中的延遲可能會導致變更遺失。
若要開始使用 Oracle 的 ATOM 摘要,請參考 Oracle 文件 (oracle.com) 和教學課程 (oracle.com)。 建議訂閱 Employee 工作區 (oracle.com),並套用下列 Atom 摘要集合:newhire、empassignment、empupdate、termination、cancelworkrelship 和 workrelshipupdate。
在 HCM 租用戶中設定 ATOM 摘要之後,必須建立自訂模組,以便讀取 ATOM 摘要 API 的輸出,並使用輸入佈建 API 以 SCIM 酬載格式將資料傳送至 Microsoft Entra ID。
自訂模組中的邏輯負責處理下列案例:
- 資料驗證
- 唯一標識碼產生
- ATOM 摘要的排序
- 將 ATOM 摘要轉換成 SCIM 承載
- 錯誤處理
我們建議使用 Oracle HCM 合作夥伴或 Microsoft 系統整合商來建置此自訂模組。 您可以將此自訂模組裝載於 Oracle 中介軟體,例如 Oracle Integration Cloud,或作為 Azure 函式、Azure Logic Apps 或 Azure Data Factory 管道承載於 Azure 中。
實作入職者案例
入職者案例專門解決新進員工入職流程。 Oracle HCM ATOM 摘要會傳回入職者的資料,如下所述:Fusion Cloud HCM 與 External Entitlement Management Systems (oracle.com) 整合。
從新進員工的 ATOM 摘要讀取資料,並在您的自訂模組中實作邏輯,以確保 SCIM 承載中存在下列資料元素:個人資料、連絡人資料、僱用資訊和作業資訊。
如果在取得入職者案例的 ATOM 摘要之後需要,請查詢 Worker 或 Employees 端點以擷取其他工作人員屬性。
若要為新員工觸發 Microsoft Entra 生命週期工作流程,請務必在員工雇用日期中包含自訂 SCIM 屬性:urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate。
使用 Oracle HCM 欄位 EffectiveStartDate 來設定雇用日期的值。 請參閱 SCIM 承載範例。
實作移動者案例
當工作人員角色從全職轉換為承包商 (或反之),職責發生變更,工作關係發生變更,進行異動或升職時,會在 Oracle HCM 中觸發調崗者案例。 Oracle HCM ATOM 摘要會傳回調崗者的資料,如下所述:Fusion Cloud HCM 與 External Entitlement Management Systems (oracle.com) 整合。
請務必擷取 Oracle HCM 中變更的屬性新值。 這些值通常可以從 ATOM 摘要回應的 [已變更屬性] 區段擷取。 如有需要,請直接查詢 Worker 或 Employees 端點,以擷取工作人員的其他屬性。
使用擷取的資料來建構 SCIM 承載。 請參閱 SCIM 承載範例。
實作離職者案例
離職者案例會在員工與組織的僱用關係終止時發生,無論是自願終止還是非自願終止。 Oracle HCM ATOM 摘要會傳回離職者的資料,如下所述:Fusion Cloud HCM 與 External Entitlement Management Systems (oracle.com) 整合。 從 ATOM 摘要讀取資料,並建構 SCIM 承載。
若要為離職者觸發生命週期工作流程,請務必在員工離職日期中包含自訂 SCIM 屬性:urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate
使用 Oracle HCM 欄位 EffectiveDate 來設定雇用終止日期的值。 請參閱 SCIM 承載範例。
SCIM 承載範例
轉換與入職者、調崗者和離職者案例相關聯的 JSON 承載,以建立 SCIM 承載以傳送至 Microsoft API 驅動佈建端點。
以下是一個一般範例,展示了 Oracle HCM 屬性如何根據「Oracle HCM to SCIM」工作表對應至 SCIM 承載中的屬性:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:BulkRequest"],
"Operations": [
{
"method": "POST",
"bulkId": "897401c2-2de4-4b87-a97f-c02de3bcfc61",
"path": "/Users",
"data": {
"schemas": ["urn:ietf:params:scim:schemas:core:2.0:User",
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"],
"externalId": "<Oracle HCM workers.PersonNumber>",
"userName": "<Oracle HCM employee.UserName>",
"name": {
"familyName": "<Oracle HCM workers.names.LastName>",
"givenName": "<Oracle HCM workers.names.FirstName> ",
"middleName": "<Oracle HCM workers.names.MiddleName>",
},
"displayName": "<Oracle HCM workers.DisplayName>",
"emails": [
{
"value": "<Oracle HCM workers.emails.EmailAddress> ",
"type": "work",
"primary": true
}
],
"addresses": [
{
"type": "work",
"streetAddress": "<Oracle HCM workers.addresses.AddressLine1>",
"locality": "<Oracle HCM workers.addresses.TownorCity>",
"region": "<Oracle HCM workers.addresses.Region1>",
"postalCode": "<Oracle HCM workers addresses.PostalCode> ",
"country": "<Oracle HCM workers addresses.Country> ",
"primary": true
}
],
"phoneNumbers": [
{
"value": "<Oracle HCM workers. phones.PhoneNumber ",
"type": "work"
}
],
"userType": "<Oracle HCM workers.workRelationships.WorkerType ",
"title": " <Oracle HCM worker.workRelationships.assignments.JobName",
"active":true,
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
"employeeNumber": "<Oracle HCM workers.PersonNumber> ",
"division": "<Oracle HCM worker.workRelationships.assignments.BusinessUnitId> ",
"department": "<Oracle HCM worker.workRelationships.assignments.DepartmentId >",
"manager": {
"value": "<Oracle HCM worker.workRelationships.assignments.allReports.ManagerPersonNumber> ",
"displayName": "<Oracle HCM worker.workRelationships.assignments.allReports.ManagerDisplayName"
}
}
}
}
],
"failOnErrors": null
}
格式化 SCIM 批量要求之後,您就可以透過 API 驅動的佈建,將資料傳送至 API 端點 bulkUpload。
啟用整合之前,請先執行手動測試和驗證,來驗證 SCIM 大量要求酬載結構。 可以使用 cURL 或 Graph 總管等工具來確認大量要求酬載已按預期處理。
注意
如果您不想與合作夥伴互動,或是想要建置自己的自訂模組,建議您使用下一節所述的 HCM 擷取工具。
選項 2:使用 CSV 擷取
類似於初始同步處理中使用的方法,您也可以使用 CSV 擷取來處理差異同步處理。 您可以將擷取設定為只執行先前同步處理的新變更。或者,您可以傳送完整的工作人員資料,Microsoft Entra ID 佈建服務管理並更新任何變更,例如新進員工、屬性變更和僱用終止。
類似於初始同步處理,您也可以使用多個選項來取得 CSV 擷取:
HCM Extract 工具:從 Oracle HCM Cloud 大量擷取資料的主要方式是使用 HCM Extracts,這是用於產生資料檔案和報表的工具。 HCM Extracts 具有專用介面,可用於指定要擷取的記錄和屬性。 您可以利用這個工具來:
使用複雜選取準則識別擷取記錄。
使用快速公式資料庫項目和規則在 HCM 擷取中定義資料元素。
注意
若要開始建立您的 HCM Extracts,請參閱定義擷取 (oracle.com)。
Oracle BI Publisher:Oracle BI Publisher 支援根據預先定義的 Oracle Transactional Business Intelligence 分析結構或您自己的資料模型,支援排程和非計劃性報告。 您可以使用各種格式產生報表。 若要使用 Oracle BI Publisher 進行輸出整合,您能以適合自動下游處理的格式 (例如 XML 或 CSV) 產生報表。 若要開始建立 BI Publisher 報表,請參閱在 HCM Extracts 中定義 BI Publisher 範本 (oracle.com)。
Oracle Integration Cloud (OIC) 服務:如果您有 OIC 的訂用帳戶,您可以設定與 Oracle HCM Adapter (oracle.com) 的整合,以從 Oracle HCM 擷取所需的資料。 Oracle 提供了一份指南 (oracle.com),可作為入門之用。
獲得 CSV 格式的工作人員資料後,請使用下列兩種方法之一,將該資料轉換成 SCIM 承載,並將資料傳送至我們的佈建服務。
PowerShell:使用 PowerShell 腳本進行 API 驅動的輸入佈建
Logic Apps:使用 Azure Logic Apps 進行 API 驅動的輸入佈建
從 Microsoft Entra ID 回寫至 Oracle HCM
使用輸入佈建 API 將使用者資料從 Oracle HCM 同步處理到 Microsoft Entra ID/內部部署的 Active Directory 之後,可能會想要設定從 Microsoft Entra 佈建服務至 Oracle HCM 的回寫。 回寫是指將 Microsoft Entra ID 中發生之使用者名稱、電子郵件和密碼等使用者變更傳送回 Oracle HCM 的流程。 這一流程可確保使用者資料在這兩個系統上都一致且準確。
若要設定回寫,您必須使用 Oracle HCM SCIM API。 Oracle HCM SCIM APIs (oracle.com) 是 RESTful Web 服務,可從 Entra 等外部來源建立、更新和刪除 Oracle HCM 中的使用者。 可以使用 Microsoft Entra App Gallery 中的現有 Oracle Fusion ERP 佈建連接器來連線到 Oracle HCM SCIM API,並對應想要回寫的使用者屬性。
若要設定回寫,須設定 Oracle HCM 租用戶的輸出佈建工作。 若要設定回寫,需要下列資訊:
- 管理員使用者名稱和密碼:需要管理帳戶的詳細資料,此管理賬戶具有 Oracle HCM 存取權並可叫用 HCM 使用者更新 API。
請遵循下列步驟,使用 Oracle Fusion ERP 連接器來設定 Oracle HCM 的回寫工作:
在 Microsoft Entra Enterprise App Gallery 中,搜尋應用程式 Oracle Fusion ERP。
請參閱<Oracle Fusion ERP>,使用 Oracle Fusion ERP 應用程式設定回寫。
系統提示輸入 URL 和管理員使用者名稱和密碼時,請使用指令中指定的 URL,並輸入帳戶的管理員使用者名稱和密碼,此帳戶具有 Oracle HCM 存取權並可叫用 HCM 使用者更新 API。
請遵循 Oracle Fusion ERP 教學課程中的指導,編輯屬性對應,並將特定使用者佈建回 Oracle HCM。
在 [編輯屬性對應] 區段中,只選取 [目標物件動作] 下的 [更新] 作業。
您會發現 HCM 屬性會自動填入 [屬性對應] 區段中。 移除不想回寫的屬性。
儲存設定,然後啟用佈建狀態。
使用 Entra 的 [隨選佈建] 功能來測試及驗證回寫整合。
驗證工作流程之後,請啟動工作並讓它繼續執行,讓 Entra 持續將資料同步回 Oracle HCM。
附錄
工作表 1:Oracle HCM 屬性
本節中的表格代表您可以從 Oracle HCM 匯出的屬性。 這些屬性的名稱可能與您的 HCM 系統中的名稱不同,但此清單代表 HR 整合中常見的屬性清單。 判斷您想要匯出以進行整合的屬性。
| Oracle HCM 屬性 (來自 CSV 檔案) | 必要或強制 |
|---|---|
| 人員號碼 | 必要 |
| 帳戶狀態 | 必要 - 未對於未終止僱用的工作人員,> 將值設定為 True |
| 街道地址 | |
| 縣/市 | |
| 州/省 | |
| 郵遞區號 | |
| Country | |
| 部門名稱 | |
| 除法 | |
| 公司 | |
| 使用者名稱 | |
| 名字 | 必要 |
| 姓氏 | 必要 |
| 作業程式碼 | |
| 作業名稱 | |
| 電子郵件地址 | |
| 經理 | |
| 行動電話號碼 | |
| 電話號碼 | |
| 公司地址 | |
| 電話號碼 | |
| 雇用日期 | 生命週期工作流程的必要專案 |
| 終止日期 | 生命週期工作流程的必要專案 |
注意
我們已在上述工作表中包含了一些空白列,因此您可以新增此清單中不存在的其他屬性,以將這些屬性納入佈建作業。
工作表 2:Oracle HCM 至 SCIM 屬性的對應
本節中的表格會顯示從 Oracle HCM 屬性到 API 所支援之泛型 SCIM 屬性的對應範例。
| Oracle HCM 屬性 (來自 CSV 檔案) | SCIM 屬性 |
|---|---|
| 人員號碼 | ExternalId |
| 帳戶狀態 | 使用中 |
| 街道地址 | addresses[type eq "work"].streetAddress |
| 縣/市 | addresses[type eq "work"].locality |
| 州/省 | addresses[type eq "work"].region |
| 郵遞區號 | addresses[type eq "work"].postalCode |
| Country | addresses[type eq "work"].country |
| 部門名稱 | urn:ietf:params:scim:schemas: extension:enterprise:2.0:User:department |
| 除法 | urn:ietf:params:scim:schemas: extension:enterprise:2.0:User:division |
| 公司 | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization |
| 使用者名稱 | displayName |
| 名字 | name.givenName |
| 姓氏 | name.familyName |
| 作業程式碼 | urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:JobCode |
| 作業名稱 | title |
| 電子郵件地址 | emails[type eq "work"].value |
| 經理 | urn:ietf:params:scim:schemas:extension: enterprise:2.0:User:manager |
| 行動電話號碼 | phoneNumbers[type eq "mobile"].value |
| 電話號碼 | phoneNumbers[type eq "work"].value |
| 公司地址 | addresses[type eq "work"].formatted |
| 雇用日期 | urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate |
| 終止日期 | urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate |
工作表 3:定義唯一標識碼產生和轉換規則
本節中的表格描述需要唯一產生或特定轉換規則的特定屬性。 其中包括三個常用的屬性,這些屬性具有額外的規則來設定其值。 參考連結以正確填入這些屬性。
| 屬性 | 如何設定屬性值 |
|---|---|
| userPrincipalName (強制) | 規劃雲端人力資源應用程式到 Microsoft Entra 的使用者佈建 |
| SamAccountName (僅限內部部署 AD) | 規劃雲端人力資源應用程式到 Microsoft Entra 的使用者佈建 |
| parentDistinguishedName(僅限內部部署 AD) | 規劃雲端人力資源應用程式到 Microsoft Entra 的使用者佈建 |
工作表 4:SCIM 屬性內部部署 AD 屬性對應
本節中的表格代 Active Directory 支援的一組內部部署屬性。 如果您的佈建目標為 Active Directory,請將您的 SCIM 屬性對應至此表格中的屬性。
| SCIM 屬性 | 內部部署 AD 屬性 |
|---|---|
| ExternalId | employeeID |
| 使用中 | accountDisabled |
| addresses[type eq "work"].streetAddress | streetAddress |
| addresses[type eq "work"].locality | l |
| addresses[type eq "work"].region | st |
| addresses[type eq "work"].postalCode | 郵遞區號 |
| addresses[type eq "work"].country | co |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | 部門 |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division | division |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | 公司 |
| displayName | cn |
| name.givenName | givenName |
| name.familyName | sn |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:JobCode | extensionAttribute1 |
| title | title |
| emails[type eq "work"].value | <AD 產生> |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager | manager |
| phoneNumbers[type eq "mobile"].value | 行動 |
| phoneNumbers[type eq "work"].value | telephoneNumber |
| addresses[type eq "work"].formatted | physicalDeliveryOfficeName |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate | extensionAttribute2 |
| urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate | extensionAttribute3 |
注意
如果您要定義沒有對應內部部署 AD 屬性的 SCIM 架構擴充屬性,您可以將它們對應至 extensionAttributes 1-15,或擴充 AD 架構,以新增具有必要屬性的輔助物件類別。
工作表 5:內部部署 AD 與 Microsoft Entra ID 的對應關係
將身分識別同步至內部部署 AD 之後,您可以透過雲端同步或 Microsoft Entra ID Connect,將其傳送至 Microsoft Entra ID。 參考連結的文件,以了解如何使用這些工具。
本節中的表格是屬性對應範例,從工作表 4 中包含的 AD 屬性對應到 Microsoft Entra 屬性。
注意
自訂屬性 extensionAttribute1 是工作人員的作業程式碼。 在上表中,它已對應至 AD 的 extensionAttribute1。 但在這裡,我們將它對應至 Microsoft Entra 的 extensionAttribute1,因為 Microsoft Entra 中沒有對應的屬性。 extensionAttribute2 和 extensionAttribute3 (僱用日期和終止僱用日期) 會據以對應。
| 內部部署 AD 屬性 | Microsoft Entra 屬性 |
|---|---|
| streetAddress | streetAddress |
| l | 市/鎮 |
| st | state |
| 郵遞區號 | 郵遞區號 |
| co | 國家/地區 |
| 部門 | 部門 |
| division | EmployeeOrgData.division |
| 公司 | companyName |
| cn | displayName |
| givenName | givenName |
| sn | surname |
| extensionAttribute1 | extensionAttribute1 |
| title | jobTitle |
| <AD 產生> | |
| manager | manager |
| 行動 | 行動 |
| telephoneNumber | telephoneNumber |
| physicalDeliveryOfficeName | physicalDeliveryOfficeName |
| extensionAttribute2 | employeeHireDate |
| extensionAttribute3 | employeeLeaveDateTime |
工作表 6:SCIM 屬性到 Microsoft Entra 屬性的對應
本節中的表格代 Microsoft Entra ID 支援的一組屬性。 如果您的佈建目標為 Microsoft Entra ID,請將您的 SCIM 屬性對應至此表格中的屬性。 若要將自訂 SCIM 屬性新增至資源庫應用程式,請參閱擴充 API 驅動佈建以同步處理自訂屬性。
| SCIM 屬性 | Microsoft Entra 屬性 |
|---|---|
| ExternalId | employeeId |
| 使用中 | accountEnabled |
| addresses[type eq "work"].streetAddress | streetAddress |
| addresses[type eq "work"].locality | 市/鎮 |
| addresses[type eq "work"].region | state |
| addresses[type eq "work"].postalCode | 郵遞區號 |
| addresses[type eq "work"].country | 國家/地區 |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | 部門 |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division | EmployeeOrgData.division |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | companyName |
| displayName | displayName |
| name.givenName | givenName |
| name.familyName | surname |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:JobCode | extensionAttribute1 |
| title | jobTitle |
| emails[type eq "work"].value | |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager | manager |
| phoneNumbers[type eq "mobile"].value | 行動 |
| phoneNumbers[type eq "work"].value | telephoneNumber |
| addresses[type eq "work"].formatted | physicalDeliveryOfficeName |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate | employeeHireDate |
| urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate | employeeLeaveDateTime |
致謝
衷心感謝下列合作夥伴協助參與編寫並審核本教學課程:
- Michael Starkweather,普華永道董事
- Rob Allen,ActiveIdM 架構技術部門總監
- Ray Nalette,ActiveIdM 技術交付經理
- Randy Robb,Oxford Computer Group 首席顧問
- Frank Urena,Oxford Computer Group 首席架構師
- Nick Herbert,Oxford Computer Group 銷售副總裁
- Steve Brugger,Oxford Computer Group 執行長