Tutoriel : Intégration de Microsoft Entra à Oracle HCM
L’API d’approvisionnement entrant est une fonctionnalité qui vous permet de créer, mettre à jour et supprimer des utilisateurs dans Microsoft Entra ID et Active Directory local à partir d’une source externe telle qu’Oracle Human Capital Management (HCM). Cette fonctionnalité permet aux organisations d’améliorer la productivité, de renforcer la sécurité et de répondre plus facilement aux exigences réglementaires et de conformité.
Vous pouvez utiliser la Gouvernance Microsoft Entra ID pour automatiquement vous assurer que les bonnes personnes disposent des bons droits d’accès aux bonnes ressources. Cet accès comprend une automatisation des processus d’identité et d’accès, une délégation aux groupes d’entreprise et une visibilité accrue.
Dans ce tutoriel, nous vous guidons tout au long des étapes et des bonnes pratiques permettant d’intégrer Oracle HCM à Microsoft Entra ID via un approvisionnement piloté par l’API. Vous découvrirez comment effectuer les actions suivantes :
- Préparer votre environnement et configurer les paramètres d’API
- Exporter vos données des salariés à partir d’Oracle HCM au format CSV et les convertir au format SCIM (System for Cross-domain Identity Management) à l’aide de scripts Microsoft
- Envoyer vos données des salariés à l’API d’approvisionnement entrant en utilisant PowerShell ou Logic Apps
- Effectuer des synchronisations delta pour maintenir vos données des salariés à jour à l’aide des API de flux Oracle ATOM ou des extractions HCM
- Configurer la réécriture (si nécessaire) de Microsoft Entra ID sur Oracle HCM à l’aide des API SCIM Oracle HCM
Terminologie
Oracle HCM Fusion Cloud (oracle.com) : Ce guide se concentre en particulier sur l’intégration d’Oracle HCM Fusion Cloud à Microsoft Entra ID. D’autres offres Oracle, telles que PeopleSoft et Taleo, n’entrent pas dans le cadre de ce tutoriel.
Licences.
Microsoft Entra ID P1 / EMS E3 / Microsoft 365 E3 : Ces licences vous permettent d’utiliser notre nouvelle fonctionnalité d’approvisionnement basée sur l’API.
Licence Gouvernance Microsoft Entra ID : Cette licence complémentaire est requise pour configurer des workflows de cycle de vie.
Abonnement Azure : Cet abonnement est requis si vous envisagez d’utiliser Azure Logic Apps.
Prérequis
Avant de commencer à intégrer Oracle HCM à Microsoft Entra ID à l’aide de l’API d’approvisionnement entrant, vous devez vous assurer d’avoir les prérequis suivants :
Un compte Oracle HCM (oracle.com) avec des privilèges pour :
- Afficher et exporter des données HCM.
- Accéder aux API REST Oracle HCM. Pour ce tutoriel, nous avons pris Human Resources 24A (oracle.com) en référence, ainsi qu’Applications Common 24A (oracle.com).
Un locataire Microsoft Entra ID avec une licence P1 minimale (ou EMS E3 / Microsoft 365 E3) :
Pour installer l’agent d’approvisionnement (utilisateurs hybrides uniquement), vous devez accéder au serveur Microsoft Windows connecté à votre domaine AD.
Pour créer une application de galerie et un travail d’approvisionnement, vous avez besoin de Microsoft Entra avec les rôles Administrateur d’application et Administrateur d’identité hybride.
Vue d’ensemble de l’intégration
Il existe trois principaux scénarios de synchronisation que vous pouvez utiliser pour configurer une intégration RH. Le diagramme de cette section illustre ces scénarios de synchronisation. Ce guide est divisé et organisé en trois sections. Pour chaque workflow, nous fournissons une recommandation sur sa configuration.
Une synchronisation initiale/complète est le processus de synchronisation de toutes les données des salariés entre deux systèmes, dans le cas présent : Oracle HCM et Microsoft Entra ID directement ou avec Active Directory local (AD local). Ce processus inclut la totalité des identités et des attributs des salariés, tels que les informations personnelles, les coordonnées, les informations professionnelles, etc. Une synchronisation complète est généralement effectuée lors de la configuration initiale de l’intégration pour vous assurer que toutes les données des salariés sont cohérentes et à jour sur les deux systèmes.
Une synchronisation delta est le processus de synchronisation des changements ou mises à jour qui ont été apportés depuis la dernière synchronisation avec Oracle HCM uniquement. Les synchronisations delta sont généralement effectuées après la synchronisation complète initiale pour maintenir les données des salariés à jour avec les changements qui ont été apportés dans le système source. Ce processus comprend les nouveaux employés, les données des employés mis à jour ou les employés supprimés. Les synchronisations delta sont des mises à jour incrémentielles et sont plus rapides et plus efficaces que le fait d’effectuer une synchronisation complète chaque fois que les données des salariés changent.
La réécriture est le processus facultatif qui consiste à renvoyer les changements d’attribut utilisateur apportés dans Microsoft Entra ID (par exemple, nom d’utilisateur, e-mail et numéros de téléphone) à Oracle HCM.
Étapes d'intégration
| # | Étape | Procédure à suivre | Qui impliquer |
|---|---|---|---|
| 1. | Déterminer l’ensemble d’attributs que vous souhaitez approvisionner à partir de HCM | • Référencer cette liste d’attributs HCM et déterminer les attributs que vous souhaitez exporter vers Microsoft Entra ID • Mapper les attributs Oracle HCM aux attributs SCIM • Définir des règles de génération et de transformation d’ID uniques |
Administrateur oracle HCM et administrateur informatique |
| 2. | Accorder les autorisations à l’API d’approvisionnement entrant | Créez une application pour représenter votre API client et accordez-lui les autorisations nécessaires pour envoyer des données au point de terminaison d’approvisionnement entrant | Administrateur informatique – Administrateur de rôle privilégié |
| 3. | Déterminer votre cible d’approvisionnement : approvisionnez-vous des identités seulement cloud sur Microsoft Entra ID ou des identités hybrides sur AD local ? | Si votre cible est Microsoft Entra ID (approvisionnement d’identités seulement cloud) : • Configurer l’application de galerie • Mapper SCIM aux attributs Microsoft Entra Si votre cible est AD local (approvisionnement d’identité hybride) : • Télécharger et configurer l’agent d’approvisionnement • Configurer l’application de galerie • Mapper les attributs SCIM à Active Directory local • Mettre à jour vos mappages de synchronisation Microsoft Entra Connect et de synchronisation cloud pour transmettre les nouveaux attributs RH à Entra ID |
Pour l’installation de l’agent d’approvisionnement, impliquer un administrateur Windows Pour la configuration de l’application de la galerie, impliquer l’administrateur avec des privilèges d’administrateur d’application |
| 4. | Effectuer la synchronisation initiale pour envoyer l’étendue complète des données au point de terminaison d’approvisionnement | • Préparer la synchronisation initiale • Effectuer l’exportation au format CSV et envoyer les données à l’API • Vérifier que les salariés appropriés ont été choisis et qu’ils sont présents dans Microsoft Entra / AD |
Administrateur informatique |
| 5. | Effectuer des synchronisations delta pour maintenir les données dans Microsoft Entra ID à jour | Utilisez l'une des méthodes suivantes : • Utiliser des extractions au format CSV • Utiliser des API de flux Atom |
Administrateur informatique |
| 6. | Réécrire les données dans Oracle HCM | • Configurer et exécuter le travail d’approvisionnement de réécriture | Administrateur informatique |
| 7. | Recommandé : Configurer les workflows de cycle de vie Microsoft Entra | • Automatiser vos processus Nouveau poste, Changement de poste et Suppression de poste à l’aide de Microsoft Entra • Licence Gouvernance requise |
Administrateur informatique |
Configurer l’application de galerie
Avant de pouvoir configurer le travail d’approvisionnement dans Microsoft Entra, vous devez déterminer si la cible de votre approvisionnement est AD local ou Microsoft Entra ID. Si vous souhaitez avoir des utilisateurs hybrides avec une dépendance locale, AD devient votre cible. Si vos utilisateurs sont seulement cloud, vous pouvez les approvisionner directement sur Microsoft Entra ID.
Pour les utilisateurs seulement cloud
Créez et configurez l’approvisionnement piloté par l’API sur Microsoft Entra ID de l’application de galerie en suivant ces étapes :
Créez l’application de galerie, puis nommez l’application Oracle HCM Cloud to Entra ID provisioning.
Pour les utilisateurs hybrides
Collaborez avec votre administrateur Windows pour installer l’agent d’approvisionnement sur un serveur Windows joint à un domaine, puis suivez ces étapes :
Créez l’application de galerie, puis nommez l’application Oracle HCM Cloud to on-premises Active Directory.
Préparer la synchronisation initiale
Avant d’envoyer la charge utile de votre synchronisation initiale, vous devez vous assurer que vos données sont prêtes à être correctement synchronisées avec Microsoft Entra. Les étapes suivantes permettent de garantir une intégration en douceur.
Présence et unicité des identificateurs correspondants : Le service d’approvisionnement utilise un attribut correspondant pour identifier et lier de manière unique les données des salariés dans votre système Oracle avec les comptes d’utilisateur correspondants dans AD /Microsoft Entra ID. La paire d’attributs correspondante par défaut est Numéro de personne dans Oracle HCM mappé à l’attribut ID d’employé dans Microsoft Entra ID / AD local. Vérifiez que la valeur de l’ID d’employé est renseignée dans Microsoft Entra ID (pour les utilisateurs seulement cloud) et AD local (pour les utilisateurs hybrides) avant de lancer la synchronisation complète initiale, car celle-ci identifie de manière unique les utilisateurs.
Utilisez des filtres d’étendue pour ignorer les données RH qui ne sont plus pertinentes : les systèmes RH ont plusieurs années de données sur le personnel, qui remontent probablement jusqu’aux années 70. Par ailleurs, il est possible que votre équipe informatique soit uniquement intéressée par la liste des employés actifs et les données de fin d’embauche qui arriveront après la mise en ligne. Pour filtrer les données RH qui ne sont plus pertinentes du point de vue de votre équipe informatique, identifiez les règles de filtres d’étendue que vous pouvez configurer dans Microsoft Entra.
Exportation CSV pour la synchronisation initiale
Dans cette étape, vous allez exporter vos données des salariés d’Oracle HCM au format CSV et les convertir au format SCIM à l’aide du fichier CSV Microsoft dans les scripts SCIM. Cette étape vous permet d’envoyer vos données des salariés à l’API d’approvisionnement entrant dans une charge utile basée sur des normes qu’elle peut comprendre et traiter.
Partagez la liste des attributs des salariés Oracle HCM que vous souhaitez exporter avec votre administrateur Oracle HCM. Pour exporter vos données des salariés à partir d’Oracle HCM au format CSV, Oracle fournit plusieurs options.
Outil d’extraction HCM : La principale façon de récupérer des données en bloc à partir d’Oracle HCM Cloud consiste à utiliser HCM Extracts, un outil permettant de générer des fichiers et des rapports de données. HCM Extracts dispose d’une interface dédiée pour spécifier les enregistrements et les attributs à extraire. Avec cet outil, vous pouvez :
- Identifier les enregistrements à extraire à l’aide de critères de sélection complexes
- Définir les éléments de données dans une extraction HCM à l’aide d’éléments et de règles de base de données de formules rapides
Remarque
Pour commencer à créer des extractions HCM, reportez-vous à Définir des extractions (oracle.com).
Oracle BI Publisher : Prend en charge les rapports planifiés et non planifiés, en fonction de structures d’analyse Business Intelligence transactionnelles Oracle prédéfinies ou de vos propres modèles de données. Vous pouvez générer des rapports dans différents formats. Pour utiliser Oracle BI Publisher pour les intégrations sortantes, vous générez des rapports dans un format adapté au traitement automatique en aval, tel que XML ou CSV. Pour commencer à créer votre rapport BI Publisher, reportez-vous à Définir le modèle BI Publisher dans les extractions HCM (oracle.com).
Service OIC (Oracle Integration Cloud) : Si vous avez un abonnement au service OIC, vous pouvez configurer l’intégration à l’Adaptateur Oracle HCM (oracle.com) pour extraire les données requises à partir d’Oracle HCM. Oracle fournit un guide (oracle.com) que vous pouvez utiliser pour commencer.
Remarque
Collaborez avec votre administrateur Oracle HCM pour exporter vos attributs requis dans un fichier CSV.
Une fois que vous avez exporté vos données des salariés vers un fichier CSV, vous devez convertir le fichier CSV au format SCIM afin que la charge utile soit dans un format que nous pouvons accepter. Nous fournissons de la documentation et des exemples de code pour convertir votre fichier CSV en charge utile SCIM via deux méthodes : PowerShell et Azure Logic Apps.
Voici les liens pour effectuer cette conversion avec chaque méthode :
PowerShell : Approvisionnement entrant piloté par l’API avec un script PowerShell
Azure Logic Apps : Approvisionnement entrant piloté par l’API avec Azure Logic Apps
Le processus d’approvisionnement entrant inclut l’envoi de la charge utile d’approvisionnement. Avant d’envoyer la charge utile, veillez à sélectionner Démarrer l’approvisionnement dans le centre d’administration Microsoft Entra pour vous assurer que le travail d’approvisionnement écoute les nouvelles requêtes. Avant d’envoyer le fichier complet pour traitement, envoyez 5 à 10 enregistrements pour valider la bonne correspondance des salariés et des attributs. Une fois la charge utile envoyée, les utilisateurs apparaissent brièvement dans votre locataire Microsoft Entra / AD local.
Synchronisations delta
Une fois que vous avez envoyé vos données des salariés à l’API d’approvisionnement entrant pour la synchronisation initiale, vous devez effectuer des synchronisations delta pour maintenir vos données des salariés à jour. Les synchronisations delta sont des mises à jour incrémentielles qui envoient uniquement les changements qui ont été apportés depuis la dernière synchronisation, tels que les nouveaux salariés, les salariés actualisés ou les salariés supprimés.
Pour effectuer des synchronisations delta, vous avez trois options :
Option 1 : Utiliser les API de flux Oracle ATOM pour obtenir des notifications en temps réel des changements relatifs aux salariés dans Oracle HCM et les envoyer à l’API d’approvisionnement entrante.
Option 2 : Utiliser des extractions CSV pour générer régulièrement des rapports sur les changements relatifs aux salariés dans Oracle HCM et envoyer les extractions à l’API d’approvisionnement entrant à l’aide de votre propre outil d’automatisation ou de Logic Apps.
Option 3 : Utiliser le service Oracle Integration Cloud (oracle.com). Si vous avez un abonnement au service OIC, vous pouvez configurer l’intégration à l’Adaptateur Oracle HCM (oracle.com) pour extraire les données requises à partir d’Oracle HCM. Oracle fournit un guide (oracle.com) que vous pouvez utiliser pour commencer.
Option 1 : Utiliser les API de flux Oracle ATOM
Les API de flux Oracle ATOM fournissent des notifications en temps réel des changements relatifs aux salariés dans Oracle HCM. Vous pouvez vous abonner aux API de flux ATOM et recevoir une représentation JSON des attributs qui contiennent les données des salariés qui ont changé. Vous pouvez ensuite convertir le JSON au format SCIM et les envoyer à l’API d’approvisionnement entrant à l’aide de notre exemple de script PowerShell ou d’intégration Logic Apps.
Si vous envisagez d’utiliser l’intégration de flux ATOM, veillez à activer les flux ATOM immédiatement après votre synchronisation initiale. Un retard dans cette étape peut entraîner la perte de changements.
Pour commencer à utiliser les flux ATOM d’Oracle, reportez-vous à la documentation Oracle (oracle.com) et au tutoriel (oracle.com). Nous vous recommandons de vous abonner à l’espace de travail Employee (oracle.com) et d’appliquer ces collections de flux Atom : newhire, empassignment, empupdate, termination, cancelworkrelship et workrelshipupdate.
Une fois que vous avez configuré des flux ATOM dans votre locataire HCM, vous devez créer un module personnalisé qui lit la sortie de l’API de flux ATOM et envoie les données à Microsoft Entra ID dans un format de charge utile SCIM à l’aide de l’API d’approvisionnement entrant.
La logique dans le module personnalisé est chargée de gérer les scénarios suivants :
- Validation des données
- Génération d’ID unique
- Séquencement des flux ATOM
- Conversion de flux ATOM en charges utiles SCIM
- Gestion des erreurs
Nous vous recommandons d’utiliser un partenaire Oracle HCM ou un intégrateur de système Microsoft pour créer ce module personnalisé. Vous pouvez héberger ce module personnalisé dans un intergiciel Oracle comme Oracle Integration Cloud ou dans le cloud Azure en tant que fonction Azure, application Azure Logic Apps ou pipeline Azure Data Factory.
Implémenter le scénario de nouveau poste
Les scénarios de nouveau poste portent spécifiquement sur le processus d’intégration des nouvelles embauches. Les flux ATOM Oracle HCM retournent des données pour les nouveaux postes, comme indiqué ici : Intégration de Fusion Cloud HCM aux systèmes de gestion des droits d’utilisation externes (oracle.com).
Lisez les données du flux ATOM des nouvelles embauches et implémentez la logique dans votre module personnalisé pour vous assurer que les éléments de données suivants sont présents dans la charge utile SCIM : données personnelles, données de contact, informations d’embauche et informations de poste.
Si nécessaire, après avoir obtenu le flux ATOM pour les scénarios de nouveau poste, interrogez les points de terminaison Salariés ou Employés pour récupérer des attributs de salarié supplémentaires.
Pour déclencher des workflows de cycle de vie Microsoft Entra pour les nouvelles embauches, veillez à inclure l’attribut SCIM personnalisé pour la date d’embauche de l’employé : urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate.
Utilisez le champ Oracle HCM EffectiveStartDate pour définir la valeur de la date d’embauche. Reportez-vous à l’exemple de charge utile SCIM.
Implémenter le scénario de changement de poste
Les scénarios de changement de poste sont déclenchés dans Oracle HCM lorsqu’un salarié passe d’un temps complet à travailleur indépendant ou inversement, ou lors d’un changement d’affectation, d’un changement de relation de travail, d’un transfert ou encore d’une promotion. Les flux ATOM Oracle HCM retournent des données pour les changements de poste, comme indiqué ici : Intégration de Fusion Cloud HCM aux systèmes de gestion des droits d’utilisation externes (oracle.com).
Veillez à extraire les nouvelles valeurs des attributs qui ont changé dans Oracle HCM. Ces valeurs peuvent souvent être extraites de la section Attributs modifiés de la réponse des flux ATOM. Si nécessaire, interrogez les points de terminaison Salariés ou Employés directement pour récupérer des attributs de salarié supplémentaires.
Utilisez les données récupérées pour créer une charge utile SCIM. Reportez-vous à l’exemple de charge utile SCIM.
Implémenter le scénario de suppression de poste
Les scénarios de suppression de poste interviennent lorsque le poste d’un salarié de l’organisation arrive à son terme, volontairement ou involontairement. Les flux ATOM Oracle HCM retournent des données pour les suppressions de poste, comme indiqué ici : Intégration de Fusion Cloud HCM aux systèmes de gestion des droits d’utilisation externes (oracle.com). Lisez les données du flux ATOM et créez la charge utile SCIM.
Pour déclencher des workflows de cycle de vie pour les suppressions de poste, veillez à inclure l’attribut SCIM personnalisé pour la date de départ de l’employé : urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate
Utilisez le champ Oracle HCM EffectiveDate pour définir la valeur de la date de fin d’embauche. Reportez-vous à l’exemple de charge utile SCIM.
Exemple de charge utile SCIM
Convertissez les charges utiles JSON associées aux scénarios Nouveau poste, Changement de poste et Suppression de poste pour créer une charge utile SCIM à envoyer au point de terminaison de l’approvisionnement basé sur l’API de Microsoft.
Voici un exemple générique de la façon dont les attributs Oracle HCM peuvent être mappés à des attributs dans la charge utile SCIM en fonction de la feuille de calcul Oracle HCM vers SCIM :
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:BulkRequest"],
"Operations": [
{
"method": "POST",
"bulkId": "897401c2-2de4-4b87-a97f-c02de3bcfc61",
"path": "/Users",
"data": {
"schemas": ["urn:ietf:params:scim:schemas:core:2.0:User",
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"],
"externalId": "<Oracle HCM workers.PersonNumber>",
"userName": "<Oracle HCM employee.UserName>",
"name": {
"familyName": "<Oracle HCM workers.names.LastName>",
"givenName": "<Oracle HCM workers.names.FirstName> ",
"middleName": "<Oracle HCM workers.names.MiddleName>",
},
"displayName": "<Oracle HCM workers.DisplayName>",
"emails": [
{
"value": "<Oracle HCM workers.emails.EmailAddress> ",
"type": "work",
"primary": true
}
],
"addresses": [
{
"type": "work",
"streetAddress": "<Oracle HCM workers.addresses.AddressLine1>",
"locality": "<Oracle HCM workers.addresses.TownorCity>",
"region": "<Oracle HCM workers.addresses.Region1>",
"postalCode": "<Oracle HCM workers addresses.PostalCode> ",
"country": "<Oracle HCM workers addresses.Country> ",
"primary": true
}
],
"phoneNumbers": [
{
"value": "<Oracle HCM workers. phones.PhoneNumber ",
"type": "work"
}
],
"userType": "<Oracle HCM workers.workRelationships.WorkerType ",
"title": " <Oracle HCM worker.workRelationships.assignments.JobName",
"active":true,
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
"employeeNumber": "<Oracle HCM workers.PersonNumber> ",
"division": "<Oracle HCM worker.workRelationships.assignments.BusinessUnitId> ",
"department": "<Oracle HCM worker.workRelationships.assignments.DepartmentId >",
"manager": {
"value": "<Oracle HCM worker.workRelationships.assignments.allReports.ManagerPersonNumber> ",
"displayName": "<Oracle HCM worker.workRelationships.assignments.allReports.ManagerDisplayName"
}
}
}
}
],
"failOnErrors": null
}
Une fois que vous avez mis en forme la requête en bloc SCIM, vous pouvez ensuite envoyer les données au point de terminaison de l’API bulkUpload via l’approvisionnement piloté par l’API.
Avant d’activer l’intégration, effectuez des vérifications et des tests manuels pour valider la structure de la charge utile de la requête en bloc SCIM. Vous pouvez utiliser des outils, tels que Postman ou l’Afficheur Graph, pour confirmer que les charges utiles des requêtes en bloc sont traitées comme prévu.
Remarque
Si vous ne souhaitez pas engager un partenaire ou créer votre propre module personnalisé, nous vous recommandons d’utiliser l’outil d’extraction HCM décrit dans la section suivante.
Option 2 : Utiliser des extractions au format CSV
Comme pour la méthode utilisée dans la synchronisation initiale, vous pouvez également utiliser des extractions au format CSV pour gérer vos synchronisations delta. Vous pouvez configurer votre extraction pour exécuter uniquement les nouveaux changements depuis la synchronisation précédente. Vous pouvez aussi envoyer l’étendue complète de vos données des salariés, et le service d’approvisionnement Microsoft Entra ID gère et met à jour tous les changements tels que les nouvelles embauches, les changements d’attributs et les fins d’embauche.
Comme pour la synchronisation initiale, vous pouvez également utiliser plusieurs options pour obtenir l’extraction au format CSV :
Outil d’extraction HCM : La principale façon de récupérer des données en bloc à partir d’Oracle HCM Cloud consiste à utiliser HCM Extracts, un outil permettant de générer des fichiers et des rapports de données. HCM Extracts dispose d’une interface dédiée pour spécifier les enregistrements et les attributs à extraire. Avec cet outil, vous pouvez :
Identifier les enregistrements à extraire à l’aide de critères de sélection complexes.
Définir les éléments de données dans une extraction HCM à l’aide d’éléments et de règles de base de données de formules rapides.
Remarque
Pour commencer à créer vos extractions HCM, reportez-vous à Définir des extractions (oracle.com).
Oracle BI Publisher : Oracle BI Publisher prend en charge les rapports planifiés et non planifiés, en fonction de structures d’analyse Business Intelligence transactionnelles Oracle prédéfinies ou de vos propres modèles de données. Vous pouvez générer des rapports dans différents formats. Pour utiliser Oracle BI Publisher pour les intégrations sortantes, vous générez des rapports dans un format adapté au traitement automatique en aval, tel que XML ou CSV. Pour commencer à créer votre rapport BI Publisher, reportez-vous à Définir le modèle BI Publisher dans les extractions HCM (oracle.com).
Service OIC (Oracle Integration Cloud) : Si vous avez un abonnement au service OIC, vous pouvez configurer l’intégration à l’Adaptateur Oracle HCM (oracle.com) pour extraire les données requises à partir d’Oracle HCM. Oracle fournit un guide (oracle.com) que vous pouvez utiliser pour commencer.
Une fois que vous avez vos données des salariés au format CSV, utilisez l’une des deux méthodes suivantes pour les convertir en charge utile SCIM et les envoyer à notre service d’approvisionnement.
PowerShell : Approvisionnement entrant piloté par l’API avec un script PowerShell
Logic Apps : Approvisionnement entrant piloté par l’API avec Azure Logic Apps
Réécriture de Microsoft Entra ID sur Oracle HCM
Une fois que vous avez synchronisé vos données des salariés à partir d’Oracle HCM à l’aide de l’API d’approvisionnement entrant, vous voudrez peut-être configurer la réécriture du service d’approvisionnement Microsoft Entra sur Oracle HCM. La réécriture est le processus qui consiste à renvoyer les changements utilisateur apportés dans Microsoft Entra ID à Oracle HCM, comme les noms d’utilisateur, e-mails et numéros de téléphone. Ce processus garantit que vos données sont cohérentes et exactes sur les deux systèmes.
Pour configurer la réécriture, vous devez utiliser les API SCIM Oracle HCM (oracle.com). Ces API sont des services web RESTful qui vous permettent de créer, mettre à jour et supprimer des utilisateurs dans Oracle HCM à partir d’une source externe telle que Microsoft Entra. Vous pouvez utiliser le service d’approvisionnement Microsoft Entra pour connecter Microsoft Entra aux API SCIM Oracle HCM et mapper les attributs utilisateur que vous souhaitez réécrire.
Pour configurer la réécriture, vous devez configurer un travail d’approvisionnement sortant sur votre locataire Oracle HCM. Pour configurer la réécriture, vous avez besoin des informations suivantes :
URL du serveur REST, qui est normalement l’URL de votre service cloud Oracle. La syntaxe devrait être similaire à ceci : https://servername.fa.us2.oraclecloud.com.
Jeton secret de l’environnement HCM qui fournit à votre locataire HCM un accès à d’autres systèmes tels que Microsoft Entra.
- Créez un jeton OAUTH dans HCM et enregistrez-le pour l’utiliser dans les étapes ici. Vous pouvez créer un jeton OAUTH en accédant à l’étape quatre du guide (oracle.com) suivant.
Une fois que vous avez votre URL de serveur REST et votre jeton secret, suivez les étapes ici pour configurer le travail de réécriture dans Microsoft Entra :
Créez une application d’entreprise.
Sélectionnez l’option Approvisionnement et passez en mode Automatique.
Entrez l’URL du point de terminaison de votre locataire Oracle HCM et le jeton d’authentification dans les champs URL du serveur REST et Jeton secret.
Testez la connexion, puis enregistrez les paramètres.
Revenez à la page Vue d’ensemble de l’approvisionnement de cette application, puis sélectionnez Modifier le provisionnement. Cliquez sur la flèche sous Mappages, puis sélectionnez le lien du schéma de mappage.
Dans la section Modifier les mappages d’attributs, sélectionnez uniquement l’opération Mise à jour sous Actions d’objet cible.
Vous remarquerez que les attributs HCM sont automatiquement renseignés dans la section Mappages d’attributs. Supprimez uniquement les attributs dont vous ne souhaitez pas réécrire les données.
Enregistrez les paramètres, puis activez l’état d’approvisionnement.
Utilisez la fonctionnalité Approvisionnement à la demande de Microsoft Entra pour tester et valider l’intégration de la réécriture.
Une fois que vous avez validé le workflow, démarrez le travail et continuez à l’exécuter pour que Microsoft Entra synchronise en continu les données vers Oracle HCM.
Annexe
Feuille de calcul 1 : Attributs Oracle HCM
Le tableau de cette section représente les attributs que vous pouvez exporter à partir d’Oracle HCM. Les noms de ces attributs peuvent différer dans votre système HCM, mais cette liste représente quand même une liste commune d’attributs dans une intégration RH. Déterminez les attributs que vous souhaitez exporter pour votre intégration.
| Attribut Oracle HCM (du fichier CSV) | Requis ou obligatoire |
|---|---|
| Numéro personnel | Obligatoire |
| État du compte | Obligatoire – > définir la valeur sur True pour les salariés qui n’ont pas quitté l’entreprise |
| Adresse postale | |
| Ville | |
| Région | |
| Code postal | |
| Pays ou région | |
| Nom du service | |
| Division | |
| Company | |
| Nom d’utilisateur | |
| Prénom | Obligatoire |
| Nom de famille | Obligatoire |
| Code du poste | |
| Nom du travail | |
| Adresse e-mail | |
| Gestionnaire | |
| Numéro de téléphone mobile | |
| Numéro de téléphone | |
| Adresse professionnelle | |
| Numéro de téléphone | |
| Date d'embauche | Requis par les workflows de cycle de vie |
| Date de fin d’embauche | Requis par les workflows de cycle de vie |
Remarque
Nous avons inclus des lignes vides dans la feuille de calcul ci-dessus pour vous permettre d’ajouter d’autres attributs qui ne figurent pas dans cette liste afin de les inclure dans votre travail d’approvisionnement.
Feuille de calcul 2 : Mappage d’attributs entre Oracle HCM et SCIM
Le tableau de cette section montre un exemple de mappage des attributs Oracle HCM aux attributs SCIM génériques pris en charge par l’API.
| Attribut Oracle HCM (du fichier CSV) | Attribut SCIM |
|---|---|
| Numéro personnel | ExternalId |
| État du compte | Activé |
| Adresse postale | addresses[type eq "work"].streetAddress |
| Ville | addresses[type eq "work"].locality |
| State | addresses[type eq "work"].region |
| Code postal | addresses[type eq "work"].postalCode |
| Pays ou région | addresses[type eq "work"].country |
| Nom du service | urn:ietf:params:scim:schemas: extension:enterprise:2.0:User:department |
| Division | urn:ietf:params:scim:schemas: extension:enterprise:2.0:User:division |
| Company | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization |
| Nom d’utilisateur | displayName |
| Prénom | name.givenName |
| Nom de famille | name.familyName |
| Code du poste | urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:JobCode |
| Nom du travail | title |
| Adresse e-mail | emails[type eq "work"].value |
| Gestionnaire | urn:ietf:params:scim:schemas:extension: enterprise:2.0:User:manager |
| Numéro de téléphone mobile | phoneNumbers[type eq "mobile"].value |
| Numéro de téléphone | phoneNumbers[type eq "work"].value |
| Adresse professionnelle | addresses[type eq "work"].formatted |
| Date d'embauche | urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate |
| Date de fin d’embauche | urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate |
Feuille de calcul 3 : Définir des règles de génération et de transformation d’ID uniques
Le tableau de cette section décrit certains attributs qui nécessitent une génération unique ou des règles de transformation spécifiques. Il s’agit notamment de trois attributs couramment utilisés qui ont des règles supplémentaires pour définir leur valeur. Référencez les liens pour renseigner correctement ces attributs.
| Attribut | Comment définir une valeur d’attribut |
|---|---|
| userPrincipalName (obligatoire) | Planifier l'application RH cloud pour le provisionnement des utilisateurs Microsoft Entra |
| SamAccountName (AD local uniquement) | Planifier l'application RH cloud pour le provisionnement des utilisateurs Microsoft Entra |
| parentDistinguishedName (AD local uniquement) | Planifier l'application RH cloud pour le provisionnement des utilisateurs Microsoft Entra |
Feuille de calcul 4 : Mappage des attributs SCIM aux attributs AD local
Le tableau de cette section représente l’ensemble des attributs locaux pris en charge par Active Directory. Mappez vos attributs SCIM aux attributs de ce tableau si votre cible d’approvisionnement est Active Directory.
| Attribut SCIM | Attribut AD local |
|---|---|
| ExternalId | employeeID |
| Activé | accountDisabled |
| addresses[type eq "work"].streetAddress | streetAddress |
| addresses[type eq "work"].locality | l |
| addresses[type eq "work"].region | st |
| addresses[type eq "work"].postalCode | postalCode |
| addresses[type eq "work"].country | co |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | service |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division | division |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | company |
| displayName | cn |
| name.givenName | givenName |
| name.familyName | sn |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:JobCode | extensionAttribute1 |
| title | title |
| emails[type eq "work"].value | <Généré par AD> |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager | manager |
| phoneNumbers[type eq "mobile"].value | mobile |
| phoneNumbers[type eq "work"].value | telephoneNumber |
| addresses[type eq "work"].formatted | physicalDeliveryOfficeName |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate | extensionAttribute2 |
| urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate | extensionAttribute3 |
Remarque
Si vous définissez des attributs d’extension de schéma SCIM qui n’ont pas d’attribut AD local correspondant, vous pouvez les mapper à extensionAttributes 1-15 ou étendre le schéma AD pour ajouter une nouvelle classe d’objet auxiliaire avec les attributs requis.
Feuille de calcul 5 : Mappage d’AD local à Microsoft Entra ID
Une fois que vos identités sont synchronisées avec AD local, vous pouvez les envoyer à Microsoft Entra ID via la synchronisation cloud ou Microsoft Entra ID Connect. Référencez la documentation associée qui porte sur l’utilisation de ces outils.
Le tableau de cette section est un exemple de mappage d’attributs entre les attributs AD inclus dans la feuille de calcul 4 et les attributs Microsoft Entra.
Remarque
L’attribut personnalisé extensionAttribute1 est le code du poste du salarié. Dans le tableau précédent, il a été mappé à extensionAttribute1 AD. Mais ici, nous allons le mapper à extensionAttribute1 Microsoft Entra, car il n’existe aucun attribut correspondant dans Microsoft Entra. extensionAttribute2 et extensionAttribute3 (date d’embauche et date de fin d’embauche) sont mappés en conséquence.
| Attribut AD local | Attribut Microsoft Entra |
|---|---|
| streetAddress | streetAddress |
| l | city |
| st | state |
| postalCode | postalCode |
| co | country |
| department | service |
| division | EmployeeOrgData.division |
| company | companyName |
| cn | displayName |
| givenName | givenName |
| sn | surname |
| extensionAttribute1 | extensionAttribute1 |
| title | jobTitle |
| <Généré par AD> | |
| manager | manager |
| mobile | mobile |
| telephoneNumber | telephoneNumber |
| physicalDeliveryOfficeName | physicalDeliveryOfficeName |
| extensionAttribute2 | employeeHireDate |
| extensionAttribute3 | employeeLeaveDateTime |
Feuille de calcul 6 : Mappage des attributs SCIM aux attributs Microsoft Entra
Le tableau de cette section représente l’ensemble des attributs pris en charge par Microsoft Entra ID. Mappez vos attributs SCIM aux attributs de ce tableau si votre cible d’approvisionnement est Microsoft Entra ID. Pour ajouter des attributs SCIM personnalisés à votre application de galerie, reportez-vous à Étendre l’approvisionnement piloté par l’API pour synchroniser des attributs personnalisés.
| Attribut SCIM | Attribut Microsoft Entra |
|---|---|
| ExternalId | employeeId |
| Activé | accountEnabled |
| addresses[type eq "work"].streetAddress | streetAddress |
| addresses[type eq "work"].locality | city |
| addresses[type eq "work"].region | state |
| addresses[type eq "work"].postalCode | postalCode |
| addresses[type eq "work"].country | country |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | service |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division | EmployeeOrgData.division |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | companyName |
| displayName | displayName |
| name.givenName | givenName |
| name.familyName | surname |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:JobCode | extensionAttribute1 |
| title | jobTitle |
| emails[type eq "work"].value | |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager | manager |
| phoneNumbers[type eq "mobile"].value | mobile |
| phoneNumbers[type eq "work"].value | telephoneNumber |
| addresses[type eq "work"].formatted | physicalDeliveryOfficeName |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate | employeeHireDate |
| urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate | employeeLeaveDateTime |
Remerciements
Nous remercions les partenaires suivants pour leur aide et leur contribution à ce tutoriel :
- Michael Starkweather, directeur chez PwC
- Rob Allen, directeur Architecture et technologie chez ActiveIdM
- Ray Nalette, responsable livraison technique chez ActiveIdM
- Randy Robb, consultant principal chez Oxford Computer Group
- Frank Urena, architecte principal chez Oxford Computer Group
- Nick Herbert, vice-président des ventes chez Oxford Computer Group
- Steve Brugger, PDG d’Oxford Computer Group