チュートリアル: Microsoft Entra ID と Oracle HCM の統合
インバウンド プロビジョニング API は、Oracle Human Capital Management (HCM) などの外部ソースから Microsoft Entra ID およびオンプレミスの Active Directory 内のユーザーを作成、更新、削除できるようにする機能です。 この機能により、組織は生産性を向上し、セキュリティを強化し、コンプライアンスと規制の要件をより簡単に満たすことができます。
Microsoft Entra ID Governance を使用すると、適切なリソースへの適切なアクセス権を適切なユーザーに自動的に付与することができます。 このアクセスには、ID およびアクセス管理プロセスの自動化、ビジネス グループへの委任、可視性の向上が含まれます。
このチュートリアルでは、API 駆動型プロビジョニングを使用して Oracle HCM と Microsoft Entra ID を統合するための手順とベスト プラクティスについて説明します。 学習内容は次のとおりです。
- 環境を準備し、API 設定を構成する
- Oracle HCM からワーカー データを CSV 形式でエクスポートし、Microsoft スクリプトを使用してクロスドメイン ID 管理システム (SCIM) 形式に変換する
- PowerShell または Azure Logic Apps を使用してワーカー データをインバウンド プロビジョニング API に送信する
- Oracle Atom フィード API または HCM 抽出を使用して、差分同期を実行してワーカー データを最新の状態に維持する
- Oracle HCM SCIM API を使用して Microsoft Entra ID から Oracle HCM への書き戻しを構成する (必要な場合)
用語
Oracle HCM Fusion Cloud (oracle.com): このガイドは、Oracle HCM Fusion Cloud から Microsoft Entra ID に統合する方法に特に重点を置いています。 PeopleSoft や Taleo などの他の Oracle オファリングは、このチュートリアルの対象外です。
ライセンス:
Microsoft Entra ID P1 / EMS E3 / Microsoft 365 E3: これらのライセンスを使用すると、新しい API 駆動型プロビジョニング機能を使用できます。
Microsoft Entra ID Governance ライセンス: ライフサイクル ワークフローを構成するには、このアドオン ライセンスが必要です。
Azure サブスクリプション: Azure Logic Apps の使用を計画している場合は、このサブスクリプションが必要です。
前提条件
インバウンド プロビジョニング API を使用して Oracle HCM と Microsoft Entra ID の統合を開始する前に、次の前提条件が用意されていることを確認する必要があります。
次の特権を持つ Oracle HCM (oracle.com) アカウント:
- HCM データの表示とエクスポート。
- Oracle HCM REST API へのアクセス。 このチュートリアルでは、Human Resources 24A (oracle.com) と Applications Common 24A (oracle.com) を参照しています。
最小 P1 ライセンス (EMS E3 または Microsoft 365 E3) を持つ Microsoft Entra ID テナント:
プロビジョニング エージェントをインストールするには (ハイブリッド ユーザーのみ)、AD ドメインに接続されている Microsoft Windows サーバーにアクセスする必要があります。
ギャラリー アプリおよびプロビジョニング ジョブを作成するには、アプリケーション管理者とハイブリッド ID 管理者のロールを持つ Microsoft Entra が必要です。
統合の概要
HR 統合の設定に使用できる主な同期シナリオには、次の 3 つがあります。 このセクションの図は、これらの同期シナリオを示しています。 このガイドは、3 つのセクションに分けて編成されています。 ワークフローごとに、ワークフローの構成方法に関する推奨事項が提供されています。
初期または完全同期は、2 つのシステム間ですべてのワーカー データを同期するプロセスです。この場合は、Oracle HCM と Microsoft Entra ID 間で直接同期するか、Oracle HCM をオンプレミスの Active Directory (オンプレミスの AD) に同期します。 このプロセスには、すべてのワーカーの ID と属性 (個人情報、連絡先情報、雇用情報など) が含まれます。 完全同期は通常、両方のシステムですべてのワーカー データの一貫性と最新状態を確保するために、最初の統合セットアップで実行されます。
差分同期は、Oracle HCM との最後の同期以降に発生した変更または更新のみを同期するプロセスです。 差分同期は通常、ソース システムで発生する変更に対応してワーカー データの最新状態を維持するために、最初の完全同期後に実行されます。 このプロセスには、新しい従業員、更新された従業員データ、または削除された従業員が含まれます。 差分同期は増分更新であり、ワーカー データが変更されるたびに、完全同期よりも高速かつ効率的に実行されます。
書き戻しは、Microsoft Entra ID で発生したユーザー属性 (ユーザー名、メール アドレス、電話番号など) の変更を Oracle HCM に返送するオプションのプロセスです。
統合手順
| # | Step | 操作内容 | 関与するユーザー |
|---|---|---|---|
| 1. | HCM からプロビジョニングする属性セットを決定する | • この HCM 属性の一覧を参照して、Microsoft Entra ID にエクスポートする属性を決定する • Oracle HCM 属性を SCIM 属性にマップする • 一意の ID の生成規則と変換規則を定義する |
Oracle HCM 管理者および IT 管理者 |
| 2. | インバウンド プロビジョニング API にアクセス許可を付与する | API クライアントを表すアプリケーションを作成し、インバウンド プロビジョニング エンドポイントにデータを送信するアクセス許可を付与する | IT 管理者 - 特権ロール管理者 |
| 3. | プロビジョニングのターゲットを決定する: クラウド専用 ID を Microsoft Entra ID にプロビジョニングするか、またはハイブリッド ID をオンプレミス AD にプロビジョニングするか | ターゲットが Microsoft Entra ID の場合 (クラウド専用 ID プロビジョニング): • ギャラリー アプリを構成する • SCIM を Microsoft Entra の属性にマップする ターゲットがオンプレミスの AD の場合 (ハイブリッド ID プロビジョニング): • プロビジョニング エージェントをダウンロードして構成する • ギャラリー アプリを構成する • SCIM 属性をオンプレミスの Active Directory にマップする • Microsoft Entra Connect 同期とクラウド同期のマッピングを更新して、新しい HR 属性を Entra ID にフローする |
プロビジョニング エージェントのインストールには、Windows 管理者が関与する ギャラリー アプリの構成には、アプリケーション管理者特権を持つ管理者が参加する |
| 4. | 初期同期を実行してデータの全範囲をプロビジョニング エンドポイントに送信する | • 初期同期の準備を行う • CSV エクスポートを実行し、データを API に送信する • 適切なワーカーが一致しており、Microsoft Entra/AD に存在することを検証する |
IT 管理者 |
| 5. | 差分同期を実行して Microsoft Entra ID 内のデータを最新の状態に保つ | 次のいずれかの方法を使用します。 • CSV 抽出を使用する • Atom フィード API を使用する |
IT 管理者 |
| 6. | データを Oracle HCM に書き戻す | • 書き戻しプロビジョニング ジョブを構成して実行する | IT 管理者 |
| 7. | 推奨事項: Microsoft Entra のライフサイクル ワークフローを構成する | • Microsoft Entra を使用して、就職者、異動者、退職者の各プロセスを自動化する • ガバナンス ライセンスが必要 |
IT 管理者 |
ギャラリー アプリケーションを構成する
Microsoft Entra でプロビジョニング ジョブを構成する前に、プロビジョニングのターゲットがオンプレミスの AD または Microsoft Entra ID のいずれであるかを判断する必要があります。 オンプレミスの依存関係を使用してハイブリッド ユーザーをプロビジョニングする場合、AD がターゲットになります。 ユーザーがクラウド専用の場合、Microsoft Entra ID に直接プロビジョニングできます。
クラウド専用ユーザーの場合
次の手順に従って、Microsoft Entra ID への API 駆動型プロビジョニング ギャラリー アプリケーションを作成して構成します。
ギャラリー アプリケーションを作成し、アプリケーションに Oracle HCM Cloud から Entra ID へのプロビジョニングという名前を付けます。
ハイブリッド ユーザーの場合
Windows 管理者と連携して、ドメイン参加済みの Windows サーバーにプロビジョニング エージェントをインストールし、次の手順に従います。
ギャラリー アプリケーションを作成し、アプリケーションに Oracle HCM Cloud からオンプレミスの Active Directory へのプロビジョニングという名前を付けます。
初期同期の準備を行う
初期同期ペイロードを送信する前に、データが Microsoft Entra と適切に同期できるように準備されていることを確認する必要があります。 次の手順は、スムーズな統合を確保するために役立ちます。
一致する識別子の存在と一意性: プロビジョニング サービスでは、一致する属性を使用して、Oracle システム内のワーカー レコードを一意に識別し、AD または Microsoft Entra ID 内の対応するユーザー アカウントとリンクします。 既定の一致する属性ペアは、Microsoft Entra ID またはオンプレミスの AD 内の従業員 ID 属性にマップされた Oracle HCM 内の個人番号です。 従業員 ID はユーザーを一意に識別するため、完全同期を開始する前に、その値が Microsoft Entra ID (クラウド専用ユーザーの場合) およびオンプレミスの AD (ハイブリッド ユーザーの場合) に設定されていることを確認します。
スコープ フィルターを使用して、関連性がなくなった HR レコードをスキップする: HR システムには、おそらく 1970 年代まで遡った数年間分の雇用データが保存されています。 一方、IT チームが関心を持つのは、現在アクティブな従業員の一覧と、稼働後に発生する退職レコードのみである可能性があります。 IT チームの観点から関連性がなくなった HR レコードを除外するには、Microsoft Entra で構成できるスコープ フィルター規則を特定します。
初期同期のための CSV エクスポート
この手順では、ワーカー データを Oracle HCM から CSV 形式でエクスポートし、Microsoft CSV から SCIM スクリプトを使用して、データを SCIM 形式に変換します。 この手順を使用すると、インバウンド プロビジョニング API で理解して処理できる標準ベースのペイロードで、ワーカー データを API に送信できます。
エクスポートする Oracle HCM ワーカー属性の一覧を Oracle HCM 管理者と共有します。 ワーカー データを Oracle HCM から CSV 形式でエクスポートするために、Oracle では複数のオプションを提供しています。
HCM 抽出ツール: Oracle HCM Cloud からデータを一括で取得するための主要な方法は、HCM 抽出を使用することです。これは、データ ファイルとレポートを生成するためのツールです。 HCM 抽出には、抽出するレコードと属性を指定するための専用のインターフェイスがあります。 このツールを使用すると、次のことができます。
- 複雑な選択基準を使用して抽出するレコードを識別する
- 高速の数式データベース項目と規則を使用して、HCM 抽出のデータ要素を定義する
Note
HCM 抽出の作成を開始するには、「抽出の定義」 (oracle.com) を参照してください。
Oracle BI Publisher: 事前定義済みの Oracle Transactional Business Intelligence 分析構造またはユーザー独自のデータ モデルに基づいて、スケジュール済みのレポートと計画外のレポートの両方がサポートされています。 さまざまな形式でレポートを生成できます。 アウトバウンド統合に Oracle BI Publisher を使用するには、XML や CSV などの自動ダウンストリーム処理に適した形式でレポートを生成します。 BI Publisher レポートの作成を開始するには、「HCM 抽出での BI パブリッシャ テンプレートの定義」 (oracle.com) を参照してください。
Oracle Integration Cloud (OIC) サービス: OIC のサブスクリプションがある場合、Oracle HCM アダプタ (oracle.com) との統合を構成して、必要なデータを Oracle HCM から抽出できます。 Oracle では、作業を開始するために使用できるガイド (oracle.com) を提供しています。
Note
Oracle HCM 管理者と連携して、必要な属性を CSV ファイルにエクスポートしてください。
ワーカー データを CSV ファイルにエクスポートしたら、ペイロードを受け入れ可能な形式にするために、CSV を SCIM 形式に変換する必要があります。 PowerShell と Azure Logic Apps の 2 つの方法で CSV を SCIM ペイロードに変換する方法に関するドキュメントとサンプル コードを提供しています。
それぞれの方法でこの変換を実行するためのリンクを次に示します。
PowerShell: PowerShell スクリプトを使用した API 駆動型インバウンド プロビジョニング
Azure Logic Apps: Azure Logic Apps を使用した API 駆動型インバウンド プロビジョニング
インバウンド プロビジョニング プロセスには、プロビジョニング ペイロードの送信が含まれます。 ペイロードを送信する前に、Microsoft Entra 管理センターで [プロビジョニングの開始] を選択して、プロビジョニング ジョブが新しい要求をリッスンしていることを確認します。 処理のためにファイル全体を送信する前に、5 から 10 件のレコードを送信して、ワーカーと属性が正しく一致することを検証します。 ペイロードが送信されると、Microsoft Entra テナントまたはオンプレミスの AD にユーザーが短時間表示されます。
差分同期
初期同期のためにワーカー データをインバウンド プロビジョニング API に送信した後、ワーカー データを最新の状態に保つために差分同期を実行する必要があります。 差分同期は増分更新であり、新しいワーカー、更新されたワーカー、削除されたワーカーなど、最後の同期以降に発生した変更のみが送信されます。
差分同期を実行するには、次の 3 つのオプションがあります。
オプション 1: Oracle Atom フィード API を使用して、Oracle HCM でのワーカーの変更に関するリアルタイム通知を取得し、それをインバウンド プロビジョニング API に送信します。
オプション 2: CSV 抽出を使用して、Oracle HCM でのワーカーの変更に関する定期レポートを生成し、独自の自動化ツールまたは Logic Apps を使用して抽出をインバウンド プロビジョニング API に送信します。
オプション 3: Oracle Integration Cloud サービス (oracle.com) を使用します。 OIC のサブスクリプションがある場合、Oracle HCM アダプタ (oracle.com) との統合を構成して、必要なデータを Oracle HCM から抽出できます。 Oracle では、作業を開始するために使用できるガイド (oracle.com) を提供しています。
オプション 1: Oracle Atom フィード API を使用する
Oracle Atom フィード API は、Oracle HCM でのワーカーの変更をリアルタイムで通知します。 Atom フィード API をサブスクライブし、変更されたワーカー データを含む属性の JSON 表現を受け取ることができます。 その後、サンプル PowerShell スクリプトまたは Logic Apps 統合を使用して、JSON を SCIM 形式に変換し、インバウンド プロビジョニング API に送信できます。
Atom フィード統合を使用する場合は、必ず初期同期の直後に Atom フィードを有効にしてください。この手順が遅れると、変更が失われる可能性があります。
Oracle の Atom フィードの使用を開始するには、Oracle のドキュメント (oracle.com) とチュートリアル (oracle.com) を参照してください。 従業員ワークスペース (oracle.com) にサブスクライブし、Atom フィード コレクション (newhire、empassignment、empupdate、termination、cancelworkrelship、workrelshipupdate) を適用することをお勧めします。
HCM テナントで Atom フィードを構成したら、Atom フィード API の出力を読み取り、インバウンド プロビジョニング API を使用してデータを SCIM ペイロード形式で Microsoft Entra ID に送信するカスタム モジュールを作成する必要があります。
カスタム モジュールのロジックは、次のシナリオを処理する責任があります。
- データ検証
- 一意の ID の生成
- Atom フィードのシーケンス処理
- SCIM ペイロードへの Atom フィードの変換
- エラー処理
このカスタム モジュールを構築するには、Oracle HCM パートナーまたは Microsoft システム インテグレーターを利用することをお勧めします。 このカスタム モジュールは、Oracle Integration Cloud などの Oracle ミドルウェアでホストするか、Azure 関数、Azure Logic Apps、または Azure Data Factory パイプラインとして Azure クラウドでホストすることができます。
就職者シナリオを実装する
就職者シナリオでは、特に新入社員のオンボード プロセスに対処します。 「Fusion Cloud HCM と外部エンタイトルメント管理システムとの融合」 (oracle.com) で説明されているように、Oracle HCM Atom フィードは、就職者のデータを返します。
新入社員の Atom フィードからデータを読み取り、カスタム モジュールにロジックを実装して、個人データ、連絡先データ、雇用情報、業務情報などのデータ要素が SCIM ペイロードに確実に存在するようにします。
就職者シナリオ用の Atom フィードを取得した後に必要になった場合は、ワーカーまたは従業員エンドポイントのクエリを実行して、追加のワーカー属性を取得します。
新入社員に対して Microsoft Entra ライフサイクル ワークフローをトリガーするには、その従業員の入社日のカスタム SCIM 属性 (urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate) を必ず含めます。
Oracle HCM の EffectiveStartDate フィールドを使用して、入社日の値を設定します。 「SCIM ペイロードの例」を参照してください。
異動者シナリオを実装する
異動者シナリオは、従業員がフルタイムから契約社員に、またはその逆に転換されたとき、職務の変更が発生したとき、仕事上の関係の変更が発生したとき、異動があったとき、または昇進したときに、Oracle HCM でトリガーされます。 「Fusion Cloud HCM と外部エンタイトルメント管理システムとの融合」 (oracle.com) で説明されているように、Oracle HCM Atom フィードは、異動者のデータを返します。
Oracle HCM で変更された属性の新しい値を必ずフェッチします。 多くの場合、これらの値は、Atom フィード応答の Changed Attributes セクションからフェッチできます。 必要に応じて、ワーカーまたは従業員エンドポイントのクエリを直接実行して、追加のワーカー属性を取得します。
取得したデータを使用して、SCIM ペイロードを構築します。 「SCIM ペイロードの例」を参照してください。
退職者シナリオを実装する
退職者シナリオは、従業員が自発的または非自発的に組織での就労を終了したときに発生します。 「Fusion Cloud HCM と外部エンタイトルメント管理システムとの融合」 (oracle.com) で説明されているように、Oracle HCM Atom フィードは、退職者のデータを返します。 Atom フィードからデータを読み取り、SCIM ペイロードを構築します。
退職者に対してライフサイクル ワークフローをトリガーするには、その従業員の退職日のカスタム SCIM 属性 (urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate) を必ず含めます。
Oracle HCM の EffectiveDate フィールドを使用して、終了日の値を設定します。 「SCIM ペイロードの例」を参照してください。
SCIM ペイロードの例
就職者、異動者、退職者の各シナリオに関連付けられた JSON ペイロードを変換して、Microsoft API 駆動型プロビジョニング エンドポイントに送信する SCIM ペイロードを作成します。
"Oracle HCM から SCIM" ワークシートに基づいて、Oracle HCM 属性が SCIM ペイロードの属性にどのようにマップされるかを示す一般的な例を次に示します。
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:BulkRequest"],
"Operations": [
{
"method": "POST",
"bulkId": "897401c2-2de4-4b87-a97f-c02de3bcfc61",
"path": "/Users",
"data": {
"schemas": ["urn:ietf:params:scim:schemas:core:2.0:User",
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"],
"externalId": "<Oracle HCM workers.PersonNumber>",
"userName": "<Oracle HCM employee.UserName>",
"name": {
"familyName": "<Oracle HCM workers.names.LastName>",
"givenName": "<Oracle HCM workers.names.FirstName> ",
"middleName": "<Oracle HCM workers.names.MiddleName>",
},
"displayName": "<Oracle HCM workers.DisplayName>",
"emails": [
{
"value": "<Oracle HCM workers.emails.EmailAddress> ",
"type": "work",
"primary": true
}
],
"addresses": [
{
"type": "work",
"streetAddress": "<Oracle HCM workers.addresses.AddressLine1>",
"locality": "<Oracle HCM workers.addresses.TownorCity>",
"region": "<Oracle HCM workers.addresses.Region1>",
"postalCode": "<Oracle HCM workers addresses.PostalCode> ",
"country": "<Oracle HCM workers addresses.Country> ",
"primary": true
}
],
"phoneNumbers": [
{
"value": "<Oracle HCM workers. phones.PhoneNumber ",
"type": "work"
}
],
"userType": "<Oracle HCM workers.workRelationships.WorkerType ",
"title": " <Oracle HCM worker.workRelationships.assignments.JobName",
"active":true,
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
"employeeNumber": "<Oracle HCM workers.PersonNumber> ",
"division": "<Oracle HCM worker.workRelationships.assignments.BusinessUnitId> ",
"department": "<Oracle HCM worker.workRelationships.assignments.DepartmentId >",
"manager": {
"value": "<Oracle HCM worker.workRelationships.assignments.allReports.ManagerPersonNumber> ",
"displayName": "<Oracle HCM worker.workRelationships.assignments.allReports.ManagerDisplayName"
}
}
}
}
],
"failOnErrors": null
}
SCIM 一括要求を書式設定したら、API 駆動型プロビジョニングを使用してデータを bulkUpload API エンドポイントに送信できます。
統合を有効にする前に、手動テストと検証を実行し、SCIM 一括要求ペイロードの構造を検証します。 Postman や Graph Explorer などのツールを使用すると、一括要求のペイロードが想定どおりに処理されることを確認できます。
Note
パートナーと連携したり、独自のカスタム モジュールを構築したりする必要がない場合は、次のセクションで説明する HCM 抽出ツールを使用することをお勧めします。
オプション 2: CSV 抽出を使用する
初期同期で使用した方法と同様に、CSV 抽出を使用して差分同期を処理することもできます。 前回の同期以降の新しい変更のみを実行するように抽出を構成できます。または、ワーカー データの全範囲を送信すると、Microsoft Entra ID プロビジョニング サービスで、新入社員、属性の変更、退職などの変更を管理および更新できます。
初期同期と同様に、CSV 抽出を取得するために使用できるオプションが複数あります。
HCM 抽出ツール: Oracle HCM Cloud からデータを一括で取得するための主要な方法は、HCM 抽出を使用することです。これは、データ ファイルとレポートを生成するためのツールです。 HCM 抽出には、抽出するレコードと属性を指定するための専用のインターフェイスがあります。 このツールを使用すると、次のことができます。
複雑な選択基準を使用して抽出するレコードを識別する。
高速の数式データベース項目と規則を使用して、HCM 抽出のデータ要素を定義する。
Note
HCM 抽出の作成を開始するには、「抽出の定義」 (oracle.com) を参照してください。
Oracle BI Publisher: Oracle BI Publisher では、事前定義済みの Oracle Transactional Business Intelligence 分析構造またはユーザー独自のデータ モデルに基づいて、スケジュール済みのレポートと計画外のレポートの両方がサポートされています。 さまざまな形式でレポートを生成できます。 アウトバウンド統合に Oracle BI Publisher を使用するには、XML や CSV などの自動ダウンストリーム処理に適した形式でレポートを生成します。 BI Publisher レポートの作成を開始するには、「HCM 抽出での BI パブリッシャ テンプレートの定義」 (oracle.com) を参照してください。
Oracle Integration Cloud (OIC) サービス: OIC のサブスクリプションがある場合、Oracle HCM アダプタ (oracle.com) との統合を構成して、必要なデータを Oracle HCM から抽出できます。 Oracle では、作業を開始するために使用できるガイド (oracle.com) を提供しています。
ワーカー データを CSV 形式で取得したら、次の 2 つの方法のいずれかを使用して、データを SCIM ペイロードに変換し、プロビジョニング サービスに送信します。
PowerShell: PowerShell スクリプトを使用した API 駆動型インバウンド プロビジョニング
Logic Apps: Azure Logic Apps を使用した API 駆動型インバウンド プロビジョニング
Microsoft Entra ID から Oracle HCM に書き戻す
インバウンド プロビジョニング API を使用して Oracle HCM からワーカー データを同期した後、Microsoft Entra プロビジョニング サービスから Oracle HCM への書き戻しを構成できます。 書き戻しは、Microsoft Entra ID で発生したユーザーの変更 (ユーザー名、メール アドレス、電話番号などの変更) を Oracle HCM に送信するプロセスです。 このプロセスにより、両方のシステムでデータの一貫性と正確性が保証されます。
書き戻しを構成するには、Oracle HCM SCIM API (oracle.com) を使用する必要があります。 これらの API は、RESTful Web サービスであり、Microsoft Entra などの外部ソースから Oracle HCM 内のユーザーの作成、更新、削除を行うことができるようにします。 Microsoft Entra プロビジョニング サービスを使用して、Microsoft Entra を Oracle HCM SCIM API に接続し、書き戻すユーザー属性をマップできます。
書き戻しを設定するには、Oracle HCM テナントへのアウトバウンド プロビジョニング ジョブを構成する必要があります。 書き戻しを構成するには、次の情報が必要です。
REST サーバーの URL。これは通常、Oracle Cloud サービスの URL です。 これは、次のようになります: https://servername.fa.us2.oraclecloud.com。
HCM 環境のシークレット トークン。これにより、HCM テナントは Microsoft Entra などの他のシステムにアクセスできるようになります。
- HCM で OAUTH トークンを作成し、ここでの手順で使用するために保存します。 OAUTH トークンを作成するには、こちらのガイド (oracle.com) のステップ 4 に進みます。
REST サーバー URL とシークレット トークンが用意できたら、次の手順に従って Microsoft Entra で書き戻しジョブを構成します。
新しいエンタープライズ アプリケーションを作成します。
[プロビジョニング] オプションを選択し、モードを [自動] に切り替えます。
Oracle HCM テナントのエンドポイント URL と認証トークンを [REST サーバー URL] フィールドと [シークレット トークン] フィールドに入力します。
せつぞくをテストし、設定を保存します。
このアプリケーションの [プロビジョニングの概要] ページに戻り、[プロビジョニングの編集] を選択します。 [マッピング] の矢印をクリックし、マッピング スキーマのリンクを選択します。
[属性マッピング] セクションの編集で、[ターゲット オブジェクトのアクション] の下にある [更新] 操作のみを選択します。
HCM 属性が [属性マッピング] セクションに自動的に入力されることがわかります。 データを書き戻す必要がない属性のみを削除します。
設定を保存し、プロビジョニングの状態を有効にします。
Microsoft Entra のオンデマンド プロビジョニング機能を使用して、書き戻し統合をテストおよび検証します。
ワークフローを検証したら、ジョブを開始し、Microsoft Entra が継続的にデータを Oracle HCM に同期できるようにジョブを実行し続けます。
付録
ワークシート 1: Oracle HCM 属性
このセクションの表は、Oracle HCM からエクスポートできる属性を表しています。 これらの属性の名前は、使用する HCM システムによって異なる場合がありますが、この一覧は、HR 統合の一般的な属性の一覧を示しています。 統合用にエクスポートする属性を決定します。
| Oracle HCM 属性 (CSV ファイルから) | 必要または必須 |
|---|---|
| 個人番号 | 必須 |
| アカウントの状態 | 必須 ->解雇されていないワーカーの場合は、値を True に設定します。 |
| 番地 | |
| 都市 | |
| 状態 | |
| 郵便番号 | |
| 国 | |
| 部署名 | |
| 区分 | |
| 会社 | |
| ユーザー名 | |
| First Name | 必須 |
| 姓 | 必須 |
| ジョブ コード | |
| ジョブ名 | |
| メール アドレス | |
| 管理者 | |
| 携帯電話番号 | |
| 電話番号 | |
| 勤務先住所 | |
| 電話番号 | |
| 採用日 | ライフサイクル ワークフローで必要 |
| 退職日 | ライフサイクル ワークフローで必要 |
Note
この一覧にない他の属性を追加してプロビジョニング ジョブに含めることができるように、上記のワークシートに空白行を含めました。
ワークシート 2: Oracle HCM から SCIM への属性マッピング
このセクションの表は、Oracle HCM 属性から API でサポートされる汎用 SCIM 属性へのサンプル マッピングを示しています。
| Oracle HCM 属性 (CSV ファイルから) | SCIM 属性 |
|---|---|
| 個人番号 | ExternalId |
| アカウントの状態 | アクティブです |
| 住所 | addresses[type eq "work"].streetAddress |
| 市区町村 | addresses[type eq "work"].locality |
| 都道府県 | addresses[type eq "work"].region |
| 郵便番号 | addresses[type eq "work"].postalCode |
| 国 | addresses[type eq "work"].country |
| 部署名 | urn:ietf:params:scim:schemas: extension:enterprise:2.0:User:department |
| 区分 | urn:ietf:params:scim:schemas: extension:enterprise:2.0:User:division |
| 会社 | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization |
| ユーザー名 | displayName |
| First Name | name.givenName |
| 姓 | name.familyName |
| ジョブ コード | urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:JobCode |
| ジョブ名 | タイトル |
| メール アドレス | emails[type eq "work"].value |
| 管理者 | urn:ietf:params:scim:schemas:extension: enterprise:2.0:User:manager |
| 携帯電話番号 | phoneNumbers[type eq "mobile"].value |
| 電話番号 | phoneNumbers[type eq "work"].value |
| 勤務先住所 | addresses[type eq "work"].formatted |
| 採用日 | urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate |
| 退職日 | urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate |
ワークシート 3: 一意の ID の生成規則と変換規則を定義する
このセクションの表は、一意の生成規則または特定の変換規則を必要とする特定の属性について説明しています。 これらには、値を設定するための追加規則を持つ 3 つの一般的に使用される属性が含まれます。 これらの属性を適切に設定するには、リンクを参照してください。
| Attribute | 属性値の設定方法 |
|---|---|
| userPrincipalName (必須) | Microsoft Entra のユーザー プロビジョニングにクラウド HR アプリケーションを計画する |
| SamAccountName (オンプレミスの AD のみ) | Microsoft Entra のユーザー プロビジョニングにクラウド HR アプリケーションを計画する |
| parentDistinguishedName (オンプレミスの AD のみ) | Microsoft Entra のユーザー プロビジョニングにクラウド HR アプリケーションを計画する |
ワークシート 4: SCIM 属性とオンプレミスの AD 属性のマッピング
このセクションの表は、Active Directory でサポートされているオンプレミス属性のセットを表しています。 プロビジョニング ターゲットが Active Directory の場合、この表の属性に SCIM 属性をマップします。
| SCIM 属性 | オンプレミスの AD の属性 |
|---|---|
| ExternalId | employeeID |
| アクティブです | accountDisabled |
| addresses[type eq "work"].streetAddress | streetAddress |
| addresses[type eq "work"].locality | l |
| addresses[type eq "work"].region | st |
| addresses[type eq "work"].postalCode | postalCode |
| addresses[type eq "work"].country | co |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | 部署 |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division | 部署 |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | 会社 |
| displayName | cn |
| name.givenName | givenName |
| name.familyName | sn |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:JobCode | extensionAttribute1 |
| タイトル | title |
| emails[type eq "work"].value | <AD により生成> |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager | manager |
| phoneNumbers[type eq "mobile"].value | 携帯電話 |
| phoneNumbers[type eq "work"].value | telephoneNumber |
| addresses[type eq "work"].formatted | physicalDeliveryOfficeName |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate | extensionAttribute2 |
| urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate | extensionAttribute3 |
Note
対応するオンプレミスの AD 属性がない SCIM スキーマ拡張属性を定義している場合は、それらを extensionAttributes 1 から 15 にマップするか、AD スキーマを拡張して、必要な属性を持つ新しい補助オブジェクト クラスを追加できます。
ワークシート 5: オンプレミスの AD から Microsoft Entra ID へのマッピング
ID をオンプレミスの AD に同期したら、クラウド同期または Microsoft Entra ID 接続を介して ID を Microsoft Entra ID に送信できます。 これらのツールの使用方法については、リンクされたドキュメントを参照してください。
このセクションの表は、ワークシート 4 に含まれる AD 属性から Microsoft Entra 属性への属性マッピングの例です。
Note
カスタム属性 extensionAttribute1 は、ワーカーのジョブ コードです。 前の表では、これは、AD の extensionAttribute1 にマップされていました。 ただし、Microsoft Entra には対応する属性がないため、ここでは Microsoft Entra の extensionAttribute1 にマッピングしています。 extensionAttribute2 と extensionAttribute3 (入社日と退職日) は、それに応じてマップされます。
| オンプレミスの AD の属性 | Microsoft Entra 属性 |
|---|---|
| streetAddress | streetAddress |
| l | city |
| st | 州 |
| postalCode | postalCode |
| co | country |
| department | 部署 |
| 部署 | EmployeeOrgData.division |
| 会社 | companyName |
| cn | displayName |
| givenName | givenName |
| sn | 姓 |
| extensionAttribute1 | extensionAttribute1 |
| タイトル | jobTitle |
| <AD により生成> | |
| manager | manager |
| mobile | mobile |
| telephoneNumber | telephoneNumber |
| physicalDeliveryOfficeName | physicalDeliveryOfficeName |
| extensionAttribute2 | employeeHireDate |
| extensionAttribute3 | employeeLeaveDateTime |
ワークシート 6: SCIM 属性から Microsoft Entra 属性へのマッピング
このセクションの表は、Microsoft Entra ID でサポートされている属性のセットを表しています。 プロビジョニング ターゲットが Microsoft Entra ID の場合、この表の属性に SCIM 属性をマップします。 カスタム SCIM 属性をギャラリー アプリケーションに追加するには、「API 駆動型プロビジョニングを拡張してカスタム属性を同期する」を参照してください。
| SCIM 属性 | Microsoft Entra 属性 |
|---|---|
| ExternalId | employeeId |
| アクティブです | accountEnabled |
| addresses[type eq "work"].streetAddress | streetAddress |
| addresses[type eq "work"].locality | city |
| addresses[type eq "work"].region | 州 |
| addresses[type eq "work"].postalCode | postalCode |
| addresses[type eq "work"].country | country |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | 部署 |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division | EmployeeOrgData.division |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | companyName |
| displayName | displayName |
| name.givenName | givenName |
| name.familyName | 姓 |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:JobCode | extensionAttribute1 |
| タイトル | jobTitle |
| emails[type eq "work"].value | |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager | manager |
| phoneNumbers[type eq "mobile"].value | 携帯電話 |
| phoneNumbers[type eq "work"].value | telephoneNumber |
| addresses[type eq "work"].formatted | physicalDeliveryOfficeName |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate | employeeHireDate |
| urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate | employeeLeaveDateTime |
確認
このチュートリアルのレビューと貢献にご協力いただいたことに対し、次のパートナーの方々に感謝いたします。
- Michael Starkweather (PwC ディレクター)
- Rob Allen (ActiveIdM アーキテクチャおよびテクノロジ ディレクター)
- Ray Nalette (ActiveIdM テクニカル デリバー マネージャー)
- Randy Robb (Oxford Computer Group 主席コンサルタント)
- Frank Urena (Oxford Computer Group 主席アーキテクト)
- Nick Herbert (Oxford Computer Group セールス担当副社長)
- Steve Brugger (Oxford Computer Group CEO)
次のステップ
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示